مدیریت ریسک یکی از موضوعات حیاتی در هر سازمان است. خوشبختانه در این خصوص دستورالعمل ها و چارچوب های مختلفی وجود دارد که سازمان ها می توانند از آنها برای مدیریت اثربخش ریسک ها استفاده کنند. دو مورد از پرکاربردترین و محبوب ترین چارچوب ها در این حوزه ISO 31000 و COSO ERM هستند. استانداردها در یک کسب وکار ضروری هستند، زیرا آنها یک خط پایه را برای جلوگیری از تعارض بر سر درست یا غلط بودن تعیین می کنند. در این مقاله، این دو چارچوب را با هم مقایسه می کنیم تا به سازمان ها کمک کنیم تفاوت ها و شباهت های کلیدی بین آنها را درک کنند.

یک چارچوب در تعریف اساسی خود، ساختار زیربنایی و پشتیبان است. بنابراین، وقتی این تعریف را به ریسک تعمیم دهیم، می توانیم چارچوب ریسک را به عنوان یک ساختار تخصصی تعریف کنیم که برای مدیریت کردن سطح ریسک در سازمان ایجاد شده است. این چارچوب در هسته خود، زیربنای تعامل افراد، فرآیندها و سیستم هاست تا به سازمان در جهت رسیدن به اهدافش کمک کند. همچنین چارچوب همراه با این تعاملات، مفاهیم دیگری مانند راهبری، حکمرانی، ارزیابی، نظارت و بهبود مستمر را نیز در بر می گیرد.

COSO مخفف کمیته سازمان های حامی کمیسیون ترد وی است که در سال 1985 توسط پنج انجمن حرفه ای تاسیس شد؛ موسسه حسابداران مدیریت، سازمان حسابداری آمریکا، مدیران مالی بین المللی، موسسه حسابداران رسمی آمریکا و موسسه حسابرسان داخلی. چارچوب COSO در سال 1992 ایجاد شد و سپس در سال 2013 به روزرسانی شد. در سال 2017 کمیته آن را به عنوان چارچوب COSO ERM (مدیریت ریسک سازمانی) به روز کرد. در سال 2004 مکعب نشان داد که چگونه COSO سه جزء اصلی خود را به هم متصل می کند. اهداف در راس، اجزا در جلو و ساختار سازمانی در کنار آن قرار دارند. چارچوب COSO دارای مجموعه ای از 20 اصل است و این اصول در پنج جزء اصلی مدیریت ریسک سازمانی، چیدمان شده اند: حاکمیت و فرهنگ، تعیین هدف و استراتژی، عملکرد، بررسی و بازنگری، اطلاعات، ارتباطات و گزارش دهی.

ISO 31000 یک استاندارد بین المللی برای مدیریت ریسک است که یک رویکرد سیستماتیک جهت اجرای استراتژی های مدیریت ریسک در سازمان ارائه می دهد تا تصمیم گیری مبتنی بر ریسک را تقویت کند. این استاندارد برای اولین بار در سال 2009 منتشر شد و بعدا در سال 2018 به روزرسانی شد. ISO 31000 بر کل فرآیند مدیریت ریسک، از جمله شناسایی، ارزیابی، پاسخ و پایش ریسک ها تمرکز دارد. این استاندارد به گونه ای طراحی شده است که می تواند توسط سازمان ها در هر اندازه و نوعی مورد استفاده قرار گیرد. علاوه بر این می توان از آن برای مدیریت ریسک ها در هر حوزه ای از سازمان استفاده کرد. استاندارد ISO 31000 دارای سه جزء اصلی است؛ اصول، چارچوب و فرآیند.

هر دو استاندارد ریسک ها را به طور گسترده بررسی می کنند. آنها ریسک پذیری و تصمیم گیری مبتنی بر ریسک را تشویق می کنند. آنها رویکردی را ارائه می دهند که به کسب و کارها اجازه می دهد ریسک ها را کنترل کنند تا بتوانند به اهداف خود برسند و رشد کنند. هر دو، فرآیندهای ERM را به خوبی پوشش می دهند. هر دو چارچوب راهنمایی هستند تا سازمان رویکرد خود را متناسب با فضای کسب و کار، در نظر بگیرند. سازمان هایی که از این دو چارچوب استفاده می کنند، می توانند سیاست ها و رویه های مدیریت ریسک خود را با استانداردهایی که در سطح جهانی شناخته شده است مقایسه کنند. هر دو چارچوب بر شناسایی و ارزیابی ریسک ها تمرکز دارند و هر دو استفاده از فرآیند مدیریت ریسک را برای مدیریت اثربخش ریسک ها توصیه می کنند. همچنین آنها استفاده از اقدامات پایش و بازنگری را برای اطمینان از مدیریت اثربخش ریسک ها توصیه می کنند. هر دو استاندارد برای مقاصد گواهینامه ای تدوین نشده اند.

COSO یک سند بسیار بزرگتر از ISO 31000 است. COSO علاوه بر 120 صفحه متن اصلی، ضمائم تکمیلی با مثال های دقیق برای به کارگیری اصولی چارچوب خود در فعالیت های روزمره منتشر کرده است. این به COSO اجازه می دهد تا مفاهیمی مانند اشتهای ریسک را به طور کامل تری از ISO توضیح دهد و مفاهیم دیگری مانند تحمل ریسک و ظرفیت را معرفی کند. COSO چارچوبی در خصوص کنترل داخلی نیز ارائه کرده است (COSO Internal Control) که در واقع می توان گفت COSO ERM سازگاری و تمرکز بیشتری در خصوص مباحث کنترل داخلی دارد. COSO بسیاری از مفاهیم را با استفاده از عناصر بصری به تصویر می کشد در حالی که ISO 31000 این طور نیست. ISO 31000 تنها 16 تا 32 صفحه دارد، مختصرتر و ساده تر است و مفاهیم ساده تری نسبت به COSO دارد.

سند ISO نسبتا عمومی تر است و راهنمایی بسیار کم و جزئی برای متخصصان ارائه می دهد. خانواده ISO31000 همچون 31010,31050, 31073 ISO در جهت تکمیل و پشتیبانی از این استاندارد منتشر شده اند. COSO عمدتا شرکت های حسابداری و حسابرسی و سازمان هایی را که کنترل داخلی را در اولویت خود قرار داده اند هدف قرار داده است، اما ISO 31000 می تواند توسط هر سازمانی استفاده شود، زیرا یک رویکرد کلی ارائه می کند. رویکرد COSO بسیار جامع است. ریسک های جدید، مانند توسعه مستمر فناوری و ارتباط روزافزون بین ریسک ها، جایگاه مهمی در چارچوب دارند و بر ارتباط بین ریسک، استراتژی و عملکرد تاکید می کند. ISO 31000 بر اصول و رهنمودهایی برای همه ریسک هایی که هر سازمانی با آن مواجه است تمرکز دارد.

چارچوب های استاندارد، دستورالعمل های پایه را ارائه می دهند و نقطه شروعی هستند که سازمان ها می توانند برای توسعه فرآیندها و رویه های خود از آن استفاده کنند. اینکه کدام سند بهتر است تا حد زیادی به نوع کسب وکار، محیط صنعت و الزامات قانون گذاران آن منطقه بستگی دارد. سازمان ها باید هر دو سند را بخوانند و قبل از اینکه تصمیم بگیرند از کدام چارچوب استفاده کنند، باید محتوای آنها را درک کرده و هدف از استقرار و میزان توسعه آن را مشخص کنند. به هر حال جهت جمع بندی می توان به دو مورد زیر اشاره کرد:

سازمان هایی که در ساختار حسابرسی و کنترل داخلی خود از چارچوب COSO استفاده می کنند تلاش خود را در جهت استقرار COSO ERM به کارگیرند تا از هم افزایی بیشتر بین این دو چارچوب COSO بهره مند شوند. در سازمان هایی که تمایل مدیریت به بیشتر به سمت استفاده از استانداردهای ایزو است در قدم اول استقرار استاندارد ISO 31000 گزینه مطلوب تری است و نهادینه سازی این سیستم در سایر سیستم های مدیریتی ساده تر و سریع تر صورت می پذیرد.جهت استقرار COSO سازمان ها باید از یک سطح بلوغ فرایندی و سیستمی برخوردار باشند و اسنادی همچون باید سند مدیریت استراتژیک سازمان مبنای اصلی در استقرار این استاندارد قرار خواهد گرفت. در سازمان های کوچک تر یا با سطح بلوغ کمتر یا سازمان هایی که برای اولین بار چارچوب مدیریت ریسک خود را می سازند، استفاده از چارچوب ISO 31000 گزینه معقول تری است.