¿Qué es la tolerancia al riesgo y el apetito por el riesgo?

Aunque la tolerancia al riesgo y el apetito por el riesgo se usan indistintamente en la mayoría de los casos, difieren entre sí en cierto grado. Con muchas normas y reglamentos centrados en el proceso de gestión de riesgos, solo unos pocos definen claramente las distinciones entre los dos términos de manera adecuada.

No obstante, debe saber distinguir entre tolerancia al riesgo y apetito por el riesgo para ayudarlo a desarrollar los controles necesarios para proteger los datos. Si lo hace, le ayudará a desarrollar un programa de ciberseguridad adecuado.

Tolerancia al riesgo versus apetito por el riesgo: ¿cuál es la diferencia?

Apetito por el riesgo

En caso de que esté adoptando un enfoque de gestión de riesgos empresariales en lo que respecta a la ciberseguridad, su apetito por el riesgo debe centrarse en la cantidad o el tipo de riesgo que considere aceptable en función de sus recursos y objetivos comerciales.

Por ejemplo, si opera como una entidad de procesamiento de pagos, su atención puede estar en el comercio minorista. Sin embargo, parte de su gestión de riesgos empresariales (ERM) puede implicar mudarse al espacio de atención médica. En tal caso, si está dispuesto a aceptar todos los riesgos legales que se derivan de la Ley de Portabilidad y Responsabilidad de la Atención Médica o HIPAA, entonces ha creado su apetito por el riesgo.

Tolerancia al riesgo

Alternativamente, la tolerancia al riesgo implica cómo decide el grado de riesgo que desea aceptar. Mirando el ejemplo de procesamiento de pagos, aunque puede estar dispuesto a asumir el riesgo asociado con el cambio a la atención médica, puede negarse a reconocer todos los riesgos inherentes que implica el monitoreo constante de los registros de salud protegidos. Por lo tanto, terminará transfiriendo el riesgo a otra entidad, un proveedor externo.

Cuando tiene apetito por la cena de bistec, es posible que no consuma la pieza completa debido a que alcanzó su punto de tolerancia. Este caso también se aplica a los riesgos de ciberseguridad.

¿Qué significa una Declaración de Apetito de Riesgo?

Se trata de un documento escrito que ayuda a explicar sus decisiones de riesgo. La declaración no solo le permite informar a las partes interesadas internas y externas sobre su apetito por el riesgo, sino que también desencadena conversaciones más necesarias para impulsar los objetivos estratégicos.

¿Cómo desarrollar una declaración de apetito por el riesgo?

En 2018, ISO, o también conocida como la Organización Internacional de Normalización, revisó las pautas de gestión de riesgos que figuran en el popular estándar ISO 31000. Aunque este estándar en particular no utiliza el "apetito de riesgo", sugiere el término, particularmente en "establecer la cantidad y el tipo de riesgo que se puede tomar o no".

Además de crear un marco de gestión de riesgos, que le permite elaborar una declaración de apetito por el riesgo, ISO 31000 ayuda a formalizar el proceso de gestión de riesgos. A través de la integración del proceso y el marco, puede desarrollar la declaración correcta de apetito por el riesgo.

Paso 1: Comunicación y Compromiso

Hable sobre los objetivos y estrategias comerciales con los demás líderes de su organización. Hacerlo lo ayudará a conocer la cantidad de riesgo que está dispuesto a aceptar y determinar si dichos riesgos pueden cumplir con los objetivos organizacionales más críticos. La comunicación en todo el negocio le permite tener en cuenta las vistas necesarias para crear propiedad y definir criterios de riesgo.

Paso 2: Definición del alcance, los criterios y el contexto que se integrarán en toda la organización

Para el caso de la gestión integral de riesgos, debe determinar su posición en toda la cadena de suministro. Luego, asegúrese de revisar todo su ecosistema. Al centrarse en los factores de riesgo externos e internos, puede definir los criterios de evaluación adecuados y la cantidad de riesgo.

Paso 3: Diseño de la evaluación de riesgos

Puede determinar, describir y evaluar sus riesgos comunicando la estrategia de gestión de riesgos de su organización en función de su posición en la cadena de suministro. Después de hacerlo, puede aprovechar los controles, los eventos potenciales, la eficacia de los controles y la probabilidad de determinar si los niveles de riesgo coinciden con su tolerancia al riesgo.

Paso 4: Implementación de un tratamiento de riesgo

Implica la creación de un plan con plazos específicos para identificar las razones y decisiones detrás de ellos. Sin embargo, parte de esta implementación consiste en elegir los enfoques para manejar los riesgos. Dado que debe decidir si aceptar, mitigar o rechazar el riesgo, debe crear un plan de tratamiento que lo ayude a implementar tales decisiones.

Paso 5: Evaluación a través del Monitoreo

Como parte de la declaración de apetito por el riesgo de su organización, debe determinar si utilizará un proceso de evaluación combinado, cualitativo o cuantitativo. Después de establecer las métricas, supervise regularmente su entorno y ecosistema de datos para asegurarse de que cumple con la evaluación de riesgos interna de su organización.

Paso 6: Realice mejoras basadas en informes y registros

El monitoreo constante puede identificar vulnerabilidades en el entorno de control de su organización. Impulsar sus tareas de monitoreo de riesgos y comunicar dichas debilidades le permite mantener un programa sólido de gestión de riesgos.

Paso 7: Resumen de resultados para publicación

Utilice su apetito por el riesgo para fomentar la comunicación con las partes interesadas internas y externas. Sin embargo, numerosas declaraciones de apetito por el riesgo están destinadas al consumo público, incluidos los informes financieros.

Nota del editor: Ken Lynch es un veterano de la puesta en marcha de software empresarial, que siempre ha estado fascinado por lo que impulsa a los trabajadores a trabajar y cómo hacer que el trabajo sea más atractivo. Ken fundó Reciprocity para perseguir precisamente eso. Ha impulsado el éxito de Reciprocity con este objetivo basado en la misión de involucrar a los empleados en los objetivos de gobierno corporativo, gestión de riesgos y cumplimiento de su empresa para crear ciudadanos corporativos más socialmente conscientes. Ken obtuvo su licenciatura en Ciencias de la Computación e Ingeniería Eléctrica del MIT. Obtenga más información en ReciprocityLabs.com.

¿Tiene alguna idea sobre esto? Háganos saber a continuación en los comentarios o lleve la discusión a nuestro Twitter o Facebook.

Recomendaciones de los editores:

• Mejores prácticas para la gestión del cumplimiento
• Procesos efectivos de gestión de auditoría de flujo de trabajo
• ¿Qué es el cumplimiento y la gestión de registros?
• Segmentación de red y cumplimiento de PCI
• Gestión de registros PCI DSS