Estoy estudiando para el examen CCSP y estoy un poco confundido sobre la diferencia entre "Apetito de riesgo" y "Tolerancia de riesgo". ¿Hay una diferencia clara y perceptible? ¿Pueden los términos ser usados indistintamente?
Para mí, ambos términos se refieren a la cantidad de riesgo que una organización (o, más precisamente, el programa de gestión de riesgos y gobierno de una organización) está dispuesto a asumir.
La mejor manera de distinguir los dos es usar las matemáticas. El apetito por el riesgo es el nivel objetivo de exposición a la pérdida que la organización considera aceptable, dados los objetivos y recursos del negocio. Piense en esto como la cantidad de dinero que una organización puede permitirse perder (por ejemplo, 10k $). La tolerancia al riesgo es el grado de variación del apetito de riesgo de la organización que la organización está dispuesta a tolerar. Piense en esto como cuánto porcentaje del presupuesto de pérdida previsto puede ser cubierto, o cuán flexible es el presupuesto de pérdida. (Ej. - 5%)
Ahora veamos los ejemplos: la compañía tiene un apetito por el riesgo de 10k $. Esto implica que la compañía puede permitirse el lujo de perder 10k si hay una infracción, una avería o cualquier problema. Tolerancia de riesgo es cuánto puede variar este número, lo que implica que el 5% que se muestra nos dice que el límite máximo que la compañía puede impulsar es que el presupuesto de pérdida es (10k + (5% de 10k)), que es (10k + 500) $. Aquí, 10k es apetito y 500 es tolerancia.
El apetito por el riesgo es el nivel general (nivel organizativo) de aceptación de riesgos que persigue su organización, en otras palabras, es una cantidad o tipo de riesgos con los que las organizaciones decidieron vivir. El apetito por el riesgo puede variar dependiendo de varios factores, entre ellos la vertical de la industria, la competencia, el valor de reputación de la marca, la cultura de la empresa, la fortaleza de la compañía en términos de estabilidad financiera.
La tolerancia al riesgo se define a un nivel más granular y afecta principalmente a los riesgos individuales. El concepto de aplicar estos dos parámetros podría ser similar pero operan en diferentes niveles.
Hay diferentes percepciones en torno a estos términos. Consulte la "norma ISO 31000: 2018 de Gestión de Riesgos" para conocer las definiciones ampliamente aceptadas.
Lea otras preguntas en las etiquetas terminology ccsp