Kluczowa różnica – ryzyko nieodłączne a ryzyko kontrolne
Ryzyko nieodłączne i ryzyko kontroli to dwie ważne terminologie w zarządzaniu ryzykiem. Działania biznesowe są z natury narażone na różne ryzyka, które mogą ograniczać pozytywne efekty, jakie mogą przynieść organizacji. Kluczowa różnica między ryzykiem nieodłącznym a ryzykiem kontroli polega na tym, że ryzyko nieodłączne to ryzyko surowe lub nieleczone, które jest naturalnym poziomem ryzyka nieodłącznego w działalności biznesowej lub procesie bez wdrażania jakichkolwiek procedur w celu zmniejszenia ryzyka, podczas gdy ryzyko kontroli jest prawdopodobieństwem straty wynikające z nieprawidłowego działania środków kontroli wewnętrznej wdrożonych w celu ograniczenia ryzyk.
Co to jest ryzyko nieodłączne?
Ryzyko nieodłączne jest określane jako ryzyko surowe lub nieleczone i jest naturalnym poziomem ryzyka nieodłącznym w działalności biznesowej lub procesie bez wdrażania jakichkolwiek procedur w celu zmniejszenia ryzyka. Innymi słowy, jest to wielkość ryzyka przed zastosowaniem jakiejkolwiek kontroli wewnętrznej. Ryzyko nieodłączne jest również określane jako „ryzyko brutto”. Ryzyka powinny być kontrolowane za pomocą szeregu środków kontroli wewnętrznej w celu ich złagodzenia. Oto kilka przykładów środków kontroli wewnętrznej.
Przykłady:
- Kontrolowanie dostępu przez zamki w drzwiach (dla dostępu fizycznego) i hasła (dla dostępu online)
- Podział obowiązków w celu podziału odpowiedzialności za rejestrowanie, kontrolowanie i kontrolowanie transakcji w celu zapobieżenia popełnieniu oszustwa przez jednego pracownika
- Uzgodnienia księgowe w celu zapewnienia, że salda kont są zgodne z saldami utrzymywanymi przez inne podmioty, w tym dostawców, klientów i instytucje finansowe
- Przypisywanie uprawnień określonym menedżerom do autoryzacji transakcji o znacznej wartości
Nawet po wdrożeniu wymaganych kontroli nie ma gwarancji, że całe ryzyko może zostać wyeliminowane, dlatego część ryzyka może pozostać. Takie ryzyko jest określane jako „ryzyko rezydualne” lub „ryzyko netto”, ponieważ pozostaje ono po wdrożeniu kontroli.
Rysunek 01: Kontrola dostępu może służyć do ograniczania ryzyka
Co to jest kontrola ryzyka?
Ryzyko kontroli to prawdopodobieństwo straty wynikającej z nieprawidłowego działania środków kontroli wewnętrznej wdrożonych w celu ograniczenia ryzyka. Ryzyka kontroli wynikają zatem z ograniczeń systemu kontroli wewnętrznej. Systemy kontroli wewnętrznej, które nie są poddawane okresowym przeglądom, tracą z czasem swoją skuteczność. System kontroli wewnętrznej w firmie musi być poddawany corocznemu przeglądowi, a kontrole powinny być aktualizowane.
Elementy zwiększające ryzyko kontroli
- Brak podziału obowiązków
- Zatwierdzanie dokumentów bez przeglądu przez wyznaczonych menedżerów
- Brak weryfikacji transakcji
- Brak przejrzystych procedur wyboru dostawców
Rodzaj kontroli, który powinien zostać wdrożony dla każdego ryzyka, jest ustalany na podstawie dwóch aspektów.
- Prawdopodobieństwo/prawdopodobieństwo ryzyka – możliwość materializacji ryzyka
- Wpływ ryzyka – wielkość straty finansowej w przypadku materializacji ryzyka
Zarówno prawdopodobieństwo, jak i wpływ ryzyka mogą być wysokie, średnie lub niskie. W przypadku ryzyka o wysokim prawdopodobieństwie i skutkach, należy wdrożyć kontrole o dużym skutku. Jeśli nie, będzie narażony na wysokie ryzyko kontroli.
Np. GHI Company to firma informatyczna, która jest obecnie zaangażowana w projekt na dużą skalę dla swojego najważniejszego klienta o wartości 10 mln USD. Za nieprzestrzeganie przez GHI jakichkolwiek poufnych danych dotyczących projektu należne są znaczne kary; w związku z tym wpływ ewentualnego ryzyka jest bardzo wysoki. Ponadto, ze względu na charakter projektu, niektóre strony mogą pokusić się o pozyskanie informacji poufnych i udostępnienie ich konkurentom GHI, co wskazuje na wysokie prawdopodobieństwo wystąpienia ryzyka. Dlatego ważne jest, aby wdrożyć szereg kontroli, takich jak kontrola dostępu, podział obowiązków i kontrola autoryzacji, aby zapewnić pomyślne zakończenie projektu.
Jaka jest różnica między ryzykiem nieodłącznym a ryzykiem kontrolnym?
Ryzyko nieodłączne a ryzyko kontrolne |
|
| Ryzyko nieodłączne to surowe lub nieleczone ryzyko, tj. naturalny poziom ryzyka nieodłącznie związanego z działalnością biznesową lub procesem bez wdrażania jakichkolwiek procedur w celu zmniejszenia ryzyka. | Ryzyko kontroli to prawdopodobieństwo straty wynikającej z nieprawidłowego działania środków kontroli wewnętrznej wdrożonych w celu ograniczenia ryzyka. |
| Natura | |
| Nieodłączne ryzyko jest z natury nieuniknione. | Ryzyko kontroli powstaje tylko w przypadku braku skutecznych środków kontroli wewnętrznej. |
| Ograniczenie ryzyka | |
| Nieodłączne ryzyko można złagodzić poprzez wdrożenie kontroli wewnętrznych. | Ryzyko kontroli można ograniczyć poprzez skuteczne funkcjonowanie kontroli wewnętrznych. |
Podsumowanie – Ryzyko nieodłączne a ryzyko kontrolne
Różnica między ryzykiem nieodłącznym a ryzykiem kontroli jest wyraźna, gdy ryzyko nieodłączne powstaje ze względu na charakter transakcji biznesowej lub operacji, podczas gdy ryzyko kontroli jest wynikiem nieprawidłowego działania środków kontroli wewnętrznej wdrożonych w celu ograniczenia ryzyka. Każda transakcja biznesowa wiąże się z wysokim, średnim lub niskim ryzykiem, które powinno być kontrolowane za pomocą kontroli wewnętrznej. Wdrożenie systemu kontroli wewnętrznej nie jest wystarczające i należy wprowadzić okresowe przeglądy, aby zapewnić ciągły sukces takiego systemu, aby skutecznie identyfikować i ograniczać ryzyko.
