ValstybesKontrole.lt

Rizikos įvertinimo procesas

Rizikos įvertinimo procesas – tai rizikos veiksnių, susijusių su subjekto tikslų pasiekimu, nustatymo bei analizės ir atitinkamos reakcijos numatymo procesas. Šis vertinimas apima rizikos nustatymą (rizika, susijusi su įstaigos tikslais, visapusė rizika, rizika dėl išorės ir vidaus veiksnių visos įstaigos ir pavienės veiklos lygiu), rizikos vertinimą (rizikos reikšmingumo nustatymas, rizikos tikimybės įvertinimas), subjekto toleruojamos rizikos nustatymą ir reagavimo numatymą (procedūros rizikai sumažinti iki priimtino lygio). Rizikos vertinimo procesas įstaigoje turi būti nuolatinis ir pasikartojantis procesas.

Auditorius, analizuodamas įstaigos rizikos vertinimo procesą, turėtų atsakyti į šiuos klausimus:

  • ar, siekiant įstaigai iškeltų strateginių ir kitų tikslų, nustatoma rizika, galinti sutrukdyti šiuos tikslus pasiekti;
  • kaip vertinama nustatyta rizika (per pasitarimus, vadovaujantis vidaus ar išorės auditų išvadomis ir rekomendacijomis, naudojantis rizikos vertinimo modeliais, kitais būdais);
  • kaip įstaiga valdo nustatytą riziką.

Vadovaudamasis 2315-ojo TAAIS 22 d. reikalavimais, auditorius turi suprasti subjekto ar objekto rizikos įvertinimo procesą, susijusį su finansinių ataskaitų rengimu. Šiuo tikslu auditorius turi atlikti rizikos įvertinimo procedūras, kurių metu turi suprasti (A), įvertinti (B) ir nustatyti (C):

A) suprasti procesą, skirtą:
1. nustatyti veiklos riziką, susijusią su finansinės atskaitomybės tikslais;
2. įvertinti tokios rizikos reikšmingumą, įskaitant jos atsiradimo tikimybę;
3. reaguoti į tokią riziką.
B) įvertinti, ar
šis rizikos įvertinimo procesas yra tinkamas pagal aplinkybes, atsižvelgiant į subjekto ar objekto pobūdį ir sudėtingumą.
C) nustatyti, ar
buvo aptiktas vienas ar keli kontrolės priemonių trūkumai (pvz., taikomos politikos neatitinka subjekto pobūdžio ir aplinkybių) ir priimti profesinį sprendimą, ar šie trūkumai (atskirai ar kartu su kitais trūkumais) yra reikšmingi.

Finansinės atskaitomybės tikslais subjekto rizikos įvertinimo procesas apima tokius dalykus: kaip vadovybė nustato veiklos riziką, susijusią su finansinių ataskaitų rengimu pagal subjekto taikomą finansinės atskaitomybės tvarką, įvertina rizikos dydį, nustato jos svarbą, įvertina atsiradimo tikimybę ir priima sprendimą dėl veiksmų, skirtų užkirsti jai kelią, ir tokių veiksmų rezultatų. Pavyzdžiui, subjekto rizikos įvertinimo metu nustatoma, kaip subjektas vertina tikimybę, kad ūkinės operacijos gali būti neįregistruotos, arba nustato ir išanalizuoja į finansines ataskaitas įtrauktus reikšmingus įverčius.

Patikimai finansinei atskaitomybei svarbi rizika apima subjekto vidaus ir išorės įvykius, ūkines operacijas ar aplinkybes, kurie gali įvykti ir neigiamai paveikti subjekto galimybes inicijuoti, registruoti, apdoroti ir ataskaitose parodyti svarbią finansinę informaciją, atitinkančią vadovybės tvirtinimus finansinėse ataskaitose. Vadovai gali inicijuoti planus, programas ar veiksmus konkretiems rizikos veiksniams šalinti arba dėl išlaidų ar kitų priežasčių gali nuspręsti riziką laikyti priimtina. Ji gali kilti arba pasikeisti dėl šių aplinkybių (sąrašas nebaigtinis):

  • veiklos aplinkos pasikeitimas. Pasikeitus priežiūros, ekonominei ar veiklos aplinkai gali keistis konkurencinis spaudimas ir atsirasti kitokia rizika;
  • nauji darbuotojai. Jie gali kitaip vertinti ar suprasti subjekto vidaus kontrolės sistemą;
  • naujos ar atnaujintos informacinės sistemos. Dideli ir spartūs informacinių sistemų pokyčiai gali pakeisti su subjekto vidaus kontrolės sistema susijusią riziką;
  • naujos technologijos;
  • nauja veikla;
  • subjekto restruktūrizavimas. Dėl restruktūrizavimo gali sumažėti darbuotojų skaičius, keistis priežiūros lygis ir pareigų atskyrimas, o tai gali keisti riziką, susijusią su subjekto vidaus kontrolės sistema;
  • IT naudojimas. Rizika susijusi su:
    • duomenų ir informacijos apdorojimo vientisumo užtikrinimu;
    • subjekto veiklos strategija, kai tokia rizika kyla, jei subjekto IT strategija efektyviai nepalaiko subjekto veiklos strategijos; arba
    • subjekto IT aplinkos pokyčiais, trikdžiais arba IT darbuotojų kaita, arba kai subjektas nevykdo būtinų IT aplinkos naujinimų arba šie naujinimai atliekami ne laiku.

Svarbu! Jeigu auditorius nustato reikšmingo iškraipymo riziką, kurios vadovybė nenustatė, jis turi, vadovaudamasis 2315-ojo TAAIS 23 d. reikalavimais:

  1. nustatyti, ar tai yra tokios rūšies rizika, kuri, kaip auditorius galėtų tikėtis, turėtų būti nustatyta subjekto rizikos įvertinimo proceso metu, ir, jeigu taip, suprasti, kodėl tokia reikšmingo iškraipymo rizika nebuvo nustatyta subjekto rizikos įvertinimo proceso metu; ir
  2. apsvarstyti poveikį auditoriaus atliekamam rizikos įvertinimo proceso įvertinimui (atliekamam pagal 2315-ojo TAAIS 22 d. b p.), ar šis procesas yra tinkamas pagal aplinkybes, atsižvelgiant į subjekto ar objekto pobūdį ir sudėtingumą.

Grupės auditoriaus supratimas apie grupės rizikos įvertinimo procesą gali apimti tokius dalykus kaip grupės vadovybės vykdomas rizikos įvertinimo procesas, t. y. procesas, kuriuo nustatoma, analizuojama ir valdoma veiklos rizika, įskaitant apgaulės riziką, dėl kurios gali atsirasti reikšmingų grupės finansinių ataskaitų iškraipymų. Jis taip pat gali apimti supratimą apie tai, kiek pažangus yra grupės rizikos įvertinimo procesas ir tai, kiek subjektai dalyvauja šiame procese.

Susiję dokumentai

Audito standartai