COSO și Risk IT Framework

Abordarea riscurilor și a teoriei legată de analiza riscurilor este un subiect pe cît de  inciant  pe atît de vast pentru auditori. Pentru că legislația noastră nu este nici pe departe la fel de bogată ca cea de sorginte anglo-americană, vom face apel la cele mai bune practici recunoscute la nivel internațional. 

COSO[1] – Committee of Sponsoring Organization – este o organizație privată, voluntară care și-a propus îmbuntățirea calității raportărlor financiare prin promovarea etici în afaceri, unui control intern eficient, și guvernarea corporatistă. Înființată în 1985 pentru a sponsoriza comisia Națională pentru Raportări Financiare Frauduloase[2] COSO grupează 5 asociații profesionale americane din domeniul financiar: American Accounting Association, American Institute of Certified Public Accountants, Financial Executives Institute, Institute of Internal Auditors și  National Association of Accountants ( actualul Institute of Management Accountants). Comisia a reunit reprezentanți din industrie, firme de conatbilitate, firme de investiți și New York Stock Exchange. 

Primul președinte al COSO a fost James C. Treadway, și numele sub care mai este cunoscut COSO: „Treadway Commission” 

Rezultatele COSO s-au concretizat în două cadre de lucru (framework): 

  • Internal Control – An Integrated Framework (1992) – acuratețea raportărilor financiafre, conformitatea legislativă și eficeința și eficacitatea operării
  • Enterprise Risk Management (ERM) COSO Framework (2004) – identificarea și gestiunea riscurilor la nivelul unei companii.

Ca și în cazul ITIL filosofia COSO-ERM pornește de la conceptul de valoare – rezultatul deciziilor managementului în toate sferele de activitatea ale unei entități, de la strategie la maniera de operare. Dar dacă o entitate nu are capacitatea de a recunoaște și gestiona riscurile, indiferent de sursa acestora, va ajunge să distrugă valoarea!  

COSO ERM definește componentele esențiale ale managementului riscurilor și, lucrul cel mai important, pune la dispoziție un limbaj comun pentru toți cei implicați. Spicuind prin sumarul executiv, aflăm că managementul riscurilor într-o companiei este un process

  • Realizat de angajați, indiferent de nivelul la care se situează
  • Aplicat în definirea unei strategii
  • Aplicat la toate nivelurile companiei
  • Proiectat săidentifice evenimentele potențiale a căror apariție va afecta organizația
  • Capabil să ofere o asigurare rezonabilă managementului

 “Cubul” COSO a devenit de notorietate în zona managementului riscurilor: 

Cubul COSO

Cubul COSO

 

 Cum trebuie întrepretată imaginea de mai sus? 

Coloanele veticale reprezintă obiectivele (strategic, operare, raportare și conformitate) liniile orizontale reprezinta componentele managementului riscului iar aplicabilitatea la nivelul companiei este descrisă prin cea de a treia dimensiune. 

De ce am început să vorbesc despre COSO? Ceea ce lispește la ora actuală legislație noastre este tocmai reglementarea coerentă a aspectelor ce țin de control intern. Bazîndu-se în mare măsură pe descrierea COSO ERM, ISACA a dezvoltat The Risk IT Framework. Este versiune draft. Dar imediat după aprobare este anunțat și un Practitioner guide. 


[1] http://www.coso.org/ 

[2] National Commission on Fraudulent Financial Reporting

3 gânduri despre “COSO și Risk IT Framework

  1. Foarte instructiv, chiar aveam nevoie de o imagine pe scurt a lui COSO.

    Ma gandesc acuma legat de efectul lui ERM, aparut in 2004, care surprinzator de mult seamana cu Risk Managementului (RM) din ISO27K si cu M_o_R V2.0 (aparut in 2004) intr-o proportie de 90%, si probabil cu alte metodologii de risk pe care nu le cunosc. Intr-un fel e firesc, n-ar trebui sa ma mire, un fel de top-down pornind de la obiectivele de busines.

    Btw, din ce stii, exista vreo initiativa in directia asta? E chestia aia cu raspunderea fiscala care ne-o impune FMI?(nu ca parlamentarii le-ar sta mintea la afaceri etice!!!)

    Apreciază

    • Nu există nici o initiativa. Şi nu are legatura nici cu FMI. Daca ma uit la cum se gindesc legile de la noi care au tangenta cu IT-ul observ ca RISCUL şi managementul riscurilor nu există. Adică, pe acolo pe unde se impun „măsuri de securitate” = control intern, nu se iau în calcul lucrurile evidente: riscul, în situaţii reale trebuie redus/controlat.

      Apreciază

Mulţumesc.

Completează mai jos detaliile despre tine sau dă clic pe un icon pentru autentificare:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s