公司风险评估工作指引

1、中石化中原油建工程有限公司 风险评估工作指引1. 概述风险评估是通过风险识别、分析和评价，及时发现各类 风险，深入分析风险成因和管理现状，明确风险管理重点的 过程。风险评估是风险管理基本流程的重要环节，是风险应 对的前提和基础。编制目的为规范和统一公司风险评估工作程序， 全面提升公司风 险管理水平，落实公司全面风险管理细则(暂行) ，特制 订本指引。编制依据本指引编制的依据为：国资委中央企业全面风险管理 指引、国际风险管理标准 ISO 31000:2009 风险管理原则 与指南、国家标准委风险管理原则与实施指南 ( GB/T 24353-2009 )、风险评估技术 (GB/T 27921-20

2、11 )和中 国石化全面风险管理(暂行)办法 。适用范围公司机关各部门和公司所属各单位、各项目部、项目管 理部开展风险管理工作以本指引为标准。2. 风险评估目的和原则风险评估目的通过风险评估，全面、系统地梳理、识别公司面临的各 类内、外部风险，明确风险管理重点，培育全员风险管理意 识; 通过风险表现及成因分析，为制定风险应对措施提供依 据。风险评估原则（1）全面性原则：风险评估是一项系统性工作，应贯 穿决策、管理及执行全过程，覆盖公司各种业务和事项，涉 及全体员工。（2）重要性原则：风险评估工作应关注重点领域及关 键业务事项，合理配置资源。（3）时效性原则：风险评估工作应根据管理需要及时 开展

3、，第一时间为管理者提供风险信息。（4）适用性原则：风险评估工作应充分考虑组织形式 和业务特点，在公司统一框架下，结合实际细化制定针对性 的风险评估标准，选择适当的评估方法。3. 风险评估基本步骤风险评估应以充分的信息收集为基础，包括风险识别、 风险分析和风险评价三个步骤。风险评估与风险管理基本流程的关系如下图。信息收集（建立环境）信息收集也叫建立环境，是指在开展风险评估之前，应 首先收集内、外部环境信息，建设风险案例库，制定风险管 理目标和策略，明确风险分析评价标准，为有效开展风险评 估提供依据。收集内、外部环境信息围绕本单位战略目标及经营管理目标， 持续收集与风险 及风险管理相关的内外部环境

4、信息， 包括历史数据和未来预 测。公司机关各部门重点负责收集各自职责范围内的已经 发生的业务信息、国内外经济形势、石油石化行业运行态势 等风险信息。 公司所属各单位重点收集已发生的各类风险案 例、内控缺陷等运营层面风险信息。填写信息收集表及 风险案例表 （见附件 1），逐级汇总，按规定上报全面风 险管理办公室备案。制定风险管理目标和策略 结合公司战略目标及经营管理目标， 分析影响目标实现 的各类风险。根据风险偏好及风险承受度，制定风险管理总 体目标和策略 （ 示例见附件 2） 。制定风险分析和评价标准（1）风险分析标准。 风险分析的两个维度：风险发生的可能性和影响程度。风险发生的可能性以风险发

5、生概率为分析标准； 影响程度可 以从财务、营运、合规、 QHSE、声誉五个方面进行分析。以 上两个维度按照从低到高分为：极低、低、中、高、极高五 个级次，分别用 1、 2、3、 4、 5 分表示（见附件 3）。（2）风险评价标准。 综合考虑风险偏好和风险承受度， 以风险发生的可能性 和影响程度为依据，确定风险评价等级。风险评价等级按重 要性程度分为：重大风险、重要风险和一般风险三个等级。如图一所示，红色区域代表重大风险，黄色区域代表重 要风险，绿色区域代表一般风险。图一：风险评价标准示意图各单位在实际执行过程中，应针对风险评估对象，结合 风险偏好及风险承受度， 细化制定具体风险评价标准并报全

6、面风险管理办公室备案。风险识别风险识别是对收集的各类信息进行必要的筛选和分析， 查找影响战略目标及经营管理目标实现的各类风险的过程。 各单位开展风险识别原则上应按照以下步骤进行：（1）确定风险识别方式：根据风险评估工作需要，确 定风险识别的范围、方法、参与人员及组织形式等。确定风 险识别方式应重点关注以下内容 :第一，风险识别人员范围：开展风险识别工作，应充分 涵盖评估范围内各层级管理人员。 参与风险识别的人员应具 备必要的风险管理知识，熟悉相关业务。第二，风险识别方法。常用的风险识别方法主要包括：问卷调查法、德尔菲法、敏感性分析法、情景分析法、头脑 风暴法等 （见附件 4），风险识别参与人员

7、可结合具体评估对 象灵活应用，可以选择一种或多种方法。建议各单位在开展 风险管理初期进行常规风险识别，可采用问卷调查法；对财 税、信用等具备量化条件的风险，可选择敏感性分析法等风 险识别方法。（2）组织开展风险识别：参与风险识别的人员，应按 照有关要求，在筛选和分析各类信息的基础上，识别影响战 略目标及经营管理目标实现的各类风险。 初次开展风险管理 工作的单位可采用风险识别调查问卷表进行问卷调查 （见附 件 5 风险识别调查问卷） 。（3）风险识别结果 : 对识别出来的各类风险进行整理汇 总，建立风险库（见附件 6）。第一，风险名称：采用“目标或业务 +风险”的描述方 式。如：跨国经营风险，质

8、量风险，税务风险等。第二，风险概述：采取“成因 +影响的业务 / 目标”描述 方式。例如：跨国经营风险可描述为：公司“走出去”力度 加大，国际局势不稳定，跨国经营经验不足等原因，导致跨 国经营风险。第三，风险描述：对风险发生的各种成因及其表现分类 描述。风险分析风险分析是指从风险发生的可能性和影响程度两方面， 采用定性、定量方法分析，参照风险分析标准，分析未来一 定时期内风险发生的可能性和对目标的影响程度。风险分析要借鉴风险案例库 （风险管理工作开展初期已 经要求各单位根据公司的通知建设完成）中的风险案例，综 合考虑风险成因， 管理现状， 风险涉及的业务领域、 业务量、 责任单位以及风险之间的

9、相互关系等因素进行综合分析。风险分析应把握以下要点： 第一，风险成因分析应结合内外部风险因素，针对风险 影响的具体业务和目标具体分析（参见附件7）。第二，应对各类风险进行关联分析，深入剖析风险之间 的自然对冲、风险发生的正负相关性等组合效应，为各类风 险的组合管理提供依据。第三，应充分考虑风险管理现状，包括现行内控制度、 专业管理制度等，分析制度设计及执行的有效性，风险管理 责任落实情况等。第四，应充分借鉴风险案例等，为风险分析的有效性提 供保障。风险评价风险评价是根据风险评价标准， 对风险分析结果进行综 合评价，确定风险等级，明确风险管理重点的过程。风险评价的基本步骤： （1）初步风险评价。

10、根据风险评价标准，评价各类风险等级，按照评价结果 进行排序。（2）风险评价结果确认。 根据风险偏好和承受度，结合有关要求，对风险评价初 步结果进行适当调整、确认。根据以上分析过程及结果完善风险库。4. 风险评估机制公司风险评估分为年度风险评估、 专项风险评估和日常 （动态）风险评估三类，基本流程为：全面风险管理办公室 确定专项风险评估范围公司领导审定各单位、 各部门确 定风险评估方法、分析和评价标准单位、各部门开展风险 评估各单位、 各部门编制专项或专业风险评估报告全面 风险管理办公室对各单位、 各部门报送的风险管理报告进行 程序性审核后报公司领导层审核将审核信息反馈各单位、 各部门，由各单位

11、、各部门自行启动决策程序。年度风险评估年度风险评估是围绕公司发展战略及年度经营管理目 标，评估未来一年内影响目标实现的各类风险，确定年度风 险管理重点，编制年度风险管理报告。主要工作步骤如下：（1）制定风险评估工作方案。公司全面风险管理办公室统一制定年度风险评估工作 方案。内容主要包括：年度风险评估的目标和依据，风险评 估方式，参与单位及人员，风险评估标准和方法，时间安排 等。（2）开展风险评估。 各单位按照公司统一要求，结合具体评估对象，灵活采 用问卷调查 （见附件 5 风险识别问卷调查表和附件 8 风险评 估调查问卷统计汇总表 ） 、头脑风暴、风险矩阵等方法开展 风险评估，逐级汇总上报公司

12、全面风险管理办公室。（ 3）确定风险评估结果。 公司全面风险管理办公室负责汇总分析风险评估结果， 通过集体讨论等形式， 初步确定重大、 重要风险及一般风险。（4）制定风险管理策略和应对措施。 公司全面风险管理办公室组织相关单位，针对重大、重 要风险研究制定风险管理策略和应对措施， 落实风险管理责 任。（ 5） 编制全面风险管理报告。 公司全面风险管理办公室负责组织编制公司年度全面 风险管理报告 （模本见附件 9），按规定程序审批后报公司全 面风险管理领导小组。专项风险评估公司机关各部门负责建立本专业管理职责范围内的专 项风险评估机制。 专项评估范围包括： 经营风险、 财税风险、 HSE风险、人

13、力资源管理风险、质量技术风险、廉洁风险、 法律风险、稳定风险、项目管理风险、全面风险管理领导小 组决定的其他事项等。主要工作步骤：（1）确定专项风险评估范围。 公司机关各部门根据管理需要， 确定专项风险评估范围 及方案。公司所属各单位也可根据管理需要，确定本单位专 项风险评估范围。（2）确定专项风险评估方法和分析评价标准。 结合专项风险的业务特点，选择适当的风险评估方法， 研究设计专项风险分析、评价标准。（3）开展专项风险评估。 根据专项风险涉及的业务管理目标， 采用定性与定量相 结合的方法，依据专项风险分析、评价标准，研究确定风险 评估结果。（4）编制专项风险评估报告。 根据专项风险评估结果，编制专项风险评估报告。（5）程序性审核。 纳入专项风险评估范围的业务事项，在提请决策层（管 理层）审议之前，需编制专项风险评估报告，报全面风险管 理办公室审核。公司机关各部门每年至少组织一次专项风险评估， 每年 公司年度工作会议结束后一个月内前将本部门的专项风险 评估报告报送全面风险管理办公室。公司机