Ključna razlika – inherentni rizik u odnosu na kontrolni rizik
Inherentni rizik i kontrolni rizik dvije su važne terminologije u upravljanju rizikom. Poslovne radnje po prirodi su podložne raznim rizicima koji mogu umanjiti pozitivne učinke koje mogu donijeti organizaciji. Ključna razlika između inherentnog rizika i kontrolnog rizika je u tome što je inherentni rizik sirovi ili netretirani rizik, što je prirodna razina rizika svojstvena poslovnoj aktivnosti ili procesu bez primjene bilo kakvih postupaka za smanjenje rizika, dok je kontrolni rizik vjerojatnost gubitka kao rezultat neispravnosti mjera interne kontrole koje su provedene za ublažavanje rizika.
Što je inherentni rizik?
Inherentni rizik naziva se sirovim ili netretiranim rizikom i prirodna je razina rizika svojstvena poslovnoj aktivnosti ili procesu bez provedbe bilo kakvih postupaka za smanjenje rizika. Drugim riječima, to je količina rizika prije primjene bilo kakvih internih kontrola. Inherentni rizik također se naziva "bruto rizik". Rizike treba kontrolirati nizom mjera interne kontrole kako bi se oni ublažili. Neki primjeri mjera interne kontrole su sljedeći.
Primjeri:
- Kontrola pristupa kroz brave na vratima (za fizički pristup) i putem lozinki (za online pristup)
- Odvajanje dužnosti radi podjele odgovornosti za bilježenje, inspekciju i reviziju transakcija kako bi se spriječilo da jedan zaposlenik počini prijevaru
- Računovodstvena usklađivanja kako bi se osiguralo podudaranje stanja računa sa stanjem koje održavaju drugi subjekti, uključujući dobavljače, kupce i financijske institucije
- Dodjeljivanje ovlaštenja određenim upraviteljima za autorizaciju transakcija značajne vrijednosti
Čak ni nakon što se provedu potrebne kontrole, nema jamstva da se cijeli rizik može eliminirati, stoga dio rizika može ostati. Takav se rizik naziva 'preostali rizik' ili 'neto rizik' budući da ostaje nakon provedbe kontrola.
Slika 01: Kontrola pristupa može se koristiti za ublažavanje rizika
Što je Control Risk?
Kontrolni rizik je vjerojatnost gubitka koji proizlazi iz neispravnosti mjera interne kontrole primijenjenih za ublažavanje rizika. Dakle, kontrolni rizici nastaju zbog ograničenja u sustavu internih kontrola. Ako se ne podvrgnu periodičnim pregledima, sustavi interne kontrole s vremenom gube svoju učinkovitost. Sustav interne kontrole u tvrtki mora se revidirati jednom godišnje i kontrole treba ažurirati.
Elementi koji povećavaju rizik kontrole
- Nedostatak razdvajanja dužnosti
- Odobravanje dokumenata bez pregleda od strane imenovanih upravitelja
- Nedostatak provjere transakcija
- Nedostatak transparentnih procedura za odabir dobavljača
Vrsta kontrole koju treba primijeniti za svaki rizik odlučuje se na temelju dva aspekta.
- Vjerojatnost/vjerojatnost rizika – mogućnost materijalizacije rizika
- Utjecaj rizika – veličina financijskog gubitka ako se rizik ostvari
I vjerojatnost i utjecaj rizika mogu biti visoki, srednji ili niski. Za rizik s visokom vjerojatnošću i utjecajem treba provesti kontrole s visokim učinkom. U protivnom će biti izložen visokom riziku kontrole.
Npr., GHI Company je IT tvrtka koja je trenutno uključena u veliki projekt za svog najznačajnijeg klijenta u vrijednosti od 10 milijuna USD. Plaćaju se znatne kazne ako GHI ne uspije zadržati povjerljive podatke o projektu; stoga je utjecaj mogućeg rizika vrlo visok. Nadalje, zbog prirode projekta, neke strane mogu doći u iskušenje da dobiju povjerljive informacije i podijele ih s konkurentima GHI-ja, što ukazuje na visoku vjerojatnost rizika. Stoga je od vitalnog značaja implementirati brojne kontrole kao što su kontrole pristupa, podjela dužnosti i kontrole autorizacije kako bi se osigurao uspješan završetak projekta.
Koja je razlika između inherentnog rizika i rizika kontrole?
Inherentni rizik u odnosu na kontrolni rizik |
|
| Inherentni rizik je sirovi ili netretirani rizik, tj. prirodna razina rizika svojstvena poslovnoj aktivnosti ili procesu bez primjene bilo kakvih postupaka za smanjenje rizika. | Kontrolni rizik je vjerojatnost gubitka koji je posljedica neispravnosti mjera interne kontrole primijenjenih za ublažavanje rizika. |
| Priroda | |
| Inherentni rizik neizbježan je u prirodi. | Rizik kontrole javlja se samo u nedostatku učinkovitih mjera interne kontrole. |
| Ublažavanje rizika | |
| Inherentni rizik može se ublažiti implementacijom internih kontrola. | Rizik kontrole može se ublažiti učinkovitim funkcioniranjem internih kontrola. |
Sažetak – Inherentni rizik u odnosu na kontrolni rizik
Razlika između inherentnog rizika i kontrolnog rizika je jasna kada inherentni rizik nastaje zbog prirode poslovne transakcije ili operacije, dok je kontrolni rizik rezultat neispravnosti mjera interne kontrole koje se primjenjuju za ublažavanje rizika. Svaka poslovna transakcija opremljena je visokim, srednjim ili niskim rizikom koji treba kontrolirati putem internih kontrola. Implementacija sustava interne kontrole nije dovoljna i trebaju postojati periodični pregledi za nastavak uspjeha takvog sustava kako bi se učinkovito identificirali i ublažili rizici.
