Sự khác biệt chính - Rủi ro cố hữu và Rủi ro kiểm soát
Rủi ro cố hữu và rủi ro kiểm soát là hai thuật ngữ quan trọng trong quản lý rủi ro. Các hoạt động kinh doanh phải chịu nhiều rủi ro khác nhau về bản chất có thể làm giảm những tác động tích cực mà chúng có thể mang lại cho tổ chức. Sự khác biệt cơ bản giữa rủi ro cố hữu và rủi ro kiểm soát là rủi ro cố hữu là rủi ro thô hoặc chưa được xử lý, là mức rủi ro tự nhiên nội tại trong một hoạt động hoặc quy trình kinh doanh mà không thực hiện bất kỳ thủ tục nào để giảm rủi ro trong khi rủi ro kiểm soát là xác suất tổn thất do sự sai sót của các biện pháp kiểm soát nội bộ được thực hiện để giảm thiểu rủi ro.
Rủi ro Cố hữu là gì?
Rủi ro cố hữu được gọi là rủi ro thô hoặc chưa được xử lý và là mức độ rủi ro tự nhiên nội tại trong một hoạt động hoặc quy trình kinh doanh mà không thực hiện bất kỳ quy trình nào để giảm rủi ro. Nói cách khác, đây là mức độ rủi ro trước khi áp dụng bất kỳ kiểm soát nội bộ nào. Rủi ro cố hữu còn được gọi là 'rủi ro gộp'. Các rủi ro cần được kiểm soát bằng một số biện pháp kiểm soát nội bộ để giảm thiểu rủi ro. Một số ví dụ về các biện pháp kiểm soát nội bộ như sau.
Ví dụ:
- Kiểm soát truy cập thông qua khóa cửa (để truy cập vật lý) và thông qua mật khẩu (để truy cập trực tuyến)
- Tách biệt các nhiệm vụ để phân chia trách nhiệm ghi chép, kiểm tra và kiểm toán các giao dịch nhằm ngăn chặn một nhân viên thực hiện hành vi gian lận
- Đối chiếu kế toán để đảm bảo rằng số dư tài khoản khớp với số dư được duy trì bởi các đơn vị khác bao gồm nhà cung cấp, khách hàng và tổ chức tài chính
- Giao quyền cho người quản lý cụ thể để ủy quyền các giao dịch có giá trị quan trọng
Ngay cả sau khi các biện pháp kiểm soát bắt buộc được thực hiện, không có gì đảm bảo rằng toàn bộ rủi ro có thể được loại bỏ, do đó một phần rủi ro có thể vẫn còn. Rủi ro đó được gọi là "rủi ro còn lại" hoặc "rủi ro ròng" vì rủi ro này vẫn còn sau khi thực hiện các biện pháp kiểm soát.
Hình 01: Kiểm soát truy cập có thể được sử dụng để giảm thiểu rủi ro
Rủi ro Kiểm soát là gì?
Rủi ro kiểm soát là xác suất xảy ra tổn thất do sự cố của các biện pháp kiểm soát nội bộ được thực hiện để giảm thiểu rủi ro. Như vậy, rủi ro kiểm soát xảy ra do những hạn chế trong hệ thống kiểm soát nội bộ. Nếu không được đánh giá định kỳ, hệ thống kiểm soát nội bộ sẽ mất tác dụng theo thời gian. Hệ thống kiểm soát nội bộ trong công ty phải được xem xét hàng năm và các biện pháp kiểm soát phải được cập nhật.
Các yếu tố làm tăng rủi ro kiểm soát
- Thiếu phân biệt nhiệm vụ
- Phê duyệt tài liệu mà không cần sự xem xét của người quản lý được chỉ định
- Thiếu xác minh giao dịch
- Thiếu thủ tục minh bạch để lựa chọn nhà cung cấp
Loại kiểm soát cần được thực hiện đối với từng rủi ro được quyết định dựa trên hai khía cạnh.
- Khả năng xảy ra / xác suất rủi ro - khả năng rủi ro được hiện thực hóa
- Tác động của rủi ro - quy mô của tổn thất tài chính nếu rủi ro xảy ra
Cả khả năng xảy ra và tác động của rủi ro có thể cao, trung bình hoặc thấp. Đối với rủi ro có khả năng xảy ra và tác động cao, cần thực hiện các biện pháp kiểm soát có hiệu lực cao. Nếu không, nó sẽ có rủi ro kiểm soát cao.
Ví dụ: Công ty GHI là một công ty CNTT hiện đang tham gia vào một dự án quy mô lớn cho khách hàng quan trọng nhất của mình với giá trị 10 triệu đô la. Các hình phạt đáng kể phải trả nếu GHI không duy trì bất kỳ dữ liệu bí mật nào của dự án; do đó, tác động của rủi ro có thể xảy ra là rất cao. Hơn nữa, do tính chất của dự án, một số bên có thể bị cám dỗ để lấy thông tin bí mật và chia sẻ với các đối thủ cạnh tranh của GHI, cho thấy khả năng rủi ro cao. Do đó, điều quan trọng là phải thực hiện một số kiểm soát như kiểm soát truy cập, phân tách nhiệm vụ và kiểm soát ủy quyền để đảm bảo hoàn thành dự án thành công.
Sự khác biệt giữa Rủi ro Cố hữu và Rủi ro Kiểm soát là gì?
Rủi ro cố hữu so với Rủi ro kiểm soát |
|
| Rủi ro cố hữu là rủi ro thô hoặc chưa được xử lý, tức là mức độ rủi ro tự nhiên nội tại trong một hoạt động hoặc quy trình kinh doanh mà không thực hiện bất kỳ quy trình nào để giảm rủi ro. | Rủi ro kiểm soát là xác suất xảy ra tổn thất do sự cố của các biện pháp kiểm soát nội bộ được thực hiện để giảm thiểu rủi ro. |
| Thiên nhiên | |
| Rủi ro bản chất là không thể tránh khỏi. | Rủi ro kiểm soát chỉ phát sinh khi không có các biện pháp kiểm soát nội bộ hiệu quả. |
| Giảm thiểu rủi ro | |
| Rủi ro cố hữu có thể được giảm thiểu thông qua việc thực hiện các biện pháp kiểm soát nội bộ. | Rủi ro kiểm soát có thể được giảm thiểu thông qua hoạt động hiệu quả của kiểm soát nội bộ. |
Tóm tắt - Rủi ro Cố hữu và Rủi ro Kiểm soát
Sự khác biệt giữa rủi ro cố hữu và rủi ro kiểm soát là sự khác biệt trong đó rủi ro cố hữu phát sinh do bản chất của giao dịch hoặc hoạt động kinh doanh trong khi rủi ro kiểm soát là kết quả của sự sai sót của các biện pháp kiểm soát nội bộ được thực hiện để giảm thiểu rủi ro. Mọi giao dịch kinh doanh đều có rủi ro cao, trung bình hoặc thấp cần được kiểm soát thông qua kiểm soát nội bộ. Việc triển khai hệ thống kiểm soát nội bộ là chưa đủ và cần tiến hành đánh giá định kỳ để hệ thống đó tiếp tục thành công nhằm xác định và giảm thiểu rủi ro một cách hiệu quả.
