چارچوب ریسک چیست؟

یک چارچوب در تعریف اساسی خود، ساختار زیربنایی و پشتیبان است. بنابراین، وقتی این تعریف را به ریسک تعمیم دهیم، می‌توانیم چارچوب ریسک را به عنوان یک ساختار تخصصی تعریف کنیم که برای مدیریت کردن سطح ریسک در سازمان‌ ایجاد شده است. این چارچوب در هسته خود، زیربنای تعامل افراد، فرآیندها و سیستم‌هاست تا به سازمان در جهت رسیدن به اهدافش کمک کند. همچنین چارچوب همراه با این تعاملات، مفاهیم دیگری مانند راهبری، حکمرانی، ارزیابی، نظارت و بهبود مستمر را نیز در بر می‌گیرد.

چارچوب COSO ERM چیست؟

COSO مخفف کمیته سازمان‌های حامی کمیسیون ترد وی است که در سال 1985 توسط پنج انجمن حرفه‌ای تاسیس شد؛ موسسه حسابداران مدیریت، سازمان حسابداری آمریکا، مدیران مالی بین‌المللی، موسسه حسابداران رسمی آمریکا و موسسه حسابرسان داخلی. چارچوب COSO در سال 1992 ایجاد شد و سپس در سال 2013 به‌روزرسانی شد. در سال 2017 کمیته آن را به عنوان چارچوب COSO ERM (مدیریت ریسک سازمانی) به‌روز کرد. در سال 2004 مکعب نشان داد که چگونه COSO سه جزء اصلی خود را به هم متصل می‌کند. اهداف در راس، اجزا در جلو و ساختار سازمانی در کنار آن قرار دارند. چارچوب COSO دارای مجموعه‌ای از 20 اصل است و این اصول در پنج جزء اصلی مدیریت ریسک سازمانی، چیدمان شده‌اند: حاکمیت و فرهنگ، تعیین هدف و استراتژی، عملکرد، بررسی و بازنگری، اطلاعات، ارتباطات و گزارش‌دهی.

چارچوب ISO 31000 چیست؟

ISO 31000 یک استاندارد بین‌المللی برای مدیریت ریسک است که یک رویکرد سیستماتیک جهت اجرای استراتژی‌های مدیریت ریسک در سازمان ارائه می‌دهد تا تصمیم‌گیری مبتنی بر ریسک را تقویت کند. این استاندارد برای اولین بار در سال 2009 منتشر شد و بعدا در سال 2018 به‌روزرسانی شد. ISO 31000 بر کل فرآیند مدیریت ریسک، از جمله شناسایی، ارزیابی، پاسخ و پایش ریسک‌ها تمرکز دارد. این استاندارد به گونه‌ای طراحی شده است که می‌تواند توسط سازمان‌ها در هر اندازه و نوعی مورد استفاده قرار گیرد. علاوه بر این می‌توان از آن برای مدیریت ریسک‌ها در هر حوزه‌ای از سازمان استفاده کرد. استاندارد ISO 31000 دارای سه جزء اصلی است؛ اصول، چارچوب و فرآیند.

شباهت‌ها

هر دو استاندارد ریسک‌ها را به طور گسترده بررسی می‌کنند. آنها ریسک‌پذیری و تصمیم‌گیری مبتنی بر ریسک را تشویق می‌کنند. آنها رویکردی را ارائه می‌دهند که به کسب‌و‌کارها اجازه می‌‌دهد ریسک‌ها را کنترل کنند تا بتوانند به اهداف خود برسند و رشد کنند. هر دو، فرآیندهای ERM را به‌خوبی پوشش می‌دهند. هر دو چارچوب راهنمایی هستند تا سازمان رویکرد خود را متناسب با فضای کسب‌و‌کار، در نظر بگیرند. سازمان‌هایی که از این دو چارچوب استفاده می‌‌کنند، می‌توانند سیاست‌ها و رویه‌های مدیریت ریسک خود را با استانداردهایی که در سطح جهانی شناخته شده است مقایسه کنند. هر دو چارچوب بر شناسایی و ارزیابی ریسک‌ها تمرکز دارند و هر دو استفاده از فرآیند مدیریت ریسک را برای مدیریت اثربخش ریسک‌ها توصیه می‌کنند. همچنین آنها استفاده از اقدامات پایش و بازنگری را برای اطمینان از مدیریت اثربخش ریسک‌ها توصیه می‌کنند. هر دو استاندارد برای مقاصد گواهینامه‌ای تدوین نشده‌اند.

تفاوت

COSO یک سند بسیار بزرگتر از ISO 31000 است. COSO علاوه بر 120 صفحه متن اصلی، ضمائم تکمیلی با مثال‌های دقیق برای به‌کارگیری اصولی چارچوب خود در فعالیت‌های روزمره منتشر کرده است. این به COSO اجازه می‌دهد تا مفاهیمی مانند اشتهای ریسک را به طور کامل‌تری از ISO توضیح دهد و مفاهیم دیگری مانند تحمل ریسک و ظرفیت را معرفی کند. COSO چارچوبی در خصوص کنترل داخلی نیز ارائه کرده است (COSO Internal Control) که در واقع می‌توان گفت COSO ERM سازگاری و تمرکز بیشتری در خصوص مباحث کنترل داخلی دارد. COSO بسیاری از مفاهیم را با استفاده از عناصر بصری به تصویر می‌کشد در‌حالی‌که ISO 31000 این‌طور نیست. ISO 31000 تنها 16 تا 32 صفحه دارد، مختصرتر و ساده‌تر است و مفاهیم ساده‌تری نسبت به COSO دارد.

سند ISO نسبتا عمومی‌تر است و راهنمایی بسیار کم و جزئی برای متخصصان ارائه می‌دهد. خانواده ISO31000 همچون 31010,31050, 31073 ISO در جهت تکمیل و پشتیبانی از این استاندارد منتشر شده‌اند. COSO عمدتا شرکت‌های حسابداری و حسابرسی و سازمان‌هایی را که کنترل داخلی را در اولویت خود قرار داده‌اند هدف قرار داده است، اما ISO 31000 می‌تواند توسط هر سازمانی استفاده شود، زیرا یک رویکرد کلی ارائه می‌کند. رویکرد COSO بسیار جامع است. ریسک‌های جدید، مانند توسعه مستمر فناوری و ارتباط روزافزون بین ریسک‌ها، جایگاه مهمی در چارچوب دارند و بر ارتباط بین ریسک، استراتژی و عملکرد تاکید می‌کند. ISO 31000 بر اصول و رهنمودهایی برای همه ریسک‌هایی که هر سازمانی با آن مواجه است تمرکز دارد.

جمع‌بندی

چارچوب‌های استاندارد، دستورالعمل‌های پایه را ارائه می‌دهند و نقطه شروعی هستند که سازمان‌ها می‌توانند برای توسعه فرآیندها و رویه‌های خود از آن استفاده کنند. اینکه کدام سند بهتر است تا حد زیادی به نوع کسب‌وکار، محیط صنعت و الزامات قانون‌گذاران آن منطقه بستگی دارد. سازمان‌ها باید هر دو سند را بخوانند و قبل از اینکه تصمیم بگیرند از کدام چارچوب استفاده کنند، باید محتوای آنها را درک کرده و هدف از استقرار و میزان توسعه آن را مشخص کنند. به هر حال جهت جمع‌بندی می‌توان به دو مورد زیر اشاره کرد:

سازمان‌هایی که در ساختار حسابرسی و کنترل داخلی خود از چارچوب COSO استفاده می‌کنند تلاش خود را در جهت استقرار COSO ERM به کارگیرند تا از هم‌افزایی بیشتر بین این دو چارچوب COSO بهره‌مند شوند. در سازمان‌هایی که تمایل مدیریت به بیشتر به سمت استفاده از استانداردهای ایزو است در قدم اول استقرار استاندارد ISO 31000 گزینه مطلوب‌تری است و نهادینه‌سازی این سیستم در سایر سیستم‌های مدیریتی ساده‌تر و سریع‌تر صورت‌ می‌پذیرد.جهت استقرار COSO سازمان‌ها باید از یک سطح بلوغ فرایندی و سیستمی برخوردار باشند و اسنادی همچون باید سند مدیریت استراتژیک سازمان مبنای اصلی در استقرار این استاندارد قرار خواهد گرفت. در سازمان‌های کوچک‌تر یا با سطح بلوغ کمتر یا سازمان‌هایی که برای اولین بار چارچوب مدیریت ریسک خود را می‌سازند، استفاده از چارچوب ISO 31000 گزینه معقول‌تری است.