El apetito de riesgo es el nivel de riesgo que una organización está dispuesta a aceptar en pos de sus objetivos [1] antes de que se considere necesario tomar medidas para reducirlo. Representa un equilibrio entre los beneficios potenciales de la innovación y las amenazas que el cambio inevitablemente trae consigo. Este concepto ayuda a orientar el enfoque de una organización hacia la gestión de riesgos . El apetito de riesgo es un factor que se incluye en los criterios de riesgo de una organización , que se utilizan para la evaluación de riesgos . [2]
La norma ISO 31000 define el apetito de riesgo como la "cantidad y tipo de riesgo que una organización está dispuesta a asumir o retener". [3]
El apetito de riesgo se ve afectado por definiciones inconsistentes o ambiguas, pero estudios rigurosos de gestión de riesgos han ayudado a remediar la falta de consenso. [4] En el resto de esta sección se compara la definición estandarizada del apetito de riesgo con otros términos relacionados.
Dado que el apetito de riesgo se puede estratificar en niveles de riesgo, el umbral de riesgo se puede definir como el límite superior del apetito de riesgo. [5] El umbral de riesgo también se puede definir como la exposición máxima [6] antes de que sea necesario el tratamiento del riesgo (es decir, la acción para reducir el riesgo).
El término apetito de riesgo se utiliza a menudo de forma ambigua para referirse a todos los niveles de riesgo por debajo del umbral o solo al nivel del umbral.
La actitud frente al riesgo es el enfoque de una organización hacia (evaluar y eventualmente perseguir, retener, tomar o rechazar) el riesgo. [7] El apetito por el riesgo es la cantidad y el tipo de riesgo que una organización está dispuesta a perseguir, retener o tomar.
Según el modelo de apetito por el riesgo y actitud ante el riesgo (RARA), estos dos conceptos "actúan como factores mediadores entre una amplia gama de factores de entrada y resultados clave", lo que ayuda a la toma de decisiones . El apetito por el riesgo se expresa en forma de umbrales de riesgo, mientras que la actitud ante el riesgo influye en la elección de los umbrales de riesgo. [4]
Mientras que el apetito de riesgo es la cantidad de riesgo que una organización está dispuesta a asumir, la tolerancia al riesgo es la cantidad de riesgo que una organización es capaz de asumir. Por lo tanto, el umbral de riesgo de una organización siempre es menor o igual a su tolerancia al riesgo. [5] La exposición que supera el límite de tolerancia al riesgo (que no debe confundirse con el umbral de riesgo) a veces se denomina "riesgo inaceptable", ya que no pasa la fase de aceptación del riesgo [8] . [9]
Para dar un ejemplo sencillo, pensemos en una organización que está dispuesta a pedir un préstamo de 50.000 dólares, pero que es capaz de pedir 100.000. En este contexto, 50.000 y 100.000 dólares son niveles de riesgo; el primero es el umbral, el segundo es la tolerancia; es posible que se pueda distinguir cada tramo de 10.000 dólares (por debajo de 50.000) como una tolerancia al riesgo diferente. Un préstamo de cualquier valor superior a 100.000 dólares (o varios préstamos que sumen lo mismo, es decir, múltiples riesgos) se considera un riesgo inaceptable. Este ejemplo combina la medición del riesgo cualitativa y cuantitativa.
A menudo se confunde la gestión del riesgo con el apetito por el riesgo , [ cita requerida ] y el rigor de la primera está recuperando parte del terreno perdido frente a la vaguedad de la segunda. Cuando se deriva correctamente, el apetito por el riesgo es una consecuencia de un análisis riguroso de la gestión del riesgo, no un precursor. Las técnicas sencillas de gestión del riesgo abordan el impacto de los eventos peligrosos, pero ignoran la posibilidad de efectos colaterales de un mal resultado, como por ejemplo la quiebra técnica. La cantidad que se puede poner en riesgo depende de la cobertura disponible en caso de que haya una pérdida, y un análisis adecuado tiene esto en cuenta. El "apetito" se desprende lógicamente de este análisis. Por ejemplo, una organización debería estar "ávida de riesgo" si tiene una cobertura más que suficiente en comparación con sus competidores y, por lo tanto, debería poder obtener mayores ganancias en el mercado de emprendimientos de alto riesgo.
A continuación se presenta un posible modelo cualitativo de apetito de riesgo (es decir, niveles de riesgo [10] ) que una empresa puede adoptar para garantizar una respuesta al riesgo que sea proporcional a sus objetivos comerciales. [11] [12]
Un enfoque más complejo podría tener múltiples dimensiones de riesgo, como una matriz de riesgo .
El modelo apropiado puede variar en una organización, y diferentes partes del negocio pueden adoptar un apetito que refleje su rol específico, con un marco general de apetito de riesgo para garantizar la coherencia.
No siempre es posible realizar mediciones precisas (cuantitativas) y, en ocasiones, la tolerancia al riesgo se definirá mediante una declaración general de enfoque o categorías cualitativas. Una organización puede tener tolerancia a algunos tipos de riesgo y aversión a otros, según el contexto y las posibles pérdidas o ganancias.
Sin embargo, a menudo se pueden desarrollar medidas para diferentes categorías de riesgo. Por ejemplo, puede resultar útil para un proyecto saber qué nivel de retraso o pérdida financiera se le permite soportar. Cuando una organización cuenta con medidas estándar para definir el impacto y la probabilidad de los riesgos, esto se puede utilizar para definir el nivel máximo de riesgo tolerable antes de que se deban tomar medidas para reducirlo. [13]
En algunos contextos organizacionales, el directorio es responsable de establecer el nivel de tolerancia al riesgo de una organización. En el Reino Unido, el Consejo de Información Financiera dice: "el directorio determina la naturaleza y el alcance de los riesgos significativos que la empresa está dispuesta a asumir". [14] El nivel apropiado dependerá de la naturaleza del trabajo realizado y los objetivos perseguidos. Por ejemplo, cuando la seguridad pública es crítica (por ejemplo, la operación de una central nuclear), el nivel de tolerancia tenderá a ser bajo, mientras que para un proyecto innovador (por ejemplo, el desarrollo inicial de un programa informático innovador) puede ser muy alto, con la aceptación de un fracaso a corto plazo que podría allanar el camino hacia el éxito a largo plazo.
En otros contextos, una vez que la alta dirección ha establecido objetivos y expectativas amplios que integran los aportes de todas las partes interesadas y las obligaciones de la organización, la toma de decisiones se delega a los funcionarios autorizadores . [15] Estos funcionarios están autorizados a tomar decisiones de aceptación de riesgos en distintos umbrales de criterios de aceptación de riesgos; diferentes criterios de aceptación pueden requerir que se autorice la aceptación a niveles superiores de la dirección. [16]
Al definir su tolerancia al riesgo, una organización puede alcanzar un equilibrio adecuado entre la innovación descontrolada y la cautela excesiva. Puede orientar a las personas sobre el nivel de riesgo permitido y fomentar la coherencia de enfoques en toda la organización.
Los niveles de riesgo aceptables definidos también significan que no se gastan recursos en reducir aún más los riesgos que ya se encuentran en un nivel aceptable.
En la literatura, hay seis áreas principales de apetito de riesgo:
ISO 31073:2022 — Gestión de riesgos — Vocabulario — Objetivo.Resultado a lograr
Nota 1: Un objetivo puede ser estratégico, táctico u operativo.
Nota 2: Los objetivos pueden relacionarse con diferentes disciplinas (como objetivos financieros, de salud y seguridad y ambientales) y pueden aplicarse en diferentes niveles (como estratégico, de toda la organización, de proyecto, de producto y de proceso).
Nota 3: Un objetivo puede expresarse de otras maneras, por ejemplo, como un resultado previsto, un propósito, un criterio operativo, como un objetivo del sistema de gestión o mediante el uso de otras palabras con un significado similar (por ejemplo, objetivo, meta, propósito).
ISO 31073:2022 — Gestión de riesgos — Vocabulario — exposición . Consultado el 16 de julio de 2024 .medida en que una organización y/o parte interesada está sujeta a un evento
ISO 31073:2022 — Gestión de riesgos — Vocabulario — Aceptación de riesgos . Consultado el 17 de julio de 2024 .decisión informada de asumir un riesgo particular
Nota 1: La aceptación del riesgo puede ocurrir sin tratamiento del riesgo o durante el proceso de tratamiento del riesgo.
Nota 2: Los riesgos aceptados están sujetos a seguimiento y revisión.
ISO 31073:2022 — Gestión de riesgos — Vocabulario — Nivel de riesgo . Consultado el 16 de julio de 2024 .magnitud de un riesgo o combinación de riesgos, expresada en términos de la combinación de consecuencias y su probabilidad