Aplicar COSO ERM 2017 con criterio profesional: más allá del cumplimiento

En auditoría y gobierno corporativo es común encontrar referencias a “COSO ERM” como si se tratara de una lista de verificación. El COSO ERM 2017, emitido por el Committee of Sponsoring Organizations of the Treadway Commission, no fue una actualización menor del modelo de 2004: redefinió la manera en que el riesgo se integra a la estrategia y al desempeño. Comprenderlo implica ir más allá del diagrama y ejercer juicio profesional.

De 2004 a 2017: el cambio que aún no todos asimilan

El marco de 2004 priorizaba la identificación y mitigación de riesgos, con fuerte acento en control interno. En 2017, el riesgo pasa a ser variable estratégica: se analiza antes de aprobar la estrategia, se discute en el Consejo, se conecta con objetivos y se reconoce tanto su dimensión negativa como la oportunidad de crear valor. Aplicar 2017 con mentalidad 2004 es el error más frecuente.

Los cinco componentes, llevados a la práctica

1) Gobernanza y cultura.
El “tono desde la cima” se evidencia en decisiones, no en manuales. Actas de Junta, agenda del Comité de Auditoría y reacciones ante eventos críticos revelan si el Consejo supervisa riesgos estratégicos o solo recibe reportes financieros.

2) Estrategia y establecimiento de objetivos.
El núcleo del marco. La pregunta clave es cuándo se evalúan los riesgos. Si el análisis aparece después de aprobar la estrategia, la integración es parcial. Aquí es esencial diferenciar apetito de riesgo (nivel aceptable) y tolerancia (variación permitida).

3) Desempeño.
No basta con matrices operativas. Se espera una visión de portafolio que incorpore riesgos emergentes (ciberseguridad, dependencia de terceros, entorno regulatorio) y respuestas coherentes con el apetito definido.

4) Revisión y monitoreo.
La gestión madura es dinámica. KRIs con umbrales claros y seguimiento periódico permiten detectar cambios sustanciales en el perfil de riesgo. La revisión anual, por sí sola, es reactiva.

5) Información, comunicación y reporte.
Los reportes deben conectar riesgos, objetivos y desempeño, mostrando tendencias y decisiones. Listar riesgos sin contexto estratégico cumple la forma, no el fondo del COSO ERM 2017.

Los 20 principios como herramienta de evaluación

Más que memorizar, los 20 principios funcionan como una lista cualitativa para contrastar discurso, documentación y decisiones reales. Cuando estos tres niveles no coinciden, el problema no es técnico: es de madurez del gobierno corporativo.

Errores recurrentes que restan valor

• Confundir cumplimiento documental con efectividad.
• Ignorar la cultura y el comportamiento.
• Evaluar componentes de forma aislada.
• Omitir riesgos asociados a oportunidades estratégicas.
• No vincular riesgos con objetivos concretos.

Una escala simple de madurez

• Inicial: reacción a eventos.
• Repetible: prácticas informales, dependientes de personas.
• Definido: procesos documentados, poco integrados.
• Gestionado: riesgos integrados a estrategia y desempeño.
• Optimizado: el riesgo guía decisiones y mejora continua.

Reflexión final

COSO ERM 2017 no es un marco para “llenar informes”. Es una herramienta para evaluar cómo se toman decisiones bajo incertidumbre. La prueba definitiva no está en la matriz, sino en responder con honestidad:
¿alguna decisión estratégica cambió como resultado del análisis de riesgos?
Cuando la respuesta es afirmativa, el marco se está aplicando con criterio profesional y generando valor real

Jorge Gutiérrez Guillén, CPA
Socio Fundador | JGutierrez Auditores Consultores S.A.
Costa Rica | 🌐 consultoresjg.com
+506 2552-5433 | +506 8811-5090
[email protected]

#GestiónDeRiesgos #COSOERM #GobiernoCorporativo #AuditoríaEstratégica #JGutierrezAuditores