Apetito de Riesgo y Tolerancia en ISO 31000

El apetito de riesgo y la tolerancia al riesgo son conceptos fundamentales de ISO 31000 que definen cuánto riesgo está dispuesta a aceptar una organización en la búsqueda de sus objetivos. Sin una definición clara de estos conceptos, la gestión del riesgo carece de un ancla: no se puede decidir si un riesgo necesita tratamiento si no se sabe cuánto riesgo es aceptable.

Definiciones

Concepto	Definición	Nivel de decisión
Apetito de riesgo	Cantidad y tipo de riesgo que la organización está dispuesta a buscar o retener	Directorio / Alta dirección
Tolerancia al riesgo	Variación aceptable del desempeño respecto a los objetivos	Gerencia operacional
Capacidad de riesgo	Cantidad máxima de riesgo que la organización puede soportar	Análisis financiero y estratégico

Cómo definir el apetito de riesgo

El apetito de riesgo se define considerando la naturaleza del negocio y su entorno, los objetivos estratégicos, las expectativas de las partes interesadas, los requisitos regulatorios, la cultura organizacional y los recursos disponibles para gestionar riesgos. Para cada dimensión de riesgo (financiero, operacional, seguridad, ambiental, reputacional), la organización puede tener un apetito diferente.

Declaración de apetito de riesgo

La declaración de apetito de riesgo es un documento aprobado por el directorio que establece los límites dentro de los cuales la organización opera. Puede expresarse de forma cualitativa o cuantitativa, y debe comunicarse a todos los niveles de la organización para que las decisiones diarias se tomen dentro de estos límites.

Relación con la gobernanza corporativa

La definición del apetito de riesgo es una responsabilidad del directorio o del órgano de gobierno máximo. Es una de las decisiones más estratégicas que puede tomar una organización porque define los límites dentro de los cuales opera toda la gestión.

Error frecuente: Definir el apetito de riesgo en términos tan vagos que no sirve como guía para decisiones. Frases como la organización acepta riesgos moderados no son útiles. El apetito debe ser lo suficientemente específico para que las personas puedan evaluar si una situación particular está dentro o fuera del apetito.

Buena práctica: Revisa el apetito de riesgo al menos anualmente como parte de la planificación estratégica. El apetito puede cambiar cuando cambian las circunstancias, los objetivos o las capacidades de la organización.

Define tu apetito de riesgo con GRC360

GRC360 te permite establecer criterios de riesgo configurables, definir umbrales de aceptación y evaluar automáticamente si los riesgos identificados están dentro del apetito definido.

Crear Cuenta Gratis

Revisa también ISO 31000, decisiones estratégicas y gobernanza corporativa.