Riskleri belirleyip tanımlamak, belgelemek ve değerlendirmek için yaygın kullanılan yöntemlerden bazıları şunlardır: 'spesifik-risk yaklaşımı', 'sürece göre risk yaklaşımı' ve 'risk faktörü yaklaşımı'. İç Denetim Yönetici 'leri (DY), kullanacakları yaklaşımı kurumsal risk değerlendirmesinin sonuçlarına göre özelleştirebilirler ve birçok İDY melez bir yaklaşım (diğer bir deyişle, yaklaşımların birleşimini) kullanır. Kapsamlı risk değerlendirmesi için bir yaklaşım ve kriterler seçilirken, üst yönetimin ve yönetim kurulunun (ve bunlara bağlı ilgili komitelerin) geri bildirimleri de dikkate alınmalıdır.
Risk değerlendirmeleri, normalde hem nicel hem de nitel yöntemleri kapsar. İç denetim faaliyetinin hem nicel hem de nitel verilerle sonuçlanan risk değerlendirmeleri yapmasına yardımcı olmak için çok sayıda yazılım mevcuttur.
Spesifik-risk yaklaşımı aşağıdan yukarıya yaklaşım kabul edilebilir, çünkü denetim evreni içindeki her bir denetlenebilir birim ile ilişkili risklerin belirlenip tanımlandığı bir yaklaşımdır. Bu yaklaşımda riskler, normalde özel olarak bu amaçla ilgili yönetim kadrosu ile bir araya gelmek suretiyle olmak üzere, iş hedefleri ile ilgi ve ilişkileri yönünden belirlenir ve tanımlanırlar. Bir araya getirilen kriterler (örneğin etki, olasılık) temelinde, her bir denetlenebilir birim için birleşik risk skorları hesaplanır. Bu yaklaşım genelde münferit denetim görevleri ile ilgili yapılan risk değerlendirmeleri için kullanılır ve denetlenebilir birim sayısının ve risk sayısının epey yüksek değerlere yükseldiği kurum seviyesine genişletilmesi halinde külfetli bir yaklaşım haline gelebilir.
Sürece göre risk yaklaşımı, spesifik-risk yaklaşımına benzer bir yaklaşımdır. Bu yaklaşımda, iç denetçiler ve yönetim, kurum genelindeki iş süreçlerini denetlenebilir birimler gibi kabul edip öyle değerlendirerek işe başlarlar. Kilit öneme sahip riskler süreçlerle eşleştirilir. Bunun yanı sıra, iç denetçiler, hedeflere ulaşmada kilit rol oynayan süreçleri, bu süreçlerle ilgili risklerin nasıl yönetildiğini ve bu risk yönetiminde ne denli etkili olunabildiğini belirlemeye çalışırlar. En yüksek artık risk derecesini sergileyen süreçlere iç denetim planında öncelik verilir.
Risk-faktörü yaklaşımı
[1]The Institude of Internal Auditors, 'Risk Esaslı İç Denetim Planı Geliştirmek', Tamamlayıcı Rehber, Çalışma Rehberi, s.14-15.