Conform INTOSAI GOV 91302, scopul gestionării riscului entității este acela de a permite managementului unei entități să identifice elementul de nesiguranţă privind atingerea obiectivelor stabilite şi riscul asociat acestuia (deciderea acțiunilor care să îl limiteze sau să îl înlăture) și să aibă oportunitatea de a spori capacitatea de adăugare de valoare, sau, în termeni utilizați în sectorul public, de a oferi servicii mai eficiente, economice şi eficace şi de a ţine cont de valori cum ar fi echitatea şi dreptatea.
Riscul poate fi considerat în sens negativ de incertitudine, amenințare, obstacol sau în sens pozitiv, de oportunitate.
Procesul de gestionare a riscului implică:
1. identificarea riscurilor aferente obiectivelor instituţiei, inclusiv a celor datorate factorilor interni şi externi, la nivel de instituţie şi la nivel de activitate.
2. evaluarea riscurilor:
- estimarea semnificaţiei riscurilor;
- evaluarea probabilităţii producerii riscurilor.
3. evaluarea înclinaţiei/dispoziției (gradului/nivelului) de acceptare a unor riscuri de către conducerea instituţiei;
4. crearea răspunsurilor/stabilirea acțiunilor ce trebuie întreprinse:
- trebuie avute în vedere patru tipuri de răspunsuri la risc: transfer, toleranţă, tratare sau terminare. Dintre acestea, tratarea riscurilor este cea mai relevantă, deoarece controalele interne eficiente reprezintă principalul mecanism de tratare a riscurilor;
- controalele adecvate care pot fi introduse pentru a evita riscurile pot fi de depistare sau de prevenire.
Având în vedere evenimentele economice din ultimii ani, cea mai importantă provocare va fi ca organizațiile să găsească echilibrul între risc, costuri și valoare, în condițiile în care un beneficiu semnificativ este de a avea cât mai multe rezultate cu resurse puține, dar care presupune o stabilire clară a riscurilor cheie cu care se confruntă entitățile.
Aspecte ce trebuie avute în vedere pentru echilibrarea riscului, costului și valorii
RISC: - Înțelege managementul entității riscurile cu care se confruntă? - Cunoaște riscurile cheie? - Se raportează managementului riscurile cheie? - Se acceptă nivelul corect de risc? - Se cunoaște dacă riscurile proprii se gestionează corespunzător? - Există un document specific referitor la risc (registru) ?
COST: - Se concentrează atenția pe riscurile semnificative? - Există riscuri care se dublează, se suprapun? - Sunt utilizate controale automate sau controale manuale? - Există combinația necesară de competențe corespunzătoare atinse prin costuri corecte? - Este optimizată utilizarea tehnologiei pentru gestionarea riscurilor?
VALOARE; - Riscurile asumate corespund obiectivelor strategice stabilite? - Se obțin beneficii corespunzătoare în investițiile riscante realizate? - Urmare procesului de gestionare a riscului se obțin soluții de îmbunătățire? - Gestionarea riscului ajută la un progres mai rapid sau la o încetinire a activității?