Belangrijk verschil - Inherent risico versus controlerisico
Inherent risico en controlerisico zijn twee belangrijke terminologieën in risicobeheer. Zakelijke acties zijn van nature onderhevig aan verschillende risico's die de positieve effecten die ze voor de organisatie kunnen hebben, kunnen verminderen. Het belangrijkste verschil tussen inherent risico en controlerisico is dat inherent risico het ruwe of onbehandelde risico is, wat het natuurlijke risiconiveau is dat intrinsiek is aan een bedrijfsactiviteit of -proces zonder procedures te implementeren om het risico te verminderen, terwijl controlerisico de kans op verlies is als gevolg van het niet goed functioneren van interne controlemaatregelen die zijn genomen om risico's te mitigeren.
Wat is inherent risico?
Inherent risico wordt ruw of onbehandeld risico genoemd en is het natuurlijke risiconiveau dat inherent is aan een bedrijfsactiviteit of -proces zonder procedures te implementeren om het risico te verminderen. Met andere woorden, dit is het risicobedrag voordat interne controles worden toegepast. Inherent risico wordt ook wel het ‘bruto risico’ genoemd. Risico's dienen te worden beheerst door een aantal interne beheersingsmaatregelen om ze te mitigeren. Enkele voorbeelden van interne controlemaatregelen zijn als volgt.
Voorbeelden:
- Toegang controleren via deursloten (voor fysieke toegang) en via wachtwoorden (voor online toegang)
- Scheiding van taken om de verantwoordelijkheid voor het vastleggen, inspecteren en controleren van transacties te verdelen om te voorkomen dat een enkele werknemer een frauduleuze handeling begaat
- Boekhoudingsafstemmingen om ervoor te zorgen dat rekeningsaldi overeenkomen met saldi die worden bijgehouden door andere entiteiten, waaronder leveranciers, klanten en financiële instellingen
- Bevoegdheid toekennen aan specifieke managers om transacties van aanzienlijke waarde te autoriseren
Zelfs nadat de vereiste controles zijn geïmplementeerd, is er geen garantie dat het volledige risico kan worden geëlimineerd, dus een deel van het risico kan blijven bestaan. Een dergelijk risico wordt 'restrisico' of 'nettorisico' genoemd, aangezien dit overblijft na de implementatie van controles.
Figuur 01: Toegangscontrole kan worden gebruikt om risico's te beperken
Wat is controlerisico?
Controlerisico is de kans op verlies als gevolg van het niet goed functioneren van interne controlemaatregelen die zijn geïmplementeerd om risico's te mitigeren. Zo ontstaan beheersingsrisico's door de beperkingen in het interne beheersingssysteem. Als internecontrolesystemen niet aan periodieke beoordelingen worden onderworpen, verliezen ze na verloop van tijd hun effectiviteit. Het interne controlesysteem in een bedrijf moet jaarlijks worden herzien en de controles moeten worden bijgewerkt.
Elementen die het controlerisico vergroten
- Gebrek aan functiescheiding
- Goedkeuring van documenten zonder controle door de aangewezen managers
- Gebrek aan verificatie van transacties
- Gebrek aan transparante procedures om leveranciers te selecteren
Het type controle dat voor elk risico moet worden geïmplementeerd, wordt bepaald op basis van twee aspecten.
- Waarschijnlijkheid/waarschijnlijkheid van risico – mogelijkheid dat een risico werkelijkheid wordt
- Impact van risico – omvang van het financiële verlies als het risico werkelijkheid wordt
Zowel de waarschijnlijkheid als de impact van een risico kan hoog, gemiddeld of laag zijn. Voor een risico met een hoge waarschijnlijkheid en impact moeten controles met een groot effect worden geïmplementeerd. Zo niet, dan wordt het blootgesteld aan een hoog controlerisico.
Bijvoorbeeld, GHI Company is een IT-bedrijf dat momenteel bezig is met een grootschalig project voor zijn belangrijkste klant voor een waarde van $ 10 miljoen. Er zijn aanzienlijke boetes verschuldigd als GHI er niet in slaagt om vertrouwelijke gegevens van het project bij te houden; dus de impact van een mogelijk risico is erg groot. Verder kunnen sommige partijen vanwege de aard van het project in de verleiding komen om de vertrouwelijke informatie te verkrijgen en deze te delen met concurrenten van GHI, wat wijst op een grote kans op risico. Het is dus van vitaal belang om een aantal controles te implementeren, zoals toegangscontroles, functiescheiding en autorisatiecontroles om een succesvolle afronding van het project te garanderen.
Wat is het verschil tussen inherent risico en controlerisico?
Inherent risico versus controlerisico |
|
Inherente risico is het ruwe of onbehandelde risico, d.w.z. het natuurlijke risiconiveau dat inherent is aan een bedrijfsactiviteit of -proces zonder procedures te implementeren om het risico te verminderen. | Controlerisico is de kans op verlies als gevolg van het niet goed functioneren van interne controlemaatregelen die zijn geïmplementeerd om risico's te beperken. |
Natuur | |
Inherent risico is onvermijdelijk van aard. | Controlerisico ontstaat alleen bij afwezigheid van effectieve interne controlemaatregelen. |
Beperking van risico's | |
Inherent risico kan worden beperkt door implementatie van interne controles. | Controlerisico kan worden beperkt door een effectieve werking van interne controles. |
Samenvatting – Inherent risico versus controlerisico
Het verschil tussen inherent risico en controlerisico is een duidelijk verschil waar inherent risico ontstaat als gevolg van de aard van de zakelijke transactie of operatie, terwijl controlerisico het gevolg is van het niet goed functioneren van interne controlemaatregelen die zijn geïmplementeerd om risico's te beperken. Elke zakelijke transactie is uitgerust met een hoog, gemiddeld of laag risico dat moet worden gecontroleerd via interne controles. Het implementeren van een intern controlesysteem is niet voldoende en er moeten periodieke beoordelingen worden uitgevoerd om het aanhoudende succes van een dergelijk systeem te waarborgen en de risico's effectief te identificeren en te beperken.