Diferencia clave: riesgo inherente frente a riesgo de control
El riesgo inherente y el riesgo de control son dos terminologías importantes en la gestión de riesgos. Las acciones empresariales están sujetas a diversos riesgos por naturaleza que pueden reducir los efectos positivos que pueden traer para la organización. La diferencia clave entre el riesgo inherente y el riesgo de control es que el riesgo inherente es el riesgo crudo o no tratado, que es el nivel natural de riesgo intrínseco en una actividad o proceso comercial sin implementar ningún procedimiento para reducir el riesgo, mientras que el riesgo de control es la probabilidad de pérdida. derivados del mal funcionamiento de las medidas de control interno implementadas para mitigar los riesgos.
¿Qué es el riesgo inherente?
El riesgo inherente se conoce como riesgo bruto o no tratado y es el nivel natural de riesgo intrínseco en una actividad o proceso comercial sin implementar ningún procedimiento para reducir el riesgo. En otras palabras, esta es la cantidad de riesgo antes de aplicar cualquier control interno. El riesgo inherente también se conoce como el "riesgo bruto". Los riesgos deben controlarse mediante una serie de medidas de control interno para mitigarlos. Algunos ejemplos de medidas de control interno son los siguientes.
Ejemplos:
- Control de acceso a través de cerraduras de puertas (para acceso físico) y mediante contraseñas (para acceso en línea)
- Segregación de funciones para dividir la responsabilidad de registrar, inspeccionar y auditar transacciones para evitar que un solo empleado cometa un acto fraudulento
- Conciliaciones contables para garantizar que los saldos de las cuentas coincidan con los saldos mantenidos por otras entidades, incluidos proveedores, clientes e instituciones financieras
- Asignación de autoridad a gerentes específicos para autorizar transacciones de valor significativo
Incluso después de implementar los controles requeridos, no hay garantía de que se pueda eliminar todo el riesgo, por lo que una parte del riesgo puede permanecer. Dicho riesgo se denomina "riesgo residual" o "riesgo neto", ya que permanece después de la implementación de los controles.
Figura 01: El control de acceso se puede utilizar para mitigar los riesgos
¿Qué es el control de riesgos?
El riesgo de control es la probabilidad de pérdida resultante del mal funcionamiento de las medidas de control interno implementadas para mitigar los riesgos. Así, los riesgos de control ocurren por las limitaciones en el sistema de control interno. Si no se someten a revisiones periódicas, los sistemas de control interno pierden su eficacia con el tiempo. El sistema de control interno de una empresa debe revisarse anualmente y los controles deben actualizarse.
Elementos que aumentan el riesgo de control
- F alta de separación de funciones
- Aprobación de documentos sin revisión por parte de los gerentes designados
- F alta de verificación de transacciones
- F alta de procedimientos transparentes para seleccionar proveedores
El tipo de control que se debe implementar para cada riesgo se decide en base a dos aspectos.
- Verosimilitud/probabilidad de riesgo – posibilidad de que se materialice un riesgo
- Impacto del riesgo: tamaño de la pérdida financiera si el riesgo se materializa
Tanto la probabilidad como el impacto de un riesgo pueden ser altos, medios o bajos. Para un riesgo con alta probabilidad e impacto, se deben implementar controles con alto efecto. De lo contrario, estará expuesto a un alto riesgo de control.
Por ejemplo, GHI Company es una empresa de TI que actualmente participa en un proyecto a gran escala para su cliente más importante por un valor de $10 millones. Se pagarán multas sustanciales si GHI no mantiene ningún dato confidencial del proyecto; por lo tanto, el impacto de un posible riesgo es muy alto. Además, debido a la naturaleza del proyecto, algunas partes pueden verse tentadas a obtener la información confidencial y compartirla con los competidores de GHI, lo que indica una alta probabilidad de riesgo. Por lo tanto, es vital implementar una serie de controles, como controles de acceso, segregación de funciones y controles de autorización para garantizar la finalización exitosa del proyecto.
¿Cuál es la diferencia entre riesgo inherente y riesgo de control?
Riesgo inherente frente a riesgo de control |
|
| El riesgo inherente es el riesgo bruto o no tratado, es decir, el nivel natural de riesgo intrínseco en una actividad o proceso comercial sin implementar ningún procedimiento para reducir el riesgo. | El riesgo de control es la probabilidad de pérdida resultante del mal funcionamiento de las medidas de control interno implementadas para mitigar los riesgos. |
| Naturaleza | |
| El riesgo inherente es inevitable por naturaleza. | El riesgo de control solo surge en ausencia de medidas efectivas de control interno. |
| Mitigación de riesgos | |
| El riesgo inherente se puede mitigar mediante la implementación de controles internos. | El riesgo de control puede mitigarse mediante el funcionamiento eficaz de los controles internos. |
Resumen: riesgo inherente frente a riesgo de control
La diferencia entre el riesgo inherente y el riesgo de control es distinta cuando el riesgo inherente surge debido a la naturaleza de la operación o transacción comercial, mientras que el riesgo de control es el resultado del mal funcionamiento de las medidas de control interno implementadas para mitigar los riesgos. Cada transacción comercial está equipada con un riesgo alto, medio o bajo que debe controlarse a través de controles internos. La implementación de un sistema de control interno no es suficiente y se deben realizar revisiones periódicas para el éxito continuo de dicho sistema para identificar y mitigar los riesgos de manera efectiva.
