تفاوت کلیدی – ریسک ذاتی در مقابل ریسک کنترل
ریسک ذاتی و ریسک کنترل دو اصطلاح مهم در مدیریت ریسک هستند. فعالیت های تجاری به طور طبیعی در معرض خطرات مختلفی قرار دارند که می توانند اثرات مثبتی را که می توانند برای سازمان داشته باشند کاهش دهند. تفاوت اصلی بین ریسک ذاتی و ریسک کنترل در این است که ریسک ذاتی ریسک خام یا درمان نشده است، که سطح طبیعی ریسک ذاتی در یک فعالیت تجاری یا فرآیند بدون اجرای هیچ روشی برای کاهش ریسک است، در حالی که ریسک کنترلی احتمال ضرر است. ناشی از عملکرد نادرست اقدامات کنترل داخلی اعمال شده برای کاهش خطرات.
ریسک ذاتی چیست؟
ریسک ذاتی به عنوان ریسک خام یا درمان نشده نامیده می شود و سطح طبیعی ریسک ذاتی در یک فعالیت یا فرآیند تجاری بدون اجرای هیچ روشی برای کاهش ریسک است. به عبارت دیگر، این میزان ریسک قبل از اعمال هرگونه کنترل داخلی است. ریسک ذاتی نیز به عنوان "ریسک ناخالص" شناخته می شود. ریسک ها باید با تعدادی از اقدامات کنترل داخلی کنترل شوند تا بتوان آنها را کاهش داد. چند نمونه از اقدامات کنترل داخلی به شرح زیر است.
مثال:
- کنترل دسترسی از طریق قفل درها (برای دسترسی فیزیکی) و از طریق رمزهای عبور (برای دسترسی آنلاین)
- تفکیک وظایف برای تقسیم مسئولیت ثبت، بازرسی و ممیزی معاملات برای جلوگیری از ارتکاب یک عمل متقلبانه توسط یک کارمند
- تطبیق حسابداری برای اطمینان از مطابقت موجودی حساب با مانده های نگهداری شده توسط سایر نهادها از جمله تامین کنندگان، مشتریان و مؤسسات مالی
- تخصیص اختیار به مدیران خاص برای مجوز معاملات با ارزش قابل توجه
حتی پس از اجرای کنترل های مورد نیاز، هیچ تضمینی وجود ندارد که بتوان کل خطر را حذف کرد، بنابراین ممکن است بخشی از خطر باقی بماند. چنین ریسکی به عنوان "ریسک باقیمانده" یا "ریسک خالص" نامیده می شود زیرا پس از اجرای کنترل ها باقی می ماند.
شکل 01: کنترل دسترسی می تواند برای کاهش خطرات استفاده شود
ریسک کنترل چیست؟
ریسک کنترل احتمال زیان ناشی از عملکرد نادرست اقدامات کنترل داخلی اعمال شده برای کاهش خطرات است.بنابراین، ریسک های کنترلی به دلیل محدودیت های موجود در سیستم کنترل داخلی رخ می دهد. اگر سیستم های کنترل داخلی تحت بررسی های دوره ای قرار نگیرند، در طول زمان کارایی خود را از دست می دهند. سیستم کنترل داخلی در یک شرکت باید سالانه بازنگری شود و کنترل ها باید به روز شوند.
عناصری که ریسک کنترل را افزایش می دهند
- عدم تفکیک وظایف
- تأیید اسناد بدون بررسی توسط مدیران تعیین شده
- عدم تأیید تراکنش
- عدم رویه شفاف برای انتخاب تامین کنندگان
نوع کنترلی که باید برای هر ریسک اجرا شود بر اساس دو جنبه تصمیم گیری می شود.
- احتمال/احتمال خطر - امکان تحقق یک ریسک
- تاثیر ریسک - اندازه زیان مالی در صورت تحقق ریسک
هم احتمال و هم تأثیر یک خطر ممکن است زیاد، متوسط یا کم باشد. برای یک ریسک با احتمال و تاثیر بالا، کنترل هایی با اثر بالا باید اجرا شوند. در غیر این صورت، در معرض خطر کنترل بالایی قرار خواهد گرفت.
به عنوان مثال، شرکت GHI یک شرکت فناوری اطلاعات است که در حال حاضر درگیر پروژه ای در مقیاس بزرگ برای مهم ترین مشتری خود به ارزش ۱۰ میلیون دلار است. در صورتی که GHI نتواند داده های محرمانه پروژه را حفظ کند، جریمه های قابل توجهی قابل پرداخت است. بنابراین، تأثیر یک ریسک احتمالی بسیار زیاد است. علاوه بر این، به دلیل ماهیت پروژه، برخی از طرفین ممکن است وسوسه شوند که اطلاعات محرمانه را به دست آورند و با رقبای GHI به اشتراک بگذارند، که نشان دهنده احتمال بالای ریسک است. بنابراین، اجرای تعدادی از کنترلها مانند کنترلهای دسترسی، تفکیک وظایف و کنترلهای مجوز برای اطمینان از تکمیل موفقیتآمیز پروژه حیاتی است.
تفاوت بین ریسک ذاتی و ریسک کنترل چیست؟
ریسک ذاتی در مقابل ریسک کنترل |
|
ریسک ذاتی ریسک خام یا درمان نشده است، یعنی سطح طبیعی ریسک ذاتی در یک فعالیت یا فرآیند تجاری بدون اجرای هیچ روشی برای کاهش ریسک. | ریسک کنترل احتمال ضرر ناشی از عملکرد نادرست اقدامات کنترل داخلی اعمال شده برای کاهش خطرات است. |
طبیعت | |
خطر ذاتی در طبیعت اجتناب ناپذیر است. | خطر کنترلی فقط در صورت عدم وجود اقدامات کنترل داخلی موثر به وجود می آید. |
کاهش خطرات | |
ریسک ذاتی را می توان از طریق اجرای کنترل های داخلی کاهش داد. | خطر کنترل را می توان از طریق عملکرد مؤثر کنترل های داخلی کاهش داد. |
خلاصه - ریسک ذاتی در مقابل ریسک کنترل
تفاوت بین ریسک ذاتی و ریسک کنترل تفاوتی متمایز است که در آن ریسک ذاتی به دلیل ماهیت معامله یا عملیات تجاری ایجاد می شود در حالی که ریسک کنترلی نتیجه عملکرد نادرست اقدامات کنترل داخلی است که برای کاهش خطرات اجرا شده است.هر معامله تجاری دارای ریسک بالا، متوسط یا کم است که باید از طریق کنترل های داخلی کنترل شود. پیادهسازی یک سیستم کنترل داخلی کافی نیست و باید برای موفقیت مستمر چنین سیستمی برای شناسایی و کاهش خطرات، بازبینیهای دورهای انجام شود.