Inherent vs Residual Risk
Inherent vs Residual — фундаментальная пара в риск-менеджменте и аудите.
Логика оценки
- Оцените inherent risk (probability × impact) — как если бы НИКАКИХ контролей не было.
- Опишите контроли (политики, технические средства, процессы).
- Оцените residual risk — после контролей.
- Сравните residual с risk appetite. Residual > appetite → нужны дополнительные контроли.
Пример матрицы
Хакерская атака: inherent — high (5), контроль — WAF + 2FA + мониторинг → residual — medium (3). В пределах appetite — принимаем.
Когда применять и когда нет
Применять
- Риск-аудит
- SOX-compliance
- Дизайн системы внутреннего контроля
Не применять
- Простые проекты — достаточно одной оценки риска
Примеры применения
Финансовая отчётность: inherent risk ошибки — high (большой объём транзакций). Контроли: автоматический матчинг + 4-eyes review + ежемесячный close. Residual — low. Compliance с SOX обеспечен.
Часто задаваемые вопросы
Теоретически да, но дорого и часто невыгодно: предельная стоимость контроля растёт нелинейно. Цель — снизить residual до уровня risk appetite, не ниже.