تفاوت ISO 31000 و COSO ERM چیست؟

وقتی سازمانی تصمیم می‌گیرد مدیریت ریسک سازمانی (ERM) را به‌صورت ساختاریافته پیاده‌سازی کند، اولین پرسشی که مطرح می‌شود این است: کدام چارچوب مناسب‌تر است؟ ISO 31000 یا COSO ERM؟

هر دو چارچوب در سطح بین‌المللی معتبر هستند و توسط هزاران سازمان در سراسر جهان استفاده می‌شوند. با این حال، فلسفه طراحی، سطح تمرکز، نوع نگاه به حاکمیت و حتی نحوه پیاده‌سازی آن‌ها تفاوت‌های مهمی با یکدیگر دارد. انتخاب اشتباه می‌تواند منجر به طراحی سیستمی شود که با ساختار سازمان همخوانی ندارد و در عمل ناکارآمد باقی بماند.

در این مقاله، این دو چارچوب را از منظر اجرایی، راهبردی و نرم‌افزاری مقایسه می‌کنیم.

ISO 31000 چیست و چه رویکردی دارد؟

ISO 31000 یک استاندارد بین‌المللی برای مدیریت ریسک است که توسط سازمان بین‌المللی استانداردسازی (ISO) منتشر شده است. این استاندارد به‌جای تمرکز بر کنترل داخلی یا ساختار حاکمیتی، بر اصول، چارچوب و فرایند مدیریت ریسک تأکید دارد.

در ISO 31000 مدیریت ریسک به‌عنوان بخشی جدایی‌ناپذیر از تصمیم‌گیری سازمان تعریف می‌شود. این استاندارد تلاش می‌کند مدیریت ریسک را در تمامی سطوح سازمان، از برنامه‌ریزی استراتژیک گرفته تا عملیات روزمره، ادغام کند.

ساختار ISO 31000 حول سه بخش اصلی شکل گرفته است:

1. اصول مدیریت ریسک

2. چارچوب (Framework)

3. فرایند مدیریت ریسک

در این مدل، انعطاف‌پذیری بسیار بالاست. سازمان می‌تواند متناسب با اندازه، صنعت و پیچیدگی خود، چارچوب را سفارشی‌سازی کند. به همین دلیل، ISO 31000 برای طیف وسیعی از سازمان‌ها، از شرکت‌های متوسط تا صنایع بزرگ، قابل استفاده است.

COSO ERM چیست و چه تفاوتی در نگرش دارد؟

COSO ERM توسط کمیته حامی سازمان‌های کمیسیون تردوی (Committee of Sponsoring Organizations) توسعه یافته است و ریشه آن در حوزه کنترل داخلی و حاکمیت شرکتی قرار دارد.

نسخه جدید COSO ERM تمرکز خود را بر ارتباط مستقیم ریسک با استراتژی و عملکرد سازمان قرار داده است. در این چارچوب، مدیریت ریسک نه‌تنها یک ابزار کنترلی، بلکه بخشی از طراحی استراتژی و خلق ارزش محسوب می‌شود.

مدل COSO ERM دارای پنج مؤلفه اصلی است:

• حاکمیت و فرهنگ

• استراتژی و تعیین اهداف

• عملکرد

• بازنگری و اصلاح

• اطلاعات، ارتباطات و گزارشگری

در مقایسه با ISO 31000، COSO ساختارمندتر و تا حدی رسمی‌تر است و برای سازمان‌هایی که با الزامات گزارشگری مالی، حاکمیت شرکتی یا نظارت هیئت‌مدیره مواجه هستند، مناسب‌تر به نظر می‌رسد.

مقایسه ساختاری ISO 31000 و COSO ERM

اگر بخواهیم تفاوت ISO 31000 و COSO ERM را به‌صورت تحلیلی بررسی کنیم، باید چند محور کلیدی را در نظر بگیریم.

از نظر فلسفه طراحی، ISO 31000 یک استاندارد راهنماست و الزام اجرایی سخت‌گیرانه‌ای ندارد. در مقابل، COSO بیشتر شبیه یک مدل حاکمیتی است که ساختار کنترل داخلی و پاسخگویی مدیریتی را تقویت می‌کند.

از نظر تمرکز استراتژیک، هر دو چارچوب به ریسک‌های استراتژیک توجه دارند، اما COSO ارتباط رسمی‌تری بین ریسک و تعیین اهداف استراتژیک برقرار می‌کند. در ISO 31000 این ارتباط وجود دارد، اما انعطاف بیشتری در نحوه پیاده‌سازی دیده می‌شود.

از منظر اجرا در صنایع بزرگ مانند پتروشیمی، سازمان‌هایی که ساختار هلدینگی دارند و هیئت‌مدیره فعال دارند، معمولاً به COSO گرایش بیشتری دارند. در حالی که سازمان‌هایی که هدفشان استقرار یک نظام مدیریتی یکپارچه و قابل ادغام با سایر استانداردهای ISO است، ISO 31000 را ترجیح می‌دهند.

کدام چارچوب برای سازمان شما مناسب‌تر است؟

انتخاب بین ISO 31000 و COSO ERM به چند عامل بستگی دارد:

اگر سازمان شما تحت نظارت‌های مالی شدید، الزامات حاکمیت شرکتی یا گزارش‌دهی به سهامداران است، COSO ERM گزینه مناسب‌تری است زیرا ساختار پاسخگویی مشخص‌تری دارد.

اگر سازمان شما به دنبال یک چارچوب منعطف برای استقرار تدریجی مدیریت ریسک است و می‌خواهد آن را با سایر سیستم‌های مدیریتی مانند ISO 9001 یا ISO 45001 ادغام کند، ISO 31000 انتخاب منطقی‌تری خواهد بود.

در بسیاری از سازمان‌های پیشرو، ترکیبی از هر دو چارچوب استفاده می‌شود؛ به‌گونه‌ای که اصول ISO 31000 برای فرایند اجرایی و ساختار COSO برای حاکمیت و گزارشگری به‌کار گرفته می‌شود.

نقش نرم افزار مدیریت ریسک در پیاده‌سازی ISO 31000 و COSO

نکته‌ای که اغلب نادیده گرفته می‌شود این است که بدون یک سیستم نرم‌افزاری مناسب، تفاوت ISO 31000 و COSO ERM در عمل چندان معنا پیدا نمی‌کند. زیرا چالش اصلی سازمان‌ها نه در انتخاب چارچوب، بلکه در اجرا، پایش و گزارش‌گیری است.

یک نرم افزار مدیریت ریسک حرفه‌ای باید بتواند:

• ساختار ریسک‌ها را مطابق هر دو چارچوب تعریف کند

• ریسک‌ها را به اهداف استراتژیک متصل نماید

• سطح ریسک قابل‌پذیرش را مدیریت کند

• گزارش‌های مدیریتی برای هیئت‌مدیره تولید کند

• داشبورد تحلیلی برای پایش KRI ارائه دهد

در واقع، نرم‌افزار باید انعطاف‌پذیری ISO 31000 و ساختارمندی COSO را هم‌زمان پشتیبانی کند.

اشتباه رایج در انتخاب چارچوب مدیریت ریسک

بسیاری از سازمان‌ها تصور می‌کنند انتخاب یک چارچوب به‌تنهایی مشکل مدیریت ریسک را حل می‌کند. در حالی که مهم‌ترین عامل موفقیت، بلوغ سازمانی، فرهنگ ریسک و وجود ابزار مناسب برای اجراست.

اگر داده‌های ریسک در اکسل‌های پراکنده نگهداری شوند، حتی بهترین چارچوب‌ها نیز کارایی نخواهند داشت. تفاوت واقعی زمانی ایجاد می‌شود که اطلاعات ریسک به‌صورت متمرکز، قابل تحلیل و قابل گزارش در اختیار مدیران قرار گیرد.

جمع‌بندی

تفاوت ISO 31000 و COSO ERM بیشتر در رویکرد، سطح ساختارمندی و تمرکز حاکمیتی است تا در ماهیت مدیریت ریسک. هر دو چارچوب می‌توانند برای سازمان‌ها ارزش‌آفرین باشند، مشروط بر اینکه به‌درستی پیاده‌سازی شوند.

انتخاب چارچوب باید بر اساس اندازه سازمان، ساختار مالکیت، الزامات قانونی و اهداف استراتژیک انجام شود. با این حال، آنچه اجرای موفق را تضمین می‌کند، استفاده از یک سیستم مدیریت ریسک یکپارچه و نرم‌افزار تخصصی است که بتواند چارچوب انتخاب‌شده را به فرآیندهای عملیاتی تبدیل کند.

سوالات متداول

آیا می‌توان هم‌زمان از ISO 31000 و COSO استفاده کرد؟

بله، بسیاری از سازمان‌ها از ترکیب این دو چارچوب استفاده می‌کنند تا هم انعطاف‌پذیری ISO و هم ساختار حاکمیتی COSO را داشته باشند.

کدام چارچوب برای صنایع پتروشیمی مناسب‌تر است؟

در صنایع بزرگ فرآیندی معمولاً ترکیبی از هر دو چارچوب به همراه نرم‌افزار تخصصی مدیریت ریسک بهترین نتیجه را ایجاد می‌کند.

آیا برای اجرای این چارچوب‌ها نیاز به نرم‌افزار است؟

در سازمان‌های متوسط و بزرگ، بدون نرم‌افزار مدیریت ریسک اجرای اثربخش و پایش مستمر عملاً بسیار دشوار خواهد بود.