BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
LA FÁBRICA DE PENSAMIENTO
INSTITUTO DE AUDITORES INTERNOS DE ESPAÑA
Definición e implantación de
Apetito de Riesgo
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
LA FÁBRICA DE PENSAMIENTO
INSTITUTO DE AUDITORES INTERNOS DE ESPAÑA
Definición e implantación de
Apetito de Riesgo
Junio 2013
MIEMBROS DE LA COMISIÓN TÉCNICA
COORDINACIÓN: Teresa Gil Aldea. Repsol
David Comellas Batlle, CRMA. Mutua Universal
Iratxe Galdeano Larisgoitia. PwC
Luis Alberto Hernández Videla, CIA. Refresco Iberia
Ana Jiménez Jiménez, CIA. Telefónica
Juan Jiménez Navas. PwC
Jesús Lafita Fernández, CIA. Control Solutions
Carlos Llorente Baranda. MAPFRE
Víctor Manuel Martin Giménez. Ernst & Young
Carlos Muñoz Vega, CIA, CRMA. NH Hoteles
Carolina Werner Alcón. Deloitte
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
Gestionar la incertidumbre para crear valor de manera sostenible. Ésta es la pre-
misa con la que trabajamos las empresas, pero formalizar esa gestión de la incer-
tidumbre a través de la implantación de un sistema de gestión de riesgos es un
gran paso adelante que mejora no sólo la gestión de las compañías sino la acti-
tud de toda la organización hacia los riesgos, reforzando la cultura corporativa
con la fijación de límites que formen un vínculo dinámico entre la estrategia, los
objetivos de la organización y la gestión de los riesgos.
Felicito al Instituto de Auditores Internos de España por su iniciativa de LA FÁ-
BRICA DE PENSAMIENTO, el recién nacido think tank español que, con vocación
divulgadora, ayudará a quienes tenemos responsabilidades de liderazgo en las
empresas de habla hispana a tener una visión clara y rigurosa de las claves de
éxito a la hora de emprender mejoras en el gobierno de nuestras organizaciones.
Esta Guía, primera producción de LA FÁBRICA DE PENSAMIENTO, es un trabajo
esquemático y detallado sobre el proceso de definición e implantación del apeti-
to de riesgo por parte de la Alta Dirección que pone el foco en las cuestiones cla-
ve que los Consejos de Administración y la Alta Dirección deben considerar a la
hora de definirlo e implantarlo con éxito, y así pasar de métricas y métodos de
evaluación de riesgos a decisiones de negocio y de reporte.
.
Antonio Huertas
Presidente de MAPFRE
3
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
Presento con una enorme ilusión esta primera producción de LA FÁBRICA DE
PENSAMIENTO, el think tank del Instituto de Auditores Internos de España que
nace con el objetivo de generar conocimiento útil que ayude a los Consejos de
Administración y la Alta Dirección de las empresas de habla hispana en su toma
de decisiones en materia de gobierno y gestión de riesgos.
Desde el Instituto de Auditores Internos de España agradecemos sinceramente el
patrocinio de esta edición a MAPFRE y a su Presidente, Antonio Huertas, su de-
cidido apoyo a nuestro laboratorio de ideas.
Esta Guía sobre Definición e Implantación del Apetito de Riesgo es el fruto del
trabajo de expertos, socios del Instituto de Auditores Internos de España, que
empezaron a trabajar en septiembre de 2012.
Expone los conceptos principales, las distintas utilizaciones, metodologías de
aproximación y cálculo, y una propuesta esquemática sobre cómo implantar el
apetito de riesgo en una organización.
La Guía parte de la premisa de que toda empresa lleva a cabo sus operaciones
con el fin de crear valor. Pero este fin no puede alcanzarse sin asumir ciertos ries-
gos: gestionar una empresa implica gestionar riesgos y, para poder hacerlo con
garantías, las empresas deben definir su sistema de gestión de riesgos.
Una pieza relevante de este sistema es la fijación del apetito de riesgo: la canti-
dad de riesgo que la empresa desea asumir en la consecución de sus objetivos.
La fijación de este umbral permite optimizar el binomio riesgo-rentabilidad y
mantener los riesgos en los niveles deseados.
Los autores señalan el apetito de riesgo como guía para la toma de decisiones,
la asignación de los recursos y, en definitiva, para alinear a toda la empresa en la
consecución de los objetivos fijados, permitiendo hacer un seguimiento y monito-
rización de los resultados obtenidos y sus riesgos asociados.
Felicito a todos los miembros de la Comisión Técnica por su excelente y exhausti-
vo trabajo que, sin duda, ayudará a miembros de los Consejos de Administración,
Comités de Auditoría y Alta Dirección de cualquier tipo de organización a enmar-
car adecuadamente el concepto de apetito de riesgo en su Sistema de Gestión
de Riesgos.
José Manuel Muries
Presidente del Instituto de Auditores Internos de España
5
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
Índice
RESUMEN EJECUTIVO 09
INTRODUCCIÓN 14
Definiciones .................................................................................................................. 15
Consideraciones para la determinación del apetito de riesgo ........................ 18
USOS DEL APETITO DE RIESGO 20
Aplicaciones y ventajas .............................................................................................. 20
Sectores donde se utiliza el apetito de riesgo ..................................................... 24
METODOLOGÍAS
Enfoques en la definición del apetito de riesgo .................................................. 26
Evaluación cuantitativa vs cualitativa del apetito de riesgo ............................. 29
Metodología en base al sector ................................................................................ 29
MARCOS DE REFERENCIA 31
Exigencias de carácter obligatorio .......................................................................... 31
Mejores prácticas internacionalmente aceptadas .............................................. 32
IMPLANTACIÓN 38
LECCIONES APRENDIDAS Y CONCLUSIONES 47
¿Qué objetivos tiene la gestión del apetito de riesgo? ................................... 47
¿Qué condiciones previas requiere? ..................................................................... 48
¿Por dónde empiezo? ................................................................................................ 49
Factores clave de éxito: ¿Qué principios deben guiar su implantación? ...... 49
ANEXOS 51
Anexo I · Definiciones ................................................................................................ 52
Anexo II · Detalle de los Marcos de Referencia ................................................. 52
7
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
Resumen Ejecutivo
Toda empresa lleva a cabo sus operaciones con un fin último, la creación de valor. Pero El proceso de la fijación
este fin no puede alcanzarse sin asumir ciertos riesgos. Por ello, para obtener los resulta- del apetito de riesgo
dos deseados, gestionar una empresa implica gestionar riesgos, y para poder hacerlo con debe ser específico
garantías, las empresas deben definir su sistema de gestión de riesgos. para cada empresa y
será responsabilidad de
Una pieza relevante de ese sistema es la fijación del apetito de riesgo: cantidad de riesgo su máximo órgano de
que la empresa desea asumir en la consecución de sus objetivos. La fijación de este um- gestión determinarlo.
bral permite optimizar el binomio riesgo-rentabilidad y controlar y mantener los riesgos
en los niveles deseados. Por tanto, para posibilitar la generación de valor, las organizacio-
nes deben hacer un balance entre los riesgos y las oportunidades y el apetito de riesgo
debe servir de guía para la toma de decisiones, la asignación de los recursos y, en definiti-
va, para alinear a toda la empresa en la consecución de los objetivos fijados, permitiendo
hacer un seguimiento y monitorización de los resultados obtenidos y sus riesgos asocia-
dos.
Un sistema de gestión de riesgos adecuado debe alinearse con la estrategia de la compa-
ñía y con su cultura corporativa, y como punto clave debe tener en cuenta la naturaleza
de sus operaciones. Los principales órganos de gestión y control de las empresas, ya sean
Consejos de Administración o Alta Dirección, deben apoyar e impulsar la gestión de ries-
gos, con el objetivo de que se transmita a toda la organización y se integre en la operati-
va diaria de todas las áreas. La definición clara de los roles y responsabilidades en mate-
ria de gestión de riesgos dentro de la organización será, por tanto, un factor clave para el
éxito del sistema que se implante.
Para diseñar el sistema de gestión de riesgos y definir de forma adecuada los niveles de
apetito de riesgo, la empresa deberá focalizar sus esfuerzos en el desarrollo y uso de me-
todologías y técnicas que le ayuden a medirlos, y que le permitan compararlos con los ni-
veles de apetito establecidos. El proceso de la fijación del apetito de riesgo debe ser espe-
cífico para cada empresa puesto que no existe un valor de apetito de riesgo estándar apli-
cable a todas las compañías, y será responsabilidad de su máximo órgano de gestión de-
terminarlo. Además, debe tener en cuenta la naturaleza de los riesgos que se desean me-
dir y entenderse como algo vivo, que se revisa y cambia con la evolución de la propia em-
presa, sus objetivos y estrategia, así como el entorno en el que opera.
9
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
En la determinación del apetito de riesgo, se deben contemplar además otros aspectos
como la tolerancia y la capacidad de la empresa. De este modo, mientras que el apetito
es el nivel de riesgo que la empresa quiere aceptar, aquél con el que se siente cómoda, su
tolerancia será la desviación respecto a este nivel. Por otro lado, la capacidad de asumir
riesgos, será el nivel máximo de riesgo que una organización puede soportar en la perse-
cución de sus objetivos. Así, la tolerancia servirá como alerta para evitar que la empresa
llegue al nivel establecido por su capacidad, algo que pondría en peligro la continuidad
del negocio.
Alta
Exposición
Baja
Apetito de riesgo
Tolerancia al riesgo
Capacidad de riesgo
El apetito es el nivel de Cada organización puede optar por diferentes metodologías de cálculo, condicionadas
riesgo que la empresa por su sector de actividad e implantar modelos tanto cuantitativos como cualitativos. El
quiere aceptar y su uso de unos u otros normalmente depende del grado de estandarización que exista en el
tolerancia será la sector para la medición del apetito (condicionado en la mayoría de los casos, por la exis-
desviación respecto a tencia de regulación explícita al respecto, como es el caso del sector financiero). En secto-
este nivel. La capacidad res en los que no hay obligatoriedad ni modelos definidos, será cada empresa la que de-
será el nivel máximo de termine el método que desee seguir, en función principalmente de la naturaleza de los
riesgo que una riesgos por medir. En aquellos casos en que se evalúan los riesgos en términos de impac-
organización puede to económico y probabilidad, será conveniente establecer el apetito de forma cuantitativa.
soportar en la Lo cierto es que cada vez resulta más relevante considerar aquellos elementos del apetito
persecución de sus de riesgo que no se pueden medir y que, por tanto, podrían ser más difíciles de gestionar,
objetivos. como pueden ser los riesgos reputacionales. Por ello, para garantizar una gestión de ries-
gos integral y equilibrada, es recomendable combinar medidas cuantitativas con medidas
10 cualitativas, así como tener en cuenta aquellos riesgos para los que la organización puede
tener tolerancia cero.
Las mediciones cuantitativas utilizadas en sectores como el financiero suelen ser métricas
de adecuación del capital, como el capital en riesgo (capital at risk), métricas relaciona-
das con ingresos como los ingresos en riesgo (earnings at risk) y métricas de liquidez es-
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
pecialmente relevantes en Basilea tras los problemas de liquidez vividos en el sector fi- El enfoque descendente
nanciero en los últimos años. es más recomendable
para llevar a cabo la
Cabe destacar la existencia de dos posibles enfoques para la implantación del apetito de implantación del
riesgo en las organizaciones. modelo, pero para ser
completo debe
- El descendente o top-down, basado en establecer el apetito de riesgo desde el más al- complementarse con un
to nivel organizativo, alineado con los objetivos estratégicos. Una vez validado formal- reporte basado en un
mente por los órganos responsables, como el Consejo y/o la Comisión de Auditoría, se enfoque ascendente.
comunica al resto de la organización para alinear la gestión de riesgos de todas las
áreas con el apetito de riesgo aprobado para toda la compañía, estableciendo niveles 11
específicos de apetito para las distintas unidades que la componen.
- El enfoque ascendente o bottom-up, por el contrario, define el apetito de riesgo al mí-
nimo nivel de decisión dentro de una organización, para posteriormente ascender a lo
largo de la estructura organizativa hasta consolidarse en un apetito de riesgo global.
TOP-DOWN BOTTOM-UP
VENTAJAS
· Alineación estratégica · Mayor involucración de toda la
organización
· Convergencia con la capacidad máxima de
riesgo · Alto nivel de capilaridad
· Estimulación del debate del equipo · Sencillez en la definición, sobre todo para
ejecutivo riesgos más difíciles de cuantificar
· Alineación con Best Practices
· Explicitación de los requisitos de los
grupos de interés
INCONVENIENTES
· Menor involucración de niveles operativos · Demasiadas interacciones para converger
en la definición con capacidad máxima de riesgo
· Menor nivel de detalle · Menor debate en niveles ejecutivos
· Mayor complejidad en la definición y · Menos convergencia con los requisitos de
cuantificación los grupos de interés
En general, el enfoque descendente es más recomendable para llevar a cabo la implanta-
ción del modelo, al crear una actitud proactiva en el establecimiento de lo que la direc-
ción considera que debe ser el apetito de riesgo de la organización, pero para ser comple-
to debe complementarse con un reporte basado en un enfoque ascendente.
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
En COSO se especifica Por último, conviene recordar que existen distintos marcos de referencia en relación a los
que el apetito de riesgo sistemas de gestión de riesgos y la fijación del apetito (cuyo nivel de exigencia varía de-
y la tolerancia al riesgo, pendiendo de su naturaleza) y que pueden ser de ayuda en el proceso de implantación.
junto a la fijación de Así, existen exigencias de carácter obligatorio y otras, en cambio, recogen mejores prácti-
objetivos, son cas internacionalmente aceptadas.
precondiciones
necesarias para el Carácter obligatorio
establecimiento de un
efectivo sistema de - Marco regulador para entidades bancarias (Basilea)
control interno. - Marco regulador para entidades aseguradoras (Solvencia II)
Mejores prácticas
- Disposiciones de la Organización para la Cooperación y el Desarrollo Económico (OCDE)
- Committee of Sponsoring Organization of the Treadway Commission (COSO)
- International Organization for Standardization (ISO)
- British Standard 31100
- The Institute of Risk Management
- En España: Código Unificado de Buen Gobierno Corporativo (Código Conthe)
Cada empresa deberá asegurar un adecuado conocimiento y cumplimiento de la normati-
va aplicable, que dependerá de la naturaleza de sus operaciones.
Considerado todo lo anterior, los pasos previos que deben tenerse en cuenta a la hora de
implantar el apetito de riesgo como parte integrante del sistema de gestión de riesgos de
una organización son los siguientes:
6. Comunicación, actividades
de control y supervisión
4. Asignación niveles de riesgo
2. Establecimiento de Principios 5. Metodología de cálculo
3. Descripción organizativa
1. Definición marco estratégico
Implantación del Modelo de Gestión de Riesgos
12
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
En definitiva, desarrollar el apetito de riesgo no es un fin en sí mismo, ni debe consumir El apetito de riesgo
una cantidad desproporcionada de recursos. Cada organización deberá analizar su coste- transforma métricas y
beneficio y decidir si está justificada su implantación, así como el nivel de sofisticación métodos de evaluación
que desea utilizar para sustentar el proceso de determinación de su apetito de riesgo. de riesgos en decisiones
Bien definido y adecuadamente utilizado, el apetito de riesgo transforma métricas y méto- de negocio y reporte y
dos de evaluación de riesgos en decisiones de negocio y reporte. Además, establece los lí- ayuda a optimizar la
mites que forman un vínculo dinámico entre estrategia, objetivos y gestión de riesgos, lo consecución de
que ayuda a optimizar la consecución de resultados y la creación de valor en las organiza- resultados y la creación
ciones. de valor en las
organizaciones.
Apetito de Riesgo · VENTAJAS
Estrategia · Mejorar la planificación estratégica.
· Aumentar la efectividad del proceso de toma de decisiones.
· Desarrollar esquemas de seguimiento y medición del desempeño
más eficientes, completos y justos
Operaciones · Mejorar el análisis coste-beneficio de las decisiones.
· Asignar recursos de forma más eficiente.
Información · Comunicar la actitud de la alta dirección frente al riesgo.
· Considerar todos los grupos de interés y sus preferencias.
· Desarrollar un sistema de reporte integrado.
· Crear una comunicación basada en pautas comunes.
Cumplimiento · Cumplir con la legislación y las mejores prácticas de gestión.
· Mejorar la transparencia.
· Implantar una cultura de gestión de riesgos.
13
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
Introducción
Para garantizar una La gestión de un negocio consiste en tomar una organización, es importante que se diseñe
eficiente implantación decisiones y asumir riesgos. Las empresas tie- como un proceso integrado, como un elemen-
de un sistema de nen como fin último la creación de valor, para to esencial dentro de su estrategia. Así, resulta
gestión de riesgos en lo que, y en base a un análisis de riesgos, es- fundamental que la compañía conozca cuánto
una organización, es tablecen sus objetivos y su enfoque estratégi- riesgo está dispuesta a asumir en la persecu-
importante que se co a corto, medio y largo plazo. En esa bús- ción de sus objetivos y cómo quiere equilibrar
diseñe como un queda de creación de valor, los órganos res- riesgos y oportunidades. Por todo esto, la defi-
proceso integrado, ponsables de la entidad deben plantearse nición del apetito de riesgo es un elemento
como un elemento cuánto riesgo desean asumir, de forma que se clave de un sistema integral de gestión de
esencial dentro de su optimice el binomio riesgo-rentabilidad. La riesgos (ERM, Enterprise Risk Management).
estrategia. gestión de riesgos debe formar parte de la
cultura de una empresa, estar embebida en el Por ello, cuando los órganos responsables de
día a día de su operativa y ser asumida, difun- una organización (en adelante, se entenderá
dida y compartida por toda la organización. por órganos responsables el Consejo de Admi-
nistración u órganos equivalentes) se plantean
La estrategia organizativa de una empresa, posibles estrategias, deben determinar, en pri-
debe basarse en un proceso continuo de iden- mer lugar, si se alinean con el nivel de apetito
tificación y evaluación de riesgos de acuerdo a de riesgo que desean. De este modo, el apeti-
la política que cada compañía haya definido to de riesgo sirve de guía para la toma de de-
en este sentido. Este proceso exige que la cisiones, la asignación de recursos y el alinea-
compañía analice la adecuación de los riesgos miento de la organización, sus trabajadores y
que se toman con el nivel de riesgo deseado, y los procesos, creando la infraestructura nece-
que establezca planes de acción y medidas de saria para responder eficazmente a los desa-
seguimiento, control y reporte adecuados. fíos, seguimiento y monitorización de los ries-
gos. Por ello, no basta con establecer si un
La gestión de riesgos requiere una definición y riesgo es alto, medio o bajo. Una organización
asignación de roles y responsabilidades en to- debe ir más allá y determinar si es aceptable,
dos los niveles de la organización. Cada per- considerando los beneficios potenciales que
sona debe conocer su papel en la gestión de puede reportar.
riesgos de la compañía para que ayude a la
consecución de los objetivos estratégicos y Cuando es debidamente definido y comunica-
operativos fijados por la alta dirección. do, el apetito de riesgo sirve como guía para
que la dirección fije los objetivos y tome las
Además, para garantizar una eficiente implan- decisiones adecuadas para apoyar las opera-
tación de un sistema de gestión de riesgos en ciones de la empresa y que la organización in-
14
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
cremente la probabilidad de alcanzar sus ob- nearlos con la estrategia de la compañía y és-
jetivos. tos deben variar con el transcurso del tiempo
y la dinámica del negocio, al igual que lo ha-
En definitiva, la gestión de riesgos es un con- cen los objetivos y estrategia de la compañía.
cepto que debe estar integrado en la fijación
de la estrategia, la planificación o las decisio- Por último, la determinación y uso del apetito
nes que se toman en el día a día de la organi- de riesgo de una organización debe entender-
zación. Debe ser parte de la cultura y una pieza se como un elemento de buen gobierno hacia
clave en la toma de decisiones para la conse- los grupos de interés y que, por tanto, los ges-
cución de los objetivos, ya sean de cada área o tores deben asumir como necesario.
del conjunto. Por ello las organizaciones han
de considerar su apetito de riesgo en el mo- DEFINICIONES
mento en que deciden sobre sus objetivos.
Las definiciones del apetito de riesgo varían
La determinación de ese apetito de riesgo dependiendo del contexto en el cual se de-
comprende tres etapas: sarrolle, considerando aspectos como el sec-
1. Definición tor de actividad, las diferentes perspectivas de
2. Implantación y comunicación los grupos de interés o los tipos de riesgo que
3. Monitorización y actualización periódica. existan.
La mayoría de las organizaciones tienden a Por otro lado, existen términos como la tole- La definición del apetito
definirlo en términos cuantitativos, si bien, ca- rancia al riesgo o la capacidad de riesgo, muy de riesgo es un
da vez es más importante incluir elementos relacionados con el apetito y que en ocasio- elemento clave de un
cualitativos,en línea con las últimas tenden- nes pueden llevar a confusión. sistema integral de
cias en reporte integrado. Promovidas por el gestión de riesgos
International Integrated Reporting Council Adicionalmente, existen distintos marcos de (ERM, Enterprise Risk
(IIRC), estas tendencias abogan por un repor- referencia que definen los conceptos clave co- Management).
te corporativo que incluya información sobre mo el apetito, la tolerancia y la capacidad,
estrategia, gobierno, comportamiento, pers- desde enfoques que pueden no ser exacta-
pectivas de la organización y la conexión con mente equivalentes1. A continuación se resu-
su contexto económico, social y ambiental. men los principales conceptos y definiciones
Por tanto, la discusión sobre el apetito de que se pueden encontrar en los marcos meto-
riesgo, además de variables financieras, con- dológicos más usados en materia de gestión
templará conceptos como: reputación y mar- de riesgos:
ca, sostenibilidad y medioambiente, gobierno
corporativo, cumplimiento, recursos humanos, COSO
etc.
De acuerdo a lo establecido por el nuevo mo-
Debe tenerse en cuenta que no es un concep- delo para la práctica de control interno, ac-
to individual fijo que pueda estandarizarse. tualizado en mayo de 2013, se define el con-
Cada compañía debe establecer su apetito de cepto de apetito de riesgo como el riesgo
riesgo para los diferentes tipos de riesgo y ali-
1. Para más detalle sobre los marcos de referencia existentes consultar el apartado “Marcos de referencia” del presente
documento (Página 31).
15
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
que se está dispuesto a aceptar en la bús- riesgo, como la cantidad de riesgo, desde un
queda de la misión/visión de la entidad. Es punto de vista amplio, que una organización
así, un hito más en la fijación de la estrategia está dispuesta o desea aceptar en la persecu-
y los objetivos. ción de valor.
Tolerancia al riesgo British Standard 31100
Se define como el nivel aceptable de varia-
ción en los resultados o actuaciones de la El British Standard 31100 sobre “Gestión de
compañía relativas a la consecución o logro Riesgo” se refiere al apetito como la canti-
de sus objetivos. dad y tipo de riesgo que una organización
esta preparada para afrontar, aceptar o to-
Dicho de otro modo, la tolerancia es la canti- lerar. Esta definición resulta más ambigua al
dad máxima de un riesgo que una organiza- no diferenciar claramente entre apetito y tole-
ción está dispuesta a aceptar para lograr su rancia al riesgo.
objetivo. Se refiere a lo que una empresa se
puede permitir gestionar. Riesgos que, en ca- ISO
so de aparecer, la compañía tiene que ser ca-
paz de soportar. · ISO 31000, “Gestión del riesgo. Principios
y directrices”
COSO define el apetito Capacidad de riesgo La norma ISO 31000, en cambio no habla
de riesgo como el Hace referencia en cambio a la cantidad y ti- explícitamente del apetito de riesgo, sino
riesgo que se está po de riesgo máximo que una organización que lo trata indirectamente en relación con
dispuesto a aceptar en es capaz de soportar en la persecución de los conceptos de creación de valor y “acti-
la búsqueda de la sus objetivos. tud ante al riesgo” que define como el en-
misión/visión de la foque de la organización para evaluar y
entidad. Usando el ejemplo de un banco, se podría de- eventualmente buscar, retener, tomar o ale-
cir que su apetito es el nivel de riesgo que la jarse del riesgo.
Baja entidad está dispuesta a aceptar para acceder
a cierto nivel de rentabilidad. En cambio, su También usa el concepto “criterios del
capacidad se refiere a cuánto riesgo puede riesgo” como el término de referencia
asumir sin quebrar. frente al cual se evalúa la importancia de
un riesgo.
“Marco Integrado de Gestión de Riesgos”
de COSO · Guía 73 de ISO “Guía de Gestión de ries-
go - Vocabulario”
El “Marco Integrado de Gestión de Riesgos” Por otro lado, la Guía 73 de ISO” (surgida a
de COSO define únicamente el apetito de raíz de la ISO 31000 y consistente en un
glosario de términos relativos a la gestión
Alta de riesgos) define el apetito como la canti-
dad y tipo de riesgo que una organiza-
Exposición ción desea retener o perseguir.
Apetito de riesgo
Tolerancia al riesgo
Capacidad de riesgo
16
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
En definitiva, el concepto de apetito de riesgo no está asumiendo más riesgo del que debe-
hace referencia a perseguir el riesgo, o dicho ría, considerando los objetivos que persigue.
de otro modo, a la cantidad agregada de ries-
go que la empresa activamente quiere o está Cada empresa persigue varios objetivos al
dispuesta a asumir, para la obtención de va- mismo tiempo para agregar valor a sus gru-
lor. Dada su relevancia y las implicaciones a pos de interés. En términos generales, debería
nivel estratégico que conlleva, debe ser un entender el apetito de riesgo como el riesgo
concepto definido por el máximo órgano res- que desea tener, siempre que esté bajo con-
ponsable de la organización. trol, para lograr sus objetivos.
Como se habrá podido apreciar, los términos Por ello, las organizaciones deben verificar Dada la relevancia y las
apetito y tolerancia con frecuencia se usan de que el riesgo asumido en cada momento está implicaciones a nivel
forma indistinta, y aunque efectivamente son dentro de los límites que marca su apetito, estratégico que
términos relacionados, se refieren a conceptos evitándose que se acerque al nivel de toleran- conlleva el apetito de
diferentes aunque complementarios. Una em- cia establecido. En caso de hacerlo, deberán riesgo, debe ser un
presa quiere estar segura de que asume el su- tomarse medidas para reducirse la exposición concepto definido por
ficiente riesgo para poder conseguir sus obje- a ese riesgo lo antes posible, evitando llegar el máximo órgano
tivos, pero, al mismo tiempo, desea saber que al límite marcado por su capacidad. responsable de la
organización.
Exposición Capacidad de riesgo
El riesgo excede los límites
El riesgo excede los de riesgo tolerables
límites deseables
Tolerancia al riesgo
Apetito de riesgo
La organización puede asumir más
riesgo para optimizar su rendimiento
Tiempo
Usando un ejemplo sencillo como la velocidad a la que circula un coche, podría decirse que el coche ad-
mite una velocidad máxima de 200 Km/h, o que su capacidad es de 200 Km/h. Pero su conductor, te-
niendo en cuenta su habilidad para conducir, el tipo de vía, la climatología y las prestaciones del vehículo
toleraría ir a un máximo de 160 km/h. Aun así, considerando que su objetivo es llegar a su destino lo
antes posible pero de forma segura, decide conducir a 110Km/h, ya que es la velocidad que le permite
hacer el recorrido respetando los límites establecidos, en un tiempo adecuado y sintiéndose confortable
en la conducción. Este sería, por tanto, su nivel de apetito.
17
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
A continuación se muestra un resumen de los tres conceptos definidos, usando el caso de una
Empresa A, que debe decidir sobre una puja en un concurso para la adjudicación de una licencia
de explotación X:
CONCEPTO ¿A QUÉ HACE REFERENCIA? EJEMPLO
Apetito Nivel de riesgo que la empresa quiere La empresa A quiere pagar un precio máximo por la licencia de 20 millones de €.
aceptar, aquel con el que se siente Comienza la subasta y ofrece 10 millones de €. Esta cifra está dentro de los límites
cómoda.
de riesgo que desea asumir, considerado el objetivo que persigue y el beneficio
esperado de la explotación de esa licencia.
Capacidad Tolerancia Desviación respecto al nivel en el que La subasta continúa y tras varias pujas un competidor ofrece 24 millones de €.
la empresa se siente cómoda. Sirve de La empresa debe decidir si hacer una oferta superior, sobrepasando el nivel que
alerta para evitar llegar al nivel que deseaba pagar inicialmente (20 millones de €). Finalmente puja por 25 millones
de € y asume un riesgo que estaría por encima del nivel que deseaba asumir.
establece su capacidad.
Nivel máximo de riesgo que la La subasta continúa y otro competidor llega hasta 29 millones de €. La empresa A
empresa puede soportar. sabe que los recursos máximos con los que cuenta son 30 millones de €. Si puja
asumirá el máximo riesgo que sus actuales recursos le permiten, quedándose al
límite de sus recursos, por lo que decide no seguir pujando.
Como se puede apreciar, la terminología puede variar ligeramente dependiendo del marco utiliza-
do pero la esencia de los conceptos clave en todos ellos es similar.
CONSIDERACIONES PARA LA DETERMINACIÓN DEL APETITO DE
RIESGO
Hasta ahora hemos comentado algunos con- órganos de responsabilidad y debe estar
ceptos generales relativos a la gestión de ries- vinculado a la estrategia de la compañía.
gos en lo que a niveles de tolerancia y apetito Por ello es necesario entender bien los ob-
de riesgo se refiere. Si bien la claridad en los jetivos definidos por la compañía y los ries-
conceptos es el punto de partida necesario gos que en cada caso tienen asociados.
para la adecuada determinación del apetito
de riesgo de una compañía, igualmente es - Para definir el apetito de riesgo, es impor-
deseable tener en cuenta una serie de consi- tante tener en cuenta las expectativas de
deraciones generales, que son clave para ges- los inversores, reguladores y otros grupos
tionar con éxito este proceso. Aunque algunas de interés. Especialmente considerando que
de ellas ya han sido señaladas, a continuación cada grupo tiene diferentes preferencias
se incluye un breve resumen que puede ser de respecto al apetito de riesgo. El de los in-
utilidad para el lector: versores es distinto al de las agencias de
rating y éste es distinto al de los deudores
- En primer lugar, la organización en su con- o al del público en general. Por ello, debe
junto debe entender que determinar el ape- garantizarse un equilibrio adecuado en la
tito de riesgo corresponde a sus máximos gestión de las expectativas de todos ellos. A
18
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
menudo la dirección comete el error de diferente en una operación de puesta en Es clave asegurar una
centrarse en el apetito de riesgo de un gru- marcha en un nuevo mercado si se compa- adecuada medición de
po de interés, sin dar suficiente peso al de ra con el asociado al mantenimiento de un los niveles de apetito,
los demás grupos. negocio ya establecido en un mercado ma- tolerancia y capacidad
duro, y así sucesivamente. de cada empresa,
- No existen estándares ni un valor único y porque sirven como
adecuado para el apetito y/o la tolerancia - Los órganos responsables de la compañía base para la toma de
al riesgo. Cada compañía debe establecer deben comunicar el apetito de riesgo a to- decisiones estratégicas.
sus niveles propios, aquellos que mejor se da la organización, para conseguir que se
adecúen a su realidad en cada momento y embeba en la gestión diaria de la empresa.
al perfil de riesgo que se desea con varia-
bles tanto cualitativas como cuantitativas. - Es clave asegurar una adecuada medición
de los niveles de apetito, tolerancia y capa-
- Es conveniente vincular el apetito a la ca- cidad de cada empresa, porque sirven co-
pacidad de riesgo de la organización y a la mo base para la toma de decisiones estra-
cultura de riesgo existente. La posición en tégicas de la empresa. Los errores en su
términos de cultura, estrategia y competiti- cálculo pueden inducir a una toma de deci-
vidad tiene influencia en el apetito de ries- siones incorrecta.
go, de forma que diferentes empresas ten-
drán diferentes tolerancias para los diferen- - La tolerancia debe servir como indicador
tes tipos de riesgo que gestionan. Además, que informe a la empresa si puntualmente
dentro de una organización, el apetito de- se está asumiendo un nivel de riesgo por
bería diferir entre las distintas unidades de encima del deseado pudiendo así recondu-
negocio. Por ejemplo, el apetito de riesgo cir la situación. Además debe servir como
de un banco por el riesgo de crédito en cré- alerta para evitar llegar a niveles que supe-
ditos al consumo puede ser muy diferente a ren la capacidad de la empresa, exponién-
su apetito de riesgo de mercado en sus dola a riesgos que no podría soportar en
operaciones de banca de inversión. caso de materializarse.
- El desarrollo del apetito de riesgo no es un La consideración de estos principios durante
fin en sí mismo, ni debe consumir una can- el proceso de definición y gestión del apetito
tidad desproporcionada de tiempo y/o re- de riesgo de cualquier compañía, ayudará a
cursos. Es importante garantizar siempre el lograr una mejor consecución de los resulta-
mantenimiento de un equilibrio adecuado dos esperados.
entre coste-beneficio en la definición e im-
plantación de los sistemas de gestión de Alinear Personalizar
riesgos de las empresas. con la estrategia para la compañía
- El apetito no es algo estático, debe revisar- Alinear 8 CLAVES DE ÉXITO Alinear con las
se de forma continua y monitorizarse, y se con la capacidad y expectativas de los
puede diferenciar entre corto y largo plazo, la cultura de riesgo PARA DEFINIR
dado que los niveles en cada caso pueden EL APETITO DE RIESGO stakeholders
variar. Es fundamental tener una visión Medir
multidimensional y equilibrada del apetito adecuadamente para Comunicar
de riesgo y actualizarla periódicamente. El toma de decisiones internamente
apetito de riesgo de la alta dirección será (top down)
Adecuar equilibrio Revisar
coste/beneficio continuamente
19
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
Usos del Apetito de Riesgo
El apetito de riesgo, APLICACIONES Y VENTAJAS riesgo aceptables para las diferentes catego-
concretado en niveles rías de riesgo afrontadas por la organización.
de riesgo aceptables, Como se ha explicado, los sistemas de ges-
permite articular un tión de riesgos tienen como finalidad ayudar Asimismo, el apetito de riesgo resulta una he-
sistema efectivo de a que los objetivos de una organización se rramienta eficaz para la asignación de res-
alertas y de gestión de cumplan: facilitan la toma de decisiones y ponsabilidades sobre los diferentes riesgos
la actividad realizada. mantienen los riesgos afrontados dentro de soportados. Permite instrumentar una escala
unos límites razonables. Esa razonabilidad de delegación de responsabilidades y de ges-
viene determinada por el apetito de riesgo. tión para los distintos riesgos, desde los nive-
les inferiores de la organización a los superio-
El apetito de riesgo es un elemento de ges- res, en función de cómo se sitúe la exposición
tión que aporta a la organización ciertas ven- de los riesgos respecto al apetito fijado.
tajas. Éstas se detallan a continuación, según
los cuatro objetivos marcados en el estándar En ese sentido, las VENTAJAS que aporta son:
de gestión de riesgos COSO II: estrategia,
operaciones, información y cumplimiento. - Mejorar la planificación estratégica. La la-
bor de identificar cuánto riesgo puede so-
1. Estrategia portar una organización requiere que los
responsables entiendan las restricciones y
Este nivel de objetivos se refiere al conjunto capacidades para asumir riesgos que tiene
de decisiones que toma la organización para la compañía, tanto internas como externas
lograr su misión. Aquí la utilidad esencial del y que diferencien las estrategias que son
apetito de riesgo es ayudar a alinear los obje- asumibles para la organización de las que
tivos de la organización con su perfil de ries- no. Ayuda a diferenciar los riesgos que son
go, entendido éste como el enfoque global asumibles por la organización de los que
que la organización desea dar a su gestión de no lo son, por lo que –en suma– posibilita
riesgos. De esta forma ayuda a la organiza- una planificación dinámica e integrada.
ción a diferenciar los riesgos que son asumi-
bles de los que no. El apetito de riesgo inte- - Aumentar la efectividad del proceso de
gra la gestión de riesgos en la toma de deci- toma de decisiones. El apetito de riesgo se
siones operativas, ya que se concreta de for- determina por diversas variables que in-
ma consistente en tolerancias y límites de teractúan entre ellas como la estrategia
competitiva y de financiación, los grupos de
interés y la cultura de riesgo. Esa recopila-
20
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
ción y procesamiento de datos aumenta la bles en la toma de decisiones, impide pen-
información relevante en la toma de deci- sar únicamente en las ventajas de una deci-
siones y mejora los resultados del proceso. sión obviando sus riesgos.
- Desarrollar esquemas de seguimiento y - Asignar recursos de forma más eficiente.
medición del desempeño más eficientes, La definición de límites de riesgo asumibles
completos y justos al considerar el binomio permite evaluar si los efectos previstos es-
rentabilidad/riesgo en la evaluación del tán dentro de los intervalos marcados e
desempeño. identificar posibles desviaciones. En un con-
texto de recursos limitados, el apetito de
2. Operaciones riesgo ayuda a definir dónde se producen
las mayores desviaciones con respecto a los
El apetito de riesgo es una variable que ayuda límites aceptables y dedicar recursos a solu-
a la gestión de riesgos en los procesos opera- cionar dichas desviaciones.
tivos de las organizaciones: integra los riesgos
en la toma de decisiones operativas. Es defini- 3. Información
do a alto nivel en la organización y debe con-
cretarse de forma consistente en límites de El informe COSO II incluye la información fi- El establecimiento del
riesgo aceptables para las diferentes categorí- nanciera y no financiera, la interna y la exter- apetito de riesgo tiene
as de riesgo afrontadas. Esos límites se deben na, en una consideración global de la infor- importantes
comunicar e integrar en el día a día de las mación. Las organizaciones, cada vez más, consecuencias en
distintas áreas. Determinarán los comporta- afrontan mayores requerimientos en este sen- términos de la
mientos y variables aceptables de desempe- tido por parte de todos sus grupos de interés, información para la
ño. se demanda mayor rapidez, claridad y trans- dirección, así como
parencia. para la medición y
En este ámbito de objetivos operativos, resul- reporte de los riesgos.
tan especialmente útiles los indicadores de El apetito de riesgo permite identificar los
riesgo (Key Risk Indicators) que se basan en la eventos relevantes para una organización en
identificación de variables correlacionadas términos de potenciales riesgos, y comunicar-
con los riesgos y que permiten realizar una los a las partes que demanden dicha informa-
identificación, seguimiento y respuesta frente ción.
a los mismos. El apetito de riesgo, concretado
en niveles de riesgo aceptables, permite arti- Internamente, el apetito de riesgo permite
cular un sistema efectivo de alertas y de ges- crear una estructura de reporte clara. En fun-
tión de la actividad realizada. ción del nivel de exposición y de dónde se si-
túe el límite aceptable de los riesgos, éstos se
Las principales VENTAJAS en este caso son: reportarán a un nivel organizativo u otro.
- Mejorar el análisis coste/beneficio de las El establecimiento del apetito de riesgo tiene
decisiones. En mercados eficientes, las de- importantes consecuencias en términos de la
cisiones con mayores retornos esperados información para la dirección, así como para
implican una asunción de mayores riesgos. la medición y reporte de los riesgos. Será ne-
El apetito d riesgo combina ambas varia-
21
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
Frente a un enfoque cesario adaptar la información de gestión pa- asegurar que los riesgos se hagan explíci-
basado en el uso de ra permitir el seguimiento de los riesgos y su tos.
información detectiva y consideración respecto al apetito a lo largo de
pasiva, la información la organización, enriqueciendo los reportes - Considerar todos los grupos de interés y
de medidas e existentes con esta variable de gestión y ar- sus preferencias. El apetito de riesgo debe
indicadores anticipados monizando las estructuras de roles, responsa- combinar las preferencias de todos los gru-
permite aportar más bilidades y límites de decisión existentes. pos de interés de la organización (emplea-
valor y ayuda a adoptar dos, accionistas, deudores, reguladores
las acciones Una cuestión fundamental es la identificación etc.). La actitud respecto al riesgo y el perfil
preventivas necesarias. y explotación de los datos de los principales de riesgos es muy diferente en cada grupo,
indicadores para tomar acciones preventivas, por lo que un apetito de riesgo común de-
que posibiliten no exceder el apetito o no su- be aunar las restricciones y preferencias de
perar los límites establecidos. Frente a un en- todos los grupos.
foque basado en el uso de información detec-
tiva y pasiva, la información de medidas e in- - Crear una comunicación basada en pau-
dicadores anticipados permite aportar más tas comunes para todos los grupos. El
valor y ayuda a adoptar las acciones preventi- apetito de riesgo mejora el diálogo entre la
vas necesarias. alta dirección y las áreas de negocio y ayu-
da a fijar un lenguaje común y magnitudes
Además, la información de riesgos debe inter- compartidas por todos los grupos de inte-
pretarse de forma dinámica, por ejemplo, un rés, lo que favorece un mejor entendimien-
incremento en la exposición de un determina- to y comunicación. Es una pauta de comu-
do riesgo, implicará una disminución en el nicación común a todos los grupos de inte-
apetito de riesgo de otros. El grado de flexibi- rés.
lidad concedido a los gestores de riesgos de-
penderá claramente de la calidad y madurez - Desarrollar un sistema de reporte integra-
del sistema de gobierno y control de riesgos do (Integrated reporting). Para ello, un pa-
de la entidad. so esencial es determinar los riesgos mate-
riales (tanto negativos como positivos) que
EL APETITO DE RIESGO PERMITE: impactan en una organización a la hora de
crear o destruir valor. Esa materialidad pue-
- Hacer explícita la actitud de la alta direc- de estar fijada por el apetito de riesgo, por
ción frente al riesgo. Resulta, por tanto, lo que sustenta una aproximación integral
una manera adecuada de discernir clara- a los riesgos.
mente los riesgos y decisiones asumibles de
las que no lo son. Una discusión abierta so- 4. Cumplimiento
bre cuál es el apetito de riesgo es una for-
ma apropiada de involucrar a los diferentes Los reguladores e instituciones exigen que las
responsables de la organización en temas organizaciones desempeñen su actividad den-
estratégicos y de gestión de riesgos. El ape- tro de la legalidad y con una adecuada trans-
tito de riesgo fuerza el debate y ayuda a parencia de sus actividades. Cada día se exige
22
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
mayor responsabilidad en el comportamiento - Implantar una cultura de gestión de ries-
de las organizaciones y el apetito de riesgo gos. Un diálogo abierto sobre el apetito de
ayuda a determinar responsable y consciente- riesgo debe trasladarse a una definición de
mente aquello que pueden y no pueden ha- tolerancias y límites de riesgo asumibles en
cer. Se debe recordar que en todos los meca- cada actividad y ayudar a integrar la ges-
nismos de control y cumplimiento, es impor- tión de riesgos en el día a día de todos los
tante asegurar que los costes de su implanta- niveles organizativos.
ción sean inferiores a los beneficios que re-
portan, y en el caso del apetito de riesgo, al El apetito de riesgo es un elemento esencial
igual que en el resto, su implantación debe de un sistema de gestión de riesgos. Permite
ser eficiente. a una organización identificar cómo se ade-
cúan las decisiones para lograr los objetivos
Adicionalmente, como se detalla más adelan- de acuerdo a su perfil de riesgo y, en caso de
te, en 2004 la OCDE emitió los Principios de existir desviaciones, gestionarlas de forma efi-
Buen Gobierno que fijaban la necesidad de ciente y oportuna.
que las organizaciones gestionen sus riesgos
conscientemente, sabiendo lo que una organi- Apetito de Riesgo · VENTAJAS
zación está dispuesta a asumir. Desde enton-
ces, la legislación refleja esta demanda social. Estrategia · Mejorar la planificación estratégica.
En España, la Ley de Economía Sostenible
(2011) exige que las sociedades cotizadas · Aumentar la efectividad del proceso de toma de decisiones.
proporcionen información sobre sus sistemas
de control de riesgos en su “Informe Anual de · Desarrollar esquemas de seguimiento y medición del desempeño
Gobierno Corporativo”. más eficientes, completos y justos
Por todo ello, las VENTAJAS de disponer de Operaciones · Mejorar el análisis coste-beneficio de las decisiones.
un apetito de riesgo definido, para los objeti- · Asignar recursos de forma más eficiente.
vos de cumplimiento son:
Información · Comunicar la actitud de la alta dirección frente al riesgo.
- Cumplir con la legislación y las mejores · Considerar todos los grupos de interés y sus preferencias.
prácticas de gestión exigidas por los re- · Desarrollar un sistema de reporte integrado.
guladores. Cada vez más sectores incorpo- · Crear una comunicación basada en pautas comunes.
ran requerimientos de responsabilidad y
transparencia en relación con la gestión de Cumplimiento · Cumplir con la legislación y las mejores prácticas de gestión.
riesgos. El apetito permite a una organiza- · Mejorar la transparencia.
ción ser consciente de sus riesgos y repor- · Implantar una cultura de gestión de riesgos.
tar aquéllos relevantes.
- Mejorar la transparencia de las organiza-
ciones respecto a su gestión de riesgos,
puesto que delimita los eventos relevantes.
23
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
El apetito de riesgo es SECTORES DONDE SE UTILIZA ble. Los marcos suelen hacer referencia a la
una pieza esencial EL APETITO DE RIESGO necesidad de que el apetito de riesgo tenga
dentro de los sistemas una relación clara con el capital de la organi-
integrales de gestión de La aversión al riesgo ha sido un tema tradicio- zación y que el apetito se alinee con su estra-
riesgos (ERM), que nal en la teoría microeconómica, centrado en tegia.
ayudan a la cómo las condiciones de incertidumbre afec-
sostenibilidad de las tan a los procesos de toma de decisiones. Solvencia II, por ejemplo, requiere que las EN-
organizaciones. Desde el S. XVI se han producido aportacio- TIDADES ASEGURADORAS realicen una au-
nes en este campo que se han intensificado toevaluación interna de sus riesgos y de su
significativamente en el S.XX, con las teorías solvencia (ORSA), teniendo en cuenta el perfil
de J. Von Neumann, Morgenstern, Arrow, de riesgo específico, sus límites de tolerancia
Beck, etc. al riesgo aprobados por el Consejo de Admi-
nistración, su estrategia comercial y la medida
La aplicación del apetito de riesgo en la ges- en que el perfil de riesgo de la empresa se
tión de organizaciones está generalizándose desvía del capital de solvencia obligatorio.
como parte esencial de los sistemas integrales
de gestión de riesgos (ERM) cada vez más co- Basilea, relativo a la BANCA, se centra en el
munes en todos los sectores de actividad, riesgo que una entidad está dispuesta a asu-
aunque su enfoque y nivel de desarrollo va- mir dada su capacidad de riesgo, relacionada
rían dependiendo de su naturaleza. ésta con la base de capital, la liquidez y otras
restricciones regulatorias o de solvencia. La
Sectores Regulados definición del apetito de riesgo de este marco
conceptual, permite a las entidades financie-
En sectores regulados, como el FINANCIERO, ras fijar métricas cuantitativas como capital
compuesto por entidades de crédito, de inver- económico, límites de concentración de ries-
sión y aseguradoras, esta tendencia es espe- gos, rentabilidad ajustada al riesgo (RAROC),
cialmente marcada. Este sector ha constituido ratio de fondos de máxima calidad (Tier 1),
tradicionalmente el campo de actividad en el pérdidas esperadas, exposición a eventos ex-
que se han aplicado técnicas y elementos tremos, etc. El apetito de riesgo posibilita un
cuantitativos de gestión de riesgos que han enfoque proactivo para la distribución de su
permitido un cálculo exacto de los potenciales capital, un desarrollo de medidas cuantitati-
riesgos. Adicionalmente, los estándares regu- vas de riesgos, un mejor gobierno corporativo,
latorios en dicho sector, han destacado la ne- una mayor transparencia e información más
cesidad de adecuación del capital de las orga- oportuna y efectiva. Estas presiones regulato-
nizaciones a los riesgos asumidos en su acti- rias, así como un mayor enfoque en el gobier-
vo, para garantizar la viabilidad de dichas en- no corporativo en los últimos años, han servi-
tidades. do de estímulo para muchos cambios en la in-
dustria financiera, como el reconocimiento de
Por ello, estándares regulatorios como Basilea la necesidad de articular el apetito de riesgo
para la banca o Solvencia II para el sector por las entidades de forma más clara.
asegurador están incidiendo en la convenien-
cia de que las organizaciones establezcan y En el sector financiero, el apetito de riesgo es
comuniquen de forma explícita su apetito de un input importante para la determinación del
riesgo, midan su exposición a los riesgos, capital económico que, a su vez, condiciona
aseguren que ésta sea acorde a su apetito y las necesidades globales de capital. El capital
que éste es coherente con el capital disponi- económico, por lo general, desempeña un pa-
pel clave en la cuantificación de los riesgos y
24
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
en integrar el apetito de riesgo en la infraes- La identificación de medidas para los riesgos Los criterios utilizados
tructura operativa del negocio. Estas metodo- asumibles se aplica en diversos ámbitos. Es- por los índices
logías ofrecen una herramienta para cuantifi- tándares de gestión de riesgos de seguridad bursátiles específicos de
car el riesgo y comprender mucho mejor la re- de la información como MAGERIT3 o ISO sostenibilidad en
lación entre riesgo y rentabilidad. 27005 definen la necesidad de fijar umbrales empresas cotizadas
para atender a los riesgos aunque no concre- para valorar qué
Sectores No Regulados tan específicamente medidas o formas de ha- empresas son las más
cerlo. responsables, se centran
Los sectores de actividad en los que no existe en las prácticas en
una regulación al respecto tan específica, Por otro lado, el SECTOR PÚBLICO está ha- materia de gestión y
presentan una evolución menos sofisticada ciendo esfuerzos por evolucionar hacia mode- control de riesgos que
del apetito de riesgo, se centran en especifi- los de gestión de riesgo ligados a estándares aplican.
caciones cualitativas que resultan adecuadas como ISO 31000. No obstante, la implanta-
para riesgos más generales, como por ejem- ción de procesos de gestión de riesgos y de
plo el reputacional. medidas específicas en este sector es todavía
incipiente.
En los sectores relacionados con industrias
donde la seguridad y fiabilidad de las opera- Independientemente del sector de actividad,
ciones es importante (por ejemplo ALIMEN- los sistemas integrales de gestión de riesgos
TACIÓN, SANIDAD o TRANSPORTE) se ha (ERM) se aplican cada vez en más ámbitos. El
desarrollado el concepto de apetito de riesgo, apetito de riesgo es una pieza esencial dentro
aunque centrado en riesgos operativos, como de estos sistemas que, de forma generalizada,
los de seguridad física de empleados, clientes, se reconocen como una buena práctica de
fraude o las vulnerabilidades de los sistemas, gestión y ayudan a la sostenibilidad de las or-
y en aspectos de cumplimiento o segregación ganizaciones (entendida ésta como la capaci-
de funciones, que tienen umbrales de toleran- dad de crear valor a lo largo del tiempo). Un
cia pequeños y donde el análisis se basa en reconocimiento de estas ventajas son los índi-
determinar el coste de la exposición a los ries- ces bursátiles específicos de sostenibilidad en
gos frente al coste de los controles por im- empresas cotizadas como el Dow Jones Sus-
plantar. La gestión de este tipo de riesgos ha tainability Index4 o el FTSE 4Good5, que con-
prevalecido sobre esquemas de gestión y op- sideran que las organizaciones con principios
timización de los riesgos asumidos (oportuni- de gestión responsable pueden proporcionar,
dades). Así, en la industria aeronáutica, por a largo plazo, un retorno a la inversión mayor
ejemplo, el estándar SARPS-ICAO2 de gestión que la media. Sus criterios, para valorar qué
de seguridad se centra en identificar amena- empresas son las más responsables, se cen-
zas y eliminarlas hasta que el riesgo sea tole- tran en las prácticas en materia de gestión y
rable bajo un análisis coste-beneficio. control de riesgos que aplican.
2. SARPS-ICAO, Standards and Recommended Practices. International Civil Aviation Organization
3. MAGERIT, Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Ministerio de Hacienda y Administraciones Pú-
blicas, octubre 2012. ISO 27005, estándar relativo a la gestión de riesgos de seguridad de la información
4. Los índices Dow Jones Sustainability Indexes son una familia de indicadores lanzados en una iniciativa conjunta en 1999 entre S&P y
RobecoSAM, con objetivo de evaluar a las compañías cotizadas más relevantes, con criterios económicos, sociales y medioambientales.
Más información en www.sustainability-index.com/
5. El Financial Times London Stock Exchange for Good es un índice que evalúa el cumplimiento con los objetivos de responsabilidad social
de las empresas cotizadas más grandes. Fue lanzado en 2001 por el grupo FTSE. Más información enwww.ftse.com/Indices/FTSE4Go-
od_Index_Series/index.jsp
25
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
Metodologías
El apetito de riesgo Como se habrá podido apreciar, bien definido, necesario impartir formación adicional o reali-
permite al responsable el apetito de riesgo transforma métricas y mé- zar cambios en el personal pero, en la mayo-
de gestión de riesgos todos de evaluación de riesgos en decisiones ría de las organizaciones, lo que mayor im-
(CRO, Chief Risk Officer de negocio y reporte. Además, establece los lí- pacto suele tener es la implicación de la Alta
o similar) involucrar a mites que forman un vínculo dinámico entre Dirección.
los jefes de las estrategia, fijación de objetivos y gestión de
unidades de negocio en riesgos. En este sentido, las discusiones sobre el apeti-
la definición de los to de riesgo permiten al responsable de ges-
vínculos entre el riesgo ENFOQUES EN LA DEFINICIÓN tión de riesgos (CRO, Chief Risk Officer o si-
y la estrategia. DEL APETITO DE RIESGO milar) involucrar a los jefes de las unidades de
negocio en la definición de los vínculos entre
Las distintas partes de la organización y gru- el riesgo y la estrategia. El proceso también se
pos de interés tienen puntos de vista diferen- puede utilizar para involucrar al Consejo (o
tes, tal como se ha comentado anteriormente, máximo órgano de responsabilidad existente)
por lo que la definición del apetito de riesgo y a directores no ejecutivos. El resultado es un
debe tratar de aunar todas las necesidades marco robusto que puede utilizarse para arti-
existentes. De este modo, la determinación cular el apetito de riesgo a lo largo de una or-
del apetito de riesgo, organizativamente, pue- ganización que tenga en cuenta las necesida-
de definirse con dos enfoques alternativos: de des y perspectivas de los grupos de interés.
manera ascendente o de manera descenden-
te. En este tipo de enfoque descendente se esta-
blece un apetito de riesgo al más alto nivel
1. Enfoque descendente (top-down) organizativo, de aplicación para todo el grupo
o compañía, generalmente en términos cuan-
En la mayor parte de las organizaciones, el titativos. Posteriormente, se va desglosando
apetito de riesgo se establece al más alto ni- dicho apetito a nivel región, división o línea
vel organizativo, alineado con los objetivos de actividad y, consecuentemente, a nivel
estratégicos. Parte de la Dirección y debe ser país, empresa (en caso de grupos empresaria-
validado formalmente por los órganos res- les), área, producto, etc.
ponsables (Consejo y/o Comisión de Audito-
ría). A medida que el apetito de riesgo se comuni-
ca a través de toda la organización (subsidia-
Para cambiar el comportamiento de una orga- rias, divisiones, unidades de negocio, regio-
nización en relación con el riesgo, puede ser nes, países, áreas, etc.), es importante que se
exprese en términos más específicos.
26
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
La siguiente figura ilustra un enfoque global, Otro beneficio del enfoque descendente es
que consiste en la evaluación del apetito de que asegura que la dirección está en conso-
riesgo desde diferentes perspectivas de gru- nancia con el apetito de riesgo. Puede requerir
pos de interés y distintos tipos de riesgo. El una inversión inicial más alta, pero será com-
diseño descendente del apetito de riesgo con- pensada más adelante facilitando el posterior
duce típicamente a una evaluación del perfil desarrollo.
de riesgo deseado y un plan de acción para
lograrlo. Para afrontar este problema multidi- Capacidad Exposición máxima que una
mensional, puede resultar útil comenzar con Apetito de riesgo organización puede asumir
la definición de la capacidad de riesgo, enten- dado su capital, liquidez,
dida como la máxima cantidad de riesgo que
la organización puede asumir. Este es un con- rentabilidad, etc.
cepto importante porque, como se ha indica-
do, el apetito de riesgo se debe establecer en Exposición a los riesgos para
un nivel que esté dentro del límite que marca lograr los objetivos marcados
la capacidad de la empresa. Habitualmente,
los grupos de interés tendrán opiniones dife- para la actividad.
rentes sobre el margen de seguridad deseado
y resultará crucial tenerlo en cuenta en el es- Perfil de riesgo deseado El perfil de riesgo
tablecimiento y comprensión del apetito. Ade- Perfil de riesgo actual es la asignación del apetito
más, es necesario evaluar otros factores como a diferentes categorías de riesgo.
el impacto potencial de un incidente de ries-
go, así como la capacidad de la organización Riesgos Riesgos Riesgos Riesgos
para controlar la actividad. Estos factores cua- Operacionales Estratégicos Financieros de Créditos
litativos, cuando se combinan con la capaci-
dad y medidas de riesgo, permiten articular y Categorías de riesgos: personalizadas para cada negocio
controlar un apetito de riesgo equilibrado.
Adicionalmente, sin una perspectiva descen- Sin una perspectiva
Con carácter general, para definir el apetito dente, hay determinados riesgos, como los re- descendente, hay
de riesgo se recomienda el enfoque descen- putacionales u otro tipo de riesgos transver- determinados riesgos,
dente, ya que recoge los requerimientos de sales a la organización, que podrían no ser te- como los reputacionales
los diferentes grupos de interés y estimula el nidos en cuenta. A veces, el daño a la reputa- u otro tipo de riesgos
debate del equipo ejecutivo. Además, esta ción puede ser causado por un incidente en transversales a la
aproximación está alineada con las mejores una parte de la organización que se contagia organización, que
prácticas en Buen Gobierno Corporativo, co- y provoca daños en otras áreas. Esto puede podrían no ser tenidos
mo el Código Unificado de Buen Gobierno de ser particularmente importante en las institu- en cuenta.
las Sociedades Cotizadas (también llamado ciones financieras, que requieren la confianza
Código Conthe), publicado por la CNMV en de sus depositantes o tomadores para mante-
2006, donde se recomienda que la política de ner su solvencia.
gestión de riesgos de la sociedad incluya la fi-
jación del nivel de riesgo que la sociedad con- 2. Enfoque ascendente (bottom-up)
sidera aceptable, y que ésta sea aprobada por
su Consejo de Administración. La forma más sencilla de definición del apeti-
to de riesgo bajo un enfoque ascendente con-
siste en definir el apetito de riesgo al mínimo
nivel de decisión (por ejemplo, por proceso o
proyecto), para ir ascendiendo en su defini-
27
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
Es importante ción hasta llegar a un apetito consolidado por nación de los requerimientos de capital para
considerar aquellos compañía o grupo empresarial. riesgos “difíciles de cuantificar”, tales como el
elementos del apetito riesgo estratégico, significan que el enfoque
de riesgo que no se En determinadas organizaciones, se sigue un ascendente puede no reflejar la verdadera po-
pueden medir y que, enfoque ascendente, partiendo de informa- sición de riesgo de la organización. De hecho,
por tanto, podrían ser ción de riesgos histórica de la compañía y en el sector financiero muchas compañías tie-
más difíciles de desarrollando modelos estadísticos que inclu- nen grandes dificultades para cuantificar el
gestionar, como los yan, además, factores asociados a la industria capital asociado con el riesgo operacional.
riesgos reputacionales. o al entorno macroeconómico, para crear un
perfil de riesgos teórico. Este perfil de riesgo En conclusión, un enfoque descendente, por
sirve en última instancia a los órganos y res- lo general, funciona mejor que un enfoque as-
ponsables para discutir sobre el nivel de ries- cendente como planteamiento de base para
go que la compañía está preparada para implantar el sistema. Esto se debe a que real-
aceptar, y definir así un apetito de riesgo glo- mente es la forma más efectiva de considerar
bal. las opiniones de los grupos de interés y de
crear una actitud proactiva en el estableci-
Los enfoques ascendentes tienen el inconve- miento de lo que la Dirección considera que
niente de que tienden a apoyar el statu quo y debe ser su apetito de riesgo. Pero una vez se
el perfil de riesgo existente, sin incorporar la haya descendido a lo largo de toda la organi-
visión de futuro. A menudo, el resultado es zación, el enfoque debe completarse con un
una descripción pasiva del apetito de riesgo reporte ascendente, que permita consolidar al
actual en lugar de una actitud proactiva sobre máximo nivel la información de todas las
la dirección hacia la que los órganos respon- áreas, obteniendo una visión global y de con-
sables quieren encaminar a la organización. junto de la situación de la compañía. En defi-
nitiva, pueden considerarse enfoques comple-
Confiar enteramente en modelos ascendentes mentarios, no necesariamente excluyentes.
de determinación del apetito de riesgo puede
no ser recomendable porque la Dirección ne- A continuación, se presenta un resumen las
cesita una visión descendente. Por ejemplo, principales ventajas e inconvenientes de cada
los problemas encontrados en la medición de enfoque.
beneficios de diversificación o en la determi-
TOP-DOWN BOTTOM-UP
VENTAJAS
· Alineación estratégica · Mayor involucración de toda la organización
· Convergencia con la capacidad máxima de · Alto nivel de capilaridad
· Sencillez en la definición, sobre todo para ries-
riesgo
· Estimulación del debate del equipo ejecutivo gos más difíciles de cuantificar
· Alineación con Best Practices
· Explicitación de los requisitos de los Grupos
de interés
INCONVENIENTES
· Menor involucración de niveles operativos en la · Demasiadas interacciones para converger con
definición capacidad máxima de riesgo
· Menor nivel de detalle · Menor debate en niveles ejecutivos
· Mayor complejidad en la definición y · Menos convergencia con los requisitos de los
cuantificación Grupos de interés
28
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
EVALUACIÓN CUANTITATIVA vs riesgo. Por ejemplo, se engloban en esta tipo-
CUALITATIVA DEL APETITO DE logía aquellos riesgos relacionados con in-
RIESGO cumplimientos legales o regulatorios, riesgos
relacionados con la seguridad de los emplea-
De forma muy resumida, podría decirse que la dos, riesgos de fuerte impacto medioambien-
definición de apetito de riesgo puede realizar- tal, etc.
se de dos formas:
En la siguiente figura se muestran los tres
1. Declaraciones cualitativas, que describen componentes teóricos de la definición del
los riesgos específicos de la organización apetito de riesgo.
que está dispuesta a aceptar.
Métricas · Medidas consistentes de riesgos
2. Declaraciones cuantitativas, donde se cuantitativas · Adecuadas para riesgos propios de la actividad
describen los límites, umbrales o indicado- · Ligadas a estrategia y planes de negocio
res clave de riesgo, que establecen cómo Métricas
han de ser juzgados los riesgos y sus be- cualitativas Por ejemplo, volatilidad de ingresos
neficios y/o cómo evaluar y vigilar el im-
pacto agregado de estos riesgos. · Reconocimiento de que no todos los riesgos son
medibles
Asimismo, es importante considerar aquellos
elementos del apetito de riesgo que no se Por ejemplo, para actividades no principales
pueden medir y que, por tanto, podrían ser
más difíciles de gestionar, como los riesgos Riesgos de · Categorías de riesgo con exposición “a evitar”
reputacionales. Podría decirse que éstos son tolerancia cero
los riesgos que pueden beneficiarse más, de Por ejemplo, incumplimientos de normativa legal
ser articulados de una forma clara, incluso si
se realiza en términos cualitativos. No obstan- METODOLOGÍA EN BASE AL
te, las técnicas cuantitativas están mejorando SECTOR
continuamente y en algunos casos pueden
llegar a hacerse aproximaciones razonables. Respecto a la metodología de cálculo para
determinar el apetito de riesgo, las organiza-
La implicación para la gestión es clara: identi- ciones pueden optar por diferentes enfoques,
ficar los riesgos a los que se enfrenta la orga- en gran parte condicionados por su sector de
nización, medirlos y articular las decisiones actividad. Resulta adecuado considerar sus
correspondientes para gestionarlos. Todo ello particularidades dependiendo de si están vin-
se debe hacer de manera integral y equilibra- culadas al sector financiero o no, así como te-
da, de forma que las medidas cuantitativas se ner en cuenta posibles medidas cuantitativas
combinen con medidas cualitativas, así como y cualitativas.
tener en cuenta aquellos riesgos para los que
la institución puede tener tolerancia cero. Tal y como se describe en el capítulo “Usos
del Apetito de Riesgo”, las empresas adscritas
En este último concepto de “riesgos de tole- al sector financiero utilizan generalmente,
rancia cero” se engloban aquellas categorías medidas cuantitativas para expresar su apeti-
de riesgo, para las que la estrategia de res- to de riesgo, mientras que las empresas no-fi-
puesta al riesgo suele ser generalmente “evi- nancieras pueden optar por evaluaciones
tar”; es decir, cambiar la forma de actuar o no cuantitativas o cualitativas.
proceder con la actividad que ocasiona el
29
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
Si la empresa, a pesar 1. Empresas no-financieras 2. Empresas financieras
de no ser financiera,
está evaluando sus En general, las empresas no-financieras no Algunas compañías, principalmente institucio-
riesgos en términos de están sujetas a normativas que les obliguen a nes financieras, utilizan medidas cuantitativas
impacto económico y cuantificar su apetito de riesgo, por lo que para expresar su apetito de riesgo global. La
probabilidad, puede ser pueden optar por establecerlo de forma cuali- mayor parte de ellas obtienen dichos valores
conveniente que tativa, cuantitativa, o con una combinación de a través de la “modelización” de diferentes
establezca su apetito ambas. escenarios. Por ello, es habitual que el apetito
en términos de riesgo esté compuesto de valores econó-
cuantitativos. Sin embargo, si la empresa, a pesar de no ser micos y probabilidades.
financiera, está evaluando sus riesgos en tér-
minos de impacto económico y probabilidad, Las métricas utilizadas para determinar el
puede ser conveniente que establezca su ape- apetito de riesgo son diversas y varían en fun-
tito en términos cuantitativos, de tal forma ción del sector de actividad. Principalmente se
que le permita clasificar sus riesgos identifica- utilizan:
dos como aceptables o no aceptables. - Métricas de adecuación del capital, como el
La elección de una cifra como nivel de apetito capital en riesgo (Capital at Risk) que se re-
de riesgo puede basarse en variables econó- lacionaría con una potencial pérdida de va-
micas representativas del tamaño de la em- lor de los activos o el capital económico
presa (área, país, unidad, etc.), un porcentaje (Economic Capital) que son los recursos ne-
del EBITDA, ingresos, resultado operativo, etc. cesarios para asumir pérdidas esperadas e
e incluso la materialidad utilizada por el audi- inesperadas.
tor externo. - Métricas relacionadas con ingresos, como
los ingresos en riesgo (Earnings at Risk)
Dicha cifra puede completarse con un valor que es una medida de variabilidad de los
de probabilidad, esto es, apetitos de riesgo beneficios. Se utiliza habitualmente en or-
que resultan de combinaciones de impacto y ganizaciones sujetas a US GAAP6.
probabilidad y que pueden asociarse a inter- - Métricas de liquidez, especialmente rele-
valos del mapa de riesgos para una mejor re- vantes en Basilea III tras los problemas de
presentación gráfica y comprensión. liquidez vividos en el sector financiero des-
de el año 2010.
El apetito, dentro del plano de compañía o
grupo, puede desglosarse en un enfoque des- A modo de ejemplo, a continuación se mues-
cendente, aplicando la misma magnitud a en- tra un cuadro con los indicadores mínimos
tidades inferiores o usándose otro criterio. que deberían formar parte de la definición del
apetito de riesgo de la entidad, así como de
su posterior seguimiento.
Métricas de capital Métricas de ingresos Métricas de liquidez
· Solvencia. Fondos propios requeridos · Volatilidad de los ingresos. Variabilidad · Plazo de liquidez. Periodo de tiempo en
por la actividad. de los ingresos. el que el balance de caja es suficiente
para hacer frente a los compromisos
· Capital económico. Fondos propios · Rentabilidad del Capital. Rentabilidad esperados.
requeridos con un nivel de confianza del capital económico ajustada al riesgo.
(superior al 90%). Suele ser superior al · Ratio de liquidez. Comparación entre
capital regulatorio. los activos esperados y las salidas de
caja esperadas.
6. US GAAP, Generally Accepted Accounting Principles (United States)
30
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
Marcos de Referencia
Existen diferentes marcos7 y estándares que “La alta dirección debe asumir un papel de li-
contemplan directrices y/o recomendaciones derazgo en la integración de las pruebas de
sobre el apetito de riesgo y su uso en las or- tensión en el marco de la gestión de riesgos
ganizaciones. Estos marcos resultan útiles co- del banco y de su cultura de riesgos, y garan-
mo referencia para comenzar a utilizar el ape- tizar que los resultados son significativos y se
tito de riesgo o para evaluar el grado de de- aplican diligentemente a la gestión del riesgo
sarrollo logrado. A continuación, señalamos de crédito de contraparte. Como mínimo, los
los más representativos, diferenciando entre resultados de las pruebas de tensión para ex-
los exigidos en sectores regulados y los que posiciones significativas deben compararse
constituyen las mejores prácticas internacio- con las directrices que explicitan el apetito de
nales. riesgo del banco por el riesgo, así como anali-
zarse y servir de base para adoptar medidas
EXIGENCIAS DE CARÁCTER ante riesgos excesivos o concentrados.”
OBLIGATORIO
Aunque los acuerdos del Comité de Supervi-
Marco regulador para entidades ban- sión Bancaria de Basilea son recomendacio-
carias (Basilea) nes sobre regulación y supervisión bancaria
no vinculantes, han sido adoptados por nu-
En 1974 se creó el Comité de Supervisión merosos países e integrados en su regulación
Bancaria de Basilea y en 1988 se publicó el local.
primer acuerdo “Basilea I”, donde se propo-
nían las normas mínimas que deberían cum- El marco regulador señala que el supervisor
plir las entidades financieras para mantener el debe supervisar varios aspectos:
control prudente de sus operaciones.
· El Consejo garantiza que:
En la revisión de Basilea III de junio de 2011,
se responsabiliza explícitamente a la Alta Di- a) existe una sólida cultura de gestión del
rección de las entidades, de la definición de la riesgo en todo el banco;
cantidad de riesgo que están dispuestos a
aceptar en su visión, citando textualmente: b) se han desarrollado políticas y procesos
para la asunción de riesgos, acordes con
la estrategia de gestión del riesgo y el
nivel establecido de apetito de riesgo;
7. Para un mayor detalle sobre marcos metodológicos consultar el ANEXO II incluido en el documento completo alojado
en www.auditoresinternos.es
31
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
c) se tiene constancia de las incertidum- vencia, abarcando, como mínimo, los siguien-
bres asociadas a la medición del riesgo; tes aspectos clave:
d) se establecen límites adecuados acordes - Las necesidades globales de solvencia de la
con el apetito de riesgo; organización, teniendo en cuenta su perfil
de riesgo específico, sus límites de toleran-
e) el perfil de riesgo y la solidez del capital cia al riesgo aprobados y la estrategia co-
del banco, son periódicamente comuni- mercial de la empresa.
cados al personal pertinente y compren-
didos por éste; y - El cumplimiento continuo de los requisitos
de capital y de provisiones técnicas estable-
f) la alta dirección adopta las medidas ne- cidos en la propia Directiva.
cesarias para vigilar y controlar cual-
quier riesgo significativo de conformidad - La medida en que el perfil de riesgo de la
con las estrategias aprobadas y el apeti- empresa se aparta de las hipótesis en que
to de riesgo establecido. se basa el capital de solvencia previsto en
la propia Directiva.
· Las estrategias, políticas, procedimientos y
límites en materia de gestión de riesgos: MEJORES PRÁCTICAS INTERNA-
a) se documentan adecuadamente; CIONALMENTE ACEPTADAS
b) se revisan periódicamente y actualizan
adecuadamente para reflejar cambios en OCDE: Principios de Gobierno Corpo-
el apetito de riesgo, el perfil de riesgo y rativo
la situación macroeconómica; y
c) se comunican dentro del banco. La Organización para la Cooperación y el De-
sarrollo Económico (OCDE) publicó el docu-
Marco regulador para entidades ase- mento “Principios de Gobierno Corporativo”
guradoras (Solvencia II) (edición 2004), en el que se relacionan una
serie de buenas prácticas para fortalecer la
La Directiva Europea 2009/138/CE del Parla- estructura del gobierno corporativo en empre-
mento Europeo y del Consejo, de 25 de no- sas y otro tipo de organizaciones, con el obje-
viembre de 2009, sobre el seguro de vida, el tivo final de contribuir al fortalecimiento de la
acceso a la actividad de seguro y de reasegu- confianza y la integridad en el ámbito econó-
ro y su ejercicio, establece el marco de Sol- mico y de los negocios.
vencia II. Este marco fija unos requerimientos
generales que deben regir el sistema de con- Entre las recomendaciones de estos princi-
trol interno. Destaca un apartado específico pios, en relación a la gestión de riesgos, se se-
relacionado con actividades de gestión de ñala la idoneidad de disponer de una política
riesgos para estas organizaciones. de riesgos, que especifique los diferentes ti-
pos y grados de riesgo que una entidad se
En su artículo 45, la Directiva establece que encuentra dispuesta a aceptar en su intento
este tipo de entidades deben efectuar una por alcanzar los objetivos (es decir, que expre-
evaluación interna de sus riesgos y de su sol- se los tipos de riesgo que se afrontan y su
apetito correspondiente). Esta política consti-
tuirá una referencia para determinar cuál es el
32
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
perfil de riesgo deseado por la organización sión de la entidad y los objetivos estratégicos,
así como un soporte importante para la ges- así como con el resto de objetivos relaciona-
tión de los riesgos. dos, alineando estos dos tipos de objetivos
con el nivel de riesgo aceptado y la tolerancia
Committee of Sponsoring Organization al riesgo.
of the Treadway Commission (COSO)
COSO II expresa que, en una entidad, el ries-
COSO II (Gestión de riesgos corporativos – go aceptado puede expresarse en términos
Marco integrado) distingue cuatro categorías cualitativos o cuantitativos, y sugiere una ba-
de objetivos, que deben ser cubiertos en toda tería de consideraciones para su definición.
la estructura organizativa de una entidad, me- Como primera opción, contempla la expresión
diante ocho componentes o actividades para del riesgo aceptado en términos de un “mapa
la administración y gestión integral de los de riesgo” lo que sugiere que la dirección de
riesgos. En la última actualización de COSO, la organización debe poner en marcha accio-
los objetivos se han simplificado en tres cate- nes para reducir la probabilidad y/o impacto
gorías (operaciones, información y cumpli- de cualquier riesgo residual significativo in-
miento) y los ocho componentes finalmente cluido en la zona amarilla, puesto que excede
han sido agrupados en cinco (entorno de con- el riesgo aceptado.
trol, evaluación del riesgo, actividades de con-
trol, información y comunicación, actividades Alto Formación del riesgo aceptado En la nueva
de seguimiento). actualización de COSO,
Impacto Medio Excede del riesgo se especifica que el
Con relación al componente “Entorno de aceptado apetito de riesgo y la
Control”, COSO II define que los factores del Bajo tolerancia al riesgo,
ambiente de control deben incluir la filosofía Dentro del riesgo junto a la fijación de
de gestión de riesgos de la entidad y su ries- aceptado objetivos, son
go aceptado, así como el resto de componen- precondiciones
tes como la integridad, los valores éticos o la Bajo Medio Alto necesarias para el
estructura organizativa. Probabilidad establecimiento de un
efectivo sistema de
A su vez, en el punto de “Establecimiento de control interno.
objetivos” sugiere la vinculación entre la mi-
ICOUNEPFSMETOPRRRLAIAMCTIMAEIOCEGIINNÓAETSNO
Ambiente interno FILIAL
Establecimiento de objetivos UNIDAD DE NEGOCIO Como segunda opción expone, principalmente
para empresas de servicios financieros y del
Identificación de eventos DIVISIÓN sector energético, adoptar un enfoque sofisti-
Evaluación de riesgos cado de aproximación al riesgo aceptado me-
Respuesta a los riesgos ENTIDAD diante técnicas cuantitativas. A su vez para or-
Actividades de control ganizaciones avanzadas, indica que pueden
expresar el riesgo aceptado con medidas rela-
Información y comunicación tivas al mercado o de capital en riesgo.
Supervisión
33
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
En este nuevo marco de gestión de riesgos de Para determinar el apetito de riesgo, deben
COSO, se introducen y definen los conceptos seguirse tres pasos:
de apetito de riesgo y tolerancia al riesgo co-
mo ya se ha explicado con anterioridad. De 1. Desarrollar el apetito de riesgo. La orga-
esta manera, sugiere que se obtiene un mayor nización debe integrar, y no evitar, el ries-
grado de seguridad sobre el logro de los obje- go como parte de su estrategia, estable-
tivos y especifica que el apetito de riesgo y la ciendo objetivos y desarrollando apetitos
tolerancia al riesgo, junto a la fijación de ob- de riesgo diferentes, acordes a la misma.
jetivos, son precondiciones necesarias para el No existe una norma o estándar universal
establecimiento de un efectivo sistema de de apetito de riesgo aplicable a todas las
control interno. organizaciones, ni existe un “correcto”
apetito de riesgo, por lo que la Dirección
Respecto a los componentes del marco de debe establecerlo, entendiendo y anali-
COSO, se indica que la identificación de even- zando las ventajas y desventajas que im-
tos y la evaluación de riesgos para dar res- plica tener un mayor o menor apetito de
puesta a éstos, deben considerarse siempre riesgo.
en relación al apetito de riesgo definido.
2. Comunicar el apetito de riesgo. Existen
De forma adicional, COSO ha publicado en diversos enfoques utilizados para la co-
2012 el informe “Understanding and Com- municación del apetito de riesgo. El pri-
municating Risk Appetite”, con el objetivo de mer enfoque sugerido es la creación de
ayudar a las entidades a implantar la gestión un estado de apetito de riesgo de carácter
de riesgos (ERM). Además de llevar a cabo general, que refleje los niveles de riesgo
una perfecta planificación, es necesario de- aceptables en la consecución de objetivos
sarrollar y comunicar a toda la entidad una (mediante su representación en gráficos o
clara comprensión del apetito de riesgo defi- mapas de riesgos con bandas de riesgo
nido, integrarlo en el proceso de planificación aceptable e inaceptable), lo suficiente-
estratégica y no contemplarlo únicamente co- mente amplio y descriptivo como para
mo un tema teórico de discusión. que las unidades organizativas puedan
gestionar sus riesgos de forma consisten-
Supervisión del Consejo te dentro de la organización. El segundo
enfoque es la comunicación del apetito
Alta Dirección de riesgo para cada uno de los objetivos
principales de la organización; mientras
Desarrolla que el tercero se centra en comunicar el
y revisa apetito de riesgo para diferentes catego-
rías de riesgo.
Apetito Comunica
de Riesgo 3. Controlar y actualizar el apetito de ries-
go. Una vez que el apetito de riesgo sea
Supervisa comunicado, los responsables de la ges-
tión, con el apoyo de la dirección, deben
revisarlo y reforzarlo. El apetito de riesgo
no se puede establecer y luego olvidarlo,
sino que debe ser revisado en relación a
la forma en que opera en la organización,
34
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
especialmente en las entidades donde el En cuanto al apetito de riesgo, el estándar El estándar ISO
modelo de negocio está cambiando. Los ISO lo menciona expresamente en relación menciona expresamente
responsables deben controlar que las acti- con la política de gestión de riesgos, puesto el apetito de riesgo y
vidades sean realizadas coherentemente que este documento debe especificar clara- señala que se debe
con el apetito de riesgo definido, a través mente el apetito como parte de los objeti- especificar claramente
de una combinación de monitorización y vos y compromisos de la organización con el apetito como parte
evaluaciones separadas. El departamento la gestión de sus riesgos. De forma adicio- de los objetivos y
de Auditoría Interna, a su vez, puede apo- nal señala la importancia de este concepto compromisos de la
yar en la gestión de este seguimiento. en la fase del proceso relativa a la evalua- organización con la
ción del riesgo, debido a que influirá en la gestión de sus riesgos.
Cuando se lleve a cabo la supervisión del decisión de la organización de tratar las si-
apetito de riesgo, sugiere que debe incen- tuaciones de riesgo de una manera u otra,
tivarse la creación de una cultura en la or- en función de cómo se haya fijado ese ape-
ganización, que fomente la conciencia- tito.
ción de los integrantes de la misma acer-
ca de los riesgos y su vinculación con los - De manera complementaria, el documento
objetivos de la organización. ISO Guía 73:2009, Gestión de riesgos - Vo-
cabulario, detalla –entre otros aspectos–
International Organization for Stan- una definición concreta de los conceptos de
dardization (ISO) actitud, apetito y tolerancia de riesgo de
una organización, como se ha detallado en
ISO publicó en 2009 un conjunto de princi- “Introducción” de este documento.
pios y pautas que sirvieran de ayuda a todo
tipo de organizaciones para afrontar, de una British Standard 31100
manera sistematizada y eficaz, el proceso de
instauración de un sistema de gestión de ries- La BS 31100 es un código de conducta para
gos. la gestión de riesgos iniciado en 2006 por un
comité técnico formado por miembros de la
Si bien no se trata de una norma certificable, industria, reguladores y académicos, y publi-
muchas organizaciones han adoptado esta cado por el Grupo BSI (British Standards Insti-
perspectiva de gestión de riesgos debido a tution) en 2008. Proporciona una guía con re-
que el estándar combina los mejores aspectos comendaciones para la gestión de riesgos
de varios marcos formales de gestión de ries- (principios, modelos, marcos y procesos) a fin
gos corporativos. de ayudar a las organizaciones a alcanzar sus
objetivos y a mejorar el resultado a través de
ISO publicó dos documentos diferentes, pero una gestión efectiva del riesgo.
de carácter complementario:
La BS 31100 por su flexibilidad en el lengua-
- El estándar ISO 31000: 2009, ”Gestión de je, está dirigida a organizaciones de todos los
Riesgos - Principios y guías de implanta- tamaños, tanto pequeñas como multinaciona-
ción”, que proporciona un marco para que les. A su vez, busca reducir las duplicidades
la función de gestión de riesgos dentro de con otras normas o marcos de referencia, me-
una organización tenga éxito en la conse- diante la vinculación e integración del lengua-
cución de sus propósitos y objetivos. Este je y las metodologías ya existentes.
estándar establece, además, un proceso es-
pecífico para la gestión de riesgos.
35
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
La definición de apetito de riesgo, según la BS iii. Investigación de los casos de riesgos asu-
31100, debe reflejar los siguientes aspectos: midos que no se están optimizando.
· Proporcionar orientación y límites sobre el Con relación a la asignación de roles y res-
riesgo que se puede aceptar dentro de la ponsabilidades, responsabiliza a la Junta Di-
organización. rectiva, Alta Dirección (o equivalente), como
órgano responsable de establecer y/o aprobar
· Considerar el entorno de la organización el apetito de riesgo de la organización y los
operativa, comprendiendo el valor, la renta- apetitos de riesgo para las unidades auxiliares
bilidad de la gestión, el rigor de los contro- o funciones, debiendo ser comunicada a toda
les y los procedimientos de aseguramiento. la organización.
· Reconocer que la organización podría estar El apetito de riesgo debe ser revisado por la
dispuesta a aceptar una proporción de ries- Alta Dirección (o su equivalente) por lo menos
go más alta de lo normal en un área si el una vez al año, junto con la estrategia de la
saldo global de riesgo es aceptable. organización y los procesos de planificación.
De esta manera, se consigue que el perfil de
· Definir el control, los permisos y sanciones riesgo de la organización y el apetito de ries-
del entorno, incluyendo la delegación de go definido se encuentren alineados, afron-
autoridad en relación con la aprobación de tando un apetito de riesgo acorde a las carac-
la aceptación del riesgo de la organización. terísticas y situaciones que afecten a la em-
presa en ese momento.
· Reflejar o incorporar en la política de ges-
tión del riesgo de la organización y notifi- The Institute of Risk Management
carlo, como parte de un sistema de reporte (IRM)
interno de riesgos de la organización.
El IRM ha publicado varios documentos rela-
Se indica que la definición de apetito de ries- cionados con la gestión de riesgos empresa-
go puede realizarse de dos formas: riales. En concreto, y basándose en las dispo-
siciones recogidas en el UK Corporate Gover-
· Declaraciones cualitativas. nance Code, ha publicado el documento Risk
Appetite & Tolerance, Guidance Paper (The
· Declaraciones cuantitativas. Institute of Risk Management- CroweHo-
warth, 2011), donde se abordan diferentes
El perfil de riesgo de la organización se mani- cuestiones relacionadas con el desarrollo de
fiesta en el riesgo real al que ésta decide en- un marco de apetito de riesgo dentro de una
frentarse. Debe ser evaluado y considerado en organización.
la aplicación de los procesos de gestión de
riesgos, debiendo ser objeto de comparación El documento proporciona una definición
con el apetito de riesgo y la gestión adecuada completa e intuitiva del apetito y de la tole-
de las medidas adoptadas. Esto puede incluir: rancia al riesgo. Establece una serie de nocio-
nes básicas sobre el proceso para poner en
i. Acciones específicas de gestión para ali-
near el perfil de riesgos al apetito.
ii. Revisión de la propensión frente al riesgo,
de acuerdo con el clima y evolución del
negocio, y / o
36
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
marcha este marco. Proceso que divide en las mentos para la supervisión del proceso de
siguientes fases: establecimiento del apetito); en segundo
término, la medición (medir y evaluar para
· Diseño del apetito de riesgo, mediante la determinar el impacto sobre el rendimiento
interacción de los elementos presentes en del negocio); en tercer lugar, el seguimiento
la organización, tales como la cultura de (identificación de desviaciones del proceso)
riesgos, su capacidad de riesgo, la madurez y, por último, el aprendizaje (identificación
del proceso de gestión de riesgos y el esta- de las áreas de mejora).
blecimiento de diferentes apetitos de ries-
go, en función de las diferentes naturalezas En España: Código Unificado de Buen
y situaciones que se afronten. Gobierno Corporativo
· Construcción del apetito de riesgo, partien- En el Código Unificado de Buen Gobierno
do de las capacidades de gestión del riesgo (Código Conthe), se plasman las recomenda-
por parte de la organización, se afrontan ciones efectuadas por el grupo especial de
diferentes niveles de riesgo (a nivel estraté- trabajo que asesoró a la Comisión Nacional
gico, táctico y operacional) de manera con- del Mercado de Valores (CNMV) en 2005, pa-
junta con la propensión de la organización ra la armonización y actualización de las reco-
a asumir riesgos y a ejercitar las medidas mendaciones de los Informes Olivencia y Al-
de control correspondientes. dama sobre buen gobierno de las sociedades
cotizadas.
· Implantación del apetito de riesgo, median-
te un proceso dividido en diferentes fases: El Código establece, en relación directa con el El apetito de riesgo
apetito de riesgo, “que la política de control y debe ser revisado por la
1. Diseño inicial del apetito. gestión de riesgos debe identificar, al menos: Alta Dirección por lo
menos una vez al año,
2. Búsqueda de compromiso e implicación a) Los distintos tipos de riesgo (operativos, junto con la estrategia
por parte de los stakeholders. tecnológicos, financieros, legales, reputa- de la organización y los
cionales…) a los que se enfrenta la socie- procesos de
3. Desarrollo de un marco de apetito de dad, incluyendo entre los financieros o planificación.
riesgo. económicos, los pasivos contingentes y
otros riesgos fuera de balance.
4. Aprobación del marco por parte del Con-
sejo. b) La fijación del nivel de riesgo que la socie-
dad considere aceptable.
5. Desarrollar el propio proceso de implan-
tación (establecimiento de parámetros c) Las medidas previstas para mitigar el im-
correctos, participación de implicados, in- pacto de los riesgos identificados, en caso
corporación a la estructura la organiza- de que lleguen a materializarse.
ción, etc.).
d) Los sistemas de información y control in-
6. Informar del proceso interna y externa- terno que se utilizarán para controlar y
mente. gestionar los citados riesgos, incluidos los
pasivos contingentes o riesgos fuera de
7. Revisar las actuaciones realizadas para balance.”
determinar qué ha ido bien, qué ha sali-
do mal y qué se deber hacer de forma di-
ferente de cara a próximas ocasiones.
· Gobierno del apetito de riesgo, mediante
los cuatro elementos críticos para que el
apetito de riesgo sea útil para la organiza-
ción. En primer lugar, la autorización (ele-
37
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
Implantación
Previa implantación del concepto de apetito 2. Alcance.- Permite definir el ámbito de
de riesgo en cualquier organización, es preci- aplicación así como los integrantes de la
so asegurar que la entidad cuenta con un mo- organización para los que serán de obli-
delo de gestión de riesgos de acuerdo con los gado cumplimiento las directrices, políti-
principios y características definidas previa- cas y demás procedimientos derivados de
mente en este documento. El modelo implan- la implantación del sistema interno de
tado definirá los procesos y actividades por gestión de riesgos. Especialmente útil si
desarrollar por los empleados de cualquier or- se decide establecer un sistema de ges-
ganización en el ámbito de la gestión de ries- tión parcial, como puede ocurrir en orga-
gos y servirá de base para la definición del nizaciones en las que debido a su natura-
apetito de riesgo de la compañía. leza, tamaño o estructura organizativa no
sea aconsejable una implantación total.
La implantación del modelo se puede de-
sarrollar en 6 pasos: 3. Estrategia.- También llamada “misión”,
debe definir las actividades clave que se
PASO 1 realizarán con el propósito de cumplir la
Definición del marco estratégico “visión”. Se deberá incluir la necesidad
de desarrollar y comunicar a toda la enti-
La definición de un marco estratégico facilita- dad una clara comprensión del apetito de
rá a la organización dotarse de una herra- riesgo.
mienta que permita implantar un sistema de
gestión de riesgos tal como reconoce COSO Algunos aspectos adicionales, de carácter
II8 (“Gestión de riesgos corporativos - Marco más específico, que debe contemplar el marco
integrado”). Para ello debe incluir, al menos, definido son:
los siguientes aspectos:
· El compromiso de los grupos de interés pa-
1. Objetivo.- Consistente en determinar la ra apoyar una efectiva implantación.
finalidad de la implantación del sistema,
llámese también “visión”; asimismo debe · Procedimiento para la periódica revisión y
asegurarse que está alineada con los ob- actualización del marco, de acuerdo con el
jetivos estratégicos de la organización. nivel de madurez en materia de gestión de
riesgos de la entidad.
8. COSO II en su apartado sobre la relación entre “Incertidumbre” y “Valor” sugiere que “…el valor se maximiza cuando
la dirección establece una estrategia y unos objetivos que consiguen un equilibrio óptimo entre las metas de creci-
miento y rentabilidad y los riesgos asociados y despliega eficiente y eficazmente los recursos a fin de alcanzar los ob-
jetivos de la entidad.”
38
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
· La aprobación por parte de los órganos de distintos riesgos en función de la expo-
gobierno de los cambios organizativos en sición respecto al apetito fijado.
concordancia con la implantación del siste-
ma. 2. Operacionales:
· Los beneficios que se esperan conseguir, - Se debe integrar la identificación de
tanto a corto como a largo plazo, gracias a riesgos en la toma de decisiones opera-
la implantación del sistema. tivas.
· La metodología que se va a utilizar para - Una vez definido el apetito de riesgo al
determinar de forma periódica cuál ha sido nivel más alto de la organización, debe
el resultado obtenido por la entidad gracias concretarse de forma consistente en las
a la implantación del sistema. diferentes categorías de riesgos y/o
áreas que compongan la organización.
En definitiva, el diseño y publicación de un
marco estratégico permitirá: - Los límites de riesgo definidos deben
comunicarse e integrarse en el día a día
- Dotar a la función de gestión de riesgos de de la organización, mediante una defi-
un marco estable y comúnmente conocido nición de los comportamientos y varia-
para desarrollar sus actividades. bles aceptables de desempeño.
- Dar a conocer a los grupos de interés (sta- - En este nivel operativo, se deben definir
keholders) en qué medida el desarrollo de indicadores de riesgo correlacionados
la función se realizará de forma coherente y con las variables clave (Key Risk Indica-
alineada con los principios que rigen el go- tors), que permitan realizar un segui-
bierno corporativo. miento de los mismos, así como dispo-
ner de un sistema de alertas y de ges-
- Incorporar la gestión de riesgos a la cultura tión de la actividad.
de la empresa, como un factor de buen go-
bierno para la alta dirección. 3. Información:
PASO 2 - Se debe definir una estructura de repor-
Establecimiento de principios te alineada con el apetito de riesgo fija-
do, que permita la comunicación rápi-
Acorde con los niveles de objetivos detallados da, clara y transparente de información
en COSO II (“Gestión de riesgos corporativos cuando los riesgos se materialicen fue-
- Marco integrado”), se debe dotar al ele- ra de los niveles del apetito.
mento central de cualquier sistema de gestión
de riesgos, el apetito de riesgo, de unos prin- - El intercambio de información de la or-
cipios de gestión, actuación y comportamien- ganización con el exterior debe consi-
to de la organización: derar las diferentes actitudes de los di-
versos grupos de interés respecto a ca-
1. Estratégicos: da riesgo.
- El principio clave de la función es man- - Es necesario definir un lenguaje común,
tener alienada la estrategia de la orga- así como pautas claras de comunica-
nización con el perfil de riesgo de la ción alrededor de la gestión de riesgos
misma. y del apetito.
- Adicionalmente, debe permitir instru- 4. Cumplimiento:
mentalizar una escala de delegación de
responsabilidades y de gestión para los - Asegurar que la función de gestión de
riesgos de la organización cumple con
39
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS ejemplo, Consejo de Administración,
Junta Directiva, etc.
la normativa establecida por órganos o
instituciones reguladores de su ámbito Con el propósito de facilitar las actua-
de actuación. ciones de las que son responsables,
- Adicionalmente, observar las recomen- pueden delegar en comisiones o comi-
daciones de gobierno corporativo reali- tés que, en el caso que nos ocupa, po-
zadas por las instituciones de referencia demos considerar los Comités de Audi-
con el objetivo de ofrecer un mensaje toría, de Riesgos o de Control Interno.
de confianza a los grupos de interés.
- Alta Dirección. Formada por los em-
PASO 3 · Descripción organizativa pleados de mayor rango de la organiza-
ción, junto a aquellos directivos que
La estructura de gobierno de la organización formen parte de los órganos ejecutivos
ha de facilitar la gestión integral del riesgo, y y de dirección (por ejemplo, Comités de
proporcionar los canales adecuados de comu- Dirección, Comités Ejecutivos, etc).
nicación para transmitir la información relati-
va, desde los niveles de apetito de riesgo has- - Función de Gestión de Riesgos. Aque-
ta el tratamiento de los riesgos. llos empleados que formen parte, tanto
parcial como completamente, de la de-
1. Estructura finición, diseño, desarrollo, implanta-
Podemos dividir, de forma muy generali- ción y/o coordinación del sistema inter-
zada, los siguientes niveles de estructura no de gestión de riesgos que se esta-
de una organización, en línea con el mo- blezca en cada organización.
delo de las “Tres Líneas de Defensa” defi-
nido por ECIIA y FERMA9: - Gestores de Riesgo. Formado por los di-
- Órganos de gobierno. Son los represen- rectivos que no forman parte de la alta
tantes de la propiedad u órganos res- dirección y demás empleados de la or-
ponsables de las organizaciones, por ganización que estén de forma directa
o indirecta relacionados con la gestión
diaria de riesgos de la empresa.
9. ECIIA, Confederación Europea de Institutos de Auditores Internos. FERMA, Federación Europea de Asociaciones de Ges-
tión de Riesgos
40
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
2. Funciones y responsabilidades - Monitorización y redacción del reporte El apetito de riesgo
recae bajo la responsabilidad de la fun- debe tener en
Partiendo de las funciones básicas sobre ción de gestión de riesgos mientras que consideración un
la gestión de riesgos, podremos determi- la revisión de los niveles de apetito de sistema de seguimiento
nar los diferentes niveles de responsabili- riesgo, en función de los resultados, se- y control de riesgos
dad. Destacamos las siguientes funciones: rá realizada por la alta dirección. que, de forma
periódica, informe de la
- Determinar el contexto, es decir, el en- - Supervisión o evaluación independiente adecuación del perfil de
torno estratégico en el cual la organiza- de la eficacia de la función de gestión riesgos de la
ción gestionará los riesgos. La respon- de riesgos así como de las medidas de organización a las
sabilidad de su establecimiento recae control existentes, será realizada por políticas de riesgo
en los órganos responsables. Adicional- los órganos de gobierno y principal- aprobadas y a los
mente se debe asegurar que dichos ór- mente por su órgano delegado del Co- límites de riesgo
ganos así como la alta dirección dispo- mité de Auditoría (y consecuentemente establecidos.
nen de los conocimientos y capacida- mediante la función de Auditoría Inter-
des necesarias para llevar a cabo sus na).
funciones y responsabilidades, todo ello
con la honorabilidad y ética que se pre- - Comunicación y promoción de la cultu-
supone para esos puestos. ra de gestión de riesgos, recaerá su res-
ponsabilidad principalmente en la Fun-
- Identificación de los riesgos, así como ción de Gestión de Riesgos, sin olvidar
las valoraciones para determinar sus que la cultura de riesgos debe integrar-
posibles impactos y su probabilidad de se en todos los niveles de la organiza-
materialización. Mientras la identifica- ción y estar debidamente apoyada por
ción será responsabilidad tanto del los órganos responsables.
Área de Negocio como de la Alta Direc-
ción (en función de la metodología uti- PASO 4
lizada: ascendente –bottom-up– o Asignación de los niveles de riesgo
descendente –top-down–), es recomen-
dable que la opinión final de la valora- 1. Apetito de riesgo
ción recaiga en la función de gestión de
riesgos, aunque siempre estaría supedi- - La dirección y los órganos responsables
tada a la información remitida por las deben establecer y aprobar el apetito
áreas, por lo que puede considerarse de riesgo de la compañía, así como
que existiría una responsabilidad con- comprender las ventajas y desventajas
junta. derivadas de fijar un apetito de riesgo
en un determinado nivel. Es importante
- El tratamiento de los riesgos será reali- recordar que no existe una definición
zado por cada gestor de riesgos. de apetito de riesgo universal o válida
para todas las organizaciones.
- Evaluación y seguimiento de los resul-
tados, funciones cuya responsabilidad - En su definición, el apetito de riesgo
final recae principalmente en la alta di- debe tener en consideración un sistema
rección, aunque para determinados ni- de seguimiento y control de riesgos
veles y tipos de riesgo, puede elevarse que, de forma periódica, informe de la
hasta los órganos de gobierno. adecuación del perfil de riesgos de la
41
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
Se deben fijar una serie organización a las políticas de riesgo adoptar las medidas de gestión necesa-
de niveles de alerta, aprobadas y a los límites de riesgo es- rias que permitan reconducir la situa-
que informen cuando el tablecidos. ción de la organización para retornar al
riesgo asumido por una perfil de riesgo deseado.
entidad se vaya - El establecimiento de políticas y proce-
aproximando a su nivel dimientos de riesgos permite constituir PASO 5 · Metodología de cálculo
de tolerancia. un marco normativo propio a través del
cual regular las actividades y procesos Como se ha indicado anteriormente, en fun-
de riesgos. El apetito de riesgo debe ser ción del tipo de organización, pública o priva-
capaz de enlazar los objetivos de la or- da, y del sector de actividad de la misma, la
ganización con los niveles de riesgo metodología y cálculos que se empleen po-
que está dispuesta a asumir, alineando drán variar de una entidad a otra. En cual-
a los integrantes de la organización, quier caso, sea cual sea la naturaleza de la
procesos e infraestructuras. También entidad, el objetivo que se pretende alcanzar
debe facilitar el seguimiento de los ries- es el de optimizar el binomio riesgo-rentabili-
gos y las decisiones de negocio en base dad.
al riesgo y ser una herramienta de co-
municación clara y precisa para los ges- Normalmente, la metodología de implanta-
tores de la entidad y los grupos de inte- ción del apetito de riesgo se establece tenien-
rés de la organización. do en cuenta el tipo de riesgo, producto,
cliente y distribución geográfica específica de
- Hay que destacar que la capacidad de la empresa en cuestión.
definir el apetito de riesgo requiere de
entidades con sistemas de gestión de 1. Cálculo
riesgos desarrollados y optimizados,
tratando de que los perfiles de riesgo - A la hora de determinar las métricas
sea fácilmente entendibles. del apetito de riesgo se ha de tener en
cuenta que éstas deberían ser cuantifi-
2. Tolerancia al riesgo cables y homogéneas entre sí y con
otras métricas empleadas por la organi-
- Corresponde a los órganos responsa- zación. Del mismo modo, sería deseable
bles de la organización establecer y que el apetito de riesgo pudiera ser ex-
aprobar la tolerancia al riesgo, la cual presado en términos económicos, o co-
debe reflejar la cantidad máxima de un mo un porcentaje de un valor, tal como
riesgo que la entidad está dispuesta a ventas, capital, patrimonio neto de la
aceptar para lograr sus objetivos. organización.
- Una vez definidos el apetito y la tole- - La selección de métricas se realiza ha-
rancia al riesgo, se deben fijar una serie bitualmente cuando se define el apetito
de niveles de alerta, que informen de riesgo y se establecen los límites de
cuando el riesgo asumido por una enti- tolerancia al riesgo.
dad se vaya aproximando a su nivel de
tolerancia. - Los criterios y métricas deben ser apro-
bados al menos una vez al año. El con-
- En caso de sobrepasar los niveles de trol y seguimiento, con distintas perio-
tolerancia establecidos, se deberá infor- dicidades, se establecerá en función de
mar a los órganos responsables para
42
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
la métrica y del responsable del con- encaminadas a su reducción o elimina-
trol/seguimiento. ción. Por otro lado, se analizarán aque-
llos supuestos en los que la asunción
- Las métricas utilizadas para determinar de un mayor grado de riesgo se com-
el apetito de riesgo son diversas y va- pensa con un incremento de la rentabi-
rían en función del sector de actividad. lidad, con el objeto de obtener ventajas
Como se ha explicado con anterioridad, competitivas.
éstas pueden tener en cuenta tanto ele-
mentos cuantitativos como cualitativos. - Este análisis de prioridades facilita la
Sería recomendable el análisis de esce- asignación de recursos de una forma
narios y los tests de estrés que permi- más eficiente para la organización.
tan valorar los impactos de escenarios
poco probables pero factibles. PASO 6 Es recomendable
Comunicación, actividades de control elaborar un documento
- El objetivo principal del empleo de mé- y supervisión global con la
tricas es determinar la cantidad de ries- declaración de la
go asumida y el rendimiento obtenido, 1. Comunicación del apetito de riesgo compañía sobre su
para permitir a la alta dirección gestio- apetito de riesgo, lo
nar la sociedad en base a riesgos. Una vez que las organizaciones han defi- suficientemente amplia
nido claramente su apetito de riesgo, los y descriptiva, para que
- Es aconsejable que la entidad disponga órganos responsables deberán comunicar- las unidades
de las métricas e infraestructuras nece- lo a toda la organización, de forma que se organizativas gestionen
sarias para garantizar su gestión. Asi- garantice que todas las acciones de la sus riesgos de forma
mismo, la información que se emplee compañía se alineen con su nivel de ape- consistente.
en las métricas ha de ser homogénea tito de riesgo. Al mismo tiempo, la direc-
para todos los negocios y productos. ción debería hacerlo operativo, estable-
Las métricas han de ser consistentes y ciendo los niveles necesarios para que
correctas, con el nivel de segmentación aplique en todas las unidades de negocio
necesario, además de tener que estar y sobre todos los riesgos relevantes de la
disponibles a tiempo. compañía.
- Para organizaciones complejas, com- Como punto de partida, es recomendable
puestas por múltiples unidades de ne- elaborar un documento global con la de-
gocio, se tendrán en cuenta otra serie claración de la compañía sobre su apetito
de métricas transversales, tales como de riesgo, lo suficientemente amplia y
métricas de concentración y diversifica- descriptiva, para que las unidades organi-
ción, que serán de aplicación para el zativas gestionen sus riesgos de forma
conjunto de las unidades de la organi- consistente. Esta declaración puede ser
zación. muy variada y las organizaciones pueden
comunicar su nivel de apetito de riesgo
2. Priorización con distintos niveles de detalle o preci-
sión.
- En función de los resultados obtenidos
de las métricas, se debe establecer una Algunas organizaciones lo comunican en
jerarquía que permita priorizar aquellos términos muy amplios (por ejemplo, ban-
casos que representen una mayor criti- das de colores en los mapas de riesgos
cidad para la entidad, los cuales debe- que identifican los niveles aceptables vs
rán ser analizados para tomar medidas
43
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
La dirección debe inaceptables), otras los concretan para ca- 3. Actividades de control
supervisar las da uno de los objetivos operacionales
actividades para su (por ejemplo, una compañía que presta La función de Auditoría Interna ha adqui-
consistencia con el servicios de salud puede establecer un rido un papel relevante dentro del proce-
apetito de riesgo apetito de riesgo mínimo para los objeti- so de gestión de riesgos mediante su acti-
combinando el vos de cumplimiento y de salud y seguri- vidad de control en la entidad. Adicional-
seguimiento y las dad, y otro superior en objetivos de repor- mente, dado el ámbito de actuación
evaluaciones te o estratégicos), mientras que otras lo transversal que Auditoría Interna realiza
independientes. establecen por categoría de riesgo (eco- dentro de las organizaciones, estaría en
La función de Auditoría nómico, entorno, personal, tecnología, disposición de prestar su colaboración pa-
Interna puede apoyar a etc.). ra asesorar al Consejo a la hora de esta-
la gestión en este blecer el apetito de riesgo para la enti-
seguimiento. Por todo ello se debe establecer un len- dad, siempre con la garantía de la inde-
guaje común que mejore la comunicación pendencia de la función de Auditoría In-
entre los grupos de interés y ofrezca una terna en este proceso.
imagen fiel de la organización.
Otros aspectos destacados que puede lle-
2. Seguimiento y actualización del apetito var a cabo Auditoría Interna relacionados
de riesgo con el apetito de riesgo son:
Una vez que el apetito de riesgo ha sido · Asesoramiento en la determinación de
definido, comunicado e implantado, es los principales riesgos que afectan a la
importante que se realice un seguimiento entidad, definir su grado de aceptación
y actualización periódica del mismo. y la medida en que éstos influyen en la
consecución de los objetivos estratégi-
El apetito de riesgo no es un concepto cos.
que deba ser definido y olvidado para
siempre, sino que debe ser revisado en · Comprobar que la tolerancia al riesgo y
función de la operación de la compañía, el apetito de riesgo se encuentran ali-
especialmente si ésta cambia su modelo neados, así como verificar que los con-
de negocio, y teniendo en cuenta también troles y sistemas de alerta de desviacio-
los cambios en el entorno en el que ope- nes son eficaces para reconducir los ni-
ra. veles de riesgo, en caso de que éstos
superasen los límites establecidos.
La dirección debe supervisar las activida-
des de acuerdo con el apetito de riesgo, · Revisar y validar el empleo de los ma-
combinando el seguimiento y las evalua- pas de riesgos.
ciones independientes. La función de Au-
ditoría Interna puede apoyar a la gestión · Revisar que el binomio aceptación de
en este seguimiento. Las organizaciones, riesgo-rentabilidad, determinado en el
al controlar el apetito de riesgo, deberían apetito de riesgo, es asumible para la
centrarse en crear una cultura que sea entidad y que no pone en peligro su
consciente de los riesgos y con metas or- continuidad.
ganizacionales compatibles con las de los
órganos responsables. · Supervisar que las métricas empleadas
en la medición de riesgos son adecua-
das y que expresan de forma fiel el ries-
go que tratan de valorar, así como la
calidad de la información empleada pa-
44
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
ra dicho fin. Podría revisar también si aseguramiento en el cumplimiento de la
los resultados obtenidos se adecuan a normativa vigente, de los procesos de
los objetivos establecidos por la com- Gestión de Riesgos, la revisión del grado
pañía. de implantación de las medidas de miti-
gación, y del grado de seguimiento y apli-
Otros aspectos relevantes de la función cación del apetito de riesgo.
de Auditoría Interna incluyen proporcionar
LA FUNCIÓN DE AUDITORÍA INTERNA EN RELACIÓN AL APETITO DE RIESGO
Colaborar en el asesoramiento al Consejo a la hora de establecer el apetito de riesgo
Asesorar en la determinación de los principales riesgos que afectan a la entidad
Comprobar que la tolerancia al riesgo y el apetito de riesgo se encuentran alineados
Comprobar que la tolerancia al riesgo y el apetito de riesgo se encuentran alineados
Revisar y validar el empleo de los mapas de riesgos
Revisar que el binomio riesgo/rentabilidad, determinado en el apetito de riesgo, es asumible
Supervisar que las métricas empleadas en la medición de riesgos son adecuadas
Proporcionar aseguramiento en el cumplimiento de la normativa vigente
Revisar el grado de implantación de las medidas de mitigación
Revisar el grado de grado de seguimiento y aplicación del apetito de riesgo
4. Supervisión en definitiva, de garantizar que las entida-
des disponen de una herramienta que les
Sectores como el bancario y el asegurador permita gestionar sus riesgos e incremen-
cuentan con el marco normativo de Basi- te la probabilidad de conseguir sus objeti-
lea y Solvencia II respectivamente, en los vos de solvencia en la toma de decisiones.
que se plasma el interés que reguladores
y supervisores tienen en que el apetito de Al margen de las exigencias regulatorias,
riesgo se emplee en el sector financiero la supervisión del apetito de riesgo, debe
dentro de la Gestión de Riesgos. Se trata, ir encaminada a promover la creación de
45
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
una cultura de gestión de riesgos en la or- sión que garantice la correcta integración
ganización, y a que todos sus integrantes del apetito de riesgo, y de la gestión de
tomen conciencia de la importancia de riesgos en su conjunto, dentro de la orga-
gestionar su actividad teniendo en cuenta nización.
el riesgo que asumen y su grado de vincu-
lación con los objetivos de la organiza- Resumen
ción.
A continuación se muestra un cuadro resu-
Este hecho debe considerarse especial- men de los pasos, acciones y responsables
mente en aquellas entidades que desarro- que deben considerarse a la hora de implan-
llan su actividad en sectores en los que tar el apetito de riesgo como parte integrante
no existe regulación específica al respec- del sistema de gestión de riesgos de una or-
to. Éstas deberán responsabilizarse de lle- ganización.
var a cabo un ejercicio de auto-supervi-
IMPLANTACIÓN DEL APETITO DE RIESGO · SISTEMA DE GESTIÓN DE RIESGOS
PASOS ACCIONES / HITOS RESPONSABLES
1 Objetivo, alcance y estrategia Órganos
de Gobierno
Definición marco estratégico
2 Estratégicos, operacionales, Todos
información y cumplimiento
Establecimiento de Principios
3 Estructura, funciones Todos
y responsabilidades
Descripción organizativa Órganos
de Gobierno
4 Apetito y tolerancia al riesgo
Asignación niveles de riesgo
5 Cálculo. Priorización Función Gestión de
Riesgos. Alta dirección
Metodología de cálculo
6 Comunicación, seguimiento Órganos de Gobierno
y actualización del apetito de riesgo y alta dirección
Comunicación, actividades
de control y supervisión Actividades de control Auditoría Interna
Supervisión Órganos reguladores
46
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
Lecciones aprendidas y conclusiones
A lo largo del documento se han expuesto los Los problemas vividos principalmente por em- Los problemas vividos
principales conceptos, utilizaciones, metodo- presas financieras en los últimos años, ponen principalmente por
logías de aproximación y cálculo, unas breves de manifiesto la relevancia de contar con me- empresas financieras
notas sobre los estándares que abordan el didas adecuadas del grado de exposición de en los últimos años,
apetito de riesgo, así como una propuesta sis- los riesgos, así como una gestión profesional ponen de manifiesto la
temática para su implantación en una organi- y responsable de los mismos. Una organiza- relevancia de contar
zación. Para finalizar, se abordarán las princi- ción puede afrontar situaciones puntuales en con medidas adecuadas
pales lecciones aprendidas y conclusiones por las que, por razones tácticas o estratégicas, del grado de exposición
extraer de los aspectos tratados. pueda necesitar una exposición a los riesgos de los riesgos, así como
superior a su apetito e incluso a su tolerancia. una gestión profesional
El apetito de riesgo es un instrumento de ges- No obstante, en el medio y largo plazo esta y responsable de los
tión cuyo uso formal es reciente. El sector fi- opción no es sostenible. El apetito de riesgo mismos.
nanciero ha sido el pionero en el uso de este ayuda a reflexionar y a determinar las estrate-
concepto. La crisis financiera iniciada en 2007 gias y decisiones viables apoyando la toma de
y la caída de diversas instituciones de esta ín- decisiones.
dole pueden hacer pensar que este tipo de
gestión no es útil. Nada más lejos de la reali- ¿QUÉ OBJETIVOS TIENE LA GES-
dad. El fracaso de dichas organizaciones TIÓN DEL APETITO DE RIESGO?
muestra que tener implantados modelos de
gestión de riesgos y de apetito de riesgo no En determinadas organizaciones, el apetito de
asegura el éxito, aunque es un punto de parti- riesgo es una pieza esencial para garantizar el
da imprescindible. Pero existen una serie de cumplimiento de ciertas normativas y reco-
condiciones necesarias que deben darse al mendaciones de buen gobierno, que exigen
mismo tiempo para asegurar su efectividad, implantar e informar sobre sus sistemas de
como que las organizaciones fijen de manera gestión y control de riesgos. Un enfoque ba-
clara su estrategia y su apetito de riesgo en el sado exclusivamente en esta faceta es común
corto, medio y largo plazo, que los riesgos se en empresas cotizadas o en sectores regula-
midan adecuadamente, que la exposición a dos que afrontan dichos requerimientos lega-
ellos sea éticamente responsable y se encuen- les en su actividad.
tre controlada y, por último, que las organiza-
ciones entiendan las implicaciones de estar Sin embargo, el apetito de riesgo no debe
expuestas a determinados riesgos. quedarse exclusivamente como un tema aso-
ciado al cumplimiento, sino que es importante
47
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
enfocarlo como una herramienta clave de no obstante, sin un proceso de gestión que
apoyo a la gestión organizativa y con un pa- permita identificar, analizar, evaluar, decidir y
pel activo en la toma de decisiones. Se trata comunicar los riesgos afrontados, el apetito
en definitiva de evaluar qué eventos son asu- de riesgo carece de sentido. Esta afirmación
mibles por la organización de acuerdo a su no significa que las organizaciones no tengan
estrategia y cuáles no. Es en este caso cuando actitud frente al riesgo, elemento que siempre
la implantación del apetito de riesgo suele ser va a estar presente en ellas, sino que sin un
fuente de ventajas competitivas. Dar el salto sistema de gestión de riesgos previamente
hacia este tipo de modelos y embeber el ape- implantado, no merece la pena hacer explíci-
tito de riesgo en la asignación de responsabi- tas esas actitudes mediante el apetito de ries-
lidades, flujos de reporte y tareas diarias, re- go.
quiere que una organización cuente con una
cultura organizativa sensible a la gestión de Los sistemas integrales de gestión de riesgos
riesgos así como con una dotación de recur- son una buena práctica de gestión y cada vez
sos suficientes para dicha tarea. Este enfoque más organizaciones, de todos los tamaños y
es común en empresas del sector financiero, sectores, implantan estos procesos de segui-
más acostumbradas a una gestión sofisticada miento y control de riesgos.
de los riesgos pero cada día prolifera más en
otros sectores menos regulados. Adicionalmente, otra pieza clave que sustenta
el apetito de riesgo es la cultura organizati-
CUMPLIMIENTO APETITO GESTIÓN va. El apetito de riesgo, al igual que el proce-
DE ORGANIZATIVA so de gestión de riesgos en el que se enmar-
ca, debe ser parte de la cultura de la organi-
RIESGO zación que cohesiona a las personas, los pro-
cesos y los recursos que la integran. Las orga-
¿QUÉ CONDICIONES PREVIAS nizaciones que aspiran a disponer de un ape-
REQUIERE? tito de riesgo efectivo y útil deben entender la
aportación de valor que supone este tipo de
La condición necesaria para hacer explícito y gestión, así como hacer conscientes a sus
útil el apetito de riesgo de una organización miembros de la relevancia de la gestión de
es tener implantados los elementos funda- riesgos, y favorecer los valores de comunica-
mentales de un sistema de gestión de ries- ción abierta, gestión activa y responsabilidad.
gos. La superación del escepticismo inicial y resis-
tencia al cambio, que suele acompañar estas
Existen diversos grados de madurez y de- iniciativas, es un problema complejo cuya so-
sarrollo en los sistemas de gestión de riesgos, lución consume tiempo y recursos; dicha solu-
ción necesariamente pasa por hacer partíci-
pes a los miembros de la organización del sis-
tema de gestión de riesgos y por contar con
el apoyo incondicional de los órganos respon-
sables.
48
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
¿POR DÓNDE EMPIEZO? con la mejora en la gestión de riesgos, asig-
nación de responsabilidades, comunicación y
La determinación del apetito de riesgo debe control interno. Se tratan de beneficios intan-
estar soportada por la alta dirección, inde- gibles, por lo que tienden a olvidarse, pero no
pendientemente del enfoque escogido para por ello son menos relevantes.
su implantación y evaluación (top-down o
bottom-up, como ya se ha visto). Es impres- Proporcionalidad El apetito de riesgo, al
cindible contar con el compromiso de los má- igual que el proceso de
ximos responsables de la organización, que El grado de sofisticación en la determina- gestión de riesgos en el
garantizarán su aplicación, utilidad y consis- ción del apetito de riesgo debe ser propor- que se enmarca, debe
tencia. Un error básico consiste en desarrollar cional a la complejidad del sector, de las ser parte de la cultura
sistemas de apetito de riesgo, matemática y operaciones y de los procesos de toma de de la organización que
estadísticamente sofisticados, excesivamente decisiones de la organización. Desarrollar el cohesiona a las
teóricos, pero que carecen del apoyo y enten- apetito de riesgo no es un fin en sí mismo, ni personas, los procesos y
dimiento por parte de la alta dirección, lo que debe consumir una cantidad desproporciona- los recursos que la
dificulta su implantación en la organización y da de recursos. Las organizaciones de peque- integran.
reduce las posibilidades de éxito. ño tamaño no necesitan contar con modelos
sofisticados de apetito de riesgo. La máxima
El apetito de riesgo debe vincularse a los ob- esencial es que la fijación del apetito de ries-
jetivos básicos de una organización. No es go se debe mantener de la manera más sim-
operativo establecer apetitos de riesgo sobre ple posible.
variables que no son relevantes en la toma de
decisiones. De esta forma, se garantizará la Flexibilidad
correcta comunicación y entendimiento de to-
dos los miembros de la organización. No existe un apetito de riesgo único o váli-
do para todas las organizaciones. El apetito
FACTORES CLAVE DE ÉXITO: de riesgo debe reflejar las diferentes tipologí-
¿QUÉ PRINCIPIOS DEBEN GUIAR as de riesgos afrontadas por las organizacio-
SU IMPLANTACIÓN? nes y las actitudes de sus grupos de interés.
Ambas variables son únicas para cada organi-
El apetito de riesgo de una organización debe zación, por lo que también lo será la forma de
cumplir con los siguientes principios básicos determinar su apetito de riesgo. Asimismo, el
para garantizar su eficiencia y utilidad. apetito de riesgo es un concepto dinámico,
que varía al igual que lo hace el entorno en el
Eficiencia que se mueve una organización, que se trans-
forma con la propia organización y que, por
Al igual que todo sistema de gestión y con- tanto, requerirá su actualización periódica.
trol, durante su implantación es importante
considerar los costes y los beneficios aso- Concreción
ciados al mismo. Si los costes exceden a los
beneficios, no merece la pena avanzar hacia El apetito de riesgo en cualquier caso debe
este modelo de gestión. Entre los beneficios a ser conciso e idealmente también debe ser
considerar hay que incluir los relacionados medible. Se trata de una métrica para consi-
derar si un riesgo es aceptable, o no, por par-
49
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
te de una organización, por lo que va a ser integrarse en la cultura organizativa. Asimis-
utilizada en los procesos de gestión de ries- mo, independientemente del alcance en su
gos y toma de decisiones. Por lo tanto, debe implantación, sea con vocación de herramien-
ser una medida lo suficientemente precisa co- ta de cumplimiento o de gestión, también es
mo para poder ser comunicada, aplicada y una pieza esencial en el sistema de control
poder realizar un seguimiento adecuado de interno de una organización. Un paso poste-
su utilización. En caso contrario, se corre el rior consistirá en su integración con los proce-
riesgo de contar con conceptos abstractos, de sos operativos y de gestión, vinculando, por
difícil aplicación y con escasa utilidad. ejemplo, la retribución de los miembros de la
organización, a una gestión adecuada y res-
Integración ponsable del apetito de riesgo en los diferen-
tes niveles organizativos, pero estas aplicacio-
El apetito de riesgo es una pieza fundamen- nes sólo son recomendables una vez se dis-
tal del sistema de gestión de riesgos. Debe ponga de un modelo estable y suficientemen-
referirse a los objetivos de la organización e te maduro.
DECÁLOGO PARA LA FIJACIÓN Y USO DEL APETITO DE RIESGO
1 Vincule la estrategia y las decisiones al apetito.
2 En toda toma de decisiones considere los riesgos asociados.
Entiéndalos de forma íntegra y mídalos de manera exhaustiva.
3 Conozca los objetivos de la organización, en función de ellos determine su apetito
de riesgo.
4 Evalúe la capacidad total de soportar riesgos. Es necesario que el apetito sea menor que la
capacidad de riesgo. Adicionalmente, es recomendable tener cierto margen de tolerancia.
5 Mantenga simple el apetito de riesgo, ayudará a entenderlo.
6 Comunique de forma clara el apetito a todas las partes implicadas.
7 Asegúrese de que la información utilizada para medir los riesgos y el apetito de riesgo
está actualizada y es adecuada, tanto en cantidad como en calidad.
8 Apóyese en los marcos de referencia existentes y asegúrese de cumplir con la regulación
aplicable.
9 Evalúe de forma periódica el apetito de riesgo. Debe ser dinámico.
10 Controle y supervise de forma continua cómo se adecúa la organización a esta filosofía,
siempre hay margen de mejora.
50
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
LA FÁBRICA DE PENSAMIENTO
INSTITUTO DE AUDITORES INTERNOS DE ESPAÑA
Definición e implantación de
Apetito de Riesgo
ANEXOS
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
Anexo I · Definiciones
COSO ISO 31000 / Guide 73 BS31100 not prepared to venture in the pursuit of
its long term objectives.
Risk Appetite: the broad - based amount Risk appetite: Amount and type of risk
of risk an entity is willing to accept in pur- that an organization is willing to pursue or Risk capacity: the ability to carry risks, and
suit of its mission/vision. retain. the risk management maturity to manage
them.
Risk Tolerance: The acceptable level of va- The Institute of Risk Management
riation in performance relative to the (IRM), “Risk Appetite & Tolerance Gui-
achievement of objectives dance Paper”
British Standards, BS 31100 October Risk appetite: The amount of risk that an
2008 organization is willing to seek or accept in
the pursuit of its long term objectives.
Risk appetite: the amount and type of risk
that an organization is prepared to seek, Risk tolerance: The boundaries of risk ta-
accept or tolerate. king, outside of which the organization is
Anexo II · Detalle de los Marcos de Referencia
Durante los últimos años, la gestión inte- principios y pautas basadas en las mejores rente normativa para la regulación de cier-
gral de riesgos ha alcanzado una dimen- prácticas… todas ellas pretenden estable- tas actividades que mantienen un alto gra-
sión cada vez más importante entre orga- cer unos límites razonables para la asun- do de influencia en el resto de las activida-
nizaciones de diferentes características, ya ción de riesgos por parte de los actores des económicas.
sean de naturaleza privada, pública o enti- económicos, que sean acordes a sus objeti-
dades sin ánimo de lucro. Esta importancia vos y estructuras y que contribuyan a evi- El peso y la importancia del sector finan-
se ha puesto aún más de manifiesto, como tar, en la medida de lo posible, situaciones ciero y en particular el negocio bancario y
consecuencia de la difícil situación de crisis como las que se han vivido durante los úl- el asegurador, por ejemplo, ha provocado
que afecta a la economía mundial desde timos años. que se diseñen marcos de supervisión de
2008. estas actividades, donde se hace un hinca-
Existen multitud de marcos de referencia pié especial en los procesos de control y
Por ello, tanto gobiernos como entidades que hablan de la gestión de riesgos em- gestión de riesgos y donde se pone el
de toda índole han dado pasos considera- presariales y hacen mención al perfil o acento en el tipo y la cantidad de riesgo
bles hacia el establecimiento de un nuevo apetito de riesgo que debiera existir en las que estas instituciones deben afrontar. To-
marco, que aporte cierto grado de estabili- organizaciones, pero hemos considerado do ello con la finalidad de poder cumplir
dad a las diferentes operativas que compo- necesario hacer una selección de los más con sus compromisos y objetivos, sin sufrir
nen la actividad económica. Los esfuerzos representativos. Asimismo, hemos dividido una excesiva exposición a situaciones po-
más exigentes se han producido en el ám- esta selección en dos partes, las exigencias tencialmente perjudiciales para ellas mis-
bito del sector financiero, dada la impor- normativas o regulatorias en la materia y mas y para el resto del conjunto de la eco-
tancia y el peso relativo del mismo en el las mejores prácticas internacionales. nomía. A continuación señalamos las más
conjunto de la economía, aunque también representativas:
se han realizado actuaciones extensivas al Exigencias de carácter obligatorio
resto de sectores económicos. Regulacio- La evolución de la situación económica Marco regulador para entidades banca-
nes específicas sectoriales, normativa legal, mundial ha favorecido la aparición de dife- rias (Basilea III).
En 1974 se creó el Comité de Supervisión
Bancaria de Basilea, y en 1988 se publicó
52
BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
el primer acuerdo “Basilea I”, donde se Aunque los acuerdos del Comité de Super- co, así como las políticas y procesos en
proponían las normas mínimas que deberí- visión Bancaria de Basilea son recomenda- materia de gobierno corporativo acordes a
an cumplir las entidades financieras para ciones sobre regulación y supervisión ban- este perfil de riesgo, para garantizar un
mantener el control prudente de sus ope- caria no vinculantes, han sido adoptados control eficaz sobre todas las actividades
raciones. Fruto de las limitaciones impor- por numerosos países e integrados en su del banco. El supervisor lo evalúa periódi-
tantes derivadas de la innovación financie- regulación local. camente y verificará que el Consejo aprue-
ra emergente, en 2004 se publicó “Basilea ba y vigila la aplicación de la dirección es-
II”, con el objetivo de unificar la medición En la última publicación del Comité de Su- tratégica y la estrategia sobre riesgos de la
de los riesgos de los distintos reguladores pervisión Bancaria de Basilea “Principios entidad, así como de las políticas relacio-
y supervisores internacionales, a fin de po- Básicos para una supervisión bancaria efi- nadas, establece y comunica la cultura y
der homogeneizar la legislación y regula- caz” de 2012, se detallan los 29 principios los valores corporativos y establece políti-
ción bancaria en materia de riesgos. básicos que considera necesarios para la cas en materia de conflictos de intereses,
eficacia del sistema financiero, debiendo además de un sólido entorno de control.
En 2010 el Comité de Supervisión Bancaria ser evaluados por las autoridades naciona-
de Basilea publicó “Basilea III” con el pro- les, para tener en cuenta las circunstancias A su vez, como principio de “Gestión del
pósito de mejorar la capacidad del sector específicas de cada país y cubrir todas las Riesgo”, el Marco regulador señala que el
bancario para absorber perturbaciones necesidades y circunstancias de cada siste- supervisor debe verificar que el banco
procedentes de tensiones financieras y ma bancario. cuenta con adecuadas estrategias de ges-
económicas derivadas de la crisis financie- tión del riesgo que han sido aprobadas por
ra internacional iniciada en 2007. Basilea En esta publicación, se atribuye al Consejo el Consejo y que éste establece un apro-
III reforzaba la regulación internacional so- de los bancos la tarea de fijar el nivel de piado nivel de apetito de riesgo al objeto
bre el capital y la liquidez. Aparte de las riesgo agregado que está dispuesto a asu- de definir el riesgo que el banco está dis-
nuevas exigencias, introduce un nuevo en- mir y gestionar en aras de los objetivos de puesto a asumir o tolerar. El supervisor ve-
foque y principios fundamentales de ges- negocio de la entidad. rifica que:
tión y supervisión de los riesgos financieros
y organizativos. Los principios se agrupan en dos grandes · El Consejo garantiza que:
categorías:
En la revisión de Basilea III de junio de g) existe una sólida cultura de gestión
2011, se responsabiliza explícitamente a la - Principios 1 a 13: se centran en las po- del riesgo en todo el banco;
alta dirección de las entidades de la defini- testades, atribuciones y funciones de los
ción de la cantidad de riesgo que están supervisores. h) se han desarrollado políticas y pro-
dispuestos a aceptar en su visión. Textual- cesos para la asunción de riesgos,
mente: - Principios 14 a 29: se centran en las re- acordes con la estrategia de gestión
gulaciones y requisitos prudenciales que del riesgo y el nivel establecido de
“La alta dirección debe asumir un papel de deben cumplir los bancos. apetito de riesgo;
liderazgo en la integración de las pruebas
de tensión en el marco de la gestión de En varios de los principios recomendados i) se tiene constancia de las incerti-
riesgos del banco y de su cultura de ries- en la segunda categoría (regulaciones y re- dumbres asociadas a la medición del
gos, y garantizar que los resultados son quisitos prudenciales), que cubren riesgos riesgo;
significativos y se aplican diligentemente a como el de crédito, el operacional, el de li-
la gestión del riesgo de crédito de contra- quidez, o el de mercado, indica que los sis- j) se establecen límites adecuados
parte. Como mínimo, los resultados de las temas deben tener siempre en cuenta el acordes con el apetito de riesgo;
pruebas de tensión para exposiciones sig- apetito de riesgo y el perfil de riesgo del
nificativas deben compararse con las direc- banco, así como la situación macroeconó- k) el perfil de riesgo y la solidez del ca-
trices que explicitan el apetito del banco mica y de los mercados. pital del banco, son periódicamente
por el riesgo, así como analizarse y servir comunicados al personal pertinente
de base para adoptar medidas ante riesgos Comprendido en el principio de “Gobierno y comprendidos por éste; y
excesivos o concentrados.” Corporativo”, como criterio esencial, se
hace especial énfasis en que deben esta- l) la alta dirección adopta las medidas
blecerse claramente las atribuciones del necesarias para vigilar y controlar
Consejo y la alta dirección del banco, los cualquier riesgo significativo de con-
cuales definen el perfil de riesgo del ban- formidad con las estrategias aproba-
das y el apetito de riesgo establecido.
53
The words you are searching are inside this book. To get more targeted content, please make full-text search by clicking here.
apetito-de-riesgo-libro
Discover the best professional documents and content resources in AnyFlip Document Base.
Search