A legújabb COSO keretrendszer előkészítése kapcsán a nemzetközi szakmai internetes fórumokon (pl. Comparing the COSO Internal Control with ISO 31000, 10 reasons not to like the COSO ERM framework) újból előkerültek a COSO ERM 2004-es kiadásához kapcsolódó kritikai észrevételek, melyek elsősorban a COSO keretrendszerek bonyolult és nehezen alkalmazható szerkezetére, illetve a kapcsolódó előírások túlzott terjedelmére vonatkoznak, különösen összevetve a kockázatmenedzsment szakterület elmúlt évtizedekben elért eredményeit összefogó "ISO 31000:2009 Risk Management" szabvány megközelítésével és kockázatkezelési folyamatleírásaival.
Nem teljesen osztva az olykor egyoldalúan megfogalmazott nézeteket, néhány szempontra azonban szeretnénk a figyelmet felhívni:
- A COSO modellek kétségkívül az évtizedekkel ezelőtt kidolgozott, és a nagy könyvvizsgáló cégek által azóta is alkalmazott kontroll-központú értékeléseket helyezik előtérbe. Ennek egyik nyilvánvaló oka, hogy az olykor teljesen feleslegesen kialakított és működtetett kontrollokat "egyszerűbb" nagytömegben (jó áron) ellenőrizni, mint értékelni a vezetés valódi kockázatkezelési folyamatait, illetve annak szervezeti támogatását. Mindazonáltal az ismétlődően visszatérő vállalatirányítási botrányok és a pénzügyi válság tapasztalatai rávilágítottak arra, hogy több ezer olyan nemzetközileg jegyzett vállalat pénzügyi és irányítási jelentéseiről igazolódott be (érdemi szankciók nélkül), hogy jelentős vállalati eszközöket nem valós értéken mutattak be, illetve vettek figyelembe, melyek majd mindegyike rendelkezett a pénzügyi beszámolás belső kontrollrendszerére vonatkozó eredményesség - COSO keretrendszert meghivatkozó - igazolásával.
- Számos nemzetközi kritikus a fentiek miatt a teljes COSO koncepciót elvetéltnek tartja, holott az a több évtizedes használat során nagymértékben hozzájárult szakemberek tömegeinek képzéséhez és az ISO 31000 szabványok szakmai megalapozásához is. A koncepcionális eltérés leginkább abban nyilvánul meg, hogy az üzleti kockázat értelmezésében a negatív hatások figyelembe vételével (legalább) azonos súlyt kell kapnia a lehetőségeknek is. Vagyis a belső kontrollkörnyezet kialakítását és az üzleti kockázatok kezelésének folyamatait eredményesség szempontjából az üzleti célok teljesüléséhez való hozzájárulás képessége szerint kell mérni, mely során a kontroll keretrendszereknek való megfelelést az üzleti környezet elvárásainak és a vállalatonként egyedi üzleti céloknak alárendelten kell biztosítani, illetve vizsgálni.
- Vezető nemzetközi szakemberek arra is felhívják a figyelmet, hogy nem "kockázat-orientált", hanem célkitűzés-központú megközelítésre van szükség, tehát tovább kell lépni a korábban divatosnak számító "kockázati siló" koncepciókon is. A kockázatkezeléssel foglalkozó belső szervezeti egységek vezetőinek, illetve munkatársainak figyelmét az alkalmazandó kockázati modellekről a vállalat specifikus üzleti céljaira kell irányítani.
Fentiek tükrében a Felelős Vállalkozások Irányítási Modelljének alkalmazása jó például szolgálhat arra, hogy az ismert kontroll keretrendszerek alapelvei és gyakorlatai ne megfelelési célként jelenjenek meg, hanem annak eszközeként, hogy az üzleti folyamatok megfelelő képességekkel rendelkezzenek a vállalati célok eléréséhez:
Kapcsolódó cikkek: A kockázatkezelés szerepének felértékelődése a felelős vállalatirányításban, A vállalatirányítási képesség a kockázatkezelés vonatkozásában, Az ISO 31000 Risk Management szabvány alkalmazása a vállalat irányítási rendszerének fejlesztésére, A kockázatkezelésre vonatkozó államháztartási belső kontroll standardok és az ISO 31000 szabvány összefüggései