Klíčový rozdíl – přirozené riziko vs. kontrolní riziko
Inherentní riziko a kontrolní riziko jsou dvě důležité terminologie v řízení rizik. Obchodní akce jsou přirozeně vystaveny různým rizikům, která mohou snížit pozitivní efekty, které mohou organizaci přinést. Klíčový rozdíl mezi inherentním rizikem a kontrolním rizikem je ten, že inherentní riziko je surové nebo neošetřené riziko, což je přirozená úroveň rizika vlastní obchodní činnosti nebo procesu bez implementace jakýchkoli postupů ke snížení rizika, zatímco kontrolní riziko je pravděpodobnost ztráty. vyplývající z nesprávného fungování vnitřních kontrolních opatření zavedených ke zmírnění rizik.
Co je přirozené riziko?
Inherentní riziko je označováno jako surové nebo neošetřené riziko a je přirozenou úrovní rizika vlastní obchodní činnosti nebo procesu bez implementace jakýchkoli postupů ke snížení rizika. Jinými slovy, jedná se o míru rizika před aplikací jakýchkoli vnitřních kontrol. Inherentní riziko se také nazývá „hrubé riziko“. Rizika by měla být kontrolována řadou vnitřních kontrolních opatření s cílem je zmírnit. Některé příklady opatření vnitřní kontroly jsou následující.
Příklady:
- Řízení přístupu pomocí dveřních zámků (pro fyzický přístup) a pomocí hesel (pro online přístup)
- Oddělení povinností k rozdělení odpovědnosti za záznam, kontrolu a audit transakcí, aby se zabránilo jedinému zaměstnanci spáchání podvodného jednání
- Účetní odsouhlasení, aby se zajistilo, že zůstatky na účtech budou odpovídat zůstatkům jiných subjektů, včetně dodavatelů, zákazníků a finančních institucí
- Přidělení oprávnění konkrétním manažerům k autorizaci transakcí významné hodnoty
Dokonce po zavedení požadovaných kontrol neexistuje žádná záruka, že bude možné eliminovat celé riziko, takže část rizika může zůstat. Takové riziko se označuje jako „zbytkové riziko“nebo „čisté riziko“, protože zůstává i po provedení kontrol.
Obrázek 01: Řízení přístupu lze použít ke zmírnění rizik
Co je kontrolní riziko?
Kontrolní riziko je pravděpodobnost ztráty vyplývající z nesprávného fungování vnitřních kontrolních opatření zavedených ke zmírnění rizik. V důsledku omezení ve vnitřním kontrolním systému tak vznikají kontrolní rizika. Nejsou-li systémy vnitřní kontroly podrobeny pravidelným kontrolám, ztrácí časem svou účinnost. Systém vnitřní kontroly ve společnosti musí být každoročně revidován a kontroly by měly být aktualizovány.
Prvky, které zvyšují kontrolní riziko
- Nedostatek oddělení povinností
- Schvalování dokumentů bez kontroly určenými manažery
- Nedostatečné ověření transakcí
- Nedostatek transparentních postupů pro výběr dodavatelů
O typu kontroly, která by měla být provedena pro každé riziko, se rozhoduje na základě dvou aspektů.
- Pravděpodobnost/pravděpodobnost rizika – možnost, že se riziko naplní
- Dopad rizika – velikost finanční ztráty, pokud se riziko naplní
Jak pravděpodobnost, tak dopad rizika mohou být vysoké, střední nebo nízké. U rizika s vysokou pravděpodobností a dopadem by měly být zavedeny kontroly s vysokým účinkem. Pokud ne, bude vystaven vysokému kontrolnímu riziku.
Např. GHI Company je IT společnost, která se v současné době zabývá rozsáhlým projektem pro svého nejvýznamnějšího klienta v hodnotě 10 milionů $. Pokud GHI neuchová jakékoli důvěrné údaje o projektu, jsou splatné značné pokuty; dopad možného rizika je tedy velmi vysoký. Dále, vzhledem k povaze projektu, mohou být některé strany v pokušení získat důvěrné informace a sdílet je s konkurenty GHI, což naznačuje vysokou pravděpodobnost rizika. Proto je nezbytné zavést řadu kontrol, jako jsou kontroly přístupu, oddělení povinností a kontroly oprávnění, aby bylo zajištěno úspěšné dokončení projektu.
Jaký je rozdíl mezi inherentním rizikem a kontrolním rizikem?
Inherentní riziko vs kontrolní riziko |
|
| Inherentní riziko je hrubé nebo neošetřené riziko, tj. přirozená úroveň rizika vlastní obchodní činnosti nebo procesu bez implementace jakýchkoli postupů ke snížení rizika. | Kontrolní riziko je pravděpodobnost ztráty vyplývající z nesprávného fungování vnitřních kontrolních opatření zavedených ke zmírnění rizik. |
| Příroda | |
| Inherentní riziko je ze své podstaty nevyhnutelné. | Kontrolní riziko vzniká pouze při absenci účinných vnitřních kontrolních opatření. |
| Snížení rizik | |
| Inherentní riziko lze zmírnit zavedením vnitřních kontrol. | Kontrolní riziko lze zmírnit efektivním fungováním vnitřních kontrol. |
Shrnutí – Inherentní riziko versus kontrolní riziko
Rozdíl mezi inherentním rizikem a kontrolním rizikem je zřetelný tam, kde inherentní riziko vzniká v důsledku povahy obchodní transakce nebo operace, zatímco kontrolní riziko je výsledkem nesprávného fungování vnitřních kontrolních opatření zavedených ke zmírnění rizik. Každá obchodní transakce je vybavena buď vysokým, středním nebo nízkým rizikem, které by mělo být kontrolováno prostřednictvím vnitřních kontrol. Zavedení vnitřního kontrolního systému není dostatečné a pro trvalý úspěch takového systému by měly být zavedeny pravidelné kontroly, aby bylo možné účinně identifikovat a zmírnit rizika.
