《风险评估规范应用》PPT课件.ppt

Deloitte Touche Tohmatsu 2006. All rights reserved. 风险评估规范应用 Deloitte Touche Tohmatsu 2006. All rights reserved.2 （一）集团公司风险管理报告 （二）企业风险管理报告 （三）业务层面风险评估 Deloitte Touche Tohmatsu 2006. All rights reserved.3 （一）集团公司风险管理报告 风险识别 风险分析 风险评价 建立风险评估的基础 目标设置与分解 风险应对 形成报告 风险监督与改进 Deloitte Touche Tohmatsu 2006. All rights reserved.4 （一）集团公司风险管理报告 1. 建立风险评 估基础 （1）确定风险管理的目标和范围 （2）明确风险管理语言和标准 Deloitte Touche Tohmatsu 2006. All rights reserved.5 （一）集团公司风险管理报告 n 工作目标 在2010年公司重大风险基础上，对油气核心业务开展风险 评估，完善风险管理策略与解决方案，完成集团公司2011年 度风险管理报告。 （1）确定风险管理的目标和范围 Deloitte Touche Tohmatsu 2006. All rights reserved.6 专业分公司 u 工作范围（参与单位） 1. 建立风险评估基础 中联油 勘探与生产分公司、炼油与化工分 公司、销售分公司、天然气与管道 分公司、海外勘探开发分公司 规划计划部、财务资产部、财务部、人事部、预算办、资本运营 部、法律事务部、安全环保部、质量管理与节能部、科技管理部 、信息管理部、物资采购管理部、国际事业部、监察部、审计部 、内控与风险管理部等16个部门 总部机关 海外单位 Deloitte Touche Tohmatsu 2006. All rights reserved.7 u工作组织 1. 建立风险评估基础 成立风险评估工作的领导小组 和专项工作小组 领导小组专项工作小组 由风险评估工作相关部门 的内控建委会成员组成 负责协调指导该项工作，并 审议阶段性工作成果 内控与风险管理部、各相 关部门组成 制定了各部门在年报编制工 作中的职责 Deloitte Touche Tohmatsu 2006. All rights reserved.8 1. 建立风险评估基础 n 工作内容、责任部门及时间安排 n 形成工作方案，经主管领导批准后实施。 Deloitte Touche Tohmatsu 2006. All rights reserved.9 1. 建立风险评估基础 （2）明确风险管理语言和标准 风险类型：四大类（战略、经营、报告、合规） 集团公司风险偏好：管理层确定的风险偏好是，适度承担中等风险，坚 持诚信稳健经营，建设和谐企业，确保资源、市场、国际化三大战略目标 顺利实现。 Deloitte Touche Tohmatsu 2006. All rights reserved. 10 可能 性等 级 可能 性分 值 可能性种类 发生几率大型灾害/事件类 日常营运 基本 确定 5几率95% 1年内至少发生1次 常常会发生 很可 能 4 50%几率 95% 1年内可能发生1次 较多情况下发生 有可 能 3 30%几率 50% 25年内可能发生1 次 某些情况下发生 不太 可能 2 5%几率 30% 510年内可能发生1 次 极少情况下才发 生 极小1几率5% 10年内发生的可能少 于1次 一般情况下不会 发生 适用于可以通过历史 数据计算出风险发生 概率的风险 针对大型灾害/事 件类的潜在风险 针对日常运营中 可能发生的潜在 风险 可能性等级标准： 1. 建立风险评估基础 风险评估标准 风险分析的基础。 Deloitte Touche Tohmatsu 2006. All rights reserved. 11 分值 A财 务损 失 B企业声誉C法律D安全环境E营运 1 财务 损失 小于 2百 万 负面消息在企业内部流传 ，企业声誉没有受损 可能存 在轻微 的违反 法规的 问题 发生安全事故造 成下列情形之一 ： 出现人员轻伤； 或 对环境或社会造 成短暂的影响， 可不采取行动 对营运影响 微弱 2 财务 损失 2百 万到 2千 万 负面消息造成较大社会影 响和企业声誉影响，由企 业自行处理，但需报集团 公司备案 群体性：在企业当地一 次参与人数在200 人以上 、500 人以下的； 资本市场：个别媒体出 现敏感性报道 违反法 规，伴 随着罚 款或诉 讼 发生安全事故造 成下列情形之一 ： 一次死亡3人以 下；或 一次重伤10人以 下；或 对环境造成中等 影响，需一定程 度的补救措施； 或需6个月或以内 的时间才能恢复 对营运影响 轻微，情况 立刻受到控 制，但不影 响企业的日 常业务 陆上油气井 发生井喷， 企业自身能 在24 小时内 建立井筒压 力平衡的井 喷事件；或 1. 建立风险评估基础 影响程度等级标准 Deloitte Touche Tohmatsu 2006. All rights reserved. 12 2.目标设置与分解 （1）收集目标 围绕油气核心业务，收集参与部门/单位十二五规划目标、报告 年度生产经营指标、KPI指标等，并设计了收集和分解的模板。 规划计划部提供十二五规划各部门生产经营预期指标 人事部提供KPI指标 各管理部门和单位提供本部门/单位工作目标 Deloitte Touche Tohmatsu 2006. All rights reserved. 13 2.目标设置与分解 明确了风险管理责任部门 容忍度、预警指标 （2）分解目标 分解到部门和分公司层面。 Deloitte Touche Tohmatsu 2006. All rights reserved. 14 3. 风险识别 （1）信息收集 （2）识别方法 （3）公司层面风险数据库 Deloitte Touche Tohmatsu 2006. All rights reserved. 15 3. 风险识别 （1）信息收集 围绕总体目标，收集整理七方面风险初始信息： 企业风险年报企业风险年报 业务活动层面风险数据库业务活动层面风险数据库 2010 2010年风险事件年风险事件 国内外同行业年报国内外同行业年报 国资委风险分类示例国资委风险分类示例 公司领导讲话关注风险公司领导讲话关注风险 部门识别风险部门识别风险 Deloitte Touche Tohmatsu 2006. All rights reserved. 16 3. 风险识别 国内外同行业年报 包括埃克森、中石油、英国石油、壳牌、雪佛龙、道达尔及中石化的年报中 披露的风险信息，并开展翻译和分析。 示例： Deloitte Touche Tohmatsu 2006. All rights reserved. 17 3. 风险识别 公司领导讲话关注风险 共收集、汇总了2010年2月至2011年1月蒋总等14位领导的讲话68 篇，示例如下（详见附件） 领导讲话目录 编号领导讲话 1# 蒋洁敏 在石油天然气管道保护法实施座谈会 上的发言 2#蒋洁敏 在集团公司安全环保工作会议上的讲话 3# 蒋洁敏 到玉门油田调研时强调：发扬优良传统 继 续艰苦创业 实现新的发展 Deloitte Touche Tohmatsu 2006. All rights reserved. 18 本公司13个风险事件 国内其他公司风险事件6个 国外同行业风险事件2个 涉及 单位 资料来 源 部门提交资料 企业年报上报 领导讲话 网络媒体 风险事件：2010年度收集21个重大风险事件，涉及9个公司层面风险， 其中:涉及健康安全环保风险的风险事件11个占52%,涉及舞弊及诚信风险3 个，占14%。 逐步形成 风险事件 上报机制 3. 风险识别 并对重大风险事件进行了 详细分析。（附件） Deloitte Touche Tohmatsu 2006. All rights reserved. 19 3. 风险识别 1）检查 表法 7）基准 化分析法 6）头脑 风暴法 2)历史事 件分析法 5）部门识 别风险 4）领导讲 话分析法 3）目标 分析法 （2） 识别方 法 国内外同行业披露风险；国资委风险 分类示例；13家企业风险管理年报评 估风险；业务活动层面风险数据库 Deloitte Touche Tohmatsu 2006. All rights reserved. 20 3. 风险识别 对照国内外同行业披露风险：13家国内外同行业年报中披露了24个风险。其 中价格波动风险、利汇率风险、资源保障风险、健康安全环保风险、地缘政治经 济和安全风险、市场需求风险为国内外同行业普遍关注的风险。依据国内外同行 业披露的风险，修订完善了信用风险、生产中断与产能不匹配风险。 对照国资委首次发布风险分类示例。其中关注了战略风险、运营风险、市场 风险、财务风险和法律风险五大类共51个风险。通过与国资委风险分类示例对标 分析，参考企业年报等资料，新增了内部改革风险、运营监控风险和信用风险， 把投资风险的风险类别由经营风险调整为战略风险，把油气资源风险和资源供应 风险合并为资源保障风险，把信息管理风险和信息系统安全风险合并为信息风险 。 1）检查表法 Deloitte Touche Tohmatsu 2006. All rights reserved. 21 对照13家企业风险管理年报中评估出了39个重大风险。其中健康安 全环保风险、投资风险、公共关系风险、生产中断与产能不匹配风险为普 遍关注的风险。并参考企业年报修订完善了地缘政治经济和安全风险、工 程项目管理风险、生产中断与产能不匹配风险、健康安全环保风险、信息 风险、资产管理风险、资源保障风险。 对照各业务领域重要风险。将整合评估后的11个业务领域重要风险与 公司层面风险数据进行对照，根据业务活动层面重要风险描述修订完善了 投资风险、资源保障风险、物资采购风险、健康安全环保风险、生产中断 与产能不匹配风险、信息风险、资产管理风险的影响因素。 3. 风险识别 Deloitte Touche Tohmatsu 2006. All rights reserved. 22 22 2）历史事件分析法 2010年新增重大风险事件特点： p 健康安全环保风险：本公司发生此类重要风险事件8个，辽阳石化、兰州石 化爆炸、7.16输油管道爆炸事件对公司产生较为严重负面影响。国外同行业BP 公司墨西哥湾钻井平台井喷爆炸事故具有重大国际影响。该类风险需引起高度 关注。 p 地缘政治经济和安全风险：苏丹绑架事件表明公司海外业务面临形势仍很严 峻，该类风险需高度关注。 p 金融业务风险：齐鲁银行伪造金融票证事件，对公司金融业务的发展具有警 示意义。 p 竞争风险：中石化润滑油品牌整合成功的事件表明，通过对机会风险有效管 理和利用，可为公司创造价值。 p 舞弊及诚信风险：本公司发生此类事件3个，都是由于经营监管存在问题导 致该类风险事件发生。 3. 风险识别 Deloitte Touche Tohmatsu 2006. All rights reserved. 23 鉴于风险事件给公司造成的损失和影响，健康安全环保风险仍 然是公司重点防范的风险。另外，涉及地缘政治风险的风险事件虽然只 有1个，但考虑到公司海外业务的快速拓展，及公司海外业务所在国家 大多是政局动荡、社会不稳定、恐怖活动多发、市场不规范的现实，地 缘政治经济和安全风险也是需要重点防范的风险。 根据风险事件的原因及分析，修订完善竞争风险、健康安全环 保风险。 3. 风险识别 Deloitte Touche Tohmatsu 2006. All rights reserved. 24 2.目标设置与分解 3）目标分析法 分析目标设置与分解一览表发现： 十二五期间，公司油气储量、产量目标增幅较大，炼油能力、乙烯能 力、成品油及天然气管道建设目标增幅较大，国际油气勘探业务的快速发 展和国际贸易规模的迅速扩大，安全及废水、废气排放等安全环保目标设 定较高。 从目标的初步分析来看，公司发生资源保障风险、投资风险、资金流 动性风险、地缘政治经济和安全风险 、利汇率风险及健康安全环保风险 的可能性较大。 Deloitte Touche Tohmatsu 2006. All rights reserved. 25 2010年度14位公司领导68篇讲话中提及了26个风险。其中健康安 全环保风险、人力资源风险、业务结构风险、组织结构风险和地缘政治 经济和安全风险为重点关注的风险。依据领导讲话修订完善了投资风险 、国家产业政策导向风险、业务结构风险、价格波动风险、竞争风险、 销售风险、资源保障风险、健康安全环保风险、信息风险、人力资源风 险、资金流动性风险、内部基础管理风险。 3. 风险识别 4）领导讲话分析法 Deloitte Touche Tohmatsu 2006. All rights reserved. 26 2.目标设置与分解 5）部门识别风险： 组织部门对公司层面4大类38个风险的初稿，进行风险识别和完 善。其中部门对内部改革风险、资本结构风险、利汇率风险、资金 流动性风险、健康安全环保风险、劳动关系风险提出了修改意见。 Deloitte Touche Tohmatsu 2006. All rights reserved. 27 （3）公司层面风险数据库 根据实际，设计数据库模板，整理、记录风险识别的结果。 形成集团公司层面风险数据库（4大类38个）。（如下） 3. 风险识别 定期更新 Deloitte Touche Tohmatsu 2006. All rights reserved. 28 风险 分类 报告风险 经营风险 战略风险 财务报告风险 非财务报告风险 （2个） 合规风险 投资风险 地缘政治经济和安全风险 国家产业政策导向风险 业务结构风险 组织结构风险 战略合作伙伴风险 公共关系风险 内部改革风险 （8个 ） 资源权属风险 交易管理风险 企业设立及运作风险 劳动关系风险 知识产权风险 财税风险 内部基础管理风险 （7个） 市场需求风险 价格波动风险 竞争风险 利汇率风险 运营监控风险 信用风险 资源保障风险 物资采购风险 工程项目管理风险 技术与工艺风险 生产中断与产能不匹配 风险 产品和服务质量风险 销售风险 健康安全环保风险 信息风险 人力资源风险 资产管理风险 舞弊及诚信风险 金融业务风险 资金流动性风险 资本结构风险 （21个） 3. 风险识别 Deloitte Touche Tohmatsu 2006. All rights reserved. 29 4. 风险分析 内控与风险管理部根据参与评分人员的职级，采用问卷调查法 ，组织设计评分问卷（模板如下）、开展风险分析。 参与部门/单位结合控制措施有效性，参照风险事件发生情况等 信息，分析风险发生可能性大小、风险影响方面、影响程度大小 。 Deloitte Touche Tohmatsu 2006. All rights reserved. 30 2011年集团公司风险管理报告 5.风险评价 A卷 B卷 C卷 局级领导 处级 干部 员工 参与部门和分公司组 织50%以上的干部员工 对可能性和影响程度 进行了问卷评分，计 算个体评分风险值 Deloitte Touche Tohmatsu 2006. All rights reserved. 31 健康安全环保风险评分个体评分 u第一、可能性：建议选用“大型灾害事件类”标准。 参考风险事件库， 2010年 “1.7”兰州石化公司火灾爆炸事故（ 6人死亡，1人重伤，5人轻伤） “2.8”西南油气田公司磨208井承包商亡人事故（3人死亡、3人受伤） “6.29”辽阳石化公司承包商亡人事故（造成5人死亡，3人重伤） “7.16”西南油气田分公司机械伤害事故、“11.19”青海油田武威支线管沟坍塌事故、“11.28” 辽阳石化公司闪爆事故等重大突发事件。 2009年 辽河油田公司“12.3”爆炸事故（死亡3人，伤5人）、兰郑长管道渭南支线柴油泄漏重大环 境污染责任事故。 近两年同行业其他公司也发生了几起重大事故，如07年中石化埃塞俄比亚的勘探营地遭到 武装袭击9死1伤等。 可根据近几年风险事件发生情况分析，每年1起以上重大事故，同时，考虑公司已搭 建较完善的HSE体系，并开展了多项安全环保举措，措施比较有效，可评为4-5分。 4. 风险分析 示 例 Deloitte Touche Tohmatsu 2006. All rights reserved. 32 u第二、影响程度，建议选用“安全环境类”标准。 从近几年发生的重大风险事件的后果来看，非常严重，最高8-9人死亡，可评为4 -5分。 u第三、计算个体评分风险值。 健康安全环保风险个体评分风险值=可能性分值*影响程度分值 =？ 4. 风险分析 Deloitte Touche Tohmatsu 2006. All rights reserved. 33 5.风险评价 （1）加权平均计算法 分析部门、A、B、C问卷各自评分及风险排序情况； 对比分析了不同层面关注的重大风险排序情况 Deloitte Touche Tohmatsu 2006. All rights reserved. 34 1. 按20部门评 分计算的风 险排序情况 ： 前五位风险 分别为 ：价格波 动风险 、健康安全环保风 险、地缘政治经济 和安全 风险 、投资风险 、资源保 障风险 。 2. A卷评分计算的风险 排 序情况 前五位风险 分别为 ：健康 安全环保风险 、价格波动 风险 、投资风险 、地缘 政治经济 和安全风险 、 资源保障风险 。 3. B卷评分计算的风险 排 序情况 前五位风险 分别为 ：价格 波动风险 、地缘政治经济 和安全风险 、健康安全环 保风险 、投资风险 、资源 保障风险 。 4. C卷评分计算的风险 排序 情况 前五位风险 分别为 ：价格波 动风险 、健康安全环保、资 源保障风险 、投资风险 、地 缘政治经济 和安全风险 。 分别按照部门、A、B、C卷计算38个风险的风险值，排序前五位的是； 5.风险评价 Deloitte Touche Tohmatsu 2006. All rights reserved. 35 根据收集的初始信息，对比了不同层面关注的重大风险排序情况 5.风险评价 Deloitte Touche Tohmatsu 2006. All rights reserved. 36 序号重大风险 可能 性 影响 程度 风险 值 1健康安全环保风险3.75 4.09 15.34 2价格波动风险3.90 3.8314.96 3 地缘政治经济和安 全风险 3.493.82 13.33 4投资风险3.44 3.86 13.29 5资源保障风险3.40 3.70 12.60 5.风险评价 在前述评分结果基础上，按照局级领导、处级干部和员工5：3：2的权重 ，采用加权平均法，计算38个风险的加权平均风险值，并排序，依据公司风险 等级（12分以上为重大风险），确定5个重大风险。（与不同层面关注的重大 风险内容上一致） Deloitte Touche Tohmatsu 2006. All rights reserved. 37 按照风险发生的可能性及影响程度两个维度，将企业2011年面临的重 大风险绘制成风险热力图。 5.风险评价 Deloitte Touche Tohmatsu 2006. All rights reserved. 38 健康安全环境风险 地缘政治经济和安全风险 价格波动风险 国家产业政策导向风险 竞争风险 油气资源风险 投资风险 2010年重大风险2011年重大风险 都为重大风险 上升为重大风险 分别排在第七位和第八位 健康安全环保风险 价格波动风险 地缘政治经济和安全风险 投资风险 资源保障风险 重大风险变动情况 5.风险评价 Deloitte Touche Tohmatsu 2006. All rights reserved. 39 健康安全环保风险、价格波动风险、地缘政治经济和安全风险两个年 度都被评为重大风险。 地缘政治经济和安全风险 当前公司海外业务快速发 展，传统和非传统的不安 全因素都在不断加大，海 外业务的工作环境将越来 越差，涉及的风险因素和 地区越来越多，反恐的形 势越来越严峻。 价格波动风险 国际油价每波动1 美元/桶，将影响 公司利润30亿元 左右，经营风险巨 大。 健康安全环保风险 高温高压、有毒有害 、易燃易爆的行业特 点十分突出，一旦发 生重大安全环保事故 ，必将对员工生命健 康、公司财产或生态 环境造成巨大影响， 甚至可能对公司发展 造成颠覆性破坏 重大风险变动原因 5.风险评价 Deloitte Touche Tohmatsu 2006. All rights reserved. 40 投资风险和资源保障风险2011年上升为重大风险 投资风险 “十二五”期间，公司战 略投资项目集中，规划 安排年均投资额，将超 过4500亿元，一旦投资 失败，不仅给公司造成 重大财产损失，还会影 响公司战略目标的实现 。 资源保障风险 国内油气勘探难度日益 加大，主力油田开发早 已进入“双高”阶段，多井 低产，天然气开发单井 产量下降，大规模应急 供气和峰谷差，给资源 的平衡协调与资源调配 带来了新的课题。 重大风险变动原因 5.风险评价 Deloitte Touche Tohmatsu 2006. All rights reserved. 41 国家产业政策导向风险和竞争风险2011年分别排在第七和第八位 国家产业政策导向风险 2010年集团公司在石油 行业财税法规政策、油 气价格定价政策和石化 产业规划方面向国家部 委提出了建议，并积极 推动落实，取得了成效 。 竞争风险 2010年公司加大了海外发展力度， 参与全球资源配置，实现了资源良 性接替。利用资源引进之机，配合 市场开拓，加快管网建设。在巩固 区域优势的同时，优化炼油化工业 务布局。借资源和管道优势，采取 一体化营销策略抢占市场先机，采 取灵活的价格政策，加大重点目标 市场开发和销售力度，巩固了公司 市场主导地位。 重大风险变动原因 5.风险评价 Deloitte Touche Tohmatsu 2006. All rights reserved. 42 6. 风险应对 （1）确定风险责任部门 （2）重大风险原因及特点分析 （3）重大风险管理策略 （4）重大风险解决方案 主责部门牵头完成相 关内容。 Deloitte Touche Tohmatsu 2006. All rights reserved. 43 （1）确定主责协助部门 根据目标设置与分解结果，结合部门职责及以前年度重大风险的主责和协 助部门，初步确定2011年公司层面38个风险的主责与协助部门，并征求了参与部 门的意见。其中，2011年重大风险主责部门和协助部门确定如下： 序号风险名称主责部门协助部门 1 健康安全环保风 险 安全环保部所有部门及单位 2价格波动风险财务部预算管理办公室、销售公司、国际事业有限公司 3 地缘政治经济和 安全风险 国际事业部 海外勘探开发分公司、国际事业有限公司、资本 运营部、物资采购管理部 4投资风险规划计划部 勘探与生产公司、炼油与化工分公司、天然气与 管道分公司海外勘探开发公司、销售公司、信息 管理部、科技管理部、资本运营部 5资 源保 障 风 险 油气资源 风险 勘探与生产公司海外勘探开发分公司 资源供应 风险 成品油：销售公司 天然气：天然气与管道分 公司 6. 风险应对 Deloitte Touche Tohmatsu 2006. All rights reserved. 44 风险预警指标 风险偏好 集团公司以建设综合性国际能源公司为目 标，持续稳步推进“资源、市场、国际化” 三大战略，努力履行“经济、社会、政治” 责任，努力消除投资决策、投资管理等一 切可控制的影响投资风险的因素，并尽可 能减少政策、市场、社会不稳定等不可控 环境风险对投资的影响 风险解决方案 优化投资安排，建立项目 投资控制长效机制，进一 步强化投资管理，建立健 全规章制度 风险承受度 达不到公司效益标准的项目，坚决不立 项，不投入；坚持有保有压，严格控制 楼堂管所、小汽车和一般技改投入；国 内勘探与开发新建产能建设投资项目内 部收益率保持在12%以上，海外勘探开发 投资项目内部收益率保持在15%以上，炼 油化工、销售、管道项目在内部收益率 达标的同时，把握建设力度和节奏 投资风险 级预警，投资项目内部收益率低于 12%，级预警，投资项目内部收益率 低于10%。 对重大项目投资，达到级预警时，需 要报集团公司总经理审批；达到级预 警时，需要经集团公司领导集体决策。 对一般性项目投资，达到级预警时， 视情况报集团公司主管部门决策；达到 级预警时，需要经集团公司主管部门 决策。 6. 风险应对 示例： Deloitte Touche Tohmatsu 2006. All rights reserved. 45 6. 风险应对 地缘政治经济和安全风险 主责部门：国际事业部 示 例 Deloitte Touche Tohmatsu 2006. All rights reserved. 46 为对风险进行管理和预警，制定涉外防恐预警的四个级别，依次采 用红色、橙色、黄色和蓝色来加以表示。 （1）红色等级（级）：高风险。预计将要发生级恐怖袭击事件，事件会随 时发生，事态正在不断蔓延。处于红色安全风险等级的国家，原则上禁止进入。 （2）橙色等级（级）：较高风险。预计将要发生级恐怖袭击事件，事件即 将发生，事态正在逐步扩大。集团公司不再向该地区派出人员，处于该地区的单 位做好紧急撤离的准备。 （3）黄色等级（级）：一般风险。预计将要发生级恐怖袭击事件，事件已 经临近，事态有扩大的趋势。 （4）蓝色等级（级）：低风险。预计将要发生级恐怖袭击事件，事件即将 临近，事态可能会扩大。 6. 风险应对 Deloitte Touche Tohmatsu 2006. All rights reserved. 47 加强风险管理职能部门重大风险持续监督 2 加强外部审计机构独立监督 4 加强业务部门和专业分公司自我监督 3 1 加强内部审计部门独立监督 3 3 监督改进机制 7. 监督与检查 Deloitte Touche Tohmatsu 2006. All rights reserved. 48 8.信息与沟通 沟通 央企间交流 与参与部门、公司沟通 与国资委沟通汇报 启动培训；印发方案；风险识别 、分析、应对，信息传达，模板 简洁明了；形成风险事件定期上 报机制；加强过程（评分）指导 培训。 过程询问；风险管理报告上报。 通过参加国资委年报工作总 结，听取国资委要求，向优 秀单位间借鉴、交流。 Deloitte Touche Tohmatsu 2006. All rights reserved. 49 （一）集团公司风险管理报告 （二）企业风险管理报告 （三）业务层面风险评估 Deloitte Touche Tohmatsu 2006. All rights reserved. 50 （二）企业风险管理报告 1. 建立风险评估基础 （1）确定风险管理的目标和范围。 （2）明确风险管理语言和标准，逐步建立 本单位风险管理相关制度。 Deloitte Touche Tohmatsu 2006. All rights reserved. 51 n 工作目标 紧紧围绕企业“十二五”发展规划、报告年度主要生产经营目标、工作目 标，以主营业务为核心，依据风险评估规范，开展重大风险评估及应对 工作，完成本单位风险管理报告。 n 工作范围（参与单位） l 明确该主营业务涉及的具体业务，涉及的部门或公司； l 是仅限于总部机关层面，还是延伸到所属单位。 （1）确定风险管理的目标和范围 1. 建立风险评估基础 Deloitte Touche Tohmatsu 2006. All rights reserved. n 工作组织 为保证年报编制工作的顺利开展，应相应成立风险评估工作 组织。明确各部门在风险评估工作中的职责。 如：风险评估工作领导小组和专项工作小组。 n 工作内容、责任部门及时间安排 具体、清晰。 n 形成工作方案，经相应层级领导批准后实施。并按时向集团 公司报备。 1. 建立风险评估基础 领导班子的参与程度是考量风险评 估工作的重要内容之一，代表了管理 团队对重大风险的关注程度。 组织启动、过程参与、成果审。 Deloitte Touche Tohmatsu 2006. All rights reserved. 1. 建立风险评估基础 风险类型：四大类（战略、经营、报告、合规） （2）明确风险管理语言和标准 风险偏好、承受度： 确定本单位总体风险偏好、承受度。奠定风险管理的基调。 风险评估标准 按照集团公司风险评估规范的要求，结合本单位实际，制定风险评 估可能性、影响程度、风险等级标准的具体内容。 逐步建立本单位风险管理制度。 Deloitte Touche Tohmatsu 2006. All rights reserved. 54 2.目标设置与分解 目标设置与分解是风险识别的基础和前提。 n 企业应当围绕本单位的主营业务，收集十二五规划目标等，并分解 到报告年度主要生产经营目标、工作目标、业绩考核指标等，结合部门/ 单位职责，分解落实到具体的部门/单位，形成目标设置与分解一览表或 相关文档。 n 一般由规划计划部门提供十二五规划目标、各部门生产经营预期指标， 人事部门提供KPI指标，各管理部门提供本部门工作目标。 n 目标的设置与分解也是确定风险管理部门的重要依据。 Deloitte Touche Tohmatsu 2006. All rights reserved. 55 3. 风险识别 （1）信息收集 （2）识别方法 （3）公司层面风险数据库 Deloitte Touche Tohmatsu 2006. All rights reserved. 56 3. 风险识别 （1）信息收集 依据具体目标，各参与部门可从以下几方面收集风险初始信息： 国家法律法规、地方相关规定 如：新下达的政策信息，如油价、税收、节能减排等 国内外同行业年报（披露的重大风险信息） 集团公司层面风险数据库 集团公司及本单位的相关规章制度 本单位领导重要总结讲话 制度明文规定、领导反复强调都是风险的提示信息。 业务活动层面风险及流程 业务层面重要风险是公司层面重大风险在业务操作层面的表现形式，便于解 读重大风险，也是落实重大风险在流程层面管控措施的纽带。 相关风险事件 Deloitte Touche Tohmatsu 2006. All rights reserved. 57 3. 风险识别 关于风险事件的收集： 主要围绕设定的具体目标，收集同行业及本单位本年度（或近三年）来发生的风 险事件，形成本单位风险事件库。（事件库模板以利于风险事件的管理和使用为 目的设计） 对风险事件进行分类、分级管理，对于重大风险事件（依据本单位重大风险事 件标准）要进行详细分析，主要从以下几方面进行分析： p风险事件的所属企业 p事件类型（对应的风险名称，如：投资风险事件、地缘政治风险事件等） p事件名称（简要概括，如6.29辽阳石化承包商亡人事故） p事件发生过程（如需保密，可以将人名等以*代替） p事件造成的损失或影响（分别阐述对企业声誉、财务损失、营运等各方面的影响 ） p事件发生的原因（分别阐述人员因素、流程因素等各方面原因） p事件的处理 p以及为防止同类事件再次发生所采取的对策等方面 p企业也可结合实际，详细分析其它方面。 Deloitte Touche Tohmatsu 2006. All rights reserved. 3. 风险识别 为风险识别、风险分析提供重要依据，不是监督批评。 企业应当逐步建立业务部门/单位风险事件定期上报机制。 可以参考或引用集团公司风险事件库中相关事件，但不能全部“搬”。 Deloitte Touche Tohmatsu 2006. All rights reserved. 59 3. 风险识别 充分利用收集的信息，结合实际，从规范中选择适用的风险识别方法，也可以探 索新的识别方法。常用方法如下： 1）目标分析法（利用收集的目标信息） 2）领导讲话分析法（利用收集的领导讲话） 3）历史事件法（利用风险事件库） 4）基准化分析法 （利用法律、法规及公司制度） 5）问卷调查表（各种信息） 6）流程图分析法（已有内控流程、已有业务风险数据库） 7）头脑风暴法（各种信息） 8）检查表法（各种信息） （2）识别方法 Deloitte Touche Tohmatsu 2006. All rights reserved. 60 （3）风险数据库 将风险识别结果，记录在本单位公司层面风险数据库中。公司层面风险 数据库模板不唯一，可以包括但不限于以下要素： 风险名称 风险名称层级可参照集团一个层级。但不能公司层面风险数据库，也可结 合目标和业务，细化是业务操作层面风险。 风险定义 风险定义应符合本企业实际，不能照抄集团公司风险定义。“大”、“小 ” 风险关键成因（影响因素） 风险表现形式（与业务层面重要风险链接） 风险类型（四大类） 风险管理部门等要素。 3. 风险识别 Deloitte Touche Tohmatsu 2006. All rights reserved. 61 4. 风险分析 要充分利用收集信息的基础，结合控制措施有效性，分析风险发生可 能性大小、影响方面、影响程度大小。 对风险进行分析的方法，可采用问卷调查表法（评分法或其他问卷调 查法）、头脑风暴法等,也可结合实际探索、采用其他方法。 注意 参与风险分析人员的职级、风险评估方法掌握程度等 采用问卷调查表法开展风险评分时考虑评分及汇总的工作量（评分只是 一种方式、一个环节，不宜占用过大工作量和时间），评分结果要科学合 理，不能出现分值过低的重大风险。 Deloitte Touche Tohmatsu 2006. All rights reserved. 62 5.风险评价 n 风险评价方法可以采用加权平均计算法，或者管理层偏好法，也可根 据实际采用其他方法，目的是确定本单位公司层面重大风险。 n 确定重大风险的考虑： 突出管控重点（重大风险个数不宜太多）; 管控能力的评估（人力、物力、财力等管理资源,要优化、合理配置, 能够管控几个重大风险) 风险管理的紧迫性等 n 列示重大风险排序，绘制风险热力图（直观展示重大风险分布情况） n 重大风险不仅体现在报告中，而且为以后业务层面重要风险评估及应 对指明了重点管控方向。 Deloitte Touche Tohmatsu 2006. All rights reserved. 63 6. 风险应对 （1）确定风险责任部门 依据目标设置与分解情况，结合部门职责，确定风险责任部门。（可在 目标设置与分解阶段完成此项工作） 主责部门牵头完成以下工作： （2）逐一分析重大风险发生原因及特点 （3）逐一确定重大风险管理策略，具体包括： 风险偏好：依据重大风险涉及业务的管理目标，在与企业总体偏好保持 一致的情况下，确定重大风险偏好。 风险容忍度：参考重大风险涉及业务的管理目标、生产经营目标、KPI指 标等，确定重大风险容忍度具体指标。 预警指标：在容忍度范围内，参考KPI指标及管理要求等方面，确定预警 指标。与生产经营相结合，为生产经营管理服务。逐步形成本单位重大风险 预警指标体系，实现由事后控制向事前控制转变。 Deloitte Touche Tohmatsu 2006. All rights reserved. 64 6. 风险应对 根据选择的重大总体应对策略及确定的风险偏好下，制定具体的解决方案 。 根据目标定位，把握解决方案的层级和详略程度。（在企业层面） 解决方案应紧密结合企业实际，围绕年度工作目标制定。 例如：可从以下几方面着手制定，企业也可结合实际采取其他应对措施。 p 流程管控：部分重大风险可以通过流程的手段在业务层面管控。部分重大 风险的具体表现形式在业务层面，那么计划在业务层面补充识别哪些风险， 并制定控制措施；准备在业务层面新梳理或完善哪些流程及管控措施等。 p 制度管控：部分重大风险可以通过制度的手段集中管控。那么准备完善哪 些制度；新制定哪些制度。 （4）逐一确定重大风险总体应对策略（风险接受、规避、分担、减轻等） 和具体解决方案 Deloitte Touche Tohmatsu 2006. All rights reserved. 65 6. 风险应对 p 规划计划管控，部分重大风险管控措施需重新考虑纳入规划计划。准备将 完善或新增哪些战略规划、年度计划等。 p 体系管控，部分重大风险涉及业务有比较成熟的管理体系。那么准备完善 哪些业务体系内容。 p 控制环境层面管控，部分重大风险措施落实不到业务层面，可以通过加强 培训、文化宣贯等方式管控，纳入企业控制环境部分。 p 其他方面 不建议将重大风险解决方案直接细化到业务层面。 Deloitte Touche Tohmatsu 2006. All rights reserved. 7. 监督与检查 加强风险管理职能部门重大风险持续监督，列入计划 加强外部审计机构独立监督，完善重大风险管理体系 加强业务部门和单位自我监督，形成机制 加强监察、内部审计部门独立监督，列入计划 将年度风险管理报告工作 纳入考核评价 不定期抽查各单位风险管 理报告工作。（杜绝“编” 报告） 可将重大风险管控措施纳 入内控测试的内容 各单位结合实际情况，采取相应措施，针对重大风险管理策略（ 偏好、容忍度、预警指标）及解决方案落实情况，开展监督检查。可 以从以下几方面着手： Deloitte Touche Tohmatsu 2006. All rights reserved. 67 充分收集目标相关的信息 与参与部门或单位沟通 方案讨论及印发；工作启动会；风险识别、分析、应对过程中，工作模 板简洁明了，沟通要准备充分，预判工作难点，必要时风险管理人员先做一 遍。风险事件定期上报。 与上级公司交流 方案具体、完整，及时上报； 及时上报月度工作总结，内容具体； 风险管理报告上报； 分片区交流会；对有需求单位，总部会派人到单位指导交流等。 8.信息与沟通 Deloitte Touche Tohmatsu 2006. All rights reserved. 68 企业间交流 分片区交流会； 总部组织的培训会，典型引路； 网络平台（内控主页）等。 咨询外部专家或机构。 “关注过程，确保成果，重在作用”！风险管理报告工作不是阶段性工 作，而是年度风险管理工作的起点，为下步风险管理工作指明了方向，终点 是年度乃至后期风险管理的成效。 8.信息与沟通 Deloitte Touche Tohmatsu 2006. All rights reserved. 69 （一）集团公司风险管理报告 （二）企业风险管理报告 （三）业务层面风险评估 Deloitte Touche Tohmatsu 2006. All rights reserved. 70 （三）业务层面风险评估 以铁路运输业务风险评估为例