Sleutelverskil – Inherente risiko vs beheerrisiko
Inherente risiko en beheerrisiko is twee belangrike terminologieë in risikobestuur. Besigheidsaksies word van nature aan verskeie risiko's onderwerp wat die positiewe uitwerking wat dit vir die organisasie kan inhou, kan verminder. Die sleutelverskil tussen inherente risiko en beheerrisiko is dat inherente risiko die rou of onbehandelde risiko is, wat die natuurlike vlak van risiko intrinsiek in 'n besigheidsaktiwiteit of -proses is sonder die implementering van enige prosedures om die risiko te verminder, terwyl beheerrisiko die waarskynlikheid van verlies is as gevolg van die wanfunksionering van interne beheermaatreëls wat geïmplementeer is om risiko's te versag.
Wat is inherente risiko?
Inherente risiko word na verwys as rou of onbehandelde risiko en is die natuurlike vlak van risiko intrinsiek in 'n besigheidsaktiwiteit of proses sonder om enige prosedures te implementeer om die risiko te verminder. Met ander woorde, dit is die hoeveelheid risiko voor die toepassing van enige interne beheermaatreëls. Daar word ook na inherente risiko verwys as die 'groot risiko'. Risiko's moet deur 'n aantal interne beheermaatreëls beheer word om dit te versag. Enkele voorbeelde van interne beheermaatreëls is soos volg.
Voorbeelde:
- Beheer toegang deur deurslotte (vir fisiese toegang) en deur wagwoorde (vir aanlyn toegang)
- Segregasie van pligte om verantwoordelikheid vir die optekening, inspeksie en ouditering van transaksies te verdeel om te verhoed dat 'n enkele werknemer 'n bedrieglike daad pleeg
- Rekeningkundige rekonsiliasies om te verseker dat rekeningsaldo's ooreenstem met saldo's wat deur ander entiteite in stand gehou word, insluitend verskaffers, kliënte en finansiële instellings
- Toeken van magtiging aan spesifieke bestuurders om transaksies van beduidende waarde te magtig
Selfs nadat die vereiste kontroles geïmplementeer is, is daar geen waarborg dat die hele risiko uitgeskakel kan word nie, dus kan 'n gedeelte van die risiko oorbly. Daar word na so 'n risiko verwys as 'residuele risiko' of 'netto risiko' aangesien dit na die implementering van beheermaatreëls bestaan.
Figuur 01: Toegangsbeheer kan gebruik word om risiko's te versag
Wat is beheerrisiko?
Beheerrisiko is die waarskynlikheid van verlies as gevolg van die wanfunksionering van interne beheermaatreëls wat geïmplementeer is om risiko's te versag. Beheerrisiko's kom dus voor as gevolg van die beperkings in die interne beheerstelsel. As dit nie aan periodieke hersiening onderwerp word nie, verloor interne beheerstelsels hul doeltreffendheid mettertyd. Die interne beheerstelsel in 'n maatskappy moet jaarliks hersien word en die kontroles moet bygewerk word.
Elemente wat beheerrisiko verhoog
- Gebrek aan skeiding van pligte
- Goedkeuring van dokumente sonder hersiening deur die aangewese bestuurders
- Gebrek aan verifikasie van transaksies
- Gebrek aan deursigtige prosedures om verskaffers te kies
Die tipe beheer wat vir elke risiko geïmplementeer moet word, word op grond van twee aspekte besluit.
- Waarskynlikheid/waarskynlikheid van risiko – moontlikheid dat 'n risiko realiseer
- Impak van risiko – grootte van die finansiële verlies as die risiko realiseer
Beide waarskynlikheid en die impak van 'n risiko kan hoog, medium of laag wees. Vir 'n risiko met 'n hoë waarskynlikheid en impak, moet beheermaatreëls met 'n hoë effek geïmplementeer word. Indien nie, sal dit aan 'n hoë beheerrisiko blootgestel word.
Bv., GHI Company is 'n IT-maatskappy wat tans besig is met 'n grootskaalse projek vir sy belangrikste kliënt vir 'n waarde van $10m. Aansienlike boetes is betaalbaar indien GHI versuim om enige vertroulike data van die projek te handhaaf; dus is die impak van 'n moontlike risiko baie hoog. Verder, as gevolg van die aard van die projek, kan sommige partye in die versoeking kom om die vertroulike inligting te bekom en met mededingers van GHI te deel, wat 'n hoë waarskynlikheid van risiko aandui. Dit is dus noodsaaklik om 'n aantal kontroles soos toegangskontroles, skeiding van pligte en magtigingskontroles te implementeer om die suksesvolle voltooiing van die projek te verseker.
Wat is die verskil tussen Inherente Risiko en Beheerrisiko?
Inherente risiko vs beheerrisiko |
|
| Inherente risiko is die rou of onbehandelde risiko, dit wil sê, die natuurlike vlak van risiko inherent aan 'n besigheidsaktiwiteit of -proses sonder om enige prosedures te implementeer om die risiko te verminder. | Beheerrisiko is die waarskynlikheid van verlies as gevolg van die wanfunksie van interne beheermaatreëls wat geïmplementeer is om risiko's te versag. |
| Natuur | |
| Inherente risiko is onvermydelik van aard. | Beheerrisiko ontstaan slegs in die afwesigheid van doeltreffende interne beheermaatreëls. |
| Versagting van risiko's | |
| Inherente risiko kan verminder word deur die implementering van interne beheermaatreëls. | Beheerrisiko kan verminder word deur doeltreffende funksionering van interne beheermaatreëls. |
Opsomming – Inherente risiko vs beheerrisiko
Die verskil tussen inherente risiko en beheerrisiko is 'n duidelike een waar inherente risiko ontstaan as gevolg van die aard van die besigheidstransaksie of bedrywigheid terwyl beheerrisiko 'n gevolg is van die wanfunksionering van interne beheermaatreëls wat geïmplementeer is om risiko's te versag. Elke besigheidstransaksie is toegerus met of hoë, medium of lae risiko wat deur interne beheermaatreëls beheer moet word. Die implementering van 'n interne beheerstelsel is nie voldoende nie en periodieke hersiening moet in plek wees vir die voortgesette sukses van so 'n stelsel om risiko's effektief te identifiseer en te versag.
