Abordarea riscurilor și a teoriei legată de analiza riscurilor este un subiect pe cît de  inciant  pe atît de vast pentru auditori. Pentru că legislația noastră nu este nici pe departe la fel de bogată ca cea de sorginte anglo-americană, vom face apel la cele mai bune practici recunoscute la nivel internațional. 

COSO[1] – Committee of Sponsoring Organization – este o organizație privată, voluntară care și-a propus îmbuntățirea calității raportărlor financiare prin promovarea etici în afaceri, unui control intern eficient, și guvernarea corporatistă. Înființată în 1985 pentru a sponsoriza comisia Națională pentru Raportări Financiare Frauduloase[2] COSO grupează 5 asociații profesionale americane din domeniul financiar: American Accounting Association, American Institute of Certified Public Accountants, Financial Executives Institute, Institute of Internal Auditors și  National Association of Accountants ( actualul Institute of Management Accountants). Comisia a reunit reprezentanți din industrie, firme de conatbilitate, firme de investiți și New York Stock Exchange. 

Primul președinte al COSO a fost James C. Treadway, și numele sub care mai este cunoscut COSO: „Treadway Commission” 

Rezultatele COSO s-au concretizat în două cadre de lucru (framework): 

• Internal Control – An Integrated Framework (1992) – acuratețea raportărilor financiafre, conformitatea legislativă și eficeința și eficacitatea operării
• Enterprise Risk Management (ERM) COSO Framework (2004) – identificarea și gestiunea riscurilor la nivelul unei companii.

Ca și în cazul ITIL filosofia COSO-ERM pornește de la conceptul de valoare – rezultatul deciziilor managementului în toate sferele de activitatea ale unei entități, de la strategie la maniera de operare. Dar dacă o entitate nu are capacitatea de a recunoaște și gestiona riscurile, indiferent de sursa acestora, va ajunge să distrugă valoarea!  

COSO ERM definește componentele esențiale ale managementului riscurilor și, lucrul cel mai important, pune la dispoziție un limbaj comun pentru toți cei implicați. Spicuind prin sumarul executiv, aflăm că managementul riscurilor într-o companiei este un process : 

• Realizat de angajați, indiferent de nivelul la care se situează
• Aplicat în definirea unei strategii
• Aplicat la toate nivelurile companiei
• Proiectat săidentifice evenimentele potențiale a căror apariție va afecta organizația
• Capabil să ofere o asigurare rezonabilă managementului

 “Cubul” COSO a devenit de notorietate în zona managementului riscurilor: 

Cubul COSO

 Cum trebuie întrepretată imaginea de mai sus? 

Coloanele veticale reprezintă obiectivele (strategic, operare, raportare și conformitate) liniile orizontale reprezinta componentele managementului riscului iar aplicabilitatea la nivelul companiei este descrisă prin cea de a treia dimensiune. 

De ce am început să vorbesc despre COSO? Ceea ce lispește la ora actuală legislație noastre este tocmai reglementarea coerentă a aspectelor ce țin de control intern. Bazîndu-se în mare măsură pe descrierea COSO ERM, ISACA a dezvoltat The Risk IT Framework. Este versiune draft. Dar imediat după aprobare este anunțat și un Practitioner guide. 

[2] National Commission on Fraudulent Financial Reporting