7. Kết cấu của đề tài
1.2. Khuôn mẫu kiểm soát nội bộ theo INTOSAI
1.2.2. Đánh giá rủi ro
ĐGRR là q trình xác định và phân tích về những rủi ro có liên quan đến việc đạt đƣợc các mục tiêu của tổ chức và những phản ánh thích hợp. Có thể hiểu đây là việc xác định rủi ro liên quan đến môi trƣờng của tổ chức; xem xét một cách toàn diện; bao gồm cả yếu tố bên trong và bên ngoài, về cả các đơn vị và các hoạt động cùng cấp độ.
Tiếp theo là ĐGRR, dự đốn mức độ rủi ro, đánh giá tình huống và trƣờng hợp có khả năng xảy ra rủi ro. ĐGRR về lòng tham trong tổ chức và phát triển các phản hồi, có 4 dạng phản hồi: Chuyển đổi, sai số, phản ứng hoặc kết thúc; phản ứng với rủi ro là vấn đề có liên quan nhất đến hƣớng dẫn về KSNB vì KSNB hiệu quả là hoạt động chính để xử lý vấn đề rủi ro. Các HĐKS thích hợp có thể là phát hiện hoặc cả ngăn ngừa. Vì chính phủ, nền
kinh tế, nền cơng nghiệp, các điều kiện thơng thƣờng và hoạt động thì ln thay đổi, ĐGRR nên là cả quá trình hoạt động liên tục. Đơn vị xác định và phân tích trong những điều kiện thay đổi, cơ hội thay đổi và rủi ro cũng thay đổi và KSNB cũng đƣợc thay đổi để thích hợp với những thay đổi của rủi ro trong tổ chức.
Mục tiêu không phải là bộ phận của KSNB, nhƣng đơn vị phải thiết kế và vận hành KSNB nhằm đảm bảo đạt đƣợc mục tiêu. Có 3 loại mục tiêu: Mục tiêu tuân thủ; Mục tiêu báo cáo; và Mục tiêu hoạt động.
ĐGRR bao gồm q trình nhận dạng và phân tích các rủi ro một cách thích hợp để đạt đƣợc mục tiêu tổ chức và xác định biện pháp xử lý phù hợp.
Thứ nhất, Nhận dạng rủi ro
Nhận dạng rủi ro bao gồm rủi ro từ bên ngoài và bên trong, rủi ro ở cấp toàn đơn vị và từng hoạt động, rủi ro đƣợc xem xét liên tục trong suốt quá trình hoạt động của đơn vị.
Liên quan đến khu vực công, các cơ quan nhà nƣớc phải quản trị rủi ro ảnh hƣởng đến mục tiêu giao phó, bao gồm cả các chỉ tiêu đƣợc giao trong kế hoạch của đơn vị.
Thứ hai, phân tích rủi ro
Để kiểm soát đƣợc các rủi ro, vấn đề quan trọng không chỉ là nhận diện các rủi ro tồn tại mà còn là đánh giá tầm quan trọng, tác hại mà rủi ro gây ra và khả năng xảy ra rủi ro.
Có nhiều phƣơng pháp ĐGRR tùy theo mỗi loại rủi ro, tuy nhiên phải ĐGRR một cách có hệ thống. Ví dụ: Phải xây dựng các tiêu chí để ĐGRR, sau đó sắp xếp thứ tự các rủi ro, từ đó nhà lãnh đạo sẽ phân bổ nguồn lực đối phó rủi ro.
Thứ ba, Thiết lập các biện pháp đối phó
Có bốn biện pháp đối phó với rủi ro: Chia sẻ rủi ro; Chấp nhận rủi ro; Tránh né rủi ro; và Giảm thiểu rủi ro. Trong phần lớn các trƣờng hợp rủi ro
phải đƣợc xử lý hạn chế và đơn vị duy trì KSNB để có biện pháp thích hợp. Các biện pháp xử lý hạn chế rủi ro ở mức độ hợp lý, vì mối liên hệ giữa lợi ích và chi phí nhƣng nếu nhận dạng đƣợc và đánh giá đƣợc rủi ro thì có sự chuẩn bị tốt hơn.
Khi môi trƣờng thay đổi nhƣ các điều kiện về KT-XH, quy định của nhà nƣớc, kỹ thuật, công nghệ, luật pháp sẽ làm rủi ro thay đổi thì việc ĐGRR cũng nên thƣờng xuyên xem xét lại, điều chỉnh cho phù hợp với từng thời kỳ.