Avaliação de riscos
Toda entidade enfrenta vários riscos de origem tanto interna quanto externa. Define-se risco como a possibilidade de que um evento ocorra e afete adversamente a realização dos objetivos. A avaliação de riscos envolve um processo dinâmico e iterativo para identificar e avaliar os riscos à realização dos objetivos. Esses riscos de não atingir os objetivos em toda a entidade são considerados em relação às tolerâncias aos riscos estabelecidos. Dessa forma, a avaliação de riscos estabelece a base para determinar a maneira como os riscos serão gerenciados.
Uma condição prévia à avaliação de riscos é o estabelecimento de objetivos, ligados aos diferentes níveis da entidade. A administração especifica os objetivos dentro das categorias: operacional, divulgação e conformidade, com clareza suficiente para identificar e analisar os riscos à realização desses objetivos. A administração também considera a adequação dos objetivos à entidade. A avaliação de riscos requer ainda que a administração considere o impacto de possíveis mudanças no ambiente externo e dentro de seu próprio modelo de negócio que podem tornar o controle interno ineficaz.
Fonte - http://www.iiabrasil.org.br/new/2013/downs/coso/COSO_ICIF_2013_Sumario_Executivo.pdf