apetito-de-riesgo-libro

BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS

· Las estrategias, políticas, procedimientos b) La gestión de activos y pasivos. las cuestiones vinculadas con el apetito, la
y límites en materia de gestión del ries- tolerancia y el perfil de riesgo, auténticos
go: c) La inversión, en particular, en instrumen- pilares de la gestión de riesgos que deter-
tos derivados y compromisos similares. minan, en gran medida, las actuaciones de
d) se documentan adecuadamente; las organizaciones a la hora de diseñar y
d) La gestión del riesgo de liquidez y de ejecutar la estrategia para alcanzar sus ob-
e) se revisan periódicamente y actuali- concentración. jetivos. A continuación destacamos las más
zan adecuadamente para reflejar representativas:
cambios en el apetito de riesgo, el e) La gestión del riesgo operacional.
perfil de riesgo y la situación macro- OCDE: Principios de Gobierno Corporati-
económica; y f) El reaseguro y otras técnicas de reduc- vo.
ción del riesgo.
f) se comunican dentro del banco. La Organización para la Cooperación y el
Según establece la Directiva en su Artículo Desarrollo Económicos (OCDE) tiene por
Marco regulador para entidades asegu- 45, estas entidades, además, deben efec- misión promover políticas que mejoren el
radoras (Solvencia II) tuar una evaluación interna de los riesgos desarrollo económico y el bienestar social
y de la solvencia, abarcando como mínimo de las personas en todo el mundo.
La Directiva Europea10 que establece el determinados aspectos clave; i) las necesi-
marco de Solvencia II, regula tres aspectos dades globales de solvencia de la organi- Esta Organización ha adoptado un enfo-
fundamentales relacionados con las enti- zación, teniendo en cuenta su perfil de que orientado a facilitar ciertos instrumen-
dades aseguradoras: riesgo específico, sus límites de tolerancia tos de ayuda a los Gobiernos de los esta-
al riesgo aprobados y la estrategia comer- dos miembro para conseguir estos objeti-
1) El acceso a las actividades por cuenta cial de la empresa, ii) el cumplimiento con- vos. Entre ellos destacan políticas relativas
propia del seguro directo y del reasegu- tinuo de los requisitos de capital y de los a la economía, la innovación, la educación,
ro y el ejercicio de las mismas en ámbito requisitos en materia de provisiones técni- las finanzas, los impuestos o la ética em-
de la Comunidad Europea. cas establecidos en la propia Directiva y iii) presarial entre otros.
la medida en que el perfil de riesgo de la
2) La supervisión de los grupos de seguros empresa se aparta de las hipótesis en que En el ámbito del Gobierno Corporativo, la
y reaseguros. se basa el capital de solvencia obligatorio OCDE publicó una serie de Principios11 que
previsto también en la propia Directiva. han acabado convirtiéndose en referencia
3) El saneamiento y la liquidación de las obligada para determinados colectivos co-
empresas de seguros directos. Mejores prácticas internacionalmente mo políticos, inversores y empresas de to-
aceptadas do el mundo. Si bien estos Principios no
Dentro del Título I, en la Sección 2 relativa constituyen normas vinculantes, se consi-
al Capitulo 4, la Directiva establece los re- Frente a las exigencias normativas o regu- deran una auténtica buena práctica para
querimientos generales que deben regir en latorias específicas, diferentes instituciones fortalecer la estructura del gobierno corpo-
el Sistema de Gobernanza exigible para es- de reconocido prestigio internacional han rativo de empresas y otras organizaciones
te tipo de organizaciones. En concreto, se publicado documentación en materia de y para contribuir a fortalecer la confianza
hace referencia a una serie de requisitos gestión de riesgos que, basada en las me- y la integridad en el ámbito económico y
que ese Sistema debe cumplir a modo de jores prácticas existentes, se han converti- de los negocios.
pautas de control interno, entre los que do en verdaderas fuentes de referencia.
destaca el apartado específico que hace Muchas de estas instituciones han publica- Entre las recomendaciones proporcionadas
referencia a las actividades de gestión de do informes, guías y position papers en los por estos Principios, destacan cuestiones
riesgos de estas organizaciones. que han tratado diversas materias relacio- concretas sobre la actuación de los Conse-
nadas con las actividades de gestión de jos de Administración de las empresas en
El sistema de gestión de riesgos debe cu- riesgos. Entre estas materias tratadas, co-
brir, como mínimo, las siguientes áreas: mo no podía ser de otra manera, resaltan

a) La suscripción y la constitución de reser-
vas.

10.Directiva 2009/138/CE del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009, sobre el seguro de vida, el acceso a la actividad de seguro y de
reaseguro y su ejercicio (Solvencia II).

11. OECD, Principles of Corporate Governance, 2004 Edition.

54

BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS

la gestión de riesgos. De forma más con- Con relación al componente “Entorno de Respecto a los roles y responsabilidades,
creta, se señala la idoneidad de disponer Control”, COSO II define que los factores atribuyen expresamente al Consejero Dele-
de una Política de Riesgos que abarque la del ambiente de control deben incluir la fi- gado la responsabilidad última de titulari-
especificación de los diferentes tipos y gra- losofía de gestión de riesgos de la entidad dad de la gestión de los riesgos corporati-
dos de riesgo que una entidad se encuen- y su riesgo aceptado, así como el resto de vos, proporcionando el liderazgo y orienta-
tra dispuesta a aceptar, en su intento por componentes como la integridad, los valo- ción necesario a la alta dirección, estable-
alcanzar sus objetivos (es decir, el apetito res éticos o la estructura organizativa. ciendo políticas amplias que reflejen la fi-
de riesgo). Constituyendo esta Política una losofía de gestión de riesgos de la entidad,
directriz de carácter vital para los directivos A su vez, en el punto de “Establecimiento así como su riesgo aceptado. Respecto a
encargados de gestionar los riesgos, con el de objetivos” sugiere la vinculación entre su supervisión, sugiere que la responsabili-
fin último de determinar el perfil de riesgo la misión de la entidad y los objetivos es- dad de supervisar la gestión de los riesgos
deseado por la organización (Apartado D tratégicos, así como con el resto de objeti- corresponda a un Comité de Riesgos cen-
de la parte VI relativa a las Responsabilida- vos relacionados, alineando estos dos tipos trado directamente en éste área, desarro-
des del Consejo). de objetivos con el nivel de riesgo acepta- llando y perfeccionando el riesgo aceptado
do y la tolerancia al riesgo. y las tolerancias al riesgo de la empresa.
Committee of Sponsoring Organization
of the Treadway Commission (COSO). COSO II expresa que, en una entidad, el Respecto al framework de gestión de ries-
riesgo aceptado puede expresarse en tér- gos COSO II, que establece y facilita una
COSO se formó para mejorar la calidad de minos cualitativos o cuantitativos, y sugie- guía para ayudar y desarrollar actividades
los reportes financieros mediante la ética re una batería de consideraciones para su para la gestión de riesgos, en la actualiza-
en los negocios, con objeto de tener con- definición. Como primera opción, contem- ción de COSO en mayo de 2013, se define
troles internos y gobierno corporativo efec- pla la expresión del riesgo aceptado en tér- la gestión de riesgos como un proceso que
tivos. Basado en estos principios, se des- minos de un “mapa de riesgo”, sugiriendo debe ser establecido por la dirección y
arrolló y publicó el marco de trabajo del que la dirección de la entidad debe poner aplicado en la estrategia de toda la enti-
COSO II como una fundación para estable- en marcha acciones para reducir la proba- dad. El cambio de enfoque está basado en
cer sistemas de control interno y determi- bilidad y/o impacto de cualquier riesgo re- la identificación de eventos potenciales de
nar su efectividad. En 2012, COSO ha rea- sidual significativo incluido en la zona riesgo que puedan afectar, gestionando los
lizado una actualización del marco COSO, amarilla, puesto que excede el riesgo acep- riesgos en base al apetito de riesgo defini-
publicando actualmente el borrador “Inter- tado. do, y asegurando la consecución de los ob-
nal Control - Integrated Framework”, que jetivos de la entidad. De este modo, el fra-
adapta COSO II a los cambios y avances en Como segunda opción expone, principal- mework de gestión de riesgos de la última
las operaciones de tecnología y de nego- mente para empresas de servicios financie- actualización de COSO amplía la visión del
cios, y lo mejora. ros y sector energético, adoptar un enfo- Control Interno definido en COSO II.
que sofisticado de aproximación al riesgo
COSO II distingue cuatro categorías de ob- aceptado mediante técnicas cuantitativas. En este nuevo marco de gestión de riesgos
jetivos, que deben ser cubiertos en toda la A su vez, para organizaciones avanzadas de COSO, se introduce el concepto de ape-
estructura organizativa de una entidad, indica que pueden expresar el riesgo acep- tito de riesgo, definiéndolo como el riesgo
mediante ocho componentes del marco re- tado empleando medidas relativas al mer- que se está dispuesto a aceptar en la bús-
conocido para la administración y gestión cado o de capital riesgo. queda de la misión/visión de la entidad,
integral de los riesgos. En la actualización formando un hito más en la fijación de la
de COSO en mayo de 2013, se han simpli- En el componente de “Respuesta a los estrategia y los objetivos. Esto refleja una
ficado en tres categorías (operaciones, in- Riesgos” muestra que es la Dirección nueva filosofía de gestión de riesgos en la
formación y cumplimiento) y los ocho com- quien, ante las oportunidades que puedan entidad, que a su vez influye en su cultura
ponentes finalmente han sido agrupados existir, debe indicar y determinar si el ries- y su estilo operativo. El apetito de riesgo
en cinco (entorno de control, evaluación go residual global concuerda con el riesgo ayuda a alinear la organización, las perso-
del riesgo, actividades de control, informa- aceptado por la entidad, asumiendo una nas y los procesos, en el diseño de la in-
ción y comunicación, actividades de segui- perspectiva del riesgo global para la enti- fraestructura necesaria para responder efi-
miento). dad. cazmente y monitorizar los riesgos.

55

BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS

A su vez, define la tolerancia al riesgo co- nización debe integrar, y no evitar, el bles deben monitorear que las activida-
mo el nivel aceptable de variación en los riesgo como parte de su estrategia, es- des son realizadas en coherencia al
resultados o actuaciones de la compañía tableciendo objetivos y desarrollando apetito de riesgo definido, a través de
relativas a la consecución o logro de sus apetitos al riesgo diferentes, acordes a una combinación de monitorización y
objetivos(operaciones, información y cum- la misma. No existe una norma o es- evaluaciones separadas. El departa-
plimiento), alineando éstos con el apetito tándar universal de apetito de riesgo mento de Auditoría Interna, a su vez,
de riesgo marcado. De esta manera, sugie- aplicable a todas las organizaciones, ni puede apoyar en la gestión de este se-
re que se obtiene un mayor grado de segu- existe un "correcto" apetito de riesgo, guimiento.
ridad de que la entidad logrará sus objeti- por lo que la Dirección debe establecer-
vos, y especifica que el apetito de riesgo y lo, entendiendo y analizando las venta- Cuando se lleve a cabo la supervisión
la tolerancia al riesgo, junto a la fijación de jas y desventajas que implica tener un del apetito de riesgo, sugiere que debe
objetivos, son precondiciones necesarias mayor o menor apetito de riesgo. incentivarse la creación de una cultura
para el establecimiento de un sistema de en la organización, que fomente la
control interno efectivo. 5. Comunicar el apetito de riesgo: Exis- concienciación de los integrantes de la
ten diversos enfoques utilizados para la misma acerca de los riesgos, y su vincu-
Respecto a los componentes del frame- comunicación del apetito de riesgo. El lación con los objetivos de la organiza-
work de COSO, indica que la identificación primer enfoque sugerido es la creación ción.
de eventos y la evaluación de riesgos para de un estado de apetito de riesgo de
dar respuesta a éstos, deben considerarse carácter general, que refleje los niveles International Organization for Standardi-
siempre en relación al apetito de riesgo de riesgo aceptables en la consecución zation (ISO).
definido. de objetivos (mediante su representa-
ción en gráficos o mapas de riesgos ISO es la mayor organización mundial en-
De forma adicional, COSO ha publicado en que fijen las bandas de riesgo acepta- cargada de promover el desarrollo de nor-
2012 el informe “Understanding and Com- ble e inaceptable), debiendo ser lo sufi- mas internacionales de fabricación (pro-
municating Risk Appetite”, con el objetivo cientemente amplio y descriptivo como ductos y de servicios), comercio y comuni-
de ayudar a las entidades a implantar la para que las unidades organizativas cación para casi todas las ramas industria-
gestión de riesgos (ERM) persiguiendo el puedan gestionar sus riesgos de forma les (excepto la rama eléctrica y la electróni-
logro de sus objetivos. Para ello, es necesa- consistente dentro de la organización. ca). Su principal función es facilitar la es-
rio decidir y establecer las metas, tácticas u El segundo enfoque es la comunicación tandarización de normas en productos y en
objetivos operacionales de la entidad, pu- del apetito al riesgo para cada uno de la seguridad para empresas u otras organi-
diendo ser más agresivas o conservadoras, los objetivos principales de la organiza- zaciones a nivel internacional (ya sean pú-
y plasmarlas en una mayor o menor tole- ción, mientras que el tercero se centra blicas o privadas). Las normas desarrolla-
rancia al riesgo. Además de realizar una en comunicar el apetito de riesgo para das por ISO son de cumplimiento volunta-
perfecta planificación, para el éxito, es ne- diferentes categorías de riesgo. rio, ya que se trata de un organismo no
cesario desarrollar y comunicar a toda la gubernamental y no depende de ningún
entidad una clara comprensión del apetito 6. Controlar y actualizar el apetito de otro organismo internacional.
de riesgo definido, e integrarlo en el proce- riesgo: Una vez que el apetito de ries-
so de planificación estratégica (no contem- go sea comunicado, los responsables En noviembre de 2009 publicó un conjun-
plarlo únicamente como un tema teórico de la gestión, con el apoyo de la direc- to de principios y pautas para servir de
de discusión). ción, deben revisarlo y reforzarlo. El ayuda a todo tipo de organizaciones a la
apetito de riesgo no se puede estable- hora de afrontar, de una manera sistemati-
Para determinar el apetito de riesgo, la cer y luego olvidarlo, sino que debe ser zada y eficaz, el proceso de instauración
gestión, la supervisión y la concurrencia, revisado en relación a la forma en que de un sistema para la gestión de riesgos12.
deben seguirse tres pasos: opera en la organización, especialmen-
te en las entidades donde el modelo de Si bien, hasta el momento, no se trata de
4. Desarrollar el apetito de riesgo: Para negocio está cambiando. Los responsa- una normativa certificable, similar a otras
desarrollar el apetito al riesgo, la orga- normativas ISO, muchas organizaciones

12. ISO 31000: 2009, Risk Management - Principles and guidelines on implementation.

56

BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS

han adoptado esta perspectiva de gestión - Evaluación de riesgos: se trata de es- otra, en función de cómo se haya determi-
de riesgos debido a que el estándar combi- tablecer una estimación sobre el im- nado ese apetito.
na los mejores aspectos de varios marcos pacto y la probabilidad de ocurrencia
formales de gestión de riesgos corporati- de los riesgos identificados. De manera complementaria, el documento
vos. Esto les permite sacar provecho de de vocabulario y términos de gestión de
ello, al favorecer que el sistema de gestión · Tratamiento del riesgo: Consiste en riesgos que también publicó ISO13, detalla
de riesgos implantado permita a la organi- seleccionar la opción más adecuada una definición concreta de los conceptos
zación, entre otras cosas, incrementar el para tratar el riesgo, de acuerdo a la de actitud, apetito y tolerancia de riesgo
nivel de confianza de los stakeholders, naturaleza y características de éste. de una organización.
aprovechar las oportunidades y defenderse
de las amenazas del negocio, optimizar la · Monitorización y revisión: Debe abar- British Standard 31100.
asignación de los recursos y mejorar el go- car todos los aspectos del proceso de
bierno, el control interno y el rendimiento gestión de riesgos a los efectos de: La BS 31100 es un código de conducta pa-
de las organizaciones. ra la gestión de riesgos iniciado por un co-
a) Analizar y aprender las lecciones mité técnico, formado en 2006 por miem-
El estándar 31000 proporciona un marco con origen en los eventos, cambios bros de la industria, reguladores y acadé-
para que la función de gestión de riesgos y tendencias, micos, publicado por el Grupo BSI (British
dentro de una organización tenga éxito en Standards Institution) en 2008. Proporcio-
la consecución de sus propósitos y objeti- b) Detectar los cambios en el contexto na una guía con recomendaciones para la
vos. Además, establece un proceso especí- interno y externo y en los propios gestión de riesgos (principios, modelos, fra-
fico para la gestión de riesgos, dividido en riesgos, que requieran una revisión mework y procesos) para ayudar a las or-
las siguientes fases: de las prioridades y tratamiento del ganizaciones a alcanzar sus objetivos y
riesgo, ayudar a mejorar el resultado a través de
· Establecer el contexto: Como punto una gestión efectiva del riesgo.
de partida, se debe establecer el con- c) Asegurar que las medidas de trata-
texto en el que se relaciona la organi- miento y control de riesgos son efi- La BS 31100 está dirigida a organizacio-
zación desde dos puntos de vista dife- caces desde el punto de vista ope- nes de todos los tamaños, adaptando su
renciados, el contexto externo y el con- rativo y de diseño, lenguaje especialmente para ser compren-
texto interno. Todo ello con el objeto de sible tanto para las organizaciones peque-
entender objetivos y expectativas de los d) Identificar nuevos riesgos. ñas como para las multinacionales. A su
stakeholders internos y externos de la vez, busca reducir las duplicidades tanto
organización. · Comunicación e información: Se trata como sea posible con otras normas o mar-
de identificar, captar y comunicar la in- cos de referencia, mediante la vinculación
· Valoración del riesgo: Contempla tres formación relevante en materia de ries- e integración del lenguaje y las metodolo-
actuaciones diferentes para entender el gos para darles respuesta y comunicar gías de las ya existentes.
riesgo, sus orígenes y sus consecuen- el rol y responsabilidades de todos los
cias: participantes en el proceso. En los principios de gestión del riesgo, su-
giere utilizar o integrar la gestión de ries-
- Identificación de riesgos: se trata de En cuanto al apetito de riesgo, el estándar gos en la toma de decisiones. Esta gestión
localizar aquellas situaciones que pue- ISO lo menciona expresamente cuando ha- de riesgos, debe apoyarse en la definición
den afectar a la organización. bla de la Política de Gestión de Riesgos, del apetito de riesgo y la capacidad, dentro
puesto que en este documento se debe es- de los límites de las decisiones de inver-
- Análisis de riesgos: consiste en deter- pecificar claramente el apetito, como parte sión que deben ser realizadas. El apetito
minar los orígenes de los riesgos, las de los objetivos y compromisos de la orga- de riesgo debe traducirse en niveles de to-
áreas de impacto, los eventos y sus nización con la gestión de sus riesgos. lerancia de riesgo de los diferentes depar-
causas y las consecuencias potenciales tamentos, programas, proyectos y opera-
de los mismos sobre la organización. Asimismo, se menciona la importancia del ciones. Estos niveles deben ir acompaña-
apetito en la fase del proceso relativa a la
evaluación del riesgo, puesto que influirá
en la decisión de la organización de tratar
las situaciones de riesgo de una manera u

13. ISO Guide 73:2009, Risk Management - Vocabulary.

57

BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS

dos de reglas de escalado para los riesgos Una vez definida la estrategia de gestión · Reflejarlo o incorporarlo en la política
o grupos de riesgos que excedan los lími- de riesgos en la entidad, como componen- de gestión del riesgo de la organización
tes de los niveles de tolerancia fijados por te específico del framework, la BS 31100 y notificarlo, como parte de un sistema
la alta dirección. define el apetito de riesgo como la canti- de reporte interno de riesgos de la orga-
dad de riesgo que la organización está dis- nización.
La BS 31100 define un framework, o mar- puesta a aceptar, tolerar o estar expuesta
co de gestión de riesgos, formado por diez en cualquier momento del tiempo. Habla Se indica que la definición de apetito al
componentes interrelacionados que deben del apetito de riesgo refiriéndose a la acti- riesgo puede realizarse de dos formas:
estar correctamente definidos, y formar tud de la organización hacia la toma de
parte de la cultura de gestión de riesgos riesgos y si está dispuesto y/o en condicio- a) Declaraciones cualitativas que descri-
en la entidad: nes de aceptar un alto o un bajo nivel de ben los riesgos específicos de la organi-
exposición a riesgos específicos o grupos zación que está o no dispuesto a acep-
1. Gestión de riesgos. de riesgos o categorías de riesgo. Esto per- tar;
mite a la organización incrementar sus re-
2. Estrategia de la gestión de riesgos. sultados mediante la optimización de la b) Declaraciones cuantitativas, donde se
toma de riesgos y la aceptación de los ries- describen los límites, umbrales o indica-
3. Apetito de riesgo. gos calculados dentro de un nivel apropia- dores clave de riesgo, estableciendo có-
do de autoridad. mo han de ser juzgados los riesgos y
4. Política de gestión de riesgos. sus beneficios y/o cómo evaluar y vigi-
La definición de apetito de riesgo debe re- lar el impacto agregado de estos ries-
5. Categorización y medición de los ries- flejar los siguientes aspectos: gos.
gos y su impacto.
· Proporcionar orientación y límites sobre El perfil de riesgo de la organización se
6. Roles y responsabilidades. el riesgo que se puede aceptar dentro manifiesta en el riesgo real al que ésta de-
de la organización, marcando el riesgo y cide enfrentarse. Debe ser evaluado y con-
7. Herramientas de gestión de riesgos. recompensa asociados que se conside- siderado en la aplicación de los procesos
ran equilibrados y la probabilidad de de gestión de riesgos, debiendo ser objeto
8. Formación. respuesta; de comparación con el apetito de riesgo y
la gestión adecuada de las medidas adop-
9. Reporte. · Considerar el entorno de la organiza- tadas. Esto puede incluir:
ción operativa, comprendiendo el valor,
10.Revisión. la rentabilidad de la gestión, el rigor de iv. Acciones de gestión específicas para
los controles y los procedimientos de alinear el perfil de los riesgo al apetito;
El primer componente es el “Risk Gover- aseguramiento;
nance”, definido como la estructura de v. Revisión de la propensión frente al ries-
gestión del riesgo, los procesos y los meca- · Reconocer que la organización podría go, de acuerdo con el clima y evolución
nismos a través de los cuales se debe lle- estar dispuesta a aceptar una propor- del negocio, y / o
var a cabo la gestión de los riesgos, y la ción de riesgo más alta de lo normal en
definición de las responsabilidades y auto- un área, si el saldo global de riesgo es vi. Investigación de los casos de riesgos
ridades. El propósito reside en informar a aceptable; asumidos que no se están optimizando.
la Junta para la toma de decisiones y pro-
porcionar una opinión independiente de si · Definir el control, los permisos y sancio- Con relación a la asignación de roles y res-
la actividad de gestión de riesgos es eficaz, nes del entorno, incluyendo la delega- ponsabilidades, responsabiliza a la Junta
suficiente y está alineada con la consecu- ción de autoridad en relación con la Directiva, alta dirección (o equivalente), co-
ción de los objetivos estratégicos/operacio- aprobación de la aceptación del riesgo mo órgano responsable de establecer y/o
nales. De esta manera muestra que el Go- de la organización, destacando los nive- aprobar el apetito de riesgo de la organi-
vernance debe considerar todos los com- les graduales de control, y lo que en el zación y los apetitos al riesgo para las uni-
ponentes del framework de gestión de proceso de escalamiento se considera dades auxiliares o funciones, debiendo ser
riesgos, entre los cuales comprende el ape- que se están sobrepasando los criterios comunicada a toda la organización.
tito de riesgo. Indica que se deben definir de aceptación del riesgo;
claramente los parámetros del nivel de El apetito de riesgo debe ser revisado por
riesgo que son aceptables para la organi- la alta dirección (o su equivalente) por lo
zación, así como los umbrales que desen- menos una vez al año, junto con la estrate-
cadenan la necesidad de escalarlo, la revi-
sión y aprobación por parte de un organis-
mo o persona responsable.

58

BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS

gia de la organización y los procesos de su actividad en el ámbito de la gestión de riesgos y a ejercitar las medidas de con-
planificación. De esta manera se consigue riesgos, proporcionando a los profesiona- trol.
que el perfil de riesgo de la organización y les de esta materia las herramientas y las
el apetito de riesgo definido se encuentren habilidades necesarias para poder afrontar · Implantación del apetito de riesgo: se
alineados, afrontando un apetito de riesgo con éxito los desafíos de un entorno de describen las diferentes fases para im-
acorde a las características y situaciones negocio cada vez más cambiante y sofisti- plementar el apetito de riesgo en la or-
que afecten a la empresa en ese momento. cado. ganización, en concreto a) el diseño ini-
cial, b) el compromiso de los stakehol-
En el resto de componentes del frame- Esta institución ha publicado documentos ders, c) el propio desarrollo del marco,
work, indica otras consideraciones del ape- relacionados con la gestión de riesgos en d) la aprobación por parte del Consejo,
tito de riesgo como su inclusión en el con- general14, y con el apetito de riesgo, en e) la propia implantación (estableci-
tenido mínimo de la Política de Gestión del particular15. miento de parámetros correctos, partici-
Riesgo, o que debe tenerse en cuenta en pación de implicados, incorporación a la
los criterios de medida y categorización de En relación al apetito de riesgo, el docu- estructura la organización, etc.), f) infor-
impacto del riesgo, siendo siempre acordes mento del IRM aborda, basándose en las mar del proceso interna y externamente
a este. estipulaciones recogidas en el UK Corpora- y, por último, g) una revisión para deter-
te Governance Code, diferentes cuestiones minar qué ha ido bien, que ha salido
Como punto diferencial, incluye un compo- relacionadas con el desarrollo de un marco mal y qué se deber hacer de forma dife-
nente del framework que es la formación, de apetito de riesgo dentro de una organi- rente la próxima vez.
donde especifica que para apoyar la incor- zación. Partiendo de una definición muy
poración de la gestión del riesgo en toda completa e intuitiva del apetito y la tole- · Gobierno del apetito de riesgo: donde
la organización y el desarrollo de la madu- rancia al riesgo, se establecen las nociones se establecen los cuatro elementos críti-
rez de riesgo de una organización, la direc- básicas del proceso para establecer este cos de gobernabilidad necesarios para
ción debe proporcionar los conocimientos marco, diferenciándose las siguientes fa- que el apetito de riesgo sea útil para la
suficientes del apetito de riesgo a toda la ses: organización.
organización, como los niveles de toleran-
cia al riesgo y las normas de su progresivi- · Diseño del apetito de riesgo: mediante - Autorización: se establecen los ele-
dad. la interacción de elementos como la cul- mentos para la supervisión del proce-
tura de riesgo de la entidad, la capaci- so de establecimiento del apetito.
A su vez, como un reporte interno más a dad de riesgo que ésta tiene, su madu-
considerar, recomienda que para tener un rez en el proceso de gestión de riesgos y - Medición: necesidad de medir y eva-
sistema de reporte interno efectivo en la el establecimiento de diferentes apetitos luar el apetito de riesgo para identifi-
organización, uno de los puntos a realizar al riesgo, en función de las diferentes car el impacto sobre el rendimiento
seguimiento y reportar es la gestión del naturalezas y situaciones que se estén del negocio.
riesgo que se está llevando a cabo en fun- afrontando.
ción de los parámetros del apetito de ries- - Seguimiento: Identificar las desviacio-
go definidos, para poder analizar los ries- · Construcción del apetito de riesgo: nes del proceso, de una forma regu-
gos y tomar las medidas correctivas nece- una vez la organización ha entendido lar.
sarias al respecto, mediante el diseño de sus capacidades para gestionar el ries-
controles específicos y análisis posterior de go, se afrontan las cuestiones relaciona- - Aprendizaje: identificar las posibles
la efectividad de los mismos. das con el establecimiento y seguimien- áreas de mejora para perfeccionarlas
to del apetito de riesgo. En concreto, el en el futuro.
The Institute of Risk Management (IRM). marco propuesto establece diferentes
niveles de riesgo (estratégico, táctico y Código Unificado de Buen Gobierno Cor-
El IRM es una institución independiente operacional) en conjunción con la pro- porativo (Código Conthe).
basada en el Reino Unido que desarrolla pensión de la organización a asumir
El Gobierno de España, por acuerdo de 29
de julio de 2005, creó un grupo especial

14. A Risk Management Standard, the Institute of Risk Management, 2002.
15. Risk Appetite & Tolerance, Guidance Paper; the Institute of Risk Management- Crowe Howarth, 2011.

59

BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS

de trabajo para asesorar a la Comisión Na- cipio anglosajón de “cumplir o explicar”, tacionales, etc.) a los que se enfrenta la
cional del Mercado de Valores (CNMV) en lo que supone la voluntariedad en la apli- sociedad, incluyendo entre los financie-
la armonización y actualización de las re- cación de las recomendaciones o, por el ros o económicos, los pasivos contin-
comendaciones de los Informes Olivencia y contrario, explicar e indicar de forma clara gentes y otros riesgos fuera de balance.
Aldama sobre buen gobierno de las socie- aquellos motivos que justifican la no apli-
dades cotizadas, así como para formular cación de las mismas. f) La fijación del nivel de riesgo que la So-
las recomendaciones complementarias que ciedad considere aceptable.
juzgara precisas. El resultado se conoce co- En relación directa con el apetito de riesgo
mo Código Unificado de Buen Gobierno, o el Código establece, en la recomendación g) Las medidas previstas para mitigar el
Código Conthe, debido al apellido del Pre- número 49 relativa al Comité de Auditoría, impacto de los riesgos identificados, en
sidente de la CNMV en ese momento, Ma- de una manera específica: caso de que lleguen a materializarse.
nuel Conthe.
“Que la Política de control y gestión de h) Los sistemas de información y control
Se trata de un código dirigido únicamente riesgos identifique, al menos: interno que se utilizarán para controlar y
a sociedades cotizadas, basado en el prin- gestionar los citados riesgos, incluidos
e) Los distintos tipos de riesgo (operativos, los pasivos contingentes o riesgos fuera
tecnológicos, financieros, legales, repu- de balance.”

60

LA FÁBRICA DE PENSAMIENTO

INSTITUTO DE AUDITORES INTERNOS DE ESPAÑA

Ésta es la primera producción de LA FÁBRICA DE PENSAMIENTO, el think
tank del Instituto de Auditores Internos de España, que nace con el
objetivo de generar conocimiento útil que ayude a los Consejos de
Administración y la Alta Dirección de las empresas de habla hispana en
su toma de decisiones en materia de gobierno y gestión de riesgos.

Este laboratorio de ideas trabajará con un enfoque práctico en la producción
de documentos de buenas prácticas sobre cuatro ejes: buen gobierno,
gestión de riesgos, auditoría interna y particularidades sectoriales.

Esta guía “Definición de Apetito de Riesgo” –fruto del grupo de trabajo
formado por expertos, socios del Instituto de Auditores Internos de
España– expone los conceptos principales, las distintas utilizaciones,
metodologías de aproximación y cálculo, y una propuesta esquemática
sobre cómo implantar el apetito de riesgo en una organización.

Se trata de un exhaustivo trabajo que, sin duda, ayudará a miembros de
los Consejos de Administración, Comités de Auditoría y Alta Dirección
de cualquier tipo de organización a enmarcar adecuadamente el concepto
de apetito de riesgo en su Sistema de Gestión de Riesgos.

Edita Patrocina