Nøkkelforskjell – Iboende risiko vs kontrollrisiko
Iboende risiko og kontrollrisiko er to viktige terminologier i risikostyring. Forretningshandlinger er utsatt for ulike risikoer av natur som kan redusere de positive effektene de kan gi for organisasjonen. Nøkkelforskjellen mellom iboende risiko og kontrollrisiko er at iboende risiko er den rå eller ubehandlede risikoen, som er det naturlige risikonivået som er iboende i en forretningsaktivitet eller prosess uten å implementere noen prosedyrer for å redusere risikoen, mens kontrollrisiko er sannsynligheten for tap som følge av feil i interne kontrolltiltak implementert for å redusere risiko.
Hva er iboende risiko?
Iboende risiko refereres til som rå eller ubehandlet risiko og er det naturlige risikonivået som er iboende i en forretningsaktivitet eller prosess uten å implementere noen prosedyrer for å redusere risikoen. Med andre ord, dette er mengden risiko før bruk av interne kontroller. Iboende risiko er også referert til som "brutto risiko". Risikoer bør kontrolleres av en rekke interne kontrolltiltak for å redusere dem. Noen eksempler på interne kontrolltiltak er som følger.
Eksempler:
- Styring av tilgang gjennom dørlåser (for fysisk tilgang) og gjennom passord (for nettilgang)
- Segregering av plikter for å dele ansvaret for registrering, inspeksjon og revisjon av transaksjoner for å forhindre at en enkelt ansatt begår en uredelig handling
- Regnskapsavstemminger for å sikre at kontosaldoer samsvarer med saldoer som vedlikeholdes av andre enheter, inkludert leverandører, kunder og finansinstitusjoner
- Tilordne fullmakt til spesifikke ledere for å godkjenne transaksjoner av betydelig verdi
Selv etter at de nødvendige kontrollene er implementert, er det ingen garanti for at hele risikoen kan elimineres, og dermed kan en del av risikoen forbli. Slik risiko omtales som «restrisiko» eller «nettorisiko», da denne forblir etter implementering av kontroller.
Figur 01: Tilgangskontroll kan brukes til å redusere risiko
Hva er kontrollrisiko?
Kontrollrisiko er sannsynligheten for tap som følge av feil i interne kontrolltiltak implementert for å redusere risiko. Dermed oppstår kontrollrisiko på grunn av begrensningene i internkontrollsystemet. Hvis de ikke blir utsatt for periodiske gjennomganger, mister interne kontrollsystemer sin effektivitet over tid. Internkontrollsystemet i en bedrift må gjennomgås årlig og kontrollene bør oppdateres.
Elementer som øker kontrollrisiko
- Mangel på oppgavedeling
- Godkjenning av dokumenter uten gjennomgang av utpekte ledere
- Mangel på bekreftelse av transaksjoner
- Mangel på gjennomsiktige prosedyrer for å velge leverandører
Hvilken kontrolltype som skal implementeres for hver risiko bestemmes basert på to aspekter.
- Sannsynlighet/sannsynlighet for risiko – mulighet for at en risiko blir materialisert
- Risikovirkning – størrelsen på det økonomiske tapet hvis risikoen materialiserer seg
Både sannsynligheten og virkningen av en risiko kan være høy, middels eller lav. For en risiko med høy sannsynlighet og påvirkning bør kontroller med høy effekt implementeres. Hvis ikke, vil den bli utsatt for høy kontrollrisiko.
F.eks. GHI Company er et IT-selskap som for tiden er engasjert i et storskalaprosjekt for sin viktigste klient til en verdi av $10 millioner. Betydelige straffer skal betales hvis GHI ikke klarer å opprettholde konfidensielle data om prosjektet; dermed er virkningen av en mulig risiko svært høy. Videre, på grunn av prosjektets natur, kan noen parter bli fristet til å innhente den konfidensielle informasjonen og dele med konkurrenter til GHI, noe som indikerer en høy sannsynlighet for risiko. Derfor er det viktig å implementere en rekke kontroller som tilgangskontroller, oppgavedeling og autorisasjonskontroller for å sikre vellykket gjennomføring av prosjektet.
Hva er forskjellen mellom iboende risiko og kontrollrisiko?
Iboende risiko vs kontrollrisiko |
|
| Iboende risiko er den rå eller ubehandlede risikoen, dvs. det naturlige risikonivået som er iboende i en forretningsaktivitet eller prosess uten å implementere noen prosedyrer for å redusere risikoen. | Kontrollrisiko er sannsynligheten for tap som følge av feil i interne kontrolltiltak implementert for å redusere risiko. |
| Nature | |
| Iboende risiko er uunngåelig i naturen. | Kontrollrisiko oppstår kun i fravær av effektive internkontrolltiltak. |
| Reduksjon av risiko | |
| Iboende risiko kan reduseres gjennom implementering av interne kontroller. | Kontrollrisiko kan reduseres gjennom effektiv funksjon av interne kontroller. |
Sammendrag – Iboende risiko vs kontrollrisiko
Forskjellen mellom iboende risiko og kontrollrisiko er en distinkt en der iboende risiko oppstår på grunn av arten av forretningstransaksjonen eller operasjonen, mens kontrollrisiko er et resultat av funksjonsfeil i interne kontrolltiltak implementert for å redusere risiko. Hver forretningstransaksjon er utstyrt med enten høy, middels eller lav risiko som bør kontrolleres via interne kontroller. Implementering av et internkontrollsystem er ikke tilstrekkelig, og periodiske gjennomganger bør være på plass for fortsatt suksess for et slikt system for å effektivt identifisere og redusere risikoer.
