Elegir entre COSO e ISO 31000 es como escoger entre el té y el café. O entre un amanecer y una puesta de sol: ambos están llenos de cualidades y beneficios, los aprovechamos según nuestras necesidades y preferencias. Lo verdaderamente importante es contar con un marco de referencia para identificar, evaluar y mitigar los riesgos de la organización, esto es crucial para el éxito y la sostenibilidad.
Aunque los dos ofrecen guías y principios para la gestión de riesgos, presentan diferencias clave en su enfoque, alcance y aplicación. COSO sirve para atender los riesgos operacionales (por ejemplo, transacciones financieras) mientras que ISO 31000 se enfoca en la gestión de disciplinas más específicas (calidad, seguridad, medio ambiente…). ¿Cuál escogeríamos? Depende de la cultura de la organización y sus objetivos. Si en la empresa ya se implementan sistemas de gestión basados en normas ISO, sería coherente implementar la 31000 porque se integraría fácilmente con el resto. Si no hay implementación previa de normas ISO, podríamos pensar emplear COSO.
El tamaño y rubro de la empresa no son muy relevantes a la hora de escoger, aunque en el sector financiero lo más usual es basarse en COSO, que fue adoptado hace décadas -data de 1992- y ha alcanzado niveles de madurez importantes, mucho más que con ISO 31000, que se publicó por primera vez en 2009. Aunque lejos de competir entre sí, se complementan, porque ofrecen puntos de vistas diferentes e interesantes.
ISO 31000 y su enfoque sistemático
La norma ISO 31000: 2018 – Gestión del riesgo. Directrices, proporciona un marco genérico para la gestión de riesgos, aplicable a todo tipo de organizaciones, independientemente de su tamaño, industria o ubicación. Se basa en un enfoque sistemático que comprende:
- Identificación: Reconocer y clasificar los riesgos potenciales que podrían afectar la organización.
- Análisis: Evaluar la probabilidad e impacto de cada riesgo identificado.
- Evaluación: Priorizar los riesgos en función de su importancia para determinar las respuestas adecuadas.
- Tratamiento: Determinar e implementar acciones para mitigar, transferir, aceptar o explotar los riesgos.
- Monitoreo y revisión: Revisar continuamente la eficacia de las acciones tomadas y adaptar la estrategia de gestión de riesgos según sea necesario.
COSO ERM y su enfoque basado en el control interno
El Comité de Treadway Commission (COSO) desarrolló el marco ERM (Enterprise Risk Management) como una guía específica para la gestión de riesgos en las organizaciones. Se centra en la integración de la gestión de riesgos en los procesos de gobernanza y control interno de la organización. Los principios clave de COSO ERM incluyen:
- Establecer un entorno de gestión de riesgos: Fomentar una cultura de gestión de riesgos en toda la organización.
- Identificar riesgos: Reconocer y clasificar los riesgos potenciales que podrían afectar la organización.
- Medir riesgos: Evaluar la probabilidad e impacto de cada riesgo identificado.
- Gestionar riesgos: Implementar acciones para mitigar, transferir, aceptar o explotar los riesgos.
- Comunicar y reportar: Informar sobre los riesgos y las actividades de gestión de riesgos a las partes interesadas relevantes.
- Monitorear y revisar: Revisar continuamente la efectividad del marco ERM y adaptarlo según sea necesario.
¿Cuál elegir?
Al principio del texto hicimos alusión al enfoque, alcance, aplicación, cultura de la organización, rubro al que se dedica y sus objetivos. Y esto se debe a que ISO 31000 ofrece un enfoque más simple y directo, ideal para organizaciones de todos los tamaños. COSO ERM, al ser más detallado, puede ser más apropiado para empresas grandes y complejas con estructuras de control interno robustas.
El entorno regulatorio de los servicios financieros tiene requisitos específicos que favorecen la adopción de COSO ERM. Y si la organización ya tiene una cultura de gestión de riesgos bien establecida, este puede integrarse con los procesos existentes.
Lo crucial es usar un marco de referencia para la gestión de riesgos, sino se podría incurrir en el error de confiar demasiado en los sesgos cognitivos, como pensar que no existen riesgos en la organización porque no se ha usado ningún método y no se ha estudiado ni la estructura ni la ocurrencia de los riesgos.
Tanto COSO como ISO 31000 se basan en las mejores prácticas. De hecho, existen organizaciones que combinan ambos para extraer y combinar lo mejor de cada enfoque, aunque esta posibilidad solo debería ser puesta en práctica por expertos. Y, a pesar de que son de implementación voluntaria, los dos están ligados a la seriedad, confianza y credibilidad.
0 comentarios