Diferença Chave - Risco Inerente vs Risco de Controle
Risco inerente e risco de controle são duas terminologias importantes na gestão de riscos. As ações empresariais estão sujeitas a diversos riscos por natureza que podem reduzir os efeitos positivos que podem trazer para a organização. A principal diferença entre risco inerente e risco de controle é que o risco inerente é o risco bruto ou não tratado, que é o nível natural de risco intrínseco em uma atividade ou processo de negócios sem implementar nenhum procedimento para reduzir o risco, enquanto o risco de controle é a probabilidade de perda decorrentes do mau funcionamento das medidas de controle interno implementadas para mitigar os riscos.
O que é Risco Inerente?
Risco inerente é referido como risco bruto ou não tratado e é o nível natural de risco intrínseco a uma atividade ou processo de negócios sem a implementação de quaisquer procedimentos para reduzir o risco. Em outras palavras, essa é a quantidade de risco antes da aplicação de quaisquer controles internos. O risco inerente também é chamado de “risco bruto”. Os riscos devem ser controlados por uma série de medidas de controle interno para mitigá-los. Alguns exemplos de medidas de controle interno são os seguintes.
Exemplos:
- Controle de acesso por fechaduras (para acesso físico) e por senhas (para acesso online)
- Segregação de funções para dividir a responsabilidade pelo registro, inspeção e auditoria de transações para evitar que um único funcionário cometa um ato fraudulento
- Conciliações contábeis para garantir que os saldos das contas correspondam aos saldos mantidos por outras entidades, incluindo fornecedores, clientes e instituições financeiras
- Atribuindo autoridade a gerentes específicos para autorizar transações de valor significativo
Mesmo após a implementação dos controles necessários, não há garantia de que todo o risco possa ser eliminado, portanto, uma parte do risco pode permanecer. Tal risco é referido como 'risco residual' ou 'risco líquido', pois permanece após a implementação dos controles.
Figura 01: O controle de acesso pode ser usado para mitigar riscos
O que é risco de controle?
Risco de controle é a probabilidade de perda resultante do mau funcionamento das medidas de controle interno implementadas para mitigar os riscos. Assim, os riscos de controle ocorrem devido às limitações do sistema de controle interno. Se não forem submetidos a revisões periódicas, os sistemas de controle interno perdem sua eficácia ao longo do tempo. O sistema de controle interno de uma empresa deve ser revisado anualmente e os controles devem ser atualizados.
Elementos que Aumentam o Risco de Controle
- F alta de segregação de funções
- Aprovação de documentos sem revisão pelos gestores designados
- F alta de verificação das transações
- F alta de transparência na seleção de fornecedores
O tipo de controle que deve ser implementado para cada risco é decidido com base em dois aspectos.
- Probabilidade/probabilidade do risco – possibilidade de um risco ser materializado
- Impacto do risco – tamanho da perda financeira se o risco se materializar
Tanto a probabilidade quanto o impacto de um risco podem ser altos, médios ou baixos. Para um risco com alta probabilidade e impacto, controles com alto efeito devem ser implementados. Caso contrário, estará exposto a um alto risco de controle.
Por exemplo, a GHI Company é uma empresa de TI que está atualmente envolvida em um projeto de grande escala para seu cliente mais significativo por um valor de US$ 10 milhões. Multas substanciais serão pagas se a GHI deixar de manter quaisquer dados confidenciais do projeto; assim, o impacto de um possível risco é muito alto. Além disso, devido à natureza do projeto, algumas partes podem ficar tentadas a obter as informações confidenciais e compartilhá-las com concorrentes da GHI, indicando uma alta probabilidade de risco. Assim, é vital implementar uma série de controles, como controles de acesso, segregação de funções e controles de autorização para garantir a conclusão bem-sucedida do projeto.
Qual é a diferença entre Risco Inerente e Risco de Controle?
Risco Inerente vs Risco de Controle |
|
Risco inerente é o risco bruto ou não tratado, ou seja, o nível natural de risco intrínseco a uma atividade ou processo de negócios sem a implementação de procedimentos para reduzir o risco. | Risco de controle é a probabilidade de perda resultante do mau funcionamento das medidas de controle interno implementadas para mitigar os riscos. |
Natureza | |
O risco inerente é inevitável por natureza. | O risco de controle só surge na ausência de medidas efetivas de controle interno. |
Mitigação de Riscos | |
O risco inerente pode ser mitigado através da implementação de controles internos. | O risco de controle pode ser mitigado por meio do funcionamento eficaz dos controles internos. |
Resumo – Risco Inerente vs Risco de Controle
A diferença entre risco inerente e risco de controle é distinta onde o risco inerente surge devido à natureza da transação comercial ou operação, enquanto o risco de controle é resultado do mau funcionamento das medidas de controle interno implementadas para mitigar os riscos. Toda transação comercial está equipada com alto, médio ou baixo risco que deve ser controlado por meio de controles internos. A implementação de um sistema de controle interno não é suficiente e revisões periódicas devem ser feitas para o sucesso contínuo de tal sistema para identificar e mitigar riscos de forma eficaz.