ISO 31000: 2018 para la Gestión de Riesgos y su interrelación con COSO ERM 2017

Recientemente se han actualizado estos modelos de referencia para la Gestión de Riesgos y el Control Interno.

Si bien la norma ISO 31000 continúa siendo la guía principal para la gestión de riesgos en las Organizaciones, dada la amplitud con la cual abordan los lineamientos y actividades, es importante también considerar los elementos que propone el modelo COSO ERM 2017, los cuales refuerzan la filosofía de incrementar el valor de las organizaciones a través de una adecuada gestión de riesgos empresariales.

A continuación, mencionamos los principales elementos de cada uno de estos dos modelos:

ISO 31000: 2018

Presenta de manera exhaustiva los lineamentos y procesos para su adecuada implementación y ejecución.

Constituye la principal base sobre la cual se estructuran los diferentes Sistemas de Gestión de Riesgos actuales (Por ejemplo: SARLAFT).

Refuerza la importancia del compromiso y liderazgo de la Gerencia como factor clave de éxito en el proceso de implementación, fortalecimiento y sostenimiento de la cultura de Gestión de Riesgos.

Se simplificaron los principios base para una adecuada estructura de un Sistema de Gestión Riesgos. Quedaron así:

  1. Integración: Concebir la gestión de riesgos como un todo, enfoque sistémico, y no por unidades independientes o silos.
  2. Estructurado: Un sistema que permita contar con resultados consistentes y comparables, que se pueda medir su evolución.
  3. Adaptable: Sistema de riesgos alineado al contexto organizacional, a sus necesidades y capacidades.
  4. Inclusivo: Considerar no solamente a toda la organización, sino también a todas las partes interesadas, logrando tener una mayor concepción de los riesgos que se deben gestionar.
  5. Dinámico y que se anticipe a los cambios, pensamiento proactivo y prospectivo frente al riesgo.
  6. Mejor información disponible: Importancia de generar información clara, oportuna y segura para el análisis de riesgos y por tanto una adecuada toma de decisiones. Énfasis en confidencialidad de la información.
  7. Considerar los factores humanos y culturales como agentes importantes generadores de riesgos tanto internos como externos.
  8. Mejora continua: Proceso iterativo, mejora permanente.

La gestión de riesgos es concebida como una herramienta estratégica para la toma de decisiones y como generadora de valor para la organización.

La comunicación de los riesgos debe conllevar a la generación de mayor consciencia de los riesgos en todos los niveles de la organización.

Las fases del proceso de gestión de riesgos siguen siendo las mismas, con relación a la ISO 31000: 2009.

COSO ERM - 2017

Esla versión más actualizada del marco de control interno utilizado por las organizaciones para optimizar los sistemas de control interno.

Realza la gestión de los riesgos como principal elemento para la gestión del Control Interno, de allí su nuevo nombre COSO ERM.

Concibe la gestión de riesgos como un proceso más integrado a toda la Organización, desde donde debe nacer la estrategia corporativa y el modelo de ejecución.

Se procura que estos riesgos no solo sean controlados sino también “gestionados” y alineados con la estrategia y con los objetivos, todo en función del rendimiento de la organización.

Contiene 5 principios como base de la implementación:

  1. Gobierno y Cultura: La Gerencia es la encargada de establecer el tono de la organización en relación con la cultura de riesgos y entendimiento del riesgo en todos los niveles.
  2. Establecimiento de estrategias y objetivos: El establecimiento de la estrategia considera la gestión de los riesgos y el establecimiento de los objetivos organizacionales. Se establece a su vez el apetito de riesgo, alineado a dicha estrategia. Los objetivos organizacionales ponen en práctica la estrategia, mientras sirven como base para la identificación, evaluación y respuesta a los riesgos.
  3. Desempeño: Los riesgos de mayor impacto deben ser identificados y evaluados. Estos deben ser clasificados en función de su impacto en relación con el apetito de riesgo que se ha definido. Los resultados de la evolución de estos riesgos deben ser reportados a las partes interesadas.
  4. Revisión: La organización debe conocer que tan bien están funcionando los riesgos, así los cambios para establecer las acciones y determinar necesidades de nuevas revisiones.
  5. Información, comunicación y reporte: La gestión de riesgos implica un proceso continuo de obtención de información interna y externa, necesaria para analizar los riesgos, y debe fluir y ser comunicada en toda la organización.

La gestión de riesgos anteriormente era concebida como una herramienta para la “protección de valor”, ahora es una estrategia que ayuda a crear valor a los accionistas.

El nuevo marco conceptual de COSO ERM reemplaza el cubo con los componentes, objetivos y unidades de negocio, hacia un esquema que contempla las estrategias, objetivos y ejecución, a lo largo y ancho de toda la organización: