Qué es el 'apetito al riesgo'

El objetivo de este artículo es poner sobre la mesa algunos aspectos relacionados con la gestión de riesgos y con términos que habitualmente se manejan como "apetito al riesgo", riesgo inherente, riesgo residual, riesgo residual contrastado, mitigación, eficacia de los controles,… especialmente pensado para las personas que de alguna u otra forma realizan alguna tarea relacionada con ellos.

Consideraciones previas según la naturaleza de la organización

La gestión de riesgos es en sí una gran oportunidad para mejorar la compañía y mejorar la identificación y gestión de la incertidumbre al requerir que la organización no se posicione simplemente para evitarlos, sino para poder anticiparse y, llegado el momento, disponer de las respuestas adecuadas. Toda esta dinámica debe estar regida por el “apetito al riesgo”, es decir el nivel de riesgo que la entidad quiere asumir en cada momento, porque no es una situación estática. Si se tratase de entidades públicas, para establecer el valor del apetito al riesgo no sólo deben contemplarse las posibles pérdidas económicas, sino que debe conciliar también su naturaleza social en función de los servicios públicos que presta.

Por ello, hay que contemplar las características propias de cada organización, su naturaleza, sector, área geográfica, su cultura, su tipo de gobierno corporativo,… porque la gestión de riesgos no deja de ser un traje a medida para cada organización. Lo que aplican las demás no siempre es válido aunque se encuentren en el mismo sector y sean del mismo tamaño. Es decir, un no taxativo al “cortar y pegar”.

Qué se entiende por “apetito al riesgo” (risk appetite)

Es el valor del riesgo que se asume como aceptable después de considerar:

• Que su total eliminación o mayor disminución requiere una inversión excesiva.
• Que el riesgo está suficientemente mitigado con los controles implantados.
• Que tiene un valor asumible sin generar grandes problemas (económicos, penales, reputacionales).
• Compartirlo con terceras partes (contratación de un seguro) cuando el impacto no sea asumible por la compañía en solitario.

Un nivel de riesgo óptimo sería el nivel de riesgo deseado por la organización que normalmente sería muy bajo (el que tu escribirías en una carta a los Reyes Magos), pero que no siempre es fácilmente conseguible o al menos con un coste razonable. Por ello, toda organización deberá determinar cuál es el nivel máximo con que el que está dispuesto a operar, y a ese valor se le denomina riesgo tolerable o "apetito al riesgo".

Por qué es importante la gestión de riesgos

La propia gestión del riesgo y la determinación del “apetito al riesgo” de la organización, genera las siguientes mejoras:

• Aporta información muy importante para la toma de decisiones
• Reduce la incertidumbre
• Mejora la consistencia entre los mecanismos de gobierno y la toma de decisiones
• Mejora la eficacia de la organización (a través de la mejora continua)
• Focaliza o prioriza áreas en la organización
• Prioriza la gestión de recursos y el control de gastos
  
  

Como definir el nivel de "apetito al riesgo" de cada organización

Uno de los aspectos a considerar para su determinación es la termología a utilizar en la evaluación de riesgos. Usar en el análisis una terminología demasiado técnica puede ser contraproducente al limitar la colaboración de los no iniciados, que por otra parte es necesaria para disponer de una visión completa de la organización.

A la hora de valorar el estado en relación el apetito al riesgo que se haya definido, se recomienda utilizar el valor del "riesgo residual", que es el valor obtenido a partir del "riesgo inherente" (1) después de aplicar la mitigación aportada por sus controles (que son los que mitigan los riesgos). Se aconseja revisar periódicamente la eficacia de esa mitigación aportada por los controles para confirmar que no hay cambios reseñables. A ese proceso lo podemos denominar medida de la eficacia de los controles.

Cómo debe hacerse la medida de la eficacia de los controles

Éste tal vez sea un aspecto más operativo y, por ello, visto desde los tradicionales ámbitos de cumplimiento más ligados al mundo legal, es decir más orientados a la “C” del triángulo GRC, que están más acostumbrados a los tradicionales “check list” con el binomio SI/NO. Como la “G” de gobierno corporativo y la “R” de riesgos del GRC aportan una visión complementaria a la parte legal de aspectos que tienen "gama de grises", la medida debería de estar más orientada a la captura y evaluación de datos numéricos para aportar una valoración válida de la eficacia de sus controles, de la que además puede verse su evolución.

En cualquier caso, la medida debe siempre estar basada en datos objetivos obtenidos directamente desde las fuentes propietarias de esa información, o de sus sistemas gestores, y a poder ser sin una manipulación intermedia. Y si para determinar la eficacia es necesario realizan operaciones aritméticas o lógicas con esos datos, ésas deberán estar expresadas de forma clara y fácilmente comprensible por todos. El hecho de contar con la involucración directa de las fuentes, hace a la función del Área de Cumplimiento más colaborativa y mejor reconocida por el resto de la organización. Pero ojo con abusar en exceso de las fuentes, porque podría ser contraproducente.

El valor de la auditoría en la gestión al riesgos

Como parte clave del marco de gestión de riesgos, y para disponer de una opinión complementaria sobre la adecuación y eficacia de la gobernanza del riesgo y del control interno realizado, es siempre aconsejable realizar auditorías periódicas. Así, los auditores internos revisarán los valores fijados de ”apetito al riesgo”; qué controles han sido implantados; cómo se ha medido su eficacia y cuales ha sido las respuestas de la organización ante las desviaciones encontradas, y determinar si han sido correctas. Del error también se aprende.

Estos contrapesos en la organización confirmarán si las cosas se están realizando bien y se están asumiendo los niveles de riesgo que la dirección ha establecido, y no otros.

¡Te animas a controlar tus riesgos de una forma organizada y auditable! ¡Cuéntanos tus necesidades o inquietudes!

Notas

(1) Riesgo Inherente se calcula como el factor "impacto" por el factor "frecuencia" de ocurrencia. Genera un valor tabulado de entre unos 5 niveles. "Impacto" se refiere al daño que puede ocasionar de tipo económico, reputacional o penal (no son excluyentes).

Bibliografía: Risk Appetite Guidance Note" August 21 V2.0 Government Finance Function (UK)