En esta sesión Geraldin Ariza, Custoner Success, nos enseña qué es la ISO 31000 y COSO, sus principales semejanzas y diferencias, y nos muestra distintas tipologías en la implementación del modelo normativo.

Qué buscamos

Cada organización se enfrenta a riesgos de distinta naturaleza. La gestión de riesgos empresariales desempeña un papel crucial al:

• identificar
• evaluar 
• controlar 

Entre la gran cantidad de normas de gestión de riesgos, ISO 31000 y el marco COSO emergen como los marcos de control más populares.

Propósito

Cuando se trata de gestión de riesgos, la ISO 31000 vs COSO son los dos estándares más conocidos. El principal objetivo de esta disciplina es ayudar a las empresas a tomar decisiones correctas y alcanzar objetivos estratégicos, ya sea aplicando estos estándares de manera aislada, de manera combinada, o aún hasta aplicando diferentes estándares.

El propósito de la gestión de riesgos no es evitar que la empresa no enfrente ninguna adversidad, sino que tenga éxito. Todas las organizaciones enfrentan riesgos mientras buscan por sus objetivos. Estos dos estándares se proponen ayudar a las organizaciones a asumir los riesgos correctos en el nivel correcto.

Las principales semejanzas entre la ISO 31000 vs COSO

1. Estímulo a la gestión de riesgos: Las organizaciones ganan dinero asumiendo riesgos y pierden dinero cuando no administran los riesgos que asumen. Por eso, los dos estándares también estimulan a las organizaciones a asumir riesgos, o sea, aquellos que suceden con frecuencia y se vuelven cada vez más relevantes.
2. Estándares no certificables: Tanto la ISO 31000 como COSO son estándares sólo orientativos. Son diferentes de la ISO 9001 por ejemplo, que es un estándar certificable. Cabe a cada empresa comprender las directrices e implementarlas, llevando en cuenta sus aspectos culturales y sus necesidades.
3. Actualización reciente: Los dos estándares son bien recientes, siendo que la última versión de COSO fue lanzada en 2017 y la de la ISO 31000 en 2018. Traen mejoras que simplifican su comprensión e implementación, además de atender las más recientes demandas de mercado.
4. Gestión de riesgos en la toma de decisión: La incorporación del riesgo en el proceso de toma de decisiones de la organización es una parte fundamental para garantizar que la organización esté asumiendo los riesgos correctos en la cantidad correcta. Tanto la ISO 31000 como COSO mencionan la importancia.
   

Las principales diferencias entre la ISO 31000 vs COSO

El volumen de diferencias entre la ISO 31000 vs COSO es mayor que el volumen de semejanzas. Por esta razón, muchos sistemas de gestión de riesgos siguen los dos estándares de forma combinada.

1. Estructura: La ISO 31000:2018 fue desarrollada por una organización de estándares internacionales, por eso sigue una estructura más estandarizada. La norma es bien objetiva, posee sólo 16 páginas.
   Ya COSO tiene más de 100 páginas. Incluye más recursos visuales y no sigue ningún tipo de estándar “estructural” común.
2. Origen: El proceso de desarrollo de la ISO 31000:2018 contó con la participación de miembros de más de 70 países. En el caso de COSO, la mayor parte de las contribuciones vino de Estados Unidos a través de PricewaterhouseCoopers, una de las mayores prestadoras de servicios en las áreas de auditoría y consultoría.
3. Público objetivo: A pesar de que la versión más reciente de COSO tiene un énfasis mayor en estrategia, la verdad es que el estándar es más dirigido a fines de contabilidad y auditoría, por eso fue creado buscando atender las necesidades de los auditores. Ya la ISO 31000 surgió involucrando a personas de diferentes áreas y con diferentes necesidades de gestión de riesgos. Muchas organizaciones ya cuentan con otros sistemas de gestión basados en la ISO, por eso acaban optando por la ISO 31000.
4. Enfoque: Nuevamente, debido a su origen, COSO se concentra más en la gobernanza corporativa, mientras que la ISO 31000 se concentra casi exclusivamente en el riesgo y lo incorpora al proceso de planificación estratégica.
5. Estructura y Procesos: La ISO provee una distinción clara entre los conceptos de Estructura y Proceso. Aunque el proceso que presenta aún sea muy simple, entra en detalles sobre identificación y evaluación de riesgos. Ya COSO combina esos dos conceptos. Sin embargo, sólo uno de los cinco componentes del framework menciona el proceso de gestión de riesgo.
6. Apetito por riesgo: La primera versión de la ISO 31000 lanzada en 2009 no trataba sobre el concepto de apetito al riesgo. La versión 2018 menciona brevemente el tópico “criterios” de riesgo, y usa terminología diferente de otros recursos. La versión 2017 de COSO discute el apetito de riesgo con mucha más amplitud y provee muchos ejemplos visuales de los conceptos de apetito, tolerancia y capacidad de riesgo.

¿Cuál escoger?

El éxito de los sistemas de gestión o metodologías de análisis para el control de factores internos y externos, nace en la planeación estratégica que desarrolla la dirección para cumplir con los objetivos y que en corto o mediano plazo le permitirá a la organización mejorar continuamente y ampliar su alcance operativo dentro del sector.

La implementación de un modelo normativo ISO o COSO, requiere que dentro de la planificación se asignen recursos de diferentes tipologías como los descritos a continuación:

• Recursos humanos: poner en funcionamiento el modelo o metodología de gestión, depende de la formación capacidades y experiencia de los miembros que conforman el equipo de gestión del riesgo, de lo contrario es posible que se materialicen riesgos de gran impacto negativo al no tener conocimiento de la naturaleza y comportamiento de esto.
• Recursos financieros: la adquisición de personal infraestructura y equipos, es posible si dentro de la planificación del presupuesto la alta dirección de la organización asigna el dinero necesario para cubrir estos requerimientos.
• Recursos físicos: la eficiencia en la gestión de los riesgos de diferente tipología, requiere un medio que le permita gestionar y transferir información de forma rápida y efectiva, evitando tiempos muertos que posteriormente se reflejaran en pérdidas para la organización.

Las herramientas que las organizaciones adopten para la gestión de los riesgos asociados a las actividades de los procesos, debe garantizar el análisis de la información y posterior dar el insumo al equipo de gestión del riesgo para la definición de controles de forma integral y de esta forma dar un nivel alto de seguridad frente a estos eventos inesperados.