بررسی استاندارد کوزو و ایزو در مدیریت ریسک
چارچوب ریسک چیست؟
یک چارچوب در تعریف اساسی خود، ساختار زیربنایی و پشتیبان است. بنابراین، وقتی این تعریف را به ریسک تعمیم دهیم، میتوانیم چارچوب ریسک را به عنوان یک ساختار تخصصی تعریف کنیم که برای مدیریت کردن سطح ریسک در سازمان ایجاد شده است. این چارچوب در هسته خود، زیربنای تعامل افراد، فرآیندها و سیستمهاست تا به سازمان در جهت رسیدن به اهدافش کمک کند. همچنین چارچوب همراه با این تعاملات، مفاهیم دیگری مانند راهبری، حکمرانی، ارزیابی، نظارت و بهبود مستمر را نیز در بر میگیرد.
چارچوب COSO ERM چیست؟
COSO مخفف کمیته سازمانهای حامی کمیسیون ترد وی است که در سال 1985 توسط پنج انجمن حرفهای تاسیس شد؛ موسسه حسابداران مدیریت، سازمان حسابداری آمریکا، مدیران مالی بینالمللی، موسسه حسابداران رسمی آمریکا و موسسه حسابرسان داخلی. چارچوب COSO در سال 1992 ایجاد شد و سپس در سال 2013 بهروزرسانی شد. در سال 2017 کمیته آن را به عنوان چارچوب COSO ERM (مدیریت ریسک سازمانی) بهروز کرد. در سال 2004 مکعب نشان داد که چگونه COSO سه جزء اصلی خود را به هم متصل میکند. اهداف در راس، اجزا در جلو و ساختار سازمانی در کنار آن قرار دارند. چارچوب COSO دارای مجموعهای از 20 اصل است و این اصول در پنج جزء اصلی مدیریت ریسک سازمانی، چیدمان شدهاند: حاکمیت و فرهنگ، تعیین هدف و استراتژی، عملکرد، بررسی و بازنگری، اطلاعات، ارتباطات و گزارشدهی.
چارچوب ISO 31000 چیست؟
ISO 31000 یک استاندارد بینالمللی برای مدیریت ریسک است که یک رویکرد سیستماتیک جهت اجرای استراتژیهای مدیریت ریسک در سازمان ارائه میدهد تا تصمیمگیری مبتنی بر ریسک را تقویت کند. این استاندارد برای اولین بار در سال 2009 منتشر شد و بعدا در سال 2018 بهروزرسانی شد. ISO 31000 بر کل فرآیند مدیریت ریسک، از جمله شناسایی، ارزیابی، پاسخ و پایش ریسکها تمرکز دارد. این استاندارد به گونهای طراحی شده است که میتواند توسط سازمانها در هر اندازه و نوعی مورد استفاده قرار گیرد. علاوه بر این میتوان از آن برای مدیریت ریسکها در هر حوزهای از سازمان استفاده کرد. استاندارد ISO 31000 دارای سه جزء اصلی است؛ اصول، چارچوب و فرآیند.
شباهتها
هر دو استاندارد ریسکها را به طور گسترده بررسی میکنند. آنها ریسکپذیری و تصمیمگیری مبتنی بر ریسک را تشویق میکنند. آنها رویکردی را ارائه میدهند که به کسبوکارها اجازه میدهد ریسکها را کنترل کنند تا بتوانند به اهداف خود برسند و رشد کنند. هر دو، فرآیندهای ERM را بهخوبی پوشش میدهند. هر دو چارچوب راهنمایی هستند تا سازمان رویکرد خود را متناسب با فضای کسبوکار، در نظر بگیرند. سازمانهایی که از این دو چارچوب استفاده میکنند، میتوانند سیاستها و رویههای مدیریت ریسک خود را با استانداردهایی که در سطح جهانی شناخته شده است مقایسه کنند. هر دو چارچوب بر شناسایی و ارزیابی ریسکها تمرکز دارند و هر دو استفاده از فرآیند مدیریت ریسک را برای مدیریت اثربخش ریسکها توصیه میکنند. همچنین آنها استفاده از اقدامات پایش و بازنگری را برای اطمینان از مدیریت اثربخش ریسکها توصیه میکنند. هر دو استاندارد برای مقاصد گواهینامهای تدوین نشدهاند.
تفاوت
COSO یک سند بسیار بزرگتر از ISO 31000 است. COSO علاوه بر 120 صفحه متن اصلی، ضمائم تکمیلی با مثالهای دقیق برای بهکارگیری اصولی چارچوب خود در فعالیتهای روزمره منتشر کرده است. این به COSO اجازه میدهد تا مفاهیمی مانند اشتهای ریسک را به طور کاملتری از ISO توضیح دهد و مفاهیم دیگری مانند تحمل ریسک و ظرفیت را معرفی کند. COSO چارچوبی در خصوص کنترل داخلی نیز ارائه کرده است (COSO Internal Control) که در واقع میتوان گفت COSO ERM سازگاری و تمرکز بیشتری در خصوص مباحث کنترل داخلی دارد. COSO بسیاری از مفاهیم را با استفاده از عناصر بصری به تصویر میکشد درحالیکه ISO 31000 اینطور نیست. ISO 31000 تنها 16 تا 32 صفحه دارد، مختصرتر و سادهتر است و مفاهیم سادهتری نسبت به COSO دارد.
سند ISO نسبتا عمومیتر است و راهنمایی بسیار کم و جزئی برای متخصصان ارائه میدهد. خانواده ISO31000 همچون 31010,31050, 31073 ISO در جهت تکمیل و پشتیبانی از این استاندارد منتشر شدهاند. COSO عمدتا شرکتهای حسابداری و حسابرسی و سازمانهایی را که کنترل داخلی را در اولویت خود قرار دادهاند هدف قرار داده است، اما ISO 31000 میتواند توسط هر سازمانی استفاده شود، زیرا یک رویکرد کلی ارائه میکند. رویکرد COSO بسیار جامع است. ریسکهای جدید، مانند توسعه مستمر فناوری و ارتباط روزافزون بین ریسکها، جایگاه مهمی در چارچوب دارند و بر ارتباط بین ریسک، استراتژی و عملکرد تاکید میکند. ISO 31000 بر اصول و رهنمودهایی برای همه ریسکهایی که هر سازمانی با آن مواجه است تمرکز دارد.
جمعبندی
چارچوبهای استاندارد، دستورالعملهای پایه را ارائه میدهند و نقطه شروعی هستند که سازمانها میتوانند برای توسعه فرآیندها و رویههای خود از آن استفاده کنند. اینکه کدام سند بهتر است تا حد زیادی به نوع کسبوکار، محیط صنعت و الزامات قانونگذاران آن منطقه بستگی دارد. سازمانها باید هر دو سند را بخوانند و قبل از اینکه تصمیم بگیرند از کدام چارچوب استفاده کنند، باید محتوای آنها را درک کرده و هدف از استقرار و میزان توسعه آن را مشخص کنند. به هر حال جهت جمعبندی میتوان به دو مورد زیر اشاره کرد:
سازمانهایی که در ساختار حسابرسی و کنترل داخلی خود از چارچوب COSO استفاده میکنند تلاش خود را در جهت استقرار COSO ERM به کارگیرند تا از همافزایی بیشتر بین این دو چارچوب COSO بهرهمند شوند. در سازمانهایی که تمایل مدیریت بیشتر به سمت استفاده از استانداردهای ایزو است در قدم اول استقرار استاندارد ISO 31000 گزینه مطلوبتری است و نهادینهسازی این سیستم در سایر سیستمهای مدیریتی سادهتر و سریعتر صورت میپذیرد.جهت استقرار COSO سازمانها باید از یک سطح بلوغ فرایندی و سیستمی برخوردار باشند و اسنادی همچون سند مدیریت استراتژیک سازمان مبنای اصلی در استقرار این استاندارد قرار خواهد گرفت. در سازمانهای کوچکتر یا با سطح بلوغ کمتر یا سازمانهایی که برای اولین بار چارچوب مدیریت ریسک خود را میسازند، استفاده از چارچوب ISO 31000 گزینه معقولتری است.