Cuando se trata de gestión de riesgos, la ISO 31000 vs COSO son los dos estándares más conocidos. El principal objetivo de esta disciplina es ayudar a las empresas a tomar decisiones correctas y alcanzar objetivos estratégicos, ya sea aplicando estos estándares de manera aislada, de manera combinada, o aún hasta aplicando diferentes estándares.

El propósito de la gestión de riesgos no es evitar que la empresa no enfrente ninguna adversidad, sino que tenga éxito. Todas las organizaciones enfrentan riesgos mientras buscan por sus objetivos. Estos dos estándares se proponen ayudar a las organizaciones a asumir los riesgos correctos en el nivel correcto.

Después de esta breve introducción, vamos a conocer las principales semejanzas y diferencias entre los dos principales estándares de gestión de riesgo.

Las principales semejanzas entre la ISO 31000 vs COSO

A pesar del origen diferente, ISO 31000 vs COSO comparten algunas semejanzas:

1. Estímulo a la gestión de riesgos

Las organizaciones ganan dinero asumiendo riesgos y pierden dinero cuando no administran los riesgos que asumen. Por eso, los dos estándares también estimulan a las organizaciones a asumir riesgos, o sea, aquellos que suceden con frecuencia y se vuelven cada vez más relevantes.

2. Estándares no certificables

Tanto la ISO 31000 como COSO son estándares sólo orientativos. Son diferentes de la ISO 9001 por ejemplo, que es un estándar certificable. Cabe a cada empresa comprender las directrices e implementarlas, llevando en cuenta sus aspectos culturales y sus necesidades.

3. Actualización reciente

Los dos estándares son bien recientes, siendo que la última versión de COSO fue lanzada en 2017 y la de la ISO 31000 en 2018. Traen mejoras que simplifican su comprensión e implementación, además de atender las más recientes demandas de mercado.

4. Gestión de riesgos en la toma de decisión

La incorporación del riesgo en el proceso de toma de decisiones de la organización es una parte fundamental para garantizar que la organización esté asumiendo los riesgos correctos en la cantidad correcta. Tanto la ISO 31000 como COSO mencionan la importancia.

 Cómo mejorar la gestión de gobernanza, riesgos y conformidad

Las principales diferencias entre la ISO 31000 vs COSO

El volumen de diferencias entre la ISO 31000 vs COSO es mayor que el volumen de semejanzas. Por esta razón, muchos sistemas de gestión de riesgos siguen los dos estándares de forma combinada:

1. Estructura

La ISO 31000:2018 fue desarrollada por una organización de estándares internacionales, por eso sigue una estructura más estandarizada. La norma es bien objetiva, posee sólo 16 páginas.

Ya COSO tiene más de 100 páginas. Incluye más recursos visuales y no sigue ningún tipo de estándar “estructural” común.

2. Origen

El proceso de desarrollo de la ISO 31000:2018 contó con la participación de miembros de más de 70 países. En el caso de COSO, la mayor parte de las contribuciones vino de Estados Unidos a través de PricewaterhouseCoopers, una de las mayores prestadoras de servicios en las áreas de auditoría y consultoría.

3. Público objetivo

A pesar de que la versión más reciente de COSO tiene un énfasis mayor en estrategia, la verdad es que el estándar es más dirigido a fines de contabilidad y auditoría, por eso fue creado buscando atender las necesidades de los auditores. Ya la ISO 31000 surgió involucrando a personas de diferentes áreas y con diferentes necesidades de gestión de riesgos. Muchas organizaciones ya cuentan con otros sistemas de gestión basados en la ISO, por eso acaban optando por la ISO 31000.

4. Enfoque

Nuevamente, debido a su origen, COSO se concentra más en la gobernanza corporativa, mientras que la ISO 31000 se concentra casi exclusivamente en el riesgo y lo incorpora al proceso de planificación estratégica.

5. Estructura y Procesos

La ISO provee una distinción clara entre los conceptos de Estructura y Proceso. Aunque el proceso que presenta aún sea muy simple, entra en detalles sobre identificación y evaluación de riesgos.

Ya COSO combina esos dos conceptos. Sin embargo, sólo uno de los cinco componentes del framework menciona el proceso de gestión de riesgo.

6. Apetito por riesgo

La primera versión de la ISO 31000 lanzada en 2009 no trataba sobre el concepto de apetito al riesgo. La versión 2018 menciona brevemente el tópico “criterios” de riesgo, y usa terminología diferente de otros recursos. La versión 2017 de COSO discute el apetito de riesgo con mucha más amplitud y provee muchos ejemplos visuales de los conceptos de apetito, tolerancia y capacidad de riesgo.

7. Riesgos vs Alcance de los Objetivos

Aunque la versión de 2017 de COSO se concentre más en el alcance de objetivos, muchos entienden que aún está incentivando la “búsqueda” al riesgo o es centrada en el riesgo. El propósito de la gestión de riesgos es crear y proteger valor, no minimizar riesgos. Aunque no sea el nivel que a muchos les gustaría, la ISO 31000 coloca mayor énfasis en ayudar a la organización a alcanzar sus objetivos, en vez de simplemente evitar consecuencias negativas de los riesgos.

Esta no es una lista definitiva. Un análisis más detallado revelaría aún más semejanzas y diferencias.

Es importante reforzar que no hay un estándar mejor o más recomendado. Es preciso conocer a ambos para entender cómo ellos pueden ser aplicados de acuerdo con las necesidades y la cultura de su empresa.

¿Usted se interesó en aprender más sobre Gestión de Riesgos después de leer este artículo? Entonces lo invito a conocer otros contenidos que ya elaboramos sobre este asunto aquí en el blog.

Marcelo Becher

Autor

Marcelo Becher

Especialista en Gestión Estratégica a través de la PUC-PR. Analista de negocio y de mercadeo en SoftExpert, proveedora de software para automatización y mejora de procesos de negocio, conformidad reglamentaria y gobernanza corporativa.

También puede interesarte:

¡Reciba contenido gratuito en su e-mail!

Inscríbase en nuestra Newsletter y reciba contenidos sobre las mejores prácticas en gestión producidos por especialistas.

Al hacer clic en el siguiente botón, usted confirma que ha leído y acepta nuestra Política de Privacidad.