Il COSO Framework definisce le componenti essenziali di gestione del rischio aziendale, discute i principi e i concetti chiave di ERM, suggerisce un linguaggio ERM comune e fornisce una chiara direzione e guida per la gestione integrata del rischio aziendale. Il suo primo "standard di controllo interno ed integrato” è stato pubblicato nel 1992 e ha fornito
un quadro completo per aiutare le organizzazioni a valutare e migliorare i loro sistemi di controllo interno diventando estremamente popolare.
Negli anni successivi alla sua uscita, le organizzazioni iniziarono presto a rendersi conto che c'era un gap nel quadro di controllo interno della COSO. Sebbene sia stato utile nel ridurre i rischi legati a comportamenti fraudolenti e conformità normativa, non c'era modo di identificare e valutare i rischi strategici dell'organizzazione per sottoporli al controllo. Questa e altre ragioni, quali la richiesta di migliori standard di governo societario e gestione del rischio dopo il caso di Enron e scandali simili, hanno portato COSO a creare la sua Enterprise Risk Management - Integrated Framework nel 2004. Il quadro ERM COSO del 2004 si è concentrato maggiormente su ciò che può essere verificato, conservando molte delle stesse caratteristiche dell'originale, pone maggiore enfasi sulla strategia. Lo standard si adattava perfettamente alle organizzazioni in cui il rischio era guidato dall'audit. Nella seguente figura si riporta il cubo elaborato dal COSO, rappresenta i componenti, gli obiettivi e le categorie di un'efficace pianificazione ERM. La parte superiore rappresenta le categorie della pianificazione ERM, la parte anteriore rappresenta gli obiettivi e la parte destra rappresenta i componenti del business. Insieme, il cubo rappresenta il processo di pianificazione ERM.
Figura 16: COSO ERM cube 2004
Fonte: EB00INFO290
In seguito, nel 2017, COSO, in collaborazione con PwC, ha pubblicato uno standard aggiornato con il titolo Enterprise Risk Management - Integrating with Strategy and Performance per rispondere alle preoccupazioni del mondo dinamico e instabile del business. Da un lato, le modalità di fare affari sono in costante cambiamento, il che rende
più complesso e instabile la gestione, e nuovi rischi continuano ad emergere a un ritmo più rapido che mai. Dall’altra parte, l'evoluzione della tecnologia e una maggiore richiesta di trasparenza continuano a mettere pressione sui i processi di pianificazione strategica e le capacità operative. Secondo PwC86 sono stati apportati cambiamenti significativi nel nuovo quadro, infatti la versione aggiornata del 2017 pone maggiore enfasi sull'importanza di integrare le considerazioni sui rischi durante la progettazione e l'attuazione di strategie per raggiungere le missioni e gli obiettivi di performance dell'organizzazione.
In primo luogo la struttura è molto diversa (vedi figura 17), invece di utilizzare un cubo per illustrare il collegamento tra le quattro categorie e gli otto componenti del processo di gestione del rischio, il nuovo standard utilizza un diagramma a nastro che si intreccia con cinque categorie durante il ciclo di vita di un'organizzazione. I tre nastri nel diagramma sono lì per rappresentare i processi comuni che "scorrono attraverso l'entità" (strategia / impostazione degli obiettivi, prestazioni e revisione / revisione) mentre gli altri due nastri rappresentano i meccanismi di supporto di ERM (governance / Cultura e informazione / comunicazione / relazioni). Figura 17: ERM COSO 2017 Fonte: COSO Enterprise Risk Management – Aligning risk and strategy, Pwc Tra gli altri aggiornamenti ci sono ad esempio: Esplora i diversi e nuovi vantaggi dell'ERM, offre un migliore focus sull'integrazione della gestione dei rischi (scritto dal punto di vista aziendale), presenta una suite di nuova grafica, esplora la gestione dei rischi a tutte le altitudini dell'organizzazione, si immerge in discussioni più approfondite su argomenti impegnativi, pone enfasi sulla cultura e affronta il ruolo in evoluzione della tecnologia dell'informazione. 86 Dennis Chesley, The top changes to the COSO ERM Framework you need to know now, 05 September 2017, Pwc.
Le aziende hanno anche un altro riferimento per orientarsi nell’attività di un’efficiente ed efficace gestione dei rischi aziendali, ovvero gli standard ISO 31000 sul risk management; quest’ultimo si pone l’obiettivo di mettere ogni azienda nelle condizioni di individuare, prevenire e gestire tutti i rischi presenti nell’ambito della propria attività, attraverso un approccio strutturato. ISO 31000 e COSO sono oggi i due principali standard di gestione del rischio aziendale e si rivolgono a corporazioni private, enti governativi e organizzazioni no profit in tutto il mondo.
Il primo standard internazionale di gestione dei rischi è stato pubblicato come ISO 31000 nel 2009. Tuttavia, l’evoluzione delle pratiche di gestione del rischio e l’arrivo dei feedback costruttivi dei professionisti di tutto il mondo, ha reso presto evidente che lo standard del 2009 era incompleto. Ad esempio, non includeva spiegazioni sufficienti su concetti come la propensione al rischio e l'integrazione della gestione del rischio con altri processi, né forniva istruzioni sull'implementazione. Pertanto, fu sviluppato e rilasciato nel febbraio 2018 un nuovo standard ISO 31000 che pone maggiore enfasi sulla creazione e protezione del valore come fattore chiave per la gestione del rischio per raggiungere la leadership nel settore. Come COSO, lo standard 2018 si concentra anche esso sulla natura "iterativa" del processo di gestione del rischio, ovvero cicli ripetuti di analisi o un ciclo di operazioni per arrivare al risultato desiderato. Lo standard ISO del 2018 è stato sviluppato per fornire una visione completa di alto livello di come dovrebbe essere un'iniziativa di ERM di successo ed è composto da 3 componenti principali87: principi, framework e processi. Figura 18: Principi ISO 31000 Fonte: ISO 31000, 2018 87 ISO. www.iso.org
Il principio e lo scopo fondamentale della gestione del rischio sono la creazione e la protezione del valore. A partire da questo obiettivo principale sono presenti 8 principi che supportano questo obiettivo, inclusi quelli integrati, personalizzati, inclusivi, strutturati e completi e altro ancora.
Figura 19: Framework ISO 31000
Fonte: ISO 31000, 2018
Il Framework scende più in profondità fornendo componenti per l'integrazione della gestione del rischio nelle attività e nelle funzioni dell'organizzazione. Si concentra sulla leadership e sull'impegno, o meglio su ciò che la direzione e il consiglio devono fare per garantire l'integrazione della gestione dei rischi nell'organizzazione. Lo sviluppo di un Framework per una qualsiasi organizzazione implica l'integrazione, la progettazione, l'implementazione, la valutazione e il miglioramento.
Figura 20: Processo ISO 31000
Il Processo è l'applicazione nel mondo reale di politiche e procedure, include l'identificazione del rischio, l'analisi del rischio, la segnalazione del rischio, il trattamento del rischio o la risposta e altro ancora. Oltre alla panoramica di alto livello fornita dallo standard, ci sono molte informazioni su ciascuno di questi processi su siti Web e su altre risorse sia online che stampate.
Il nuovo standard ISO 31000 fa molto per colmare il divario tra raccomandazione e implementazione, fornendo informazioni che sono concise, applicabili e di facile lettura, soprattutto se confrontate con altri standard come COSO. Ma prima di vedere le differenze è meglio elencare le similitudini:
• Entrambi gli standard ampliano gli obiettivi della gestione del rischio, perché piuttosto che limitare solo i rischi negativi, entrambi gli standard aiutano a guidare e incoraggiare l’organizzazione all'assunzione di rischi:
• Entrambe sono pensate come linee guida. Né ISO 31000 né COSO sono progettati per ottenere una certificazione di conformità per un'organizzazione. In particolare, ISO 31000 intende fornire una guida di alto livello sui componenti di un quadro di gestione dei rischi. Si è più volte menzionato che la gestione del rischio dovrebbe essere adattata a ciascuna organizzazione, quindi è giusto che gli standard siano realmente delle linee guida, da tenere in considerazione, ma bisogna adattarli alle specifiche esigenze e cultura dell’organizzazione;
• Entrambe le versioni attuali presentano un notevole miglioramento rispetto alle originarie;
• Entrambi incorporano la gestione del rischio nei processi decisionali che fondamentale per garantire che l'organizzazione stia assumendo i giusti rischi nella giusta quantità.
Le differenze tra ISO 31000 e COSO superano di gran lunga le somiglianze. Questo è uno dei motivi per cui molte organizzazioni adottano una combinazione di entrambi gli standard. Alcune di queste differenze sono:
• Struttura à L'ultima versione di ISO 31000 è più standardizzata di COSO, probabilmente perché è stata sviluppata da un'organizzazione di standard internazionali, UNI;
• Destinatari à Poiché COSO (l'organizzazione, non lo standard) ha le sue origini concentrandosi sulla fornitura di un quadro di controllo interno, lo standard COSO ERM si rivolge maggiormente alle persone in materia contabile e di revisione. Sebbene la versione aggiornata del 2017 ponga maggiormente l'accento sulla strategia, è ancora fortemente inclinato verso il lato verificabile dell'ERM. D'altro canto, ISO 31000 è scritto per chiunque sia interessato alla gestione del rischio. Molte organizzazioni scelgono di fare molto affidamento su di esso a causa di numerosi altri standard ISO che potrebbero utilizzare;
• Focus à Forse a causa delle sue origini, COSO si concentra maggiormente sul governo societario generale, oltre il 50 percento dei materiali del COSO discute di argomenti riguardanti come il consiglio di amministrazione dovrebbe supervisionare l'intera organizzazione, non necessariamente i rischi. L'ISO si concentra quasi esclusivamente sul rischio e lo incorpora nel processo di pianificazione strategica. Fornisce inoltre informazioni più specifiche per aiutare gli individui a definire e ad adempiere meglio alle proprie responsabilità in materia di controllo dei rischi;
• Quadro e processo à L'ISO fornisce una chiara distinzione tra un framework e un processo. COSO unisce questi due concetti.;
• Propensione al rischio à La versione 2017 di COSO discute la propensione al rischio molto più a lungo e fornisce molti esempi visivi dei concetti di propensione al rischio, tolleranza e capacità rispetto allo standard ISO di gestione del rischio. La versione 2018 dell’ISO menziona brevemente l'argomento, ma la menzione è minima e utilizza una terminologia diversa, invece di dire “propensione al rischio”, ISO lo definisce “criteri di rischio”; • Centrato sul rischio o sul successo à Sebbene l'aggiornamento del COSO 2017 si concentri maggiormente sul raggiungimento degli obiettivi, è ancora incentrata sul rischio. ISO 31000 pone maggiore enfasi sull'aiutare l'organizzazione a raggiungere i suoi obiettivi piuttosto che semplicemente evitare le conseguenze negative dei rischi.