中石油风险评估培训材料

1、2022-4-11风险评估培训材料风险评估培训材料集团公司内控部集团公司内控部二八年一月二八年一月2一、风险管理概述二、集团公司内控体系建设范围的确认三、集团公司风险数据库介绍四、风险与控制活动的关系五、现阶段工作内容主要内容3到底该如何理解风险呢？危险危险坏的事情发生的风险结果的不确定性结果的不确定性不能满足预期机会机会丧失机会丧失机会4到底该如何理解风险管理呢？风险管理是发现和了解组织中风险的各个方面, 并且付诸明智的行动，帮助组织实现战略目标、减少失败的可能、降低不确定的经营结果的整个过程。5到底该如何理解风险管理呢？企业风险管理是一个过程：它由公司董事会、管理层以及其他员工执行，适用于

2、公司战略的制定和整个公司范围，用来识别可能对公司产生影响的潜在事项，并将风险控制在企业可以承受的水平以内，为公司目标的实现提供合理的保证。6风险管理的发展史7为何风险管理日益重要？不断变化的驱动因素q 通信技术进步和互联网q 全球化的竞争q 贸易自由化和投资全球化q 数不胜数的金融衍生工具q 组织结构的变化q 分营、剥离、重组、体制改革q 更高的客户预期q 法律法规的变化q 随时出现的外部危机8为何风险管理日益重要？国外、国内风险管理与内部控制相关法律法规的要求9为何风险管理日益重要？全球风险管理与内部控制相关法律和规章的发展趋势2002年7月美国萨班斯奥克斯利法案生效2003年3月澳大利亚证

3、券交易所（ASX）及其公司治理委员会采纳良好公司治理原则和最佳实务操作建议2004年11月香港联交所公布公司治理实务和公司治理报告的准则，要求公司董事至少每年审核一次内部控制的有效性，并在公司治理报告中向股东汇报2005年2月加拿大安大略证券委员会要求管理层评估并测试有关财务报告的内部控制系统（MI 52-111）2005年5月新加坡交易所就其加强上市规定和程序的计划发行了一份公共咨文，提出了公司治理标准并促进更好的监管。10为何风险管理日益重要？全球风险管理与内部控制相关法律和规章的发展趋势德国2002年2月发布了德国公司治理准则英国Turnbull Guidance, 1999 The C

4、ombined Code on Corporate Governance, Jul 2003, Financial Reporting Council欧盟2004年10月成立了欧洲公司治理论坛（European Corporate Governance Forum）EC 4th and 7th Directive Consultation日本将于2008年3月实施与萨奥法案相等的法案，加强对上市公司的监管11为何风险管理日益重要？ 中国风险管理与内部控制相关法规的发展2006年6月国务院国有资产监督管理委员会发布国资发改革2006108号中央企业全面风险管理指引2006年6月上交所发布上海证券

5、交易所上市公司内部控制指引2006年7月财政部成立“企业内部控制标准委员会”2006年9月深交所发布深圳证券交易所上市公司内部控制指引12为何风险管理日益重要？ 国资委2006108号中央企业全面风险管理指引q全面风险管理是指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。q风险管理基本流程包括：收集风险管理初始信息、进行风险评估、制定风险管理策略、提出和实施风险管理解决

6、方案和风险管理的监督与改进。13为何风险管理日益重要？ 财政部企业内部控制规范基本规范摘要q“内部控制是指由董事会、管理层和全体员工共同实施的、旨在合理保证实现基本目标的一系列控制活动”q基本目标包括：“企业战略、经营的效率和效果、财务报告及管理信息的真实、可靠和完整、资产的安全完整、遵循国家法律法规和有关监管要求”q“有义务对外提供财务报告的企业，应当确保财务报告及管理信息的真实、可靠和完整，具备条件的，还应同时实现其他控制目标”14挑战与成功的因素将企业带入到风险管理的新阶段15集团公司内控体系建设项目遵循以下原则q推动全面的企业风险管理是一个远期目标q近期寻找一个适当的切入点，逐步建立相

7、应体系，在建设过程中统一认识，为实现远期目标做好准备。 16集团公司内控体系建设项目遵循以下原则q 考虑到财政部在企业内部控制规范中的如下观点：“企业的经营管理活动归根结底要通过财务报告来反映，所以抓住了财务报告内部控制这条主线，在一定程度上也抓住了企业经营管理与内部控制的重心和主体。” 企业内部控制规范起草说明 q 考虑到股份公司的经验可借鉴17集团公司内控体系建设项目遵循以下原则另一方面，考虑到国资委的监管要求，在2008年6月要完成集团公司风险控制年报，集团对公司层面的各项风险（战略风险、财务风险、市场风险、运营风险、法律风险）进行宏观概要的分析，仅将“财务报告风险”管理做为近期工作重点

8、，进行深入工作，建立相应体系。 18风险管理一般流程19目标设定目标设定是事件识别、风险评估和风险反应的前提。企业必须首先审定目标，在此之后，管理层才能识别和评估影响目标实现的风险并且采取必要的行动对这些风险进行管理q战略目标q经营目标q报告目标q合规目标20风险识别是指查找公司各项重要经营管理活动及其重要业务流程中存在的影响目标实现的风险和机遇的过程。公司分别从公司层面、业务活动层面，动态识别影响公司战略目标及相关目标实现的、内部和外部的各种不确定性因素。风险识别21风险评估理解潜在的事件对企业目标有多大程度的影响，并从两个方面对风险进行评估：q发生的可能性q影响程度22风险应对1q确定并评

9、估可能的应对风险的方法q根据企业风险偏好、潜在风险应对措施的成本效益来评价各种风险应对措施，以及各种风险应对措施可以在多大程度上降低风险影响程度和/或发生可能性q基于对风险和应对措施组合的评估，选择并实施适当的应对措施q风险回应的四个选择：规避、控制、转移和承担23风险应对2规避规避退出产生风险的各种活动。规避风险的例子可能有退出使用一条生产线、停止向一个新的地理区域市场扩大业务，或者出售公司的一个分支，剥离亏损业务，缩小经营规模。控制控制是指采取行动或控制减少风险的可能性和影响程度。转移转移是指通过合同将风险转移到第三方，企业对转移后的风险不再拥有所有权。承担承担完全接受、设定损失目标和容忍

10、水平、设定并监控关键风险指标、制定恢复计划、准备补救措施、事先筹措资金。24控制活动在业务层面通过业务流程中的控制活动减少影响目标实现的风险25一、风险管理概述二、集团公司内控体系建设范围的确认三、集团公司风险数据库介绍四、风险与控制活动的关系五、现阶段工作内容主要内容26集团公司内控体系建设范围的确认集团公司主要业务流程的认定依据集团公司流程架构，通过定性和定量的分析，目前已经完成集团层面的主要业务流程目录初稿。27集团公司一级流程集团公司一级流程集团公司相应流程集团公司相应流程安全环保安全环保SP08.03.03 安全环保-环境保护-排污费缴纳SP08.04.07 安全环保-事故管理-事故

11、损失统计油气资源勘探油气资源勘探KP01.02.04 油气资源勘探-勘探项目管理-勘探项目验收油气销售油气销售KP06.01.07油气销售-包装物销售管理-销售收入实现KP06.03.11油气销售-轻烃销售管理-销售价格物探工程物探工程KP16.01.04物探工程-采集服务-生产信息管理KP16.04.06物探工程-地质综合研究-结算财务管理财务管理MP02.01.01财务管理-资金管理-资金计划MP02.15.02 财务管理-财务报告-对外财务报告集团公司主要流程目录例示28一、风险管理概述二、集团公司内控体系建设范围的确认三、集团公司风险数据库介绍四、风险与控制活动的关系五、现阶段工作内容

12、主要内容29三、集团公司风险数据库介绍（一）风险数据库的形成（二）风险数据库的结构30风险数据库是进行风险记录的工具。风险数据库记录整个集团公司范围内的风险，按照流程，记录各个流程中可能出现的风险，并对风险的属性进行记录，例如是否是财务风险等。（一）风险数据库的形成31q 在已确定的主要业务流程基础上，需要对主要业务流程进行风险分析。q 与股份公司相同的业务流程直接借鉴股份公司风险控制数据库相关风险点。q 对于集团公司特有的流程，结合业务进行具体分析，识别相应的风险。（一）风险数据库的形成32集团公司项目组制定了风险数据库初稿，并根据最新的主要业务流程目录进行了更新。（二）风险数据库的结构33

13、一级流程二级流程三级流程末级流程相关风险非财务风险 财务风险 控制目标的类型主要风险可能性C:完整性A:准确性V:有效性R:接触性油气销售天 然 气销 售 管理销售收入实现/销售收入核算销售收入确认不准确较大财务数据和业务数据不一致（账实相符，账单相符）较大虚假的销售收入（截留、隐瞒、虚报）较大销售发票未经有效审核较大计划中的数据未被准确、完整地转移到相关的生产、运输及销售执行部门较大销售计划（包括计划调整）未经有效审批较大原油量交接凭证记录数据不完整、不准确（数量、质量），交接记录未经双方确认较大发货没有根据有效的发货指令较大没有执行当期的价格政策较大货款未能及时收回较大（二）风险数据库的结

14、构34一级流程二级流程三级流程末级流程相关风险非财务风险 财务风险 控制目标的类型重要风险可能性C:完整性A:准确性V:有效性R:接触性（二）风险数据库的结构结算录井工程综合录井35一级流程二级流程三级流程末级流程相关风险非财务风险 财务风险 控制目标的类型重要风险可能性C:完整性A:准确性V:有效性R:接触性（二）风险数据库的结构结算录井工程综合录井36一级流程二级流程三级流程末级流程相关风险非财务风险 财务风险 控制目标的类型重要风险可能性C:完整性A:准确性V:有效性R:接触性结算财务数据和财务数据和业务数据不业务数据不一致（账实一致（账实相符，账单相符，账单相符）相符）（二）风险数据库

15、的结构录井工程综合录井37一级流程二级流程三级流程末级流程相关风险非财务风险 财务风险 控制目标的类型重要风险可能性C:完整性A:准确性V:有效性R:接触性v 经营决策风险经营决策风险v 违反法律法规风险违反法律法规风险v 财务报告失真风险财务报告失真风险v 资产安全受到威胁资产安全受到威胁v 营私舞弊风险营私舞弊风险（二）风险数据库的结构录井工程综合录井结算财务数据和业务数据不一致（账实相符，账单相符）38一级流程二级流程三级流程末级流程相关风险非财务风险 财务风险 控制目标的类型重要风险可能性C:完整性A:准确性V:有效性R:接触性（二）风险数据库的结构录井工程综合录井结算财务数据和业务数

16、据不一致（账实相符，账单相符）39一级流程二级流程三级流程末级流程相关风险非财务风险 财务风险 控制目标的类型重要风险可能性C:完整性A:准确性V:有效性R:接触性需要根据具体的风险，选择对应的控制目标类型。需要根据具体的风险，选择对应的控制目标类型。控制目标类型的详细介绍参见下页。控制目标类型的详细介绍参见下页。（二）风险数据库的结构录井工程综合录井结算财务数据和业务数据不一致（账实相符，账单相符）40一级流程二级流程三级流程末级流程相关风险非财务风险 财务风险 控制目标的类型重要风险可能性C:完整性A:准确性V:有效性R:接触性指建立完整规范的控制体系和标准；生产经营和财务信息数据的采集、

17、指建立完整规范的控制体系和标准；生产经营和财务信息数据的采集、记录和处理完整，无遗漏和重复。如：记录和处理完整，无遗漏和重复。如：v 把当期所有的合同信息都完整地、不重复地录入合同管理系统。把当期所有的合同信息都完整地、不重复地录入合同管理系统。v 按照会计确认收入的原则，将当期所有的销售收入记录下来。按照会计确认收入的原则，将当期所有的销售收入记录下来。v 保证合并报表的原始数据包括了所有需要合并的会计核算单位保证合并报表的原始数据包括了所有需要合并的会计核算单位的数据。的数据。（二）风险数据库的结构录井工程综合录井结算财务数据和业务数据不一致（账实相符，账单相符）41一级流程二级流程三级流

18、程末级流程相关风险非财务风险 财务风险 控制目标的类型重要风险可能性C:完整性A:准确性V:有效性R:接触性指所有信息和数据计算、归集和记录操作等准确。如：指所有信息和数据计算、归集和记录操作等准确。如：v 保证账务处理的金额是准确的。保证账务处理的金额是准确的。v 在采购业务中，合同上的价格、数量应该准确。在采购业务中，合同上的价格、数量应该准确。v 销售收入应当记入正确的会计期间。销售收入应当记入正确的会计期间。v 发票内容与销售交易内容或合同应当一致。发票内容与销售交易内容或合同应当一致。（二）风险数据库的结构录井工程综合录井结算财务数据和业务数据不一致（账实相符，账单相符）42一级流程

19、二级流程三级流程末级流程相关风险非财务风险 财务风险 控制目标的类型重要风险可能性C:完整性A:准确性V:有效性R:接触性指所有的生产经营活动都经过适当的授权和批准，都是真实发指所有的生产经营活动都经过适当的授权和批准，都是真实发生的，并按规定保存有效的原始文件。如：生的，并按规定保存有效的原始文件。如：v付款经过适当级别的审批。付款经过适当级别的审批。v记录的销售收入是真实的。记录的销售收入是真实的。v费用支出与公司的业务相关，且符合公司的费用开支标费用支出与公司的业务相关，且符合公司的费用开支标准。准。（二）风险数据库的结构录井工程综合录井结算财务数据和业务数据不一致（账实相符，账单相符）

20、43一级流程二级流程三级流程末级流程相关风险非财务风险 财务风险 控制目标的类型重要风险可能性C:完整性A:准确性V:有效性R:接触性指信息处理和实物资产的保护和安全控制。如：指信息处理和实物资产的保护和安全控制。如：v防止存货和实物资产的偷窃和遗失。防止存货和实物资产的偷窃和遗失。v会计人员只能在授权的情况下，编制与自己分管业务相会计人员只能在授权的情况下，编制与自己分管业务相关的会计凭证。关的会计凭证。v对企业投资实施计划的保密，防止被不相关的人员了解。对企业投资实施计划的保密，防止被不相关的人员了解。（二）风险数据库的结构录井工程综合录井结算财务数据和业务数据不一致（账实相符，账单相符）

21、44一级流程二级流程三级流程末级流程相关风险非财务风险财务风险控制目标的类型重要风险可能性C:完整性A:准确性V:有效性R:接触性将风险重要性水平分为高、中、低三类，主要根据风险发生的可能性和影响程度的对应关系来确定，判断方法是：（1）如果风险发生的可能性属于极小可能，并且风险影响程度确定为极小影响，则将该类风险的重要性水平确定为低。（2）如果风险发生的可能性属于较大可能，但风险的影响程度属于极小影响，或者风险发生的可能性属于极小可能，但风险的影响程度属于较大影响，则将该类风险的重要性水平确定为中。（3）如果风险发生的可能性属于较大可能，并且风险的影响程度属于较大影响，则将该类风险的重要性水平

22、确定为高。（4）舞弊风险的重要性水平均确定为高。对于重要性水平为高的风险，公司将此类风险确定为重要风险并给予重点关注。确定是否是重要风险，需要进行一定的定性分析，并需要一定程度的判断，项目组在合并风险数据库时，会进一步进行分析确认。（二）风险数据库的结构录井工程综合录井结算财务数据和业务数据不一致（账实相符，账单相符）45（二）风险数据库的结构46一级流程二级流程三级流程末级流程相关风险非财务风险财务风险控制目标的类型重要风险可能性C:完整性A:准确性V:有效性R:接触性（二）风险数据库的结构录井工程综合录井结算财务数据和业务数据不一致（账实相符，账单相符）47一、风险管理概述二、集团公司内控体系建设范围的确认三、集团公司风险数据库介绍四、风险与控制活动的关系五、现阶段工作内容主要内容48四、风险与控制活动的关系本项目把“避免财务重大错报”的目标分解到了目前确认的主要业务流程，在业务层面进行各业务流程的风险识别及评估；在风险分析的基础上，继续进行控制活动设计和业务流程的描述；在业务层面通过业务流程中的控制活动减少影响目标实现的风险。49四、风险与控制活动的关系对各主要业务流程的风险点和相应控制活动进行详细