Процесс оценки рисков в организации

15. Аудитор должен получить понимание того, осуществляются ли в организации следующие процессы:

(a) выявление бизнес-рисков, значимых для целей финансовой отчетности;

(b) оценка значительности рисков;

(c) оценка вероятности возникновения рисков;

(d) принятие решений о мерах по снижению таких рисков (см. пункт A88).

16. Если в организации применяется такой процесс (далее по тексту он называется "процессом оценки рисков организации"), аудитор должен достичь понимания как самого процесса, так и результатов его применения. Если аудитор выявляет риски существенного искажения, которые не смогло выявить руководство, он должен оценить, нет ли в основе этих рисков такого типа риска, который, согласно ожиданиям аудитора, должен был быть выявлен процессом оценки рисков организации. Если такой риск существует, аудитор должен получить понимание того, почему он не был выявлен в процессе оценки рисков, и оценить, соответствуют ли процессы обстоятельствам, или определить, имеются ли в организации значительные недостатки в системе внутреннего контроля в части процесса оценки рисков.

17. Если такой процесс в организации не осуществляется или применяется в отношении отдельного случая, аудитор должен обсудить с руководством вопрос о том, были ли выявлены бизнес-риски, являющиеся значимыми для целей финансовой отчетности, и какие меры приняты по их устранению. Аудитор должен оценить, является ли отсутствие документально оформленного процесса оценки риска надлежащим в данных обстоятельствах или это является значительным недостатком системы внутреннего контроля (см. пункт A89).