Diferencias entre los modelos de gestión de riesgos empresariales: COSO ERM 2017 – ISO 31000

Diferencias entre los modelos de gestión de riesgos empresariales: COSO ERM 2017 – ISO 31000

El modelo COSO ERM 2017 y la ISO 31000 son dos marcos de gestión de riesgos ampliamente utilizados en todo el mundo. Aunque comparten muchos conceptos y principios, existen algunas diferencias clave entre ellos:

1. Origen: El COSO ERM 2017 ha sido desarrollado por el Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO), una organización sin fines de lucro con sede en Estados Unidos. Por otro lado, la ISO 31000 es una norma internacional desarrollada por la Organización Internacional de Normalización (ISO).
2. Enfoque: El modelo COSO ERM 2017 se enfoca en la gestión integral de riesgos en toda la organización, considerando tanto los riesgos operativos como los estratégicos. La ISO 31000, por otro lado, tiene un enfoque más genérico y se aplica a cualquier tipo de organización, independientemente de su tamaño o industria.
3. Estructura: El COSO ERM sigue un enfoque basado en componentes, dividido en cinco elementos clave: entorno interno, fijación de objetivos, identificación de eventos, evaluación de riesgos y respuesta al riesgo. La ISO 31000 sigue una estructura más simplificada, con tres componentes principales: el marco de gestión de riesgos, el proceso de gestión de riesgos y la evaluación del riesgo.
4. Terminología: Aunque ambos marcos utilizan la terminología generalmente aceptada en la gestión de riesgos, la ISO 31000 ha simplificado su terminología para facilitar su comprensión y aplicación en diferentes contextos.
5. Documentación: La ISO 31000 proporciona una guía más detallada sobre la documentación requerida para una gestión eficaz de riesgos, incluyendo el proceso de identificación y evaluación de riesgos, la asignación de responsabilidades y la comunicación de la información relevante. El COSO ERM también proporciona orientación en términos de documentación, pero es menos detallada en comparación con la ISO 31000.

En resumen, aunque existen similitudes entre el COSO ERM 2017 y la ISO 31000 en términos de principios básicos de gestión de riesgos, hay diferencias en cuanto a su origen, enfoque, estructura, terminología y orientación documental. Ambos modelos son herramientas útiles para gestionar los riesgos de una organización, y la elección entre ellos dependerá de las necesidades y preferencias específicas de cada organización.

Es importante precisar que cualquiera de los dos modelos mencionados implica una serie de desafíos, a continuación mostramos algunos de ellos:

1. Cambio cultural: Implementar un modelo ERM requiere un cambio de cultura organizativa en relación con la gestión de riesgos. Esto implica educar y capacitar a los empleados en la importancia de identificar, evaluar y gestionar los riesgos en todas las áreas de la organización.
2. Integración de la gestión de riesgos: Un desafío común es la integración de la gestión de riesgos en los procesos y operaciones diarias de la organización. Esto implica establecer políticas y procedimientos claros y garantizar que se sigan en todas las áreas y niveles.

 

3. Gestión de datos: Un modelo ERM exitoso requiere la recopilación y análisis de una gran cantidad de datos relacionados con los riesgos. Esto puede ser desafiante, especialmente si la organización no tiene sistemas de información adecuados o si los datos están dispersos en diferentes sistemas.
4. Identificación y evaluación de riesgos: Identificar y evaluar los riesgos de manera precisa y completa es otro desafío. Esto requiere una comprensión profunda de los diferentes tipos de riesgos que pueden afectar a la organización, así como la capacidad de evaluar su probabilidad e impacto.
5. Asignación de responsabilidades: Establecer roles y responsabilidades claros en relación con la gestión de riesgos puede ser complicado. Es importante designar a los responsables de la gestión de riesgos y garantizar que tengan las habilidades y conocimientos necesarios para llevar a cabo esta tarea de manera efectiva.
6. Comunicación y reporte: Comunicar de manera efectiva los resultados de la gestión de riesgos y su impacto en la toma de decisiones es otro desafío. Esto implica hacer un seguimiento regular de los riesgos y reportarlos a los interesados internos y externos de manera clara y comprensible.

En general, la implementación de un modelo ERM exitoso requiere un compromiso y apoyo de la alta dirección, recursos adecuados y un enfoque sistemático y estructurado para la gestión de riesgos.