Riskleri belirleyip tanımlamak, belgelemek ve değerlendirmek için yaygın kullanılan yöntemlerden bazıları şunlardır: 'spesifik-risk yaklaşımı', 'sürece göre risk yaklaşımı' ve 'risk faktörü yaklaşımı'. İç Denetim Yönetici 'leri (DY), kullanacakları yaklaşımı kurumsal risk değerlendirmesinin sonuçlarına göre özelleştirebilirler ve birçok İDY melez bir yaklaşım (diğer bir deyişle, yaklaşımların birleşimini) kullanır. Kapsamlı risk değerlendirmesi için bir yaklaşım ve kriterler seçilirken, üst yönetimin ve yönetim kurulunun (ve bunlara bağlı ilgili komitelerin) geri bildirimleri de dikkate alınmalıdır.

Risk değerlendirmeleri, normalde hem nicel hem de nitel yöntemleri kapsar. İç denetim faaliyetinin hem nicel hem de nitel verilerle sonuçlanan risk değerlendirmeleri yapmasına yardımcı olmak için çok sayıda yazılım mevcuttur.

Spesifik-risk yaklaşımı aşağıdan yukarıya yaklaşım kabul edilebilir, çünkü denetim evreni içindeki her bir denetlenebilir birim ile ilişkili risklerin belirlenip tanımlandığı bir yaklaşımdır. Bu yaklaşımda riskler, normalde özel olarak bu amaçla ilgili yönetim kadrosu ile bir araya gelmek suretiyle olmak üzere, iş hedefleri ile ilgi ve ilişkileri yönünden belirlenir ve tanımlanırlar. Bir araya getirilen kriterler (örneğin etki, olasılık) temelinde, her bir denetlenebilir birim için birleşik risk skorları hesaplanır. Bu yaklaşım genelde münferit denetim görevleri ile ilgili yapılan risk değerlendirmeleri için kullanılır ve denetlenebilir birim sayısının ve risk sayısının epey yüksek değerlere yükseldiği kurum seviyesine genişletilmesi halinde külfetli bir yaklaşım haline gelebilir.

Sürece göre risk yaklaşımı, spesifik-risk yaklaşımına benzer bir yaklaşımdır. Bu yaklaşımda, iç denetçiler ve yönetim, kurum genelindeki iş süreçlerini denetlenebilir birimler gibi kabul edip öyle değerlendirerek işe başlarlar. Kilit öneme sahip riskler süreçlerle eşleştirilir. Bunun yanı sıra, iç denetçiler, hedeflere ulaşmada kilit rol oynayan süreçleri, bu süreçlerle ilgili risklerin nasıl yönetildiğini ve bu risk yönetiminde ne denli etkili olunabildiğini belirlemeye çalışırlar. En yüksek artık risk derecesini sergileyen süreçlere iç denetim planında öncelik verilir.

Risk-faktörü yaklaşımı yukarıdan aşağıya yaklaşım kabul edilir, çünkü bu yaklaşımda birçok denetlenebilir birimin paylaştığı yüksek düzey koşullara odaklanılır. Bu yaklaşım, bir makro bakış açısı sağladığı için, genelde tüm kurumu içine alan kapsamlı bir risk değerlendirmesi gerçekleştirilirken kullanılır. İç denetçiler, bütün denetlenebilir birimlerde ortak olan ve kurumun hedeflerine ulaşma kabiliyeti üzerinde etkisi bulunan faktörleri belirleyip tanımlarlar. Risk faktörleri risklerin kendilerini teşkil etmezler, onun yerine bir riskin varlığı ile ilişkili olması muhtemel olan koşulları, başka bir ifadeyle önemli risk sonuçlarının oluşma ihtimalinin ilgili faktörün mevcut olmadığı duruma kıyasla yüksek olduğuna işaret eden koşulları teşkil ederler.(1)

------------------------

[1]The Institude of Internal Auditors, 'Risk Esaslı İç Denetim Planı Geliştirmek', Tamamlayıcı Rehber, Çalışma Rehberi, s.14-15.