Nøgleforskel – iboende risiko vs kontrolrisiko
Iboende risiko og kontrolrisiko er to vigtige terminologier i risikostyring. Forretningshandlinger er af natur udsat for forskellige risici, der kan reducere de positive effekter, de kan medføre for organisationen. Nøgleforskellen mellem iboende risiko og kontrolrisiko er, at iboende risiko er den rå eller ubehandlede risiko, som er det naturlige niveau af risiko, der er iboende i en forretningsaktivitet eller proces uden at implementere nogen procedurer for at reducere risikoen, mens kontrolrisiko er sandsynligheden for tab som følge af funktionsfejl i interne kontrolforanst altninger, der er implementeret for at mindske risici.
Hvad er iboende risiko?
Iboende risiko omtales som rå eller ubehandlet risiko og er det naturlige risikoniveau, der er iboende i en forretningsaktivitet eller proces uden at implementere nogen procedurer for at reducere risikoen. Med andre ord er dette mængden af risiko før anvendelse af interne kontroller. Iboende risiko omtales også som 'bruttorisiko'. Risici bør kontrolleres af en række interne kontrolforanst altninger for at afbøde dem. Nogle eksempler på interne kontrolforanst altninger er som følger.
Eksempler:
- Kontrol af adgang gennem dørlåse (for fysisk adgang) og gennem adgangskoder (for onlineadgang)
- Opsplitning af pligter til at dele ansvaret for registrering, inspektion og revision af transaktioner for at forhindre, at en enkelt medarbejder begår en svigagtig handling
- Regnskabsafstemninger for at sikre, at kontosaldi stemmer overens med saldi, der vedligeholdes af andre enheder, herunder leverandører, kunder og finansielle institutioner
- Tildeling af autoritet til specifikke ledere til at godkende transaktioner af betydelig værdi
Selv efter at de nødvendige kontroller er implementeret, er der ingen garanti for, at hele risikoen kan elimineres, og derfor kan en del af risikoen forblive. En sådan risiko omtales som "restrisiko" eller "nettorisiko", da denne forbliver efter implementeringen af kontroller.
Figur 01: Adgangskontrol kan bruges til at mindske risici
Hvad er kontrolrisiko?
Kontrolrisiko er sandsynligheden for tab som følge af fejlfunktion i interne kontrolforanst altninger, der er implementeret for at mindske risici. Der opstår således kontrolrisici på grund af begrænsningerne i det interne kontrolsystem. Hvis de ikke udsættes for periodiske gennemgange, mister de interne kontrolsystemer deres effektivitet over tid. Det interne kontrolsystem i en virksomhed skal revideres årligt, og kontrollerne bør opdateres.
Elementer, der øger kontrolrisikoen
- Mangel på adskillelse af opgaver
- Godkendelse af dokumenter uden gennemgang af de udpegede ledere
- Manglende bekræftelse af transaktioner
- Mangel på gennemsigtige procedurer for at vælge leverandører
Den type kontrol, der skal implementeres for hver risiko, besluttes ud fra to aspekter.
- Sandsynlighed/sandsynlighed for risiko – mulighed for, at en risiko materialiseres
- Risikos indvirkning – størrelsen af det økonomiske tab, hvis risikoen materialiserer sig
Både sandsynligheden for og virkningen af en risiko kan være høj, middel eller lav. For en risiko med høj sandsynlighed og effekt bør der implementeres kontroller med høj effekt. Hvis ikke, vil den blive udsat for en høj kontrolrisiko.
F.eks. er GHI Company en it-virksomhed, der i øjeblikket er involveret i et storstilet projekt for sin mest betydningsfulde kunde til en værdi af $10 mio. Der skal betales væsentlige bøder, hvis GHI undlader at opretholde fortrolige data om projektet; dermed er virkningen af en mulig risiko meget høj. På grund af projektets art kan nogle parter desuden blive fristet til at indhente de fortrolige oplysninger og dele dem med konkurrenter til GHI, hvilket indikerer en høj sandsynlighed for risiko. Det er derfor afgørende at implementere en række kontroller såsom adgangskontrol, adskillelse af opgaver og autorisationskontroller for at sikre en vellykket gennemførelse af projektet.
Hvad er forskellen mellem iboende risiko og kontrolrisiko?
Iboende risiko vs kontrolrisiko |
|
| Iboende risiko er den rå eller ubehandlede risiko, dvs. det naturlige risikoniveau, der er iboende i en forretningsaktivitet eller proces uden at implementere nogen procedurer for at reducere risikoen. | Kontrolrisiko er sandsynligheden for tab som følge af fejlfunktion i interne kontrolforanst altninger, der er implementeret for at mindske risici. |
| Nature | |
| Iboende risiko er uundgåelig i sin natur. | Kontrolrisiko opstår kun i mangel af effektive interne kontrolforanst altninger. |
| Reduktion af risici | |
| Iboende risiko kan mindskes via implementering af interne kontroller. | Kontrolrisiko kan mindskes via effektiv funktion af interne kontroller. |
Opsummering – Iboende risiko vs kontrolrisiko
Forskellen mellem iboende risiko og kontrolrisiko er tydelig, hvor iboende risiko opstår på grund af arten af forretningstransaktionen eller operationen, mens kontrolrisikoen er et resultat af fejlfunktion i interne kontrolforanst altninger, der er implementeret for at mindske risici. Enhver forretningstransaktion er udstyret med enten høj, middel eller lav risiko, som bør kontrolleres via interne kontroller. Implementering af et internt kontrolsystem er ikke tilstrækkeligt, og periodiske gennemgange bør være på plads for den fortsatte succes af et sådant system for effektivt at identificere og afbøde risici.
