Comparativa

ISO 31000 vs COSO ERM: marcos de gestión de riesgos empresariales

Análisis comparativo entre ISO 31000 y COSO ERM. Principios, estructura, enfoque, integración con gobierno corporativo y aplicación en Latinoamérica.

ISO 31000 y COSO ERM son los dos marcos de referencia dominantes para la gestión de riesgos empresariales. ISO 31000:2018 es una norma internacional de directrices (no certificable) publicada por ISO. El marco COSO ERM (actualizado en 2017) fue desarrollado por el Committee of Sponsoring Organizations of the Treadway Commission, con fuerte arraigo en el sector financiero y de auditoría. Esta comparación técnica orienta la selección del marco más adecuado según el contexto organizacional.

Comparacion detallada

Aspecto	ISO 31000:2018	COSO ERM (2017)
Enfoque filosófico	Enfoque basado en principios con 8 principios fundamentales (integrado, estructurado, personalizado, inclusivo, dinámico, mejor información disponible, factores humanos y culturales, mejora continua). Flexible y adaptable a cualquier tipo de organización.	Enfoque basado en componentes integrados con la estrategia y el desempeño organizacional. Define 5 componentes interrelacionados y 20 principios. Orientado a proteger y crear valor para las partes interesadas en el contexto de la estrategia empresarial.
Estructura	Tres elementos: principios (el por qué), marco de referencia (el cómo organizacional) y proceso (el cómo operativo: comunicación, alcance/contexto, evaluación de riesgos, tratamiento, monitoreo y revisión, registro e informe).	Cinco componentes: gobernanza y cultura, estrategia y establecimiento de objetivos, desempeño (identificación, evaluación y priorización de riesgos), revisión y monitoreo, e información/comunicación/reporte.
Certificabilidad	No es certificable. Es una norma de directrices que proporciona principios y un marco para la gestión de riesgos. Se utiliza como referencia para diseñar el proceso de gestión de riesgos de la organización.	No es certificable directamente. Sin embargo, está estrechamente vinculado con los requisitos de control interno bajo SOX (Sarbanes-Oxley Act) y puede ser evaluado por auditores externos en el contexto de auditorías financieras.
Sector predominante	Aplicación universal. Utilizada en todos los sectores: gobierno, manufactura, servicios, salud, tecnología. Especialmente adoptada por organizaciones que ya implementan otras normas ISO y buscan coherencia metodológica.	Predomina en el sector financiero, empresas cotizadas en bolsa y organizaciones sujetas a regulaciones tipo SOX. Amplia adopción en Norteamérica y creciente presencia en Latinoamérica a través de reguladores bancarios.
Apetito de riesgo	Aborda el concepto de criterios de riesgo que incluyen umbrales de tolerancia, pero no utiliza explícitamente el término 'apetito de riesgo'. La organización define sus propios criterios según el contexto.	El apetito de riesgo es un concepto central y explícito. COSO ERM requiere que la alta dirección defina el apetito de riesgo alineado con la estrategia y utilice este como filtro para la toma de decisiones.

Veredicto del auditor

La elección entre ISO 31000 y COSO ERM depende del contexto organizacional. Para organizaciones con un ecosistema ISO existente (9001, 27001, 14001), ISO 31000 ofrece coherencia metodológica y un lenguaje común de riesgos. Para entidades financieras, empresas cotizadas o sujetas a regulación SOX, COSO ERM provee la estructura de gobierno corporativo que los reguladores esperan. La combinación de ambos marcos es posible y frecuente: ISO 31000 como proceso operativo de gestión de riesgos y COSO ERM como marco de gobernanza estratégica.

Preguntas frecuentes

Ninguno es certificable directamente. ISO 31000 es una norma de directrices y COSO ERM es un marco de referencia. Sin embargo, ISO 31000 se referencia en normas certificables como ISO 27001 e ISO 22301 para sus procesos de gestión de riesgos, y COSO ERM se evalúa indirectamente en auditorías SOX.

Depende del sector. Para empresas industriales, tecnológicas o de servicios que ya operan con normas ISO, la recomendación es ISO 31000 por la coherencia con su ecosistema de gestión. Para bancos, aseguradoras y empresas cotizadas con accionistas norteamericanos, COSO ERM es el marco esperado por los reguladores. En ambos casos, un diagnóstico previo permite determinar el marco más adecuado.

Sí. Es una práctica frecuente en organizaciones grandes. COSO ERM se utiliza como marco de gobernanza de riesgos a nivel de directorio y alta gerencia, mientras que ISO 31000 se aplica como proceso operativo de gestión de riesgos a nivel de unidades de negocio y proyectos. Los conceptos son complementarios y no contradictorios.

Guia

Auditoría de certificación fallida: diagnóstico de no conformidades y plan de recuperación

Ver

Disponible ahora

¿Listo para actuar sobre estos hallazgos?

¿Necesitas una evaluacion en este ambito?

Solicitar diagnostico→Ver investigaciones→

Loading content…

Aspecto

ISO 31000:2018

COSO ERM (2017)

Enfoque filosófico

Enfoque basado en principios con 8 principios fundamentales (integrado, estructurado, personalizado, inclusivo, dinámico, mejor información disponible, factores humanos y culturales, mejora continua). Flexible y adaptable a cualquier tipo de organización.

Enfoque basado en componentes integrados con la estrategia y el desempeño organizacional. Define 5 componentes interrelacionados y 20 principios. Orientado a proteger y crear valor para las partes interesadas en el contexto de la estrategia empresarial.

Estructura

Tres elementos: principios (el por qué), marco de referencia (el cómo organizacional) y proceso (el cómo operativo: comunicación, alcance/contexto, evaluación de riesgos, tratamiento, monitoreo y revisión, registro e informe).

Cinco componentes: gobernanza y cultura, estrategia y establecimiento de objetivos, desempeño (identificación, evaluación y priorización de riesgos), revisión y monitoreo, e información/comunicación/reporte.

Certificabilidad

No es certificable. Es una norma de directrices que proporciona principios y un marco para la gestión de riesgos. Se utiliza como referencia para diseñar el proceso de gestión de riesgos de la organización.

No es certificable directamente. Sin embargo, está estrechamente vinculado con los requisitos de control interno bajo SOX (Sarbanes-Oxley Act) y puede ser evaluado por auditores externos en el contexto de auditorías financieras.

Sector predominante

Aplicación universal. Utilizada en todos los sectores: gobierno, manufactura, servicios, salud, tecnología. Especialmente adoptada por organizaciones que ya implementan otras normas ISO y buscan coherencia metodológica.

Predomina en el sector financiero, empresas cotizadas en bolsa y organizaciones sujetas a regulaciones tipo SOX. Amplia adopción en Norteamérica y creciente presencia en Latinoamérica a través de reguladores bancarios.

Apetito de riesgo

Aborda el concepto de criterios de riesgo que incluyen umbrales de tolerancia, pero no utiliza explícitamente el término 'apetito de riesgo'. La organización define sus propios criterios según el contexto.

El apetito de riesgo es un concepto central y explícito. COSO ERM requiere que la alta dirección defina el apetito de riesgo alineado con la estrategia y utilice este como filtro para la toma de decisiones.

Veredicto del auditor

Preguntas frecuentes

ISO 31000 vs COSO ERM: marcos de gestión de riesgos empresariales

Comparacion detallada

Veredicto del auditor

Preguntas frecuentes

Contenido relacionado

Cómo implementar ISO 27001 en tu organización

Cómo implementar ISO 42001 para gestión de IA

Gestion de riesgos

ISO 31000

Shadow AI: uso de inteligencia artificial sin gobernanza formal

Auditoría de certificación fallida: diagnóstico de no conformidades y plan de recuperación

¿Listo para actuar sobre estos hallazgos?

ISO 31000 vs COSO ERM: marcos de gestión de riesgos empresariales

Comparacion detallada

Veredicto del auditor

Preguntas frecuentes

Contenido relacionado

Cómo implementar ISO 27001 en tu organización

Cómo implementar ISO 42001 para gestión de IA

Gestion de riesgos

ISO 31000

Shadow AI: uso de inteligencia artificial sin gobernanza formal

Auditoría de certificación fallida: diagnóstico de no conformidades y plan de recuperación

¿Listo para actuar sobre estos hallazgos?