Considerazioni Finali su Modelli e Standard COSO ed ISO in ambito Risk Management

Considerazioni Finali su Modelli e Standard COSO ed ISO in ambito Risk Management

9 maggio 2025

di Fabio ACCARDI

Premessa 

Come evidenziato nei contributi già pubblicati su questa piattaforma, per quanto i due Enti di riferimento  per i modelli che abbiamo esaminato, COSO(1)(2) ed ISO(3),  abbiano operato secondo comuni finalità   significative sono le differenze riconducibili a quelle che sono le missioni che queste organizzazioni intendono perseguire che ne hanno caratterizzato lo scopo fin dalla loro genesi. Può essere utile riepilogarle brevemente qui di seguito:

CoSO (Committee of Sponsoring Organizations of the Treadway Commission) è un’iniziativa congiunta di cinque associazioni ed istituti  di rilievo internazionale   che raccolgono professionisti operanti in ambito  finanziario e manageriale istituita nel 1985 con lo scopo di fornire direttrici di alto livello per lo sviluppo di modelli e framework sulla gestione:

  • dei rischi aziendali,
  • dei controlli interni e,
  • sulle modalità di mitigazione del rischio frodi.

ISO è un ente internazionale che ha origine negli anni successivi al dopoguerra creato con la finalità di definire norme tecniche di generale applicazione, quali la ISO 31 sulle unità di misura. L‘organizzazione senza scopo di lucro sviluppa e pubblica standard praticamente di ogni tipo possibile, che vanno dagli standard per la tecnologia dell’informazione alla dinamica dei fluidi e all’energia nucleare. Con sede a Ginevra, in Svizzera, ISO è composta da 162 membri, ciascuno l’unico rappresentante per il proprio paese. In qualità di più grande sviluppatore ed editore di standard al mondo, ISO ricopre il ruolo vitale di un mezzo per l’accordo tra i singoli sviluppatori di standard, diffondendo i progressi compiuti dagli sviluppatori locali di un paese in tutto il mondo per promuovere l’obiettivo della standardizzazione.
Con il tempo il campo di applicazione delle ISO si è esteso anche ai Sistemi di Gestione. Per Sistema di Gestione si intende un insieme standardizzato di norme e regole finalizzate al dominio su tutte le variabili dell’attività operativa di un’azienda, considerate critiche per l’attuazione degli obiettivi aziendali.

Le differenze non devono essere interpretate come elementi di criticità ma piuttosto come spunti di arricchimento in ragione delle diverse finalità che intendiamo perseguire nello svolgimento delle nostre analisi.

In questo  contributo  cercheremo, quindi, di svolgere alcune considerazione d’insieme  sui modelli e le normative  in oggetto  cercando di evidenziare punti di contatto e principali differenze  con l’intento di valorizzarne i contenuti. 

Questi temi, saranno affrontati nella prima sessione del corso  – varato dalla piattaforma Risk & Compliance – su Gestione del Rischio, Compliance & Internal Auditing e che avrà luogo in data 16 maggio.

Punti in comune tra ISO 31000 e COSO ERM (2004 e 2017)

  1. Obiettivo comune
    • Entrambi mirano a integrare la gestione del rischio nei processi decisionali per migliorare le performance e il raggiungimento degli obiettivi strategici.
  2. Gestione integrata
    • Entrambi gli standard sottolineano l’importanza di integrare la gestione del rischio in tutta l’organizzazione e nei processi aziendali. 
  3. Principio di miglioramento continuo
    • La gestione del rischio deve essere un processo dinamico e continuamente migliorato.
  4. Focus su cultura 
    • Sia la ISO 31000 che il COSO ERM riconoscono l’importanza della cultura organizzativa  nella gestione efficace del rischio.

Differenze principali

1. Struttura e approccio

  • ISO 31000:2018:
    • È una guida generica applicabile a tutti i settori, senza entrare nel dettaglio di procedure specifiche o obblighi normativi.
    • Si concentra su principi (8 principi chiave), una struttura di riferimento(framework) e un processo ciclico per gestire i rischi (identificazione, analisi, trattamento, monitoraggio).
  • COSO ERM:
    • Offre una struttura dettagliata, particolarmente utile per le organizzazioni che operano in ambito finanziario o regolamentato.
    • La versione 2004 è strutturata in otto componenti principali  mentre la revisione del 2017 è organizzata in 5 categorie integrate che enfatizzano il legame tra gestione del rischio e creazione di valore.

2. Orientamento strategico

  • ISO 31000:2018:
    • Si concentra sulla gestione del rischio come mezzo per sostenere gli obiettivi organizzativi, ma senza esplicitamente collegare il rischio alla creazione di valore economico.
  • COSO ERM (2017):
    • Il framework del 2017 sottolinea esplicitamente il legame tra la gestione del rischio e la creazione, protezione e realizzazione del valore.
    • La gestione del rischio è considerata un mezzo per migliorare la performance aziendale e ottenere vantaggi competitivi.

3. Cultura e comportamenti

  • ISO 31000:2018:
    • Mette in evidenza il ruolo del fattore umano e della cultura organizzativa, ma in modo meno esplicito rispetto al COSO.
  • COSO ERM (2017):
    • Dedica maggiore enfasi alla cultura del rischio come uno degli elementi principali per un’efficace gestione del rischio, evidenziando la necessità di allineare comportamenti, valori e processi aziendali.

4. Processo vs Struttura

  • ISO 31000:2018:
    • È più orientata a descrivere un processo ciclico di gestione del rischio, con passaggi chiari: comunicazione, valutazione, trattamento, monitoraggio e revisione.
  • COSO ERM:
    • Offre una struttura più articolata, che include la governance, il processo decisionale strategico e l’integrazione del rischio nella gestione aziendale.

5. Flessibilità e adattabilità

  • ISO 31000:2018:
    • È volutamente generica e altamente personalizzabile, per essere applicata a qualsiasi contesto organizzativo, indipendentemente da settore o dimensione.
  • COSO ERM:
    • Sebbene flessibile, è più orientato alle organizzazioni di grandi dimensioni, soprattutto in settori regolamentati o con complessità elevata (ad esempio finanza, assicurazioni).

Conclusioni

In conclusione si ritiene  che dal punto di vista del governo societario con focus sui temi finanziari il modello CoSO ERM sia più adatto a fornire risposte adeguate per quanto attiene in particolare alla Risk & Control Governance che costituisce la base sulla quale  poggia la Corporate Governance.

Va considerato in particolare che la versione ERM 2004 presenta la peculiarità di incorporare il sistema di controllo interno. Abbiamo infatti illustrato come in questa versione IC-IF (Internal Control – Integrated Framework) è “ embedded” negli otto componenti del modello essendo cinque di questi comuni ai due framework. Per questo motivo riteniamo che questo modello sia il più indicato ad essere di riferimento per i temi di organizzazione e governance.

ERM 2017 d’altro rappresenta un evoluzione in  una prospettiva più strategica e integrata rafforzando  il legame tra gestione del rischio e decisioni strategiche. Un ulteriore passaggio evolutivo in tal  senso ha rappresentato la norma ISO 31000 nel 2018  che assume  una valenza generale ancora piu generale essendo estendibile a tutti i tipi di organizzazioni.

La logica del miglioramento continuo, infatti, diviene uno stimolo ad utilizzare  l’approccio sistemico per tutti gli ambiti della gestione con significativi vantaggi  per la gestione dei rischi a livello di processo come abbiamo avuto modo di illustrare nel precedente contributo pubblicato sul tema.

Riteniamo quindi che questi due modelli ed in particolare  la ISO 31000 -2018 possano  essere utilizzati  come riferimento per l’analisi del  processo di risk management.

Percorso formativo “Gestione del Rischio, Compliance e Internal Auditing“. Qui tutti i dettagli

(4/4)

(1) LEGGI QUI l’articolo precedente  1/4,   Modelli e Standard Internazionali per il Risk Management – Come orientarsi e quali utilizzare? Focus su ERM 2004

(2) LEGGI QUI l’articolo precedente 2/4, ERM 2017: Integrare ERM con Strategia e Performance

(3) LEGGI QUI l’articolo precedente 3/4, Risk Management secondo lo standard ISO 31000:2018

Related Items

GRC e creazione  di valore: cosa portiamo a casa dal webinar del 15 maggio?GRC e creazione  di valore: cosa portiamo a casa dal webinar del 15 maggio?
Continua a leggere
Global Internal Audit Standards: la nuova versione a sostegno delle sfide che IA e funzioni interne di Assurance devono affrontareGlobal Internal Audit Standards: la nuova versione a sostegno delle sfide che IA e funzioni interne di Assurance devono affrontare
Continua a leggere
Cause Frodi AziendaliFrodi nelle organizzazioni: quali sono le cause ricorrenti?
Continua a leggere

Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono segnati con *