nyckelskillnad – inneboende risk vs kontrollrisk
Inbyggd risk och kontrollrisk är två viktiga terminologier inom riskhantering. Affärsåtgärder är till sin natur utsatta för olika risker som kan minska de positiva effekter de kan medföra för organisationen. Den viktigaste skillnaden mellan inneboende risk och kontrollrisk är att inneboende risk är den obehandlade eller obehandlade risken, vilket är den naturliga risknivån som är inneboende i en affärsaktivitet eller process utan att implementera några procedurer för att minska risken medan kontrollrisk är sannolikheten för förlust som ett resultat av att de interna kontrollåtgärder som vidtagits för att minska riskerna inte fungerar.
Vad är inneboende risk?
Inbyggd risk hänvisas till som obehandlad eller obehandlad risk och är den naturliga risknivån som är inneboende i en affärsaktivitet eller process utan att implementera några procedurer för att minska risken. Med andra ord, detta är mängden risk innan några interna kontroller tillämpas. Inneboende risk kallas också "bruttorisken". Risker bör kontrolleras genom ett antal interna kontrollåtgärder för att mildra dem. Några exempel på interna kontrollåtgärder är följande.
Exempel:
- Kontrollera åtkomst genom dörrlås (för fysisk åtkomst) och genom lösenord (för onlineåtkomst)
- Segregering av uppgifter för att dela upp ansvaret för registrering, inspektion och revision av transaktioner för att förhindra att en enskild anställd begår en bedräglig handling
- Redovisningsavstämningar för att säkerställa att kontosaldon överensstämmer med saldon som upprätthålls av andra enheter, inklusive leverantörer, kunder och finansinstitut
- Tilldela behörighet till specifika chefer att auktorisera transaktioner av betydande värde
Även efter att de nödvändiga kontrollerna har implementerats finns det ingen garanti för att hela risken kan elimineras, och därför kan en del av risken kvarstå. Sådan risk hänvisas till som "restrisk" eller "nettorisk" eftersom den kvarstår efter genomförandet av kontroller.
Figur 01: Åtkomstkontroll kan användas för att minska risker
Vad är kontrollrisk?
Kontrollrisk är sannolikheten för förlust till följd av felaktig funktion i interna kontrollåtgärder som implementerats för att minska riskerna. Således uppstår kontrollrisker på grund av begränsningarna i det interna kontrollsystemet. Om de inte utsätts för regelbundna granskningar förlorar de interna kontrollsystemen sin effektivitet med tiden. Det interna kontrollsystemet i ett företag måste ses över årligen och kontrollerna bör uppdateras.
Element som ökar kontrollrisken
- Brist på segregering av arbetsuppgifter
- Godkännande av dokument utan granskning av de utsedda cheferna
- Brist på verifiering av transaktioner
- Brist på transparenta rutiner för att välja leverantörer
Vilken typ av kontroll som ska implementeras för varje risk bestäms utifrån två aspekter.
- Sannolikhet/sannolikhet för risk – möjligheten att en risk förverkligas
- Riskpåverkan – storleken på den ekonomiska förlusten om risken förverkligas
Både sannolikheten och effekten av en risk kan vara hög, medelhög eller låg. För en risk med hög sannolikhet och påverkan bör kontroller med hög effekt implementeras. Om inte kommer den att utsättas för en hög kontrollrisk.
T.ex. GHI Company är ett IT-företag som för närvarande är engagerat i ett storskaligt projekt för sin viktigaste kund till ett värde av 10 miljoner USD. Betydande straffavgifter ska betalas om GHI inte upprätthåller några konfidentiella uppgifter om projektet; sålunda är effekten av en eventuell risk mycket hög. Vidare, på grund av projektets natur, kan vissa parter frestas att skaffa den konfidentiella informationen och dela med konkurrenter till GHI, vilket indikerar en hög risk för risk. Därför är det viktigt att implementera ett antal kontroller såsom åtkomstkontroller, åtskillnad av arbetsuppgifter och behörighetskontroller för att säkerställa framgångsrikt slutförande av projektet.
Vad är skillnaden mellan inneboende risk och kontrollrisk?
Inneboende risk vs kontrollrisk |
|
| Inteboende risk är den obehandlade eller obehandlade risken, d.v.s. den naturliga risknivån som är inneboende i en affärsaktivitet eller process utan att implementera några procedurer för att minska risken. | Kontrollrisk är sannolikheten för förlust till följd av felaktig funktion i interna kontrollåtgärder som implementerats för att minska riskerna. |
| Nature | |
| Inbyggd risk är oundviklig till sin natur. | Kontrollrisk uppstår endast i avsaknad av effektiva interna kontrollåtgärder. |
| Minimering av risker | |
| Inbyggda risker kan minskas genom implementering av interna kontroller. | Kontrollrisken kan minskas genom att interna kontroller fungerar effektivt. |
Sammanfattning – inneboende risk vs kontrollrisk
Skillnaden mellan inneboende risk och kontrollrisk är distinkt där inneboende risker uppstår på grund av affärstransaktionens eller verksamhetens karaktär medan kontrollrisk är ett resultat av felaktig funktion i interna kontrollåtgärder som implementerats för att minska riskerna. Varje affärstransaktion är utrustad med antingen hög, medel eller låg risk som bör kontrolleras via interna kontroller. Det räcker inte med att implementera ett internt kontrollsystem och regelbundna granskningar bör finnas på plats för att ett sådant system ska kunna fortsätta att lyckas för att effektivt identifiera och mildra risker.
