El documento compara las metodologías de gestión de riesgos COSO ERM e ISO 31000, destacando sus evoluciones y su impacto en los sistemas de control interno. Se argumenta que ambas metodologías son válidas y útiles, aunque la COSO ERM ha evolucionado para integrar más la gestión de riesgos en su enfoque, mientras que ISO 31000 siempre ha mantenido la gestión como un proceso dinámico e intrínseco a la organización. Se concluye que el diseño de controles debería centrarse en las fuentes de riesgo en lugar de los eventos, ya que esto puede mejorar la efectividad del sistema de control interno.

1. Autor: CPC Miguel Díaz Flores, Consultor en Gestión de Riesgos Financieros y Operacionales, con estudios de
maestría en Finanzas y Valores y más de trece (13) años de experiencia liderando equipos de auditoría y
consultoría en sectores supervisados y regulados por SBS, SMV y CGR.
COSO ERM – Enterprise Risk
Managment vs ISO 31000 Risk
Managment y su impacto en el
sistema de control interno. (1/2)
El presente artículo tiene por objetivo
comparar dos (2) herramientas para la
gestión de riesgos y como impactan en
el diseño e implementación del
sistema control interno (SCI), tales
herramientas son el COSO ERM y el
ISO 31000, y espero que sea de ayuda
para los usuarios que laboran en áreas
de gestión de riesgos, unidades de
auditoria interna, auditores financieros
externos, investigadores y estudiantes
universitarios.
¿Qué metodología es mejor para
gestionar los riesgos, COSO ERM o
ISO 31000?
Para abordar esta interrogante
describiré en forma breve la historia de
cada herramienta con énfasis en lo
que en mi opinión es su mayor impacto
en el SCI.
La metodología más antigua es la de
COSO cuya primera versión del año
1992 ya contaba con un componente
denominado “evaluación de riesgos”,
dicha versión de COSO estuvo más
enfocada al control interno, pero esta
metodología evolucionó con su versión
COSO ERM del año 2004 donde
presentó cuatro (4) componentes
denominados “establecimiento de
objetivos”, “identificación de eventos”,
“evaluación de riesgos” y “respuesta al
riesgo” y en su última versión del año
2017, COSO ERM ya no tiene los
mismos componentes de la versión
2004, en esta nueva versión
abandonaron el cubo para presentar la
gestión de riesgos dentro de tres (3)
componentes y doce (12) principios
del total de veinte (20). Esta versión
COSO ERM 2017 aborda la gestión de
riesgos como lo que es, un proceso
dinámico y flexible, en sintonía con los
objetivos y estrategias de los negocios.
Fuente: COSO ERM 2017
En mi opinión la evolución de COSO
debe dejarnos la siguiente conclusión:
“El SCI es un proceso dinámico y
flexible y debe diseñarse e
implementarse sobre la base de los
riesgos”
Por otro lado, la metodología ISO
31000 desde su primera versión del
año 2009, concibió a la gestión de
riesgos como un proceso dinámico y
flexible, y presentó cinco (5)
componentes “establecer el contexto”

2. Autor: CPC Miguel Díaz Flores, Consultor en Gestión de Riesgos Financieros y Operacionales, con estudios de
maestría en Finanzas y Valores y más de trece (13) años de experiencia liderando equipos de auditoría y
consultoría en sectores supervisados y regulados por SBS, SMV y CGR.
“identificar riesgos”, “analizar los
riesgos”, “evaluar los riesgos” y “tratar
los riesgos”.
La ISO 31000 en su última versión del
año 2018 mantiene lo esencial de su
versión 2009.
Fuente: ISO 31000: 2018
La ISO 31000 siempre ha tratado a la
gestión de riesgos como un proceso
dinámico y flexible y en su versión
2018 han reforzado la idea de que la
gestión de riesgos es algo intrínseco a
la organización, por medio del
liderazgo, la cultura, la integración con
los procesos y la implicación de los
empleados.
¿Riesgo y Control son temas
totalmente opuestos?
Para responder a esta interrogante,
voy a conceptualizar ambos temas, en
mi opinión el riesgo es en esencia una
incertidumbre que se opone al
cumplimiento de los objetivos y
ejecución de las estrategias de
negocios, mientras que el control es en
esencia una actividad que se ejecuta
para mitigar la probabilidad de
ocurrencia y el impacto del riesgo.
Si partimos de estas definiciones tanto
el riesgo y el control son temas que se
oponen el uno al otro, mientras el
riesgo puede ocasionar un daño a un
negocio, el control busca evitarlo, por
lo que podemos llegar a la siguiente
conclusión:
“Un SCI está conformado por un
conjunto de actividades de control que
deben estar orientados a mitigar los
riesgos”
¿Qué metodología tiene un mayor
impacto en el SCI?
Para responder a esta interrogante hay
que considerar que los riesgos se
presentan en diferentes niveles de una
organización, los niveles son: (i) nivel
estratégico, (ii) nivel operativo, (iii)
nivel soporte. Para efectos de dar un
ejemplo que sea sencillo de entender,
veamos la siguiente gráfica:
Proceso de abastecimiento / comercial /
producción / distribución / etc.
Fuente: Elaboración propia
Actividad
1
Actividad
2
Actividad
"n"
R1

3. Autor: CPC Miguel Díaz Flores, Consultor en Gestión de Riesgos Financieros y Operacionales, con estudios de
maestría en Finanzas y Valores y más de trece (13) años de experiencia liderando equipos de auditoría y
consultoría en sectores supervisados y regulados por SBS, SMV y CGR.
Podemos apreciar que en el proceso
se ejecutan actividades, y entre
actividad y actividad, podrían
presentarse riesgos, para seguir con el
ejemplo hemos identificado un solo
riesgo al que hemos denominado “R1”,
ante este riesgo la Gerencia y/o
dueños de proceso están en la
necesidad de diseñar un control para
que este riesgo no genere daño y para
ello se debe considerar la composición
del riesgo, veamos la siguiente gráfica:
Fuente: Elaboración propia, los elementos son
comentados en la ISO 31000: 2009 y 2018
Como podrán apreciar en la gráfica
anterior estoy indicando tres (3)
elementos que conforman al riesgo de
acuerdo a la ISO 31000, porque
recuerden que COSO en su versión
2004 no tenía los componentes
“identificación de riesgos” y “análisis
de riesgos”, COSO sólo tenía
“identificación de eventos”, sin
embargo la ISO 31000 presenta tres
(3) componentes. Como indique
anteriormente el riesgo en esencia es
incertidumbre, y dentro de los tres (3)
componentes del riesgo la
incertidumbre está representada por el
“evento”, y justamente este
componente es el que no se puede
controlar, sin embargo si podemos
controlar la fuente que genera los
eventos y el área de impacto donde se
materializan dichos eventos, veamos
la siguiente gráfica:
Fuente: Elaboración propia, los elementos son
comentados en la ISO 31000: 2009 y 2018
En la gráfica podemos apreciar que el
evento no tiene ningún control, y es
que lo incierto no se puede controlar.
Los usuarios vienen mencionando por
años, que los controles internos no
generan efectividad en los procesos, y
es verdad si se comete el error de
diseñar controles sobre la base de
eventos, pero si controlas la fuente
que genera el evento, naturalmente
disminuirás la probabilidad de
ocurrencia de dichos eventos, a estos
controles orientados a las fuentes de
riesgos se les conoce como controles
directivos y preventivos.
Pero como los riesgos tienen esa
esencia de incertidumbre y no sabes
que otros factores pueden influir en las
fuentes de riesgo, cuando el riesgo
Evento
R1
Área de
impacto
Fuente
Fuente 1 Evento 1
Área de
impacto 1
C1 C2X

4. Autor: CPC Miguel Díaz Flores, Consultor en Gestión de Riesgos Financieros y Operacionales, con estudios de
maestría en Finanzas y Valores y más de trece (13) años de experiencia liderando equipos de auditoría y
consultoría en sectores supervisados y regulados por SBS, SMV y CGR.
logra materializarse en el área de
impacto, el daño del evento también
puede controlarse a través de
controles detectivos y controles
correctivos, los cuales se deben
diseñar para detectar y corregir los
daños que el evento de riesgo pudiera
ocasionar.
De lo desarrollado en esta interrogante
debemos colegir lo siguiente:
“Un control no debe diseñarse sobre la
base de eventos, sino sobre la base de
fuentes de riesgos y áreas de impacto”
Si un usuario no tiene conocimiento
del riesgo en su entera composición, y
diseña controles sobre la base de
eventos de riesgo, estos controles en
lugar de proteger la organización,
terminan convirtiéndose en cuellos de
botella dentro de los procesos y no
generan valor.
Algunos de ustedes podrían estar
inclinándose por la ISO 31000 para
diseñar e implementar un SCI, pero por
experiencia puedo afirmar que ambas
herramientas son totalmente válidas y
útiles para el diseño e implementación
de un SCI, podría afirmar sin temor a
equivocarme que COSO ERM 2017 se
igualo con ISO 31000 2009 y 2018 al
poner énfasis en la gestión de riesgos,
abordándolo en tres (3) de sus cinco
(5) componentes y en doce (12) de sus
veinte (20) principios, tal como se
muestra en la siguiente imagen:
Fuente: COSO ERM 2017
De hecho COSO ERM 2017 ya no se
concentra únicamente en los eventos,
también considera en forma implícita a
las fuentes de riesgo y áreas de
impacto.
Muchos usuarios se sienten más
identificados con los eventos, porque
son tangibles, porque son los daños
que la organización ha recibido y sobre
la base de eventos se han
acostumbrado diseñar los controles y
su SCI en su conjunto, pero por
experiencia debo afirmar que no se
debe dejar de lado las fuentes de
riesgo y áreas de impacto, y la
herramienta que elijan, ya sea COSO
ERM 2017 o ISO 31000: 2018 queda a
discreción de la Gerencia.
Continuará …………………