Por: Equipo Auditool
En la gestión de riesgos organizacionales, dos conceptos clave son el apetito de riesgo y la tolerancia al riesgo. A menudo malinterpretados o usados indistintamente, entender las diferencias entre estos términos es fundamental para los auditores internos, ya que afecta directamente la toma de decisiones estratégicas y operativas. Este artículo profundiza en ambos conceptos, destacando su impacto en la gestión de riesgos y cómo los auditores pueden evaluar su aplicación en el sistema de control de la organización.
¿Qué es el apetito de riesgo?
El apetito de riesgo se refiere al nivel de riesgo que una organización quiere asumir para alcanzar sus objetivos estratégicos. Define los límites dentro de los cuales la organización se siente cómoda operando, teniendo en cuenta la relación entre riesgo, retorno y crecimiento. El consejo de administración y la alta dirección son los encargados de definirlo, reflejando así su disposición a tomar riesgos en la búsqueda de valor y competitividad.
Características clave del apetito de riesgo:
- Nivel estratégico: El apetito de riesgo se define a nivel de toda la organización, generalmente formulado por la alta dirección y el consejo. Establece un marco general dentro del cual se deben tomar decisiones clave.
- Declaración cualitativa y cuantitativa: Puede expresarse en términos generales, como el equilibrio entre crecimiento y control del riesgo, pero también incluir métricas cuantitativas para tipos específicos de riesgo (financieros, operativos, reputacionales, etc.).
- Orientación hacia el valor: En muchos casos, se expresa como el nivel de riesgo que la organización está dispuesta a asumir para crear valor a los accionistas o a las partes interesadas.
- Uso de mapas de riesgo: El apetito de riesgo puede visualizarse mediante un mapa de riesgos que clasifica los riesgos por su probabilidad e impacto, ayudando a la organización a identificar qué riesgos son aceptables y cuáles no.
Por ejemplo, una empresa de tecnología que busca desarrollar productos innovadores podría tener un apetito de riesgo elevado en áreas de investigación y desarrollo, asumiendo que los posibles beneficios de lanzar un producto disruptivo compensan los riesgos financieros asociados.
¿Qué es la tolerancia al riesgo?
La tolerancia al riesgo es el nivel de variación aceptable en torno a un objetivo determinado. Define cuánto desvío está dispuesta a aceptar la organización respecto a sus metas sin comprometer su viabilidad o éxito operativo. Es más específico y medible que el apetito de riesgo, y se aplica a áreas concretas de la operación.
Características clave de la tolerancia al riesgo:
- Nivel operativo: La tolerancia al riesgo se refiere a la variabilidad permitida en relación con objetivos específicos, como los ingresos, los costos o la calidad del servicio. A menudo se relaciona con unidades de negocio o departamentos específicos.
- Cuantificable: A diferencia del apetito de riesgo, que puede ser más abstracto, la tolerancia al riesgo es siempre medible. Se puede definir en términos de variación porcentual o numérica en los resultados esperados.
- Alineación con el apetito de riesgo: La tolerancia al riesgo debe estar alineada con el apetito de riesgo global, garantizando que la gestión operativa siga los límites establecidos por la alta dirección. Los escenarios en los que la gerencia se sienta incómoda enfrentando riesgos específicos también determinan la tolerancia.
- Aplicación contextual: Dependiendo de la criticidad del objetivo, la tolerancia al riesgo puede ser más estricta (por ejemplo, en áreas como la ciberseguridad) o más flexible (como en áreas con mayor variabilidad natural, como las ventas estacionales).
Por ejemplo, una empresa de manufactura puede tener una tolerancia al riesgo de un 3% de desviación en los costos de producción, pero no toleraría ningún fallo en el cumplimiento de normativas de seguridad laboral.
Diferencias clave entre apetito de riesgo y tolerancia al riesgo
Si bien ambos conceptos están estrechamente relacionados y deben alinearse, es esencial que los auditores internos comprendan las diferencias fundamentales para evaluar su correcta aplicación en la organización:
Apetito de Riesgo | Tolerancia al Riesgo |
---|---|
Define el nivel global de riesgo que la organización está dispuesta a aceptar en la consecución de sus objetivos estratégicos. | Establece los límites específicos y operativos dentro de los cuales la organización puede manejar las variaciones en torno a un objetivo. |
Amplio y de alto nivel, formulado por la gerencia y el consejo de administración. | Específico y medible, aplicable a cada objetivo o área de negocio. |
Enfocado en la visión estratégica de la organización y la creación de valor a largo plazo. | Centrado en la gestión operativa del día a día, garantizando que las operaciones no se desvíen de los límites aceptables. |
Puede expresarse en términos cualitativos y cuantitativos, como el balance entre crecimiento, riesgo y retorno. | Siempre se expresa de forma cuantitativa y medible, como variación aceptable en los ingresos, costos o cumplimiento. |
Impacto en la toma de decisiones
Comprender adecuadamente el apetito de riesgo y la tolerancia al riesgo es fundamental para una toma de decisiones coherente. Un apetito de riesgo mal definido puede llevar a que la organización asuma riesgos excesivos o, por el contrario, sea demasiado conservadora, limitando su crecimiento. De la misma manera, si la tolerancia al riesgo no está clara, las operaciones diarias pueden desviarse de los objetivos estratégicos, generando ineficiencias.
Por ejemplo, si una empresa tiene un apetito de riesgo alto en nuevas inversiones, pero una tolerancia baja ante pérdidas financieras operativas, los auditores internos deben asegurar que las decisiones de inversión no generen desviaciones que comprometan la estabilidad financiera de la empresa.
Evaluación por los Auditores Internos
El rol de los auditores internos es fundamental para garantizar que la organización ha definido adecuadamente su apetito y tolerancia al riesgo y que estas definiciones se están aplicando de manera coherente en todas las áreas. Algunas acciones clave que los auditores pueden realizar incluyen:
-
Revisión de políticas y declaraciones de riesgo: Verificar si la organización ha documentado y comunicado claramente tanto el apetito como la tolerancia al riesgo. Los auditores deben revisar las políticas de riesgo y evaluar si están alineadas con los objetivos estratégicos.
-
Mapeo de riesgos: Comprobar que el mapa de riesgos de la organización refleja adecuadamente los riesgos críticos y que estos están alineados con el apetito de riesgo definido. Los auditores pueden ayudar a visualizar cómo las decisiones clave de la organización afectan el perfil de riesgo.
-
Monitoreo de variaciones: Asegurar que la empresa está monitoreando de manera efectiva su tolerancia al riesgo. Esto incluye la evaluación de indicadores clave de rendimiento (KPI) y análisis de variaciones frente a los objetivos esperados.
-
Simulación de escenarios: Realizar simulaciones o análisis de escenarios para prever cómo ciertos eventos podrían impactar la capacidad de la organización para gestionar el riesgo dentro de los niveles de tolerancia establecidos.
-
Evaluación del riesgo residual: Los auditores internos también deben evaluar el riesgo residual, que es el riesgo que permanece después de que se hayan aplicado los controles. Si el riesgo residual excede los niveles de tolerancia, deben comunicarse con la gerencia para realizar ajustes.
Consideraciones culturales y regulatorias
Además, los auditores deben considerar cómo la cultura organizacional y el entorno regulatorio influyen en la definición del apetito y la tolerancia al riesgo. Organizaciones con culturas más conservadoras tienden a definir niveles de riesgo más bajos, mientras que las organizaciones con alta tolerancia al cambio pueden tener un enfoque más agresivo en su apetito de riesgo. Asimismo, los requisitos regulatorios en industrias como la financiera o la farmacéutica a menudo exigen límites estrictos de tolerancia al riesgo, que los auditores internos deben monitorear.
Comprender la distinción entre apetito de riesgo y tolerancia al riesgo es esencial para una gestión de riesgos eficaz. Mientras que el apetito de riesgo establece el marco estratégico general, la tolerancia al riesgo define los límites operativos dentro de los cuales la organización puede moverse sin comprometer sus objetivos. Para los auditores internos, evaluar si estos conceptos están bien definidos y aplicados adecuadamente es clave para asegurar que la organización gestione de manera efectiva los riesgos y proteja su capacidad de crear valor. La alineación entre ambos términos y los objetivos de la organización es esencial para una gestión proactiva y controlada de los riesgos.