Процесс оценки рисков в организации

7. Процесс оценки рисков организации является итеративным процессом выявления и анализа рисков для достижения целей организации и служит основой для определения руководством и лицами, отвечающими за корпоративное управление, рисков, которыми необходимо управлять.

8. Для целей составления финансовой отчетности процесс оценки рисков организации включает то, каким образом руководство определяет бизнес-риски, связанные с составлением финансовой отчетности в соответствии с применимой концепцией подготовки финансовой отчетности, оценивает их значительность и вероятность возникновения, а также принимает решения в отношении действий по управлению ими и полученных результатов. Например, процесс оценки рисков в организации может быть направлен на рассмотрение того, как организация учитывает возможность существования не отраженных в учете операций или определяет и анализирует оценочные значения, отраженные в финансовой отчетности.

9. Риски, связанные с заслуживающей доверия финансовой отчетностью, относятся к внешним и внутренним событиям, операциям или обстоятельствам, которые могут возникать и отрицательно влиять на способность организации инициировать, учитывать, обрабатывать и включать в отчетность финансовую информацию, соответствующую предпосылкам руководства, использованным при составлении финансовой отчетности. Руководство может разрабатывать планы, программы или действия в ответ на отдельные риски или может решить принять риск в силу возможных издержек или по иным соображениям. Риски могут возникать или изменяться как следствие ряда обстоятельств:

- изменения в операционной среде. Изменения в нормативном регулировании, экономических условиях или операционной среде могут привести к изменениям давления со стороны конкурентов и значительно изменить риски;

- новый персонал. Новый персонал может относиться иначе к системе внутреннего контроля или иметь другое ее понимание;

- новая или обновленная информационная система. Значительные и быстрые изменения в информационных системах могут изменить риски, связанные с системой внутреннего контроля организации;

- быстрый рост. Значительное и быстрое расширение деятельности организации может перегрузить средства контроля и увеличить риск сбоев в системе контроля;

- новые технологии. Внедрение новых технологий в производственный процесс или информационные системы может изменить риск, связанный с системой внутреннего контроля организации;

- новые бизнес-модели, продукты и виды деятельности. Расширение деятельности организации на новые сферы бизнеса или появление операций, в которых у организации мало опыта, может вызвать новые риски, связанные с системой внутреннего контроля;

- корпоративная реструктуризация. Реструктуризация может сопровождаться сокращением штата и изменениями в порядке осуществления надзора и разделения должностных обязанностей, что может изменить риск, связанный с системой внутреннего контроля организации;

- расширение зарубежных операций. Расширение деятельности или приобретение подразделений за рубежом создает новые и во многих случаях уникальные риски, которые могут повлиять на систему внутреннего контроля, например дополнительные или измененные риски, связанные с операциями в иностранной валюте;

- новые стандарты и разъяснения в сфере бухгалтерского учета. Принятие новых принципов бухгалтерского учета или изменение бухгалтерских принципов может повлиять на риски, связанные с подготовкой финансовой отчетности;

- использование информационных технологий. Риски, связанные с:

-- сохранением целостности данных и обработкой информации;

-- рисками для бизнес-стратегии организации, которые возникают в случае, если ИТ-стратегия организации неэффективно поддерживает ее бизнес-стратегию, или

-- изменениями или сбоями в ИТ-среде организации, или текучестью сотрудников ИТ-отдела, или случаями, когда организация не проводит необходимых обновлений своей ИТ-среды или проводит их несвоевременно.