Ключова разлика – присъщ риск срещу контролен риск
Присъщият риск и контролният риск са две важни терминологии в управлението на риска. Бизнес действията са подложени на различни рискове по природа, които могат да намалят положителните ефекти, които могат да донесат на организацията. Ключовата разлика между присъщия риск и контролния риск е, че присъщият риск е суровият или нетретиран риск, което е естественото ниво на риск, присъщо на бизнес дейност или процес, без да се прилагат никакви процедури за намаляване на риска, докато контролният риск е вероятността от загуба в резултат на неправилно функциониране на мерките за вътрешен контрол, въведени за намаляване на рисковете.
Какво е присъщ риск?
Присъщият риск се нарича суров или нетретиран риск и е естественото ниво на риск, присъщо на дадена бизнес дейност или процес, без прилагане на процедури за намаляване на риска. С други думи, това е размерът на риска преди прилагането на какъвто и да е вътрешен контрол. Присъщият риск се нарича още „брутен риск“. Рисковете трябва да се контролират чрез редица мерки за вътрешен контрол, за да бъдат смекчени. Някои примери за мерки за вътрешен контрол са както следва.
Примери:
- Контрол на достъпа чрез ключалки на врати (за физически достъп) и чрез пароли (за онлайн достъп)
- Разделение на задълженията за разделяне на отговорността за записване, проверка и одит на транзакции, за да се предотврати извършването на измамно действие от един служител
- Счетоводни равнения, за да се гарантира, че балансите по сметки съвпадат със балансите, поддържани от други субекти, включително доставчици, клиенти и финансови институции
- Предаване на пълномощия на конкретни мениджъри за разрешаване на транзакции със значителна стойност
Дори след прилагането на необходимите контроли, няма гаранция, че целият риск може да бъде елиминиран, поради което част от риска може да остане. Такъв риск се нарича „остатъчен риск“или „нетен риск“, тъй като остава след прилагането на контролите.
Фигура 01: Контролът на достъпа може да се използва за смекчаване на рисковете
Какво е Control Risk?
Контролният риск е вероятността от загуба в резултат на неизправност на мерките за вътрешен контрол, въведени за смекчаване на рисковете. По този начин възникват контролни рискове поради ограниченията в системата за вътрешен контрол. Ако не се подлагат на периодични прегледи, системите за вътрешен контрол губят своята ефективност с течение на времето. Системата за вътрешен контрол в компанията трябва да се преразглежда ежегодно и контролите трябва да се актуализират.
Елементи, които увеличават контролния риск
- Липса на разделение на задълженията
- Одобрение на документи без преглед от назначените ръководители
- Липса на проверка на транзакции
- Липса на прозрачни процедури за избор на доставчици
Видът контрол, който трябва да се прилага за всеки риск, се определя въз основа на два аспекта.
- Вероятност/вероятност от риск – възможност рискът да бъде материализиран
- Въздействие на риска – размер на финансовата загуба, ако рискът се материализира
Както вероятността, така и въздействието на риска могат да бъдат високи, средни или ниски. За риск с висока вероятност и въздействие трябва да се прилагат контроли с висок ефект. Ако не, то ще бъде изложено на висок контролен риск.
Например, GHI Company е ИТ компания, която в момента е ангажирана с мащабен проект за най-значимия си клиент на стойност 10 милиона долара. Дължат се значителни глоби, ако GHI не успее да поддържа поверителни данни от проекта; следователно въздействието на възможен риск е много високо. Освен това, поради естеството на проекта, някои страни може да се изкушат да получат поверителна информация и да я споделят с конкурентите на GHI, което показва висока вероятност за риск. Поради това е жизненоважно да се внедрят редица контроли като контрол на достъпа, разделяне на задълженията и контрол за оторизация, за да се гарантира успешно завършване на проекта.
Каква е разликата между присъщия риск и контролния риск?
Присъщ риск срещу контролен риск |
|
| Присъщият риск е суровият или нетретиран риск, т.е. естественото ниво на риск, присъщо на дадена бизнес дейност или процес, без да се прилагат никакви процедури за намаляване на риска. | Контролният риск е вероятността от загуба в резултат на неизправност на мерките за вътрешен контрол, въведени за смекчаване на рисковете. |
| Природа | |
| Присъщият риск е неизбежен по природа. | Контролният риск възниква само при липса на ефективни мерки за вътрешен контрол. |
| Намаляване на рисковете | |
| Присъщият риск може да бъде смекчен чрез прилагане на вътрешни контроли. | Рискът от контрола може да бъде смекчен чрез ефективно функциониране на вътрешния контрол. |
Обобщение – Присъщ риск срещу контролен риск
Разликата между присъщия риск и контролния риск е ясна, когато присъщият риск възниква поради естеството на бизнес транзакцията или операцията, докато контролният риск е резултат от неправилното функциониране на мерките за вътрешен контрол, приложени за смекчаване на рисковете. Всяка бизнес сделка е оборудвана с висок, среден или нисък риск, който трябва да се контролира чрез вътрешни контроли. Внедряването на система за вътрешен контрол не е достатъчно и трябва да има периодични прегледи за продължаващия успех на такава система за ефективно идентифициране и смекчаване на рисковете.
