风险评估规范课件

1、 Deloitte Touche Tohmatsu 2006. All rights reserved.风险评估规范风险评估规范 Deloitte Touche Tohmatsu 2006. All rights reserved.1主要内容一、一、风险的概念风险的概念二二、规范出台背景、规范出台背景三、风险管理程序及方法三、风险管理程序及方法 Deloitte Touche Tohmatsu 2006. All rights reserved.2 什么是风险 Deloitte Touche Tohmatsu 2006. All rights reserved.3风险是指未来的不确定性对企业目

2、标所产生的影响。集团公司风险评估规范 什么是风险 Deloitte Touche Tohmatsu 2006. All rights reserved.4 什么是风险 Deloitte Touche Tohmatsu 2006. All rights reserved.5风险事件案例：法国兴业银行 法国兴业银行2008年1月24日宣布因交易员杰罗姆科维尔（Jerome Kerviel）的”欺诈行为“造成近50亿欧元损失。兴业银行旗下巴黎分行一交易员超出了其职务允许的范围，秘密建立了欧洲股指期货相关头寸，导致了近50亿欧元的损失。法国财政部报告认为：兴业银行风险监控机制有问题，内部监控系统多个环

3、节有可能存在漏洞。主要风险有：没有有效监督交易员盘面资金，没有有效跟踪资金流动，没有遵守后台与前台完全隔离规则， 过分相信电脑系统，而忽视了对风险和流程的管理。 Deloitte Touche Tohmatsu 2006. All rights reserved.6法兴悲剧警示法兴悲剧警示我们我们再严密的规章制度，再安全的电脑软件，都可能存在漏洞、死角！ 对于风险管理，决不能掉以轻心。特别是在市场繁荣之际，应警惕因盈利而放松正常监督。风险事件案例：法国兴业银行 Deloitte Touche Tohmatsu 2006. All rights reserved.风险事件案例：苏丹项目员工绑架事

4、件2010年11月26日凌晨（苏丹当地时间），苏丹6区项目（位于苏丹中西部，达尔富尔地区东南部）减粘厂值班员工发现当晚值班的兰州石化员工张晓黎去向不明，经过现场搜寻，发现张晓黎的安全帽、破碎眼镜和地面拖拉痕迹，通过调阅现场闭路监视系统记录，确认张晓黎被持枪分子劫持苏丹当地政局不稳定，频现武装分子劫持人质 随着业务的不断拓展和深化，势必会伴随着很多新风险的产生！ 要飞翔就会有阻力！要发展就会有风险 Deloitte Touche Tohmatsu 2006. All rights reserved.8风险管理就是把风险控制在可接受范围内的过程。风险管理的意义 Deloitte Touche To

5、hmatsu 2006. All rights reserved.9主要内容一、风险的概念一、风险的概念二、规范出台背景二、规范出台背景三、风险管理程序及方法三、风险管理程序及方法 Deloitte Touche Tohmatsu 2006. All rights reserved.10（三）集团公司风险管理实践（一）国外风险管理监管要求（二）国内风险管理制度一、规范出台背景 Deloitte Touche Tohmatsu 2006. All rights reserved.111. COSO（COSO）企业风险管理框架（一）国外风险管理监管要求 规范中的目标、风险类型 Deloitte T

6、ouche Tohmatsu 2006. All rights reserved.12监控及评价识别风险分析风险明确现有风险可能性风险水平沟通及协商评估风险应对风险应对风险识别并评估选择权准备及执行计划分析及评估剩余风险建立风险评估基础 外部基础 内部基础 风险管理相关的内容否是结果规范与此程序一致部分程序名称略有不同（一）国外风险管理监管要求 Deloitte Touche Tohmatsu 2006. All rights reserved.133. ISO31000 风险管理标准（一）国外风险管理监管要求 Deloitte Touche Tohmatsu 2006. All rights

7、 reserved.143. ISO31000 风险管理标准 规范与此程序基本一致 部分程序名称略有差异（一）国外风险管理监管要求 Deloitte Touche Tohmatsu 2006. All rights reserved.151. 国资委全面风险管理指引 2006年6月，国资委印发了中央企业全面风险管理指引（以下简称指引），要求“中央企业根据自身实际情况贯彻执行本指引” 。全面风险管理，指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理

8、信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。 （二）国内风险管理制度 Deloitte Touche Tohmatsu 2006. All rights reserved.16（二）国内风险管理制度 Deloitte Touche Tohmatsu 2006. All rights reserved.17（二）国内风险管理制度2. 国家风险管理标准GB/T 24353 2009 参考ISO31000编制，于2009年正式发布，包括2项，一是风险管理原则与实施指南（GBT24353），一是风险管理术语（GBT23694）。 规范与此程序基本一致 部分程序名称略有

9、差异 Deloitte Touche Tohmatsu 2006. All rights reserved.18 “十一五”期间，从最初为符合监管要求，通过外部审计而建立内部控制体系，到今天的全面风险管理，集团公司内部控制与风险管理工作的发展经历了如下几个主要阶段：（三）集团公司风险管理实践03年-06年 内控实践阶段07年-08年内控向风险管理迈进09年至今广泛、深入开展风险管理实践第一阶段第二阶段第三阶段 成立内控项目建设委员会；完成并正式运行内控体系，以“零缺陷”通过内控审计 在内控实践的基础上，开展风险管理理论研究，初步形成风险评估方法论，指导风险管理实践工作； 公司内控体系建设委员会

10、更名为中国石油天然气集团公司内控与风险管理委员会，内部控制部更名为内控与风险管理部； 分析解读央企指引，并在08年第一次向国资委报送风险管理报告 连续编制上报集团公司风险年报，获得国资委好评； 重大风险管理工作向企业延伸，连续两年试点开展企业风险管理报告工作，并逐步建立健全集团公司风险管理报告机制； 随着金融业务的发展，成立集团公司金融业务风险管理专业委员会，开展金融业务专项风险评估； 大力推进海外业务风险管理工作； 业务层面风险由财务报告逐步向经营管理各领域拓展 Deloitte Touche Tohmatsu 2006. All rights reserved.19 近年来的风险管理实践使

11、公司上下风险管理意识有所提高，强化重要业务、重大风险的管理理念正在建立，风险管理部门的作用逐渐显现。随着风险管理工作的深入、广泛开展，需要建立一套集团公司通用的风险评估标准。 因此，内控与风险管理部2009年开始着手研究，并在公司标准委员会统一部署下，成立了风险评估规范起草工作组，主要依据澳新风险管理框架、ISO31000、国家风险管理标准等，结合公司风险管理实践，并经过多次讨论和修改，于2010年9月9日正式发布风险评估规范（中油质（2010）413号），纳入集团公司企业标准管理，编号为QSY2009-128。（三）集团公司风险管理实践 风险评估规范 Deloitte Touche Tohm

12、atsu 2006. All rights reserved.20实施程序实施程序 术语和定义术语和定义 范围总体要求总体要求集团公司风险评估规范l风险风险l风险风险管理管理l.l本标准适用于公司层面、业务层面等的风险评估工作l风险评估实施程序依次为:建立风险评估基础、目标设置与分解、风险识别、风险分析和风险评价应有明确目标，并制定风险发生的可能性和影响程度的标准开展风险评估应建立一支风险评估团队，充分收集企业各类人员的意见。 风险评估结果具有一定的时效性，企业应根据内外部形势的变化持续开展风险评估。 风险评估规范主要内容 Deloitte Touche Tohmatsu 2006. All

13、rights reserved.21主要内容一、风险的概念一、风险的概念二、规范出台背景二、规范出台背景三、风险管理程序及方法三、风险管理程序及方法 Deloitte Touche Tohmatsu 2006. All rights reserved.22二、风险管理程序及方法风险评估规范 建立风险评估基础 风险分析 风险评价 监 督 与 检 查 风险识别 风险应对 信 息 与 沟 通 目标设置与分解 Deloitte Touche Tohmatsu 2006. All rights reserved.23目的：为之后的风险评估流程奠定基础。主要内容包括：（1）确定风险管理的目标和范围（2）建

14、立风险管理的语言和标准1. 建立风险评估基础 建立风险评估基础 风险分析 风险评价 监 督 与 检 查 风险识别 风险应对 信 息 与 沟 通 目标设置与分解 Deloitte Touche Tohmatsu 2006. All rights reserved.241. 建立风险评估基础5）形成工作方案或计划1）明确风险管理的目标2）确定风险管理的范围3）确定风险管理组织，明确职责4）制定工作计划（1）确定风险管理的目标和范围在什么层面、围绕什么业务开展风险管理工作，形成什么成果和机制根据目标，确定涉及的具体的业务及部门、单位详细，具有可操作性经相应层级领导审批后实施 Deloitte Tou

15、che Tohmatsu 2006. All rights reserved.251. 建立风险评估基础明确风险类型风险评估标准制定风险偏好、容忍度、预警指标根据风险管理理论与实践，逐步形成风险管理制度（2）建立风险管理的语言和标准 Deloitte Touche Tohmatsu 2006. All rights reserved.261. 建立风险评估基础1） 风 险 类 型 风险类型是指在风险评估过程中所识别的某一类风险的集合，这类风险通常具有共同的特点，即风险类型是指特定的风险领域 借鉴COSO标准从目标出发研究风险类型的划分，将集团公司风险分为四大类：战略风险 经营风险 报告风险 合

16、规风险 Deloitte Touche Tohmatsu 2006. All rights reserved.271. 建立风险评估基础公司层面风险业务层面风险公司层面重大风险，高于业务层面但又与业务层面结合根据对风险做出应对策略所在层面的不同，可以将风险分为不同层级管控不同的风险，主要分三个层面，包括集团公司层面管控的重重大风险、大风险、企业管理层管控的重大风险重大风险、业务操作层面管控的重要风险重要风险集团公司层面管控的重大风险层级较高，企业管理层管控的重大风险可参照集团公司层面风险数据库的风险层级或向下延伸一个层级，业务层面的风险属于业务领域中应管控的风险，三者互相关联、互为支撑例如：集

17、团公司风险管理报告、企业风险管理报告。（关注重大风险）例如：内控手册中财务报告风险、投资、资本运营等业务的经营风险数据库等。（关注各业务领域重要风险） Deloitte Touche Tohmatsu 2006. All rights reserved.28u 风险偏好一个企业在追求价值的过程中愿意接受的风险水平。u 风险偏好反映了企业风险管理的理念，反过来又影响企业文化和经营风格。u 制定风险偏好时要充分考虑风险承受能力。1. 建立风险评估基础u为了实现目标，企业在承担风险的种类、大小等方面的基本态度。 2）风险偏好 风险回避 风险追求 风险中立等 Deloitte Touche Tohma

18、tsu 2006. All rights reserved.291. 建立风险评估基础风险容忍度是指对于一项具体管理目标可以接受的偏离程度。2）风险容忍度 （承受度）针对某项具体目标，如何确定风险容忍度u 总体考虑：风险容忍度的设定是一个自上而下的过程，首先需要清晰公司战略目标或相关管理目标，风险容忍度需与相关目标和风险偏好保持一致；u容忍度指标上下限确定：l上限和下限波动幅度可以不相等l风险容忍度可以为零，即不允许目标发生任何偏离l 以往年度管理目标的平均波动水平是多少？行业数据是多少？领导的最高、最低要求？公司最大可以承受的相关损失是多少？影响目标的因素中，哪些因素为可控，哪些因素为不可控

19、？ Deloitte Touche Tohmatsu 2006. All rights reserved.301. 建立风险评估基础u容忍度指标选择：根据公司生产经营指标或管理目标、KPI指标等，选择适合的风险容忍度指标。u 例如：投资业务投资回报率、投资计划完成率； 销售业务市场份额、零售总量； 资产管理业务资产周转率； 公共关系方面上访事件数量； 人力资源管理业务员工总量； 金融业务操作风险损失率、不良贷款率等。 Deloitte Touche Tohmatsu 2006. All rights reserved.31 为提前采取措施预防风险事件发生而在风险容忍度范围内设置的警示界限。 依

20、据实际，可以是定量，也可以是定性，或者二者相结合。1. 建立风险评估基础2）风险预警指标 容忍度 容忍度 预警指标界限 预警指标界限目标 Deloitte Touche Tohmatsu 2006. All rights reserved.321. 建立风险评估基础 预警指标选择： 根据可以参考部分咨询公司的行业数据库、外部同行业上市公司披露的公开数据、国资委企业绩效评价标准值中的行业对标值、公司关键绩效考核指标（KPI）等，还包括预警迹象等，选择适合的风险预警指标。可参考承受度指标的选择。 例如：投资业务-投资回报率、投资计划完成率；销售业务-市场份额、零售总量；资产管理业务-资产周转率；公

21、共关系方面-上访事件数量；人力资源管理业务-员工总量；金融业务-操作风险损失率、不良贷款率等。 具体指标数值结合实际确定。 Deloitte Touche Tohmatsu 2006. All rights reserved.331. 建立风险评估基础中国兵器集团风险监控指标 Deloitte Touche Tohmatsu 2006. All rights reserved.343）风险评估标准u风险发生的可能性分为基本确定、很可能、有可能、不太可能、极小五个级别；分别对应5、4、3、2、1 五个分值。u风险影响程度分为极高、高、中、低、极低五个级别 ；分别对应5、4、3、2、1 五个分值。

22、可能性可能性基本确基本确定定很可能很可能有可能有可能 不太可不太可能能极小极小分值分值5 54 43 32 21 1影响程影响程度度极高极高高高中中低低极低极低分值分值5 54 43 32 21 1 3）风险评估标准用于风险分析。规范包括风险发生可能性标准、影响程度标准、风险等级标准。1. 建立风险评估基础u 不同层面，标准的内容各有不同。 Deloitte Touche Tohmatsu 2006. All rights reserved.u 风险等级=可能性*影响程度风险等级风险等级风险等级分值风险等级分值（R R）备注备注 低度低度1R31R3风险很小，日常工作中极少风险很小，日常工作中

23、极少关注或忽略关注或忽略较低较低3 3R5R5风险较小，日常工作中偶尔风险较小，日常工作中偶尔关注关注中度中度5 5R12R12一般风险，需要引起一般关一般风险，需要引起一般关注注高度高度1212R20R20风险较大，需要引起高度关风险较大，需要引起高度关注注1. 建立风险评估基础p一般标准，12分以上为重大、重要风险。p分值不是确定重大、重要风险的唯一依据，还包括管理层偏好法等方法。p还要结合本单位风险偏好、容忍度、风险管控能力等方面来确定。 Deloitte Touche Tohmatsu 2006. All rights reserved.362.目标设置与分解n 目的：目标的设置是风险

24、评估的前提，只有先确立了目标，才能针对目标识别、分析影响目标的实现的风险，并采取必要应对措施来管理风险。通过目标的层层分解，将实现目标，防范风险的责任落实到具体部门和岗位，明确实现目标的具体步骤和具体阶段，以利于目标的实现。n主要内容：（1）目标分类（2）收集目标（3）分解目标 建立风险评估基础 风险分析 风险评价 监 督 与 检 查 风险识别 风险应对 信 息 与 沟 通 目标设置与分解 Deloitte Touche Tohmatsu 2006. All rights reserved.372. 目标设置与分解（1）目标分类 借鉴COSO的ERM框架的目标分类方法（如下图），将企业目标分为

25、战略目标、经营目标、报告目标、合规目标。（风险分类的依据）。可以使管理者注意到企业风险管理的不同方面。 报告目标报告目标经营目标经营目标合规目标合规目标与企业报告的可靠性相关，包括企业内部和外部的报告，既包括财务信息，也包括非财务信息。与使用企业资源进行经营的效果和效率相关，包括业绩和盈利能力目标和保护资产安全的目标。与企业对其适用的相关法律和法规的遵循性相关。 战战 略略 目目 标标企业的高层次目标与企业的使命或愿景相联系并支持其实现。 Deloitte Touche Tohmatsu 2006. All rights reserved.382.目标设置与分解 （2）收集目标（3）分解目标

26、在确立目标时，首先把关注点放在企业战略目标上，制定企业层面的各个业务的经营目标等相关目标，以保证企业使命或愿景的实现。 结合风险管理工作的目标和范围，确定目标收集的范围。 结合实际设计工作模板，便于收集、分解目标。（不限于集团公司风险管理报告中设计的目标设置与分解一览表一种形式）将收集的相关目标进行层层分解，分解到相应层级，便于识别相应层级的风险 Deloitte Touche Tohmatsu 2006. All rights reserved.39公司战略发展目标保障措施进一步分解到子目标（生产经营指标/管理指标/工作目标/KPI指标）公司总体目标对应到业务单元/职能部门和关键业务/事项2

27、.目标设置与分解 Deloitte Touche Tohmatsu 2006. All rights reserved.403. 风险识别n 定义：风险识别是围绕具体目标，对可能影响目标实现的风险源、影响范围、事件原因和潜在的后果进行判断并记录风险的过程。n 主要内容： （1）信息收集 （2）识别方法 （3）风险数据库 建立风险评估基础 风险分析 风险评价 监 督 与 检 查 风险识别 风险应对 信 息 与 沟 通 目标设置与分解 Deloitte Touche Tohmatsu 2006. All rights reserved.41l以利于风险事件管理和使用的方式设计模板，形成风险事件库！

28、l分类、分级管理！l为风险识别、风险分析提供重要依据。3. 风险识别已有风险数据库及流程等信息风险事件国家法律法规公司领导讲话 国内外同行业年报（披露的重大风险信息）公司规章制度（1）信息收集主要包括但不主要包括但不限于限于1）信息收集围绕具体目标，围绕具体目标，收集相关信息，并进行分析、整理，为风险识别做准备如：新下达的政策信息，如油价、税收、节能减排等 Deloitte Touche Tohmatsu 2006. All rights reserved.423. 风险识别（2）识别方法 围绕目标，充分运用收集的上述信息，选择适合的方法识别风险。 主要方法包括但不限于： 1）基准化分析法 2

29、）问卷调查表 3）流程图分析法 4）历史事件法 5）财务报表法 6）情景分析法 7）头脑风暴法 8）检查表法 9）其他方法（目标分析法；领导讲话分析法等）结合实践，去探索适合的风险识别方法。 Deloitte Touche Tohmatsu 2006. All rights reserved.43关注并跟踪外部环境，将企业各项活动与相关的法律法规以及公司规章制度等进行对比、分析，以制度的强化环节、明令禁止和处罚的环节为重点，识别可能存在的风险。（依据收集的国家相关法律法规及公司规章制度等信息）1）基准化分析法 3. 风险识别示例1 法律法规分析u 法律风险防控体系建设时，将企业相关活动与相关的

30、法律法规等进行对比、分析，识别出潜在风险。 u如：中华人民共和国安全生产法第七十一条,负有安全生产监督管理职责的部门接到事故报告后，应当立即按照国家有关规定上报事故情况。负有安全生产监督管理职责的部门和有关地方人民政府对事故情况不得隐瞒不报、谎报或者拖延不报。 识别法律风险“对安全事故隐瞒不报、谎报或者拖延不报。 Deloitte Touche Tohmatsu 2006. All rights reserved.443. 风险识别采购方式确定不合规示例2：制度分析物资采购业务风险评估 Deloitte Touche Tohmatsu 2006. All rights reserved.45依

31、据企业目标，确定相应的风险因素，按照类别形成表格，用以向相关人员发放，获得有关公司风险的重要信息。 依据收集的各种信息形成问卷；或者设计问卷以获取相关风险信息。2）问卷调查表 示例：调查问卷3. 风险识别所负责业务的工所负责业务的工作目标作目标影响目标实现影响目标实现的因素的因素（即风险）（即风险） 影响因素发影响因素发生的可能性生的可能性等级（等级（1-51-5）影响程影响程度等级度等级（1-51-5）要简单、易懂、易填写，工作不反复。 Deloitte Touche Tohmatsu 2006. All rights reserved.通过对企业相关业务流程的分析，可以发现和识别企业各个环

32、节存在的风险及其起因和影响 。依据收集的业务相关流程信息3）流程图分析法 KP05.03.07.02.03 定期结算定期结算未签定有效协议 示示例例3. 风险识别关键环节可能出现的问题 Deloitte Touche Tohmatsu 2006. All rights reserved.47利用风险事件库，层层分析事件发生原因，一直分析到不能再分解为止，以获得引起风险的原因，识别发现相关风险 。充分依据收集的风险事件库。4）历史事件分析法 如：黑龙江销售携款潜逃事件。事件发生的过程：2007年8月黑龙江销售绥化分公司发现第九加油站有5笔商品销售录入凭证只附有销售日报表，没有银行存款进帐单，经核

33、对和查询，发现共计151万元没有进入公司账户。随即联系第九加油站经理王兵，发现其去向不明，经公安机关调查判定为携款潜逃。事后相关部门组织对加油站全部业务开展调查，进行风险分析和评估。识别风险资金管理风险，例如“现金收款没有及时、安全存入银行”、 “银行进账单与现金日记账不一致”等。3. 风险识别 Deloitte Touche Tohmatsu 2006. All rights reserved.483. 风险识别示例： “6.29”辽阳石化公司承包商亡人事故（4）历史事件分析法 （续） 健康安全环保风险 Deloitte Touche Tohmatsu 2006. All rights re

34、served.49通过对企业的资产负债表、损益表、现金流量表、财务报告等有关资料的分析来识别和发现与之有关的风险。例如：报告风险数据库。利用收集的财务相关信息。通过有关数字、图表、曲线、想象、推测等方法，对未来可能出现的多种风险状况进行预测，从而识别出引起风险的关键因素及其影响程度 5）财务报表分析法 6）情景分析法 3. 风险识别通过营造一个无批评的自由的会议环境，使与会专家（专业人员）畅所欲言，充分交流有关公司的相关风险的看法，发挥集体的智慧，产生出大量风险管理方面的意见的过程，以提高风险识别的正确性和效率。利用收集的各种信息，展开讨论。7）头脑风暴法 Deloitte Touche To

35、hmatsu 2006. All rights reserved.50对本企业可能面临的潜在风险列于一个表上，供风险识别人员进行检查核对，用来判别公司是否存在表中所列或类似的风险 。利用收集的同行业风险信息等 8）检查表法 3. 风险识别 Deloitte Touche Tohmatsu 2006. All rights reserved.519）其他方法 3. 风险识别目标分析法根据目标设置与分解情况，分析目标与上年度的重大变化、新的目标、更高的KPI指标的要求等方面，初步识别风险。领导讲话分析法依据收集的公司领导年度重要讲话，分析领导关注的问题和难题、提示的风险点等，识别风险。 Deloi

36、tte Touche Tohmatsu 2006. All rights reserved.523. 风险识别（3）风险数据库 将识别的风险记录到风险数据库中。风险数据库是下步风险分析的基础。 依据风险管理目标和业务，设计风险数据库模板。（公司层面/业务层面） 同一风险数据库中的风险描述要在同一层级上。 风险点描述简洁明了，与风险应对措施区分开例如：违反程序（执行风险）、未经有效审批（控制措施）等不作为风险描述。 Deloitte Touche Tohmatsu 2006. All rights reserved.534. 风险分析n目的：充分分析风险发生可能性和影响程度等方面，为确定重大风险

37、奠定基础。n风险分析方法主要包括：（1）问卷调查表法（2）头脑风暴法 建立风险评估基础 风险分析 风险评价 监 督 与 检 查 风险识别 风险应对 信 息 与 沟 通 目标设置与分解 Deloitte Touche Tohmatsu 2006. All rights reserved.54（1）问卷调查表法u结合实际设计问卷，按照风险评估标准，结合收集信息（风险事件等），以及控制措施有效性，分析风险发生可能性大小、影响方面、影响程度大小等。分别对风险发生的可能性和影响程度进行分析。第一、评分式调查问卷（参与者对风险进行评分） 可能性评分按照风险评估可能性标准，依据风险的性质、掌握的信息量，确定

38、风险发生可能性的种类；（例如：安全环保风险评估-安全部门可以选择大型灾害事件类标准） 影响程度评分按照风险评估影响程度标准，从财务损失、企业声誉、法律、安全环境、营运等方面，选择其中一个主要方面主要方面对风险的影响程度进行评分。 计算个体评分风险值。 风险值=可能性分值*影响程度分值4. 风险分析 Deloitte Touche Tohmatsu 2006. All rights reserved.55第二、其他调查问卷u例如：设计问卷，请参与者选择“认为重要性排序在前几位的重大（重要）风险”等。 获得个体对重大风险的初步看法。（2）头脑风暴法 根据业务经验，充分利用已收集信息（领导讲话关注风

39、险、风险事件等），结合控制措施有效性，共同讨论分析风险发生可能性大小、影响方面、影响程度大小。 4. 风险分析 Deloitte Touche Tohmatsu 2006. All rights reserved.565. 风险评价n 目的：综合考虑风险分析结果，选择适用的风险评价方法，结合公司风险偏好，确定重大（重要）风险，为风险应对奠定基础。n风险评价方法主要包括：（1）加权平均计算法（2）管理层偏好法 建立风险评估基础 风险分析 风险评价 监 督 与 检 查 风险识别 风险应对 信 息 与 沟 通 目标设置与分解 Deloitte Touche Tohmatsu 2006. All ri

40、ghts reserved.575. 风险评价 （1）加权平均计算法 适用于采用问卷调查法（评分式调查问卷），对风险进行评分得出结论的情况。 在前述评分结果基础上，计算加权平均风险值，依据本单位风险等级分值，*分以上的确定重大（重要）风险。 同时也要评估企业管控能力，合理确定重大风险个数。 根据风险分析人员的业务能力、技术水平或工作经历等对参与风险分析人员划分类别，对每类人员的评分设定权重，采用加权平均的方法计算风险等级分值。 R风险等级分值Ai第i类人员风险发生可能性平均分值Bi第i类人员风险影响程度平均分值Ci第i类人员权重n人员类别总数 对风险发生可能性较小但后果却很严重的风险，仅采用加

41、权平均计算法，不一定评为重大（重要）风险。要根据偏好，慎重考虑。 Deloitte Touche Tohmatsu 2006. All rights reserved.585. 风险评价（2）管理层偏好法 适用于问卷调查表、头脑风暴法等多种风险分析方法得出的结论。 管理层充分考虑管控能力（人力、财力、物力等管理资源）大小，如何优化、合理配置，以及风险管理的紧迫性等因素，确定管理重大（重要）风险个数。 Deloitte Touche Tohmatsu 2006. All rights reserved.596.风险应对n 目的：在公司战略目标的指引下，管理层根据风险偏好和容忍度来选择应对方法，使

42、风险维持在企业的风险容忍度范围内。n主要内容（1）确定风险责任部门（2）重大风险原因及特点分析（3）重大风险管理策略（偏好、容忍度及预警指标）（4）总体应对策略和风险解决方案（具体应对措施） 建立风险评估基础 风险分析 风险评价 监 督 与 检 查 风险识别 风险应对 信 息 与 沟 通 目标设置与分解 Deloitte Touche Tohmatsu 2006. All rights reserved.60（1）确定风险责任部门n 依据目标设置与分解情况，结合部门职责，确定风险责任部门。n 为以后年度风险识别、风险分析及应对奠定基础。 （2）重大风险原因及特点分析 从根源分析重大（重要）风险

43、产生原因，分析风险的特点，使下步的风险应对更有针对性。6. 风险应对 Deloitte Touche Tohmatsu 2006. All rights reserved.61（3）重大风险管理策略（偏好、容忍度、预警指标）可以采用定量或定性方式描述。 依据重大风险的管控目标，确定重大风险偏好。与企业总体偏好保持一致。 依据重大风险管理目标、KPI指标等，确定容忍度。 在容忍度范围内，参考KPI指标及相关资料，确定预警指标。与生产经营相结合，为生产经营管理服务。逐步形成重大风险预警指标体系。6. 风险应对 Deloitte Touche Tohmatsu 2006. All rights re

44、served.626. 风险应对（4）总体应对策略和具体解决方案退出引起风险的活动，即在可能的情况下， 决定不从事或尽量避免那些继续从事可能会导致风险的活动，如退出生产线、停止一个区域的业务或出售一部分经营性资产等。 （危险国家退出投资-叙利亚） 采取措施来减轻风险的可能性或影响，即通过改变风险发生的可能性来减少风险的不利后果，或改变风险的影响来减少损失的范围。减轻风险一般牵涉到所有大量的日常经营决策，例如产品多样化、技术改进、加强人员培训、资本重新分配、改进业务流程、用制度管控风险等。通过采取措施来转移和分担一部分风险来减少风险的可能性或影响，这包括与另外的单位合作来共同承担风险，如成立合资

45、企业、购买保险（中石油财产保险） 、套期保值、外包业务等。 分担风险可能会带来新的风险，因为合作单位可能缺乏期望的能力和资源。不采取任何措施去影响风险的可能性和影响。这可能是因为该风险属于风险容忍度范围之内；或该风险在企业范围内与其他风险自然抵消；或由于风险应对成本过高，公司决定接受该风险。风险接受风险规避风险分担风险减轻总体应对策略 Deloitte Touche Tohmatsu 2006. All rights reserved.636. 风险应对第一、具体解决方案内容第二、制定风险解决方案的考虑因素第三、制定方案的一般步骤具体解决方案（应对措施） Deloitte Touche Toh

46、matsu 2006. All rights reserved.646. 风险应对第一、具体解决方案内容（包括但不限于）用流程管控用规划计划管控用制度管控用体系管控在控制环境层面管控将重大、重要风险应对措施落实到相关流程中，运用内控手段管控将重大、重要风险应对措施落实到规章制度中，运用制度手段管控将重大、重要风险应对措施纳入战略规划、年度计划中将重大、重要风险应对措施纳入相应业务体系管控，如HSE、惩防等在控制环境层面，通过加强培训、文化宣贯等方式管控 Deloitte Touche Tohmatsu 2006. All rights reserved.6565示例用制度管控风险n 投资管理业

47、务风险评估，通过风险评估和流程梳理发现了职责界面不清、权限不明确、关键控制措施不到位等情况。规划计划部组织修订了2008年投资管理办法，对相关问题做了明确，2010年印发了中国石油天然气集团公司投资管理办法 （中油计201010号）； 发现问题，解决问题！n 用配套的制度管控新业务领域的风险，如进入信托领域，印发信托业务风险管理规范，防范信托业务风险；n 如新部门成立，建立相应制度等。6. 风险应对（中油计201010号）集团公司投资管理办法 Deloitte Touche Tohmatsu 2006. All rights reserved.66第二、制定风险解决方案的考虑因素制定风险解决方案针对剩余风险，采取有效措施消除或减少风险发生的可能性，或减轻风险产生的不利影响。减少剩余风险源头治理了解风险发生的根源，针对源头设计风险应对方案考虑风险发生的深层次原因如：隐含在企业文化中，提出改善和解决的方案（控制环境）应对成本直接的和非直接的成本、有形的和无形的成本以及财务或非财务成本剩余风险：在管理层应对该风险后仍然存在的风险。6. 风险应对 Deloitte Touche Tohmatsu 2006. All rights reserved.67u分析该风险所影响的目标及相