Gestión de riesgos: ISO 31000 vs COSO

Publicado por Equipo ORCA el 15 de noviembre de 2023

En la búsqueda del éxito, cada organización se enfrenta a riesgos de distinta naturaleza. La gestión de riesgos empresariales (o ERM, por sus siglas en inglés) desempeña un papel crucial al identificar, evaluar y controlar estos riesgos para garantizar que se cumplan los objetivos comerciales sin ocasionar problemas financieros, legales u operativos. Entre la gran cantidad de normas de gestión de riesgos, ISO 31000 y el marco ERM de COSO emergen como los marcos de control más populares.

 

ISO 31000:2018: directrices para la gestión de riesgos

ISO 31000, lanzado por primera vez en 2009 y revisado en 2018, proporciona principios, un marco y un enfoque común para gestionar cualquier tipo de riesgo organizacional, como fallos de equipos, accidentes de empleados o clientes, violaciones de ciberseguridad y fraudes financieros. Al igual que el marco ERM de COSO, ISO 31000 no es específico de ninguna industria o sector, sino que su propósito es ayudar a las organizaciones a formalizar sus prácticas de gestión de riesgos en toda la empresa, aplicándose o personalizándose para cualquier actividad.

Formalmente conocida como “ISO 31000:2018, Gestión de Riesgos – Directrices”, la nueva versión ofrece un documento más corto, claro y conciso, que es más fácil de leer. Para reducir la cantidad de terminología  específica en ISO 31000, algunos términos se trasladaron a un documento de vocabulario de gestión de riesgos destinado a utilizarse con la norma, que es la Guía ISO 73 (aquí la versión en inglés del sitio oficial de la ISO, que aún no cuenta con traducción por su parte al español).

Además, ISO 31000:2018 brinda una orientación más estratégica sobre la ERM que la norma original "y pone más énfasis tanto en la participación de la alta dirección como en la integración de la gestión de riesgos en la organización", de acuerdo con sus autores. La norma consta de los siguientes tres componentes principales:

  1. Principios: ISO 31000 enumera ocho principios como base para gestionar el riesgo y crear y proteger el valor empresarial. Brindan orientación sobre las características de los esfuerzos efectivos y eficientes de gestión de riesgos y sobre cómo explicar el propósito de la ERM y comunicar su valor.
  2. Marco: diseñado para ayudar a las organizaciones a aplicar mecanismos de gestión de riesgos en funciones comerciales y estructuras de gobierno. Incluye seis componentes personalizables: liderazgo y compromiso, integración, diseño, implementación, evaluación y mejora.
  3. Proceso: la norma describe el proceso que las organizaciones deben seguir para identificar, evaluar, priorizar y mitigar riesgos, con orientación sobre cómo aplicar políticas, procedimientos y prácticas de manera sistemática. También incluye pasos para la comunicación, monitoreo y revisión, y presentación de informes.

Publicado bajo el nombre de la Comisión Electrotécnica Internacional, IEC 31010 es una norma complementaria sobre técnicas de evaluación y análisis de riesgos que se actualizó en 2019 tras 10 años de haber sido introducida. Es desarrollada conjuntamente por ISO y la IEC, incluye ambos logotipos y se puede comprar en cualquiera de las dos organizaciones.

Gestión-de-riesgos-ISO-31000-vs-COSO-2

 

Gestión de riesgos organizacionales (ERM) de COSO

El marco ERM de COSO, publicado por primera vez en 2004 y actualizado en 2017, reconoce la creciente complejidad de la ERM y destaca la importancia de alinear la gestión de riesgos con las estrategias comerciales y el rendimiento operativo. Titulado Enterprise Risk Management - Integrating with Strategy and Performance, (“Gestión de riesgos empresariales – Integrando estrategia y operaciones”) la publicación actualizada resalta la importancia de considerar el riesgo organizacional al establecer estrategias comerciales y gestionar el rendimiento operativo.

El marco ERM se puede utilizar en organizaciones de todos los tamaños e industrias, según el resumen ejecutivo del documento, que es un conjunto de 20 principios organizados en cinco componentes del proceso de gestión de riesgos empresariales. Veamos estos cinco componentes:

  1. Gobernanza y cultura: establece responsabilidades de supervisión para la gestión de riesgos empresariales y define la cultura organizacional deseada, incluido el entendimiento del riesgo y la importancia de gestionarlo.
  2. Estrategia y establecimiento de objetivos: como parte de la planificación estratégica, la organización determina su apetito por el riesgo y alinea eso con la estrategia comercial. Los objetivos comerciales específicos se utilizan como base para identificar, evaluar y responder al riesgo.
  3. Rendimiento: se identifican diferentes tipos de riesgos, se evalúan en cuanto a gravedad y se priorizan de acuerdo con el apetito por el riesgo. La organización luego decide cómo responder a ellos y crea una vista de cartera del riesgo asumido.
  4. Monitoreo y revisión: la organización revisa el rendimiento comercial y la eficacia del proceso ERM, y luego decide si se necesitan cambios para mejorar el proceso.
  5. Información, comunicación y presentación de informes: se recopila información sobre el proceso de gestión de riesgos y se comparte a través de comunicaciones continuas y presentación de informes sobre riesgos y rendimiento comercial en varios niveles en toda la organización.

 

Cada componente contiene varios principios que describen acciones y prácticas específicas. Sin embargo, pueden aplicarse de diferentes maneras por diferentes organizaciones. Como orientación adicional sobre eso, COSO también ha publicado el suplemento Compendio de Ejemplos con estudios de casos sobre implementaciones del marco ERM por entidades individuales.

 

ISO 31000 Y ERM de COSO: similitudes

Gestión-de-riesgos-ISO-31000-vs-COSO-1

Antes de pasar a sus diferencias, conviene entender primero sus similitudes. La ISO 31000 y el marco ERM de COSO tienen el mismo objetivo: ayudar a las organizaciones a implementar estrategias y procesos efectivos de gestión de riesgos organizacionales. Aquí hay algunas similitudes entre los dos estándares que los expertos en gestión de riesgos y sus proveedores de software suelen citar:

  • ISO 31000 y COSO se centran en técnicas y métodos utilizados para evaluar, gestionar y monitorear riesgos. En muchos aspectos, son representaciones del mismo cuerpo de conocimientos.
  • Ambos están diseñados para ser pautas para las organizaciones, y no hay certificación de cumplimiento asociada con ninguno de ellos. Bajo cada estándar, se necesita personalizar un sistema de gestión de riesgos para la organización en particular, y las pautas se pueden adaptar según sea necesario para lograrlo.
  • Tanto ISO 31000 como COSO enfatizan la importancia de incorporar la gestión de riesgos en los procesos de toma de decisiones de una organización para que los ejecutivos corporativos (los de la llamada C-Suite) y los gerentes comerciales comprendan los riesgos y su relación con los objetivos organizativos cuando toman decisiones comerciales.
  • Ambos enfatizan la necesidad de monitorear los riesgos y revisar estrategias y controles de gestión de riesgos a medida que surgen nuevos problemas comerciales y requisitos.

 

ISO 31000 vs ERM de COSO: diferencias

Las diferencias más notables incluyen:

  • Desarrollo: ISO 31000 es desarrollado por un organismo de estándares formal, mientras que el ERM de COSO es formulado por asociaciones profesionales.
  • Enfoque: ISO 31000 se concentra en la gestión de riesgos desde la planificación estratégica, mientras que COSO ERM enfatiza el gobierno corporativo y la auditoría.
  • Presentación: ISO 31000 es concisa en 16 páginas, mientras que el resumen ejecutivo de COSO ERM por sí solo abarca más de 100 páginas en total.
  • Público objetivo: ISO 31000 se dirige a un público amplio, mientras que COSO ERM está más diseñado para profesionales de contabilidad y auditoría.
  • Marco, principios y proceso: ISO 31000 los distingue o separa, proporcionando detalles más directos sobre las tareas de gestión de riesgos; por su parte, COSO los combina en una sola estructura.
  • Apetito de riesgo vs criterios de riesgo: ISO 31000 utiliza criterios de riesgo para describir los riesgos aceptables y COSO por otra parte introduce el concepto de apetito de riesgo.
  • Reducción de riesgos vs éxito empresarial: ISO 31000 se centra en utilizar la gestión de riesgos para generar valor empresarial, en contraparte, COSO se inclina hacia la mera reducción de riesgos.

 

¿Cómo saber cuál elegir? 

Gestión-de-riesgos-ISO-31000-vs-COSO-3

La elección entre ISO 31000 y COSO ERM depende de la cultura y los requisitos de una organización. ISO 31000 ofrece claridad y simplicidad, adecuada para quienes buscan una herramienta más parecida a una lista de verificación (checklist) para la toma de decisiones sobre tratamiento de riesgos empresariales. COSO, en cambio, es más complejo, proporciona información adicional, particularmente en la definición de la tolerancia o apetito de riesgo. Un enfoque combinado, que integre las directivas de ISO 31000 con los principios de COSO, puede generar una gestión integral de riesgos muy efectiva, en caso de que la exposición al riesgo así lo amerite.

Al evaluar la eficacia, las organizaciones deben asegurarse de que el sistema ERM elegido se alinee con la estrategia empresarial y siga siendo adaptable. Las evaluaciones y ajustes periódicos son esenciales para garantizar que los riesgos se gestionen para facilitar, en lugar de inhibir, las actividades comerciales.

Para tomar la mejor decisión, en ocasiones es bueno contar con asesoría externa que vea con “ojos frescos” la situación puntual de nuestra organización en particular. Más aún, una plataforma tecnológica capaz de traducir estas complejas guías y directrices en tareas con responsables, alertas y fechas, para hacerlo fácilmente implementables se antoja más que deseable. Y en ORCA tenemos ambas cosas; si deseas hablar sobre las necesidades de tu organización con un consultor experto en riesgos empresariales, haz clic debajo.

Habla con un Especialista 

Temas: Riesgo empresarial, Gestión de riesgo, Control de riesgo laboral