Уровень контроля оценивается через уровень риска:
Присущий риск - контроль = остаточный риск (4.2)
Уровень остаточного риска сравнивается с оптимальным уровнем. Уровень остаточного риска выше оптимального является недопустимым. Уровень остаточного риска ниже оптимального отвечает избыточному контролю. Суждения об оптимальности уровня остаточного риска субъективны.
Для того чтобы достичь поставленных задач, необходимо добиться, чтобы в акционерном обществе система управления рисками работал. Для разработки системы внутреннего контроля необходимо понять виды и степень рисков для данной компании Внутренний аудит несет ответственность за процесс управления рисками только от лица менеджмента и одновременно консультирует менеджмент по внедрению системы риск-менеджмента.
Устойчивая система внутреннего контроля необходима для эффективного управления риском.
Оценка рисков во внутреннем аудите является беспрерывным процессом, который длится на протяжении всего процесса аудита и осуществляется поэтапно: идентификация рисков, оценка значения рисков и определение временных рамок его существования, определение присущих рисков, оценка эффективности системы контроля предприятия, направленная на уменьшение риска, ее действенность, оценка степени остаточного риска, т.е. присущего риска, не охваченного системой контроля. На Рис. 4.6 предложен алгоритм оценки риска и его корректирования в процессе осуществления внутреннего аудита, в том числе и аудита ценных бумаг.
Одним из наиболее последовательных институтов в применении модели COSO является Базельский комитет по банковскому надзору. Базельский комитет предложил для всех органов надзора набор принципов, согласно которым должна строиться оценка адекватности систем внутреннего контроля банка по всем балансовым и внебалансовым инструментам.