风险评估标准规范演示文稿

风险评估标准规范演示文稿1当前第1页\共有72页\编于星期一\17点优选风险评估标准规范当前第2页\共有72页\编于星期一\17点3主要内容一、风险的概念二、规范出台背景三、风险管理程序及方法当前第3页\共有72页\编于星期一\17点4什么是风险当前第4页\共有72页\编于星期一\17点5风险是指未来的不确定性对企业目标所产生的影响。《集团公司风险评估规范》什么是风险当前第5页\共有72页\编于星期一\17点6什么是风险当前第6页\共有72页\编于星期一\17点7风险事件案例：法国兴业银行法国兴业银行2008年1月24日宣布因交易员杰罗姆·科维尔（JeromeKerviel）的”欺诈行为“造成近50亿欧元损失。兴业银行旗下巴黎分行一交易员超出了其职务允许的范围，秘密建立了欧洲股指期货相关头寸，导致了近50亿欧元的损失。法国财政部报告认为：兴业银行风险监控机制有问题，内部监控系统多个环节有可能存在漏洞。主要风险有：没有有效监督交易员盘面资金，没有有效跟踪资金流动，没有遵守后台与前台完全隔离规则，过分相信电脑系统，而忽视了对风险和流程的管理。当前第7页\共有72页\编于星期一\17点8法兴悲剧警示我们再严密的规章制度，再安全的电脑软件，都可能存在漏洞、死角！对于风险管理，决不能掉以轻心。特别是在市场繁荣之际，应警惕因盈利而放松正常监督。风险事件案例：法国兴业银行当前第8页\共有72页\编于星期一\17点风险事件案例：苏丹项目员工绑架事件2010年11月26日凌晨（苏丹当地时间），苏丹6区项目（位于苏丹中西部，达尔富尔地区东南部）减粘厂值班员工发现当晚值班的兰州石化员工张晓黎去向不明，经过现场搜寻，发现张晓黎的安全帽、破碎眼镜和地面拖拉痕迹，通过调阅现场闭路监视系统记录，确认张晓黎被持枪分子劫持苏丹当地政局不稳定，频现武装分子劫持人质

随着业务的不断拓展和深化，势必会伴随着很多新风险的产生！要飞翔就会有阻力！要发展就会有风险当前第9页\共有72页\编于星期一\17点10风险管理就是把风险控制在可接受范围内的过程。风险管理的意义当前第10页\共有72页\编于星期一\17点11主要内容一、风险的概念二、规范出台背景三、风险管理程序及方法当前第11页\共有72页\编于星期一\17点12（三）集团公司风险管理实践（一）国外风险管理监管要求（二）国内风险管理制度一、规范出台背景当前第12页\共有72页\编于星期一\17点13企业风险管理框架所对应的企业目标

战略目标经营目标报告目标合规性目标企业风险管理是一个受到企业董事会、管理层和其他人员影响的过程，这个过程从企业战略制定一直贯穿到企业的各项活动中，旨在识别那些可能影响企业的潜在事件并管理风险使之在企业的风险偏好之内，从而合理确保企业实现其既定目标。1.COSO（COSOⅡ）企业风险管理框架企业风险管理概念企业风险管理框架八要素控制环境目标设定事项识别风险评估风险反应控制活动信息与沟通监督（一）国外风险管理监管要求规范中的目标、风险类型当前第13页\共有72页\编于星期一\17点142.澳新标准监控及评价识别风险分析风险明确现有风险可能性风险水平沟通及协商评估风险应对风险应对风险识别并评估选择权准备及执行计划分析及评估剩余风险建立风险评估基础外部基础内部基础风险管理相关的内容否是结果规范与此程序一致部分程序名称略有不同（一）国外风险管理监管要求当前第14页\共有72页\编于星期一\17点153.ISO31000风险管理标准（一）国外风险管理监管要求当前第15页\共有72页\编于星期一\17点163.ISO31000风险管理标准规范与此程序基本一致部分程序名称略有差异（一）国外风险管理监管要求当前第16页\共有72页\编于星期一\17点171.国资委——全面风险管理指引2006年6月，国资委印发了《中央企业全面风险管理指引》（以下简称《指引》），要求“中央企业根据自身实际情况贯彻执行本指引”。全面风险管理，指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。（二）国内风险管理制度当前第17页\共有72页\编于星期一\17点18（二）国内风险管理制度当前第18页\共有72页\编于星期一\17点19（二）国内风险管理制度2.国家风险管理标准——GB/T243532009•

参考ISO31000编制，于2009年正式发布，包括2项，一是风险管理原则与实施指南（GBT24353），一是风险管理术语（GBT23694）。规范与此程序基本一致部分程序名称略有差异当前第19页\共有72页\编于星期一\17点20

“十一五”期间，从最初为符合监管要求，通过外部审计而建立内部控制体系，到今天的全面风险管理，集团公司内部控制与风险管理工作的发展经历了如下几个主要阶段：（三）集团公司风险管理实践03年-06年内控实践阶段07年-08年内控向风险管理迈进09年至今广泛、深入开展风险管理实践第一阶段第二阶段第三阶段成立内控项目建设委员会；完成并正式运行内控体系，以“零缺陷”通过内控审计在内控实践的基础上，开展风险管理理论研究，初步形成风险评估方法论，指导风险管理实践工作；公司内控体系建设委员会更名为中国石油天然气集团公司内控与风险管理委员会，内部控制部更名为内控与风险管理部；分析解读央企指引，并在08年第一次向国资委报送风险管理报告连续编制上报集团公司风险年报，获得国资委好评；重大风险管理工作向企业延伸，连续两年试点开展企业风险管理报告工作，并逐步建立健全集团公司风险管理报告机制；随着金融业务的发展，成立集团公司金融业务风险管理专业委员会，开展金融业务专项风险评估；大力推进海外业务风险管理工作；业务层面风险由财务报告逐步向经营管理各领域拓展风险管理实践当前第20页\共有72页\编于星期一\17点21近年来的风险管理实践使公司上下风险管理意识有所提高，强化重要业务、重大风险的管理理念正在建立，风险管理部门的作用逐渐显现。随着风险管理工作的深入、广泛开展，需要建立一套集团公司通用的风险评估标准。因此，内控与风险管理部2009年开始着手研究，并在公司标准委员会统一部署下，成立了风险评估规范起草工作组，主要依据澳新风险管理框架、ISO31000、国家风险管理标准等，结合公司风险管理实践，并经过多次讨论和修改，于2010年9月9日正式发布《风险评估规范》（中油质（2010）413号），纳入集团公司企业标准管理，编号为QSY2009-128。（三）集团公司风险管理实践风险评估规范当前第21页\共有72页\编于星期一\17点22实施程序

术语和定义

范围总体要求集团公司风险评估规范风险风险管理….本标准适用于公司层面、业务层面等的风险评估工作风险评估实施程序依次为:建立风险评估基础、目标设置与分解、风险识别、风险分析和风险评价应有明确目标，并制定风险发生的可能性和影响程度的标准开展风险评估应建立一支风险评估团队，充分收集企业各类人员的意见。风险评估结果具有一定的时效性，企业应根据内外部形势的变化持续开展风险评估。

风险评估规范主要内容当前第22页\共有72页\编于星期一\17点23主要内容一、风险的概念二、规范出台背景三、风险管理程序及方法当前第23页\共有72页\编于星期一\17点24二、风险管理程序及方法风险评估规范建立风险评估基础风险分析风险评价监督与检查风险识别风险应对信息与沟通目标设置与分解当前第24页\共有72页\编于星期一\17点25目的：为之后的风险评估流程奠定基础。主要内容包括：（1）确定风险管理的目标和范围（2）建立风险管理的语言和标准1.建立风险评估基础建立风险评估基础风险分析风险评价监督与检查风险识别风险应对信息与沟通目标设置与分解当前第25页\共有72页\编于星期一\17点261.建立风险评估基础5）形成工作方案或计划1）明确风险管理的目标2）确定风险管理的范围3）确定风险管理组织，明确职责4）制定工作计划（1）确定风险管理的目标和范围在什么层面、围绕什么业务开展风险管理工作，形成什么成果和机制根据目标，确定涉及的具体的业务及部门、单位详细，具有可操作性经相应层级领导审批后实施当前第26页\共有72页\编于星期一\17点271.建立风险评估基础1）明确风险类型3）风险评估标准2）制定风险偏好、容忍度、预警指标4）根据风险管理理论与实践，逐步形成风险管理制度（2）建立风险管理的语言和标准当前第27页\共有72页\编于星期一\17点281.建立风险评估基础1）风险类型

风险类型是指在风险评估过程中所识别的某一类风险的集合，这类风险通常具有共同的特点，即风险类型是指特定的风险领域借鉴COSO标准从目标出发研究风险类型的划分，将集团公司风险分为四大类：战略风险经营风险报告风险合规风险当前第28页\共有72页\编于星期一\17点291.建立风险评估基础公司层面风险业务层面风险公司层面重大风险，高于业务层面但又与业务层面结合根据对风险做出应对策略所在层面的不同，可以将风险分为不同层级管控不同的风险，主要分三个层面，包括集团公司层面管控的重大风险、企业管理层管控的重大风险、业务操作层面管控的重要风险集团公司层面管控的重大风险层级较高，企业管理层管控的重大风险可参照集团公司层面风险数据库的风险层级或向下延伸一个层级，业务层面的风险属于业务领域中应管控的风险，三者互相关联、互为支撑例如：集团公司风险管理报告、企业风险管理报告。（关注重大风险）例如：内控手册中财务报告风险、投资、资本运营等业务的经营风险数据库等。（关注各业务领域重要风险）当前第29页\共有72页\编于星期一\17点30风险偏好一个企业在追求价值的过程中愿意接受的风险水平。风险偏好反映了企业风险管理的理念，反过来又影响企业文化和经营风格。制定风险偏好时要充分考虑风险承受能力。1.建立风险评估基础为了实现目标，企业在承担风险的种类、大小等方面的基本态度。2）风险偏好风险回避

风险追求

风险中立等当前第30页\共有72页\编于星期一\17点311.建立风险评估基础风险容忍度是指对于一项具体管理目标可以接受的偏离程度。2）风险容忍度（承受度）针对某项具体目标，如何确定风险容忍度总体考虑：风险容忍度的设定是一个自上而下的过程，首先需要清晰公司战略目标或相关管理目标，风险容忍度需与相关目标和风险偏好保持一致；容忍度指标上下限确定：上限和下限波动幅度可以不相等风险容忍度可以为零，即不允许目标发生任何偏离以往年度管理目标的平均波动水平是多少？行业数据是多少？领导的最高、最低要求？公司最大可以承受的相关损失是多少？影响目标的因素中，哪些因素为可控，哪些因素为不可控？当前第31页\共有72页\编于星期一\17点321.建立风险评估基础容忍度指标选择：根据公司生产经营指标或管理目标、KPI指标等，选择适合的风险容忍度指标。例如：投资业务－投资回报率、投资计划完成率；销售业务－市场份额、零售总量；资产管理业务－资产周转率；公共关系方面－上访事件数量；人力资源管理业务－员工总量；金融业务－操作风险损失率、不良贷款率等。当前第32页\共有72页\编于星期一\17点33为提前采取措施预防风险事件发生而在风险容忍度范围内设置的警示界限。依据实际，可以是定量，也可以是定性，或者二者相结合。1.建立风险评估基础2）风险预警指标容忍度容忍度预警指标界限预警指标界限目标当前第33页\共有72页\编于星期一\17点341.建立风险评估基础预警指标选择：

根据可以参考部分咨询公司的行业数据库、外部同行业上市公司披露的公开数据、国资委企业绩效评价标准值中的行业对标值、公司关键绩效考核指标（KPI）等，还包括预警迹象等，选择适合的风险预警指标。可参考承受度指标的选择。例如：投资业务-投资回报率、投资计划完成率；销售业务-市场份额、零售总量；资产管理业务-资产周转率；公共关系方面-上访事件数量；人力资源管理业务-员工总量；金融业务-操作风险损失率、不良贷款率等。

具体指标数值结合实际确定。当前第34页\共有72页\编于星期一\17点351.建立风险评估基础中国兵器集团风险监控指标当前第35页\共有72页\编于星期一\17点363）风险评估标准风险发生的可能性分为基本确定、很可能、有可能、不太可能、极小五个级别；分别对应5、4、3、2、1五个分值。风险影响程度分为极高、高、中、低、极低五个级别；分别对应5、4、3、2、1五个分值。可能性基本确定很可能有可能不太可能极小分值54321影响程度极高高中低极低分值54321

3）风险评估标准用于风险分析。规范包括风险发生可能性标准、影响程度标准、风险等级标准。1.建立风险评估基础不同层面，标准的内容各有不同。当前第36页\共有72页\编于星期一\17点37风险等级=可能性*影响程度风险等级风险等级分值（R）备注低度1≤R≤3风险很小，日常工作中极少关注或忽略较低3＜R≤5风险较小，日常工作中偶尔关注中度5＜R≤12一般风险，需要引起一般关注高度12＜R≤20风险较大，需要引起高度关注极高20＜R≤25风险很大，需要引起极大关注1.建立风险评估基础一般标准，12分以上为重大、重要风险。分值不是确定重大、重要风险的唯一依据，还包括管理层偏好法等方法。还要结合本单位风险偏好、容忍度、风险管控能力等方面来确定。当前第37页\共有72页\编于星期一\17点382.目标设置与分解目的：目标的设置是风险评估的前提，只有先确立了目标，才能针对目标识别、分析影响目标的实现的风险，并采取必要应对措施来管理风险。通过目标的层层分解，将实现目标，防范风险的责任落实到具体部门和岗位，明确实现目标的具体步骤和具体阶段，以利于目标的实现。主要内容：（1）目标分类（2）收集目标（3）分解目标建立风险评估基础风险分析风险评价监督与检查风险识别风险应对信息与沟通目标设置与分解当前第38页\共有72页\编于星期一\17点392.目标设置与分解（1）目标分类借鉴COSO的ERM框架的目标分类方法（如下图），将企业目标分为战略目标、经营目标、报告目标、合规目标。（风险分类的依据）。可以使管理者注意到企业风险管理的不同方面。报告目标经营目标合规目标与企业报告的可靠性相关，包括企业内部和外部的报告，既包括财务信息，也包括非财务信息。与使用企业资源进行经营的效果和效率相关，包括业绩和盈利能力目标和保护资产安全的目标。与企业对其适用的相关法律和法规的遵循性相关。战略目标企业的高层次目标与企业的使命或愿景相联系并支持其实现。当前第39页\共有72页\编于星期一\17点402.目标设置与分解

（2）收集目标（3）分解目标在确立目标时，首先把关注点放在企业战略目标上，制定企业层面的各个业务的经营目标等相关目标，以保证企业使命或愿景的实现。结合风险管理工作的目标和范围，确定目标收集的范围。结合实际设计工作模板，便于收集、分解目标。（不限于集团公司风险管理报告中设计的目标设置与分解一览表一种形式）将收集的相关目标进行层层分解，分解到相应层级，便于识别相应层级的风险当前第40页\共有72页\编于星期一\17点41公司战略发展目标保障措施进一步分解到子目标（生产经营指标/管理指标/工作目标/KPI指标）公司总体目标对应到业务单元/职能部门和关键业务/事项2.目标设置与分解当前第41页\共有72页\编于星期一\17点423.风险识别定义：风险识别是围绕具体目标，对可能影响目标实现的风险源、影响范围、事件原因和潜在的后果进行判断并记录风险的过程。主要内容：（1）信息收集（2）识别方法（3）风险数据库建立风险评估基础风险分析风险评价监督与检查风险识别风险应对信息与沟通目标设置与分解当前第42页\共有72页\编于星期一\17点43以利于风险事件管理和使用的方式设计模板，形成风险事件库！分类、分级管理！为风险识别、风险分析提供重要依据。3.风险识别已有风险数据库及流程等信息风险事件国家法律法规公司领导讲话国内外同行业年报（披露的重大风险信息）公司规章制度（1）信息收集主要包括但不限于1）信息收集围绕具体目标，收集相关信息，并进行分析、整理，为风险识别做准备如：新下达的政策信息，如油价、税收、节能减排等当前第43页\共有72页\编于星期一\17点443.风险识别（2）识别方法围绕目标，充分运用收集的上述信息，选择适合的方法识别风险。主要方法包括但不限于：1）基准化分析法2）问卷调查表3）流程图分析法4）历史事件法5）财务报表法6）情景分析法7）头脑风暴法8）检查表法9）其他方法（目标分析法；领导讲话分析法等）结合实践，去探索适合的风险识别方法。当前第44页\共有72页\编于星期一\17点45关注并跟踪外部环境，将企业各项活动与相关的法律法规以及公司规章制度等进行对比、分析，以制度的强化环节、明令禁止和处罚的环节为重点，识别可能存在的风险。——（依据收集的国家相关法律法规及公司规章制度等信息）1）基准化分析法

3.风险识别示例1法律法规分析法律风险防控体系建设时，将企业相关活动与相关的法律法规等进行对比、分析，识别出潜在风险。如：《中华人民共和国安全生产法》第七十一条,负有安全生产监督管理职责的部门接到事故报告后，应当立即按照国家有关规定上报事故情况。负有安全生产监督管理职责的部门和有关地方人民政府对事故情况不得隐瞒不报、谎报或者拖延不报。识别法律风险——“对安全事故隐瞒不报、谎报或者拖延不报。当前第45页\共有72页\编于星期一\17点463.风险识别采购方式确定不合规示例2：制度分析物资采购业务风险评估当前第46页\共有72页\编于星期一\17点47依据企业目标，确定相应的风险因素，按照类别形成表格，用以向相关人员发放，获得有关公司风险的重要信息。

——依据收集的各种信息形成问卷；或者设计问卷以获取相关风险信息。2）问卷调查表

示例：调查问卷3.风险识别所负责业务的工作目标影响目标实现的因素（即风险）影响因素发生的可能性等级（1-5）影响程度等级（1-5）……

要简单、易懂、易填写，工作不反复。当前第47页\共有72页\编于星期一\17点通过对企业相关业务流程的分析，可以发现和识别企业各个环节存在的风险及其起因和影响。——依据收集的业务相关流程信息3）流程图分析法

KP05.03.07.02.03定期结算定期结算未签定有效协议

示例3.风险识别关键环节可能出现的问题当前第48页\共有72页\编于星期一\17点49利用风险事件库，层层分析事件发生原因，一直分析到不能再分解为止，以获得引起风险的原因，识别发现相关风险。——充分依据收集的风险事件库。4）历史事件分析法

如：黑龙江销售携款潜逃事件。事件发生的过程：2007年8月黑龙江销售绥化分公司发现第九加油站有5笔商品销售录入凭证只附有销售日报表，没有银行存款进帐单，经核对和查询，发现共计151万元没有进入公司账户。随即联系第九加油站经理王兵，发现其去向不明，经公安机关调查判定为携款潜逃。事后相关部门组织对加油站全部业务开展调查，进行风险分析和评估。识别风险——资金管理风险，例如“现金收款没有及时、安全存入银行”、“银行进账单与现金日记账不一致”……等。3.风险识别当前第49页\共有72页\编于星期一\17点503.风险识别示例：“6.29”辽阳石化公司承包商亡人事故（4）历史事件分析法

（续）健康安全环保风险——当前第50页\共有72页\编于星期一\17点51通过对企业的资产负债表、损益表、现金流量表、财务报告等有关资料的分析来识别和发现与之有关的风险。例如：报告风险数据库。——利用收集的财务相关信息。通过有关数字、图表、曲线、想象、推测等方法，对未来可能出现的多种风险状况进行预测，从而识别出引起风险的关键因素及其影响程度5）财务报表分析法

6）情景分析法

3.风险识别通过营造一个无批评的自由的会议环境，使与会专家（专业人员）畅所欲言，充分交流有关公司的相关风险的看法，发挥集体的智慧，产生出大量风险管理方面的意见的过程，以提高风险识别的正确性和效率。——利用收集的各种信息，展开讨论。7）头脑风暴法

当前第51页\共有72页\编于星期一\17点52对本企业可能面临的潜在风险列于一个表上，供风险识别人员进行检查核对，用来判别公司是否存在表中所列或类似的风险。——利用收集的同行业风险信息等

8）检查表法

3.风险识别当前第52页\共有72页\编于星期一\17点539）其他方法

3.风险识别目标分析法根据目标设置与分解情况，分析目标与上年度的重大变化、新的目标、更高的KPI指标的要求等方面，初步识别风险。领导讲话分析法依据收集的公司领导年度重要讲话，分析领导关注的问题和难题、提示的风险点等，识别风险。当前第53页\共有72页\编于星期一\17点543.风险识别（3）风险数据库将识别的风险记录到风险数据库中。风险数据库是下步风险分析的基础。依据风险管理目标和业务，设计风险数据库模板。（公司层面/业务层面）同一风险数据库中的风险描述要在同一层级上。风险点描述简洁明了，与风险应对措施区分开例如：×违反程序（执行风险）、未经有效审批（控制措施）等不作为风险描述。当前第54页\共有72页\编于星期一\17点554.风险分析目的：充分分析风险发生可能性和影响程度等方面，为确定重大风险奠定基础。风险分析方法主要包括：（1）问卷调查表法（2）头脑风暴法建立风险评估基础风险分析风险评价监督与检查风险识别风险应对信息与沟通目标设置与分解当前第55页\共有72页\编于星期一\17点56（1）问卷调查表法结合实际设计问卷，按照风险评估标准，结合收集信息（风险事件等），以及控制措施有效性，分析风险发生可能性大小、影响方面、影响程度大小等。分别对风险发生的可能性和影响程度进行分析。第一、评分式调查问卷（参与者对风险进行评分）可能性评分——按照风险评估可能性标准，依据风险的性质、掌握的信息量，确定风险发生可能性的种类；（例如：安全环保风险评估-安全部门可以选择大型灾害事件类标准）影响程度评分——按照风险评估影响程度标准，从财务损失、企业声誉、法律、安全环境、营运等方面，选择其中一个主要方面对风险的影响程度进行评分。

计算个体评分风险值。风险值=可能性分值*影响程度分值4.风险分析当前第56页\共有72页\编于星期一\17点57第二、其他调查问卷例如：设计问卷，请参与者选择“认为重要性排序在前几位的重大（重要）风险”等。

获得个体对重大风险的初步看法。（2）头脑风暴法根据业务经验，充分利用已收集信息（领导讲话关注风险、风险事件等），结合控制措施有效性，共同讨论分析风险发生可能性大小、影响方面、影响程度大小。

4.风险分析当前第57页\共有72页\编于星期一\17点585.风险评价目的：综合考虑风险分析结果，选择适用的风险评价方法，结合公司风险偏好，确定重大（重要）风险，为风险应对奠定基础。风险评价方法主要包括：（1）加权平均计算法（2）管理层偏好法建立风险评估基础风险分析风险评价监督与检查风险识别风险应对信息与沟通目标设置与分解当前第58页\共有72页\编于星期一\17点595.风险评价（1）加权平均计算法适用于采用问卷调查法（评分式调查问卷），对风险进行评分得出结论的情况。在前述评分结果基础上，计算加权平均风险值，依据本单位风险等级分值，**分以上的确定重大（重要）风险。

同时也要评估企业管控能力，合理确定重大风险个数。根据风险分析人员的业务能力、技术水平或工作经历等对参与风险分析人员划分类别，对每类人员的评分设定权重，采用加权平均的方法计算风险等级分值。

R—风险等级分值Ai—第i类人员风险发生可能性平均分值Bi—第i类人员风险影响程度平均分值Ci—第i类人员权重n—人员类别总数对风险发生可能性较小但后果却很严重的风险，仅采用加权平均计算法，不一定评为重大（重要）风险。要根据偏好，慎重考虑。当前第59页\共有72页\编于星期一\17点605.风险评价（2）管理层偏好法适用于问卷调查表、头脑风暴法等多种风险分析方法得出的结论。管理层充分考虑管控能力（人力、财力、物力等管理资源）大小，如何优化、合理配置，以及风险管理的紧迫性等因素，确定管理重大（重要）风险个数。当前第60页\共有72页\编于星期一\17点616.风险应对目的：在公司战略目标的指引下，管理层根据风险偏好和容忍度来选择应对方法，使风险维持在企业的风险容忍度范围内。主要内容（1）确定风险责任部门（2）重大风险原因及特点分析（3）重大风险管理策略（偏好、容忍度及预警指标）（4）总体应对策略和风险解决方案（具体应对措施）建立风险评估基础风险分析风险评价监督与检查风险识别风险应对信息与沟通目标设置与分解当前第61页\共有72页\编于星期一\17点62（1）确定风险责任部门依据目标设置与分解情况，结合部门职责，确定风险责任部门。为以后年度风险识别、风险分析及应对奠定基础。（2）重大风险原因及特点分析从根源分析重大（重要）风险产生原因，分析风险的特点，使下步的风险应对更有针对性。6.风险应对当前第62页\共有72页\编于星期一\17点63（3）重大风险管理策略（偏好、容忍度、预警指标）可以采用定量或定性方式描述。依据重大风险的管控目标，确定重大风险偏好。与企业总体偏好保持一致。依据重大风险管理目标、KPI指标等，确定容忍度。在容忍度范围内，参考KPI指标及相关资料，确定预警指标。与生产经营相结合，为生产经营管理服务。逐步形成重大风险预警指标体系。6.风险应对当前第63页\共有72页\编于星期一\17点646.风险应对（4）总体应对策略和具体解决方案退出引起风险的活动，即在可能的情况下，决定不从事或尽量避免那些继续从事可能会导致风险的活动，如退出生产线、停止一个区域的业务或出售一部分经营性资产等。（危险国家退出投资-叙利亚）

采取措施来减轻风险的可能性或影响，即通过改变风险发生的可能性来减少风险的不利后果，或改变风险的影响来减少损失的范围。减轻风险一般牵涉到所有大量的日常经营决策，例如产品多样化、技术改进、加强人员培训、资本重新分配、改进业务流程、用制度管控风险等。通过采取措施来转移和分担一部分风险来减少风险的可能性或影响，这包括与另外的单位合作来共同承担风险，如成立合资企业、购买保险（中石油财产保险）、套期保值、外包业务等。分担风险可能会带来新的风险，因为合作单位可能缺乏期望的能力和资源。不采取任何措施去影响风险的可能性和影响。这可能是因为该风险属于风险容忍度范围之内；或该风险在企业范围内与其他风险自然抵消；或由于风险应对成本过高，公司决定接受该风险。风险接受风险规避风险分担风险减轻总体应对策略当前第64页\共有72页\编于星期一\17点656.风险应对第一、具体解决方案内容第二、制定风险解决方案的考虑因素第三、制定方案的一般步骤具体解决方案（应对措施）当前第65页\共有72页\编于星期一\17点666.风险应对第一、具体解决方案内容（包括但不限于）用流程管控用规划计划管控用制度管控用体系管控在控制环境层面管控将重大、重要风险应对措施落实到相关流程中，运用内控手段管控将重大、重要风险应对措施落实到规章制度中，运用制度手段管控将重大、重要风险应对措施纳入战略规划、年度计划中将重大、重要风险应对措施纳入相应业务体系管控，如HSE、惩防等在控制环境层面，通过加强培训、文化宣贯等方式管控当前第66页\共有72页\编于星期一\17点6767示例——用制度管控风险投资管理业务风险评估，通过风险评估和流程梳理发现了职责界面不清、权限不明确、关键控制措施不到位等情况。规划计划部组织修订了2008年投资管理办法，对相关问题做了明确，2010年印发了《中国石油天然气集团公司投资管理办法》（中油计[2010]10号）；

发现问题，解决问题！用配套的制度管控新业务领域