El siguiente elemento de control a que nos estaremos refiriendo en esta oportunidad es la evaluación de riesgos. La evaluación de riesgos no es un tema nuevo. De hecho toda organización enfrenta riesgos y los administra. Algunas lo hacen con éxito y esto les lleva al crecimiento. La mayoría de empresas fracasan en las administración de los riesgos y esto los lleva a desaparecer o bien al debilitamientos de su imagen en la sociedad.
 
El riesgo es inherente a toda actividad empresarial y por lo mismo deber der tomado permanentemente en consideración tanto por la auditoria interna como por la externa. El riesgo expresa una preocupación acerca de los posibles efectos que un evento potencial podría tener en la organización. Debido a que el futuro es desconocido, pueden ocurrir una seria de eventos que inicien en los objetivos de toda organización.
 
El riesgo ha sido definido como “La posibilidad de que ocurra un evento que pueda tener un impacto en la consecución de los objetivos propuestos por la organización”.
 
La norma 1220. Al para el ejercicios de la practica de la auditoria interna establece que el auditor interno debe considerar la efectividad del proceso de administración de riesgos y la probabilidad de errores significativos, irregularidades o incumplimientos como parte del debido cuidado profesional. El auditor interno debe estar atento a los riesgos significativos que puedan afectar los objetivos, las operaciones o los recursos de la organización
 
El modelo COSO provee un marco para que el proceso de evaluación de riesgos sea documentado y quede evidencia de cómo se ha analizado cada riesgo, de las prioridades y medidas establecidas en cuanto a la gestión de riesgos y las razones algunos riesgos han sido traslados de zona roja a una zona de tolerancia.
 
El modelo COSO considera inicialmente los objetivos operacionales, de elaboración de información financiera y de cumplimiento como el eje para la evaluación de los riesgos. El modelo coso-u agrega a dichos objetivos los objetivos estratégicos propuestos por la alta administración y agrega tres elementos adicionales a la definición del sistema de control interno, todos ellos relacionados con la definición, evaluación y gestión de riesgos.
 
La alta administración debe establecer los objetivos estratégicos y darlos a conocer a los diferentes niveles de la organización. La fijación de estos objetivos estratégicos debe ser objeto de una amplia ronda de consideraciones y discusiones. En la fijación de los objeticos estratégicos la alta dirección deberá dar prioridad a aquellos que requieran una atención inmediata. Estos objetivos deben llenar las siguientes características: ser limitados (máximo 3 objetivos), ser medibles y estar definidos en un lenguaje sencillo y claro.
 
Para dar a conocer los objetivos se tendrán reuniones de discusión con los mandos gerenciales, para que estos conozcan los objetivos estratégicos y a su vez los traduzcan a su propia área. A su vez los gerentes lo s comunicaran a las áreas operativas y así sucesivamente. Esto con el objeto de lograr que todas las unidades operativas alineen su funcionamiento a los objetivos aprobados por la alta dirección.
 
Este alineamiento es importante para que los diferentes departamentos no resulten tomando decisiones contrarias al objetivo estratégico definido. Por ejemplo: si el objetivo estratégico hacia otros mercados, todos los departamentos deberán tomar en consideración  este objetivo en su  plan anual.
 
El proceso de evaluación de riesgos comprende las siguientes etapas:
 
1.- Obtener una amplia comprensión de las metas y objetivos generales de la organización. Esto constituye un cambio de paradigma respecto a enfoques aplicados en el pasado en el cual la alta dirección era la única que conocía los objetivos estratégicos. Por el contrario esta etapa reconoce la importancia de que todas las partes involucradas estén ampliamente familiaridades con los objetivos propuestos.
 
2.- Elegir los riesgos estratégicos que probablemente sean de mayor importancia para organización. Esto incluye riesgos operacionales, riesgo de imagen, iesgos políticos o riesgos de abastecimientos esos riesgos pueden estar referidos a factores internos (controlables) o factores externos (no controlables).
 
3.- Definir los diferentes ambientes que son importantes para la organización tales como: tecnología, mercado, competencia, gobierno y otros.
 
4.- Crear una serie de matrices con las áreas de riesgo encabezando las ordenadas y colocando los ambientes en las abscisas. Estas matrices pueden ser de tres juegos considerando el corto, mediano y largo plazo. Para la elaboración de dichas matrices pueden utilizarse de software ya disponibles en el mercado, o bien hacer un uso intenso de hojas electrónicas.
 
5.-  Imaginar escenarios de posibles amenazas y oportunidades y llevar a cabo una tormenta de ideas para completar las celdas de la matriz. Dado que no todo evento afecta a todas las áreas de riesgo, no se requiere completar todas las celdas.
 
6.- Combinar la evaluación de riesgos para varias metas y objetivos en cada uno de los tres horizontes, para tener una evaluación compuesta del riesgo estratégico.
En base a los escenarios probables la administración proporciona las estrategias que estime más convenientes. Los principios aquí propuestos son aplicable a cualquier tipo de entidad independiente de su naturaleza y tamaño.