Одна из последних разработок рабочей группы под покровительством Комитета спонсорских организаций Комиссии Тредуэя (Committee of Sponsoring Organizations of the Treadway Commission – COSO) – Концепция управления рисками предприятия (Enterprise Risk Management Framework).
Представленная модель внутреннего контроля основана на подходе, ориентированном на оценку рисков. В общем виде ее можно представить следующим образом: необходимо определить риски (угрозы достижения цели), разработать меры по их предотвращению и постоянно проверять работоспособность и эффективность этих мер.
Управление рисками организации – процесс, осуществляемый советом директоров, менеджерами и другими сотрудниками, который начинается при разработке стратегии и затрагивает всю деятельность организации. Он направлен на определение событий, которые могут влиять на деятельность организации, и управление связанным с этими событиями риском, а также контроль непревышения «риска-аппетита» организации (риска, на который она готова идти) и предоставления разумной гарантии достижения целей организации.
Управление рисками организации включает в себя: 1) определение уровня «риска-аппетита» в соответствии со стратегией развития. Руководство оценивает «риск-аппетит» на этапе выбора стратегического варианта при постановке целей, отвечающих выбранной стратегии, а также при разработке механизмов управления соответствующими рисками; 2) совершенствование процесса принятия решений относительно реагирования на возникающие риски. Процесс управления рисками определяет, какой способ реагирования на риск в организации предпочтителен – уклонение от риска, сокращение риска, перераспределение риска или принятие риска; 3) сокращение числа непредвиденных событий и убытков в хозяйственной деятельности. Организации расширяют возможности выявления потенциальных событий и установления соответствующих мер, сокращая число таких событий и связанных с ними затрат и убытков; 4) определение и управление всей совокупностью рисков в хозяйственной деятельности. Каждая организация сталкивается с большим количеством рисков, влияющих на различные ее составляющие. Процесс управления рисками способствует более эффективному реагированию на различные воздействия и интегрированному подходу в отношении множественных рисков; 5) использование благоприятных возможностей. Принимая во внимание все потенциальные события, а не только вероятные риски, руководство способно выявлять события, представляющие собой потенциальные возможности, и активно их использовать.
В настоящее время в большинстве действующих рекомендаций по организации системы внутреннего контроля содержатся следующие ее элементы: 1) контрольная среда, или среда контроля (управленческий контроль и культура контроля); 2) риски деятельности (выявление и оценка риска); 3) меры по снижению риска (контрольные действия или средства контроля); 4) информационные системы; 5) мониторинг эффективности системы контроля (мониторинг средств контроля).