Por: CP Iván Rodríguez. Colaborador de Auditool
El apetito de riesgo y la tolerancia al riesgo
Dentro de los términos relativos al riesgo que presentan más confusión están el apetito de riesgo y la tolerancia al riesgo. Para entender las diferencias, hay que tener en cuenta las definiciones. De acuerdo con el marco COSO ERM, se entiende por apetito de riesgo, la cantidad de riesgo, a un nivel amplio, que una organización está dispuesta a aceptar en busca del valor de las partes interesadas.
En el documento Fortalecimiento de la Gestión de Riesgos Empresariales para Ventajas Estratégicas[1] de COSO se plantea que una entidad también debe considerar su tolerancia al riesgo, que son niveles de variación que la entidad está dispuesta a aceptar en torno a objetivos específicos. Con frecuencia, los términos apetito de riesgo y tolerancia al riesgo se utilizan indistintamente, aunque representan conceptos relacionados, pero diferentes. El apetito por el riesgo es una descripción amplia del nivel deseado de riesgo que una entidad asumirá en pos de su misión. La tolerancia al riesgo refleja la variación aceptable en los resultados relacionados con medidas de desempeño específicas vinculadas a objetivos que la entidad busca alcanzar.
El citado documento de COSO también plantea que, para determinar las tolerancias al riesgo, una entidad debe examinar las medidas de resultados de sus objetivos clave como el crecimiento de los ingresos, la cuota de mercado, la satisfacción del cliente o los beneficios por acción y considerar qué rango de resultados por encima y por debajo del objetivo sería aceptable. Por ejemplo, una entidad que ha establecido un objetivo de una calificación de satisfacción del cliente del 90% puede tolerar un rango de resultados entre el 88% y el 95%. Esta entidad no tendría apetito por riesgos que pudieran poner sus niveles de rendimiento por debajo del 88%.
Como se observa, el apetito por el riesgo y la tolerancia son elementos que se utilizan para determinar si el nivel de riesgo es aceptable o no. Hay que asegurarse de tomar el suficiente nivel de riesgo, pero no tomar demasiado. Todo esto se encuentra en el contexto de la consecución de los objetivos de la organización. En otras palabras, estos son criterios para evaluar si el nivel de riesgo está bien o no.
Algunas definiciones académicas respecto al tema de riesgos que es pertinente incluir, para dar claridad, son las siguientes:
- Actitud de riesgo
El enfoque de la organización para evaluar y eventualmente perseguir, retener, tomar o alejarse del riesgo
- Apetito de riesgo
Cantidad y tipo de riesgo que una organización está dispuesta a perseguir o retener en pos de sus objetivos de negocio
- Capacidad de riesgo
La cantidad y el tipo de riesgo que una organización es capaz de apoyar en la búsqueda de sus objetivos de negocio
- Criterios de riesgo
Mandato con respecto al cual se evalúa la importancia de un riesgo
- Evaluación de riesgos
Proceso de comparación de los resultados del análisis de riesgos con criterios de riesgo para determinar si el riesgo y/o su magnitud es aceptable o tolerable
- Límite de riesgo
Umbrales para controlar que la exposición real al riesgo no se desvíe demasiado de la meta de riesgo y se mantenga dentro de la tolerancia al riesgo/apetito de riesgo de una organización. Exceder los límites de riesgo normalmente actuará como un desencadenante de la acción de gestión
- Nivel de riesgo
Magnitud de un riesgo o combinación de riesgos, expresado en términos de la combinación de consecuencias y su probabilidad
- Objetivo de riesgo
El nivel óptimo de riesgo que una organización quiere asumir en busca de un objetivo empresarial específico
- Tolerancia al riesgo
La disposición de la organización o de las partes interesadas a asumir el riesgo después del tratamiento de riesgo con el fin de alcanzar sus objetivos. El riesgo máximo específico que una organización está dispuesta a asumir con respecto a cada riesgo relevante
Ahora bien, hay que tener en cuenta que una práctica común es que los gestores de riesgos (y consultores, proveedores, etc.) hablen sobre el riesgo como alto, medio, bajo, etc.; otra es cuantificarla de alguna manera, a menudo en términos monetarios. Pero, el hecho de que un riesgo se considere alto no significa necesariamente que sea demasiado alto. Del mismo modo, el hecho de que un riesgo sea bajo no significa que el nivel de riesgo sea deseable.
COSO habla de equilibrar el riesgo y la recompensa y la noción de que necesita tomar riesgos, incluso los más altos, para obtener recompensas. Un ejemplo de esto podría ser la decisión de entrar en un nuevo mercado. Los riesgos pueden ser altos, pero las recompensas justifican tomarlos.
Para evaluar si un nivel de riesgo es aceptable o no, no basta con decir que es alto, medio, 5 millones de dólares, etc. La decisión de si es aceptable, está en función de las recompensas potenciales. Ahora bien, hay que recordar que el apetito de riesgo está representado por un rango. Cuando los niveles de riesgo están fuera de ese rango, el rendimiento no es óptimo. Cuando los niveles de riesgo superan la tolerancia al riesgo de la organización, se vuelve más crítico tomar medidas. La clave es tomar decisiones informadas e inteligentes que tomen el nivel adecuado del riesgo adecuado, cuando esté justificado por negocios y otros motivos. Los responsables de la toma de decisiones necesitan orientación para que sepan que lo que están haciendo (asumiendo el riesgo) es coherente con los deseos de la alta dirección y el consejo.
Hay que tener en cuenta que, si bien para diferentes personas el concepto de apetito de riesgo puede ser limitado, no debería ser ignorado, lo que ocurre con las diferentes definiciones y conceptos alrededor del riesgo. Los auditores deben comprender claramente estos conceptos y manejarlos al ejecutar sus actividades, de manera que presten la mejor asesoría a sus clientes, en beneficio de todos.
[1]Strengthening Enterprise Risk Management for Strategic Advantage
CP Iván Rodríguez
Auditor y Consultor, Diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, Diplomado en Gerencia de la Calidad, Contador Público de la Pontificia Universidad Javeriana, con 20 años de experiencia en diversas empresas. Amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool
Bogotá DC, Colombia