Hauptunterschied – Inhärentes Risiko vs. Kontrollrisiko
Inhärentes Risiko und Kontrollrisiko sind zwei wichtige Terminologien im Risikomanagement. Geschäftliches Handeln ist von Natur aus verschiedenen Risiken ausgesetzt, die die positiven Auswirkungen, die sie auf die Organisation haben können, schmälern können. Der Hauptunterschied zwischen inhärentem Risiko und Kontrollrisiko besteht darin, dass inhärentes Risiko das unverarbeitete oder unbehandelte Risiko ist, das das natürliche Risikoniveau ist, das einer Geschäftstätigkeit oder einem Geschäftsprozess innewohnt, ohne dass Verfahren zur Reduzierung des Risikos implementiert werden, während das Kontrollrisiko die Verlustwahrscheinlichkeit ist die aus der Fehlfunktion interner Kontrollmaßnahmen resultieren, die zur Minderung von Risiken implementiert wurden.
Was ist ein inhärentes Risiko?
Inhärentes Risiko wird als rohes oder unbehandeltes Risiko bezeichnet und ist das natürliche Risikoniveau, das einer Geschäftstätigkeit oder einem Geschäftsprozess innewohnt, ohne dass Verfahren zur Reduzierung des Risikos implementiert werden. Mit anderen Worten, dies ist die Höhe des Risikos vor der Anwendung interner Kontrollen. Das inhärente Risiko wird auch als „Bruttorisiko“bezeichnet. Risiken sollten durch eine Reihe interner Kontrollmaßnahmen kontrolliert werden, um sie zu mindern. Einige Beispiele für interne Kontrollmaßnahmen sind wie folgt.
Beispiele:
- Kontrolle des Zugangs durch Türschlösser (für physischen Zugang) und durch Passwörter (für Online-Zugang)
- Aufteilung der Aufgaben zur Aufteilung der Verantwortung für die Aufzeichnung, Inspektion und Prüfung von Transaktionen, um zu verhindern, dass ein einzelner Mitarbeiter eine betrügerische Handlung begeht
- Buchh altungsabstimmungen, um sicherzustellen, dass Kontosalden mit Salden übereinstimmen, die von anderen Einheiten, einschließlich Lieferanten, Kunden und Finanzinstituten, geführt werden
- Erteilung von Befugnissen an bestimmte Manager zur Autorisierung von Transaktionen von erheblichem Wert
Auch nach der Implementierung der erforderlichen Kontrollen gibt es keine Garantie dafür, dass das gesamte Risiko eliminiert werden kann, daher kann ein Teil des Risikos bestehen bleiben. Dieses Risiko wird als „Restrisiko“oder „Nettorisiko“bezeichnet, da es nach der Implementierung von Kontrollen bestehen bleibt.
Abbildung 01: Zugriffskontrolle kann verwendet werden, um Risiken zu mindern
Was ist Kontrollrisiko?
Kontrollrisiko ist die Wahrscheinlichkeit eines Verlustes, der sich aus der Fehlfunktion interner Kontrollmaßnahmen ergibt, die zur Minderung von Risiken implementiert wurden. Somit entstehen Kontrollrisiken aufgrund der Beschränkungen im internen Kontrollsystem. Ohne regelmäßige Überprüfung verlieren interne Kontrollsysteme mit der Zeit ihre Wirksamkeit. Das interne Kontrollsystem in einem Unternehmen muss jährlich überprüft und die Kontrollen sollten aktualisiert werden.
Elemente, die das Kontrollrisiko erhöhen
- Fehlende Aufgabentrennung
- Genehmigung von Dokumenten ohne Überprüfung durch die designierten Manager
- Fehlende Verifizierung von Transaktionen
- Mangel an transparenten Verfahren zur Auswahl von Lieferanten
Die Art der Kontrolle, die für jedes Risiko implementiert werden sollte, wird basierend auf zwei Aspekten entschieden.
- Wahrscheinlichkeit/Wahrscheinlichkeit des Risikos – Möglichkeit des Eintretens eines Risikos
- Auswirkung des Risikos – Höhe des finanziellen Schadens bei Eintritt des Risikos
Sowohl die Wahrscheinlichkeit als auch die Auswirkungen eines Risikos können hoch, mittel oder niedrig sein. Für ein Risiko mit hoher Eintrittswahrscheinlichkeit und Auswirkung sollten Kontrollen mit hoher Auswirkung implementiert werden. Wenn nicht, ist es einem hohen Kontrollrisiko ausgesetzt.
Beispiel: GHI Company ist ein IT-Unternehmen, das derzeit an einem Großprojekt für seinen wichtigsten Kunden mit einem Wert von 10 Millionen US-Dollar beteiligt ist. Erhebliche Strafen sind zu zahlen, wenn GHI es unterlässt, vertrauliche Daten des Projekts zu pflegen; daher ist die Auswirkung eines möglichen Risikos sehr hoch. Darüber hinaus könnten einige Parteien aufgrund der Art des Projekts versucht sein, vertrauliche Informationen zu erh alten und mit Wettbewerbern von GHI zu teilen, was auf eine hohe Risikowahrscheinlichkeit hinweist. Daher ist es wichtig, eine Reihe von Kontrollen wie Zugangskontrollen, Aufgabentrennung und Autorisierungskontrollen zu implementieren, um den erfolgreichen Abschluss des Projekts sicherzustellen.
Was ist der Unterschied zwischen inhärentem Risiko und Kontrollrisiko?
Inhärentes Risiko vs. Kontrollrisiko |
|
| Inhärentes Risiko ist das rohe oder unbehandelte Risiko, d. h. das natürliche Risikoniveau, das einer Geschäftstätigkeit oder einem Geschäftsprozess innewohnt, ohne dass Verfahren zur Reduzierung des Risikos implementiert werden. | Kontrollrisiko ist die Wahrscheinlichkeit eines Verlustes, der sich aus der Fehlfunktion interner Kontrollmaßnahmen ergibt, die zur Minderung von Risiken implementiert wurden. |
| Natur | |
| Inhärente Risiken sind in der Natur unvermeidlich. | Kontrollrisiken entstehen nur, wenn wirksame interne Kontrollmaßnahmen fehlen. |
| Risikominderung | |
| Das inhärente Risiko kann durch die Implementierung interner Kontrollen gemindert werden. | Das Kontrollrisiko kann durch das wirksame Funktionieren interner Kontrollen gemindert werden. |
Zusammenfassung – Inhärentes Risiko vs. Kontrollrisiko
Der Unterschied zwischen inhärentem Risiko und Kontrollrisiko ist ein deutlicher, wenn das inhärente Risiko aufgrund der Art der Geschäftstransaktion oder des Vorgangs entsteht, während das Kontrollrisiko das Ergebnis der Fehlfunktion interner Kontrollmaßnahmen ist, die zur Minderung von Risiken implementiert wurden. Jede Geschäftstransaktion ist entweder mit hohem, mittlerem oder niedrigem Risiko ausgestattet, das durch interne Kontrollen kontrolliert werden sollte. Die Implementierung eines internen Kontrollsystems ist nicht ausreichend und regelmäßige Überprüfungen sollten vorhanden sein, damit ein solches System weiterhin erfolgreich ist und Risiken effektiv identifiziert und gemindert werden.
