Om risicobeheersing verder te professionaliseren, is het belangrijk om een goed en erkend framework voor risicomanagement toe te passen. COSO ERM en de ISO 31000 zijn wereldwijd de twee belangrijkste standaarden voor risicomanagement op enterpriseniveau (enterprise risk management). Wat houden deze ERM-standaarden precies in? En wat zijn de belangrijkste overeenkomsten tussen COSO ERM en ISO 31000? Je leest het in dit blogartikel.

Wat is COSO ERM?

COSO ERM is een veelgebruikt model voor risicomanagement dat richtlijnen biedt voor interne controles en de beheersing daarvan. Het is een raamwerk dat je helpt om meer inzicht te krijgen in het realiseren van belangrijke organisatiedoelstellingen, bijvoorbeeld op het gebied van de efficiëntie van bedrijfsprocessen of het naleven van wet- en regelgeving.

Het COSO-raamwerk verweeft 4 soorten risico’s (strategische en operationele risico’s, risico’s op het gebied van informatievoorziening en risico’s vanuit de wet- en regelgeving) in verschillende processtappen die je moet doorlopen en waarmee vrijwel elke grote organisatie te maken krijgt.

Wat is ISO 31000?

ISO 31000 is een ERM-raamwerk dat bestaat uit een drietal hoofdonderdelen:

  • De principes voor risicomanagement die het fundament vormen van het model.
  • Het raamwerk dat de hele beleidscyclus omvat: draagvlak, risicobeleid, contextanalyse, implementatie, review en verbetering. Hiermee stuur je alle processen rondom risicomanagement binnen jouw organisatie aan en blijf je in control.
  • Het proces. Dit zijn de bekende stappen van identificatie, analyse, evaluatie en het beheersen van risico’s.

ISO 31000 is ontwikkeld om risicomanagement naadloos te integreren in bestaande managementsystemen van organisaties. Zo voorkom je dat er een ERM-systeem of -beleid komt dat niet aansluit op jouw dagelijkse bedrijfsvoering.

COSO ERM en ISO 31000: de overeenkomsten

Maar hoe verhouden COSO ERM en ISO 31000 zich ten opzichte van elkaar? Laten we eerst eens kijken naar de belangrijkste overeenkomsten tussen de frameworks.

Bredere blik op risicomanagement

Beide richtlijnen verbreden de scope op risicomanagement. Ze beoordelen het nemen van risico’s niet alleen als negatief, maar ook als een manier om op verantwoorde wijze kansen te benutten.

Beide frameworks zijn richtlijnen

COSO ERM en ISO 31000 zijn niet gekoppeld aan certificeringen of verplichte compliance. Het zijn richtlijnen die advies op hoog niveau bieden en fungeren als richtingaanwijzers voor effectief risicomanagement.

Verbetering

Beide richtlijnen zijn een verbetering ten opzichte van hun voorgangers, respectievelijk de COSO-versie uit 2004 en de oude ISO 31000 van voor 2017.

Directe link met besluitvorming

Zowel COSO ERM als ISO 31000 incorporeren risicomanagement in het dagelijkse besluitvormingsproces binnen een organisatie. Zo wordt risicomanagement een dagelijks onderdeel van belangrijke bedrijfsprocessen en beslissingstrajecten.

COSO ERM en ISO 31000: de verschillen

Naast overeenkomsten zijn er ook duidelijke verschillen tussen COSO ERM en ISO 31000. We zetten de belangrijkste kort op een rij.

Structuur en omvang

De structuur en omvang van beide raamwerken verschilt. ISO 31000 is grotendeels gestandaardiseerd en compact (16 pagina’s), terwijl de COSO ERM een zeer lijvig werk (meer dan 100 pagina’s) en minder gestructureerd is.

Geografische reikwijdte

ISO 31000 is de officiële ERM-standaard bij organisaties in zo’n 70 landen. De meeste partijen die een belangrijke bijdrage hebben geleverd aan COSO ERM zitten in de Verenigde Staten.

Doelgroep

COSO ERM mikt vooral op mensen en organisaties binnen vakgebieden als auditing en accounting. ISO 31000 is geschreven voor iedereen met belangstelling voor risicomanagement. Hierdoor legt ISO 31000 ook een sterkere focus op risicomanagement als essentieel onderdeel van strategische planningsprocessen.

Framework en proces

ISO 31000 maakt een duidelijk onderscheid tussen framework en proces, terwijl COSO ERM die twee principes van risicomanagement combineert.

Visie op risico

Beide frameworks gaan op een net wat andere manier om met de begrippen risico en risicomanagement. COSO ERM legt de focus vooral op het minimaliseren van risico’s, terwijl ISO 31000 niet zozeer uitgaat van het constant vermijden van risico’s, maar een organisatie vooral wil helpen met het zo goed en snel mogelijk bereiken van haar doelen.

Een keuze maken? INTERMEDIATE helpt je

Welk framework is nu de beste keuze? Dat hangt helemaal af van jouw organisatie, processen, werkwijze en persoonlijke voorkeuren. Wie streeft naar een compact, generiek toepasbaar en sterk gestandaardiseerd framework voor risicomanagement, is beter af met ISO 31000. Wil je wat meer vrijheid bij het inrichten van jouw risicomanagement? Of zoek je een raamwerk dat oog heeft voor de bijzondere behoeften van auditors en accountants? Dan past COSO ERM waarschijnlijker beter bij jouw organisatie.

INTERMEDIATE kan je prima helpen bij het maken van de juiste keuze. Ons netwerk herbergt diverse interim-professionals die helemaal thuis zijn in de wereld van riskmanagement en ISO 3100 en COSO ERM op hun duimpje kennen.

Benieuwd naar de mogelijkheden?
Neem dan gerust vrijblijvend contact met ons op!