Apetito de Riesgo Libro Original PDF

BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS
LA FÁBRICA DE PENSAMIENTO
INSTITUTO DE AUDITORES INTERNOS DE ESPAÑA
Definición e implantación de
Apetito de Riesgo
Apetito de Riesgo
MIEMBROS DE LA COMISIÓN TÉCNICA
COORDINACIÓN: Teresa Gil Aldea. Repsol
David Comellas Batlle, CRMA. Mutua Universal
Iratxe Galdeano Larisgoitia. PwC
Luis Alberto Hernández Videla, CIA. Refresco Iberia
Ana Jiménez Jiménez, CIA. Telefónica
Juan Jiménez Navas. PwC
Jesús Lafita Fernández, CIA. Control Solutions
Carlos Llorente Baranda. MAPFRE
Víctor Manuel Martin Giménez. Ernst & Young
Carlos Muñoz Vega, CIA, CRMA. NH Hoteles
Carolina Werner Alcón. Deloitte
Gestionar la incertidumbre para crear valor de manera sostenible. Ésta es la pre-

misa con la que trabajamos las empresas, pero formalizar esa gestión de la incer-
tidumbre a través de la implantación de un sistema de gestión de riesgos es un
gran paso adelante que mejora no sólo la gestión de las compañías sino la acti-
tud de toda la organización hacia los riesgos, reforzando la cultura corporativa
con la fijación de límites que formen un vínculo dinámico entre la estrategia, los
objetivos de la organización y la gestión de los riesgos.
Felicito al Instituto de Auditores Internos de España por su iniciativa de LA FÁ-

BRICA DE PENSAMIENTO, el recién nacido think tank español que, con vocación
divulgadora, ayudará a quienes tenemos responsabilidades de liderazgo en las
empresas de habla hispana a tener una visión clara y rigurosa de las claves de
éxito a la hora de emprender mejoras en el gobierno de nuestras organizaciones.
Esta Guía, primera producción de LA FÁBRICA DE PENSAMIENTO, es un trabajo

esquemático y detallado sobre el proceso de definición e implantación del apeti-
to de riesgo por parte de la Alta Dirección que pone el foco en las cuestiones cla-
ve que los Consejos de Administración y la Alta Dirección deben considerar a la
hora de definirlo e implantarlo con éxito, y así pasar de métricas y métodos de
evaluación de riesgos a decisiones de negocio y de reporte.
Antonio Huertas
Presidente de MAPFRE
3
Presento con una enorme ilusión esta primera producción de LA FÁBRICA DE

PENSAMIENTO, el think tank del Instituto de Auditores Internos de España que
nace con el objetivo de generar conocimiento útil que ayude a los Consejos de
Administración y la Alta Dirección de las empresas de habla hispana en su toma
de decisiones en materia de gobierno y gestión de riesgos.
Desde el Instituto de Auditores Internos de España agradecemos sinceramente el

patrocinio de esta edición a MAPFRE y a su Presidente, Antonio Huertas, su de-
cidido apoyo a nuestro laboratorio de ideas.
Esta Guía sobre Definición e Implantación del Apetito de Riesgo es el fruto del
trabajo de expertos, socios del Instituto de Auditores Internos de España, que
empezaron a trabajar en septiembre de 2012.
Expone los conceptos principales, las distintas utilizaciones, metodologías de

aproximación y cálculo, y una propuesta esquemática sobre cómo implantar el
apetito de riesgo en una organización.
La Guía parte de la premisa de que toda empresa lleva a cabo sus operaciones
con el fin de crear valor. Pero este fin no puede alcanzarse sin asumir ciertos ries-
gos: gestionar una empresa implica gestionar riesgos y, para poder hacerlo con
garantías, las empresas deben definir su sistema de gestión de riesgos.
Una pieza relevante de este sistema es la fijación del apetito de riesgo: la canti-
dad de riesgo que la empresa desea asumir en la consecución de sus objetivos.
La fijación de este umbral permite optimizar el binomio riesgo-rentabilidad y
mantener los riesgos en los niveles deseados.
Los autores señalan el apetito de riesgo como guía para la toma de decisiones,
la asignación de los recursos y, en definitiva, para alinear a toda la empresa en la
consecución de los objetivos fijados, permitiendo hacer un seguimiento y monito-
rización de los resultados obtenidos y sus riesgos asociados.
Felicito a todos los miembros de la Comisión Técnica por su excelente y exhausti-

vo trabajo que, sin duda, ayudará a miembros de los Consejos de Administración,
Comités de Auditoría y Alta Dirección de cualquier tipo de organización a enmar-
car adecuadamente el concepto de apetito de riesgo en su Sistema de Gestión
de Riesgos.
José Manuel Muries

Presidente del Instituto de Auditores Internos de España
5
Índice
RESUMEN EJECUTIVO 09
INTRODUCCIÓN 14
Definiciones .................................................................................................................. 15
Consideraciones para la determinación del apetito de riesgo ........................ 18
USOS DEL APETITO DE RIESGO 20

Aplicaciones y ventajas .............................................................................................. 20
Sectores donde se utiliza el apetito de riesgo ..................................................... 24
METODOLOGÍAS
Enfoques en la definición del apetito de riesgo .................................................. 26
Evaluación cuantitativa vs cualitativa del apetito de riesgo ............................. 29
Metodología en base al sector ................................................................................ 29
MARCOS DE REFERENCIA 31
Exigencias de carácter obligatorio .......................................................................... 31
Mejores prácticas internacionalmente aceptadas .............................................. 32
IMPLANTACIÓN 38
LECCIONES APRENDIDAS Y CONCLUSIONES 47

¿Qué objetivos tiene la gestión del apetito de riesgo? ................................... 47
¿Qué condiciones previas requiere? ..................................................................... 48
¿Por dónde empiezo? ................................................................................................ 49
Factores clave de éxito: ¿Qué principios deben guiar su implantación? ...... 49
ANEXOS 51
Anexo I · Definiciones ................................................................................................ 52
Anexo II · Detalle de los Marcos de Referencia ................................................. 52
7
Resumen Ejecutivo
Toda empresa lleva a cabo sus operaciones con un fin último, la creación de valor. Pero
este fin no puede alcanzarse sin asumir ciertos riesgos. Por ello, para obtener los resulta-
dos deseados, gestionar una empresa implica gestionar riesgos, y para poder hacerlo con
garantías, las empresas deben definir su sistema de gestión de riesgos.
El proceso de la fijación
Una pieza relevante de ese sistema es la fijación del apetito de riesgo: cantidad de riesgo del apetito de riesgo
que la empresa desea asumir en la consecución de sus objetivos. La fijación de este um- debe ser específico
bral permite optimizar el binomio riesgo-rentabilidad y controlar y mantener los riesgos para cada empresa y
en los niveles deseados. Por tanto, para posibilitar la generación de valor, las organizacio- será responsabilidad de
nes deben hacer un balance entre los riesgos y las oportunidades y el apetito de riesgo su máximo órgano de
debe servir de guía para la toma de decisiones, la asignación de los recursos y, en definiti- gestión determinarlo.
va, para alinear a toda la empresa en la consecución de los objetivos fijados, permitiendo
hacer un seguimiento y monitorización de los resultados obtenidos y sus riesgos asocia-
dos.
Un sistema de gestión de riesgos adecuado debe alinearse con la estrategia de la compa-

ñía y con su cultura corporativa, y como punto clave debe tener en cuenta la naturaleza
de sus operaciones. Los principales órganos de gestión y control de las empresas, ya sean
Consejos de Administración o Alta Dirección, deben apoyar e impulsar la gestión de ries-
gos, con el objetivo de que se transmita a toda la organización y se integre en la operati-
va diaria de todas las áreas. La definición clara de los roles y responsabilidades en mate-
ria de gestión de riesgos dentro de la organización será, por tanto, un factor clave para el
éxito del sistema que se implante.
Para diseñar el sistema de gestión de riesgos y definir de forma adecuada los niveles de
apetito de riesgo, la empresa deberá focalizar sus esfuerzos en el desarrollo y uso de me-
todologías y técnicas que le ayuden a medirlos, y que le permitan compararlos con los ni-
veles de apetito establecidos. El proceso de la fijación del apetito de riesgo debe ser espe-
cífico para cada empresa puesto que no existe un valor de apetito de riesgo estándar apli-
cable a todas las compañías, y será responsabilidad de su máximo órgano de gestión de-
terminarlo. Además, debe tener en cuenta la naturaleza de los riesgos que se desean me-
dir y entenderse como algo vivo, que se revisa y cambia con la evolución de la propia em-
presa, sus objetivos y estrategia, así como el entorno en el que opera.
9
En la determinación del apetito de riesgo, se deben contemplar además otros aspectos

como la tolerancia y la capacidad de la empresa. De este modo, mientras que el apetito
es el nivel de riesgo que la empresa quiere aceptar, aquél con el que se siente cómoda, su
tolerancia será la desviación respecto a este nivel. Por otro lado, la capacidad de asumir
riesgos, será el nivel máximo de riesgo que una organización puede soportar en la perse-
cución de sus objetivos. Así, la tolerancia servirá como alerta para evitar que la empresa
llegue al nivel establecido por su capacidad, algo que pondría en peligro la continuidad
del negocio.
Alta
Exposición
Baja
Apetito de riesgo
Tolerancia al riesgo
Capacidad de riesgo
El apetito es el nivel de Cada organización puede optar por diferentes metodologías de cálculo, condicionadas
riesgo que la empresa por su sector de actividad e implantar modelos tanto cuantitativos como cualitativos. El
quiere aceptar y su uso de unos u otros normalmente depende del grado de estandarización que exista en el
tolerancia será la sector para la medición del apetito (condicionado en la mayoría de los casos, por la exis-
desviación respecto a tencia de regulación explícita al respecto, como es el caso del sector financiero). En secto-
este nivel. La capacidad res en los que no hay obligatoriedad ni modelos definidos, será cada empresa la que de-
será el nivel máximo de
termine el método que desee seguir, en función principalmente de la naturaleza de los
riesgo que una
riesgos por medir. En aquellos casos en que se evalúan los riesgos en términos de impac-
organización puede
to económico y probabilidad, será conveniente establecer el apetito de forma cuantitativa.
soportar en la
Lo cierto es que cada vez resulta más relevante considerar aquellos elementos del apetito
persecución de sus
de riesgo que no se pueden medir y que, por tanto, podrían ser más difíciles de gestionar,
objetivos.
como pueden ser los riesgos reputacionales. Por ello, para garantizar una gestión de ries-
gos integral y equilibrada, es recomendable combinar medidas cuantitativas con medidas
cualitativas, así como tener en cuenta aquellos riesgos para los que la organización puede
tener tolerancia cero.
Las mediciones cuantitativas utilizadas en sectores como el financiero suelen ser métricas
de adecuación del capital, como el capital en riesgo (capital at risk), métricas relaciona-
das con ingresos como los ingresos en riesgo (earnings at risk) y métricas de liquidez es-
10
pecialmente relevantes en Basilea tras los problemas de liquidez vividos en el sector fi-
nanciero en los últimos años.
Cabe destacar la existencia de dos posibles enfoques para la implantación del apetito de El enfoque descendente
riesgo en las organizaciones. es más recomendable
para llevar a cabo la
- El descendente o top-down, basado en establecer el apetito de riesgo desde el más al-
implantación del
to nivel organizativo, alineado con los objetivos estratégicos. Una vez validado formal-
modelo, pero para ser
mente por los órganos responsables, como el Consejo y/o la Comisión de Auditoría, se
completo debe
comunica al resto de la organización para alinear la gestión de riesgos de todas las complementarse con un
áreas con el apetito de riesgo aprobado para toda la compañía, estableciendo niveles reporte basado en un
específicos de apetito para las distintas unidades que la componen. enfoque ascendente.
- El enfoque ascendente o bottom-up, por el contrario, define el apetito de riesgo al mí-
nimo nivel de decisión dentro de una organización, para posteriormente ascender a lo
largo de la estructura organizativa hasta consolidarse en un apetito de riesgo global.
TOP-DOWN BOTTOM-UP
VENTAJAS
· Alineación estratégica · Mayor involucración de toda la
· Convergencia con la capacidad máxima de organización
riesgo · Alto nivel de capilaridad
· Estimulación del debate del equipo · Sencillez en la definición, sobre todo para
ejecutivo riesgos más difíciles de cuantificar
· Alineación con Best Practices
· Explicitación de los requisitos de los
grupos de interés
INCONVENIENTES
· Menor involucración de niveles operativos · Demasiadas interacciones para converger
en la definición con capacidad máxima de riesgo
· Menor nivel de detalle · Menor debate en niveles ejecutivos
· Mayor complejidad en la definición y · Menos convergencia con los requisitos de
cuantificación los grupos de interés
En general, el enfoque descendente es más recomendable para llevar a cabo la implanta-

ción del modelo, al crear una actitud proactiva en el establecimiento de lo que la direc-
ción considera que debe ser el apetito de riesgo de la organización, pero para ser comple-
to debe complementarse con un reporte basado en un enfoque ascendente.
11
En COSO se especifica Por último, conviene recordar que existen distintos marcos de referencia en relación a los
que el apetito de riesgo sistemas de gestión de riesgos y la fijación del apetito (cuyo nivel de exigencia varía de-
y la tolerancia al riesgo, pendiendo de su naturaleza) y que pueden ser de ayuda en el proceso de implantación.
junto a la fijación de Así, existen exigencias de carácter obligatorio y otras, en cambio, recogen mejores prácti-
objetivos, son cas internacionalmente aceptadas.
precondiciones
necesarias para el Carácter obligatorio
establecimiento de un
efectivo sistema de - Marco regulador para entidades bancarias (Basilea)
control interno. - Marco regulador para entidades aseguradoras (Solvencia II)
Mejores prácticas
- Disposiciones de la Organización para la Cooperación y el Desarrollo Económico (OCDE)

- Committee of Sponsoring Organization of the Treadway Commission (COSO)
- International Organization for Standardization (ISO)
- British Standard 31100
- The Institute of Risk Management
- En España: Código Unificado de Buen Gobierno Corporativo (Código Conthe)
Cada empresa deberá asegurar un adecuado conocimiento y cumplimiento de la normati-

va aplicable, que dependerá de la naturaleza de sus operaciones.
Considerado todo lo anterior, los pasos previos que deben tenerse en cuenta a la hora de
implantar el apetito de riesgo como parte integrante del sistema de gestión de riesgos de
una organización son los siguientes:
6. Comunicación, actividades
de control y supervisión
4. Asignación niveles de riesgo
2. Establecimiento de Principios
5. Metodología de cálculo
3. Descripción organizativa
1. Definición marco estratégico
Implantación del Modelo de Gestión de Riesgos
12
En definitiva, desarrollar el apetito de riesgo no es un fin en sí mismo, ni debe consumir

una cantidad desproporcionada de recursos. Cada organización deberá analizar su coste-
beneficio y decidir si está justificada su implantación, así como el nivel de sofisticación
que desea utilizar para sustentar el proceso de determinación de su apetito de riesgo.
Bien definido y adecuadamente utilizado, el apetito de riesgo transforma métricas y méto-
dos de evaluación de riesgos en decisiones de negocio y reporte. Además, establece los lí-
mites que forman un vínculo dinámico entre estrategia, objetivos y gestión de riesgos, lo
que ayuda a optimizar la consecución de resultados y la creación de valor en las organiza-
ciones.
El apetito de riesgo
Apetito de Riesgo · VENTAJAS
transforma métricas y
métodos de evaluación
de riesgos en decisiones
· Mejorar la planificación estratégica.
· Aumentar la efectividad del proceso de toma de decisiones. de negocio y reporte y
Estrategia
· Desarrollar esquemas de seguimiento y medición del desempeño ayuda a optimizar la
más eficientes, completos y justos consecución de
resultados y la creación
de valor en las
organizaciones.
Operaciones · Mejorar el análisis coste-beneficio de las decisiones.
· Asignar recursos de forma más eficiente.
· Comunicar la actitud de la alta dirección frente al riesgo.

Información · Considerar todos los grupos de interés y sus preferencias.
· Desarrollar un sistema de reporte integrado.
· Crear una comunicación basada en pautas comunes.
· Cumplir con la legislación y las mejores prácticas de gestión.

Cumplimiento
· Mejorar la transparencia.
· Implantar una cultura de gestión de riesgos.
13
Introducción
Para garantizar una La gestión de un negocio consiste en tomar una organización, es importante que se diseñe
eficiente implantación decisiones y asumir riesgos. Las empresas tie- como un proceso integrado, como un elemen-
de un sistema de nen como fin último la creación de valor, para to esencial dentro de su estrategia. Así, resulta
gestión de riesgos en lo que, y en base a un análisis de riesgos, es- fundamental que la compañía conozca cuánto
una organización, es tablecen sus objetivos y su enfoque estratégi- riesgo está dispuesta a asumir en la persecu-
importante que se co a corto, medio y largo plazo. En esa bús- ción de sus objetivos y cómo quiere equilibrar
diseñe como un queda de creación de valor, los órganos res- riesgos y oportunidades. Por todo esto, la defi-
proceso integrado, ponsables de la entidad deben plantearse nición del apetito de riesgo es un elemento
como un elemento cuánto riesgo desean asumir, de forma que se clave de un sistema integral de gestión de
esencial dentro de su optimice el binomio riesgo-rentabilidad. La riesgos (ERM, Enterprise Risk Management).
estrategia. gestión de riesgos debe formar parte de la
Por ello, cuando los órganos responsables de
cultura de una empresa, estar embebida en el
una organización (en adelante, se entenderá
día a día de su operativa y ser asumida, difun-
por órganos responsables el Consejo de Admi-
dida y compartida por toda la organización.
nistración u órganos equivalentes) se plantean
La estrategia organizativa de una empresa, posibles estrategias, deben determinar, en pri-
debe basarse en un proceso continuo de iden- mer lugar, si se alinean con el nivel de apetito
tificación y evaluación de riesgos de acuerdo a de riesgo que desean. De este modo, el apeti-
la política que cada compañía haya definido to de riesgo sirve de guía para la toma de de-
en este sentido. Este proceso exige que la cisiones, la asignación de recursos y el alinea-
compañía analice la adecuación de los riesgos miento de la organización, sus trabajadores y
que se toman con el nivel de riesgo deseado, y los procesos, creando la infraestructura nece-
que establezca planes de acción y medidas de saria para responder eficazmente a los desa-
seguimiento, control y reporte adecuados. fíos, seguimiento y monitorización de los ries-
gos. Por ello, no basta con establecer si un
La gestión de riesgos requiere una definición y riesgo es alto, medio o bajo. Una organización
asignación de roles y responsabilidades en to- debe ir más allá y determinar si es aceptable,
dos los niveles de la organización. Cada per- considerando los beneficios potenciales que
sona debe conocer su papel en la gestión de puede reportar.
riesgos de la compañía para que ayude a la
consecución de los objetivos estratégicos y Cuando es debidamente definido y comunica-
do, el apetito de riesgo sirve como guía para
operativos fijados por la alta dirección.
que la dirección fije los objetivos y tome las
Además, para garantizar una eficiente implan- decisiones adecuadas para apoyar las opera-
tación de un sistema de gestión de riesgos en ciones de la empresa y que la organización in-
14
cremente la probabilidad de alcanzar sus ob- nearlos con la estrategia de la compañía y és-
jetivos. tos deben variar con el transcurso del tiempo
y la dinámica del negocio, al igual que lo ha-
En definitiva, la gestión de riesgos es un con-
cen los objetivos y estrategia de la compañía.
cepto que debe estar integrado en la fijación
de la estrategia, la planificación o las decisio- Por último, la determinación y uso del apetito
nes que se toman en el día a día de la organi- de riesgo de una organización debe entender-
zación. Debe ser parte de la cultura y una pieza se como un elemento de buen gobierno hacia
clave en la toma de decisiones para la conse- los grupos de interés y que, por tanto, los ges-
cución de los objetivos, ya sean de cada área o tores deben asumir como necesario.
del conjunto. Por ello las organizaciones han
de considerar su apetito de riesgo en el mo-
mento en que deciden sobre sus objetivos.
DEFINICIONES
La determinación de ese apetito de riesgo Las definiciones del apetito de riesgo varían
comprende tres etapas: dependiendo del contexto en el cual se de-
1. Definición sarrolle, considerando aspectos como el sec-
2. Implantación y comunicación tor de actividad, las diferentes perspectivas de
3. Monitorización y actualización periódica. los grupos de interés o los tipos de riesgo que
existan.
La mayoría de las organizaciones tienden a
definirlo en términos cuantitativos, si bien, ca- Por otro lado, existen términos como la tole- La definición del apetito
da vez es más importante incluir elementos rancia al riesgo o la capacidad de riesgo, muy de riesgo es un
cualitativos,en línea con las últimas tenden- relacionados con el apetito y que en ocasio- elemento clave de un
cias en reporte integrado. Promovidas por el nes pueden llevar a confusión. sistema integral de
International Integrated Reporting Council gestión de riesgos
(IIRC), estas tendencias abogan por un repor- Adicionalmente, existen distintos marcos de
(ERM, Enterprise Risk
te corporativo que incluya información sobre referencia que definen los conceptos clave co-
Management).
estrategia, gobierno, comportamiento, pers- mo el apetito, la tolerancia y la capacidad,
pectivas de la organización y la conexión con desde enfoques que pueden no ser exacta-
su contexto económico, social y ambiental. mente equivalentes1. A continuación se resu-
Por tanto, la discusión sobre el apetito de men los principales conceptos y definiciones
riesgo, además de variables financieras, con- que se pueden encontrar en los marcos meto-
templará conceptos como: reputación y mar- dológicos más usados en materia de gestión
ca, sostenibilidad y medioambiente, gobierno de riesgos:
corporativo, cumplimiento, recursos humanos,
etc. COSO
Debe tenerse en cuenta que no es un concep- De acuerdo a lo establecido por el nuevo mo-
to individual fijo que pueda estandarizarse. delo para la práctica de control interno, ac-
Cada compañía debe establecer su apetito de tualizado en mayo de 2013, se define el con-
riesgo para los diferentes tipos de riesgo y ali- cepto de apetito de riesgo como el riesgo
1. Para más detalle sobre los marcos de referencia existentes consultar el apartado “Marcos de referencia” del presente
documento (Página 31).
15
que se está dispuesto a aceptar en la bús- riesgo, como la cantidad de riesgo, desde un
queda de la misión/visión de la entidad. Es punto de vista amplio, que una organización
así, un hito más en la fijación de la estrategia está dispuesta o desea aceptar en la persecu-
y los objetivos. ción de valor.
Se define como el nivel aceptable de varia- British Standard 31100
ción en los resultados o actuaciones de la El British Standard 31100 sobre “Gestión de
compañía relativas a la consecución o logro
Riesgo” se refiere al apetito como la canti-
de sus objetivos.
dad y tipo de riesgo que una organización
Dicho de otro modo, la tolerancia es la canti- esta preparada para afrontar, aceptar o to-
dad máxima de un riesgo que una organiza- lerar. Esta definición resulta más ambigua al
ción está dispuesta a aceptar para lograr su no diferenciar claramente entre apetito y tole-
objetivo. Se refiere a lo que una empresa se rancia al riesgo.
puede permitir gestionar. Riesgos que, en ca-
so de aparecer, la compañía tiene que ser ca-
paz de soportar. ISO
· ISO 31000, “Gestión del riesgo. Principios
Capacidad de riesgo
y directrices”
COSO define el apetito Hace referencia en cambio a la cantidad y ti-
La norma ISO 31000, en cambio no habla
de riesgo como el po de riesgo máximo que una organización
explícitamente del apetito de riesgo, sino
riesgo que se está es capaz de soportar en la persecución de
sus objetivos. que lo trata indirectamente en relación con
dispuesto a aceptar en
los conceptos de creación de valor y “acti-
la búsqueda de la
Usando el ejemplo de un banco, se podría de- tud ante al riesgo” que define como el en-
misión/visión de la
cir que su apetito es el nivel de riesgo que la foque de la organización para evaluar y
entidad.
entidad está dispuesta a aceptar para acceder eventualmente buscar, retener, tomar o ale-
a cierto nivel de rentabilidad. En cambio, su jarse del riesgo.
capacidad se refiere a cuánto riesgo puede
asumir sin quebrar. También usa el concepto “criterios del
ries go” como el término de referencia
“Marco Integrado de Gestión de Riesgos”
frente al cual se evalúa la importancia de
de COSO
un riesgo.
El “Marco Integrado de Gestión de Riesgos”
de COSO define únicamente el apetito de · Guía 73 de ISO “Guía de Gestión de ries-
go - Vocabulario”
Alta
Exposición Por otro lado, la Guía 73 de ISO” (surgida a
Baja raíz de la ISO 31000 y consistente en un
glosario de términos relativos a la gestión
de riesgos) define el apetito como la canti-
Apetito de riesgo dad y tipo de riesgo que una organiza-
Capacidad de riesgo ción desea retener o perseguir.
16
En definitiva, el concepto de apetito de riesgo no está asumiendo más riesgo del que debe-
hace referencia a perseguir el riesgo, o dicho ría, considerando los objetivos que persigue.
de otro modo, a la cantidad agregada de ries-
Cada empresa persigue varios objetivos al
go que la empresa activamente quiere o está
dispuesta a asumir, para la obtención de va- mismo tiempo para agregar valor a sus gru-
lor. Dada su relevancia y las implicaciones a pos de interés. En términos generales, debería
nivel estratégico que conlleva, debe ser un entender el apetito de riesgo como el riesgo
concepto definido por el máximo órgano res- que desea tener, siempre que esté bajo con-
ponsable de la organización. trol, para lograr sus objetivos.
Como se habrá podido apreciar, los términos Por ello, las organizaciones deben verificar Dada la relevancia y las
apetito y tolerancia con frecuencia se usan de que el riesgo asumido en cada momento está implicaciones a nivel
forma indistinta, y aunque efectivamente son dentro de los límites que marca su apetito, estratégico que
términos relacionados, se refieren a conceptos evitándose que se acerque al nivel de toleran- conlleva el apetito de
diferentes aunque complementarios. Una em- cia establecido. En caso de hacerlo, deberán riesgo, debe ser un
tomarse medidas para reducirse la exposición concepto definido por
presa quiere estar segura de que asume el su-
el máximo órgano
ficiente riesgo para poder conseguir sus obje- a ese riesgo lo antes posible, evitando llegar
responsable de la
tivos, pero, al mismo tiempo, desea saber que al límite marcado por su capacidad.
organización.
Exposición
Capacidad de riesgo
El riesgo excede los límites
de riesgo tolerables
El riesgo excede los
límites deseables
Apetito de riesgo
La organización puede asumir más

riesgo para optimizar su rendimiento
Tiempo
Usando un ejemplo sencillo como la velocidad a la que circula un coche, podría decirse que el coche ad-
mite una velocidad máxima de 200 Km/h, o que su capacidad es de 200 Km/h. Pero su conductor, te-
niendo en cuenta su habilidad para conducir, el tipo de vía, la climatología y las prestaciones del vehículo
toleraría ir a un máximo de 160 km/h. Aun así, considerando que su objetivo es llegar a su destino lo
antes posible pero de forma segura, decide conducir a 110Km/h, ya que es la velocidad que le permite
hacer el recorrido respetando los límites establecidos, en un tiempo adecuado y sintiéndose confortable
en la conducción. Este sería, por tanto, su nivel de apetito.
17
A continuación se muestra un resumen de los tres conceptos definidos, usando el caso de una
Empresa A, que debe decidir sobre una puja en un concurso para la adjudicación de una licencia
de explotación X:
CONCEPTO ¿A QUÉ HACE REFERENCIA? EJEMPLO
La empresa A quiere pagar un precio máximo por la licencia de 20 millones de €.

Apetito
Nivel de riesgo que la empresa quiere

Comienza la subasta y ofrece 10 millones de €. Esta cifra está dentro de los límites
aceptar, aquel con el que se siente
de riesgo que desea asumir, considerado el objetivo que persigue y el beneficio
cómoda.
esperado de la explotación de esa licencia.
La subasta continúa y tras varias pujas un competidor ofrece 24 millones de €.

Tolerancia
Desviación respecto al nivel en el que

la empresa se siente cómoda. Sirve de La empresa debe decidir si hacer una oferta superior, sobrepasando el nivel que
alerta para evitar llegar al nivel que deseaba pagar inicialmente (20 millones de €). Finalmente puja por 25 millones
establece su capacidad. de € y asume un riesgo que estaría por encima del nivel que deseaba asumir.
La subasta continúa y otro competidor llega hasta 29 millones de €. La empresa A

Capacidad
Nivel máximo de riesgo que la sabe que los recursos máximos con los que cuenta son 30 millones de €. Si puja
empresa puede soportar. asumirá el máximo riesgo que sus actuales recursos le permiten, quedándose al
límite de sus recursos, por lo que decide no seguir pujando.
Como se puede apreciar, la terminología puede variar ligeramente dependiendo del marco utiliza-
do pero la esencia de los conceptos clave en todos ellos es similar.
CONSIDERACIONES PARA LA DETERMINACIÓN DEL APETITO DE

RIESGO
Hasta ahora hemos comentado algunos con- órganos de responsabilidad y debe estar
ceptos generales relativos a la gestión de ries- vinculado a la estrategia de la compañía.
gos en lo que a niveles de tolerancia y apetito Por ello es necesario entender bien los ob-
de riesgo se refiere. Si bien la claridad en los jetivos definidos por la compañía y los ries-
conceptos es el punto de partida necesario gos que en cada caso tienen asociados.
para la adecuada determinación del apetito - Para definir el apetito de riesgo, es impor-
de riesgo de una compañía, igualmente es tante tener en cuenta las expectativas de
deseable tener en cuenta una serie de consi- los inversores, reguladores y otros grupos
deraciones generales, que son clave para ges- de interés. Especialmente considerando que
tionar con éxito este proceso. Aunque algunas cada grupo tiene diferentes preferencias
de ellas ya han sido señaladas, a continuación respecto al apetito de riesgo. El de los in-
se incluye un breve resumen que puede ser de versores es distinto al de las agencias de
utilidad para el lector: rating y éste es distinto al de los deudores
- En primer lugar, la organización en su con- o al del público en general. Por ello, debe
junto debe entender que determinar el ape- garantizarse un equilibrio adecuado en la
tito de riesgo corresponde a sus máximos gestión de las expectativas de todos ellos. A
18
menudo la dirección comete el error de diferente en una operación de puesta en

centrarse en el apetito de riesgo de un gru- marcha en un nuevo mercado si se compa-
po de interés, sin dar suficiente peso al de ra con el asociado al mantenimiento de un
los demás grupos. negocio ya establecido en un mercado ma-
- No existen estándares ni un valor único y duro, y así sucesivamente.
adecuado para el apetito y/o la tolerancia - Los órganos responsables de la compañía
al riesgo. Cada compañía debe establecer deben comunicar el apetito de riesgo a to-
sus niveles propios, aquellos que mejor se da la organización, para conseguir que se
adecúen a su realidad en cada momento y embeba en la gestión diaria de la empresa.
al perfil de riesgo que se desea con varia- - Es clave asegurar una adecuada medición Es clave asegurar una
bles tanto cualitativas como cuantitativas. adecuada medición de
de los niveles de apetito, tolerancia y capa-
- Es conveniente vincular el apetito a la ca- cidad de cada empresa, porque sirven co- los niveles de apetito,
pacidad de riesgo de la organización y a la mo base para la toma de decisiones estra- tolerancia y capacidad
cultura de riesgo existente. La posición en tégicas de la empresa. Los errores en su de cada empresa,
términos de cultura, estrategia y competiti- cálculo pueden inducir a una toma de deci- porque sirven como
vidad tiene influencia en el apetito de ries- siones incorrecta. base para la toma de
go, de forma que diferentes empresas ten- decisiones estratégicas.
- La tolerancia debe servir como indicador
drán diferentes tolerancias para los diferen-
que informe a la empresa si puntualmente
tes tipos de riesgo que gestionan. Además,
se está asumiendo un nivel de riesgo por
dentro de una organización, el apetito de-
encima del deseado pudiendo así recondu-
bería diferir entre las distintas unidades de
cir la situación. Además debe servir como
negocio. Por ejemplo, el apetito de riesgo
alerta para evitar llegar a niveles que supe-
de un banco por el riesgo de crédito en cré-
ren la capacidad de la empresa, exponién-
ditos al consumo puede ser muy diferente a
dola a riesgos que no podría soportar en
su apetito de riesgo de mercado en sus
caso de materializarse.
operaciones de banca de inversión.
- El desarrollo del apetito de riesgo no es un La consideración de estos principios durante
fin en sí mismo, ni debe consumir una can- el proceso de definición y gestión del apetito
tidad desproporcionada de tiempo y/o re- de riesgo de cualquier compañía, ayudará a
cursos. Es importante garantizar siempre el lograr una mejor consecución de los resulta-
mantenimiento de un equilibrio adecuado dos esperados.
entre coste-beneficio en la definición e im-
Alinear Personalizar
plantación de los sistemas de gestión de con la estrategia para la compañía
riesgos de las empresas.
Alinear Alinear con las
- El apetito no es algo estático, debe revisar- con la capacidad y expectativas de los
se de forma continua y monitorizarse, y se la cultura de riesgo 8 CLAVES DE ÉXITO stakeholders
puede diferenciar entre corto y largo plazo, PARA DEFINIR
dado que los niveles en cada caso pueden Medir EL APETITO DE RIESGO Comunicar
adecuadamente para internamente
variar. Es fundamental tener una visión toma de decisiones (top down)
multidimensional y equilibrada del apetito
Adecuar equilibrio Revisar
de riesgo y actualizarla periódicamente. El
coste/beneficio continuamente
apetito de riesgo de la alta dirección será
19
Usos del Apetito de Riesgo

APLICACIONES Y VENTAJAS riesgo aceptables para las diferentes catego-
rías de riesgo afrontadas por la organización.
Como se ha explicado, los sistemas de ges-
tión de riesgos tienen como finalidad ayudar Asimismo, el apetito de riesgo resulta una he-
a que los objetivos de una organización se rramienta eficaz para la asignación de res-
cumplan: facilitan la toma de decisiones y ponsabilidades sobre los diferentes riesgos
mantienen los riesgos afrontados dentro de soportados. Permite instrumentar una escala
unos límites razonables. Esa razonabilidad de delegación de responsabilidades y de ges-
viene determinada por el apetito de riesgo. tión para los distintos riesgos, desde los nive-
les inferiores de la organización a los superio-
El apetito de riesgo, El apetito de riesgo es un elemento de ges-
res, en función de cómo se sitúe la exposición
concretado en niveles tión que aporta a la organización ciertas ven- de los riesgos respecto al apetito fijado.
de riesgo aceptables, tajas. Éstas se detallan a continuación, según
permite articular un los cuatro objetivos marcados en el estándar En ese sentido, las VENTAJAS que aporta son:
sistema efectivo de
de gestión de riesgos COSO II: estrategia, - Mejorar la planificación estratégica. La la-
alertas y de gestión de
operaciones, información y cumplimiento. bor de identificar cuánto riesgo puede so-
la actividad realizada.
portar una organización requiere que los
responsables entiendan las restricciones y
1. Estrategia
capacidades para asumir riesgos que tiene
Este nivel de objetivos se refiere al conjunto la compañía, tanto internas como externas
de decisiones que toma la organización para y que diferencien las estrategias que son
lograr su misión. Aquí la utilidad esencial del asumibles para la organización de las que
apetito de riesgo es ayudar a alinear los obje- no. Ayuda a diferenciar los riesgos que son
tivos de la organización con su perfil de ries- asumibles por la organización de los que
go, entendido éste como el enfoque global no lo son, por lo que –en suma– posibilita
que la organización desea dar a su gestión de una planificación dinámica e integrada.
riesgos. De esta forma ayuda a la organiza- - Aumentar la efectividad del proceso de
ción a diferenciar los riesgos que son asumi- toma de decisiones. El apetito de riesgo se
bles de los que no. El apetito de riesgo inte- determina por diversas variables que in-
gra la gestión de riesgos en la toma de deci- teractúan entre ellas como la estrategia
siones operativas, ya que se concreta de for- competitiva y de financiación, los grupos de
ma consistente en tolerancias y límites de interés y la cultura de riesgo. Esa recopila-
20
ción y procesamiento de datos aumenta la bles en la toma de decisiones, impide pen-

información relevante en la toma de deci- sar únicamente en las ventajas de una deci-
siones y mejora los resultados del proceso. sión obviando sus riesgos.
- Desarrollar esquemas de seguimiento y - Asignar recursos de forma más eficiente.
medición del desempeño más eficientes, La definición de límites de riesgo asumibles
completos y justos al considerar el binomio permite evaluar si los efectos previstos es-
rentabilidad/riesgo en la evaluación del tán dentro de los intervalos marcados e
desempeño. identificar posibles desviaciones. En un con-
texto de recursos limitados, el apetito de
2. Operaciones riesgo ayuda a definir dónde se producen
las mayores desviaciones con respecto a los
El apetito de riesgo es una variable que ayuda límites aceptables y dedicar recursos a solu-
a la gestión de riesgos en los procesos opera- cionar dichas desviaciones.
tivos de las organizaciones: integra los riesgos
en la toma de decisiones operativas. Es defini-
do a alto nivel en la organización y debe con- 3. Información
cretarse de forma consistente en límites de
El informe COSO II incluye la información fi- El establecimiento del
riesgo aceptables para las diferentes categorí-
nanciera y no financiera, la interna y la exter- apetito de riesgo tiene
as de riesgo afrontadas. Esos límites se deben
na, en una consideración global de la infor- importantes
comunicar e integrar en el día a día de las consecuencias en
mación. Las organizaciones, cada vez más,
distintas áreas. Determinarán los comporta- términos de la
afrontan mayores requerimientos en este sen-
mientos y variables aceptables de desempe- información para la
tido por parte de todos sus grupos de interés,
ño. dirección, así como
se demanda mayor rapidez, claridad y trans-
para la medición y
En este ámbito de objetivos operativos, resul- parencia.
reporte de los riesgos.
tan especialmente útiles los indicadores de
El apetito de riesgo permite identificar los
riesgo (Key Risk Indicators) que se basan en la
eventos relevantes para una organización en
identificación de variables correlacionadas
términos de potenciales riesgos, y comunicar-
con los riesgos y que permiten realizar una
los a las partes que demanden dicha informa-
identificación, seguimiento y respuesta frente
ción.
a los mismos. El apetito de riesgo, concretado
en niveles de riesgo aceptables, permite arti- Internamente, el apetito de riesgo permite
cular un sistema efectivo de alertas y de ges- crear una estructura de reporte clara. En fun-
tión de la actividad realizada. ción del nivel de exposición y de dónde se si-
túe el límite aceptable de los riesgos, éstos se
Las principales VENTAJAS en este caso son:
reportarán a un nivel organizativo u otro.
- Mejorar el análisis coste/beneficio de las
decisiones. En mercados eficientes, las de- El establecimiento del apetito de riesgo tiene
cisiones con mayores retornos esperados importantes consecuencias en términos de la
implican una asunción de mayores riesgos. información para la dirección, así como para
El apetito d riesgo combina ambas varia- la medición y reporte de los riesgos. Será ne-
21
cesario adaptar la información de gestión pa- asegurar que los riesgos se hagan explíci-
ra permitir el seguimiento de los riesgos y su tos.
consideración respecto al apetito a lo largo de
- Considerar todos los grupos de interés y
la organización, enriqueciendo los reportes
sus preferencias. El apetito de riesgo debe
existentes con esta variable de gestión y ar-
combinar las preferencias de todos los gru-
monizando las estructuras de roles, responsa-
pos de interés de la organización (emplea-
bilidades y límites de decisión existentes.
dos, accionistas, deudores, reguladores
Frente a un enfoque Una cuestión fundamental es la identificación etc.). La actitud respecto al riesgo y el perfil
basado en el uso de y explotación de los datos de los principales de riesgos es muy diferente en cada grupo,
información detectiva y indicadores para tomar acciones preventivas, por lo que un apetito de riesgo común de-
pasiva, la información que posibiliten no exceder el apetito o no su- be aunar las restricciones y preferencias de
de medidas e todos los grupos.
perar los límites establecidos. Frente a un en-
indicadores anticipados
foque basado en el uso de información detec- - Crear una comunicación basada en pau-
permite aportar más
valor y ayuda a adoptar tiva y pasiva, la información de medidas e in- tas comunes para todos los grupos. El
las acciones dicadores anticipados permite aportar más apetito de riesgo mejora el diálogo entre la
preventivas necesarias. valor y ayuda a adoptar las acciones preventi- alta dirección y las áreas de negocio y ayu-
vas necesarias. da a fijar un lenguaje común y magnitudes
compartidas por todos los grupos de inte-
Además, la información de riesgos debe inter-
rés, lo que favorece un mejor entendimien-
pretarse de forma dinámica, por ejemplo, un
to y comunicación. Es una pauta de comu-
incremento en la exposición de un determina-
nicación común a todos los grupos de inte-
do riesgo, implicará una disminución en el
rés.
apetito de riesgo de otros. El grado de flexibi-
lidad concedido a los gestores de riesgos de- - Desarrollar un sistema de reporte integra-
penderá claramente de la calidad y madurez do (Integrated reporting). Para ello, un pa-
del sistema de gobierno y control de riesgos so esencial es determinar los riesgos mate-
de la entidad. riales (tanto negativos como positivos) que
impactan en una organización a la hora de
EL APETITO DE RIESGO PERMITE:
crear o destruir valor. Esa materialidad pue-
- Hacer explícita la actitud de la alta direc- de estar fijada por el apetito de riesgo, por
ción frente al riesgo. Resulta, por tanto, lo que sustenta una aproximación integral
una manera adecuada de discernir clara- a los riesgos.
mente los riesgos y decisiones asumibles de
las que no lo son. Una discusión abierta so-
4. Cumplimiento
bre cuál es el apetito de riesgo es una for-
ma apropiada de involucrar a los diferentes Los reguladores e instituciones exigen que las
responsables de la organización en temas organizaciones desempeñen su actividad den-
estratégicos y de gestión de riesgos. El ape- tro de la legalidad y con una adecuada trans-
tito de riesgo fuerza el debate y ayuda a parencia de sus actividades. Cada día se exige
22
mayor responsabilidad en el comportamiento - Implantar una cultura de gestión de ries-

de las organizaciones y el apetito de riesgo gos. Un diálogo abierto sobre el apetito de
ayuda a determinar responsable y consciente- riesgo debe trasladarse a una definición de
mente aquello que pueden y no pueden ha- tolerancias y límites de riesgo asumibles en
cer. Se debe recordar que en todos los meca- cada actividad y ayudar a integrar la ges-
nismos de control y cumplimiento, es impor- tión de riesgos en el día a día de todos los
tante asegurar que los costes de su implanta- niveles organizativos.
ción sean inferiores a los beneficios que re-
portan, y en el caso del apetito de riesgo, al El apetito de riesgo es un elemento esencial
igual que en el resto, su implantación debe de un sistema de gestión de riesgos. Permite
ser eficiente. a una organización identificar cómo se ade-
cúan las decisiones para lograr los objetivos
Adicionalmente, como se detalla más adelan-
de acuerdo a su perfil de riesgo y, en caso de
te, en 2004 la OCDE emitió los Principios de
existir desviaciones, gestionarlas de forma efi-
Buen Gobierno que fijaban la necesidad de
ciente y oportuna.
que las organizaciones gestionen sus riesgos
conscientemente, sabiendo lo que una organi-
zación está dispuesta a asumir. Desde enton-
ces, la legislación refleja esta demanda social. Apetito de Riesgo · VENTAJAS
En España, la Ley de Economía Sostenible
(2011) exige que las sociedades cotizadas
· Mejorar la planificación estratégica.
proporcionen información sobre sus sistemas · Aumentar la efectividad del proceso de toma de decisiones.
Estrategia
de control de riesgos en su “Informe Anual de · Desarrollar esquemas de seguimiento y medición del desempeño
más eficientes, completos y justos
Gobierno Corporativo”.
Por todo ello, las VENTAJAS de disponer de

un apetito de riesgo definido, para los objeti-
Operaciones · Mejorar el análisis coste-beneficio de las decisiones.
vos de cumplimiento son: · Asignar recursos de forma más eficiente.
- Cumplir con la legislación y las mejores

prácticas de gestión exigidas por los re-
guladores. Cada vez más sectores incorpo-
· Comunicar la actitud de la alta dirección frente al riesgo.
ran requerimientos de responsabilidad y
Información · Considerar todos los grupos de interés y sus preferencias.
transparencia en relación con la gestión de · Desarrollar un sistema de reporte integrado.
· Crear una comunicación basada en pautas comunes.
riesgos. El apetito permite a una organiza-
ción ser consciente de sus riesgos y repor-
tar aquéllos relevantes.
· Cumplir con la legislación y las mejores prácticas de gestión.
- Mejorar la transparencia de las organiza- Cumplimiento
· Mejorar la transparencia.
ciones respecto a su gestión de riesgos, · Implantar una cultura de gestión de riesgos.
puesto que delimita los eventos relevantes.
23
SECTORES DONDE SE UTILIZA ble. Los marcos suelen hacer referencia a la

EL APETITO DE RIESGO necesidad de que el apetito de riesgo tenga
una relación clara con el capital de la organi-
La aversión al riesgo ha sido un tema tradicio-
zación y que el apetito se alinee con su estra-
nal en la teoría microeconómica, centrado en
tegia.
cómo las condiciones de incertidumbre afec-
tan a los procesos de toma de decisiones. Solvencia II, por ejemplo, requiere que las EN-
TIDADES ASEGURADORAS realicen una au-
Desde el S. XVI se han producido aportacio-
toevaluación interna de sus riesgos y de su
nes en este campo que se han intensificado
solvencia (ORSA), teniendo en cuenta el perfil
significativamente en el S.XX, con las teorías
de riesgo específico, sus límites de tolerancia
de J. Von Neumann, Morgenstern, Arrow,
al riesgo aprobados por el Consejo de Admi-
Beck, etc.
nistración, su estrategia comercial y la medida
El apetito de riesgo es La aplicación del apetito de riesgo en la ges- en que el perfil de riesgo de la empresa se
una pieza esencial tión de organizaciones está generalizándose desvía del capital de solvencia obligatorio.
dentro de los sistemas como parte esencial de los sistemas integrales Basilea, relativo a la BANCA, se centra en el
integrales de gestión de de gestión de riesgos (ERM) cada vez más co- riesgo que una entidad está dispuesta a asu-
riesgos (ERM), que munes en todos los sectores de actividad, mir dada su capacidad de riesgo, relacionada
ayudan a la aunque su enfoque y nivel de desarrollo va- ésta con la base de capital, la liquidez y otras
sostenibilidad de las rían dependiendo de su naturaleza. restricciones regulatorias o de solvencia. La
organizaciones. definición del apetito de riesgo de este marco
Sectores Regulados conceptual, permite a las entidades financie-
ras fijar métricas cuantitativas como capital
En sectores regulados, como el FINANCIERO,
económico, límites de concentración de ries-
compuesto por entidades de crédito, de inver-
gos, rentabilidad ajustada al riesgo (RAROC),
sión y aseguradoras, esta tendencia es espe-
ratio de fondos de máxima calidad (Tier 1),
cialmente marcada. Este sector ha constituido
pérdidas esperadas, exposición a eventos ex-
tradicionalmente el campo de actividad en el tremos, etc. El apetito de riesgo posibilita un
que se han aplicado técnicas y elementos enfoque proactivo para la distribución de su
cuantitativos de gestión de riesgos que han capital, un desarrollo de medidas cuantitati-
permitido un cálculo exacto de los potenciales vas de riesgos, un mejor gobierno corporativo,
riesgos. Adicionalmente, los estándares regu- una mayor transparencia e información más
latorios en dicho sector, han destacado la ne- oportuna y efectiva. Estas presiones regulato-
cesidad de adecuación del capital de las orga- rias, así como un mayor enfoque en el gobier-
nizaciones a los riesgos asumidos en su acti- no corporativo en los últimos años, han servi-
vo, para garantizar la viabilidad de dichas en- do de estímulo para muchos cambios en la in-
tidades. dustria financiera, como el reconocimiento de
Por ello, estándares regulatorios como Basilea la necesidad de articular el apetito de riesgo
para la banca o Solvencia II para el sector por las entidades de forma más clara.
asegurador están incidiendo en la convenien- En el sector financiero, el apetito de riesgo es
cia de que las organizaciones establezcan y un input importante para la determinación del
comuniquen de forma explícita su apetito de capital económico que, a su vez, condiciona
riesgo, midan su exposición a los riesgos, las necesidades globales de capital. El capital
aseguren que ésta sea acorde a su apetito y económico, por lo general, desempeña un pa-
que éste es coherente con el capital disponi- pel clave en la cuantificación de los riesgos y
24
en integrar el apetito de riesgo en la infraes- La identificación de medidas para los riesgos

tructura operativa del negocio. Estas metodo- asumibles se aplica en diversos ámbitos. Es-
logías ofrecen una herramienta para cuantifi- tándares de gestión de riesgos de seguridad
car el riesgo y comprender mucho mejor la re- de la información como MAGERIT 3 o ISO
lación entre riesgo y rentabilidad. 27005 definen la necesidad de fijar umbrales
para atender a los riesgos aunque no concre-
Sectores No Regulados tan específicamente medidas o formas de ha-
cerlo.
Los sectores de actividad en los que no existe
una regulación al respecto tan específica, Por otro lado, el SECTOR PÚBLICO está ha-
presentan una evolución menos sofisticada ciendo esfuerzos por evolucionar hacia mode-
del apetito de riesgo, se centran en especifi- los de gestión de riesgo ligados a estándares
caciones cualitativas que resultan adecuadas como ISO 31000. No obstante, la implanta-
para riesgos más generales, como por ejem- ción de procesos de gestión de riesgos y de
plo el reputacional. medidas específicas en este sector es todavía
En los sectores relacionados con industrias incipiente.
donde la seguridad y fiabilidad de las opera- Independientemente del sector de actividad, Los criterios utilizados
ciones es importante (por ejemplo ALIMEN- los sistemas integrales de gestión de riesgos por los índices
TACIÓN, SANIDAD o TRANSPORTE) se ha (ERM) se aplican cada vez en más ámbitos. El bursátiles específicos de
desarrollado el concepto de apetito de riesgo, apetito de riesgo es una pieza esencial dentro sostenibilidad en
aunque centrado en riesgos operativos, como de estos sistemas que, de forma generalizada, empresas cotizadas
los de seguridad física de empleados, clientes, se reconocen como una buena práctica de para valorar qué
fraude o las vulnerabilidades de los sistemas, gestión y ayudan a la sostenibilidad de las or- empresas son las más
y en aspectos de cumplimiento o segregación ganizaciones (entendida ésta como la capaci- responsables, se centran
de funciones, que tienen umbrales de toleran- dad de crear valor a lo largo del tiempo). Un en las prácticas en
cia pequeños y donde el análisis se basa en reconocimiento de estas ventajas son los índi- materia de gestión y
determinar el coste de la exposición a los ries- ces bursátiles específicos de sostenibilidad en control de riesgos que
gos frente al coste de los controles por im- empresas cotizadas como el Dow Jones Sus- aplican.
plantar. La gestión de este tipo de riesgos ha tainability Index4 o el FTSE 4Good5, que con-
prevalecido sobre esquemas de gestión y op- sideran que las organizaciones con principios
timización de los riesgos asumidos (oportuni- de gestión responsable pueden proporcionar,
dades). Así, en la industria aeronáutica, por a largo plazo, un retorno a la inversión mayor
ejemplo, el estándar SARPS-ICAO2 de gestión que la media. Sus criterios, para valorar qué
de seguridad se centra en identificar amena- empresas son las más responsables, se cen-
zas y eliminarlas hasta que el riesgo sea tole- tran en las prácticas en materia de gestión y
rable bajo un análisis coste-beneficio. control de riesgos que aplican.
2. SARPS-ICAO, Standards and Recommended Practices. International Civil Aviation Organization

3. MAGERIT, Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Ministerio de Hacienda y Administraciones Pú-
blicas, octubre 2012. ISO 27005, estándar relativo a la gestión de riesgos de seguridad de la información
4. Los índices Dow Jones Sustainability Indexes son una familia de indicadores lanzados en una iniciativa conjunta en 1999 entre S&P y
RobecoSAM, con objetivo de evaluar a las compañías cotizadas más relevantes, con criterios económicos, sociales y medioambientales.
Más información en www.sustainability-index.com/
5. El Financial Times London Stock Exchange for Good es un índice que evalúa el cumplimiento con los objetivos de responsabilidad social
de las empresas cotizadas más grandes. Fue lanzado en 2001 por el grupo FTSE. Más información enwww.ftse.com/Indices/FTSE4Go-
od_Index_Series/index.jsp
25
Metodologías
Como se habrá podido apreciar, bien definido, necesario impartir formación adicional o reali-
el apetito de riesgo transforma métricas y mé- zar cambios en el personal pero, en la mayo-
todos de evaluación de riesgos en decisiones ría de las organizaciones, lo que mayor im-
de negocio y reporte. Además, establece los lí- pacto suele tener es la implicación de la Alta
mites que forman un vínculo dinámico entre Dirección.
estrategia, fijación de objetivos y gestión de
En este sentido, las discusiones sobre el apeti-
riesgos.
to de riesgo permiten al responsable de ges-
tión de riesgos (CRO, Chief Risk Officer o si-
milar) involucrar a los jefes de las unidades de
El apetito de riesgo ENFOQUES EN LA DEFINICIÓN negocio en la definición de los vínculos entre
permite al responsable DEL APETITO DE RIESGO el riesgo y la estrategia. El proceso también se
de gestión de riesgos
Las distintas partes de la organización y gru- puede utilizar para involucrar al Consejo (o
(CRO, Chief Risk Officer
pos de interés tienen puntos de vista diferen- máximo órgano de responsabilidad existente)
o similar) involucrar a
tes, tal como se ha comentado anteriormente, y a directores no ejecutivos. El resultado es un
los jefes de las
por lo que la definición del apetito de riesgo marco robusto que puede utilizarse para arti-
unidades de negocio en
debe tratar de aunar todas las necesidades cular el apetito de riesgo a lo largo de una or-
la definición de los
existentes. De este modo, la determinación ganización que tenga en cuenta las necesida-
vínculos entre el riesgo
del apetito de riesgo, organizativamente, pue- des y perspectivas de los grupos de interés.
y la estrategia.
de definirse con dos enfoques alternativos: de
En este tipo de enfoque descendente se esta-
manera ascendente o de manera descenden-
blece un apetito de riesgo al más alto nivel
te.
organizativo, de aplicación para todo el grupo
o compañía, generalmente en términos cuan-
1. Enfoque descendente (top-down) titativos. Posteriormente, se va desglosando
En la mayor parte de las organizaciones, el dicho apetito a nivel región, división o línea
apetito de riesgo se establece al más alto ni- de actividad y, consecuentemente, a nivel
vel organizativo, alineado con los objetivos país, empresa (en caso de grupos empresaria-
estratégicos. Parte de la Dirección y debe ser les), área, producto, etc.
validado formalmente por los órganos res-
A medida que el apetito de riesgo se comuni-
ponsables (Consejo y/o Comisión de Audito-
ca a través de toda la organización (subsidia-
ría).
rias, divisiones, unidades de negocio, regio-
Para cambiar el comportamiento de una orga- nes, países, áreas, etc.), es importante que se
nización en relación con el riesgo, puede ser exprese en términos más específicos.
26
La siguiente figura ilustra un enfoque global, Otro beneficio del enfoque descendente es
que consiste en la evaluación del apetito de que asegura que la dirección está en conso-
riesgo desde diferentes perspectivas de gru- nancia con el apetito de riesgo. Puede requerir
pos de interés y distintos tipos de riesgo. El una inversión inicial más alta, pero será com-
diseño descendente del apetito de riesgo con- pensada más adelante facilitando el posterior
duce típicamente a una evaluación del perfil desarrollo.
de riesgo deseado y un plan de acción para
lograrlo. Para afrontar este problema multidi-
mensional, puede resultar útil comenzar con Exposición máxima que una
organización puede asumir
la definición de la capacidad de riesgo, enten- dado su capital, liquidez,
Capacidad rentabilidad, etc.
dida como la máxima cantidad de riesgo que
la organización puede asumir. Este es un con- Exposición a los riesgos para
lograr los objetivos marcados
Apetito de riesgo para la actividad.
cepto importante porque, como se ha indica-
do, el apetito de riesgo se debe establecer en
un nivel que esté dentro del límite que marca Perfil de riesgo deseado
la capacidad de la empresa. Habitualmente, El perfil de riesgo
es la asignación del apetito
los grupos de interés tendrán opiniones dife- a diferentes categorías de riesgo.
rentes sobre el margen de seguridad deseado Perfil de riesgo actual
y resultará crucial tenerlo en cuenta en el es-

tablecimiento y comprensión del apetito. Ade- Riesgos Riesgos Riesgos Riesgos
Operacionales Estratégicos Financieros de Créditos
más, es necesario evaluar otros factores como
Categorías de riesgos: personalizadas para cada negocio
el impacto potencial de un incidente de ries-
go, así como la capacidad de la organización
para controlar la actividad. Estos factores cua- Adicionalmente, sin una perspectiva descen-
litativos, cuando se combinan con la capaci- dente, hay determinados riesgos, como los re-
dad y medidas de riesgo, permiten articular y putacionales u otro tipo de riesgos transver-
controlar un apetito de riesgo equilibrado. sales a la organización, que podrían no ser te-
nidos en cuenta. A veces, el daño a la reputa- Sin una perspectiva
Con carácter general, para definir el apetito
ción puede ser causado por un incidente en descendente, hay
de riesgo se recomienda el enfoque descen-
una parte de la organización que se contagia determinados riesgos,
dente, ya que recoge los requerimientos de
y provoca daños en otras áreas. Esto puede como los reputacionales
los diferentes grupos de interés y estimula el
debate del equipo ejecutivo. Además, esta ser particularmente importante en las institu- u otro tipo de riesgos
aproximación está alineada con las mejores ciones financieras, que requieren la confianza transversales a la
prácticas en Buen Gobierno Corporativo, code sus depositantes o tomadores para mante- organización, que
mo el Código Unificado de Buen Gobierno de ner su solvencia. podrían no ser tenidos
las Sociedades Cotizadas (también llamado en cuenta.
Código Conthe), publicado por la CNMV en 2. Enfoque ascendente (bottom-up)
2006, donde se recomienda que la política de La forma más sencilla de definición del apeti-
gestión de riesgos de la sociedad incluya la fi- to de riesgo bajo un enfoque ascendente con-
jación del nivel de riesgo que la sociedad consiste en definir el apetito de riesgo al mínimo
sidera aceptable, y que ésta sea aprobada por nivel de decisión (por ejemplo, por proceso o
su Consejo de Administración. proyecto), para ir ascendiendo en su defini-
27
ción hasta llegar a un apetito consolidado por nación de los requerimientos de capital para
compañía o grupo empresarial. riesgos “difíciles de cuantificar”, tales como el
riesgo estratégico, significan que el enfoque
En determinadas organizaciones, se sigue un
ascendente puede no reflejar la verdadera po-
enfoque ascendente, partiendo de informa-
sición de riesgo de la organización. De hecho,
ción de riesgos histórica de la compañía y
en el sector financiero muchas compañías tie-
desarrollando modelos estadísticos que inclu-
nen grandes dificultades para cuantificar el
yan, además, factores asociados a la industria
capital asociado con el riesgo operacional.
o al entorno macroeconómico, para crear un
perfil de riesgos teórico. Este perfil de riesgo En conclusión, un enfoque descendente, por
sirve en última instancia a los órganos y res- lo general, funciona mejor que un enfoque as-
ponsables para discutir sobre el nivel de ries- cendente como planteamiento de base para
go que la compañía está preparada para implantar el sistema. Esto se debe a que real-
aceptar, y definir así un apetito de riesgo glo- mente es la forma más efectiva de considerar
bal. las opiniones de los grupos de interés y de
Los enfoques ascendentes tienen el inconve- crear una actitud proactiva en el estableci-
Es importante
niente de que tienden a apoyar el statu quo y miento de lo que la Dirección considera que
considerar aquellos
el perfil de riesgo existente, sin incorporar la debe ser su apetito de riesgo. Pero una vez se
elementos del apetito
visión de futuro. A menudo, el resultado es haya descendido a lo largo de toda la organi-
de riesgo que no se
una descripción pasiva del apetito de riesgo zación, el enfoque debe completarse con un
pueden medir y que,
actual en lugar de una actitud proactiva sobre reporte ascendente, que permita consolidar al
por tanto, podrían ser
la dirección hacia la que los órganos respon- máximo nivel la información de todas las
más difíciles de
sables quieren encaminar a la organización. áreas, obteniendo una visión global y de con-
gestionar, como los
junto de la situación de la compañía. En defi-
riesgos reputacionales. Confiar enteramente en modelos ascendentes nitiva, pueden considerarse enfoques comple-
de determinación del apetito de riesgo puede mentarios, no necesariamente excluyentes.
no ser recomendable porque la Dirección ne-
cesita una visión descendente. Por ejemplo, A continuación, se presenta un resumen las
los problemas encontrados en la medición de principales ventajas e inconvenientes de cada
beneficios de diversificación o en la determi- enfoque.
TOP-DOWN BOTTOM-UP
VENTAJAS
· Alineación estratégica · Mayor involucración de toda la organización
· Convergencia con la capacidad máxima de · Alto nivel de capilaridad
riesgo · Sencillez en la definición, sobre todo para ries-
· Estimulación del debate del equipo ejecutivo gos más difíciles de cuantificar
· Alineación con Best Practices
· Explicitación de los requisitos de los Grupos
de interés
INCONVENIENTES
· Menor involucración de niveles operativos en la · Demasiadas interacciones para converger con
definición capacidad máxima de riesgo
· Menor nivel de detalle · Menor debate en niveles ejecutivos
· Mayor complejidad en la definición y · Menos convergencia con los requisitos de los
cuantificación Grupos de interés
28
EVALUACIÓN CUANTITATIVA vs riesgo. Por ejemplo, se engloban en esta tipo-

CUALITATIVA DEL APETITO DE logía aquellos riesgos relacionados con in-
RIESGO cumplimientos legales o regulatorios, riesgos
relacionados con la seguridad de los emplea-
De forma muy resumida, podría decirse que la
dos, riesgos de fuerte impacto medioambien-
definición de apetito de riesgo puede realizar-
tal, etc.
se de dos formas:
1. Declaraciones cualitativas, que describen En la siguiente figura se muestran los tres
los riesgos específicos de la organización componentes teóricos de la definición del
que está dispuesta a aceptar. apetito de riesgo.
2. Declaraciones cuantitativas, donde se

describen los límites, umbrales o indicado- · Medidas consistentes de riesgos
Métricas · Adecuadas para riesgos propios de la actividad
res clave de riesgo, que establecen cómo cuantitativas · Ligadas a estrategia y planes de negocio
han de ser juzgados los riesgos y sus be- Por ejemplo, volatilidad de ingresos
neficios y/o cómo evaluar y vigilar el im-
pacto agregado de estos riesgos. Métricas · Reconocimiento de que no todos los riesgos son
cualitativas medibles
Asimismo, es importante considerar aquellos Por ejemplo, para actividades no principales
elementos del apetito de riesgo que no se
pueden medir y que, por tanto, podrían ser
más difíciles de gestionar, como los riesgos Riesgos de · Categorías de riesgo con exposición “a evitar”
tolerancia cero
reputacionales. Podría decirse que éstos son Por ejemplo, incumplimientos de normativa legal
los riesgos que pueden beneficiarse más, de

ser articulados de una forma clara, incluso si
se realiza en términos cualitativos. No obstan-
te, las técnicas cuantitativas están mejorando METODOLOGÍA EN BASE AL
continuamente y en algunos casos pueden SECTOR
llegar a hacerse aproximaciones razonables. Respecto a la metodología de cálculo para
determinar el apetito de riesgo, las organiza-
La implicación para la gestión es clara: identi-
ciones pueden optar por diferentes enfoques,
ficar los riesgos a los que se enfrenta la orga-
en gran parte condicionados por su sector de
nización, medirlos y articular las decisiones
actividad. Resulta adecuado considerar sus
correspondientes para gestionarlos. Todo ello
particularidades dependiendo de si están vin-
se debe hacer de manera integral y equilibra-
da, de forma que las medidas cuantitativas se culadas al sector financiero o no, así como te-
combinen con medidas cualitativas, así como ner en cuenta posibles medidas cuantitativas
tener en cuenta aquellos riesgos para los que y cualitativas.
la institución puede tener tolerancia cero.
Tal y como se describe en el capítulo “Usos
En este último concepto de “riesgos de tole- del Apetito de Riesgo”, las empresas adscritas
rancia cero” se engloban aquellas categorías al sector financiero utilizan generalmente,
de riesgo, para las que la estrategia de res- medidas cuantitativas para expresar su apeti-
puesta al riesgo suele ser generalmente “evi- to de riesgo, mientras que las empresas no-fi-
tar”; es decir, cambiar la forma de actuar o no nancieras pueden optar por evaluaciones
proceder con la actividad que ocasiona el cuantitativas o cualitativas.
29
1. Empresas no-financieras 2. Empresas financieras

En general, las empresas no-financieras no Algunas compañías, principalmente institucio-
están sujetas a normativas que les obliguen a nes financieras, utilizan medidas cuantitativas
cuantificar su apetito de riesgo, por lo que para expresar su apetito de riesgo global. La
pueden optar por establecerlo de forma cuali- mayor parte de ellas obtienen dichos valores
tativa, cuantitativa, o con una combinación de a través de la “modelización” de diferentes
ambas. escenarios. Por ello, es habitual que el apetito
de riesgo esté compuesto de valores econó-
Si la empresa, a pesar Sin embargo, si la empresa, a pesar de no ser micos y probabilidades.
de no ser financiera, financiera, está evaluando sus riesgos en tér-
Las métricas utilizadas para determinar el
está evaluando sus minos de impacto económico y probabilidad,
apetito de riesgo son diversas y varían en fun-
riesgos en términos de puede ser conveniente que establezca su ape-
ción del sector de actividad. Principalmente se
impacto económico y tito en términos cuantitativos, de tal forma utilizan:
probabilidad, puede ser que le permita clasificar sus riesgos identifica- - Métricas de adecuación del capital, como el
conveniente que dos como aceptables o no aceptables. capital en riesgo (Capital at Risk) que se re-
establezca su apetito lacionaría con una potencial pérdida de va-
La elección de una cifra como nivel de apetito
en términos lor de los activos o el capital económico
de riesgo puede basarse en variables econó-
cuantitativos. (Economic Capital) que son los recursos ne-
micas representativas del tamaño de la em-
cesarios para asumir pérdidas esperadas e
presa (área, país, unidad, etc.), un porcentaje
inesperadas.
del EBITDA, ingresos, resultado operativo, etc. - Métricas relacionadas con ingresos, como
e incluso la materialidad utilizada por el audi- los ingresos en riesgo (Earnings at Risk)
tor externo. que es una medida de variabilidad de los
beneficios. Se utiliza habitualmente en or-
Dicha cifra puede completarse con un valor
ganizaciones sujetas a US GAAP6.
de probabilidad, esto es, apetitos de riesgo
- Métricas de liquidez, especialmente rele-
que resultan de combinaciones de impacto y
vantes en Basilea III tras los problemas de
probabilidad y que pueden asociarse a inter- liquidez vividos en el sector financiero des-
valos del mapa de riesgos para una mejor re- de el año 2010.
presentación gráfica y comprensión.
A modo de ejemplo, a continuación se mues-
El apetito, dentro del plano de compañía o tra un cuadro con los indicadores mínimos
grupo, puede desglosarse en un enfoque des- que deberían formar parte de la definición del
cendente, aplicando la misma magnitud a en- apetito de riesgo de la entidad, así como de
tidades inferiores o usándose otro criterio. su posterior seguimiento.
Métricas de capital Métricas de ingresos Métricas de liquidez

· Solvencia. Fondos propios requeridos · Volatilidad de los ingresos. Variabilidad · Plazo de liquidez. Periodo de tiempo en
por la actividad. de los ingresos. el que el balance de caja es suficiente
· Capital económico. Fondos propios · Rentabilidad del Capital. Rentabilidad para hacer frente a los compromisos
requeridos con un nivel de confianza del capital económico ajustada al riesgo. esperados.
(superior al 90%). Suele ser superior al · Ratio de liquidez. Comparación entre
capital regulatorio. los activos esperados y las salidas de
caja esperadas.
6. US GAAP, Generally Accepted Accounting Principles (United States)
30
Marcos de Referencia
Existen diferentes marcos7 y estándares que “La alta dirección debe asumir un papel de li-
contemplan directrices y/o recomendaciones derazgo en la integración de las pruebas de
sobre el apetito de riesgo y su uso en las or- tensión en el marco de la gestión de riesgos
ganizaciones. Estos marcos resultan útiles co- del banco y de su cultura de riesgos, y garan-
mo referencia para comenzar a utilizar el ape- tizar que los resultados son significativos y se
tito de riesgo o para evaluar el grado de de- aplican diligentemente a la gestión del riesgo
sarrollo logrado. A continuación, señalamos de crédito de contraparte. Como mínimo, los
los más representativos, diferenciando entre resultados de las pruebas de tensión para ex-
los exigidos en sectores regulados y los que posiciones significativas deben compararse
constituyen las mejores prácticas internacio- con las directrices que explicitan el apetito de
nales. riesgo del banco por el riesgo, así como anali-
zarse y servir de base para adoptar medidas
ante riesgos excesivos o concentrados.”
EXIGENCIAS DE CARÁCTER Aunque los acuerdos del Comité de Supervi-
OBLIGATORIO sión Bancaria de Basilea son recomendacio-
Marco regulador para entidades ban- nes sobre regulación y supervisión bancaria
no vinculantes, han sido adoptados por nu-
carias (Basilea)
merosos países e integrados en su regulación
En 1974 se creó el Comité de Supervisión
local.
Bancaria de Basilea y en 1988 se publicó el
primer acuerdo “Basilea I”, donde se propo- El marco regulador señala que el supervisor
nían las normas mínimas que deberían cum- debe supervisar varios aspectos:
plir las entidades financieras para mantener el · El Consejo garantiza que:
control prudente de sus operaciones.
a) existe una sólida cultura de gestión del
En la revisión de Basilea III de junio de 2011, riesgo en todo el banco;
se responsabiliza explícitamente a la Alta Di- b) se han desarrollado políticas y procesos
rección de las entidades, de la definición de la para la asunción de riesgos, acordes con
cantidad de riesgo que están dispuestos a la estrategia de gestión del riesgo y el
aceptar en su visión, citando textualmente: nivel establecido de apetito de riesgo;
7. Para un mayor detalle sobre marcos metodológicos consultar el ANEXO II incluido en el documento completo alojado
en www.auditoresinternos.es
31
c) se tiene constancia de las incertidum- vencia, abarcando, como mínimo, los siguien-
bres asociadas a la medición del riesgo; tes aspectos clave:
d) se establecen límites adecuados acordes - Las necesidades globales de solvencia de la
con el apetito de riesgo; organización, teniendo en cuenta su perfil
de riesgo específico, sus límites de toleran-
e) el perfil de riesgo y la solidez del capital
cia al riesgo aprobados y la estrategia co-
del banco, son periódicamente comuni-
mercial de la empresa.
cados al personal pertinente y compren-
- El cumplimiento continuo de los requisitos
didos por éste; y
de capital y de provisiones técnicas estable-
f) la alta dirección adopta las medidas ne- cidos en la propia Directiva.
cesarias para vigilar y controlar cual-
- La medida en que el perfil de riesgo de la
quier riesgo significativo de conformidad
empresa se aparta de las hipótesis en que
con las estrategias aprobadas y el apeti- se basa el capital de solvencia previsto en
to de riesgo establecido. la propia Directiva.
· Las estrategias, políticas, procedimientos y

límites en materia de gestión de riesgos:
a) se documentan adecuadamente; MEJORES PRÁCTICAS INTERNA-
CIONALMENTE ACEPTADAS
b) se revisan periódicamente y actualizan
adecuadamente para reflejar cambios en OCDE: Principios de Gobierno Corpo-
el apetito de riesgo, el perfil de riesgo y rativo
la situación macroeconómica; y La Organización para la Cooperación y el De-
c) se comunican dentro del banco. sarrollo Económico (OCDE) publicó el docu-
mento “Principios de Gobierno Corporativo”
(edición 2004), en el que se relacionan una
Marco regulador para entidades ase-
serie de buenas prácticas para fortalecer la
guradoras (Solvencia II)
estructura del gobierno corporativo en empre-
La Directiva Europea 2009/138/CE del Parla- sas y otro tipo de organizaciones, con el obje-
mento Europeo y del Consejo, de 25 de no- tivo final de contribuir al fortalecimiento de la
viembre de 2009, sobre el seguro de vida, el confianza y la integridad en el ámbito econó-
acceso a la actividad de seguro y de reasegu- mico y de los negocios.
ro y su ejercicio, establece el marco de Sol- Entre las recomendaciones de estos princi-
vencia II. Este marco fija unos requerimientos pios, en relación a la gestión de riesgos, se se-
generales que deben regir el sistema de con- ñala la idoneidad de disponer de una política
trol interno. Destaca un apartado específico de riesgos, que especifique los diferentes ti-
relacionado con actividades de gestión de pos y grados de riesgo que una entidad se
riesgos para estas organizaciones. encuentra dispuesta a aceptar en su intento
por alcanzar los objetivos (es decir, que expre-
En su artículo 45, la Directiva establece que se los tipos de riesgo que se afrontan y su
este tipo de entidades deben efectuar una apetito correspondiente). Esta política consti-
evaluación interna de sus riesgos y de su sol- tuirá una referencia para determinar cuál es el
32
perfil de riesgo deseado por la organización sión de la entidad y los objetivos estratégicos,
así como un soporte importante para la ges- así como con el resto de objetivos relaciona-
tión de los riesgos. dos, alineando estos dos tipos de objetivos
con el nivel de riesgo aceptado y la tolerancia
Committee of Sponsoring Organization al riesgo.
of the Treadway Commission (COSO) COSO II expresa que, en una entidad, el ries-
COSO II (Gestión de riesgos corporativos – go aceptado puede expresarse en términos
Marco integrado) distingue cuatro categorías cualitativos o cuantitativos, y sugiere una ba-
de objetivos, que deben ser cubiertos en toda tería de consideraciones para su definición.
la estructura organizativa de una entidad, me- Como primera opción, contempla la expresión
diante ocho componentes o actividades para del riesgo aceptado en términos de un “mapa
la administración y gestión integral de los
de riesgo” lo que sugiere que la dirección de
riesgos. En la última actualización de COSO,
la organización debe poner en marcha accio-
los objetivos se han simplificado en tres cate-
nes para reducir la probabilidad y/o impacto
gorías (operaciones, información y cumpli-
de cualquier riesgo residual significativo in-
miento) y los ocho componentes finalmente
cluido en la zona amarilla, puesto que excede
han sido agrupados en cinco (entorno de con-
el riesgo aceptado.
trol, evaluación del riesgo, actividades de con-
trol, información y comunicación, actividades
En la nueva
de seguimiento). Formación del riesgo aceptado
actualización de COSO,
Alto
Con relación al componente “Entorno de se especifica que el

Control”, COSO II define que los factores del apetito de riesgo y la
Excede del riesgo
ambiente de control deben incluir la filosofía aceptado tolerancia al riesgo,
de gestión de riesgos de la entidad y su ries- junto a la fijación de
Impacto
go aceptado, así como el resto de componen- objetivos, son

Medio
tes como la integridad, los valores éticos o la precondiciones

estructura organizativa. necesarias para el
Dentro del riesgo
A su vez, en el punto de “Establecimiento de aceptado establecimiento de un
efectivo sistema de
Bajo
objetivos” sugiere la vinculación entre la mi-

control interno.
Bajo Medio Alto
TO
CU CIÓN
S
NE
IA
IEN
EG
IO
IM
Probabilidad
AT
AC
RM
PL
TR
ER
FO
M
ES
OP
IN
U N I DAD DE N EGOCIO
Ambiente interno
Establecimiento de objetivos Como segunda opción expone, principalmente

F I LIAL
DIVISIÓN
Identificación de eventos para empresas de servicios financieros y del

ENTI DAD
Evaluación de riesgos sector energético, adoptar un enfoque sofisti-

Respuesta a los riesgos
cado de aproximación al riesgo aceptado me-
diante técnicas cuantitativas. A su vez para or-
Actividades de control
ganizaciones avanzadas, indica que pueden
Información y comunicación
expresar el riesgo aceptado con medidas rela-
Supervisión tivas al mercado o de capital en riesgo.
33
En este nuevo marco de gestión de riesgos de Para determinar el apetito de riesgo, deben
COSO, se introducen y definen los conceptos seguirse tres pasos:
de apetito de riesgo y tolerancia al riesgo co-
1. Desarrollar el apetito de riesgo. La orga-
mo ya se ha explicado con anterioridad. De
nización debe integrar, y no evitar, el ries-
esta manera, sugiere que se obtiene un mayor
go como parte de su estrategia, estable-
grado de seguridad sobre el logro de los obje-
ciendo objetivos y desarrollando apetitos
tivos y especifica que el apetito de riesgo y la de riesgo diferentes, acordes a la misma.
tolerancia al riesgo, junto a la fijación de ob- No existe una norma o estándar universal
jetivos, son precondiciones necesarias para el de apetito de riesgo aplicable a todas las
establecimiento de un efectivo sistema de organizaciones, ni existe un “correcto”
control interno. apetito de riesgo, por lo que la Dirección
debe establecerlo, entendiendo y anali-
Respecto a los componentes del marco de
zando las ventajas y desventajas que im-
COSO, se indica que la identificación de even- plica tener un mayor o menor apetito de
tos y la evaluación de riesgos para dar res- riesgo.
puesta a éstos, deben considerarse siempre
en relación al apetito de riesgo definido. 2. Comunicar el apetito de riesgo. Existen
diversos enfoques utilizados para la co-
De forma adicional, COSO ha publicado en municación del apetito de riesgo. El pri-
2012 el informe “Understanding and Com- mer enfoque sugerido es la creación de
municating Risk Appetite”, con el objetivo de un estado de apetito de riesgo de carácter
ayudar a las entidades a implantar la gestión general, que refleje los niveles de riesgo
de riesgos (ERM). Además de llevar a cabo aceptables en la consecución de objetivos
una perfecta planificación, es necesario de- (mediante su representación en gráficos o
sarrollar y comunicar a toda la entidad una mapas de riesgos con bandas de riesgo
clara comprensión del apetito de riesgo defi- aceptable e inaceptable), lo suficiente-
nido, integrarlo en el proceso de planificación mente amplio y descriptivo como para
estratégica y no contemplarlo únicamente co- que las unidades organizativas puedan
mo un tema teórico de discusión. gestionar sus riesgos de forma consisten-
te dentro de la organización. El segundo
enfoque es la comunicación del apetito
Supervisión del Consejo de riesgo para cada uno de los objetivos
principales de la organización; mientras
que el tercero se centra en comunicar el
Alta Dirección apetito de riesgo para diferentes catego-
rías de riesgo.
3. Controlar y actualizar el apetito de ries-

Desarrolla go. Una vez que el apetito de riesgo sea
y revisa comunicado, los responsables de la ges-
tión, con el apoyo de la dirección, deben
Apetito
de Riesgo revisarlo y reforzarlo. El apetito de riesgo
Supervisa Comunica no se puede establecer y luego olvidarlo,
sino que debe ser revisado en relación a
la forma en que opera en la organización,
34
especialmente en las entidades donde el En cuanto al apetito de riesgo, el estándar

modelo de negocio está cambiando. Los ISO lo menciona expresamente en relación
responsables deben controlar que las acti- con la política de gestión de riesgos, puesto
vidades sean realizadas coherentemente que este documento debe especificar clara-
con el apetito de riesgo definido, a través mente el apetito como parte de los objeti-
de una combinación de monitorización y vos y compromisos de la organización con
evaluaciones separadas. El departamento la gestión de sus riesgos. De forma adicio-
de Auditoría Interna, a su vez, puede apo-
nal señala la importancia de este concepto
yar en la gestión de este seguimiento.
en la fase del proceso relativa a la evalua-
Cuando se lleve a cabo la supervisión del ción del riesgo, debido a que influirá en la
apetito de riesgo, sugiere que debe incen- decisión de la organización de tratar las si-
tivarse la creación de una cultura en la or- tuaciones de riesgo de una manera u otra,
ganización, que fomente la conciencia- en función de cómo se haya fijado ese ape-
ción de los integrantes de la misma acer- tito.
ca de los riesgos y su vinculación con los
- De manera complementaria, el documento
objetivos de la organización. El estándar ISO
ISO Guía 73:2009, Gestión de riesgos - Vo- menciona expresamente
cabulario, detalla –entre otros aspectos– el apetito de riesgo y
International Organization for Stan- una definición concreta de los conceptos de señala que se debe
dardization (ISO) actitud, apetito y tolerancia de riesgo de especificar claramente
ISO publicó en 2009 un conjunto de princi- una organización, como se ha detallado en el apetito como parte
pios y pautas que sirvieran de ayuda a todo “Introducción” de este documento. de los objetivos y
tipo de organizaciones para afrontar, de una compromisos de la
manera sistematizada y eficaz, el proceso de British Standard 31100 organización con la
instauración de un sistema de gestión de ries- gestión de sus riesgos.
La BS 31100 es un código de conducta para
gos.
la gestión de riesgos iniciado en 2006 por un
Si bien no se trata de una norma certificable, comité técnico formado por miembros de la
muchas organizaciones han adoptado esta industria, reguladores y académicos, y publi-
perspectiva de gestión de riesgos debido a cado por el Grupo BSI (British Standards Insti-
que el estándar combina los mejores aspectos tution) en 2008. Proporciona una guía con re-
de varios marcos formales de gestión de ries- comendaciones para la gestión de riesgos
gos corporativos. (principios, modelos, marcos y procesos) a fin
de ayudar a las organizaciones a alcanzar sus
ISO publicó dos documentos diferentes, pero
objetivos y a mejorar el resultado a través de
de carácter complementario:
una gestión efectiva del riesgo.
- El estándar ISO 31000: 2009, ”Gestión de
Riesgos - Principios y guías de implanta- La BS 31100 por su flexibilidad en el lengua-
ción”, que proporciona un marco para que je, está dirigida a organizaciones de todos los
la función de gestión de riesgos dentro de tamaños, tanto pequeñas como multinaciona-
una organización tenga éxito en la conse- les. A su vez, busca reducir las duplicidades
cución de sus propósitos y objetivos. Este con otras normas o marcos de referencia, me-
estándar establece, además, un proceso es- diante la vinculación e integración del lengua-
pecífico para la gestión de riesgos. je y las metodologías ya existentes.
35
La definición de apetito de riesgo, según la BS iii. Investigación de los casos de riesgos asu-
31100, debe reflejar los siguientes aspectos: midos que no se están optimizando.
· Proporcionar orientación y límites sobre el Con relación a la asignación de roles y res-

riesgo que se puede aceptar dentro de la ponsabilidades, responsabiliza a la Junta Di-
organización. rectiva, Alta Dirección (o equivalente), como
· Considerar el entorno de la organización órgano responsable de establecer y/o aprobar
operativa, comprendiendo el valor, la renta- el apetito de riesgo de la organización y los
bilidad de la gestión, el rigor de los contro- apetitos de riesgo para las unidades auxiliares
les y los procedimientos de aseguramiento. o funciones, debiendo ser comunicada a toda
la organización.
· Reconocer que la organización podría estar
dispuesta a aceptar una proporción de ries- El apetito de riesgo debe ser revisado por la
go más alta de lo normal en un área si el Alta Dirección (o su equivalente) por lo menos
saldo global de riesgo es aceptable. una vez al año, junto con la estrategia de la
· Definir el control, los permisos y sanciones organización y los procesos de planificación.
del entorno, incluyendo la delegación de De esta manera, se consigue que el perfil de
autoridad en relación con la aprobación de riesgo de la organización y el apetito de ries-
la aceptación del riesgo de la organización. go definido se encuentren alineados, afron-
tando un apetito de riesgo acorde a las carac-
· Reflejar o incorporar en la política de ges-
terísticas y situaciones que afecten a la em-
tión del riesgo de la organización y notifi-
presa en ese momento.
carlo, como parte de un sistema de reporte
interno de riesgos de la organización.
Se indica que la definición de apetito de ries- The Institute of Risk Management

go puede realizarse de dos formas: (IRM)
· Declaraciones cualitativas. El IRM ha publicado varios documentos rela-

cionados con la gestión de riesgos empresa-
· Declaraciones cuantitativas. riales. En concreto, y basándose en las dispo-
El perfil de riesgo de la organización se mani- siciones recogidas en el UK Corporate Gover-
fiesta en el riesgo real al que ésta decide en- nance Code, ha publicado el documento Risk
frentarse. Debe ser evaluado y considerado en Appetite & Tolerance, Guidance Paper (The
la aplicación de los procesos de gestión de Ins titute of Risk Management- CroweHo-
riesgos, debiendo ser objeto de comparación warth, 2011), donde se abordan diferentes
con el apetito de riesgo y la gestión adecuada cuestiones relacionadas con el desarrollo de
de las medidas adoptadas. Esto puede incluir: un marco de apetito de riesgo dentro de una
i. Acciones específicas de gestión para ali- organización.
near el perfil de riesgos al apetito.
El documento proporciona una definición
ii. Revisión de la propensión frente al riesgo, completa e intuitiva del apetito y de la tole-
de acuerdo con el clima y evolución del rancia al riesgo. Establece una serie de nocio-
negocio, y / o nes básicas sobre el proceso para poner en
36
marcha este marco. Proceso que divide en las mentos para la supervisión del proceso de
siguientes fases: establecimiento del apetito); en segundo
· Diseño del apetito de riesgo, mediante la término, la medición (medir y evaluar para
interacción de los elementos presentes en determinar el impacto sobre el rendimiento
la organización, tales como la cultura de del negocio); en tercer lugar, el seguimiento
riesgos, su capacidad de riesgo, la madurez (identificación de desviaciones del proceso)
del proceso de gestión de riesgos y el esta- y, por último, el aprendizaje (identificación
blecimiento de diferentes apetitos de ries-
de las áreas de mejora).
go, en función de las diferentes naturalezas
y situaciones que se afronten.
En España: Código Unificado de Buen
· Construcción del apetito de riesgo, partien-
do de las capacidades de gestión del riesgo Gobierno Corporativo
por parte de la organización, se afrontan En el Código Unificado de Buen Gobierno
diferentes niveles de riesgo (a nivel estraté- (Código Conthe), se plasman las recomenda-
gico, táctico y operacional) de manera con- ciones efectuadas por el grupo especial de
junta con la propensión de la organización trabajo que asesoró a la Comisión Nacional
a asumir riesgos y a ejercitar las medidas del Mercado de Valores (CNMV) en 2005, pa-
de control correspondientes.
ra la armonización y actualización de las reco-
· Implantación del apetito de riesgo, median- mendaciones de los Informes Olivencia y Al-
te un proceso dividido en diferentes fases: dama sobre buen gobierno de las sociedades
1. Diseño inicial del apetito. cotizadas.
2. Búsqueda de compromiso e implicación
por parte de los stakeholders. El Código establece, en relación directa con el El apetito de riesgo
apetito de riesgo, “que la política de control y debe ser revisado por la
3. Desarrollo de un marco de apetito de
riesgo. gestión de riesgos debe identificar, al menos: Alta Dirección por lo
a) Los distintos tipos de riesgo (operativos, menos una vez al año,
4. Aprobación del marco por parte del Con-
junto con la estrategia
sejo. tecnológicos, financieros, legales, reputa-
de la organización y los
5. Desarrollar el propio proceso de implan- cionales…) a los que se enfrenta la socie-
procesos de
tación (establecimiento de parámetros dad, incluyendo entre los financieros o
planificación.
correctos, participación de implicados, in- económicos, los pasivos contingentes y
corporación a la estructura la organiza- otros riesgos fuera de balance.
ción, etc.).
b) La fijación del nivel de riesgo que la socie-
6. Informar del proceso interna y externa- dad considere aceptable.
mente.
c) Las medidas previstas para mitigar el im-
7. Revisar las actuaciones realizadas para
pacto de los riesgos identificados, en caso
determinar qué ha ido bien, qué ha sali-
de que lleguen a materializarse.
do mal y qué se deber hacer de forma di-
ferente de cara a próximas ocasiones. d) Los sistemas de información y control in-
· Gobierno del apetito de riesgo, mediante terno que se utilizarán para controlar y
los cuatro elementos críticos para que el gestionar los citados riesgos, incluidos los
apetito de riesgo sea útil para la organiza- pasivos contingentes o riesgos fuera de
ción. En primer lugar, la autorización (ele- balance.”
37
Implantación
Previa implantación del concepto de apetito 2. Alcance.- Permite definir el ámbito de
de riesgo en cualquier organización, es preci- aplicación así como los integrantes de la
so asegurar que la entidad cuenta con un mo- organización para los que serán de obli-
delo de gestión de riesgos de acuerdo con los gado cumplimiento las directrices, políti-
principios y características definidas previa- cas y demás procedimientos derivados de
mente en este documento. El modelo implan- la implantación del sistema interno de
tado definirá los procesos y actividades por gestión de riesgos. Especialmente útil si
desarrollar por los empleados de cualquier or- se decide establecer un sistema de ges-
ganización en el ámbito de la gestión de ries- tión parcial, como puede ocurrir en orga-
gos y servirá de base para la definición del nizaciones en las que debido a su natura-
apetito de riesgo de la compañía. leza, tamaño o estructura organizativa no
sea aconsejable una implantación total.
La implantación del modelo se puede de-
sarrollar en 6 pasos: 3. Estrategia.- También llamada “misión”,
debe definir las actividades clave que se
realizarán con el propósito de cumplir la
PASO 1
“visión”. Se deberá incluir la necesidad
Definición del marco estratégico
de desarrollar y comunicar a toda la enti-
La definición de un marco estratégico facilita- dad una clara comprensión del apetito de
rá a la organización dotarse de una herra- riesgo.
mienta que permita implantar un sistema de
gestión de riesgos tal como reconoce COSO Algunos aspectos adicionales, de carácter
II8 (“Gestión de riesgos corporativos - Marco más específico, que debe contemplar el marco
integrado”). Para ello debe incluir, al menos, definido son:
los siguientes aspectos: · El compromiso de los grupos de interés pa-
1. Objetivo.- Consistente en determinar la ra apoyar una efectiva implantación.
finalidad de la implantación del sistema, · Procedimiento para la periódica revisión y
llámese también “visión”; asimismo debe actualización del marco, de acuerdo con el
asegurarse que está alineada con los ob- nivel de madurez en materia de gestión de
jetivos estratégicos de la organización. riesgos de la entidad.
8. COSO II en su apartado sobre la relación entre “Incertidumbre” y “Valor” sugiere que “…el valor se maximiza cuando
la dirección establece una estrategia y unos objetivos que consiguen un equilibrio óptimo entre las metas de creci-
miento y rentabilidad y los riesgos asociados y despliega eficiente y eficazmente los recursos a fin de alcanzar los ob-
jetivos de la entidad.”
38
· La aprobación por parte de los órganos de distintos riesgos en función de la expo-

gobierno de los cambios organizativos en sición respecto al apetito fijado.
concordancia con la implantación del siste-
2. Operacionales:
ma.
- Se debe integrar la identificación de
· Los beneficios que se esperan conseguir,
riesgos en la toma de decisiones opera-
tanto a corto como a largo plazo, gracias a
tivas.
la implantación del sistema.
- Una vez definido el apetito de riesgo al
· La metodología que se va a utilizar para
nivel más alto de la organización, debe
determinar de forma periódica cuál ha sido
concretarse de forma consistente en las
el resultado obtenido por la entidad gracias
diferentes categorías de riesgos y/o
a la implantación del sistema.
áreas que compongan la organización.
En definitiva, el diseño y publicación de un - Los límites de riesgo definidos deben
marco estratégico permitirá: comunicarse e integrarse en el día a día
- Dotar a la función de gestión de riesgos de de la organización, mediante una defi-
un marco estable y comúnmente conocido nición de los comportamientos y varia-
para desarrollar sus actividades. bles aceptables de desempeño.
- Dar a conocer a los grupos de interés (sta- - En este nivel operativo, se deben definir
keholders) en qué medida el desarrollo de indicadores de riesgo correlacionados
la función se realizará de forma coherente y con las variables clave (Key Risk Indica-
alineada con los principios que rigen el go- tors), que permitan realizar un segui-
bierno corporativo. miento de los mismos, así como dispo-
ner de un sistema de alertas y de ges-
- Incorporar la gestión de riesgos a la cultura
tión de la actividad.
de la empresa, como un factor de buen go-
bierno para la alta dirección. 3. Información:
- Se debe definir una estructura de repor-
PASO 2 te alineada con el apetito de riesgo fija-
Establecimiento de principios do, que permita la comunicación rápi-
da, clara y transparente de información
Acorde con los niveles de objetivos detallados
cuando los riesgos se materialicen fue-
en COSO II (“Gestión de riesgos corporativos
ra de los niveles del apetito.
- Marco integrado”), se debe dotar al ele-
mento central de cualquier sistema de gestión - El intercambio de información de la or-
de riesgos, el apetito de riesgo, de unos prin- ganización con el exterior debe consi-
cipios de gestión, actuación y comportamien- derar las diferentes actitudes de los di-
to de la organización: versos grupos de interés respecto a ca-
da riesgo.
1. Estratégicos:
- Es necesario definir un lenguaje común,
- El principio clave de la función es man-
así como pautas claras de comunica-
tener alienada la estrategia de la orga-
ción alrededor de la gestión de riesgos
nización con el perfil de riesgo de la
y del apetito.
misma.
- Adicionalmente, debe permitir instru- 4. Cumplimiento:
mentalizar una escala de delegación de - Asegurar que la función de gestión de
responsabilidades y de gestión para los riesgos de la organización cumple con
39
la normativa establecida por órganos o ejemplo, Consejo de Administración,

instituciones reguladores de su ámbito Junta Directiva, etc.
de actuación. Con el propósito de facilitar las actua-
- Adicionalmente, observar las recomen- ciones de las que son responsables,
daciones de gobierno corporativo reali- pueden delegar en comisiones o comi-
zadas por las instituciones de referencia tés que, en el caso que nos ocupa, po-
con el objetivo de ofrecer un mensaje demos considerar los Comités de Audi-
de confianza a los grupos de interés. toría, de Riesgos o de Control Interno.
- Alta Dirección. Formada por los em-
pleados de mayor rango de la organiza-
PASO 3 · Descripción organizativa
ción, junto a aquellos directivos que
La estructura de gobierno de la organización formen parte de los órganos ejecutivos
ha de facilitar la gestión integral del riesgo, y y de dirección (por ejemplo, Comités de
proporcionar los canales adecuados de comu- Dirección, Comités Ejecutivos, etc).
nicación para transmitir la información relati- - Función de Gestión de Riesgos. Aque-
va, desde los niveles de apetito de riesgo has- llos empleados que formen parte, tanto
ta el tratamiento de los riesgos. parcial como completamente, de la de-
finición, diseño, desarrollo, implanta-
1. Estructura
ción y/o coordinación del sistema inter-
Podemos dividir, de forma muy generali- no de gestión de riesgos que se esta-
zada, los siguientes niveles de estructura blezca en cada organización.
de una organización, en línea con el mo-
- Gestores de Riesgo. Formado por los di-
delo de las “Tres Líneas de Defensa” defi-
rectivos que no forman parte de la alta
nido por ECIIA y FERMA9: dirección y demás empleados de la or-
- Órganos de gobierno. Son los represen- ganización que estén de forma directa
tantes de la propiedad u órganos res- o indirecta relacionados con la gestión
ponsables de las organizaciones, por diaria de riesgos de la empresa.
9. ECIIA, Confederación Europea de Institutos de Auditores Internos. FERMA, Federación Europea de Asociaciones de Ges-
tión de Riesgos
40
2. Funciones y responsabilidades - Monitorización y redacción del reporte

Partiendo de las funciones básicas sobre recae bajo la responsabilidad de la fun-
la gestión de riesgos, podremos determi- ción de gestión de riesgos mientras que
nar los diferentes niveles de responsabili- la revisión de los niveles de apetito de
dad. Destacamos las siguientes funciones: riesgo, en función de los resultados, se-
rá realizada por la alta dirección.
- Determinar el contexto, es decir, el en-
torno estratégico en el cual la organiza- - Supervisión o evaluación independiente
ción gestionará los riesgos. La respon- de la eficacia de la función de gestión
sabilidad de su establecimiento recae de riesgos así como de las medidas de
en los órganos responsables. Adicional- control existentes, será realizada por
mente se debe asegurar que dichos ór- los órganos de gobierno y principal-
ganos así como la alta dirección dispo- mente por su órgano delegado del Co-
nen de los conocimientos y capacida- mité de Auditoría (y consecuentemente
des necesarias para llevar a cabo sus mediante la función de Auditoría Inter-
funciones y responsabilidades, todo ello na).
con la honorabilidad y ética que se pre- - Comunicación y promoción de la cultu- El apetito de riesgo
supone para esos puestos. ra de gestión de riesgos, recaerá su res- debe tener en
- Identificación de los riesgos, así como ponsabilidad principalmente en la Fun- consideración un
las valoraciones para determinar sus ción de Gestión de Riesgos, sin olvidar sistema de seguimiento
posibles impactos y su probabilidad de que la cultura de riesgos debe integrar- y control de riesgos
materialización. Mientras la identifica- se en todos los niveles de la organiza- que, de forma
ción será responsabilidad tanto del ción y estar debidamente apoyada por periódica, informe de la
Área de Negocio como de la Alta Direc- los órganos responsables. adecuación del perfil de
ción (en función de la metodología uti- riesgos de la
lizada: ascendente – bottom-up – o PASO 4 organización a las
descendente –top-down–), es recomen- Asignación de los niveles de riesgo políticas de riesgo
dable que la opinión final de la valora- 1. Apetito de riesgo aprobadas y a los
ción recaiga en la función de gestión de límites de riesgo
- La dirección y los órganos responsables
riesgos, aunque siempre estaría supedi- establecidos.
deben establecer y aprobar el apetito
tada a la información remitida por las de riesgo de la compañía, así como
áreas, por lo que puede considerarse comprender las ventajas y desventajas
que existiría una responsabilidad con- derivadas de fijar un apetito de riesgo
junta. en un determinado nivel. Es importante
- El tratamiento de los riesgos será reali- recordar que no existe una definición
zado por cada gestor de riesgos. de apetito de riesgo universal o válida
- Evaluación y seguimiento de los resul- para todas las organizaciones.
tados, funciones cuya responsabilidad - En su definición, el apetito de riesgo
final recae principalmente en la alta di- debe tener en consideración un sistema
rección, aunque para determinados ni- de seguimiento y control de riesgos
veles y tipos de riesgo, puede elevarse que, de forma periódica, informe de la
hasta los órganos de gobierno. adecuación del perfil de riesgos de la
41
organización a las políticas de riesgo adoptar las medidas de gestión necesa-

aprobadas y a los límites de riesgo es- rias que permitan reconducir la situa-
tablecidos. ción de la organización para retornar al
- El establecimiento de políticas y proce- perfil de riesgo deseado.
dimientos de riesgos permite constituir
un marco normativo propio a través del PASO 5 · Metodología de cálculo
cual regular las actividades y procesos Como se ha indicado anteriormente, en fun-
de riesgos. El apetito de riesgo debe ser
ción del tipo de organización, pública o priva-
capaz de enlazar los objetivos de la or-
da, y del sector de actividad de la misma, la
ganización con los niveles de riesgo
metodología y cálculos que se empleen po-
que está dispuesta a asumir, alineando
drán variar de una entidad a otra. En cual-
a los integrantes de la organización,
quier caso, sea cual sea la naturaleza de la
procesos e infraestructuras. También
Se deben fijar una serie entidad, el objetivo que se pretende alcanzar
debe facilitar el seguimiento de los ries-
de niveles de alerta, es el de optimizar el binomio riesgo-rentabili-
gos y las decisiones de negocio en base
que informen cuando el dad.
al riesgo y ser una herramienta de co-
riesgo asumido por una
municación clara y precisa para los ges- Normalmente, la metodología de implanta-
entidad se vaya
tores de la entidad y los grupos de inte- ción del apetito de riesgo se establece tenien-
aproximando a su nivel
rés de la organización. do en cuenta el tipo de riesgo, producto,
de tolerancia.
- Hay que destacar que la capacidad de cliente y distribución geográfica específica de
definir el apetito de riesgo requiere de la empresa en cuestión.
entidades con sistemas de gestión de
riesgos desarrollados y optimizados, 1. Cálculo
tratando de que los perfiles de riesgo - A la hora de determinar las métricas
sea fácilmente entendibles. del apetito de riesgo se ha de tener en
cuenta que éstas deberían ser cuantifi-
2. Tolerancia al riesgo cables y homogéneas entre sí y con
- Corresponde a los órganos responsa- otras métricas empleadas por la organi-
bles de la organización establecer y zación. Del mismo modo, sería deseable
aprobar la tolerancia al riesgo, la cual que el apetito de riesgo pudiera ser ex-
debe reflejar la cantidad máxima de un presado en términos económicos, o co-
riesgo que la entidad está dispuesta a mo un porcentaje de un valor, tal como
aceptar para lograr sus objetivos. ventas, capital, patrimonio neto de la
- Una vez definidos el apetito y la tole- organización.
rancia al riesgo, se deben fijar una serie - La selección de métricas se realiza ha-
de niveles de alerta, que informen bitualmente cuando se define el apetito
cuando el riesgo asumido por una enti- de riesgo y se establecen los límites de
dad se vaya aproximando a su nivel de tolerancia al riesgo.
tolerancia. - Los criterios y métricas deben ser apro-
- En caso de sobrepasar los niveles de bados al menos una vez al año. El con-
tolerancia establecidos, se deberá infor- trol y seguimiento, con distintas perio-
mar a los órganos responsables para dicidades, se establecerá en función de
42
la métrica y del responsable del con- encaminadas a su reducción o elimina-

trol/seguimiento. ción. Por otro lado, se analizarán aque-
- Las métricas utilizadas para determinar llos supuestos en los que la asunción
el apetito de riesgo son diversas y va- de un mayor grado de riesgo se com-
rían en función del sector de actividad. pensa con un incremento de la rentabi-
Como se ha explicado con anterioridad, lidad, con el objeto de obtener ventajas
éstas pueden tener en cuenta tanto ele- competitivas.
mentos cuantitativos como cualitativos. - Este análisis de prioridades facilita la
Sería recomendable el análisis de esce- asignación de recursos de una forma
narios y los tests de estrés que permi- más eficiente para la organización.
tan valorar los impactos de escenarios
poco probables pero factibles. PASO 6
- El objetivo principal del empleo de mé- Comunicación, actividades de control
tricas es determinar la cantidad de ries- y supervisión
go asumida y el rendimiento obtenido,
1. Comunicación del apetito de riesgo
para permitir a la alta dirección gestio-
nar la sociedad en base a riesgos. Una vez que las organizaciones han defi-
nido claramente su apetito de riesgo, los
- Es aconsejable que la entidad disponga
órganos responsables deberán comunicar-
de las métricas e infraestructuras nece-
lo a toda la organización, de forma que se Es recomendable
sarias para garantizar su gestión. Asi-
garantice que todas las acciones de la elaborar un documento
mismo, la información que se emplee
compañía se alineen con su nivel de ape- global con la
en las métricas ha de ser homogénea
tito de riesgo. Al mismo tiempo, la direc- declaración de la
para todos los negocios y productos.
ción debería hacerlo operativo, estable- compañía sobre su
Las métricas han de ser consistentes y
ciendo los niveles necesarios para que apetito de riesgo, lo
correctas, con el nivel de segmentación
aplique en todas las unidades de negocio suficientemente amplia
necesario, además de tener que estar
y sobre todos los riesgos relevantes de la y descriptiva, para que
disponibles a tiempo.
compañía. las unidades
- Para organizaciones complejas, com-
Como punto de partida, es recomendable organizativas gestionen
puestas por múltiples unidades de ne-
elaborar un documento global con la de- sus riesgos de forma
gocio, se tendrán en cuenta otra serie
claración de la compañía sobre su apetito consistente.
de métricas transversales, tales como
de riesgo, lo suficientemente amplia y
métricas de concentración y diversifica-
descriptiva, para que las unidades organi-
ción, que serán de aplicación para el
zativas gestionen sus riesgos de forma
conjunto de las unidades de la organi-
consistente. Esta declaración puede ser
zación.
muy variada y las organizaciones pueden
2. Priorización comunicar su nivel de apetito de riesgo
- En función de los resultados obtenidos con distintos niveles de detalle o preci-
de las métricas, se debe establecer una sión.
jerarquía que permita priorizar aquellos Algunas organizaciones lo comunican en
casos que representen una mayor criti- términos muy amplios (por ejemplo, ban-
cidad para la entidad, los cuales debe- das de colores en los mapas de riesgos
rán ser analizados para tomar medidas que identifican los niveles aceptables vs
43
inaceptables), otras los concretan para ca- 3. Actividades de control

da uno de los objetivos operacionales La función de Auditoría Interna ha adqui-
(por ejemplo, una compañía que presta rido un papel relevante dentro del proce-
servicios de salud puede establecer un so de gestión de riesgos mediante su acti-
apetito de riesgo mínimo para los objeti- vidad de control en la entidad. Adicional-
vos de cumplimiento y de salud y seguri- mente, dado el ámbito de actuación
dad, y otro superior en objetivos de repor- transversal que Auditoría Interna realiza
te o estratégicos), mientras que otras lo dentro de las organizaciones, estaría en
establecen por categoría de riesgo (eco- disposición de prestar su colaboración pa-
nómico, entorno, personal, tecnología, ra asesorar al Consejo a la hora de esta-
etc.). blecer el apetito de riesgo para la enti-
dad, siempre con la garantía de la inde-
La dirección debe Por todo ello se debe establecer un len-
pendencia de la función de Auditoría In-
supervisar las guaje común que mejore la comunicación
terna en este proceso.
actividades para su entre los grupos de interés y ofrezca una
Otros aspectos destacados que puede lle-
consistencia con el imagen fiel de la organización.
var a cabo Auditoría Interna relacionados
apetito de riesgo
2. Seguimiento y actualización del apetito con el apetito de riesgo son:
combinando el
seguimiento y las de riesgo · Asesoramiento en la determinación de
evaluaciones Una vez que el apetito de riesgo ha sido los principales riesgos que afectan a la
independientes. definido, comunicado e implantado, es entidad, definir su grado de aceptación
La función de Auditoría y la medida en que éstos influyen en la
importante que se realice un seguimiento
Interna puede apoyar a consecución de los objetivos estratégi-
y actualización periódica del mismo.
la gestión en este cos.
El apetito de riesgo no es un concepto
seguimiento. · Comprobar que la tolerancia al riesgo y
que deba ser definido y olvidado para
el apetito de riesgo se encuentran ali-
siempre, sino que debe ser revisado en
neados, así como verificar que los con-
función de la operación de la compañía, troles y sistemas de alerta de desviacio-
especialmente si ésta cambia su modelo nes son eficaces para reconducir los ni-
de negocio, y teniendo en cuenta también veles de riesgo, en caso de que éstos
los cambios en el entorno en el que ope- superasen los límites establecidos.
ra. · Revisar y validar el empleo de los ma-
La dirección debe supervisar las activida- pas de riesgos.
des de acuerdo con el apetito de riesgo, · Revisar que el binomio aceptación de
combinando el seguimiento y las evalua- riesgo-rentabilidad, determinado en el
ciones independientes. La función de Au- apetito de riesgo, es asumible para la
ditoría Interna puede apoyar a la gestión entidad y que no pone en peligro su
en este seguimiento. Las organizaciones, continuidad.
al controlar el apetito de riesgo, deberían · Supervisar que las métricas empleadas
centrarse en crear una cultura que sea en la medición de riesgos son adecua-
consciente de los riesgos y con metas or- das y que expresan de forma fiel el ries-
ganizacionales compatibles con las de los go que tratan de valorar, así como la
órganos responsables. calidad de la información empleada pa-
44
ra dicho fin. Podría revisar también si aseguramiento en el cumplimiento de la

los resultados obtenidos se adecuan a normativa vigente, de los procesos de
los objetivos establecidos por la com- Gestión de Riesgos, la revisión del grado
pañía. de implantación de las medidas de miti-
Otros aspectos relevantes de la función gación, y del grado de seguimiento y apli-
de Auditoría Interna incluyen proporcionar cación del apetito de riesgo.
LA FUNCIÓN DE AUDITORÍA INTERNA EN RELACIÓN AL APETITO DE RIESGO
Colaborar en el asesoramiento al Consejo a la hora de establecer el apetito de riesgo
Asesorar en la determinación de los principales riesgos que afectan a la entidad
Comprobar que la tolerancia al riesgo y el apetito de riesgo se encuentran alineados
Comprobar que la tolerancia al riesgo y el apetito de riesgo se encuentran alineados
Revisar y validar el empleo de los mapas de riesgos
Revisar que el binomio riesgo/rentabilidad, determinado en el apetito de riesgo, es asumible
Supervisar que las métricas empleadas en la medición de riesgos son adecuadas
Proporcionar aseguramiento en el cumplimiento de la normativa vigente
Revisar el grado de implantación de las medidas de mitigación
Revisar el grado de grado de seguimiento y aplicación del apetito de riesgo
4. Supervisión en definitiva, de garantizar que las entida-

Sectores como el bancario y el asegurador des disponen de una herramienta que les
cuentan con el marco normativo de Basi- permita gestionar sus riesgos e incremen-
lea y Solvencia II respectivamente, en los te la probabilidad de conseguir sus objeti-
que se plasma el interés que reguladores vos de solvencia en la toma de decisiones.
y supervisores tienen en que el apetito de Al margen de las exigencias regulatorias,
riesgo se emplee en el sector financiero la supervisión del apetito de riesgo, debe
dentro de la Gestión de Riesgos. Se trata, ir encaminada a promover la creación de
45
una cultura de gestión de riesgos en la or- sión que garantice la correcta integración
ganización, y a que todos sus integrantes del apetito de riesgo, y de la gestión de
tomen conciencia de la importancia de riesgos en su conjunto, dentro de la orga-
gestionar su actividad teniendo en cuenta nización.
el riesgo que asumen y su grado de vincu-
lación con los objetivos de la organiza-
ción. Resumen
Este hecho debe considerarse especial- A continuación se muestra un cuadro resu-
mente en aquellas entidades que desarro- men de los pasos, acciones y responsables
llan su actividad en sectores en los que que deben considerarse a la hora de implan-
no existe regulación específica al respec- tar el apetito de riesgo como parte integrante
to. Éstas deberán responsabilizarse de lle- del sistema de gestión de riesgos de una or-
var a cabo un ejercicio de auto-supervi- ganización.
IMPLANTACIÓN DEL APETITO DE RIESGO · SISTEMA DE GESTIÓN DE RIESGOS

PASOS ACCIONES / HITOS RESPONSABLES
1 Órganos
Objetivo, alcance y estrategia
de Gobierno
Definición marco estratégico
2 Estratégicos, operacionales, Todos

información y cumplimiento
Establecimiento de Principios
3 Estructura, funciones Todos

y responsabilidades
Descripción organizativa
4 Órganos
Apetito y tolerancia al riesgo
de Gobierno
Asignación niveles de riesgo
5 Función Gestión de
Cálculo. Priorización
Riesgos. Alta dirección
Metodología de cálculo
6 Comunicación, seguimiento Órganos de Gobierno

y actualización del apetito de riesgo y alta dirección
Comunicación, actividades
de control y supervisión Actividades de control Auditoría Interna
Supervisión Órganos reguladores
46
Lecciones aprendidas y conclusiones

A lo largo del documento se han expuesto los Los problemas vividos principalmente por em-
principales conceptos, utilizaciones, metodo- presas financieras en los últimos años, ponen
logías de aproximación y cálculo, unas breves de manifiesto la relevancia de contar con me-
notas sobre los estándares que abordan el didas adecuadas del grado de exposición de
apetito de riesgo, así como una propuesta sis- los riesgos, así como una gestión profesional Los problemas vividos
y responsable de los mismos. Una organiza- principalmente por
temática para su implantación en una organi-
ción puede afrontar situaciones puntuales en empresas financieras
zación. Para finalizar, se abordarán las princi-
las que, por razones tácticas o estratégicas, en los últimos años,
pales lecciones aprendidas y conclusiones por
pueda necesitar una exposición a los riesgos ponen de manifiesto la
extraer de los aspectos tratados.
superior a su apetito e incluso a su tolerancia. relevancia de contar
El apetito de riesgo es un instrumento de ges- No obstante, en el medio y largo plazo esta con medidas adecuadas
opción no es sostenible. El apetito de riesgo del grado de exposición
tión cuyo uso formal es reciente. El sector fi-
ayuda a reflexionar y a determinar las estrate- de los riesgos, así como
nanciero ha sido el pionero en el uso de este
gias y decisiones viables apoyando la toma de una gestión profesional
concepto. La crisis financiera iniciada en 2007
decisiones. y responsable de los
y la caída de diversas instituciones de esta ín-
mismos.
dole pueden hacer pensar que este tipo de
gestión no es útil. Nada más lejos de la reali-
dad. El fracaso de dichas organizaciones ¿QUÉ OBJETIVOS TIENE LA GES-
muestra que tener implantados modelos de TIÓN DEL APETITO DE RIESGO?
gestión de riesgos y de apetito de riesgo no En determinadas organizaciones, el apetito de
asegura el éxito, aunque es un punto de parti- riesgo es una pieza esencial para garantizar el
da imprescindible. Pero existen una serie de cumplimiento de ciertas normativas y reco-
condiciones necesarias que deben darse al mendaciones de buen gobierno, que exigen
mismo tiempo para asegurar su efectividad, implantar e informar sobre sus sistemas de
como que las organizaciones fijen de manera gestión y control de riesgos. Un enfoque ba-
clara su estrategia y su apetito de riesgo en el sado exclusivamente en esta faceta es común
corto, medio y largo plazo, que los riesgos se en empresas cotizadas o en sectores regula-
dos que afrontan dichos requerimientos lega-
midan adecuadamente, que la exposición a
les en su actividad.
ellos sea éticamente responsable y se encuen-
tre controlada y, por último, que las organiza- Sin embargo, el apetito de riesgo no debe
ciones entiendan las implicaciones de estar quedarse exclusivamente como un tema aso-
expuestas a determinados riesgos. ciado al cumplimiento, sino que es importante
47
enfocarlo como una herramienta clave de no obstante, sin un proceso de gestión que
apoyo a la gestión organizativa y con un pa- permita identificar, analizar, evaluar, decidir y
pel activo en la toma de decisiones. Se trata comunicar los riesgos afrontados, el apetito
en definitiva de evaluar qué eventos son asu- de riesgo carece de sentido. Esta afirmación
mibles por la organización de acuerdo a su no significa que las organizaciones no tengan
estrategia y cuáles no. Es en este caso cuando actitud frente al riesgo, elemento que siempre
la implantación del apetito de riesgo suele ser
va a estar presente en ellas, sino que sin un
fuente de ventajas competitivas. Dar el salto
sistema de gestión de riesgos previamente
hacia este tipo de modelos y embeber el ape-
implantado, no merece la pena hacer explíci-
tito de riesgo en la asignación de responsabi-
tas esas actitudes mediante el apetito de ries-
lidades, flujos de reporte y tareas diarias, re-
quiere que una organización cuente con una go.
cultura organizativa sensible a la gestión de
Los sistemas integrales de gestión de riesgos
riesgos así como con una dotación de recur-
son una buena práctica de gestión y cada vez
sos suficientes para dicha tarea. Este enfoque
más organizaciones, de todos los tamaños y
es común en empresas del sector financiero,
sectores, implantan estos procesos de segui-
más acostumbradas a una gestión sofisticada
miento y control de riesgos.
de los riesgos pero cada día prolifera más en
otros sectores menos regulados. Adicionalmente, otra pieza clave que sustenta
el apetito de riesgo es la cultura organizati-
va. El apetito de riesgo, al igual que el proce-
so de gestión de riesgos en el que se enmar-
ca, debe ser parte de la cultura de la organi-
APETITO zación que cohesiona a las personas, los pro-
CUMPLIMIENTO GESTIÓN
DE ORGANIZATIVA cesos y los recursos que la integran. Las orga-
RIESGO nizaciones que aspiran a disponer de un ape-
tito de riesgo efectivo y útil deben entender la
aportación de valor que supone este tipo de
gestión, así como hacer conscientes a sus
miembros de la relevancia de la gestión de
riesgos, y favorecer los valores de comunica-
ción abierta, gestión activa y responsabilidad.
¿QUÉ CONDICIONES PREVIAS La superación del escepticismo inicial y resis-
REQUIERE? tencia al cambio, que suele acompañar estas
La condición necesaria para hacer explícito y iniciativas, es un problema complejo cuya so-
útil el apetito de riesgo de una organización lución consume tiempo y recursos; dicha solu-
es tener implantados los elementos funda-
ción necesariamente pasa por hacer partíci-
mentales de un sistema de gestión de ries-
pes a los miembros de la organización del sis-
gos.
tema de gestión de riesgos y por contar con
Existen diversos grados de madurez y de - el apoyo incondicional de los órganos respon-
sarrollo en los sistemas de gestión de riesgos, sables.
48
¿POR DÓNDE EMPIEZO? con la mejora en la gestión de riesgos, asig-

nación de responsabilidades, comunicación y
La determinación del apetito de riesgo debe
control interno. Se tratan de beneficios intan-
estar soportada por la alta dirección, inde-
gibles, por lo que tienden a olvidarse, pero no
pendientemente del enfoque escogido para
por ello son menos relevantes.
su implantación y evaluación (top-down o
bottom-up, como ya se ha visto). Es impres-
cindible contar con el compromiso de los má- Proporcionalidad
ximos responsables de la organización, que El grado de sofisticación en la determina-
garantizarán su aplicación, utilidad y consis- ción del apetito de riesgo debe ser propor-
tencia. Un error básico consiste en desarrollar cional a la complejidad del sector, de las
sistemas de apetito de riesgo, matemática y operaciones y de los procesos de toma de
estadísticamente sofisticados, excesivamente decisiones de la organización. Desarrollar el
teóricos, pero que carecen del apoyo y enten- apetito de riesgo no es un fin en sí mismo, ni
dimiento por parte de la alta dirección, lo que debe consumir una cantidad desproporciona-
dificulta su implantación en la organización y da de recursos. Las organizaciones de peque-
reduce las posibilidades de éxito. ño tamaño no necesitan contar con modelos
sofisticados de apetito de riesgo. La máxima El apetito de riesgo, al
El apetito de riesgo debe vincularse a los ob- esencial es que la fijación del apetito de ries- igual que el proceso de
jetivos básicos de una organización. No es go se debe mantener de la manera más sim- gestión de riesgos en el
operativo establecer apetitos de riesgo sobre ple posible. que se enmarca, debe
variables que no son relevantes en la toma de ser parte de la cultura
decisiones. De esta forma, se garantizará la de la organización que
Flexibilidad
correcta comunicación y entendimiento de to- cohesiona a las
dos los miembros de la organización. No existe un apetito de riesgo único o váli-
personas, los procesos y
do para todas las organizaciones. El apetito
los recursos que la
de riesgo debe reflejar las diferentes tipologí-
integran.
as de riesgos afrontadas por las organizacio-
FACTORES CLAVE DE ÉXITO: nes y las actitudes de sus grupos de interés.
¿QUÉ PRINCIPIOS DEBEN GUIAR Ambas variables son únicas para cada organi-
SU IMPLANTACIÓN? zación, por lo que también lo será la forma de
El apetito de riesgo de una organización debe determinar su apetito de riesgo. Asimismo, el
cumplir con los siguientes principios básicos apetito de riesgo es un concepto dinámico,
para garantizar su eficiencia y utilidad. que varía al igual que lo hace el entorno en el
que se mueve una organización, que se trans-
Eficiencia forma con la propia organización y que, por
tanto, requerirá su actualización periódica.
Al igual que todo sistema de gestión y con-
trol, durante su implantación es importante
considerar los costes y los beneficios aso- Concreción
ciados al mismo. Si los costes exceden a los El apetito de riesgo en cualquier caso debe
beneficios, no merece la pena avanzar hacia ser conciso e idealmente también debe ser
este modelo de gestión. Entre los beneficios a medible. Se trata de una métrica para consi-
considerar hay que incluir los relacionados derar si un riesgo es aceptable, o no, por par-
49
te de una organización, por lo que va a ser integrarse en la cultura organizativa. Asimis-

utilizada en los procesos de gestión de ries- mo, independientemente del alcance en su
gos y toma de decisiones. Por lo tanto, debe implantación, sea con vocación de herramien-
ser una medida lo suficientemente precisa co- ta de cumplimiento o de gestión, también es
mo para poder ser comunicada, aplicada y una pieza esencial en el sistema de control
poder realizar un seguimiento adecuado de interno de una organización. Un paso poste-
su utilización. En caso contrario, se corre el rior consistirá en su integración con los proce-
sos operativos y de gestión, vinculando, por
riesgo de contar con conceptos abstractos, de
ejemplo, la retribución de los miembros de la
difícil aplicación y con escasa utilidad.
organización, a una gestión adecuada y res-
ponsable del apetito de riesgo en los diferen-
Integración tes niveles organizativos, pero estas aplicacio-
El apetito de riesgo es una pieza fundamen- nes sólo son recomendables una vez se dis-
tal del sistema de gestión de riesgos. Debe ponga de un modelo estable y suficientemen-
referirse a los objetivos de la organización e te maduro.
DECÁLOGO PARA LA FIJACIÓN Y USO DEL APETITO DE RIESGO
1 Vincule la estrategia y las decisiones al apetito.
En toda toma de decisiones considere los riesgos asociados.

2 Entiéndalos de forma íntegra y mídalos de manera exhaustiva.
Conozca los objetivos de la organización, en función de ellos determine su apetito

3 de riesgo.
Evalúe la capacidad total de soportar riesgos. Es necesario que el apetito sea menor que la
4 capacidad de riesgo. Adicionalmente, es recomendable tener cierto margen de tolerancia.
5 Mantenga simple el apetito de riesgo, ayudará a entenderlo.
6 Comunique de forma clara el apetito a todas las partes implicadas.
Asegúrese de que la información utilizada para medir los riesgos y el apetito de riesgo
7 está actualizada y es adecuada, tanto en cantidad como en calidad.
Apóyese en los marcos de referencia existentes y asegúrese de cumplir con la regulación

8 aplicable.
9 Evalúe de forma periódica el apetito de riesgo. Debe ser dinámico.
Controle y supervise de forma continua cómo se adecúa la organización a esta filosofía,

10 siempre hay margen de mejora.
50
Apetito de Riesgo
ANEXOS
Anexo I · Definiciones
COSO ISO 31000 / Guide 73 BS31100 not prepared to venture in the pursuit of
Risk Appetite: the broad - based amount Risk appetite: Amount and type of risk its long term objectives.
of risk an entity is willing to accept in pur- that an organization is willing to pursue or Risk capacity: the ability to carry risks, and
suit of its mission/vision. retain. the risk management maturity to manage
Risk Tolerance: The acceptable level of va- them.
The Institute of Risk Management
riation in performance relative to the
(IRM), “Risk Appetite & Tolerance Gui-
achievement of objectives
dance Paper”
British Standards, BS 31100 October Risk appetite: The amount of risk that an
2008 organization is willing to seek or accept in
Risk appetite: the amount and type of risk the pursuit of its long term objectives.
that an organization is prepared to seek, Risk tolerance: The boundaries of risk ta-
accept or tolerate. king, outside of which the organization is
Anexo II · Detalle de los Marcos de Referencia

Durante los últimos años, la gestión inte- principios y pautas basadas en las mejores rente normativa para la regulación de cier-
gral de riesgos ha alcanzado una dimen- prácticas… todas ellas pretenden estable- tas actividades que mantienen un alto gra-
sión cada vez más importante entre orga- cer unos límites razonables para la asun- do de influencia en el resto de las activida-
nizaciones de diferentes características, ya ción de riesgos por parte de los actores des económicas.
sean de naturaleza privada, pública o enti- El peso y la importancia del sector finan-
económicos, que sean acordes a sus objeti-
dades sin ánimo de lucro. Esta importancia ciero y en particular el negocio bancario y
vos y estructuras y que contribuyan a evi-
se ha puesto aún más de manifiesto, como el asegurador, por ejemplo, ha provocado
tar, en la medida de lo posible, situaciones
consecuencia de la difícil situación de crisis que se diseñen marcos de supervisión de
que afecta a la economía mundial desde como las que se han vivido durante los úl-
estas actividades, donde se hace un hinca-
2008. timos años.
pié especial en los procesos de control y
Por ello, tanto gobiernos como entidades Existen multitud de marcos de referencia gestión de riesgos y donde se pone el
de toda índole han dado pasos considera- que hablan de la gestión de riesgos em- acento en el tipo y la cantidad de riesgo
bles hacia el establecimiento de un nuevo presariales y hacen mención al perfil o que estas instituciones deben afrontar. To-
apetito de riesgo que debiera existir en las do ello con la finalidad de poder cumplir
marco, que aporte cierto grado de estabili-
organizaciones, pero hemos considerado con sus compromisos y objetivos, sin sufrir
dad a las diferentes operativas que compo-
necesario hacer una selección de los más una excesiva exposición a situaciones po-
nen la actividad económica. Los esfuerzos tencialmente perjudiciales para ellas mis-
representativos. Asimismo, hemos dividido
más exigentes se han producido en el ám- mas y para el resto del conjunto de la eco-
esta selección en dos partes, las exigencias
bito del sector financiero, dada la impor- nomía. A continuación señalamos las más
normativas o regulatorias en la materia y
tancia y el peso relativo del mismo en el representativas:
las mejores prácticas internacionales.
conjunto de la economía, aunque también Marco regulador para entidades banca-
se han realizado actuaciones extensivas al Exigencias de carácter obligatorio rias (Basilea III).
resto de sectores económicos. Regulacio- La evolución de la situación económica En 1974 se creó el Comité de Supervisión
nes específicas sectoriales, normativa legal, mundial ha favorecido la aparición de dife- Bancaria de Basilea, y en 1988 se publicó
52
el primer acuerdo “Basilea I”, donde se Aunque los acuerdos del Comité de Super- co, así como las políticas y procesos en
proponían las normas mínimas que deberí- visión Bancaria de Basilea son recomenda- materia de gobierno corporativo acordes a
an cumplir las entidades financieras para ciones sobre regulación y supervisión ban- este perfil de riesgo, para garantizar un
mantener el control prudente de sus ope- caria no vinculantes, han sido adoptados control eficaz sobre todas las actividades
raciones. Fruto de las limitaciones impor- por numerosos países e integrados en su del banco. El supervisor lo evalúa periódi-
tantes derivadas de la innovación financie- regulación local. camente y verificará que el Consejo aprue-
ra emergente, en 2004 se publicó “Basilea En la última publicación del Comité de Su- ba y vigila la aplicación de la dirección es-
II”, con el objetivo de unificar la medición pervisión Bancaria de Basilea “Principios tratégica y la estrategia sobre riesgos de la
de los riesgos de los distintos reguladores Básicos para una supervisión bancaria efi- entidad, así como de las políticas relacio-
y supervisores internacionales, a fin de po- caz” de 2012, se detallan los 29 principios nadas, establece y comunica la cultura y
der homogeneizar la legislación y regula- básicos que considera necesarios para la los valores corporativos y establece políti-
ción bancaria en materia de riesgos. eficacia del sistema financiero, debiendo cas en materia de conflictos de intereses,
ser evaluados por las autoridades naciona- además de un sólido entorno de control.
En 2010 el Comité de Supervisión Bancaria
de Basilea publicó “Basilea III” con el pro- les, para tener en cuenta las circunstancias A su vez, como principio de “Gestión del
pósito de mejorar la capacidad del sector específicas de cada país y cubrir todas las Riesgo”, el Marco regulador señala que el
necesidades y circunstancias de cada siste- supervisor debe verificar que el banco
bancario para absorber perturbaciones
ma bancario. cuenta con adecuadas estrategias de ges-
procedentes de tensiones financieras y
En esta publicación, se atribuye al Consejo tión del riesgo que han sido aprobadas por
económicas derivadas de la crisis financie-
de los bancos la tarea de fijar el nivel de el Consejo y que éste establece un apro-
ra internacional iniciada en 2007. Basilea
riesgo agregado que está dispuesto a asu- piado nivel de apetito de riesgo al objeto
III reforzaba la regulación internacional so-
mir y gestionar en aras de los objetivos de de definir el riesgo que el banco está dis-
bre el capital y la liquidez. Aparte de las
negocio de la entidad. puesto a asumir o tolerar. El supervisor ve-
nuevas exigencias, introduce un nuevo en-
rifica que:
foque y principios fundamentales de ges- Los principios se agrupan en dos grandes
categorías: · El Consejo garantiza que:
tión y supervisión de los riesgos financieros
y organizativos. - Principios 1 a 13: se centran en las po- g) existe una sólida cultura de gestión
testades, atribuciones y funciones de los del riesgo en todo el banco;
En la revisión de Basilea III de junio de
2011, se responsabiliza explícitamente a la supervisores. h) se han desarrollado políticas y pro-
alta dirección de las entidades de la defini- cesos para la asunción de riesgos,
- Principios 14 a 29: se centran en las re-
ción de la cantidad de riesgo que están acordes con la estrategia de gestión
gulaciones y requisitos prudenciales que
dispuestos a aceptar en su visión. Textual- del riesgo y el nivel establecido de
deben cumplir los bancos.
mente: apetito de riesgo;
En varios de los principios recomendados
“La alta dirección debe asumir un papel de i) se tiene constancia de las incerti-
en la segunda categoría (regulaciones y re-
dumbres asociadas a la medición del
liderazgo en la integración de las pruebas quisitos prudenciales), que cubren riesgos
riesgo;
de tensión en el marco de la gestión de como el de crédito, el operacional, el de li-
riesgos del banco y de su cultura de ries- quidez, o el de mercado, indica que los sis- j) se establecen límites adecuados
gos, y garantizar que los resultados son temas deben tener siempre en cuenta el acordes con el apetito de riesgo;
significativos y se aplican diligentemente a apetito de riesgo y el perfil de riesgo del k) el perfil de riesgo y la solidez del ca-
la gestión del riesgo de crédito de contra- banco, así como la situación macroeconó- pital del banco, son periódicamente
parte. Como mínimo, los resultados de las mica y de los mercados. comunicados al personal pertinente
pruebas de tensión para exposiciones sig- Comprendido en el principio de “Gobierno y comprendidos por éste; y
nificativas deben compararse con las direc- Corporativo”, como criterio esencial, se l) la alta dirección adopta las medidas
trices que explicitan el apetito del banco hace especial énfasis en que deben esta- necesarias para vigilar y controlar
por el riesgo, así como analizarse y servir blecerse claramente las atribuciones del cualquier riesgo significativo de con-
de base para adoptar medidas ante riesgos Consejo y la alta dirección del banco, los formidad con las estrategias aproba-
excesivos o concentrados.” cuales definen el perfil de riesgo del bandas y el apetito de riesgo establecido.
53
· Las estrategias, políticas, procedimientos b) La gestión de activos y pasivos. las cuestiones vinculadas con el apetito, la
y límites en materia de gestión del ries- c) La inversión, en particular, en instrumen- tolerancia y el perfil de riesgo, auténticos
go: tos derivados y compromisos similares. pilares de la gestión de riesgos que deter-
d) se documentan adecuadamente; minan, en gran medida, las actuaciones de
d) La gestión del riesgo de liquidez y de
las organizaciones a la hora de diseñar y
e) se revisan periódicamente y actuali- concentración.
ejecutar la estrategia para alcanzar sus ob-
zan adecuadamente para reflejar e) La gestión del riesgo operacional. jetivos. A continuación destacamos las más
cambios en el apetito de riesgo, el
f) El reaseguro y otras técnicas de reduc- representativas:
perfil de riesgo y la situación macro-
ción del riesgo.
económica; y OCDE: Principios de Gobierno Corporati-
Según establece la Directiva en su Artículo
f) se comunican dentro del banco. vo.
45, estas entidades, además, deben efec-
Marco regulador para entidades asegu- tuar una evaluación interna de los riesgos La Organización para la Cooperación y el
radoras (Solvencia II) y de la solvencia, abarcando como mínimo Desarrollo Económicos (OCDE) tiene por
determinados aspectos clave; i) las necesi- misión promover políticas que mejoren el
La Directiva Europea 10 que establece el
dades globales de solvencia de la organi- desarrollo económico y el bienestar social
marco de Solvencia II, regula tres aspectos
zación, teniendo en cuenta su perfil de de las personas en todo el mundo.
fundamentales relacionados con las enti-
riesgo específico, sus límites de tolerancia Esta Organización ha adoptado un enfo-
dades aseguradoras:
al riesgo aprobados y la estrategia comer- que orientado a facilitar ciertos instrumen-
1) El acceso a las actividades por cuenta cial de la empresa, ii) el cumplimiento con- tos de ayuda a los Gobiernos de los esta-
propia del seguro directo y del reasegu- tinuo de los requisitos de capital y de los dos miembro para conseguir estos objeti-
ro y el ejercicio de las mismas en ámbito requisitos en materia de provisiones técni- vos. Entre ellos destacan políticas relativas
de la Comunidad Europea. cas establecidos en la propia Directiva y iii) a la economía, la innovación, la educación,
2) La supervisión de los grupos de seguros la medida en que el perfil de riesgo de la las finanzas, los impuestos o la ética em-
y reaseguros. empresa se aparta de las hipótesis en que presarial entre otros.
3) El saneamiento y la liquidación de las se basa el capital de solvencia obligatorio
En el ámbito del Gobierno Corporativo, la
empresas de seguros directos. previsto también en la propia Directiva.
OCDE publicó una serie de Principios11 que
Dentro del Título I, en la Sección 2 relativa Mejores prácticas internacionalmente han acabado convirtiéndose en referencia
al Capitulo 4, la Directiva establece los re- aceptadas obligada para determinados colectivos co-
querimientos generales que deben regir en mo políticos, inversores y empresas de to-
Frente a las exigencias normativas o regu-
el Sistema de Gobernanza exigible para es- do el mundo. Si bien estos Principios no
latorias específicas, diferentes instituciones
te tipo de organizaciones. En concreto, se constituyen normas vinculantes, se consi-
de reconocido prestigio internacional han
hace referencia a una serie de requisitos deran una auténtica buena práctica para
publicado documentación en materia de
que ese Sistema debe cumplir a modo de fortalecer la estructura del gobierno corpo-
gestión de riesgos que, basada en las me-
pautas de control interno, entre los que rativo de empresas y otras organizaciones
jores prácticas existentes, se han converti-
destaca el apartado específico que hace y para contribuir a fortalecer la confianza
do en verdaderas fuentes de referencia.
referencia a las actividades de gestión de y la integridad en el ámbito económico y
Muchas de estas instituciones han publica-
riesgos de estas organizaciones. de los negocios.
do informes, guías y position papers en los
El sistema de gestión de riesgos debe cu- que han tratado diversas materias relacio- Entre las recomendaciones proporcionadas
brir, como mínimo, las siguientes áreas: nadas con las actividades de gestión de por estos Principios, destacan cuestiones
a) La suscripción y la constitución de reser- riesgos. Entre estas materias tratadas, co- concretas sobre la actuación de los Conse-
vas. mo no podía ser de otra manera, resaltan jos de Administración de las empresas en
10.Directiva 2009/138/CE del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009, sobre el seguro de vida, el acceso a la actividad de seguro y de
reaseguro y su ejercicio (Solvencia II).
11. OECD, Principles of Corporate Governance, 2004 Edition.
54
la gestión de riesgos. De forma más con- Con relación al componente “Entorno de Respecto a los roles y responsabilidades,
creta, se señala la idoneidad de disponer Control”, COSO II define que los factores atribuyen expresamente al Consejero Dele-
de una Política de Riesgos que abarque la del ambiente de control deben incluir la fi- gado la responsabilidad última de titulari-
especificación de los diferentes tipos y gra- losofía de gestión de riesgos de la entidad dad de la gestión de los riesgos corporati-
dos de riesgo que una entidad se encuen- y su riesgo aceptado, así como el resto de vos, proporcionando el liderazgo y orienta-
tra dispuesta a aceptar, en su intento por componentes como la integridad, los valo- ción necesario a la alta dirección, estable-
alcanzar sus objetivos (es decir, el apetito res éticos o la estructura organizativa. ciendo políticas amplias que reflejen la fi-
de riesgo). Constituyendo esta Política una losofía de gestión de riesgos de la entidad,
A su vez, en el punto de “Establecimiento
directriz de carácter vital para los directivos así como su riesgo aceptado. Respecto a
de objetivos” sugiere la vinculación entre
encargados de gestionar los riesgos, con el su supervisión, sugiere que la responsabili-
la misión de la entidad y los objetivos es-
fin último de determinar el perfil de riesgo dad de supervisar la gestión de los riesgos
tratégicos, así como con el resto de objeti-
deseado por la organización (Apartado D corresponda a un Comité de Riesgos cen-
vos relacionados, alineando estos dos tipos
de la parte VI relativa a las Responsabilida- trado directamente en éste área, desarro-
de objetivos con el nivel de riesgo acepta- llando y perfeccionando el riesgo aceptado
des del Consejo).
do y la tolerancia al riesgo. y las tolerancias al riesgo de la empresa.
Committee of Sponsoring Organization COSO II expresa que, en una entidad, el Respecto al framework de gestión de ries-
of the Treadway Commission (COSO). riesgo aceptado puede expresarse en tér- gos COSO II, que establece y facilita una
COSO se formó para mejorar la calidad de minos cualitativos o cuantitativos, y sugie- guía para ayudar y desarrollar actividades
los reportes financieros mediante la ética re una batería de consideraciones para su para la gestión de riesgos, en la actualiza-
en los negocios, con objeto de tener con- definición. Como primera opción, contem- ción de COSO en mayo de 2013, se define
troles internos y gobierno corporativo efec- pla la expresión del riesgo aceptado en tér- la gestión de riesgos como un proceso que
tivos. Basado en estos principios, se des- minos de un “mapa de riesgo”, sugiriendo debe ser establecido por la dirección y
arrolló y publicó el marco de trabajo del que la dirección de la entidad debe poner aplicado en la estrategia de toda la enti-
COSO II como una fundación para estable- en marcha acciones para reducir la proba- dad. El cambio de enfoque está basado en
cer sistemas de control interno y determi- bilidad y/o impacto de cualquier riesgo rela identificación de eventos potenciales de
nar su efectividad. En 2012, COSO ha rea- sidual significativo incluido en la zona riesgo que puedan afectar, gestionando los
lizado una actualización del marco COSO, amarilla, puesto que excede el riesgo acep- riesgos en base al apetito de riesgo defini-
publicando actualmente el borrador “Inter- tado. do, y asegurando la consecución de los ob-
nal Control - Integrated Framework”, que jetivos de la entidad. De este modo, el fra-
Como segunda opción expone, principal-
adapta COSO II a los cambios y avances en mework de gestión de riesgos de la última
mente para empresas de servicios financie-
las operaciones de tecnología y de nego- actualización de COSO amplía la visión del
ros y sector energético, adoptar un enfo-
cios, y lo mejora. Control Interno definido en COSO II.
que sofisticado de aproximación al riesgo
COSO II distingue cuatro categorías de ob- En este nuevo marco de gestión de riesgos
aceptado mediante técnicas cuantitativas.
jetivos, que deben ser cubiertos en toda la de COSO, se introduce el concepto de ape-
A su vez, para organizaciones avanzadas
estructura organizativa de una entidad, tito de riesgo, definiéndolo como el riesgo
indica que pueden expresar el riesgo acep-
mediante ocho componentes del marco re- que se está dispuesto a aceptar en la bús-
tado empleando medidas relativas al mer-
conocido para la administración y gestión queda de la misión/visión de la entidad,
cado o de capital riesgo.
integral de los riesgos. En la actualización formando un hito más en la fijación de la
de COSO en mayo de 2013, se han simpli- En el componente de “Respuesta a los estrategia y los objetivos. Esto refleja una
ficado en tres categorías (operaciones, in- Ries gos” muestra que es la Dirección nueva filosofía de gestión de riesgos en la
formación y cumplimiento) y los ocho com- quien, ante las oportunidades que puedan entidad, que a su vez influye en su cultura
ponentes finalmente han sido agrupados existir, debe indicar y determinar si el ries- y su estilo operativo. El apetito de riesgo
en cinco (entorno de control, evaluación go residual global concuerda con el riesgo ayuda a alinear la organización, las perso-
del riesgo, actividades de control, informa- aceptado por la entidad, asumiendo una nas y los procesos, en el diseño de la in-
ción y comunicación, actividades de segui- perspectiva del riesgo global para la enti- fraestructura necesaria para responder efi-
miento). dad. cazmente y monitorizar los riesgos.
55
A su vez, define la tolerancia al riesgo co- nización debe integrar, y no evitar, el bles deben monitorear que las activida-
mo el nivel aceptable de variación en los riesgo como parte de su estrategia, es- des son realizadas en coherencia al
resultados o actuaciones de la compañía tableciendo objetivos y desarrollando apetito de riesgo definido, a través de
relativas a la consecución o logro de sus apetitos al riesgo diferentes, acordes a una combinación de monitorización y
objetivos(operaciones, información y cum- la misma. No existe una norma o es- evaluaciones separadas. El departa-
plimiento), alineando éstos con el apetito tándar universal de apetito de riesgo mento de Auditoría Interna, a su vez,
de riesgo marcado. De esta manera, sugie- aplicable a todas las organizaciones, ni puede apoyar en la gestión de este se-
re que se obtiene un mayor grado de segu- existe un "correcto" apetito de riesgo, guimiento.
ridad de que la entidad logrará sus objeti- por lo que la Dirección debe establecer-
Cuando se lleve a cabo la supervisión
vos, y especifica que el apetito de riesgo y lo, entendiendo y analizando las venta-
del apetito de riesgo, sugiere que debe
la tolerancia al riesgo, junto a la fijación de jas y desventajas que implica tener un
incentivarse la creación de una cultura
objetivos, son precondiciones necesarias mayor o menor apetito de riesgo.
en la organización, que fomente la
para el establecimiento de un sistema de 5. Comunicar el apetito de riesgo: Exis- concienciación de los integrantes de la
control interno efectivo. ten diversos enfoques utilizados para la misma acerca de los riesgos, y su vincu-
Respecto a los componentes del frame- comunicación del apetito de riesgo. El lación con los objetivos de la organiza-
work de COSO, indica que la identificación primer enfoque sugerido es la creación ción.
de eventos y la evaluación de riesgos para de un estado de apetito de riesgo de
dar respuesta a éstos, deben considerarse carácter general, que refleje los niveles International Organization for Standardi-
siempre en relación al apetito de riesgo de riesgo aceptables en la consecución zation (ISO).
definido. de objetivos (mediante su representa- ISO es la mayor organización mundial en-
ción en gráficos o mapas de riesgos cargada de promover el desarrollo de nor-
De forma adicional, COSO ha publicado en
que fijen las bandas de riesgo acepta- mas internacionales de fabricación (pro-
2012 el informe “Understanding and Com-
ble e inaceptable), debiendo ser lo sufi- ductos y de servicios), comercio y comuni-
municating Risk Appetite”, con el objetivo
cientemente amplio y descriptivo como
de ayudar a las entidades a implantar la cación para casi todas las ramas industria-
para que las unidades organizativas
gestión de riesgos (ERM) persiguiendo el les (excepto la rama eléctrica y la electróni-
puedan gestionar sus riesgos de forma
logro de sus objetivos. Para ello, es necesa- ca). Su principal función es facilitar la es-
consistente dentro de la organización.
rio decidir y establecer las metas, tácticas u tandarización de normas en productos y en
El segundo enfoque es la comunicación
objetivos operacionales de la entidad, pu- la seguridad para empresas u otras organi-
del apetito al riesgo para cada uno de
diendo ser más agresivas o conservadoras, zaciones a nivel internacional (ya sean pú-
los objetivos principales de la organiza-
y plasmarlas en una mayor o menor tole- blicas o privadas). Las normas desarrolla-
ción, mientras que el tercero se centra
rancia al riesgo. Además de realizar una das por ISO son de cumplimiento volunta-
en comunicar el apetito de riesgo para
perfecta planificación, para el éxito, es ne- rio, ya que se trata de un organismo no
diferentes categorías de riesgo.
cesario desarrollar y comunicar a toda la gubernamental y no depende de ningún
6. Controlar y actualizar el apetito de otro organismo internacional.
entidad una clara comprensión del apetito
riesgo: Una vez que el apetito de ries-
de riesgo definido, e integrarlo en el proce- En noviembre de 2009 publicó un conjun-
go sea comunicado, los responsables
so de planificación estratégica (no contem- to de principios y pautas para servir de
de la gestión, con el apoyo de la direc-
plarlo únicamente como un tema teórico ayuda a todo tipo de organizaciones a la
ción, deben revisarlo y reforzarlo. El
de discusión). hora de afrontar, de una manera sistemati-
apetito de riesgo no se puede estable-
Para determinar el apetito de riesgo, la cer y luego olvidarlo, sino que debe ser zada y eficaz, el proceso de instauración
gestión, la supervisión y la concurrencia, revisado en relación a la forma en que de un sistema para la gestión de riesgos12.
deben seguirse tres pasos: opera en la organización, especialmen- Si bien, hasta el momento, no se trata de
4. Desarrollar el apetito de riesgo: Para te en las entidades donde el modelo de una normativa certificable, similar a otras
desarrollar el apetito al riesgo, la orga- negocio está cambiando. Los responsa- normativas ISO, muchas organizaciones
12. ISO 31000: 2009, Risk Management - Principles and guidelines on implementation.
56
han adoptado esta perspectiva de gestión - Evaluación de riesgos: se trata de es- otra, en función de cómo se haya determi-
de riesgos debido a que el estándar combi- tablecer una estimación sobre el im- nado ese apetito.
na los mejores aspectos de varios marcos pacto y la probabilidad de ocurrencia De manera complementaria, el documento
formales de gestión de riesgos corporati- de los riesgos identificados. de vocabulario y términos de gestión de
vos. Esto les permite sacar provecho de · Tratamiento del riesgo: Consiste en riesgos que también publicó ISO13, detalla
ello, al favorecer que el sistema de gestión seleccionar la opción más adecuada una definición concreta de los conceptos
de riesgos implantado permita a la organi- para tratar el riesgo, de acuerdo a la de actitud, apetito y tolerancia de riesgo
zación, entre otras cosas, incrementar el naturaleza y características de éste. de una organización.
nivel de confianza de los stakeholders, · Monitorización y revisión: Debe abar-
aprovechar las oportunidades y defenderse car todos los aspectos del proceso de British Standard 31100.
de las amenazas del negocio, optimizar la gestión de riesgos a los efectos de: La BS 31100 es un código de conducta pa-
asignación de los recursos y mejorar el go- ra la gestión de riesgos iniciado por un co-
a) Analizar y aprender las lecciones
bierno, el control interno y el rendimiento mité técnico, formado en 2006 por miem-
con origen en los eventos, cambios
de las organizaciones. bros de la industria, reguladores y acadé-
y tendencias,
El estándar 31000 proporciona un marco micos, publicado por el Grupo BSI (British
b) Detectar los cambios en el contexto
para que la función de gestión de riesgos Standards Institution) en 2008. Proporcio-
interno y externo y en los propios
dentro de una organización tenga éxito en na una guía con recomendaciones para la
riesgos, que requieran una revisión
la consecución de sus propósitos y objeti- gestión de riesgos (principios, modelos, fra-
de las prioridades y tratamiento del
vos. Además, establece un proceso especí- mework y procesos) para ayudar a las or-
riesgo,
fico para la gestión de riesgos, dividido en ganizaciones a alcanzar sus objetivos y
c) Asegurar que las medidas de trata- ayudar a mejorar el resultado a través de
las siguientes fases:
miento y control de riesgos son efi- una gestión efectiva del riesgo.
· Establecer el contexto: Como punto caces desde el punto de vista ope-
de partida, se debe establecer el con- La BS 31100 está dirigida a organizacio-
rativo y de diseño,
texto en el que se relaciona la organi- nes de todos los tamaños, adaptando su
d) Identificar nuevos riesgos. lenguaje especialmente para ser compren-
zación desde dos puntos de vista dife-
· Comunicación e información: Se trata sible tanto para las organizaciones peque-
renciados, el contexto externo y el con-
de identificar, captar y comunicar la in- ñas como para las multinacionales. A su
texto interno. Todo ello con el objeto de
formación relevante en materia de ries- vez, busca reducir las duplicidades tanto
entender objetivos y expectativas de los
gos para darles respuesta y comunicar como sea posible con otras normas o mar-
stakeholders internos y externos de la
el rol y responsabilidades de todos los cos de referencia, mediante la vinculación
organización.
participantes en el proceso. e integración del lenguaje y las metodolo-
· Valoración del riesgo: Contempla tres
En cuanto al apetito de riesgo, el estándar gías de las ya existentes.
actuaciones diferentes para entender el
ISO lo menciona expresamente cuando ha- En los principios de gestión del riesgo, su-
riesgo, sus orígenes y sus consecuen-
bla de la Política de Gestión de Riesgos, giere utilizar o integrar la gestión de ries-
cias:
puesto que en este documento se debe es- gos en la toma de decisiones. Esta gestión
- Identificación de riesgos: se trata de pecificar claramente el apetito, como parte de riesgos, debe apoyarse en la definición
localizar aquellas situaciones que puede los objetivos y compromisos de la orga- del apetito de riesgo y la capacidad, dentro
den afectar a la organización. nización con la gestión de sus riesgos. de los límites de las decisiones de inver-
- Análisis de riesgos: consiste en deter- Asimismo, se menciona la importancia del sión que deben ser realizadas. El apetito
minar los orígenes de los riesgos, las apetito en la fase del proceso relativa a la de riesgo debe traducirse en niveles de to-
áreas de impacto, los eventos y sus evaluación del riesgo, puesto que influirá lerancia de riesgo de los diferentes depar-
causas y las consecuencias potenciales en la decisión de la organización de tratar tamentos, programas, proyectos y opera-
de los mismos sobre la organización. las situaciones de riesgo de una manera u ciones. Estos niveles deben ir acompaña-
13. ISO Guide 73:2009, Risk Management - Vocabulary.
57
dos de reglas de escalado para los riesgos Una vez definida la estrategia de gestión · Reflejarlo o incorporarlo en la política
o grupos de riesgos que excedan los lími- de riesgos en la entidad, como componen- de gestión del riesgo de la organización
tes de los niveles de tolerancia fijados por te específico del framework, la BS 31100 y notificarlo, como parte de un sistema
la alta dirección. define el apetito de riesgo como la canti- de reporte interno de riesgos de la orga-
La BS 31100 define un framework, o mar- dad de riesgo que la organización está dis- nización.
co de gestión de riesgos, formado por diez puesta a aceptar, tolerar o estar expuesta Se indica que la definición de apetito al
componentes interrelacionados que deben en cualquier momento del tiempo. Habla riesgo puede realizarse de dos formas:
estar correctamente definidos, y formar del apetito de riesgo refiriéndose a la acti-
a) Declaraciones cualitativas que descri-
parte de la cultura de gestión de riesgos tud de la organización hacia la toma de
ben los riesgos específicos de la organi-
en la entidad: riesgos y si está dispuesto y/o en condicio-
zación que está o no dispuesto a acep-
1. Gestión de riesgos. nes de aceptar un alto o un bajo nivel de
tar;
exposición a riesgos específicos o grupos
2. Estrategia de la gestión de riesgos. b) Declaraciones cuantitativas, donde se
de riesgos o categorías de riesgo. Esto per-
3. Apetito de riesgo. mite a la organización incrementar sus re- describen los límites, umbrales o indica-
4. Política de gestión de riesgos. sultados mediante la optimización de la dores clave de riesgo, estableciendo có-
toma de riesgos y la aceptación de los ries- mo han de ser juzgados los riesgos y
5. Categorización y medición de los ries-
gos calculados dentro de un nivel apropia- sus beneficios y/o cómo evaluar y vigi-
gos y su impacto.
do de autoridad. lar el impacto agregado de estos ries-
6. Roles y responsabilidades. gos.
La definición de apetito de riesgo debe re-
7. Herramientas de gestión de riesgos. El perfil de riesgo de la organización se
flejar los siguientes aspectos:
8. Formación. manifiesta en el riesgo real al que ésta de-
· Proporcionar orientación y límites sobre
9. Reporte. cide enfrentarse. Debe ser evaluado y con-
el riesgo que se puede aceptar dentro
10.Revisión. siderado en la aplicación de los procesos
de la organización, marcando el riesgo y
de gestión de riesgos, debiendo ser objeto
El primer componente es el “Risk Gover- recompensa asociados que se conside-
de comparación con el apetito de riesgo y
nance”, definido como la estructura de ran equilibrados y la probabilidad de
la gestión adecuada de las medidas adop-
gestión del riesgo, los procesos y los meca- respuesta;
tadas. Esto puede incluir:
nismos a través de los cuales se debe lle- · Considerar el entorno de la organiza-
var a cabo la gestión de los riesgos, y la iv. Acciones de gestión específicas para
ción operativa, comprendiendo el valor,
definición de las responsabilidades y auto- alinear el perfil de los riesgo al apetito;
la rentabilidad de la gestión, el rigor de
ridades. El propósito reside en informar a los controles y los procedimientos de v. Revisión de la propensión frente al ries-
la Junta para la toma de decisiones y pro- aseguramiento; go, de acuerdo con el clima y evolución
porcionar una opinión independiente de si del negocio, y / o
· Reconocer que la organización podría
la actividad de gestión de riesgos es eficaz, vi. Investigación de los casos de riesgos
estar dispuesta a aceptar una propor-
suficiente y está alineada con la consecu- asumidos que no se están optimizando.
ción de riesgo más alta de lo normal en
ción de los objetivos estratégicos/operacio-
un área, si el saldo global de riesgo es Con relación a la asignación de roles y res-
nales. De esta manera muestra que el Go-
aceptable; ponsabilidades, responsabiliza a la Junta
vernance debe considerar todos los com-
ponentes del framework de gestión de · Definir el control, los permisos y sancio- Directiva, alta dirección (o equivalente), co-
riesgos, entre los cuales comprende el ape- nes del entorno, incluyendo la delega- mo órgano responsable de establecer y/o
tito de riesgo. Indica que se deben definir ción de autoridad en relación con la aprobar el apetito de riesgo de la organi-
claramente los parámetros del nivel de aprobación de la aceptación del riesgo zación y los apetitos al riesgo para las uni-
riesgo que son aceptables para la organi- de la organización, destacando los nive- dades auxiliares o funciones, debiendo ser
zación, así como los umbrales que desen- les graduales de control, y lo que en el comunicada a toda la organización.
cadenan la necesidad de escalarlo, la revi- proceso de escalamiento se considera El apetito de riesgo debe ser revisado por
sión y aprobación por parte de un organis- que se están sobrepasando los criterios la alta dirección (o su equivalente) por lo
mo o persona responsable. de aceptación del riesgo; menos una vez al año, junto con la estrate-
58
gia de la organización y los procesos de su actividad en el ámbito de la gestión de riesgos y a ejercitar las medidas de con-
planificación. De esta manera se consigue riesgos, proporcionando a los profesiona- trol.
que el perfil de riesgo de la organización y les de esta materia las herramientas y las · Implantación del apetito de riesgo: se
el apetito de riesgo definido se encuentren habilidades necesarias para poder afrontar describen las diferentes fases para im-
alineados, afrontando un apetito de riesgo con éxito los desafíos de un entorno de plementar el apetito de riesgo en la or-
acorde a las características y situaciones negocio cada vez más cambiante y sofisti- ganización, en concreto a) el diseño ini-
que afecten a la empresa en ese momento. cado. cial, b) el compromiso de los stakehol-
En el resto de componentes del frame- Esta institución ha publicado documentos ders, c) el propio desarrollo del marco,
work, indica otras consideraciones del ape- relacionados con la gestión de riesgos en d) la aprobación por parte del Consejo,
tito de riesgo como su inclusión en el con- general14, y con el apetito de riesgo, en e) la propia implantación (estableci-
tenido mínimo de la Política de Gestión del particular15. miento de parámetros correctos, partici-
Riesgo, o que debe tenerse en cuenta en En relación al apetito de riesgo, el docu- pación de implicados, incorporación a la
los criterios de medida y categorización de mento del IRM aborda, basándose en las estructura la organización, etc.), f) infor-
impacto del riesgo, siendo siempre acordes estipulaciones recogidas en el UK Corpora- mar del proceso interna y externamente
a este. te Governance Code, diferentes cuestiones y, por último, g) una revisión para deter-
Como punto diferencial, incluye un compo- relacionadas con el desarrollo de un marco minar qué ha ido bien, que ha salido
nente del framework que es la formación, de apetito de riesgo dentro de una organi- mal y qué se deber hacer de forma dife-
donde especifica que para apoyar la incor- zación. Partiendo de una definición muy rente la próxima vez.
poración de la gestión del riesgo en toda completa e intuitiva del apetito y la tole- · Gobierno del apetito de riesgo: donde
la organización y el desarrollo de la madu- rancia al riesgo, se establecen las nociones se establecen los cuatro elementos críti-
rez de riesgo de una organización, la direc- básicas del proceso para establecer este cos de gobernabilidad necesarios para
ción debe proporcionar los conocimientos marco, diferenciándose las siguientes fa- que el apetito de riesgo sea útil para la
suficientes del apetito de riesgo a toda la ses: organización.
organización, como los niveles de toleran- · Diseño del apetito de riesgo: mediante - Autorización: se establecen los ele-
cia al riesgo y las normas de su progresivi- la interacción de elementos como la cul- mentos para la supervisión del proce-
dad. tura de riesgo de la entidad, la capaci- so de establecimiento del apetito.
A su vez, como un reporte interno más a dad de riesgo que ésta tiene, su madu-
- Medición: necesidad de medir y eva-
considerar, recomienda que para tener un rez en el proceso de gestión de riesgos y
luar el apetito de riesgo para identifi-
sistema de reporte interno efectivo en la el establecimiento de diferentes apetitos
car el impacto sobre el rendimiento
organización, uno de los puntos a realizar al riesgo, en función de las diferentes
del negocio.
seguimiento y reportar es la gestión del naturalezas y situaciones que se estén
riesgo que se está llevando a cabo en fun- afrontando. - Seguimiento: Identificar las desviacio-
ción de los parámetros del apetito de ries- nes del proceso, de una forma regu-
· Construcción del apetito de riesgo:
go definidos, para poder analizar los ries- lar.
una vez la organización ha entendido
gos y tomar las medidas correctivas nece- sus capacidades para gestionar el ries- - Aprendizaje: identificar las posibles
sarias al respecto, mediante el diseño de go, se afrontan las cuestiones relaciona- áreas de mejora para perfeccionarlas
controles específicos y análisis posterior de das con el establecimiento y seguimien- en el futuro.
la efectividad de los mismos. to del apetito de riesgo. En concreto, el
marco propuesto establece diferentes Código Unificado de Buen Gobierno Cor-
The Institute of Risk Management (IRM). niveles de riesgo (estratégico, táctico y porativo (Código Conthe).
El IRM es una institución independiente operacional) en conjunción con la pro- El Gobierno de España, por acuerdo de 29
basada en el Reino Unido que desarrolla pensión de la organización a asumir de julio de 2005, creó un grupo especial
14. A Risk Management Standard, the Institute of Risk Management, 2002.

15. Risk Appetite & Tolerance, Guidance Paper; the Institute of Risk Management- Crowe Howarth, 2011.
59
de trabajo para asesorar a la Comisión Na- cipio anglosajón de “cumplir o explicar”, tacionales, etc.) a los que se enfrenta la
cional del Mercado de Valores (CNMV) en lo que supone la voluntariedad en la apli- sociedad, incluyendo entre los financie-
la armonización y actualización de las re- cación de las recomendaciones o, por el ros o económicos, los pasivos contin-
comendaciones de los Informes Olivencia y contrario, explicar e indicar de forma clara gentes y otros riesgos fuera de balance.
Aldama sobre buen gobierno de las socie- aquellos motivos que justifican la no apli- f) La fijación del nivel de riesgo que la So-
dades cotizadas, así como para formular cación de las mismas. ciedad considere aceptable.
las recomendaciones complementarias que En relación directa con el apetito de riesgo g) Las medidas previstas para mitigar el
juzgara precisas. El resultado se conoce co- el Código establece, en la recomendación impacto de los riesgos identificados, en
mo Código Unificado de Buen Gobierno, o número 49 relativa al Comité de Auditoría, caso de que lleguen a materializarse.
Código Conthe, debido al apellido del Pre- de una manera específica:
h) Los sistemas de información y control
sidente de la CNMV en ese momento, Ma- “Que la Política de control y gestión de interno que se utilizarán para controlar y
nuel Conthe. riesgos identifique, al menos: gestionar los citados riesgos, incluidos
Se trata de un código dirigido únicamente e) Los distintos tipos de riesgo (operativos, los pasivos contingentes o riesgos fuera
a sociedades cotizadas, basado en el prin- tecnológicos, financieros, legales, repu- de balance.”
60
Ésta es la primera producción de LA FÁBRICA DE PENSAMIENTO, el think

tank del Instituto de Auditores Internos de España, que nace con el
objetivo de generar conocimiento útil que ayude a los Consejos de
Administración y la Alta Dirección de las empresas de habla hispana en
su toma de decisiones en materia de gobierno y gestión de riesgos.
Este laboratorio de ideas trabajará con un enfoque práctico en la producción

de documentos de buenas prácticas sobre cuatro ejes: buen gobierno,
gestión de riesgos, auditoría interna y particularidades sectoriales.
Esta guía “Definición de Apetito de Riesgo” –fruto del grupo de trabajo

formado por expertos, socios del Instituto de Auditores Internos de
España– expone los conceptos principales, las distintas utilizaciones,
metodologías de aproximación y cálculo, y una propuesta esquemática
sobre cómo implantar el apetito de riesgo en una organización.
Se trata de un exhaustivo trabajo que, sin duda, ayudará a miembros de

los Consejos de Administración, Comités de Auditoría y Alta Dirección
de cualquier tipo de organización a enmarcar adecuadamente el concepto
de apetito de riesgo en su Sistema de Gestión de Riesgos.
Edita Patrocina

Apetito de Riesgo Libro Original PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Apetito de Riesgo Libro Original PDF

Uploaded by

Copyright:

Available Formats

BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS

Gestionar la incertidumbre para crear valor de manera sostenible. Ésta es la pre-

Felicito al Instituto de Auditores Internos de España por su iniciativa de LA FÁ-

Esta Guía, primera producción de LA FÁBRICA DE PENSAMIENTO, es un trabajo

Presento con una enorme ilusión esta primera producción de LA FÁBRICA DE

Desde el Instituto de Auditores Internos de España agradecemos sinceramente el

Expone los conceptos principales, las distintas utilizaciones, metodologías de

Felicito a todos los miembros de la Comisión Técnica por su excelente y exhausti-

José Manuel Muries

Consideraciones para la determinación del apetito de riesgo ........................ 18

USOS DEL APETITO DE RIESGO 20

LECCIONES APRENDIDAS Y CONCLUSIONES 47

Factores clave de éxito: ¿Qué principios deben guiar su implantación? ...... 49

Anexo II · Detalle de los Marcos de Referencia ................................................. 52

Un sistema de gestión de riesgos adecuado debe alinearse con la estrategia de la compa-

En la determinación del apetito de riesgo, se deben contemplar además otros aspectos

En general, el enfoque descendente es más recomendable para llevar a cabo la implanta-

control interno. - Marco regulador para entidades aseguradoras (Solvencia II)

- Disposiciones de la Organización para la Cooperación y el Desarrollo Económico (OCDE)

Cada empresa deberá asegurar un adecuado conocimiento y cumplimiento de la normati-

1. Definición marco estratégico

Implantación del Modelo de Gestión de Riesgos

En definitiva, desarrollar el apetito de riesgo no es un fin en sí mismo, ni debe consumir

· Comunicar la actitud de la alta dirección frente al riesgo.

· Cumplir con la legislación y las mejores prácticas de gestión.

La organización puede asumir más

CONCEPTO ¿A QUÉ HACE REFERENCIA? EJEMPLO

La empresa A quiere pagar un precio máximo por la licencia de 20 millones de €.

Nivel de riesgo que la empresa quiere

La subasta continúa y tras varias pujas un competidor ofrece 24 millones de €.

Desviación respecto al nivel en el que

La subasta continúa y otro competidor llega hasta 29 millones de €. La empresa A

CONSIDERACIONES PARA LA DETERMINACIÓN DEL APETITO DE

menudo la dirección comete el error de diferente en una operación de puesta en

Usos del Apetito de Riesgo

ción y procesamiento de datos aumenta la bles en la toma de decisiones, impide pen-

mayor responsabilidad en el comportamiento - Implantar una cultura de gestión de ries-

Por todo ello, las VENTAJAS de disponer de

- Cumplir con la legislación y las mejores

puesto que delimita los eventos relevantes.

SECTORES DONDE SE UTILIZA ble. Los marcos suelen hacer referencia a la

en integrar el apetito de riesgo en la infraes- La identificación de medidas para los riesgos

2. SARPS-ICAO, Standards and Recommended Practices. International Civil Aviation Organization

rentes sobre el margen de seguridad deseado Perfil de riesgo actual

y resultará crucial tenerlo en cuenta en el es-

EVALUACIÓN CUANTITATIVA vs riesgo. Por ejemplo, se engloban en esta tipo-

2. Declaraciones cuantitativas, donde se

los riesgos que pueden beneficiarse más, de

1. Empresas no-financieras 2. Empresas financieras

Métricas de capital Métricas de ingresos Métricas de liquidez

6. US GAAP, Generally Accepted Accounting Principles (United States)

· Las estrategias, políticas, procedimientos y

Con relación al componente “Entorno de se especifica que el

go aceptado, así como el resto de componen- objetivos, son

tes como la integridad, los valores éticos o la precondiciones

objetivos” sugiere la vinculación entre la mi-

Establecimiento de objetivos Como segunda opción expone, principalmente

Identificación de eventos para empresas de servicios financieros y del

Evaluación de riesgos sector energético, adoptar un enfoque sofisti-

3. Controlar y actualizar el apetito de ries-

especialmente en las entidades donde el En cuanto al apetito de riesgo, el estándar

· Proporcionar orientación y límites sobre el Con relación a la asignación de roles y res-

Se indica que la definición de apetito de ries- The Institute of Risk Management