Diferència clau: risc inherent i risc de control
El risc inherent i el risc de control són dues terminologies importants en la gestió del risc. Les accions empresarials estan sotmeses a diversos riscos per naturalesa que poden reduir els efectes positius que poden aportar a l'organització. La diferència clau entre el risc inherent i el risc de control és que el risc inherent és el risc brut o no tractat, que és el nivell natural de risc intrínsec en una activitat o procés empresarial sense implementar cap procediment per reduir el risc, mentre que el risc de control és la probabilitat de pèrdua. com a conseqüència del mal funcionament de les mesures de control intern implementades per mitigar els riscos.
Què és el risc inherent?
El risc inherent es coneix com a risc brut o no tractat i és el nivell natural de risc intrínsec en una activitat o procés empresarial sense implementar cap procediment per reduir el risc. En altres paraules, aquesta és la quantitat de risc abans d'aplicar qualsevol control intern. El risc inherent també s'anomena "risc brut". Els riscos s'han de controlar mitjançant una sèrie de mesures de control intern per tal de mitigar-los. Alguns exemples de mesures de control intern són els següents.
Exemples:
- Control de l'accés mitjançant panys de portes (per a l'accés físic) i mitjançant contrasenyes (per a accés en línia)
- Segregació de tasques per dividir la responsabilitat d'enregistrar, inspeccionar i auditar transaccions per evitar que un sol empleat cometi un acte fraudulent
- Conciliacions comptables per garantir que els saldos dels comptes coincideixen amb els saldos d' altres entitats, inclosos proveïdors, clients i institucions financeres
- Assignació d'autoritat a gestors específics per autoritzar transaccions de valor significatiu
Fins i tot després d'implementar els controls requerits, no hi ha cap garantia que es pugui eliminar tot el risc, de manera que es pot mantenir una part del risc. Aquest risc s'anomena "risc residual" o "risc net", ja que es manté després de la implementació dels controls.
Figura 01: el control d'accés es pot utilitzar per mitigar els riscos
Què és el risc de control?
El risc de control és la probabilitat de pèrdua derivada del mal funcionament de les mesures de control intern implementades per mitigar els riscos. Així, els riscos de control es produeixen a causa de les limitacions del sistema de control intern. Si no se sotmeten a revisions periòdiques, els sistemes de control intern perden la seva eficàcia amb el temps. El sistema de control intern d'una empresa s'ha de revisar anualment i els controls s'han d'actualitzar.
Elements que augmenten el risc de control
- Manca de segregació de tasques
- Aprovació de documents sense revisió per part dels gestors designats
- Manca de verificació de les transaccions
- Manca de procediments transparents per seleccionar proveïdors
El tipus de control que s'ha d'implementar per a cada risc es decideix en funció de dos aspectes.
- Probabilitat/probabilitat de risc: possibilitat que es materialitzi un risc
- Impacte del risc: mida de la pèrdua financera si el risc es materialitza
Tant la probabilitat com l'impacte d'un risc poden ser alts, mitjans o baixos. Per a un risc amb alta probabilitat i impacte, s'han d'implementar controls amb alt efecte. Si no, estarà exposat a un alt risc de control.
Per exemple, GHI Company és una empresa informàtica que actualment està dedicada a un projecte a gran escala per al seu client més important per un valor de 10 milions de dòlars. S'han de pagar penalitzacions substancials si GHI no manté cap dada confidencial del projecte; així, l'impacte d'un possible risc és molt elevat. A més, a causa de la naturalesa del projecte, algunes parts poden tenir la temptació d'obtenir la informació confidencial i compartir-la amb els competidors de GHI, cosa que indica una alta probabilitat de risc. Per tant, és vital implementar una sèrie de controls com ara controls d'accés, segregació de tasques i controls d'autorització per garantir la finalització satisfactòria del projecte.
Quina diferència hi ha entre el risc inherent i el risc de control?
Risc inherent versus risc de control |
|
El risc inherent és el risc brut o no tractat, és a dir, el nivell natural de risc intrínsec en una activitat o procés empresarial sense implementar cap procediment per reduir el risc. | El risc de control és la probabilitat de pèrdua derivada del mal funcionament de les mesures de control intern implementades per mitigar els riscos. |
Natura | |
El risc inherent és inevitable per naturalesa. | El risc de control només sorgeix en absència de mesures de control intern efectives. |
Mitigació de riscos | |
El risc inherent es pot mitigar mitjançant la implementació de controls interns. | El risc de control es pot mitigar mitjançant el funcionament efectiu dels controls interns. |
Resum: Risc inherent versus risc de control
La diferència entre el risc inherent i el risc de control és diferent quan el risc inherent sorgeix a causa de la naturalesa de l'operació o transacció comercial, mentre que el risc de control és el resultat del mal funcionament de les mesures de control intern implementades per mitigar els riscos. Cada transacció comercial està equipada amb un risc alt, mitjà o baix que s'ha de controlar mitjançant controls interns. La implementació d'un sistema de control intern no és suficient i s'haurien de fer revisions periòdiques per tal que aquest sistema continuï amb èxit per identificar i mitigar els riscos de manera eficaç..