{"id":429,"date":"2017-10-18T04:51:41","date_gmt":"2017-10-18T04:51:41","guid":{"rendered":"https:\/\/riskiblogi.fi\/?p=429"},"modified":"2017-10-18T04:51:41","modified_gmt":"2017-10-18T04:51:41","slug":"coso-erm-uudistui-eroon-kuutioajattelusta","status":"publish","type":"post","link":"https:\/\/riskiblogi.fi\/?p=429","title":{"rendered":"COSO ERM uudistui – eroon kuutioajattelusta"},"content":{"rendered":"

Totesimme aikaisemmassa postauksessa ett\u00e4\u00a0riskienhallinnan viitekehykset<\/a><\/span>\u00a0ovat tarpeellisia ty\u00f6kaluja tehokkaan riskienhallinnan kokonaisuuden toteutuksessa. Kansainv\u00e4lisi\u00e4, yleisesti k\u00e4ytettyj\u00e4\u00a0 viitekehyksi\u00e4 on muutamia, joista meill\u00e4 on kokemusta kahdesta. T\u00e4ss\u00e4 kirjoituksessa k\u00e4sitell\u00e4\u00e4n COSO ERM-viitekehyst\u00e4, josta julkaistiin juuri uusi versio ja my\u00f6hemmin tulemme kirjoittamaan toisesta, ISO31000:sta, josta on\u00a0 p\u00e4ivitysty\u00f6 juuri meneill\u00e4\u00e4n.<\/p>\n

COSO (Committee of Sponsoring Organisations of the Treadway Commission) organisaationa on riippumaton yksityisen sektorin toimija, joka perustettiin vuonna 1985 alunperin tukemaan v\u00e4\u00e4r\u00e4n\/vilpillisen taloudellisen raportoinnin tutkimusta.\u00a0 Lis\u00e4\u00e4 COSO:n tarkoituksesta, historiasta ja kehityksest\u00e4 voit lukea t\u00e4\u00e4lt\u00e4.<\/a><\/span><\/p>\n

COSO-ERM (ERM= Enterprise Risk Management) -viitekehys julkaistiin alunperin vuonna 2004 ja kuten mainittu, se on ollut pitk\u00e4\u00e4n yksi vallitsevista viitekehyksist\u00e4 hyvin monenlaisten organisaatioiden riskienhallintaprosessien pohjalla.\u00a0 COSO aloitti viitekehyksen p\u00e4ivitt\u00e4minen vuonna 2015 ja julkisen kommentointikierroksen j\u00e4lkeen uusi lopullinen versio julkaistiin lopulta t\u00e4n\u00e4 syksyn\u00e4.\u00a0 K\u00e4vimme uudistetun viitekehyksen l\u00e4pi ja t\u00e4ss\u00e4 nostamme esiin mielest\u00e4mme merkitt\u00e4vimm\u00e4t muutokset.<\/p>\n

Mik\u00e4 muuttui?<\/span><\/h3>\n

Viitekehyksen ensimm\u00e4isess\u00e4 versiossa korostui riskienhallinnan ja sis\u00e4isen valvonnan v\u00e4linen suhde ja riskienhallinta n\u00e4htiin vahvasti compliance-ty\u00f6kaluna.\u00a0 T\u00e4m\u00e4 oli tietysti luontevaa ottaen huomioon COSO:n toiminnan juuret sis\u00e4isess\u00e4 valvonnassa ja ”fraud deterrence<\/span>”-ajattelussa. Merkitt\u00e4vin muutos uudessa p\u00e4ivitetyss\u00e4 mallissa onkin se, ett\u00e4 riskienhallinta kuvataan yrityksen liiketoimintaa tukevana integroituna toimintana, joka auttaa ja ohjaa strategian laadinnassa ja toteutuksessa, pikemmin kuin compliance- tai sis\u00e4isen valvonnan ty\u00f6kaluna. Sis\u00e4ist\u00e4 valvontaa ja kolmea puolustuslinjaa ei ole t\u00e4ysin unohdettu uudessakaan mallissa mutta se j\u00e4\u00e4 taka-alalle ja lopputuloksena on modernia, strategista riskienhallinta-ajattelua tukeva viitekehys.<\/p>\n

– kaikki l\u00e4htee strategiasta<\/span><\/h5>\n

Uusi COSO-ERM l\u00e4htee liikkeelle strategian valinnasta riskienhallinnan tuella. Moni strategiaprosessi ottaa t\u00e4ll\u00e4kin hetkell\u00e4 jo huomioon riskit, mutta COSO-ERM kritisoi n\u00e4it\u00e4 prosesseja siit\u00e4, ett\u00e4 riski\u00e4 arvioidaan yleens\u00e4 vain suhteessa jo valittuun strategiaan: ”mitk\u00e4 seikat voivat vaikuttaa strategiamme toteutumiseen ja menestyksekkyyteen?”. Viitekehys tuo t\u00e4h\u00e4n keskusteluun mukaan kaksi lis\u00e4n\u00e4k\u00f6kulmaa, joilla voi olla merkitt\u00e4v\u00e4 vaikutus organisaation arvonkehitykseen: riski siit\u00e4, ettei valittu strategia ole linjassa organisaation vision ja mission kanssa, sek\u00e4 riski strategioiden riskiprofiileista ja valitun strategian mukanaan tuomista seurauksista.<\/p>\n

Valitun strategian tulee olla linjassa mission ja vision kanssa ja t\u00e4ss\u00e4 viitekehys n\u00e4kee riskienhallinnan roolin keskeisen\u00e4. Riski valitun strategian mukanaan tuomasta riskiprofiilista vs. organisaation riskinottohalukkuus on mielest\u00e4mme my\u00f6s erinomainen nosto. Riskienhallinnan tulisi COSO-ERM:n mukaan toimia tahona, joka arvioi jokaista strategiavaihtoehtoa sek\u00e4 mission &vision n\u00e4k\u00f6kulmasta, ett\u00e4 riskiprofiilien sopimisesta omaan riskinottohalukkuuteen jo hyvin aikaisessa vaiheessa strategiaprosessia. Strategiavaihtoehdon valinnan j\u00e4lkeen riskienhallinta toteuttaa ”perinteisemp\u00e4\u00e4” rooliaan tunnistamalla asioita, jotka voivat tulla strategian toteuttamisen tielle. Viitekehys kuvaa t\u00e4t\u00e4 strategian ja riskienhallinnan yhteytt\u00e4 ja kokonaisuutta erillisell\u00e4 visualisoinnilla:<\/p>\n

\"\"
COSO-ERM ja strategia (l\u00e4hde: coso.org)<\/figcaption><\/figure>\n
<\/h5>\n
– ja tiivistyy yhteen kuvaan<\/span><\/h5>\n

Vanha malli tiivistyi moniv\u00e4riseen ja -ulotteiseen kuutioon. Nyt kun kuutio on \u00a0korvattu uudella graafisella ilmeell\u00e4, uskallamme jo tunnustaa ettemme koskaan oikein saaneet kiinni sen monista sivuista, v\u00e4reist\u00e4 ja yhteyksist\u00e4. Ajatus kokonaisvaltaisesta riskienhallinnasta, siit\u00e4 ett\u00e4 riskienhallinta ei ole yksitt\u00e4inen toiminto, vaan osa yrityksen liiketoiminnan ohjausta, toteutusta ja t\u00e4t\u00e4 kautta my\u00f6s tietyss\u00e4 m\u00e4\u00e4rin kontrollin v\u00e4line, on tosin aina k\u00e4ynyt j\u00e4rkeen meillekin.<\/p>\n

\"\"
Kuva 1.Vanha COSO-ERM -kuutio (l\u00e4hde www. riskikompassi.fi\/)<\/figcaption><\/figure>\n

Uusi COSO-ERM -malli koostuu 20 periaatteesta, jotka on j\u00e4rjestetty viiden toisiinsa kytkeytyv\u00e4n komponentin alle (ks. kuva). Uusi esitystapa helpottaa t\u00e4m\u00e4n viiitekehyksen ja ”kilpailevan” ISO31000 standardin yht\u00e4l\u00e4isyyksien tunnistamisessa. Yksityiskohdat komponenteista ja periaatteista voit lukea t\u00e4m\u00e4n tekstin lopussa olevien l\u00e4hdelinkkien kautta, mutta k\u00e4yt\u00e4nn\u00f6ss\u00e4 itse komponentit vanhassa kuutiossa ja uudessa ”DNA-kuviossa” ovat pohjimmiltaan saman tyyppisi\u00e4. Toki uusissa komponenteissa n\u00e4kyy kokonaisvaltaisuuden, integroitumisen, kulttuurin ja termin ”performance”\u00a0 vahva painottaminen vanhaan viitekehykseen verrattuna.<\/p>\n

\"\"
Uudistettu COSO-ERM -viitekehys (l\u00e4hde: coso.org)<\/figcaption><\/figure>\n

\u00a0Uusi COSO ERM nostaa siis riskienhallinnan entist\u00e4 strategisempaan rooliin ja muutos n\u00e4kyy vahvasti visuaalisessa esitystavassa, joka on mielest\u00e4mme moderni ja yksinkertainen. Selke\u00e4 esitystapa mille tahansa viitekehykselle on yll\u00e4tt\u00e4v\u00e4n t\u00e4rke\u00e4\u00e4, sill\u00e4 esim. uuden COSO-ERM:n sielunel\u00e4m\u00e4 on varmasti helpompi selitt\u00e4\u00e4 ja myyd\u00e4 omalle organisaatiolle kuin aikaisempi\u00a0 ”rubikin kuutio”.<\/p>\n

Miten COSO-ERM -muutokset vaikuttavat minuun?<\/span><\/h2>\n

Uskaltaisimme v\u00e4itt\u00e4\u00e4, ett\u00e4 p\u00e4ivitetty versio ei sin\u00e4ll\u00e4\u00e4n tuo alalle mit\u00e4\u00e4n t\u00e4ysin uutta ja ihmeellist\u00e4. Se antaa kuitenkin varmasti kaivattua tukea\u00a0 riskienhallintafunktion vet\u00e4j\u00e4lle, joka haluaa uudistaa oman yrityksens\u00e4 riskienhallintaa ja tarvitsee perusteita ylimm\u00e4n johdon suuntaan siit\u00e4, miksi nykyinen tekeminen ei en\u00e4\u00e4 riit\u00e4. Uusi viitekehys saattaa avata riskienhallinta-, compliance- ja tarkastusihmisille ovet organisaation sis\u00e4piiriin, miss\u00e4\u00a0strategiset linjaukset tehd\u00e4\u00e4n; sen avulla pystyt ehk\u00e4 viel\u00e4kin paremmin perustelemaan, miksi riskienhallinnan pit\u00e4\u00e4 olla mukana strategisessa suunnittelussa heti alusta alkaen.<\/p>\n

Strategisuuspainotuksen lis\u00e4ksi ehk\u00e4 mielenkiintoisin yksityiskohta liittyy mielest\u00e4mme riskien arvioimiseen. Uusi COSO-ERM painottaa riskien arvioimista eri n\u00e4k\u00f6kulmista kvantitatiivisilla menetelmill\u00e4, puhuen muun muassa riskiprofiilista, riskik\u00e4yrist\u00e4 ja siit\u00e4, miten riskin m\u00e4\u00e4rittely yhten\u00e4 arvona voi olla harhaanjohtavaa – mielenkiintoista ja linjassa oman kokemuksemme kanssa. Palaamme t\u00e4h\u00e4n ehdottomasti erikseen tulevaisuuden postauksessa, jossa k\u00e4sittelemme riskien arviointia hieman laajemminkin.<\/p>\n

Miten sitten l\u00e4hte\u00e4 uudistamisessa liikeelle? Koska viitekehyksen muutokset eiv\u00e4t olleet\u00a0 t\u00e4ysin mullistavia, ei ole tarvetta suin p\u00e4in rynn\u00e4t\u00e4 uudistamaan riskienhallintaprosessia ja dokumentaatiota.\u00a0Itse l\u00e4htisimme todenn\u00e4k\u00f6isesti liikeelle j\u00e4rjestelm\u00e4llisesti, periaate periaatteelta\u00a0 kartoittamaan suurimmat eroavaisuudet oman toiminnan ja uuden viikehehyksen v\u00e4lill\u00e4. T\u00e4m\u00e4n blogin lukijoille ei varmasti ole ep\u00e4selv\u00e4\u00e4, ett\u00e4 kannatamme\u00a0<\/b>riskienhallinnan viemist\u00e4 integroituun ja strategiseen suuntaan ja riskienhallinnan roolin uudistamista ja vahvistamista. Uudistetty COSO-ERM antaa t\u00e4lle ty\u00f6lle hyv\u00e4n pohjan.<\/p>\n

\n

L\u00e4hteet:<\/p>\n

COSO Enterprise Risk Management – Integrating with Strategy and Performance, COSO, 2017, AICPA, e-book<\/p>\n

Uusi COSO-ERM, Executive Summary<\/a><\/p>\n

Uusi COSO-ERM & Frequently Asked Questions<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Totesimme aikaisemmassa postauksessa ett\u00e4\u00a0riskienhallinnan viitekehykset\u00a0ovat tarpeellisia ty\u00f6kaluja tehokkaan riskienhallinnan kokonaisuuden toteutuksessa. Kansainv\u00e4lisi\u00e4, yleisesti k\u00e4ytettyj\u00e4\u00a0 viitekehyksi\u00e4 on muutamia, joista meill\u00e4 on kokemusta kahdesta. T\u00e4ss\u00e4 kirjoituksessa k\u00e4sitell\u00e4\u00e4n COSO ERM-viitekehyst\u00e4, josta julkaistiin juuri uusi versio ja my\u00f6hemmin tulemme kirjoittamaan toisesta, ISO31000:sta, josta on\u00a0 p\u00e4ivitysty\u00f6 juuri meneill\u00e4\u00e4n. COSO (Committee of Sponsoring Organisations of the Treadway Commission) organisaationa on riippumaton… <\/p>\n

Lue lis\u00e4\u00e4 COSO ERM uudistui – eroon kuutioajattelusta<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_exactmetrics_skip_tracking":false,"_exactmetrics_sitenote_active":false,"_exactmetrics_sitenote_note":"","_exactmetrics_sitenote_category":0,"footnotes":""},"categories":[6],"tags":[19,11,13,17],"class_list":{"0":"post-429","1":"post","2":"type-post","3":"status-publish","4":"format-standard","6":"category-kokonaisvaltainen-riskienhallinta","7":"tag-coso-erm","8":"tag-kokonaisvaltainen-riskienhallinta","9":"tag-strategia","10":"tag-viitekehys","11":"entry"},"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/riskiblogi.fi\/index.php?rest_route=\/wp\/v2\/posts\/429","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/riskiblogi.fi\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/riskiblogi.fi\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/riskiblogi.fi\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/riskiblogi.fi\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=429"}],"version-history":[{"count":58,"href":"https:\/\/riskiblogi.fi\/index.php?rest_route=\/wp\/v2\/posts\/429\/revisions"}],"predecessor-version":[{"id":614,"href":"https:\/\/riskiblogi.fi\/index.php?rest_route=\/wp\/v2\/posts\/429\/revisions\/614"}],"wp:attachment":[{"href":"https:\/\/riskiblogi.fi\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=429"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/riskiblogi.fi\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=429"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/riskiblogi.fi\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=429"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}