0

  • No hay productos en el carrito.

COSO vs ISO 31000: ¿Cuál es mejor para la gestión de riesgos?

Por Jacinto Santiago Gonzalez

COSO vs ISO 31000: ¿Cuál es mejor para la gestión de riesgos?

COSO vs ISO 31000 son dos de los marcos más utilizados y reconocidos a nivel internacional en la gestión de riesgos. En este artículo, comparamos ambos para ayudarte a comprender sus diferencias, similitudes y aplicaciones prácticas.

 

En la actualidad, las organizaciones enfrentan entornos complejos, digitalizados y dinámicos donde la gestión de riesgos no puede limitarse a esquemas estáticos o puramente normativos.

 

Cuando se evalúan marcos de gestión de riesgos, ISO 31000 y COSO ERM suelen ser los más citados debido a que son los marcos de referencia más reconocidos a nivel mundial para la gestión de riesgos.

 

ISO 31000, una norma global basada en principios, marco de referencia y procesos, por otro lado, COSO ERM es un marco más estructurado centrado en la integración de la gestión de riesgos en la estrategia y los objetivos de una organización.

 

Ambos ofrecen valor, pero su estructura y aplicabilidad varían significativamente.

 

El estandard ISO 31000, una norma reconocida mundialmente y desarrollada por la Organización Internacional de Normalización, ofrece un enfoque integral para la gestión de riesgos. Es como una navaja suiza para los gestores de riesgos, ya que proporciona un conjunto versátil de directrices aplicables a cualquier industria o sector.

 

Hace hincapié en la integración de la gestión de riesgos en la gobernanza, la estrategia y la planificación general de una organización.

 

Se trata de crear una cultura consciente del riesgo donde todos, desde los altos ejecutivos hasta los empleados de primera línea, comprendan su papel en la gestión de riesgos.

 

ISO 31000, ayuda a las organizaciones a mejorar su resiliencia y agilidad, preparándolas mejor para gestionar la incertidumbre y aprovechar las oportunidades.

 

Entre sus ventajas técnicas destacan:

 

-Adaptabilidad a cualquier sector o tamaño de organización.

 

-Enfoque no prescriptivo, basado en principios universales.

 

-Alineación con otros estándares ISO para una gestión integrada.

 

-Fomento de una cultura de riesgos alineada con la toma de decisiones.

 

Por su parte, COSO ERM ofrece una estructura más compleja. El marco de Gestión de Riesgos Empresariales (ERM) COSO, desarrollado por el Comité de Organizaciones Patrocinadoras de la Comisión Treadway, COSO ERM está diseñado para ayudar a las empresas a mejorar su rendimiento mediante la gestión eficaz de los riesgos.

 

El marco adopta una visión holística de la gestión de riesgos, enfatizando la importancia de considerar el riesgo en el contexto de la estrategia y los objetivos de una organización.

 

COSO ERM proporciona un enfoque estructurado que ayuda a las organizaciones a identificar posibles eventos que podrían afectar sus objetivos y a gestionar estos riesgos dentro de su tolerancia al riesgo.

 

El enfoque estructurado garantiza que la gestión de riesgos no sea una simple actividad de verificación, sino que esté integrada en el ADN de la organización. Resulta ideal para organizaciones con alta madurez en gobierno corporativo, pero puede resultar rígida para quienes buscan agilidad y enfoque práctico.

 

Ambas normas son herramientas indispensables en el contexto actual de riesgos emergentes.

 

Permiten a las organizaciones desarrollar prácticas sólidas de gestión de riesgos que no solo las protegen de posibles peligros y amenazas, sino que también les permiten prosperar y sobrevivir en un entorno en constante evolución. Adoptar estos marcos puede transformar la forma en que las organizaciones perciben y gestionan los riesgos, lo que se traduce en un mayor éxito y sostenibilidad.

 

La norma ISO 31000:2018 es una norma internacional que proporciona directrices para la gestión de riesgos a los que se enfrentan las organizaciones.

 

El objetivo de este marco es simplificar la toma de decisiones, el logro de objetivos y el aumento del rendimiento.

 

En esencia, la norma ISO 31000 ayuda a las organizaciones a desarrollar una estrategia de gestión de riesgos alineada con sus objetivos generales, adaptada a su contexto externo e interno, y que utiliza un enfoque claro y gradual para la gestión de riesgos.

 

Enfatiza la importancia de evaluar la probabilidad y la gravedad de los riesgos, y se aplica en todo tipo de empresas, grandes o pequeñas, con o sin fines de lucro y a todo tipo de riesgos, independientemente de si tienen consecuencias positivas o negativas.

 

El marco COSO ERM es una guía ampliamente reconocida para la gestión de riesgos y la creación de valor.

 

Introducido por primera vez en 2004 y actualizado en 2017, este marco abarca un enfoque estructurado e integral para la gestión de riesgos.

 

Ayuda a las organizaciones a alcanzar sus objetivos de rendimiento y rentabilidad, prevenir pérdidas y optimizar los procesos de informes de cumplimiento.

 

COSO ERM está diseñado para integrarse con los procesos de gestión existentes y se centra en la gestión de riesgos mediante componentes y principios personalizables.

 

Hace hincapié en la gobernanza y la cultura, la estrategia y el establecimiento de objetivos, el rendimiento, la revisión y los procesos de revisión.

Perfecciona tus habilidades

Desarrolla tus capacidades a través de nuestros programas formativos, membresías y contenidos multimedia interactivos.

Más información

Retos y Barreras Comunes en la Implementación

Tanto ISO como COSO enfrentan obstáculos comunes:

 

-Resistencia al cambio cultural, sobre todo en organizaciones con baja madurez en gestión de riesgos.

 

-Costos operativos y de consultoría iniciales para implementación.

 

-Falta de liderazgo comprometido, lo cual mina la transversalidad del proceso.

 

-Limitado alineamiento entre niveles operativos y estratégicos.

 

-Falta de capacitación técnica en tecnologías emergentes de gestión de riesgos.

 

Gestión Integral de Riesgos - ISO 31000

Certificación Internacional

Potencia tus competencias aquí

Similitudes y diferencias entre COSO ERM e ISO 31000

Similitudes

Ambas metodologías presentan aspectos comunes que reflejan una evolución hacia enfoques más estratégicos y adaptativos en la gestión de riesgos:

 

  • Ampliación del Alcance: Tanto COSO ERM como ISO 31000 han ampliado el alcance tradicional de la gestión de riesgos, integrándola no solo en la protección de activos, sino también en el logro de objetivos estratégicos.

 

  • Carácter de Guía: Ambas normas no son prescriptivas, sino que actúan como pautas o marcos de referencia que pueden ser adaptados a diferentes tipos y tamaños de organizaciones.

 

  • Evolución y Mejora Sustancial: Las versiones actuales de ambas metodologías representan mejoras significativas respecto a sus versiones previas, integrando nuevas tendencias y necesidades organizacionales.

 

  • Integración en la Toma de Decisiones: En ambos casos, se enfatiza la necesidad de integrar la gestión de riesgos en los procesos de planificación, ejecución y control, es decir, como un componente esencial de la toma de decisiones estratégicas.
  •  

Diferencias

A pesar de sus similitudes, existen diferencias sustanciales en la forma en que estas metodologías abordan la gestión de riesgos:

 

  • Estructura de Redacción: COSO ERM es más extensa, con 20 principios organizados en cinco componentes, mientras que ISO 31000 es más concisa y generalista, enfocada en principios, marco y proceso.
  •  
  • Adopción Geográfica: COSO ERM es predominante en Estados Unidos y organizaciones que siguen prácticas contables y financieras norteamericanas. ISO 31000 es ampliamente adoptada en Europa, América Latina y Asia.
  •  
  • Público Objetivo : COSO ERM está enfocado en la alta dirección, auditores y comités de auditoría. ISO 31000 está dirigido a todo tipo de organizaciones y niveles jerárquicos.
  •  
  • Enfoque Organizacional: COSO ERM está enfocado en el cumplimiento y supervisión financiera. ISO 31000 está orientado a una gestión holística e integrada del riesgo.
  •  
  • Marco vs. Procesos: COSO ERM define un marco estructurado de componentes y principios. ISO 31000 se centra en un proceso continuo e iterativo.
  •  
  • Apetito de Riesgo: COSO ERM desarrolla ampliamente el concepto de apetito de riesgo como parte del gobierno corporativo. ISO 31000 menciona el apetito de riesgo, pero no lo desarrolla extensamente.
  •  
  • Foco de la Gestión: COSO ERM puede ser percibido como más reactivo, orientado a la identificación y mitigación de riesgos ("caza de riesgos"). ISO 31000 promueve un enfoque proactivo, orientado al éxito estratégico.
  •  
  • Mitigación de Riesgos: COSO-ERM integra la mitigación como una parte específica del proceso de respuesta al riesgo (Risk Response). Esto incluye:
  •  

-Aceptar

 

-Evitar

 

-Compartir

 

-Reducir (mitigar)

 

COSO ERM subraya que las respuestas al riesgo deben alinearse con el apetito de riesgo de la organización.  Aquí, la mitigación se entiende como la implementación de controles internos o medidas para reducir el impacto o la probabilidad de un evento de riesgo. El término clave    es la respuesta al riesgo.

 

En ISO 31000 la mitigación de riesgos no se menciona como un término único, sino que se integra en el proceso más amplio de tratamiento del riesgo (Risk Treatment) que implica seleccionar e implementar medidas para modificar el riesgo. Esto incluye:

 

-Aceptar

 

-Evitar

 

-Reducir la probabilidad o consecuencias (lo que se llama comúnmente "mitigación").

 

-Compartir (por ejemplo, con seguros).

 

-Retener el riesgo residual.

 

  • implementación efectiva: Para una implementación efectiva del Marco COSO ERM, se deberá considerar:
  •  

-El entorno interno: Define una cultura consciente del riesgo que se alinea con los objetivos del negocio, sentando las bases para una gestión eficaz del riesgo empresarial.

 

-Establecimiento de objetivos: Se deben establecer objetivos claros, mensurables y alcanzables en todos los niveles de la organización que se alineen con el apetito de riesgo de la entidad.

 

-Identificación de eventos: identificar eventos internos y externos que afectan el logro de los objetivos de una entidad, distinguiendo entre riesgos y oportunidades.

 

-Actividades de control: Diseñar e implementar políticas y procedimientos para mitigar los riesgos identificados a niveles aceptables.

 

-Información y comunicación: Mantener y comunicar la información necesaria en una forma y plazo que permita al personal llevar a cabo sus responsabilidades.

 

-Actividades de monitoreo: Monitorear periódicamente el sistema a través de evaluaciones separadas o actividades continúas alineadas con otros procesos de control.

 

La implementación del marco de gestión de riesgos ISO 31000 implica un proceso dinámico e iterativo que lo integra en todas las actividades de la organización.

Las mejores prácticas incluyen:

 

-Establecer el contexto: Comprender el contexto externo e interno que rodea a su negocio garantiza que la estrategia de gestión de riesgos se alinee con los objetivos de la organización.

 

-Identificación y evaluación de riesgos: La identificación y evaluación sistemática de los riesgos ayuda a priorizarlos en función de su probabilidad e impacto en los objetivos de la organización.

 

-Tratamiento de riesgos: La elección de las opciones de tratamiento de riesgos (evitar, optimizar, transferir o retener el riesgo) debe basarse en el resultado de la evaluación de riesgos y alinearse con el apetito de riesgo de la organización.

 

-Comunicación y consulta: Involucre a las partes interesadas durante todo el proceso de riesgo para garantizar que todos comprendan por qué y cómo se gestionan los riesgos.

 

-Monitorear y revisar: Revise y actualice periódicamente el marco de gestión de riesgos para garantizar que siga siendo eficaz, utilizando tanto la retroalimentación interna como factores externos.

Tecnología y Digitalización

La gestión moderna de riesgos exige herramientas digitales como:

 

-Software ERM (como LogicManager, Resolver o MetricStream) que permiten implementar y monitorear marcos como COSO o ISO con trazabilidad y auditoría.

 

-Inteligencia Artificial para predicción de eventos de riesgo.

 

-Blockchain y smart contracts para trazabilidad en riesgos contractuales.

 

-Dashboards de monitoreo en tiempo real para riesgos operacionales o reputacionales.

Reflexión Final y Recomendación

En resumen, ambas metodologías ofrecen herramientas sólidas para la gestión de riesgos, pero su elección dependerá del contexto organizacional, la cultura de gestión, el marco regulatorio y los objetivos estratégicos de cada entidad.

 

-COSO ERM puede ser más adecuado para organizaciones con un fuerte enfoque financiero, necesidades de cumplimiento regulatorio específico (por ejemplo, en el sector bancario de EE. UU.), o que operan bajo marcos contables y de auditoría complejos.

 

-ISO 31000 es recomendable para organizaciones que buscan una integración transversal del riesgo en todos los niveles, mayor flexibilidad, y una alineación con otras normas ISO como la 9001, 14001, 22301, 27001 o 37301.

 

La elección entre COSO ERM e ISO 31000 no debe realizarse de manera dogmática. Ambas metodologías ofrecen herramientas poderosas, pero también presentan limitaciones y retos contextuales. En un mundo globalizado y digital, las organizaciones deben evaluar:

 

-Su nivel de madurez organizacional.

 

-Sus obligaciones regulatorias.

 

-Su cultura resiliente.

 

-Su arquitectura de control.

 

-Su nivel de integración tecnológica.

 

Muchas entidades exitosas hoy adoptan enfoques híbridos, que combinan la estructura de COSO con la versatilidad de ISO, apoyadas en tecnología inteligente y adaptable.

¿Quieres llevar tu organización al siguiente nivel en ciberseguridad y resiliencia empresarial?

Descubre cómo los programas de Iberoamericana Educación Ejecutiva pueden ayudarte a implementar estas estrategias de manera efectiva.

¿Te has preguntado cómo gestionar eficazmente estos riesgos?


¡No busques más!
En Iberoamericana Educación Ejecutiva, hemos creado programas pensando en tus necesidades de información y formación. Nuestros expertos internacionales han diseñado un completo Programa al respecto para brindarte las herramientas necesarias para comprender y enfrentar estos desafíos de manera efectiva.
¡No esperes más para inscribirte!
Los programas de formación ya están disponibles y estamos aquí para ayudarte a ampliar tus conocimientos y habilidades en esta área crucial.
INSCRÍBETE

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.

8 abril, 2025
IBEE © RiskOff. Todos los derechos reservados.

Setup Menus in Admin Panel