中石油风险评估的培训材料

中石油风险评估的培训材料一、风险管理概述四、风险与控制活动的关系五、现阶段工作内容主要内容2到底该如何理解风险呢？定义：风险是任何可能影响您实现目标的因素。危险坏的事情发生的风险结果的不确定性不能满足预期机会丧失机会3到底该如何理解风险管理呢？AS/NZS4360:1999风险管理的定义：风险管理是发现和了解组织中风险的各个方面,并且付诸明智的行动，帮助组织实现战略目标、减少失败的可能、降低不确定的经营结果的整个过程。4到底该如何理解风险管理呢？COSO企业风险管理给出的定义：企业风险管理是一个过程：它由公司董事会、管理层以及其他员工执行，适用于公司战略的制定和整个公司范围，用来识别可能对公司产生影响的潜在事项，并将风险控制在企业可以承受的水平以内，为公司目标的实现提供合理的保证。5风险管理的发展史6为何风险管理日益重要？不断变化的驱动因素持续的改变，不确定性的增加……通信技术进步和互联网全球化的竞争贸易自由化和投资全球化数不胜数的金融衍生工具组织结构的变化分营、剥离、重组、体制改革更高的客户预期法律法规的变化随时出现的外部危机7为何风险管理日益重要？

国外、国内风险管理与内部控制相关法律法规的要求2006年，国内出台了很多关于风险管理和内部控制的法律法规8为何风险管理日益重要？

全球风险管理与内部控制相关法律和规章的发展趋势2002年7月 美国萨班斯奥克斯利法案生效2003年3月 澳大利亚证券交易所（ASX）及其公司治理委员会 采 纳《良好公司治理原则和最佳实务操作建议》2004年11月 香港联交所公布《公司治理实务和公司治理报告的准 则》，要求公司董事至少每年审核一次内部控制的有效 性，并在《公司治理报告》中向股东汇报2005年2月 加拿大安大略证券委员会要求管理层评估并测试有关财 务报告的内部控制系统（MI52-111）2005年5月 新加坡交易所就其加强上市规定和程序的计划发行了一 份公共咨文，提出了公司治理标准并促进更好的监管。9为何风险管理日益重要？

全球风险管理与内部控制相关法律和规章的发展趋势德国 2002年2月发布了《德国公司治理准则》英国 TurnbullGuidance,1999TheCombinedCodeon CorporateGovernance,Jul2003,Financial ReportingCouncil欧盟 2004年10月成立了《欧洲公司治理论坛》（European CorporateGovernanceForum）EC4thand7th Directive–Consultation日本 将于2008年3月实施与萨奥法案相等的法案，加强对 上市公司的监管10为何风险管理日益重要？

中国风险管理与内部控制相关法规的发展2006年6月 国务院国有资产监督管理委员会发布国资 发改革[2006]108号《中央企业全面风险管 理指引》2006年6月 上交所发布《上海证券交易所上市公司内 部控制指引》2006年7月 财政部成立“企业内部控制标准委员会”2006年9月 深交所发布《深圳证券交易所上市公司内 部控制指引》11为何风险管理日益重要？

国资委[2006]108号《中央企业全面风险管理指引》全面风险管理是指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。风险管理基本流程包括：收集风险管理初始信息、进行风险评估、制定风险管理策略、提出和实施风险管理解决方案和风险管理的监督与改进。12为何风险管理日益重要？

财政部《企业内部控制规范——基本规范》摘要第四条：“内部控制…是指由董事会、管理层和全体员工共同实施的、旨在合理保证实现…基本目标的一系列控制活动”基本目标包括：“企业战略、经营的效率和效果、财务报告及管理信息的真实、可靠和完整、资产的安全完整、遵循国家法律法规和有关监管要求”“有义务对外提供财务报告的企业，应当确保财务报告及管理信息的真实、可靠和完整，具备条件的，还应同时实现其他控制目标”基本规范在形式上借鉴了COSO报告5要素框架，同时在内容上体现了风险管理8要素框架的实质。13挑战与成功的因素

将企业带入到风险管理的新阶段企业风险管理并不是一个新的概念，但是大规模实施风险管理的企业需面对相当大的挑战经常被“分阶段”地定义和实施14集团公司内控体系建设项目遵循以下原则推动全面的企业风险管理是一个远期目标近期寻找一个适当的切入点，逐步建立相应体系，在建设过程中统一认识，为实现远期目标做好准备。

15集团公司内控体系建设项目遵循以下原则切入点：考虑到财政部在《企业内部控制规范》中的如下观点： “企业的经营管理活动归根结底要通过财务报告来反映，所以抓住了财务报告内部控制这条主线，在一定程度上也抓住了企业经营管理与内部控制的重心和主体。” －－《企业内部控制规范起草说明》考虑到股份公司的经验可借鉴

本项目最有效的切入点是“财务报告风险”，以“避免财务重大错报”为目标。16集团公司内控体系建设项目遵循以下原则另一方面，考虑到国资委的监管要求，在2008年6月要完成集团公司风险控制年报，集团对公司层面的各项风险（战略风险、财务风险、市场风险、运营风险、法律风险）进行宏观概要的分析，仅将“财务报告风险”管理做为近期工作重点，进行深入工作，建立相应体系。17风险管理一般流程目标设定风险识别风险评估风险应对控制活动18目标设定目标设定是事件识别、风险评估和风险反应的前提。企业必须首先审定目标，在此之后，管理层才能识别和评估影响目标实现的风险并且采取必要的行动对这些风险进行管理战略目标经营目标报告目标合规目标19风险识别是指查找公司各项重要经营管理活动及其重要业务流程中存在的影响目标实现的风险和机遇的过程。公司分别从公司层面、业务活动层面，动态识别影响公司战略目标及相关目标实现的、内部和外部的各种不确定性因素。风险识别20风险评估理解潜在的事件对企业目标有多大程度的影响，并从两个方面对风险进行评估：发生的可能性影响程度21风险应对－1确定并评估可能的应对风险的方法根据企业风险偏好、潜在风险应对措施的成本效益来评价各种风险应对措施，以及各种风险应对措施可以在多大程度上降低风险影响程度和/或发生可能性基于对风险和应对措施组合的评估，选择并实施适当的应对措施风险回应的四个选择：规避、控制、转移和承担22风险应对－2规避 退出产生风险的各种活动。规避风险的例子可能有退 出使用一条生产线、停止向一个新的地理区域市场扩 大业务，或者出售公司的一个分支，剥离亏损业务， 缩小经营规模。控制 是指采取行动或控制减少风险的可能性和影响程度。转移 是指通过合同将风险转移到第三方，企业对转移后的 风险不再拥有所有权。承担

完全接受、设定损失目标和容忍水平、设定并监控关 键风险指标、制定恢复计划、准备补救措施、事先筹 措资金。23控制活动在业务层面通过业务流程中的控制活动减少影响目标实现的风险24一、风险管理概述二、集团公司内控体系建设范围的确认三、集团公司风险数据库介绍四、风险与控制活动的关系五、现阶段工作内容主要内容25集团公司内控体系建设范围的确认集团公司主要业务流程的认定依据集团公司流程架构，通过定性和定量的分析，目前已经完成集团层面的《主要业务流程目录》初稿。26集团公司一级流程集团公司相应流程安全环保SP08.03.03安全环保-环境保护-排污费缴纳…………SP08.04.07安全环保-事故管理-事故损失统计油气资源勘探KP01.02.04油气资源勘探-勘探项目管理-勘探项目验收………………………………油气销售KP06.01.07油气销售-包装物销售管理-销售收入实现…………KP06.03.11油气销售-轻烃销售管理-销售价格物探工程KP16.01.04物探工程-采集服务-生产信息管理…………KP16.04.06物探工程-地质综合研究-结算财务管理MP02.01.01财务管理-资金管理-资金计划…………MP02.15.02财务管理-财务报告-对外财务报告……………………集团公司主要流程目录例示27一、风险管理概述二、集团公司内控体系建设范围的确认三、集团公司风险数据库介绍四、风险与控制活动的关系五、现阶段工作内容主要内容28三、集团公司风险数据库介绍（一）风险数据库的形成（二）风险数据库的结构29风险数据库是进行风险记录的工具。风险数据库记录整个集团公司范围内的风险，按照流程，记录各个流程中可能出现的风险，并对风险的属性进行记录，例如是否是财务风险等。（一）风险数据库的形成30在已确定的主要业务流程基础上，需要对主要业务流程进行风险分析。与股份公司相同的业务流程直接借鉴股份公司《风险控制数据库》相关风险点。对于集团公司特有的流程，结合业务进行具体分析，识别相应的风险。（一）风险数据库的形成31集团公司项目组制定了《风险数据库》初稿，并根据最新的主要业务流程目录进行了更新。（二）风险数据库的结构32集团公司风险数据库例示一级流程二级流程三级流程末级流程相关风险非财务风险财务风险控制目标的类型主要风险可能性C:完整性A:准确性V:有效性R:接触性油气销售天然气销售管理销售收入实现/销售收入核算销售收入确认不准确√√√较大财务数据和业务数据不一致（账实相符，账单相符）√√较大虚假的销售收入（截留、隐瞒、虚报）√√较大销售发票未经有效审核√√√较大计划中的数据未被准确、完整地转移到相关的生产、运输及销售执行部门√√√较大销售计划（包括计划调整）未经有效审批√√√较大原油量交接凭证记录数据不完整、不准确（数量、质量），交接记录未经双方确认√√√√较大发货没有根据有效的发货指令√√√较大没有执行当期的价格政策√√√较大货款未能及时收回√√较大（二）风险数据库的结构33一级流程二级流程三级流程末级流程相关风险非财务风险财务风险控制目标的类型重要风险可能性C:完整性A:准确性V:有效性R:接触性根据《主要业务流程目录》填写一级流程、二级流程、三级流程、末级流程名称。《主要业务流程目录》内容与集团流程架构一致，是集团流程架构的子集。（二）风险数据库的结构结算录井工程综合录井34一级流程二级流程三级流程末级流程相关风险非财务风险财务风险控制目标的类型重要风险可能性C:完整性A:准确性V:有效性R:接触性对于股份与集团一致的流程，风险数据库中的风险信息与股份一致；对于集团特有的流程，集团层面统一在三级流程下识别风险。（二）风险数据库的结构结算录井工程综合录井35一级流程二级流程三级流程末级流程相关风险非财务风险财务风险控制目标的类型重要风险可能性C:完整性A:准确性V:有效性R:接触性填写该主要业务流程下的相关风险；例如针对已识别的流程：“录井工程

–综合录井–结算”，结合地区公司的实际业务，识别出的一项风险为“财务数据和业务数据不一致（账实相符，账单相符）”，填写在该单元格中。结算财务数据和业务数据不一致（账实相符，账单相符）（二）风险数据库的结构录井工程综合录井36一级流程二级流程三级流程末级流程相关风险非财务风险财务风险控制目标的类型重要风险可能性C:完整性A:准确性V:有效性R:接触性非财务风险：经营决策风险违反法律法规风险财务风险

财务报告失真风险资产安全受到威胁营私舞弊风险（二）风险数据库的结构录井工程综合录井结算财务数据和业务数据不一致（账实相符，账单相符）37一级流程二级流程三级流程末级流程相关风险非财务风险财务风险控制目标的类型重要风险可能性C:完整性A:准确性V:有效性R:接触性判断风险是否与财务报告相关？如果与财务报告无关，则在“非财务风险”列打“√”；如果与财务报告相关，则在“财务风险”列打“√”。针对已识别的流程：“炼化销售–炼油产品零售–销售收入实现–现收货款”，流程识别出的风险为“现金收款没有及时、安全存入银行,收款情况未及时进行审核”，判断其与财务报告有关，因此在财务“财务风险”列打“√”。√（二）风险数据库的结构录井工程综合录井结算财务数据和业务数据不一致（账实相符，账单相符）38一级流程二级流程三级流程末级流程相关风险非财务风险财务风险控制目标的类型重要风险可能性C:完整性A:准确性V:有效性R:接触性√控制目标类型：完整性控制（C）准确性控制（A）有效性控制（V）接触性控制（R）需要根据具体的风险，选择对应的控制目标类型。控制目标类型的详细介绍参见下页。（二）风险数据库的结构录井工程综合录井结算财务数据和业务数据不一致（账实相符，账单相符）39一级流程二级流程三级流程末级流程相关风险非财务风险财务风险控制目标的类型重要风险可能性C:完整性A:准确性V:有效性R:接触性√控制目标类型：

完整性控制（C）准确性控制（A）有效性控制（V）接触性控制（R）指建立完整规范的控制体系和标准；生产经营和财务信息数据的采集、记录和处理完整，无遗漏和重复。如：把当期所有的合同信息都完整地、不重复地录入合同管理系统。按照会计确认收入的原则，将当期所有的销售收入记录下来。保证合并报表的原始数据包括了所有需要合并的会计核算单位的数据。（二）风险数据库的结构录井工程综合录井结算财务数据和业务数据不一致（账实相符，账单相符）40一级流程二级流程三级流程末级流程相关风险非财务风险财务风险控制目标的类型重要风险可能性C:完整性A:准确性V:有效性R:接触性控制目标类型：

完整性控制（C）

准确性控制（A）有效性控制（V）接触性控制（R）√指所有信息和数据计算、归集和记录操作等准确。如：保证账务处理的金额是准确的。在采购业务中，合同上的价格、数量应该准确。销售收入应当记入正确的会计期间。发票内容与销售交易内容或合同应当一致。（二）风险数据库的结构录井工程综合录井结算财务数据和业务数据不一致（账实相符，账单相符）41一级流程二级流程三级流程末级流程相关风险非财务风险财务风险控制目标的类型重要风险可能性C:完整性A:准确性V:有效性R:接触性控制目标类型：

完整性控制（C）准确性控制（A）有效性控制（V）接触性控制（R）√指所有的生产经营活动都经过适当的授权和批准，都是真实发生的，并按规定保存有效的原始文件。如：付款经过适当级别的审批。记录的销售收入是真实的。费用支出与公司的业务相关，且符合公司的费用开支标准。（二）风险数据库的结构录井工程综合录井结算财务数据和业务数据不一致（账实相符，账单相符）42一级流程二级流程三级流程末级流程相关风险非财务风险财务风险控制目标的类型重要风险可能性C:完整性A:准确性V:有效性R:接触性控制目标类型：

完整性控制（C）准确性控制（A）有效性控制（V）

接触性控制（R）√指信息处理和实物资产的保护和安全控制。如：防止存货和实物资产的偷窃和遗失。会计人员只能在授权的情况下，编制与自己分管业务相关的会计凭证。对企业投资实施计划的保密，防止被不相关的人员了解。（二）风险数据库的结构录井工程综合录井结算财务数据和业务数据不一致（账实相符，账单相符）43一级流程二级流程三级流程末级流程相关风险非财务风险财务风险控制目标的类型重要风险可能性C:完整性A:准确性V:有效性R:接触性将风险重要性水平分为高、中、低三类，主要根据风险发生的可能性和影响程度的对应关系来确定，判断方法是：（1）如果风险发生的可能性属于极小可能，并且风险影响程度确定为极小影响，则将该类风险的重要性水平确定为低。（2）如果风险发生的可能性属于较大可能，但风险的影响程度属于极小影响，或者风险发生的可能性属于极小可能，但风险的影响程度属于较大影响，则将该类风险的重要性水平确定为中。（3）如果风险发生的可能性属于较大可能，并且风险的影响程度属于较大影响，则将该类风险的重要性水平确定为高。（4）舞弊风险的重要性水平均确定为高。对于重要性水平为高的风险，公司将此类风险确定为重要风险并给予重点关注。确定是否是重要风险，需要进行一定的定性分析，并需要一定程度的判断，项目组在合并风险数据库时，会进一步进行分析确认。√√√（二）风险数据库的结构录井工程综合录井结算财务数据和业务数据不一致（账实相符，账单相符）44极小可能性较大影响中高（重要风险）低中风险矩阵示例极小影响较大可能性（二）风险数据库的结构45一级流程二级流程三级流程末级流程相关风险非财务风险财务风险控制目标的类型重要风险可能性C:完整性A:准确性V:有效性R:接触性可能性：将风险发生的可能性分为极小可能和较大可能两级。风险可能性的级别确定，可以采用风险发生的概率或一定时期风险发生的次数来判断。对于财务报告风险，可以从以下角度考虑：①概率标准：资产变现难易程度、业务流程中人工参与的程度以及财务数据是否涉及大量繁杂的人工计算。如资产变现难或财务数据涉及大量人工计算，则风险概率大，反之则小。②频率标准：对于不便以概率估计的，以发生频率为标准，即以一个会计年度内风险发生的次数判断。低于一次的，为极小可能；大于或等于一次的，为较大可能。同样，确定风险发生的可能性也需要一定的判断因素，项目组在合并风险数据库时，会进一步进行分析确认。√√√√（二）风险数据库的结构录井工程综合录井结算财务数据和业务数据不一致（账实相符，账单相符）46一、风险管理概述二、集团公司内控体系建设范围的确认三、集团公司风险数据库介绍四、风险与控制活动的关系五、现阶段工作内容主要内容47四、风险与控制活动的关系目标设定风险识别风险评估风险应对控制活动本项目把“避免财务重大错报”的目标分解到了目前确认的主要业务流程，在业务层面进行各业务流程的风险识别及评估；在风险分析的基础上，继续进行控制活动设计和业务流程的描述；在业务层面通过业务流程中的控制活动减少影响目标实现的风险。48四、风险与控制活动的关系对各主要业务流程的风险点和相应控制活动进行详细记录，形成风险控制文档。风险控制文档示例1：49四、风险与控制活动的关系风险控制文档示例2：50一、风险管理概述二、集团公司内控体系建设范围的确认三、集团公司风险数据库介绍四、风险与控制活动的关系五、现阶段工作内容主要内容51五、现阶段工作内容（一）前一阶段的工作成果（二）现阶段需要完成的工作事项及时间安排52前一阶段的工作成果集团公司主要业务流程目录（初稿）集团公司风险数据库（初稿）53第一批建设单位现阶段工作内容总结如下：对项目组梳理的主要业务流程的完整性、准确性提供具体的反馈意见。分析流程是否符合本单位实际业务情况，特别是针对集团特有的末级流程。2月20日 集团提交下发《主要业务流程目录》初稿， 各企事业单位在流程梳理的过程中对集团公司 主要流程目录提出意见，集团对主要流程目录 不断完善。现阶段需要完成的工作事项及时间安排54第一批建设单位现阶段工作内容总结如下：对项目组梳理的集团风险