Apetito de riesgo y cultura Compliance
Apetito de riesgo y cultura Compliance
La creación de valor en la empresa no puede alcanzarse sin asumir ciertos riesgos. Gestionar una empresa implica por tanto gestionar a la vez sus riesgos y para ello es necesario comprender y definir qué valor asignar a los siguientes conceptos:
- Riesgo despreciable: aquel cuya probabilidad de efectos adversos es tan baja que no es posible reducirla de forma apreciable con medidas más severas o mayor inversión de recursos. Es decir, que no lo vamos a tener en cuenta como una posible fuente de daño.
- Riesgo aceptable o tolerable: aquel cuya probabilidad de generar un impacto para la organización puede ser tolerado durante algún tiempo, teniendo en cuenta y asumiendo que el riesgo es minimizado mediante adecuados procedimientos de control.
- Apetito de riesgo: el apetito de riesgo es el nivel máximo de riesgo que la organización quiere aceptar en el logro de sus metas.
- Tolerancia al riesgo: la desviación respecto al apetito de riesgo que la empresa está dispuesta a aceptar. Aceptar un riesgo implica tomar la decisión de que por debajo de un determinado nivel puede tolerarse el riesgo, por considerar, que su manifestación no pone en peligro los objetivos de la organización. Los diferentes métodos de evaluación de riesgo nos indican cuándo podemos considerar a un riesgo como tolerable, pero independientemente del método utilizado cada organización o empresa debe definir cuál va a ser su nivel de tolerancia al riesgo.
- Capacidad de riesgo: es el nivel máximo de riesgo que la empresa puede soportar.
- Riesgo residual: se refiere a la probabilidad de que el riesgo se materialice, una vez valorado y tomadas las medidas de control correspondientes.
- Riesgo atribuible: es la diferencia entre el riesgo antes de implantar una medida y el riesgo residual después de implementarla.
Las organizaciones deben verificar que su exposición al riesgo está en todo momento dentro de los límites que marca su apetito de riesgo, evitando acercarse al nivel de tolerancia establecido. En caso de alcanzar o superar el nivel de tolerancia, deberán tomar las medidas oportunas para reducir la exposición y asegurarse de no llegar al límite marcado por su capacidad de riesgo.
Estos conceptos, se aplicarán o tendrán un valor distinto para cada organización, por lo que, cada una debe definir sus criterios propios. Por ejemplo, una organización puede considerar un riesgo despreciable aquel riesgo para el que se prevean unas consecuencias cuyo coste económico sea inferior a 1.000 euros, mientras que otra organización puede establecer su límite en 500 euros. Pudiendo modificarse los criterios de valoración a lo largo del tiempo en una misma organización (según mejora el sistema y los resultados obtenidos, etc.) las organizaciones tienden a reducir los valores que han establecido para valorar sus riesgos.
Cuanto más bajo es el valor de riesgo residual aceptado por la organización, mayor es la cultura Compliance de la organización.
Los contenidos de este artículo se han extraído del curso Experto Compliance Officer ISO 19600:2015 que se imparte online desde el campus UPCplus.com del CERpIE-UPC (Universitat Politècnica de Catalunya)
Contenidos relacionados
