Управление рисками организации включает в себя: 1) определение уровня «риска-аппетита» в соответствии со стратегией развития. Руководство оценивает «риск-аппетит» на этапе выбора стратегического варианта при постановке целей, отвечающих выбранной стратегии, а также при разработке механизмов управления соответствующими рисками; 2) совершенствование процесса принятия решений относительно реагирования на возникающие риски. Процесс управления рисками определяет, какой способ реагирования на риск в организации предпочтителен – уклонение от риска, сокращение риска, перераспределение риска или принятие риска; 3) сокращение числа непредвиденных событий и убытков в хозяйственной деятельности. Организации расширяют возможности выявления потенциальных событий и установления соответствующих мер, сокращая число таких событий и связанных с ними затрат и убытков; 4) определение и управление всей совокупностью рисков в хозяйственной деятельности. Каждая организация сталкивается с большим количеством рисков, влияющих на различные ее составляющие. Процесс управления рисками способствует более эффективному реагированию на различные воздействия и интегрированному подходу в отношении множественных рисков; 5) использование благоприятных возможностей. Принимая во внимание все потенциальные события, а не только вероятные риски, руководство способно выявлять события, представляющие собой потенциальные возможности, и активно их использовать.

В настоящее время в большинстве действующих рекомендаций по организации системы внутреннего контроля содержатся следующие ее элементы: 1) контрольная среда, или среда контроля (управленческий контроль и культура контроля); 2) риски деятельности (выявление и оценка риска); 3) меры по снижению риска (контрольные действия или средства контроля); 4) информационные системы; 5) мониторинг эффективности системы контроля (мониторинг средств контроля).

Система внутреннего контроля может только в разумных пределах предотвратить негативные последствия в силу влияния ряда ограничений, присущих любой системе контроля. Данные ограничения обусловлены возможностью ошибочности суждения человека при принятии решения, или предумышленными искажениями, или сговором двух или более лиц.

Ошибки в организации внутреннего контроля: 1. Контроль «по случаю», направлен не на выявление, а на упреждение негатива. Нарушения фиксируются, постепенно формируя «досье» сотрудника, в котором собирается многолетний негатив. Контроль должен быть постоянным, и очень плохо, если он приурочивается к каким-то особым случаям. Следует заранее планировать и согласовывать с сотрудниками даты и форму контроля. 2. Тотальный контроль имеет недостаток – он порождает небрежность, не являясь, как ни парадоксально, средством борьбы с нею. Руководитель, решивший контролировать все и вся, освобождает сотрудников от ответственности, а не повышает их ответственность. 3. Скрытый контроль. Несмотря на то, что он некорректен этически и унизителен не только для сотрудника, но и для руководителя, он все-таки существует в разных видах. 4. Контроль любимого участка. Получив более высокую должность, менеджеры очень часто продолжают контролировать те участки, те вопросы, которые они курировали раньше. Во-первых, менеджер «суживает» поле контроля, а во-вторых, сотрудники очень быстро уясняют, что подлежит, а что не подлежит контролю. Соответственно наиболее грамотные сотрудники начинают водить шефа «за нос», делая «ошибки» в нужном месте, для того чтобы что-нибудь другое не попало в его поле зрения. 5. контроль-проформа. Шеф стесняется даже говорить о контроле, дабы не обидеть подчиненных. Конечно, в силу своих должностных обязанностей он все-таки контролирует их, но поверхностно, выборочно, с тайной надеждой, что ничего не будет обнаружено. 6. контроль из-за недоверия. Многие думают, что контроль считается успешным только в том случае, когда что-то «выявлено», «вскрыто», «обнаружено». Такой контроль основан на уверенности, что сотрудники всегда делают что-то не так, а потому обязательно нужно это «что-то» найти. Подозрительность свидетельствует о неуверенности в себе. Если у человека нет чувства собственного достоинства, то он чувствует угрозу, исходящую от других, даже если ее на самом деле нет. 7. контроль без обратной связи. Результаты контроля обязательно должны доводиться до сведения работника и быть предметом обсуждения. Контроль бесплоден, когда нет обратной связи. Некоторые руководители совершают ошибку, придерживая информацию о результатах контроля, как козырную карту – чтобы разыграть ее, например, в качестве контраргумента при повышении оклада. 8. Поверхностный контроль. Это, например, контроль пребывания сотрудника на рабочем месте вместо контроля результатов работы. Разумеется, он необходим, но если весь контроль сводится к мелочной фиксации внешних действий (время прихода на работу и т. д.), то ощутимой пользы от него не будет. 9. нестандартный контроль. Это нестандартный способ интенсивного контроля, например установление испытательного срока для нового сотрудника.