Differenza chiave – Rischio intrinseco vs rischio di controllo
Il rischio intrinseco e il rischio di controllo sono due terminologie importanti nella gestione del rischio. Le azioni aziendali sono per natura soggette a vari rischi che possono ridurre gli effetti positivi che possono portare all'organizzazione. Il differenza fondamentale tra rischio intrinseco e rischio di controllo è quello il rischio intrinseco è il rischio grezzo o non trattato, che è il livello naturale di rischio intrinseco in un'attività o processo aziendale senza implementare alcuna procedura per ridurre il rischio mentre il rischio di controllo è la probabilità di perdita derivanti dal malfunzionamento delle misure di controllo interno poste in essere per mitigare i rischi.
Cos'è il rischio intrinseco?
Il rischio intrinseco è indicato come rischio grezzo o non trattato ed è il livello naturale di rischio intrinseco in un'attività o processo aziendale senza implementare alcuna procedura per ridurre il rischio. In altre parole, questa è la quantità di rischio prima dell'applicazione di qualsiasi controllo interno. Il rischio intrinseco viene anche definito "rischio lordo". I rischi dovrebbero essere controllati da una serie di misure di controllo interno al fine di mitigarli. Alcuni esempi di misure di controllo interno sono i seguenti.
Esempi:
- Controllo dell'accesso tramite serrature (per l'accesso fisico) e tramite password (per l'accesso online)
- Segregazione dei compiti per dividere la responsabilità di registrazione, ispezione e controllo delle transazioni per evitare che un singolo dipendente commetta un atto fraudolento
- Riconciliazioni contabili per garantire che i saldi dei conti corrispondano ai saldi gestiti da altre entità, inclusi fornitori, clienti e istituzioni finanziarie
- Assegnazione dell'autorità a gestori specifici per autorizzare operazioni di valore significativo
Anche dopo l'attuazione dei controlli richiesti, non vi è alcuna garanzia che l'intero rischio possa essere eliminato, quindi una parte del rischio potrebbe rimanere. Tale rischio è denominato "rischio residuo" o "rischio netto" poiché rimane dopo l'attuazione dei controlli.
Figura 01: Il controllo degli accessi può essere utilizzato per mitigare i rischi
Cos'è il rischio di controllo?
Il rischio di controllo è la probabilità di perdita derivante dal malfunzionamento delle misure di controllo interno implementate per mitigare i rischi. Pertanto, i rischi di controllo si verificano a causa delle limitazioni del sistema di controllo interno. I sistemi di controllo interno, se non soggetti a revisioni periodiche, perdono nel tempo la loro efficacia. Il sistema di controllo interno di un'azienda deve essere rivisto annualmente e i controlli devono essere aggiornati.
Elementi che aumentano il rischio di controllo
- Mancanza di separazione dei compiti
- Approvazione di documenti senza revisione da parte dei responsabili designati
- Mancanza di verifica delle transazioni
- Mancanza di procedure trasparenti per selezionare i fornitori
Il tipo di controllo da attuare per ciascun rischio viene deciso in base a due aspetti.
- Probabilità/probabilità di rischio – possibilità che un rischio si concretizzi
- Impatto del rischio: entità della perdita finanziaria se il rischio si materializza
Sia la probabilità che l'impatto di un rischio possono essere alti, medi o bassi. Per un rischio ad alta probabilità e impatto, dovrebbero essere implementati controlli ad alto effetto. In caso contrario, sarà esposto a un rischio di controllo elevato.
Es., GHI Company è una società IT attualmente impegnata in un progetto su larga scala per il suo cliente più importante per un valore di 10 milioni di dollari. Sono previste sanzioni sostanziali se GHI non mantiene i dati riservati del progetto; pertanto, l'impatto di un possibile rischio è molto elevato. Inoltre, a causa della natura del progetto, alcune parti potrebbero essere tentate di ottenere le informazioni riservate e di condividerle con i concorrenti di GHI, indicando un'elevata probabilità di rischio. Pertanto, è fondamentale implementare una serie di controlli come i controlli di accesso, la separazione dei compiti e i controlli di autorizzazione per garantire il completamento con successo del progetto.
Qual è la differenza tra rischio intrinseco e rischio di controllo?
Rischio intrinseco vs rischio di controllo |
|
Il rischio intrinseco è il rischio grezzo o non trattato, ovvero il livello naturale di rischio intrinseco in un'attività o processo aziendale senza implementare alcuna procedura per ridurre il rischio. | Il rischio di controllo è la probabilità di perdita derivante dal malfunzionamento delle misure di controllo interno implementate per mitigare i rischi. |
Natura | |
Il rischio intrinseco è inevitabile in natura. | Il rischio di controllo sorge solo in assenza di efficaci misure di controllo interno. |
Mitigazione dei rischi | |
Il rischio intrinseco può essere mitigato tramite l'implementazione di controlli interni. | Il rischio di controllo può essere mitigato tramite l'efficace funzionamento dei controlli interni. |
Riepilogo – Rischio intrinseco vs rischio di controllo
La differenza tra rischio intrinseco e rischio di controllo è netta quando il rischio intrinseco sorge a causa della natura della transazione o dell'operazione commerciale mentre il rischio di controllo è il risultato del malfunzionamento delle misure di controllo interno implementate per mitigare i rischi. Ogni transazione commerciale è dotata di rischio alto, medio o basso che dovrebbe essere controllato tramite controlli interni. L'implementazione di un sistema di controllo interno non è sufficiente e dovrebbero essere in atto revisioni periodiche affinché il successo continuo di tale sistema possa identificare e mitigare efficacemente i rischi.