הבדל מפתח – סיכון מובנה לעומת סיכון שליטה
סיכון מובנה וסיכון בקרה הם שני מינוחים חשובים בניהול סיכונים. פעולות עסקיות נתונות מטבען לסיכונים שונים שיכולים לצמצם את ההשפעות החיוביות שהן יכולות להביא לארגון. ההבדל העיקרי בין סיכון אינהרנטי לסיכון בקרה הוא שסיכון אינהרנטי הוא הסיכון הגולמי או הבלתי מטופל, שהוא רמת הסיכון הטבעית הטבועה בפעילות עסקית או בתהליך ללא יישום נהלים כלשהם להפחתת הסיכון בעוד שסיכון בקרה הוא ההסתברות להפסד כתוצאה מתפקוד לקוי של אמצעי בקרה פנימיים שיושמו כדי להפחית סיכונים.
מהו הסיכון הטמון?
סיכון מובנה מכונה סיכון גולמי או לא מטופל והוא רמת הסיכון הטבעית הטבועה בפעילות עסקית או בתהליך מבלי ליישם נהלים כלשהם להפחתת הסיכון. במילים אחרות, זוהי כמות הסיכון לפני הפעלת כל בקרות פנימיות. סיכון מובנה מכונה גם 'סיכון ברוטו'. יש לשלוט בסיכונים על ידי מספר אמצעי בקרה פנימיים על מנת לצמצם אותם. כמה דוגמאות לאמצעי בקרה פנימיים הם כדלקמן.
דוגמאות:
- שליטה בגישה דרך מנעולי דלתות (לגישה פיזית) ודרך סיסמאות (לגישה מקוונת)
- הפרדת חובות לחלוקת אחריות על רישום, בדיקה וביקורת של עסקאות כדי למנוע מעובד יחיד לבצע מעשה הונאה
- התאמות חשבונאיות כדי להבטיח שהיתרות בחשבון תואמות ליתרות שנשמרו על ידי ישויות אחרות כולל ספקים, לקוחות ומוסדות פיננסיים
- הקצאת סמכות למנהלים ספציפיים לאשר עסקאות בעלות ערך משמעותי
גם לאחר הטמעת הבקרות הנדרשות, אין ערובה שניתן לבטל את כל הסיכון, ולכן חלק מהסיכון עשוי להישאר. סיכון כזה מכונה 'סיכון שיורי' או 'סיכון נטו' מכיוון שהוא נשאר לאחר יישום הבקרות.
איור 01: ניתן להשתמש בקרת גישה כדי להפחית סיכונים
מהו סיכון בקרה?
סיכון בקרה הוא ההסתברות לאובדן כתוצאה מתפקוד לקוי של אמצעי בקרה פנימיים שיושמו כדי להפחית סיכונים.לפיכך, סיכוני בקרה מתרחשים עקב המגבלות במערכת הבקרה הפנימית. אם אינן נתונות לביקורות תקופתיות, מערכות הבקרה הפנימיות מאבדות את יעילותן עם הזמן. מערכת הבקרה הפנימית בחברה צריכה להיבדק מדי שנה ולעדכן את הבקרות.
אלמנטים שמגדילים את סיכון השליטה
- העדר הפרדת תפקידים
- אישור מסמכים ללא בדיקה של המנהלים המיועדים
- חוסר אימות של עסקאות
- חוסר נהלים שקופים לבחירת ספקים
סוג הבקרה שיש ליישם עבור כל סיכון נקבע על סמך שני היבטים.
- סבירות/הסתברות לסיכון – אפשרות להתממשות הסיכון
- השפעת הסיכון – גודל ההפסד הכספי אם הסיכון מתממש
גם הסבירות וגם ההשפעה של סיכון עשויות להיות גבוהות, בינוניות או נמוכות. עבור סיכון עם סבירות והשפעה גבוהה, יש ליישם בקרות עם השפעה גבוהה. אם לא, הוא יהיה חשוף לסיכון בקרה גבוה.
לדוגמה, GHI Company היא חברת IT שעוסקת כיום בפרויקט רחב היקף עבור הלקוח המשמעותי ביותר שלה בשווי של 10 מיליון דולר. קנסות משמעותיים ישולמו אם GHI לא מצליחה לשמור על נתונים סודיים כלשהם של הפרויקט; לפיכך, ההשפעה של סיכון אפשרי היא גבוהה מאוד. יתרה מכך, בשל אופי הפרויקט, חלק מהצדדים עשויים להתפתות להשיג את המידע הסודי ולשתף עם מתחרים של GHI, מה שמעיד על סבירות גבוהה לסיכון. לפיכך, חיוני ליישם מספר בקרות כגון בקרות גישה, הפרדת תפקידים ובקרות הרשאות כדי להבטיח סיום מוצלח של הפרויקט.
מה ההבדל בין סיכון מובנה לסיכון בקרה?
סיכון מובנה לעומת סיכון בקרה |
|
| סיכון אינהרנטי הוא הסיכון הגולמי או הבלתי מטופל, כלומר, רמת הסיכון הטבעית הטבועה בפעילות עסקית או בתהליך ללא יישום נהלים כלשהם להפחתת הסיכון. | סיכון בקרה הוא ההסתברות לאובדן כתוצאה מתפקוד לקוי של אמצעי הבקרה הפנימיים שיושמו כדי להפחית סיכונים. |
| טבע | |
| סיכון מובנה הוא בלתי נמנע באופיו. | סיכון בקרה מתעורר רק בהיעדר אמצעי בקרה פנימיים יעילים. |
| הפחתת סיכונים | |
| ניתן להפחית את הסיכון המובנה באמצעות יישום בקרות פנימיות. | ניתן להפחית את סיכון השליטה באמצעות תפקוד יעיל של בקרות פנימיות. |
סיכום – סיכון מובנה לעומת סיכון שליטה
ההבדל בין סיכון אינהרנטי לסיכון בקרה הוא הבדל מובהק כאשר הסיכון המובנה מתעורר עקב אופי העסקה או הפעולה העסקית בעוד שסיכון הבקרה הוא תוצאה של תקלה של אמצעי בקרה פנימיים המיושמים כדי להפחית סיכונים.כל עסקה עסקית מצוידת בסיכון גבוה, בינוני או נמוך שיש לשלוט באמצעות בקרות פנימיות. הטמעת מערכת בקרה פנימית אינה מספקת ויש לבצע בדיקות תקופתיות להמשך הצלחתה של מערכת כזו כדי לזהות ולצמצם סיכונים ביעילות.
