Zarządzanie ryzykiem to proces, przez który przechodzi firma w celu identyfikacji, oceny i priorytetyzacji ryzyka. Podczas audytu zarządzania ryzykiem firma zatrudni osobę wewnętrzną lub zewnętrzną w celu sprawdzenia podjętych przez firmę kroków w zakresie zarządzania ryzykiem. Audytorzy dokonają przeglądu konkretnych planów zarządzania ryzykiem, aby upewnić się, że są one odpowiednie, terminowe i skuteczne. Firmy będą wykorzystywać audyty jako część procesu zarządzania ryzykiem, aby zapewnić, że plan lub procedury nie przestaną działać, jeśli nie będą często używane.
Oddzielenie funkcji zarządzania ryzykiem od audytu zarządzania ryzykiem pozwala firmie mieć drugą parę oczu do przeglądu planów zarządzania ryzykiem. Tworzy to również naturalny podział obowiązków w firmie. Podział obowiązków zapewnia, że jeden pracownik nie ponosi zbyt dużej odpowiedzialności ani kontroli nad wewnętrzną funkcją biznesową. Kolejną zaletą tego rozdziału jest zapewnienie, że wielu pracowników posiada wiedzę na temat planu zarządzania ryzykiem firmy. Gwarantuje to, że nieobecność jednego pracownika nie stwarza ryzyka samo w sobie ani w organizacji.
Wykorzystanie zewnętrznego audytora do audytu zarządzania ryzykiem może dodatkowo usprawnić ten proces, aby zapewnić, że firma stworzyła odpowiedni plan zarządzania ryzykiem. Firmy w niektórych branżach mogą również skorzystać na wiedzy audytora zewnętrznego na temat branży i umiejętności oferowania sugestii dotyczących przeglądu planu zarządzania ryzykiem. Firmy wymagające certyfikacji od agencji zewnętrznej również skorzystają z zewnętrznego audytu zarządzania ryzykiem. Na przykład firmy poszukujące funduszy od banków lub pożyczkodawców mogą być zmuszone do przedstawienia oświadczenia biegłego rewidenta, które zawiera szczegółowy plan firmy dotyczący zarządzania ryzykiem i unikania go.
Proces audytu zarządzania ryzykiem zazwyczaj składa się z kilku podstawowych kroków, chociaż audyty są zwykle indywidualne dla każdej firmy. Audyt rozpocznie się od spotkania w celu omówienia zakresu audytu i ustalenia, jakie ryzyka zdaniem kierownictwa firmy są najbardziej niebezpieczne dla firmy. Po tym wstępnym spotkaniu audytorzy opracują pisemny plan doboru próbki i metody testowania w celu określenia, jak skuteczny wydaje się plan zarządzania ryzykiem firmy w porównaniu z możliwością wystąpienia każdego ryzyka.
Przeprowadzanie audytu zazwyczaj nie jest procesem częstym. Audyty są zarówno długotrwałe, jak i kosztowne, co stanowi dwie istotne wady tego procesu. Większość firm przeprowadza wewnętrznie nieformalny przegląd swojego planu zarządzania ryzykiem. Formalne audyty to coroczne lub półroczne wydarzenie, które pozwala firmie na wnikliwy przegląd. W większości przypadków audyt ten będzie oddzielny od audytu finansowego firmy, ponieważ procedury są różne dla każdego rodzaju audytu.