风险评估及风险体系建设

1风险评估二〇一一年三月2简介风险评估部分主要围绕体系建设工作计划中的基本业务流程目录、体系建设业务流程目录及风险数据库进行详述。目的是为建设单位梳理本单位基本流程目录，确定体系建设范围，更好的应用公司风险数据库提供指导。3控制活动

为管理和减少风险而制定的政策制度和程序贯穿整个公司范围、所有层次以及所有职能措施包括审批、授权、复核经营业绩、资产保护和职责分工监督评估内部控制运行有效性定期监控执行情况与独立评估相结合发现内控不足的改进报告控制环境是其他内部控制组成部分的基础认定整个组织的基调，影响着员工的控制意识包括员工胜任能力、组织结构、人力资源政策等因素信息和沟通确保经营和财务信息的准确性、完整性和及时性获取内部和外部的信息有效的内部、外部信息沟通与交流,以促成有效的控制活动风险评估风险评估是对相关风险进行识别分析，确定体系建设目标、是开展控制活动相关工作的基础监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1内部控制体系框架回顾4主要内容一、风险评估概述二、业务流程目录三、风险数据库5一、风险评估概述风险概念风险：风险是指未来的不确定性的因素和事项对公司实现目标的影响。

风险的不确定性风险什么时间、地点发生是没有规律的；风险的客观性风险是客观存在的，只要企业存在该业务，那么相对应的风险就应该存在，而不论在哪级管理层面上，也不会因为企业具有严密的控制措施而消失。也不能因为目前没有出现问题，就判断没有此项风险。风险的对应性风险是与业务相对应的，不同的业务存在不同的风险，不能将甲业务的风险列在乙业务上。风险的可避免性风险是可以认识，并可通过采取控制措施加以规避。风险的特性6一、风险评估概述

风险的分类风险分类风险的来源应对风险的层面战略风险合规风险报告风险经营风险外部风险内部风险公司层面风险业务层面风险对公司目标实现的影响7风险的分类一、风险评估概述按影响结果战略风险合规风险报告风险经营风险影响公司发展战略的风险；战略目标统领经营目标、报告目标、合规目标。如：业务发展战略方向决策失误；业务扩张计划不能形成公司核心竞争力8风险的分类一、风险评估概述按影响结果战略风险合规风险报告风险经营风险没有全面执行国家法律、法规和政策规定的风险。例如：合同条款违法。偷税。坐支现金。污染物的排放不符合国家环保规定。9风险的分类一、风险评估概述按影响结果战略风险合规风险报告风险经营风险企业未完全按会计准则、制度等规定组织会计核算和披露信息，导致财务报告在完整性、准确性等方面存在问题。例如：将资本化的支出费用化或将费用化的支出资本化。会计记录错误（金额、科目、期间错误）。帐实不符。产品交接计量错误。10风险的分类一、风险评估概述对公司目标实现的影响战略风险合规风险报告风险经营风险影响经营决策的风险。例如：投资决策失误导致投资失败。产品不能及时适应市场的变化和需求。没能以合理的价格取得物资或服务。11

风险的分类一、风险评估概述风险的来源外部风险内部风险来源于公司外部的风险。识别外部风险，应重点关注：新技术发展变化、客户的需求和期望的变化、竞争对手的变化、法律法规的变化、经济形势的变化、自然灾害的影响以及其他有关的外部风险因素。

来源于公司内部的风险。识别内部风险，应重点关注：业务发展变化、机构调整及业务重组整合、信息系统运行状况、员工的素质以及其他有关的内部风险因素。12

风险的分类一、风险评估概述应对风险的层面公司层面风险是从公司整体角度对实现战略目标和对公司整体声誉等方面产生负面影响的因素。如：油气储量的不确定性风险、与母公司的利益冲突风险、关联交易公平性风险、舞弊风险等业务层面风险业务活动层面风险是指与公司的主要生产经营活动及管理职能有关的风险，包括采购、生产、市场营销、销售、技术开发以及研发、人力资源管理、财务管理等业务和管理活动中存在的风险公司层面风险13风险评估的一般程序

风险评估的概念风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略的过程，是风险管理的基础。

风险评估的一般程序与方法一、风险评估概述建立风险评估的基础目标设置与分解风险识别风险分析风险评估风险反应14一、风险评估概述风险评估的一般程序与方法

建立风险评估的基础目标设置与分解风险识别风险分析风险评估风险反应在公司内部建立通用的风险管理语言和标准，包括建立公司风险的定义；风险管理的定义；构建风险类型；明确风险偏好和风险承受度的概念；确立评估风险的标准。15一、风险评估概述风险评估的一般程序与方法风险评估的目标为战略目标经营目标报告目标合规性目标

建立风险评估的基础目标设置与分解风险识别风险分析风险评估风险反应16建立风险评估的基础目标设置与分解风险识别风险分析风险评估风险反应一、风险评估概述风险评估的一般程序与方法风险识别的主要方法小组讨论访谈法问卷调查法案例分析法参考专业机构咨询意见征求专家意见风险识别的主要程序公司层面风险识别。是从公司战略发展的角度，识别公司层面面临的所有重大的不利因素和有利因素，从而识别风险，发现机遇。这些因素来自外部和内部两个方面，外部因素主要包括政治因素、经济因素、社会因素、自然环境因素等；内部因素主要包括基础设施因素、员工因素、流程因素和技术因素等。业务活动层面风险识别。业务层面风险识别是通过根据一定的规范、采用一定的方法对业务流程进行描述，在业务流程描述的基础上，以业务流程步骤为主线，全面识别影响目标实现的相关因素。17

建立风险评估的基础目标设置与分解风险识别风险分析风险评估风险反应一、风险评估概述风险评估的一般程序与方法分析风险发生的可能性分析风险可能产生的影响程度极小可能较大可能发生的概率很小或者基本上不会发生，则将该项风险发生的可能性确定为极小可能发生，否则将该项风险确定为较大可能发生极小影响较大影响风险的发生在很大程度上不会影响目标的实现或者只有一些轻微的影响，则将风险影响程度确定为极小影响；如果风险的发生会对目标的实现产生一定的阻力，并且这种阻力将会增加实现目标的难度和成本，则将风险影响程度确定为较大影响。收集信息和资料如：历史事件的记录、相关的调查和分析资料、现有控制和制度等信息和资料等。对风险的可能性和影响评分，风险的可能性分值与影响分值之积，即为该风险的风险值。18建立风险评估的基础目标设置与分解风险识别风险分析风险评估风险反应一、风险评估概述风险评估的一般程序与方法风险重要性水平的判断

根据风险值对识别出的风险进行排序，以得到公司的高、中、低风险对于重要性水平为低的风险，由于其发生的可能性和影响程度均为极小，公司忽略此类风险而不予关注。对于重要性水平为中的风险，公司将此类风险确定为一般风险并给予一般关注。对于重要性水平为高的风险，公司将此类风险确定为重要风险并给予重点关注。19建立风险评估的基础目标设置与分解风险识别风险分析风险评估风险反应一、风险评估概述风险评估的一般程序与方法风险反应策略（1）风险规避：退出产生风险的各种活动。如退出生产线、停止一个区域的业务、或出售一部分经营性资产等。（2）风险减轻：采取行动减少风险发生的可能性或降低风险影响程度或两者同时降低。减轻风险一般牵涉到所有大量的日常经营决策，例如产品多样化、技术改进、加强人员培训、资本重新分配、改进业务流程等。（3）风险分担：通过将风险转移或者分担部分风险来减少风险的可能性和影响。如购买保险、套期保值、外包业务等（4）风险接受：不采取任何行动去影响风险的可能性或影响。20主要内容一、风险评估概述二、业务流程目录

三、风险数据库四、风险评估工作计划21业务流程目录（一）基本业务流程目录（二）体系建设业务流程目录222008年8月，内控与风险管理部下发了《关于印发《天然气公司业务流程架构》（试行）》的通知，内控[2008]653号文，对流程架构的设计理念业务流程分类和级次、流程总图、公司通用业务流程目录进行了详细的说明。根据工作要点，对公司流程架构及股份公司流程架构进行融合。目前，公司内控项目组配合流程处，以正式下发的公司流程架构、股份公司流程架构为基础，充分考虑业务类型及调整工作量，编制出融合后的公司通用业务流程目录初稿。第二批建设单位应根据融合后的公司通用业务流程目录，编制本单位基本业务流程目录。（一）基本业务流程目录主要用于第二批建设单位23（一）基本业务流程目录基本业务流程目录编制原则及注意事项1、统一性与个性原则。建设单位在公司通用业务流程目录的基础上，编制本单位基本业务流程目录。从公司通用业务流程目录中选择本单位适用的业务，将适用的一、二、三级流程直接作为本单位的一级、二级和三级流程。通用流程目录中现有的一级流程、二级流程、三级流程的名称和编号不能进行修改各单位结合实际确定四级、五级流程目录名称及编码。通用流程目录中没有定义三级流程目录的特殊情况，各单位可根据需要自行设置三级流程目录24（一）基本业务流程目录2、全面性与重要性原则基本业务流程目录整体上是对公司的所有生产经营业务及管理行为进行归类。但由于公司业务范围较为宽泛，只对公司目前涉及的与生产经营业务及管理行为相关的进行归类梳理，而对公司总体经营管理影响不大的环节，就没有必要设置成末级流程。如存货流程，但对于不同的建设单位而言，存货的构成是不尽相同的，其重要性也是不同的。如汽车配件等金额不大就可不纳入存货管理的第四或第五级流程。25（一）基本业务流程目录3、完整性与系统性原则流程目录是以生产经营过程作为主线来设置的，体现了流程的完整性和系统性。流程目录打破了经营管理的“部门”的概念，而更多地从流程本身的完整性来加以考虑。当流程发生交叉时，则从相关性和系统性出发，确定下级流程的归属问题。通过末级流程间的引用，实现所有流程的完整。例如：26（一）基本业务流程目录存货管理”作为一个管理流程单列，将存货采购的入库成本核算纳入“存货管理”流程，这样使“存货管理”流程更加具有完整性和系统性。仓库保管部门财务部门27（一）基本业务流程目录4、编制四、五级流程目录名称及编号注意事项

◆流程名称与流程中实际描述的业务活动相吻合

◆流程编号可根据其上级流程编号进行顺序编号，并且有一个唯一的流程编号（不允许2个或2个以上的流程使用同一个流程编号）

◆非末级流程目录应避免存在流程图，每个末级流程目录有且仅有一个流程图公司全部流程目录原则上不得超过五级28业务流程目录（一）基本业务流程目录（二）体系建设业务流程目录29（二）体系建设业务流程目录第一批建设单位已完成财务、法律相关流程的梳理工作，的主要任务是完成投资流程的梳理工作。第一批建设单位也应根据项目组下发的投资业务流程目录，编制本单位的投资业务流程目录。30主要内容一、风险评估概述二、业务流程目录三、风险数据库四、风险评估工作计划31风险数据库是进行风险记录的工具。风险数据库记录整个公司范围内业务层面的风险，按照流程，记录各个流程中可能出现的风险，并对风险的属性进行记录。风险的属性有财务风险和非财务风险之分。根据公司经营环境的发展变化，对风险数据库要进行不断地更新与维护。目前，风险数据库有两种类型，财务报告风险数据库、投资业务风险数据库；法律风险在法律风险防范控制文档中体现，即风险控制一张表。三、风险数据库32财务报告风险数据库的使用建设单位结合本单位业务流程，对公司风险数据库风险进行分析、使用。与公司体系建设业务流程相一致的流程，直接选用公司风险数据库中的风险。