Cuando se trata de gestión de riesgos, la ISO 31000 vs COSO son los dos estándares más conocidos. El principal objetivo de esta disciplina es ayudar a las empresas a tomar decisiones correctas y alcanzar objetivos estratégicos, ya sea aplicando estos estándares de manera aislada, de manera combinada, o aún hasta aplicando diferentes estándares.
El propósito de la gestión de riesgos no es evitar que la empresa no enfrente ninguna adversidad, sino que tenga éxito. Todas las organizaciones enfrentan riesgos mientras buscan por sus objetivos. Estos dos estándares se proponen ayudar a las organizaciones a asumir los riesgos correctos en el nivel correcto.
Después de esta breve introducción, vamos a conocer las principales semejanzas y diferencias entre los dos principales estándares de gestión de riesgo.
Las principales semejanzas entre la ISO 31000 vs COSO
A pesar del origen diferente, ISO 31000 vs COSO comparten algunas semejanzas:
1. Estímulo a la gestión de riesgos
Las organizaciones ganan dinero asumiendo riesgos y pierden dinero cuando no administran los riesgos que asumen. Por eso, los dos estándares también estimulan a las organizaciones a asumir riesgos, o sea, aquellos que suceden con frecuencia y se vuelven cada vez más relevantes.
2. Estándares no certificables
Tanto la ISO 31000 como COSO son estándares sólo orientativos. Son diferentes de la ISO 9001 por ejemplo, que es un estándar certificable. Cabe a cada empresa comprender las directrices e implementarlas, llevando en cuenta sus aspectos culturales y sus necesidades.
3. Actualización reciente
Los dos estándares son bien recientes, siendo que la última versión de COSO fue lanzada en 2017 y la de la ISO 31000 en 2018. Traen mejoras que simplifican su comprensión e implementación, además de atender las más recientes demandas de mercado.
4. Gestión de riesgos en la toma de decisión
La incorporación del riesgo en el proceso de toma de decisiones de la organización es una parte fundamental para garantizar que la organización esté asumiendo los riesgos correctos en la cantidad correcta. Tanto la ISO 31000 como COSO mencionan la importancia.
Las principales diferencias entre la ISO 31000 vs COSO
El volumen de diferencias entre la ISO 31000 vs COSO es mayor que el volumen de semejanzas. Por esta razón, muchos sistemas de gestión de riesgos siguen los dos estándares de forma combinada:
1. Estructura
La ISO 31000:2018 fue desarrollada por una organización de estándares internacionales, por eso sigue una estructura más estandarizada. La norma es bien objetiva, posee sólo 16 páginas.
Ya COSO tiene más de 100 páginas. Incluye más recursos visuales y no sigue ningún tipo de estándar “estructural” común.
2. Origen
El proceso de desarrollo de la ISO 31000:2018 contó con la participación de miembros de más de 70 países. En el caso de COSO, la mayor parte de las contribuciones vino de Estados Unidos a través de PricewaterhouseCoopers, una de las mayores prestadoras de servicios en las áreas de auditoría y consultoría.
3. Público objetivo
A pesar de que la versión más reciente de COSO tiene un énfasis mayor en estrategia, la verdad es que el estándar es más dirigido a fines de contabilidad y auditoría, por eso fue creado buscando atender las necesidades de los auditores. Ya la ISO 31000 surgió involucrando a personas de diferentes áreas y con diferentes necesidades de gestión de riesgos. Muchas organizaciones ya cuentan con otros sistemas de gestión basados en la ISO, por eso acaban optando por la ISO 31000.
4. Enfoque
Nuevamente, debido a su origen, COSO se concentra más en la gobernanza corporativa, mientras que la ISO 31000 se concentra casi exclusivamente en el riesgo y lo incorpora al proceso de planificación estratégica.
5. Estructura y Procesos
La ISO provee una distinción clara entre los conceptos de Estructura y Proceso. Aunque el proceso que presenta aún sea muy simple, entra en detalles sobre identificación y evaluación de riesgos.
Ya COSO combina esos dos conceptos. Sin embargo, sólo uno de los cinco componentes del framework menciona el proceso de gestión de riesgo.
6. Apetito por riesgo
La primera versión de la ISO 31000 lanzada en 2009 no trataba sobre el concepto de apetito al riesgo. La versión 2018 menciona brevemente el tópico “criterios” de riesgo, y usa terminología diferente de otros recursos. La versión 2017 de COSO discute el apetito de riesgo con mucha más amplitud y provee muchos ejemplos visuales de los conceptos de apetito, tolerancia y capacidad de riesgo.
7. Riesgos vs Alcance de los Objetivos
Aunque la versión de 2017 de COSO se concentre más en el alcance de objetivos, muchos entienden que aún está incentivando la “búsqueda” al riesgo o es centrada en el riesgo. El propósito de la gestión de riesgos es crear y proteger valor, no minimizar riesgos. Aunque no sea el nivel que a muchos les gustaría, la ISO 31000 coloca mayor énfasis en ayudar a la organización a alcanzar sus objetivos, en vez de simplemente evitar consecuencias negativas de los riesgos.
Esta no es una lista definitiva. Un análisis más detallado revelaría aún más semejanzas y diferencias.
Es importante reforzar que no hay un estándar mejor o más recomendado. Es preciso conocer a ambos para entender cómo ellos pueden ser aplicados de acuerdo con las necesidades y la cultura de su empresa.
¿Usted se interesó en aprender más sobre Gestión de Riesgos después de leer este artículo? Entonces lo invito a conocer otros contenidos que ya elaboramos sobre este asunto aquí en el blog.