Claves para cumplir con COSO ERM e ISO 31000

En esta clase, Isabella Campo explica cómo equilibrar el gobierno corporativo y la cultura de riesgo para lograr una gestión de riesgos efectiva, basada en COSO ERM e ISO 31000.

Aprende a definir un apetito de riesgo, fortalecer el “tono desde la cima” y convertir tus políticas en acciones reales que generen compromiso y resultados.

Porque el gobierno crea las reglas, pero la cultura asegura que se vivan con convicción.
Ideal para líderes, auditores, oficiales de cumplimiento y profesionales en gestión de riesgos.

1. El Gobierno define el “Qué” y la Cultura impulsa el “Cómo”

Cuando una estrategia de riesgos no funciona, el problema casi nunca está en la política, sino en su ejecución.

El gobierno de riesgo es la estructura formal que define qué se debe hacer y quién es responsable. Es el marco: políticas, roles, procesos y comités.

La cultura de riesgo, en cambio, es el cómo: los valores, comportamientos y actitudes que determinan si esas políticas se viven o se ignoran.

El error más costoso que cometen muchas empresas es invertir en estructuras sin transformar comportamientos. Crean el “esqueleto” (el gobierno), pero olvidan darle vida (la cultura).

👉 En resumen:

• El gobierno busca cumplimiento y control.

• La cultura promueve compromiso y aprendizaje.

Cuando ambos se integran, la gestión de riesgos pasa de ser un requisito a convertirse en una práctica viva dentro del negocio.

2. Gobierno y Cultura: el Dúo que No Puede Separarse

Gobierno y cultura no compiten; se potencian.

Un buen gobierno establece el marco, pero solo una cultura sólida garantiza que ese marco se aplique todos los días, incluso cuando nadie está mirando.

Imagina esto:

• Sin gobierno, hay caos.

• Sin cultura, hay reglas... pero nadie las sigue.

Invertir solo en políticas y comités crea una falsa sensación de seguridad. El papel se cumple, pero la realidad no cambia. En cambio, cuando el liderazgo fomenta los valores correctos y las personas entienden el “por qué” detrás de cada norma, la gestión de riesgos se vuelve parte natural del ADN organizacional.

3. El “Tono desde la Cima” es el Motor del Cambio

Ni COSO ni ISO lo dejan a la interpretación: el liderazgo es el punto de partida.

El “tono desde la cima” no es una frase inspiradora en una pared; es un compromiso visible y sostenido. Los líderes marcan el ritmo y el ejemplo.

Algunas acciones concretas que generan impacto real:

• Hablar abiertamente de riesgos y decisiones en los espacios estratégicos.

• Promover una comunicación transparente sobre errores y lecciones aprendidas.

• Reconocer y premiar la buena gestión de riesgos.

Los líderes no solo deben aprobar políticas: deben vivirlas, demostrarlas y exigirlas. Solo así la cultura permea desde el consejo directivo hasta el último equipo operativo.

4. No se Trata de Cumplimiento, se Trata de Estrategia

Uno de los mayores cambios de mentalidad es dejar de ver la gestión de riesgos como un ejercicio de cumplimiento.

Cuando se integra con la estrategia, se convierte en una herramienta para tomar mejores decisiones.

El marco COSO lo explica claramente: la gestión de riesgos debe estar integrada en la estrategia y en la toma de decisiones.

Esto implica alinear los objetivos estratégicos con el apetito y la tolerancia al riesgo. Así, decisiones como invertir, innovar o expandirse se toman con claridad y confianza.

Una gestión de riesgos enfocada en el control limita la innovación.
Una gestión de riesgos enfocada en la estrategia impulsa el crecimiento.

Conclusión

El éxito en gestión de riesgos no depende solo de políticas, comités o matrices. Depende del equilibrio entre estructura y comportamiento, entre el “qué” y el “cómo”.

Porque al final, las políticas en un cajón no protegen a nadie.
Las personas empoderadas, sí.

Complementa tus conocimientos👇

Reporte a Comités de Riesgos y Alta Dirección: incluir indicadores conductuales junto con riesgos financieros y operacionales.