Managementul riscului este procesul prin care trece o companie pentru a identifica, evalua și prioritiza riscurile. În timpul unui audit de management al riscului, compania va angaja fie o persoană internă, fie o persoană externă pentru a revizui pașii de management al riscului pe care i-a luat o companie. Auditorii vor revizui planurile specifice de management al riscului pentru a se asigura că sunt relevante, oportune și eficiente. Companiile vor folosi audituri ca parte a procesului de management al riscului pentru a se asigura că planul sau procedurile nu devin învechite dacă nu sunt utilizate frecvent.
Separarea funcției de management al riscului de auditul de management al riscului permite unei companii să aibă o a doua pereche de ochi pentru a revizui planurile de management al riscului. Acest lucru creează, de asemenea, o segregare naturală a sarcinilor în cadrul companiei. Separarea sarcinilor asigură că un angajat nu are prea multă responsabilitate sau control asupra unei funcții interne de afaceri. Un alt avantaj al acestei separări este acela de a se asigura că mai mulți angajați au cunoștințe despre planul de management al riscului unei companii. Acest lucru asigură că absența unui angajat nu creează un risc în sine sau în cadrul organizației.
Utilizarea unui auditor extern pentru auditul de management al riscului poate îmbunătăți și mai mult acest proces pentru a se asigura că compania a creat un plan adecvat pentru managementul riscului. Companiile din unele industrii pot beneficia, de asemenea, de cunoștințele unui auditor extern despre o industrie și de capacitatea de a oferi sugestii pentru revizuirea planului de management al riscului. Companiile care au nevoie de certificare de la o agenție externă vor beneficia, de asemenea, de un audit extern de gestionare a riscurilor. De exemplu, companiile care caută fonduri de la bănci sau creditori ar putea avea nevoie să furnizeze o declarație a auditorului care detaliază planul companiei pentru gestionarea și evitarea riscului.
Procesul de audit al managementului riscului va urma de obicei câțiva pași de bază, deși auditurile sunt de obicei individuale pentru fiecare companie. Auditul va începe cu o întâlnire pentru a discuta sfera auditului și pentru a determina riscurile pe care echipa de management a companiei consideră că sunt cele mai periculoase pentru companie. După această întâlnire inițială, auditorii vor concepe un plan scris pentru selectarea unui eșantion și a metodelor de testare pentru a determina cât de eficient pare a fi planul de management al riscului al companiei în comparație cu posibilitatea fiecărui risc.
Efectuarea unui audit nu este de obicei un proces frecvent. Auditurile sunt atât lungi, cât și costisitoare, ceea ce reprezintă două dezavantaje semnificative pentru acest proces. Majoritatea companiilor efectuează o revizuire informală a planului lor de management al riscurilor pe plan intern. Auditurile formale reprezintă un eveniment anual sau semestrial care permite companiei să fie supusă unei revizuiri amănunțite. De cele mai multe ori, acest audit va fi separat de auditul financiar al companiei, deoarece procedurile sunt diferite pentru fiecare tip de audit.