Volver al blog
Gestión de Riesgos

COSO ERM 2017: framework de gestión de riesgo empresarial

COSO ERM 2017 integra gestión de riesgos con estrategia y desempeño. Aprende sus 5 componentes, 20 principios y cómo lo aplican las empresas LATAM.

Publicado 4 de julio de 20266 min de lecturaActualizado 27 de jun de 2026

COSO ERM 2017 es el framework más usado por empresas listadas y multinacionales para integrar gestión de riesgos con estrategia. Acá te explicamos sus 5 componentes, los 20 principios y cuándo usarlo en lugar de ISO 31000.

¿Qué es COSO ERM?

COSO (Committee of Sponsoring Organizations of the Treadway Commission) publicó en 2017 la versión actualizada de su framework Enterprise Risk Management — Integrating with Strategy and Performance. Es el estándar de facto en EE.UU. y reconocido globalmente para empresas que reportan al SEC, cumplen Sarbanes-Oxley o tienen gobierno corporativo formal.

Los 5 componentes de COSO ERM

  1. Gobierno y cultura — Tone at the top, valores éticos, supervisión de Junta.
  2. Estrategia y objetivos — Apetito de riesgo alineado con misión y visión.
  3. Desempeño — Identificación, evaluación, priorización y respuesta al riesgo.
  4. Revisión y evaluación — Verificación continua del desempeño.
  5. Información, comunicación y reporte — Reportes internos y externos.

Los 20 principios — versión resumida

  • 1-5: Cultura — Junta, valores, talento, compromiso ético.
  • 6-9: Estrategia — Contexto, apetito de riesgo, estrategia alterna.
  • 10-14: Desempeño — Identificar, evaluar, priorizar, responder, monitorear portafolio.
  • 15-17: Revisión — Evaluar cambios, mejorar el ERM.
  • 18-20: Reporte — Información relevante, comunicación, reporte a stakeholders.

Aplicación práctica en LATAM

Las empresas LATAM que reportan al SEC (Bancolombia, Ecopetrol, Globant, MercadoLibre) aplican COSO ERM por obligación regulatoria. Las medianas que aspiran a expansión internacional, IPO o financiamiento de fondos institucionales lo adoptan como señal de gobernanza.

COSO vs ISO 31000

  • Adopta ISO 31000 si... tu empresa es operativa, regulada AML, sector real medio, sin reporting financiero internacional. Más simple y ágil.
  • Adopta COSO ERM si... reportás al SEC, sos pública, holding con subsidiarias internacionales, o querés señales fuertes de gobierno corporativo.

¿Cómo te ayuda GRC Software?

El módulo de matriz de riesgos soporta ambos frameworks. Podés mapear tus controles SARLAFT/SAGRILAFT contra ISO 31000 o COSO ERM con un selector. Los reportes ejecutivos a Junta se generan en el formato que vos elijas.

Próximos pasos

  1. Lee también ISO 31000 y Apetito de riesgo.
  2. Empezá gratis: crear cuenta.

¿Listo para dejar de luchar con Excel?

Probá GRC Software gratis. Sin tarjeta. Activo en 5 minutos.