Apetito de riesgo
¿Qué es Apetito de riesgo?
Apetito de riesgoCantidad y tipo agregado de riesgo que una organización está dispuesta a asumir o aceptar para perseguir sus objetivos estratégicos, definidos por el consejo y la alta dirección.
El apetito de riesgo expresa, a nivel estratégico, cuánto riesgo está dispuesta a asumir una organización para crear valor. Suele formalizarse en una declaración que cubre categorías como pérdida financiera, impacto en clientes, exposición regulatoria o incidentes cibernéticos, a menudo con lenguaje cualitativo de alto nivel. La declaración guía la tolerancia, la inversión en controles y las decisiones de tratamiento, y se traduce en métricas de las unidades de negocio y en indicadores clave de riesgo. El consejo y la alta dirección son responsables de fijarlo y revisarlo cuando cambian la estrategia, el panorama de amenazas o la regulación. Es un elemento central de marcos como COSO ERM e ISO 31000.
● Ejemplos
- 01
"Cero tolerancia a la divulgación no autorizada de datos personales regulados."
- 02
"Dispuestos a aceptar volatilidad financiera moderada de productos digitales nuevos dentro de límites acordados."
● Preguntas frecuentes
¿Qué es Apetito de riesgo?
Cantidad y tipo agregado de riesgo que una organización está dispuesta a asumir o aceptar para perseguir sus objetivos estratégicos, definidos por el consejo y la alta dirección. Pertenece a la categoría de Cumplimiento y marcos en ciberseguridad.
¿Qué significa Apetito de riesgo?
Cantidad y tipo agregado de riesgo que una organización está dispuesta a asumir o aceptar para perseguir sus objetivos estratégicos, definidos por el consejo y la alta dirección.
¿Cómo funciona Apetito de riesgo?
El apetito de riesgo expresa, a nivel estratégico, cuánto riesgo está dispuesta a asumir una organización para crear valor. Suele formalizarse en una declaración que cubre categorías como pérdida financiera, impacto en clientes, exposición regulatoria o incidentes cibernéticos, a menudo con lenguaje cualitativo de alto nivel. La declaración guía la tolerancia, la inversión en controles y las decisiones de tratamiento, y se traduce en métricas de las unidades de negocio y en indicadores clave de riesgo. El consejo y la alta dirección son responsables de fijarlo y revisarlo cuando cambian la estrategia, el panorama de amenazas o la regulación. Es un elemento central de marcos como COSO ERM e ISO 31000.
¿Cómo defenderse de Apetito de riesgo?
Las defensas contra Apetito de riesgo combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Apetito de riesgo?
Nombres alternativos comunes: Declaración de apetito de riesgo.
● Términos relacionados
- compliance№ 938
Tolerancia al riesgo
Variación aceptable alrededor de un objetivo o categoría concreta de riesgo, expresada como límites cuantitativos o cualitativos derivados del apetito de riesgo.
- compliance№ 936
Gestión de riesgos
Proceso coordinado de identificar, analizar, evaluar, tratar, monitorizar y comunicar los riesgos para mantenerlos dentro de la tolerancia definida por la organización.
- compliance№ 383
Gestión de riesgos empresariales (ERM)
Enfoque integrado y transversal para identificar, gobernar y tratar riesgos estratégicos, financieros, operativos, de cumplimiento y cibernéticos en línea con los objetivos del negocio.
- compliance№ 939
Tratamiento del riesgo
Decisión y acciones para modificar un riesgo, normalmente aceptándolo, mitigándolo, transfiriéndolo o evitándolo, según los criterios de la organización.
- compliance№ 923
Riesgo residual
Riesgo que queda tras aplicar los controles y tratamientos previstos, y que la organización debe aceptar, transferir o seguir tratando.
- compliance№ 557
ISO/IEC 27001
Norma internacional que establece los requisitos de un Sistema de Gestión de Seguridad de la Información (SGSI) y permite la certificación formal de las organizaciones.