Différence clé - Risque inhérent vs Risque de contrôle
Risque inhérent et risque de contrôle sont deux termes importants dans la gestion des risques. Les actions commerciales sont soumises à divers risques par nature qui peuvent réduire les effets positifs qu'elles peuvent apporter à l'organisation. le différence clé entre le risque inhérent et le risque de contrôle est que le risque inhérent est le risque brut ou non traité, qui est le niveau naturel de risque intrinsèque à une activité ou à un processus commercial sans mettre en œuvre de procédures pour réduire le risque alors que le risque de contrôle est la probabilité de perte résultant du dysfonctionnement des mesures de contrôle interne mises en place pour atténuer les risques.
Qu'est-ce que le risque inhérent ?
Le risque inhérent est appelé risque brut ou non traité et correspond au niveau naturel de risque intrinsèque à une activité ou à un processus commercial sans mise en œuvre de procédures pour réduire le risque. En d'autres termes, il s'agit du niveau de risque avant l'application de tout contrôle interne. Le risque inhérent est également appelé « risque brut ». Les risques doivent être contrôlés par un certain nombre de mesures de contrôle interne afin de les atténuer. Voici quelques exemples de mesures de contrôle interne.
Exemples:
- Contrôler l'accès par des serrures de porte (pour l'accès physique) et par des mots de passe (pour l'accès en ligne)
- Ségrégation des tâches pour répartir la responsabilité de l'enregistrement, de l'inspection et de l'audit des transactions afin d'empêcher qu'un seul employé commette un acte frauduleux
- Rapprochements comptables pour s'assurer que les soldes des comptes correspondent aux soldes maintenus par d'autres entités, y compris les fournisseurs, les clients et les institutions financières
- Déléguer à des gestionnaires spécifiques le pouvoir d'autoriser des transactions d'une valeur significative
Même après la mise en œuvre des contrôles requis, il n'y a aucune garantie que l'intégralité du risque puisse être éliminée, donc une partie du risque peut subsister. Ce risque est appelé « risque résiduel » ou « risque net », car il subsiste après la mise en œuvre des contrôles.
Figure 01: Le contrôle d'accès peut être utilisé pour atténuer les risques
Qu'est-ce que le risque de contrôle ?
Le risque de contrôle est la probabilité de perte résultant du dysfonctionnement des mesures de contrôle interne mises en place pour atténuer les risques. Ainsi, les risques de contrôle surviennent en raison des limites du système de contrôle interne. S'ils ne sont pas soumis à des revues périodiques, les systèmes de contrôle interne perdent de leur efficacité avec le temps. Le système de contrôle interne d'une entreprise doit être revu chaque année et les contrôles doivent être mis à jour.
Éléments qui augmentent le risque de contrôle
- Manque de séparation des tâches
- Approbation des documents sans examen par les responsables désignés
- Manque de vérification des transactions
- Manque de procédures transparentes pour sélectionner les fournisseurs
Le type de contrôle à mettre en œuvre pour chaque risque est décidé en fonction de deux aspects.
- Vraisemblance/probabilité de risque – possibilité qu'un risque se matérialise
- Impact du risque – ampleur de la perte financière si le risque se concrétise
La probabilité et l'impact d'un risque peuvent être élevés, moyens ou faibles. Pour un risque dont la probabilité et l'impact sont élevés, des contrôles à effet élevé doivent être mis en œuvre. Sinon, il sera exposé à un risque de contrôle élevé.
Par exemple, GHI Company est une société informatique qui est actuellement engagée dans un projet à grande échelle pour son client le plus important pour une valeur de 10 millions de dollars. Des pénalités substantielles sont payables si GHI ne parvient pas à conserver les données confidentielles du projet; ainsi, l'impact d'un risque éventuel est très élevé. De plus, en raison de la nature du projet, certaines parties pourraient être tentées d'obtenir des informations confidentielles et de les partager avec des concurrents de GHI, indiquant une forte probabilité de risque. Ainsi, il est essentiel de mettre en œuvre un certain nombre de contrôles tels que les contrôles d'accès, la séparation des tâches et les contrôles d'autorisation pour assurer la réussite du projet.
Quelle est la différence entre le risque inhérent et le risque de contrôle ?
Risque inhérent contre risque de contrôle |
|
Le risque inhérent est le risque brut ou non traité, c'est-à-dire le niveau naturel de risque intrinsèque à une activité ou à un processus commercial sans mise en œuvre de procédures pour réduire le risque. | Le risque de contrôle est la probabilité de perte résultant du dysfonctionnement des mesures de contrôle interne mises en place pour atténuer les risques. |
Nature | |
Le risque inhérent est inévitable par nature. | Le risque lié au contrôle ne survient qu'en l'absence de mesures de contrôle interne efficaces. |
Atténuation des risques | |
Le risque inhérent peut être atténué par la mise en place de contrôles internes. | Le risque de contrôle peut être atténué grâce au fonctionnement efficace des contrôles internes. |
Résumé - Risque inhérent contre risque de contrôle
La différence entre le risque inhérent et le risque de contrôle est distincte lorsque le risque inhérent découle de la nature de la transaction ou de l'opération commerciale, tandis que le risque de contrôle résulte du dysfonctionnement des mesures de contrôle interne mises en œuvre pour atténuer les risques. Chaque transaction commerciale comporte un risque élevé, moyen ou faible qui doit être contrôlé par des contrôles internes. La mise en œuvre d'un système de contrôle interne n'est pas suffisante et des examens périodiques doivent être mis en place pour le succès continu d'un tel système afin d'identifier et d'atténuer efficacement les risques.