¿Qué es el modelo COSO?
COSO (Committee of Sponsoring Organizations of the Treadway Commission) es una organización compuesta por organismos privados, establecida en los EE. UU., dedicada a proporcionar un modelo común de orientación a las entidades sobre aspectos fundamentales de:
- gestión ejecutiva y de gobierno,
- ética empresarial,
- control interno,
- gestión del riesgo empresarial,
- control del fraude, y
- presentación de informes financieros.
Evolución del modelo COSO
1992: publicación del Internal Control – Integrated Framework (Informe COSO o COSO I), un marco integrado para ayudar a las empresas a evaluar y mejorar sus sistemas de control interno.
2004: se publica el modelo COSO ERM (Enterprise Risk Management – Integrated Framework), o COSO II, que permite a las compañías mejorar su gestión de control interno mediante un proceso más completo de gestión del riesgo.
2013: publicación del modelo COSO III, una actualización del marco de control interno de 1992.
2017: publicación del modelo COSO ERM 2017 (Enterprise Risk Management – Integrating with Strategy and Performance), que mejora el marco de gestión de riesgos para permitir una mayor cobertura de los riesgos a los que se enfrentan las organizaciones y lo conecta directamente con la estrategia y el desempeño.
Representación del modelo COSO ERM 2017

Fuente: coso.org, presentación «2017 ERM Slide Presentation»
Componentes del modelo COSO ERM
Los cinco componentes del COSO ERM 2017 funcionan de forma interrelacionada para integrar la gestión del riesgo con la estrategia y el desempeño:
¿Qué es la metodología ERM de gestión de riesgos empresariales?
La gestión de riesgos empresariales (ERM – Enterprise Risk Management, por sus siglas en inglés) es una estrategia empresarial basada en planes que tiene como objetivo identificar, evaluar y prepararse para cualquier riesgo o evento que pueda afectar, tanto positiva como negativamente, a las operaciones y los objetivos de una organización.
El objetivo del ERM es evaluar los riesgos relevantes para la compañía (financieros, estratégicos y operativos), priorizarlos y tomar decisiones informadas sobre cómo manejarlos. Los planes de gestión de riesgos que se crean estiman el impacto de varias amenazas y describen las posibles respuestas si una de estas amenazas se materializa.
Un proceso de ERM eficaz debería ser una herramienta estratégica importante para los líderes del negocio. Los conocimientos sobre los riesgos que surgen del proceso de ERM deben ser un insumo importante para el plan estratégico de la organización.
Debido a que los riesgos surgen y evolucionan constantemente, es importante comprender que el ERM es un proceso que debe estar activo y vivo, con actualizaciones y mejoras continuas.
La estructura del marco de gestión de riesgos corporativos se aplica independientemente del tamaño de la institución o de cómo esta desee categorizar sus riesgos, y está diseñada para ayudar a la gerencia y a las juntas directivas a gestionar adecuadamente los siguientes aspectos principales:
- Identificación de todos los riesgos que puedan afectar a la estrategia y las operaciones comerciales, y la interrelación entre ellos.
- Nivel de riesgo asumible.
- Cómo gestionar los riesgos (cultura, gobierno y políticas).
- Cómo obtener la información necesaria para gestionar los riesgos.
- Cómo controlar los riesgos.
- Cómo medir y evaluar los distintos riesgos.
- Qué respuesta dar ante los riesgos.
- Qué pruebas de respuesta ante escenarios perjudiciales son las más adecuadas.
Uno de los principales modelos desarrollados para una gestión eficaz de riesgos empresariales (ERM) es actualmente el modelo COSO ERM 2017.
Beneficios para las organizaciones
COSO ERM en 2026: hacia un ERM más estratégico
El marco de referencia sigue siendo el COSO ERM 2017, pero COSO ha seguido publicando guías complementarias que conviene conocer, porque marcan hacia dónde evoluciona la práctica de la gestión de riesgos:
- De la guía a la acción (2026): en mayo de 2026, COSO publicó From Guidance to Action: Exploring Practical Enterprise Risk Management, un documento orientado a reforzar la relevancia estratégica y el impacto real de los programas de ERM. Un dato revelador de su encuesta global: aunque el 98% de los profesionales cree que el ERM debería tener un papel más estratégico, solo un 7% afirma tenerlo plenamente integrado en sus decisiones de estrategia. El reto, por tanto, ya no es qué es el ERM, sino cómo hacerlo operativo en el día a día.
- Datos alternativos (2024): la guía Alternative Data: The COSO Perspective aborda cómo integrar fuentes de datos no tradicionales —analítica de redes sociales, sensores IoT, web scraping o indicadores ESG— en el ERM sin introducir riesgos inasumibles de calidad, privacidad o sesgo del dato.
- Gobernanza de la IA: la inteligencia artificial es la categoría de riesgo emergente que el ERM debe incorporar (riesgo de modelo, gobierno del dato, sesgo y shadow AI). El enfoque por principios de COSO encaja con marcos complementarios como el NIST AI RMF.
La lectura para las organizaciones es clara: el valor del COSO ERM no está en documentarlo, sino en usarlo como herramienta de decisión que conecte riesgo, estrategia y desempeño.
Cómo te ayudamos desde GlobalSuite Solutions
En GlobalSuite Solutions contamos con el software GlobalSuite®, íntegramente desarrollado por nuestro equipo, que permite la implantación, gestión y mantenimiento de un Sistema de Gestión de Riesgos a partir de los objetivos establecidos. Asimismo, permite la evaluación y el seguimiento del tratamiento del riesgo definido, ayudándote a llevar el COSO ERM del marco teórico a la operativa diaria.
¿Quieres ver cómo funcionaría en tu organización? Solicita una demo y te lo enseñamos.

