ความแตกต่างที่สำคัญ – ความเสี่ยงโดยธรรมชาติและความเสี่ยงในการควบคุม
ความเสี่ยงโดยธรรมชาติและความเสี่ยงในการควบคุมเป็นคำศัพท์สองคำที่สำคัญในการจัดการความเสี่ยง การดำเนินธุรกิจขึ้นอยู่กับความเสี่ยงต่างๆ ตามธรรมชาติ ซึ่งสามารถลดผลกระทบเชิงบวกที่พวกเขาสามารถนำมาสู่องค์กรได้ ความแตกต่างที่สำคัญระหว่างความเสี่ยงโดยธรรมชาติและความเสี่ยงในการควบคุมคือ ความเสี่ยงโดยธรรมชาติคือความเสี่ยงดิบหรือที่ไม่ได้รับการรักษา ซึ่งเป็นระดับความเสี่ยงตามธรรมชาติในกิจกรรมหรือกระบวนการทางธุรกิจโดยไม่ต้องดำเนินการตามขั้นตอนใด ๆ เพื่อลดความเสี่ยงในขณะที่ความเสี่ยงในการควบคุมคือความน่าจะเป็นของการสูญเสีย อันเป็นผลจากความบกพร่องของมาตรการควบคุมภายในที่ดำเนินการเพื่อลดความเสี่ยง
ความเสี่ยงโดยธรรมชาติคืออะไร
ความเสี่ยงโดยธรรมชาติจะเรียกว่าความเสี่ยงดิบหรือที่ไม่ได้รับการรักษา และเป็นระดับความเสี่ยงตามธรรมชาติในกิจกรรมทางธุรกิจหรือกระบวนการโดยไม่ต้องดำเนินการตามขั้นตอนใดๆ เพื่อลดความเสี่ยง กล่าวอีกนัยหนึ่งนี่คือปริมาณความเสี่ยงก่อนที่จะใช้การควบคุมภายในใดๆ ความเสี่ยงโดยธรรมชาติเรียกอีกอย่างว่า 'ความเสี่ยงรวม' ความเสี่ยงควรถูกควบคุมโดยมาตรการควบคุมภายในหลายมาตรการเพื่อบรรเทาความเสี่ยงเหล่านั้น ตัวอย่างของมาตรการควบคุมภายในมีดังนี้
ตัวอย่าง:
- ควบคุมการเข้าใช้ผ่านล็อคประตู (สำหรับการเข้าถึงทางกายภาพ) และผ่านรหัสผ่าน (สำหรับการเข้าถึงออนไลน์)
- การแบ่งแยกหน้าที่รับผิดชอบในการบันทึก ตรวจสอบ และตรวจสอบธุรกรรม เพื่อป้องกันไม่ให้พนักงานคนเดียวกระทำการฉ้อโกง
- การกระทบยอดทางบัญชีเพื่อให้แน่ใจว่ายอดคงเหลือในบัญชีตรงกับยอดคงเหลือที่ดูแลโดยหน่วยงานอื่น ๆ รวมถึงซัพพลายเออร์ ลูกค้า และสถาบันการเงิน
- มอบหมายอำนาจให้ผู้จัดการเฉพาะเพื่ออนุมัติธุรกรรมที่มีมูลค่าสูง
แม้จะใช้การควบคุมที่จำเป็นแล้ว ก็ไม่มีการรับประกันว่าจะสามารถขจัดความเสี่ยงทั้งหมดได้ ดังนั้นความเสี่ยงบางส่วนอาจยังคงอยู่ ความเสี่ยงดังกล่าวเรียกว่า 'ความเสี่ยงที่เหลือ' หรือ 'ความเสี่ยงสุทธิ' เนื่องจากสิ่งนี้ยังคงอยู่หลังจากการดำเนินการควบคุม
รูปที่ 01: สามารถใช้การควบคุมการเข้าถึงเพื่อลดความเสี่ยง
ความเสี่ยงในการควบคุมคืออะไร
การควบคุมความเสี่ยงคือความน่าจะเป็นของการสูญเสียที่เกิดจากการทำงานผิดพลาดของมาตรการควบคุมภายในที่ดำเนินการเพื่อลดความเสี่ยงดังนั้นความเสี่ยงในการควบคุมจึงเกิดขึ้นจากข้อจำกัดของระบบการควบคุมภายใน หากไม่อยู่ภายใต้การทบทวนเป็นระยะ ระบบการควบคุมภายในจะสูญเสียประสิทธิภาพเมื่อเวลาผ่านไป ระบบการควบคุมภายในในบริษัทต้องได้รับการตรวจสอบทุกปีและควรมีการปรับปรุงการควบคุม
องค์ประกอบที่เพิ่มความเสี่ยงในการควบคุม
- ขาดการแบ่งแยกหน้าที่
- การอนุมัติเอกสารโดยไม่มีการตรวจสอบโดยผู้จัดการที่ได้รับมอบหมาย
- ขาดการตรวจสอบการทำธุรกรรม
- ขั้นตอนการคัดเลือกซัพพลายเออร์ไม่โปร่งใส
ประเภทของการควบคุมที่ควรดำเนินการสำหรับแต่ละความเสี่ยงนั้นพิจารณาจากสองด้าน
- โอกาส/ความน่าจะเป็นของความเสี่ยง – ความเป็นไปได้ของความเสี่ยงที่จะเกิดขึ้น
- ผลกระทบของความเสี่ยง – ขนาดของการสูญเสียทางการเงินหากความเสี่ยงเป็นรูปธรรม
ทั้งโอกาสและผลกระทบของความเสี่ยงอาจสูง ปานกลาง หรือต่ำ สำหรับความเสี่ยงที่มีโอกาสเกิดและผลกระทบสูง ควรใช้การควบคุมที่มีผลกระทบสูง ไม่เช่นนั้นจะมีความเสี่ยงในการควบคุมสูง
เช่น บริษัท GHI เป็นบริษัทไอทีที่กำลังทำงานในโครงการขนาดใหญ่สำหรับลูกค้าที่สำคัญที่สุดของบริษัทในราคา 10 ล้านเหรียญสหรัฐ ต้องจ่ายค่าปรับจำนวนมากหาก GHI ไม่รักษาข้อมูลที่เป็นความลับของโครงการ ดังนั้นผลกระทบของความเสี่ยงที่เป็นไปได้จึงสูงมาก นอกจากนี้ เนื่องจากลักษณะของโครงการ บางฝ่ายอาจถูกล่อลวงให้รับข้อมูลที่เป็นความลับและแบ่งปันกับคู่แข่งของ GHI ซึ่งบ่งชี้ว่ามีความเสี่ยงสูง ดังนั้นจึงเป็นเรื่องสำคัญที่ต้องใช้การควบคุมหลายอย่าง เช่น การควบคุมการเข้าถึง การแบ่งแยกหน้าที่ และการควบคุมการอนุญาต เพื่อให้แน่ใจว่าโครงการจะเสร็จสมบูรณ์
ความเสี่ยงโดยธรรมชาติและความเสี่ยงจากการควบคุมต่างกันอย่างไร
ความเสี่ยงโดยธรรมชาติเทียบกับความเสี่ยงในการควบคุม |
|
| ความเสี่ยงโดยธรรมชาติคือความเสี่ยงที่เกิดขึ้นจริงหรือไม่ได้รับการรักษา กล่าวคือ ระดับความเสี่ยงตามธรรมชาติที่เกิดขึ้นจริงในกิจกรรมทางธุรกิจหรือกระบวนการโดยไม่ต้องดำเนินการตามขั้นตอนใดๆ เพื่อลดความเสี่ยง | ความเสี่ยงในการควบคุมคือความน่าจะเป็นของการสูญเสียที่เกิดจากการทำงานผิดพลาดของมาตรการควบคุมภายในที่ดำเนินการเพื่อลดความเสี่ยง |
| ธรรมชาติ | |
| ความเสี่ยงโดยธรรมชาติเป็นสิ่งที่หลีกเลี่ยงไม่ได้ | ความเสี่ยงในการควบคุมจะเกิดขึ้นในกรณีที่ไม่มีมาตรการควบคุมภายในที่มีประสิทธิภาพ |
| บรรเทาความเสี่ยง | |
| ความเสี่ยงโดยธรรมชาติสามารถบรรเทาได้โดยใช้การควบคุมภายใน | ความเสี่ยงในการควบคุมสามารถบรรเทาได้ด้วยการทำงานที่มีประสิทธิภาพของการควบคุมภายใน |
สรุป – ความเสี่ยงโดยธรรมชาติเทียบกับความเสี่ยงในการควบคุม
ความแตกต่างระหว่างความเสี่ยงโดยธรรมชาติและความเสี่ยงในการควบคุมคือความแตกต่างที่ความเสี่ยงโดยธรรมชาติเกิดขึ้นเนื่องจากลักษณะของธุรกรรมทางธุรกิจหรือการดำเนินงาน ในขณะที่ความเสี่ยงในการควบคุมเป็นผลมาจากความผิดปกติของมาตรการควบคุมภายในที่ดำเนินการเพื่อลดความเสี่ยงทุกธุรกรรมทางธุรกิจมีความเสี่ยงสูง ปานกลาง หรือต่ำ ซึ่งควรควบคุมผ่านการควบคุมภายใน การใช้ระบบควบคุมภายในไม่เพียงพอและควรมีการทบทวนเป็นระยะเพื่อให้ระบบดังกล่าวประสบความสำเร็จอย่างต่อเนื่องเพื่อระบุและลดความเสี่ยงอย่างมีประสิทธิภาพ