Audyt, Kontrola, Zarządzanie Ryzykiem

Obowiązująca od 1 stycznia 2010 Ustawa o finansach publicznych wymienia wśród celów kontroli zarządczej w Jednostkach Sektora Finansów Publicznych m.in. zapewnienie zarządzania ryzykiem, zobowiązując jednocześnie Ministra Finansów do ogłoszenia standardów kontroli zarządczej dla sektora finansów publicznych, zgodnych z standardami międzynarodowymi.

Konieczne staje się w tej sytuacji, określenie wzajemnych relacji pomiędzy audytem wewnętrznym, a kontrolą zarządczą, ze szczególnym uwzględnieniem zarządzania ryzykiem, gdyż wszystkie trzy dziedziny funkcjonują w organizacjach, w lepiej lub gorzej określonych ramach, ale na pewno nie w sposób odseparowany – zgodnie z Ustawą o finansach publicznych, zadaniem audytu wewnętrznego jest ocena kontroli zarządczej.

Przedmiotem  działania tak kontroli zarządczej jak i audytu wewnętrznego czy kontroli wewnętrznej jest prawidłowość działania organizacji. Cechą wspólną – pozyskiwanie informacji i wytwarzanie rezultatów. Wymóg rozpatrywania wszystkich informacji istotnych z punktu widzenia jednej dziedziny zmusza do brania pod uwagę rezultatów działania dziedziny drugiej. Trudno sobie wyobrazić, by zarządzanie ryzykiem mogło ignorować rezultaty audytu czy kontroli dotyczące prawidłowości działania w określonym obszarze funkcjonowania organizacji.

 

Z drugiej strony sensowne jest założenie, że zarządzanie ryzykiem w JSFP dążyć będzie do oparcia się na faktycznych wartościach ryzyka oraz modelach odpowiadających faktycznym (funkcjonującym w realnym świecie) mechanizmom rządzącym zdarzeniami i działaniami (źródłami ryzyka) oraz ich skutkami.

 

Przyjęcie tego założenia wprost prowadzi do sformułowania trzech podstawowych zagadnień dotyczących pozyskiwania informacji wejściowych dla systemu zarządzania ryzykiem:

  • Identyfikacji ryzyk w organizacji (m.in. ich źródeł, miejsc realizowania się i skutków).
  • Sposobów określania faktycznych wartości ryzyka w poszczególnych obszarach działania organizacji.
  • Identyfikowania i interpretowania faktycznych mechanizmów rządzących poszczególnymi ryzykami.

 

Celowe jest dokonanie przeglądu warunków i sposobów użycia metod i rezultatów działań audytu wewnętrznego i kontroli wewnętrznej pod kątem przydatności dla zarządzania ryzkiem w tym zakresie.

 

 Należy udzielić odpowiedzi na m.in. następujące pytania:

  • Które informacje wytwarzane podczas audytu (kontroli) mogą zostać użyte jako informacje wejściowe dla systemu zarządzania ryzykiem?
  • Jaka ich postać (treść i forma) jest dla tego celu użyteczna?
  • Jakie są dozwolone (uzasadnione) sposoby ich użycia (interpretacji)?

 

Ogłoszony Dzienniku Urzędowym Ministra Finansów 30 grudnia 2009 r. (Nr 15, poz. 84) Komunikat Ministra Finansów nr 23 z dnia 16 grudnia 2009 r. w sprawie standardów kontroli zarządczej dla sektora finansów publicznych w rozdziale „II. Standardy kontroli zarządczej”, grupie „B. Cele i zarządzanie ryzykiem” precyzuje trzy punkty wyznaczające obszar tego opracowania:

7. Identyfikacja ryzyka

Nie rzadziej niż raz w roku należy dokonać identyfikacji ryzyka w odniesieniu do celów i zadań.

W przypadku działu administracji rządowej lub jednostki samorządu terytorialnego należy uwzględnić, że

cele i zadania są realizowane także przez jednostki podległe lub nadzorowane. W przypadku istotnej

zmiany warunków, w których funkcjonuje jednostka należy dokonać ponownej identyfikacji ryzyka.

  1. Analiza ryzyka

Zidentyfikowane ryzyka należy poddać analizie mającej na celu określenie prawdopodobieństwa

wystąpienia danego ryzyka i możliwych jego skutków. Należy określić akceptowany poziom ryzyka.

  1. Reakcja na ryzyko

W stosunku do każdego istotnego ryzyka powinno się określić rodzaj reakcji (tolerowanie, przeniesienie,

wycofanie się, działanie). Należy określić działania, które należy podjąć w celu zmniejszenia danego

ryzyka do akceptowanego poziomu.”

 

Ważne dla posługiwania się pojęciem „ryzyko” (podstawowym dla cytowanego fragmentu aktu)  jest założenie, iż przywołane w p. 8 pojęcie „prawdopodobieństwo” jest tożsame z pojęciem funkcjonującym w matematyce (rachunek prawdopodobieństwa, statystyka) upowszechnianej tak w szkołach publicznych jak i prywatnych na wszystkich kontynentach od wieków.

 

Następną ważną kwestią  jest sama definicja ryzyka.

Założenie, że ryzyko jest zjawiskiem obiektywnie istniejącym (tzn.  istniejącym niezależnie od tego co się o nim myśli i mówi) skłania do postawienia dwóch wymagań dla jego definicji:

 

  • odzwierciedlania w maksymalnym stopniu tego aspektu zjawiska, którego definicja dotyczy
  • przydatności dla stosowanej metodyki – umożliwienia dokonywania operacji (np. obliczeń)

Problemem nie jest wielość definicji ryzyka w  funkcjonujących obecnie koncepcjach identyfikowania, analizy,  badania i zarządzania ryzykiem, a zadziwiająca nonszalancja przy ich tworzeniu i posługiwaniu się.

Wyrażane są również poglądy, by ryzyka nie definiować (jak pojęć pierwotnych – np. punktu w geometrii czy zdarzenia elementarnego w rachunku prawdopodobieństwa), bo dla mierzenia ryzyka, wystarczy definiować jego miary.

Istnieje na szczęście dosyć powszechna zgoda na to, że istota ryzyka polega na wpływie (ujemnym) możliwych zdarzeń na pewne ( istotne) wartości.

 

Rozsądne wydaje się, by ryzyko zdefiniować jako zjawisko wpływu (ujemnego) możliwości wystąpienia zdarzeń (losowych) na wartość, która ulega temu wpływowi, a za miarę ryzyka przyjąć wartość oczekiwaną tego wpływu.

 

Oczywiście można zdefiniować ryzyko szerzej – jako zjawisko polegające na istnieniu (niekoniecznie jednowymiarowej) zmiennej losowej przyjmującej wartości w postaci skutków zdarzeń losowych, a wartość oczekiwaną traktować jako jeden z możliwych parametrów jej rozkładu, właściwych dla mierzenia tak zdefiniowanego ryzyka.

 

Jednak z praktycznego punktu widzenia, dla możliwości zastosowania prostych reguł rachunku prawdopodobieństwa i statystyki do obliczania wielkości ryzyka, wygodnie jest stosować określony parametr – wartość oczekiwaną, jednowymiarowej zmiennej losowej.

 

W organizacjach publicznych i finansowych funkcjonują działy (komórki) audytu (wewnętrznego) oraz działy (komórki) kontroli, których przedmiotem działań jest dokonywanie ocen wszelkich obszarów działalności (obszarów ryzyka). Jednak użycie wprost rezultatów ich działań dla oceny ryzyka na potrzeby zarządzania ryzykiem jest często utrudnione, gdyż:

  • oceny dokonywane przez kontrole dotyczą zwykle wybranych nielosowo obiektów lub aspektów i nie dają się ekstrapolować na całe zbiorowości
  • oceny dokonywane przez audyt w przeważającej części są „jakościowe” tzn. nawet jeśli ocena jest w postaci liczby, to jej interpretacja nie jest uniwersalna.

Należy jednak stwierdzić, że metodyki tak audytu jak i kontroli dysponują metodami i narzędziami z zakresu np. analityki i statystyki, które (jeśli byłyby stosowane częściej i szerzej niż obecnie), zwiększyłyby jakość właściwych im działań i jednocześnie udostępniłyby ich rezultaty dla celów zarządzania ryzykiem.

 

Oczywiście niezbędnym warunkiem jest posługiwanie się przez te dziedziny:

  • ścisłymi i niesprzecznymi definicjami używanych pojęć i terminów
  • mierzalnymi ocenami (rezultatami badań i testów)
  • wytłumaczalnymi (weryfikowalnymi) wielkościami, wzorami i konstrukcjami

 

Zastosowanie wybranych metod audytu

Definiowanie procesów (tzw. ścieżki audytu)

Stosowanie w audycie tzw. „ścieżek audytu”, niezależnie od dyskusji nad precyzją definicji pojęcia, polega na tworzeniu opisu (słownego, tabelarycznego lub graficznego) procesu poddawanego badaniu. Opis słowny daje niewielkie możliwości sformalizowania , ale opis tabelaryczny lub graficzny skłaniają do zastosowania usystematyzowanego podejścia ze względu na konieczność zdefiniowania mniej lub bardziej ścisłych reguł ich tworzenia. Oczywiście na pewno wymagane jest coś więcej niż ustalenie tytułów kolumn tabeli, jednak dalsze formułowanie wymagań co do formalizacji opisu należy podporządkować jego celowi.

Cele tworzenia „ścieżek audytu” są pokrewne celom zarządzania ryzykiem w zakresie identyfikowania ryzyka – metodyka zaleca wskazywanie elementów kontrolnych, wykonywanych w ramach czynności badanego procesu oraz rejestrów gromadzących rezultaty wykonywania procesu na poszczególnych etapach. Standardowy tabelaryczny opis procesu w audycie zawiera takie kolumny, nie zamykając oczywiście ich listy. Obie grupy elementów opisu są naturalnym miejscem na wypowiadanie się o poprawności wykonywania procesu – określenie udziału błędnych zapisów w rejestrach, o ile będzie dotyczyło poszczególnych elementów zapisu, wskazuje na występujące tam prawdopodobieństwo wystąpienia błędu i wprost przekłada na ocenę zakresu i skuteczności właściwych mu kontroli.

Oczywiście kontrole i rejestry nie są (nie muszą być) umiejscowione tam, gdzie ryzyko (błędu)ma swe źródło – być może skuteczne działania naprawcze muszą dotyczyć wcześniejszych etapów procesu, jednak spojrzenie na proces przez pryzmat kontroli i rejestrów rezultatów (nie tylko istniejących – może pojawić  się postulat utworzenia nowych lub np. rezygnacji z kontroli niepotrzebnej) może stanowić podstawę systematycznego podejścia do identyfikacji kluczowych, ze względu na ocenę ryzyka, elementów procesu.

Nic nie stoi na przeszkodzie, by „ścieżka audytu” używała (obok lub z kontrolami i rejestrami,  jako osobny element lub atrybut) „źródła ryzyka”  – zastosowanie jej w ten sposób umożliwi wskazywanie miejsca ewentualnej reakcji na ryzyko.

Jednak samo wskazanie źródeł, miejsca pomiaru i kontroli ryzykownych elementów procesu nie wystarcza  dla oceny ryzyka związanego z procesem. Konieczne jest ustalenie powiązań i zależności pomiędzy poszczególnymi elementami procesu dla skonstruowania sposobu agregacji związanych z nimi ryzyk tak, by możliwe było określenie wielkości ryzyka całego procesu. Poprawnie skonstruowany opis graficzny może wprost wskazywać na użycie odpowiednich konstrukcji z zakresu rachunku zdarzeń – np. (przy określonych założeniach) koniunkcji dla  czynności wykonywanych równolegle, alternatywy dla czynności wykonywanych sekwencyjnie lub sumy ważonej – czynności alternatywne.

Oczywiście, o mechanicznym przeniesieniu logiki procesu z opisu graficznego na poszczególne działania arytmetyczne na wielkościach liczbowych przyporządkowanych do poszczególnych elementów tego opisu, można mówić (obecnie) jako o pożądanym, docelowym rozwiązaniu w tym zakresie. Powodem nie jest brak możliwości zrealizowania takiego mechanizmu w dostępnych technologiach, a problem ze stosowaniem na tyle rozbudowanego, jednoznacznego i szczegółowego języka dla graficznego opisu procesu, by spełniał wymagania automatycznego przekładania na działania arytmetyczne. W praktyce szczegółowość opisu jest uzależniona od innych (pozatechnicznych) czynników, jednak jeśli pozwala na ustalenie logiki procesu – może stanowić podstawę do skonstruowania (dla danego procesu) schematu obliczającego ryzyko procesu na podstawie ocen jego poszczególnych elementów .

Trafność  oceny przy zastosowaniu takiego schematu zależy od kompletności i stopnia szczegółowości opisu procesu, właściwego odczytania logiki procesu i przełożenia jej na rachunek ryzyka oraz od prawidłowości ocen składowych procesu.

Zastosowanie „ścieżek audytu” nie tylko do „identyfikowania ryzyk” tzn. określania ich źródeł, miejsc pomiarów i kontroli , ale i do tworzenia schematu agregacji ryzyk cząstkowych w procesie dla dokonania oceny całościowej, stawia określone wymagania sposobowi ich tworzenia – konieczne jest:

  • jednoznaczne zdefiniowanie pojęć używanych do opisu procesu
  • stosowanie spójnego języka opisu procesu – pozwalającego na kontrolę formalną (syntaktyczną) opisu
  • zapewnienie niesprzeczności opisu tabelarycznego i graficznego

 

W praktyce trudno wyobrazić sobie sprostanie tym wymaganiom bez zastosowania informatycznego narzędzia zapewniającego (i/lub egzekwującego) stosowanie ścisłych reguł opisu.

 

Wnioskowanie statystyczne (tzw. próbkowanie)

Czy zarządzanie ryzykiem potrzebuje faktycznego pomiaru ryzyka? Tzn. czy wystarczą oceny, których źródłem są opinie ekspertów, czy też niezbędne jest użycie obiektywnych metod, chociażby z uwagi na to, że ryzyko jest zjawiskiem obiektywnym, istniejącym niezależnie od opinii.

To pytanie, na które warto udzielić szybko uczciwej odpowiedzi. Tylko z pozoru jest tyle retoryczne co prowokacyjne – próżno w oficjalnych publikacjach dotyczących zarządzania ryzykiem w JSFP poszukiwać poważnej analizy wymagań, jakie ma spełniać ocena ryzyka.

Oczywiście przyjęta na początku tego opracowania definicja ryzyka (jako zmiennej losowej) każe wyraźnie odróżniać ocenę będącą wynikiem opinii (eksperta) od oceny będącej wynikiem zastosowania obiektywnej metody (przez kogokolwiek), nie odrzucając jednak możliwości używania obydwu (a także ich kombinacji).

Z kolei wyraźne rozróżnianie dwóch podstawowych składowych oceny ryzyka – prawdopodobieństwa wystąpienia (zdarzenia) i wartości (zagrożenia, skutku, wpływu) nawet w przypadku zastosowania oceny eksperckiej, pozwala na posłużenie się rachunkami na wartościach liczbowych pochodzących ze zgromadzonych danych (faktów) i daje możliwość dalszej (późniejszej) weryfikacji i/lub obiektywizacji oceny.

Typowe dla metodyki audytu wewnętrznego testy zgodności i testy wiarygodności (rzeczywiste) mogą być z powodzeniem zastosowane do określania prawdopodobieństwa wystąpienia określonego zdarzenia (błędu).

Wydaje się, że najprostsze jest to w przypadku testów zgodności – wynikiem ich przeprowadzenia jest udział elementów wyróżnionych (błędnych) w badanej zbiorowości (rejestrze), co wyczerpuje klasyczną definicję prawdopodobieństwa (błędu). Oczywiście istnieje w tym miejscu potrzeba zajęcia się zarzutem, że dokładną (i pewną) wartość udziału błędów otrzymuje się tylko w wyniku przebadania całej zbiorowości (przy założeniu bezbłędności badania każdego pojedynczego elementu). Badanie losowej próby może dać jedynie przedział (od – do) jaki pokrywa poszukiwaną wartość udziału błędnych elementów (prawdopodobieństwa błędu) z określonym poziomem ufności  (też prawdopodobieństwem). Z praktycznego punktu widzenia ta przewaga badania pełnego zwykle nie jest istotna – badanie pełne dotyczyć może tylko przeszłości, a w większości wypadków wielkość ryzyka oceniamy dla zdarzeń przyszłych, więc samo założenie, że w przyszłości będzie tak jak w zbadanej sytuacji z przeszłości musi zawierać co najmniej słowo „najprawdopodobniej”.

O wiele bardziej istotne jest zagadnienie interpretacji wyniku badania próby tzn. uzyskanych wielkości, przedziałów i prawdopodobieństw dla wyznaczania ocen spełniających wymagania zarządzania ryzykiem. Możliwe są trzy podejścia:

  1. używanie wprost udziału elementów wyróżnionych (błędnych) w badanej próbie jako prawdopodobieństwa
  2. ustalanie wymaganego poziomu ufności i wskazywanie wartości z określonego wynikowego przedziału ufności, która zostanie użyta do wyznaczenia docelowego prawdopodobieństwa
  3. posługiwanie się rozkładem zmiennej losowej (zmiennych losowych) jaki jest wynikiem badania próby zamiast określonym jednym parametrem (liczbą)

Każde z tych podejść ma swoje  zalety, wady i konsekwencje w postaci dokonania dodatkowych ustaleń lub konieczności dokonania zmian w podejściu do zarządzania ryzykiem. Wydaje się, że podejście pierwsze, przy dodatkowych założeniach co do liczebności próby,  może okazać się wystarczające dla dużej liczby sytuacji.

Podejście drugie pozwala posłużyć się także testami wiarygodności i innymi testami  z zakresu estymacji przedziałowej i daje dalsze możliwości precyzowania polityki zarządzania ryzykiem w oparciu o mierzalne wielkości – zastosowanie jego jest realne i najbardziej obiecujące – do wykorzystania jest chociażby spory dorobek związany z koncepcjami określania i posługiwania się pojęciem Value at Risk (VaR).

Zastosowanie podejścia trzeciego wymaga zaawansowanego systemu informatycznego wspomagającego zarządzanie ryzykiem – najprawdopodobniej w tej chwili brak jest na „ogólnie dostępnym rynku” takiego rozwiązania.

Niezależnie od podejścia, zastosowanie badań statystycznych daje podstawy do określania wartości ryzyka w oparciu o fakty oraz możliwość weryfikacji ocen (także eksperckich) i doskonalenia systemu oceny ryzyka całościowego (dla złożonych obiektów np. procesów). Z drugiej strony system zarządzania ryzykiem będzie poddawany audytowi i należy sądzić, że przy pomocy dostępnych audytowi metod będą badane także poszczególne oceny ryzyka dokonywane w ramach zarządzania ryzykiem. Użycie wyników audytu zostanie więc zrealizowanie w ramach dokonywania ustaleń i wydawanych rekomendacji. W przypadku istotnych rozbieżności w ocenach ryzyka, kwestia stosowanych metod oceny ryzyka dla celów zarządzania (i/lub audytu) będzie musiała być podjęta i rozwiązana.

Metody analityczne

W odróżnieniu od często przywoływanych w audycie terminów „ścieżki audytu” i „próbkowanie” lub „dobór próby” określających dosyć jasno sprecyzowany i ograniczony zestaw konkretnych metod, termin „metody analityczne” (w kontroli  „procedury analityczne”) używany jest na określenie szerokiego spektrum technik analizowania informacji zawartych w różnorodnych źródłach – od dokumentacji sprawozdawczej (wewnętrznej), poprzez dane zbierane i agregowane przez różne podmioty (także zewnętrzne) dla celów statystycznych i innych związanych z zarządzaniem, po dane transakcyjne – wprowadzane i przetwarzane przede wszystkim dla celów prowadzenia bieżącej działalności jednostki.

Niezależnie od tego, powszechnie używa się (najprawdopodobniej z powodu braku wyraźnie lepszych propozycji) podziału metod analitycznych na trzy grupy:

 

  • analizy wskaźnikowe
  • analizy trendu
  • analizy prognostyczne

 

Zastosowanie technik analitycznych dla zarządzania ryzykiem wymaga udowodnienia, że analizowane dane mogą dostarczyć bezpośrednio lub pośrednio wielkości związanych ze źródłami, przyczynami lub symptomami ryzyka.

Jeśli możliwe jest skonstruowanie (z danych liczbowych zgromadzonych w dostępnych zasobach), wskaźnika (w postaci wyrażenia arytmetycznego) odzwierciedlającego wielkość określonego ryzyka, to użycie analizy wskaźnikowej może wprost wskazać potencjalny obszar, podejrzany (lub tylko interesując y) z punktu widzenia celu badania i dalej z punktu widzenia działań związanych z reakcją na ryzyko. Oczywiście kluczem jest tu sam wskaźnik – należałoby mieć uzasadnioną pewność, że rzeczywiście odzwierciedla ryzyko (móc to udowodnić/zweryfikować i określić jego dokładność).

Mogą posłużyć do tego także wybrane badania zaliczane do grupy analizy trendu.

W większości przypadków mówi się o wykrywaniu lub badaniu trendów czasowych, jednak sama koncepcja trendu dotyczy badania zjawiska zmian jednej wielkości wobec zmian drugiej (niekoniecznie czasu), wystarczy by obie były reprezentowane przez miary (przynajmniej skale ilorazowe). Zastosowania analiz z tej grupy są bardzo szerokie i mogą (w zakresie zagadnień związanych z zarządzaniem ryzykiem) dotyczyć:

  • przede wszystkim – wykrywania trendów wielkości związanych z ryzykiem – jeśli trend wzrostowy jest znaczący, to niski poziom w chwili obecnej nie powinien być jedynym argumentem dla określenia reakcji na ryzyko
  • wykrywania zależności pomiędzy wielkościami reprezentującymi dane ryzyko, a innymi wielkościami (np. łatwo „obserwowalnymi” i/lub mierzalnymi)
  • wstępnej weryfikacji niezależności zjawisk istotnych z punktu widzenia ryzyka

Użycie metod wydaje się szczególnie obiecujące w przypadku, gdy dla analiz dostępne będą łącznie dane z prowadzonych rejestrów strat, wyników audytów i kontroli oraz wybrane dane z systemów transakcyjnych organizacji. Uzyskane wówczas wielkości wskaźników i trendy mogą być podstawą (punktem wyjścia) dla zastosowania metod z grupy analizy prognostycznych – także dla określania wielkości związanych z ryzykiem „strat nieoczekiwanych” i  „strat katastrofalnych”. Techniki statystyczne właściwe metodom tej grupy mogą z kolei istotnie wspomagać  analizy należące do grupy metod określanych często jako testy warunków skrajnych, analizy scenariuszowe itp. (dając np. możliwość ich obiektywizacji).

 Podsumowanie

Sprawą do dyskusji jest określenie zakresu (modelu) ryzyk właściwych JSFP,  np. poprzez rozszerzenie listy zawartej w definicji ryzyka operacyjnego, czyli

  • ryzyka procesów wewnętrznych,
  • ryzyka działań ludzi
  • ryzyka działań systemów technicznych (informatycznych)
  • ryzyka zdarzeń zewnętrznych, o występujące najprawdopodobniej w każdej organizacji publicznej
    • ryzyko strategiczne
    • ryzyko reputacji

oraz dalsze, wymagające wydzielenia z punktu widzenia charakteru działalności.

Niezależnie jednak od listy ryzyk, „zaawansowywanie” metod oceny ryzyka związane jest z rozbudowywaniem jego modelu (np. zagłębianiem jego struktury). Chodzi o potrzebę zejścia do poziomu, na którym możliwe jest dokonanie wiarygodnej oceny cząstkowego zjawiska – obiektywnej, opartej na istotnych faktach i użytecznej dla stosowanej metody oceny ryzyka. Rodzi to konieczność „złożenia” tak dokonanych ocen (ryzyk) zgodnie z charakterem (mechanizmem) ocenianego obiektu (np. procesu). Bogactwo tych mechanizmów wykracza stanowczo poza przedstawioną na przykładzie banków koncepcję sumowania iloczynów poszczególnych ocen.

Zarządzanie ryzykiem opierające się na faktycznych wartościach i mechanizmach ryzyka w obiektach (procesach) oraz w złożonych z nich obszarach może być istotnie wspomagane przez stosowane w audycie narzędzia:

  • „ścieżki audytu” dla
    • identyfikowania ryzyka (tzn. także jego źródeł, miejsc występowania, kontroli i pomiaru)
    • odkrywania logiki związków pomiędzy elementami (procesów) istotnymi z punktu widzenia ryzyka dla skonstruowania schematu agregacji ocen ryzyka
  • badania statystyczne (oparte o reguły wnioskowania statystycznego) dla
    • oceny prawdopodobieństwa wystąpienia zdarzeń istotnych z punktu widzenia ryzyka
    • dostarczenia mechanizmów do zaawansowanych metod oceny ryzyka
  • metody analityczne dla
    • wyznaczania obszarów (potencjalnych) występowania ryzyka określonej wielkości
    • wykrywania trendów i zależności zjawisk istotnych dla ryzyka

Istotnym powodem zastosowania metod i rezultatów audytu i kontroli w poszczególnych elementach składowych zarządzania ryzykiem może być  fakt, że audyt i kontrola mogą dostarczać informacji o zjawiskach (zagrożeniach), które nie zrealizowały się (jeszcze) w postaci strat (straty nieoczekiwane i/lub katastrofalne) lub z innych względów nie znalazły się w rejestrach gromadzących informacje o stratach. Poszczególne wyniki kontroli i testów audytowych mogą stanowić także istotne wsparcie danymi liczbowymi metod z grupy testów warunków skrajnych/analiz scenariuszowych.

Problem zgodności pojęć oraz obiektywizmu i porównywalności ocen ryzyka używanych i uzyskiwanych w audycie wewnętrznym i zarządzaniu ryzykiem stanie się prędzej czy później niezwykle istotny, bo ryzyko jest zjawiskiem obiektywnym i ma przykry zwyczaj realizowania się wartościach bezwzględnych.