内部控制与风险管理工作整合相关知识-凯发k8娱乐官网入口

浏览量：

1、内部控制和风险管理工作是否应该进行全面整合？

从管理体系上看，内部控制是全面风险管理体系的重要组成部分，是全面风险管理的基础和手段；从管理内容上看，企业面临的风险包括可控风险和不可控风险，内控主要是针对内部可控风险采取相应控制措施，达到防范或降低风险的目的；从管理流程上看，内控标准的建立、内控自评价、缺陷认定和整改与风险识别、风险分析、风险评价、风险应对的工作流程和方法是一致的。因此，内部控制工作是全面风险管理工作的天然组成部分，应当完全整合于全面风险管理工作之中，二者不可割裂。五矿集团正在深入研究内部控制与风险管理工作全面整合的方式方法及信息化建设方案，全面打通工作环节，实现各单位对风险和控制进行一体化管理。

2、内控标准与风险事项库需要进行衔接么？

内控标准是针对公司面临的可控风险而提出的控制性要求，五矿集团统一建立的内部控制标准是从风险管控的角度提出的，适用于各级单位的共性控制要求。

内控标准的建立是以风险为导向的，现有内控标准中对“未达到控制标准而可能产生的风险”进行了梳理和明确，内控标准从建立之初就包含了各种内部可控的风险事项。反过来看，风险事项库需要辨识和记录的各种风险事项，包括外部、内部等各类风险事项，其中自然也应包括内部可控的风险事项，即内控标准中的“未达到控制标准而可能产生的风险”，所以现有内控标准是风险事项库的重要组成部分。各单位在建立风险事项库的过程中，应将风险事项库与内控标准和本地化控制措施进行充分衔接，并在不断完善和落实内控标准的过程中实现对风险事项库的动态更新和充实。

3、内控自评价和风险评估工作如何进行结合？

内控自评价属于风险评估的有机组成部分。风险评估包括了风险识别、风险分析和风险评价三个环节，各个环节都与内控自评价工作密不可分。

1）风险识别环节

按照风险管理工作要求，各单位进行风险识别时应同步识别对应的控制。具体而言，各单位既要识别和记录对自身经营发展产生影响的具体风险事项，又要识别风险事项对应的内部控制措施。在进行内控自评价的时候，各级单位开展的内控标准落实、进行本地化描述实质上就是梳理、确认自身控制措施的过程，属于风险识别的一部分。

2）风险分析环节

风险分析环节是对识别的风险事项分析其发生的可能性和后果，以确定风险大小和等级。实际工作中，各单位除了分析固有风险，还要分析在现有控制情况下的剩余风险。因此，风险分析过程需要完成对现有控制有效性和效率的分析评价，在考虑控制有效性基础上的风险分析将更加科学、客观。

3）风险评价环节

风险评价是分析、判断风险等级大小，确定风险是否可接受或容忍的过程。实际工作中，风险等级与内控缺陷等级的确定应当互为引用和参考。一般来讲，剩余风险等级高的，其对应不达标控制应当被认定为较高级别的缺陷；剩余风险等级低的，其对应不达标控制应当被认定为较低级别的缺陷。内控自评价工作中缺陷认定工作应当与风险评价工作紧密结合，确保缺陷认定的合理性和准确性。

综上，从某种意义上讲，现有内控自评价工作实际上是对各单位内部可控风险进行的风险评估工作。

4、内控缺陷整改和风险应对落实应如何进行结合？

内控缺陷产生的原因是控制设计或执行不到位，通俗来讲是该有的控制没有，该执行的控制未有效执行。若由于内控缺陷的存在致使对应风险的等级较高，则在进行风险应对时应重点进行内控缺陷整改。从工作方式上来看，缺陷整改和风险应对的内容也是一致的。风险应对工作需要编制风险应对计划，明确风险应对责任部门、责任人、风险应对步骤和预计完成时间等。内控缺陷工作也要编制缺陷整改计划，内容与风险应对计划基本一致。因此，内控缺陷整改是风险应对的重要方式之一，除此之外，风险应对还有转移、规避、分担等多种方式。