风险控制分析培训(讲解稿).ppt

中国石油集团海洋工程有限公司二OO七年四月二十日,风险控制分析讲解,内容,第一部分风险管理基本理论第二部分如何进行风险控制分析,第一部分风险管理基本理论,风险管理历史沿革全面风险管理的一般概念全面风险管理的实践如何实施全面风险管理,法人治理结构,法人治理结构,综合内部控制体系,法人治理结构,综合内部控制体系,全面风险管理,时间,企业管理核心范围,目标范围扩大；标准化加强,风险管理历史沿革,企业风险管理技术的三个发展阶段：,全面风险管理的背景,风险种类增加，风险日益复杂，导致企业灾难频发,世通安然德隆集团中航油中储棉长虹集团大宇集团。,利益相关者的要求,股东追求收益的稳定持续增长社会要求企业承担社会责任员工要求职业生涯的不断发展。,风险管理技术和工具的不断创新,流程控制VAR方法投资组合理论基于风险的绩效考核计算机模拟技术信息系统,合规性要求,萨班斯法案公司法证券法消费者权益保护法。,全面风险管理,案例介绍,历史背景：中国最大的彩电生产商最后结果：由于信用风险2004年损失约3.1亿美元左右风险分析：家电市场竞争激烈，库存居高不下；当地政府追求GDP增长，一定程度上增加了企业领导人向外出口的压力；客户选择不慎；缺乏有效的信用管理措施，如先交货后付款，又没有设立止损额，导致应收帐款不断增加。忽视了美国反倾销的风险,长虹巨额亏损,案例介绍,历史背景：韩国第二大企业集团最后结果：1999年负债高达650亿美元，宣告破产风险分析：世界化经营的发展战略；97年亚洲金融危机；低估了自身的高负债风险；高估了自身的经营能力和出口能力，低估了经营风险；寄希望于政府施援，低估了政治风险；,大宇集团解体,对我们的启示,实施全面风险管理！,企业必须认识自身面临的风险，并且必须从战略的高度对风险进行系统化的管理！,风险的内涵和外延全面风险管理的定义传统风险管理与全面风险管理全面风险管理与全面质量管理全面风险管理与现行管理体系全面风险管理的目标和作用,全面风险管理的一般概念,1、风险是损失的可能性。2、风险是未来的不确定性对企业实现其既定目标的影响。,行为目标曲线,可能的实际曲线,可能路径的概率分布,风险定义,风险是有关未来的风险是有关不确定性的风险是与目标有关的,风险的内涵,风险几乎涵盖了企业的所有内外部因素和管理活动。外部环境的不确定性对企业的影响可以称之为风险，如社会政治风险、供应链风险、市场风险、竞争对手风险、技术革新风险、法律法规风险、自然地理环境风险、灾害风险等。,风险的外延,企业决策和经营活动中的不确定性可称之为风险。企业内部的风险来自企业的各个流程。,风险的外延（续）,风险管理是基于未来对企业现状的管理；风险管理是目标管理；风险管理是对企业内外部环境的管理,风险管理的本质,全面风险管理定义,全面风险管理是使企业在实现其未来战略目标的过程中，将企业面临的不确定性和变化所产生的影响控制在可接受范围内的过程和系统方法。,全面风险管理解读,全面风险管理是一种理念：对企业的认识：企业的使命是实现企业利益相关人的利益最大化。对企业环境的认识：在企业实现战略目标的过程中，不确定是唯一确定的，即企业处于不确定的环境之中。对企业管理的认识：强调战略、风险与流程活动的统一。,全面风险管理解读（续）,全面风险管理是一种态度：积极、主动的管理风险，而不是被动、消极地管理风险,被动应对风险,主动管理风险,将风险看作外在的东西，类似于“不可抗力”，企业只能接受。基于这样一种认识，企业经营者一般会漠视风险，抱有侥幸心理。当风险发生时，企业只能匆忙应对，导致重大损失甚至破产。,将风险管理作为一种价值创造活动，积极地面对风险，从战略的高度并采取系统地方法主动去认识风险、管理风险。当风险发生时有充分的准备，可以将风险控制在企业能够承担的水平。,全面风险管理（续）,全面风险管理是一种管理方法：风险管理方法和工具的集合：统计学的方法在险值（VAR）方法投资组合理论全面风险管理涵盖了从战略管理到运营管理的各种方法，为传统管理方法赋予了新的活力：MRP、ERP、TQM、6西格玛、CRM、平衡记分卡。,全面风险管理解读（续）,全面风险管理的全面性体现在：风险的全面性管理企业面临的所有重大风险人员的全面性从公司CEO到基层员工全面参与应对方法的全面性采取多样化、系统的应对方法,全面风险管理解读（续）,全面风险管理不是:成立一个部门，由单一部门负责管理、控制企业的所有风险；一次“运动”；编制一堆手册和制度；购买一台大型计算机收集风险信息。而是:将风险管理纳入企业战略框架之下，实现风险与战略和经营活动的统一；融于流程，持续的、贯穿于日常业务和管理的活动；基于风险的决策，包括基于风险的绩效考核和资源配置；整合而不是单一的风险管理措施，实现有效的风险控制；与企业利益相关人的有效沟通。,全面风险管理继承和发展了传统风险管理的体系和方法，是当今世界风险管理的最佳实践。,全面风险管理与传统风险管理,全面风险管理与现行管理体系,全面风险管理不是独立于现有管理体系的另外一个体系全面风险管理是对现有数据的挖掘和利用全面风险管理是对现有管理体系的整合全面风险管理是对现有管理职能的强化全面风险管理的内容融入现有管理职能,5.遵守法律法规,4.可靠的信息沟通，包括可靠的财务报告,3.有效和有效率的运营,2.保护企业不致因灾害性事件或错误而遭受重大损失,1.达到与企业整体经营战略相结合的风险最优化,全面风险管理的目标,全面风险管理的最终目标是为企业实现经营目标提供合理保证,影响程度,COSO-ERM框架,在COSO-I的基础上，增加了控制环境、事件辨识、风险反应三个要素，将风险管理活动的目标扩展到战略目标。将内控框架置于风险管理框架之下。,指引中的全面风险管理框架：,全面风险管理框架,风险管理策略强调企业总体战略和风险偏好的一致性，将企业成长、回报与风险联结起来，对企业风险管理具有指导作用。,全面风险管理程序是一个循环的过程，可针对整个企业或单个部门、流程和风险运行。,全面风险管理体系是风险管理的基础。,中央企业全面风险管理指引,指引全面风险管理框架要素：,指引与COSO-ERM框架的关系,COSO-REM框架要素：,控制环境,目标设定,事件辨识,风险评估,风险反应,控制活动,信息与沟通,监督改进,风险管理初始信息,风险评估,风险管理策略,风险管理解决方案,风险管理监督改进,信息与沟通,风险管理组织体系,风险管理信息系统,风险管理文化,内控活动,风险理财,风险管理信息系统,相同点：目标相同；都是全面风险管理的框架，各要素的实质内容相同；均适用于不同组织，以及同一组织的不同层面；最终的实施都落实到企业的流程、制度层面。不同点：指引相比COSO-ERM框架，要素之间关系的描述更为清晰；指引突出风险管理解决方案，强调风险管理手段的系统性、多样性；而COSO-ERM框架源于COSO内控框架，突出风险控制活动，强调流程、制度对风险的控制作用。两者细节上的差别体现在方法论上。指引将风险评估放在风险管理的第一步，通过系统评估公司各个层面的风险，统一制定公司的风险应对策略，包括战略调整、组织结构调整、流程制度调整等；COSO-ERM框架各要素间关系相对独立，实施过程中易相互脱节。指引最终的实施不仅要落实到企业的流程、制度层面，更强调要落实到信息系统平台上。,指引与COSO-ERM框架的关系（续）,进入21世纪以来，行业竞争、法律规定、股东要求以及频频发生的企业灾难，使得国外企业加快了全面风险管理的实施步伐。,国外全面风险管理的实施,国内企业风险管理的现状,总体说来，中国企业现有的风险管理处于低水平，主要表现为：企业普遍缺乏风险意识。企业没有将风险管理纳入企业总体战略框架中。企业内控系统不健全，或即使内控系统健全但不能得到有效执行。在企业绩效考核、产品或资产定价方面没有引入风险因素。缺乏有效的风险管理手段。,中央企业实施全面风险管理情况简介,实施全面风险管理必须遵循一定的顺序：,II设计阶段,I评估阶段,风险管理文化建设,建立基础信息框架,风险辨识和评估,风险管理现状诊断,风险偏好风险承受度,测试改进,风险管理信息系统,全面风险管理方法论,信息与沟通,制定风险管理解决方案,制定风险管理策略,风险应对策略,III实施阶段,风险管理组织职能,流程梳理和完善,风险管理制度,建立基础信息框架,建立基础信息框架是所有风险管理工作的基础。基础信息的来源是多方面的，而且需要随时间的推移不断补充和完善。,参见指引第二章1117条,风险评估是风险管理的基础,吉德林法则：认识到问题就等于解决了一半,风险评估,要点：,高管层的参与评价风险是否重大的标准评估工具的使用,内容：辨识、分析、评价三部曲定性和定量相结合确定优先次序动态管理，滚动评估,参见指引第1825条,风险评估（续）,风险辩识的方法自上而下和自下而上相结合,风险评价即对各种风险进行比较，确定风险的大小。风险评价的基础是统一的风险度量标准。对于不同的风险，在不同的情境下可用不同的风险度量方法来度量。最大可能损失标准差VAR值发生的可能性和对企业目标影响程度任何风险均可以定义为风险事件，用其发生的概率和对目标的影响程度两个指标来度量。,风险评估（续）,工作内容,公司层面的风险：根据集团公司指引的要求，通过风险管理模型的风险列表，设计海洋公司风险评估问卷，发放74份，回收57份，回收率77%。通过对问卷进行统计分析，判断风险列表中的各类风险发生的概率和影响的重要程度，识别风险关联，对风险进行分类，解读“十一五发展规划”对风险管理的需要，对筛选的公司层级的风险编写了公司层面风险及对策指引表业务层面的风险：通过业务流程风险控制分析，借鉴同行业的风险数据库，利用头脑风暴法，沟通研讨法等形式，识别目前业务存在或潜在哪些风险，编写了业务层面的风险数据库,风险评估（续）,自上而下的风险辨识：,确定企业或流程的目标,分析实现目标的关键成功因素,辨识影响目标实现的风险事件,战略目标运营目标财务目标合规目标安全目标人力资源目标。,人才技术设备资金环境政策竞争对手。,人才流失投资决策失误新技术突破，技术落后设备发生故障全球气候变暖天然气定价政策变化竞争对手发现新的油田。,风险评估（续）,自下而上的风险辨识：,指引分类标准：战略风险运营风险财务风险灾害性风险法律风险,巴塞尔协议分类标准：市场风险信用风险运营风险,示例,企业层面的风险风险列表,海洋公司层面的风险列表,环境风险,竞争者,需求风险,敏感性风险,技术风险,资金充足性,投资者信任,法律法规,主权/政治,金融市场,行业,灾难性损失,营运风险：客户满意人力资源知识资本建造设计效率装备能力业绩差异业务周期资源风险渠道有效性经营伙伴符合性业务中断质量HSE被侵权,财务/金融风险：利率风险货币/汇率股票/股权价格金融工具现金流机会成本市场集中坏账客户集中交割风险抵押风险,授权风险：领导能力信任权力/控制外包适应能力风险沟通线效考核,信息处理/技术风险相关性真实性使用机可得到性基础构架,道德风险：管理层舞弊员工、第三方舞弊违法越权使用声誉,流程风险,财务范围决策风险：预算和计划会计信息财务报告评价税收退休基金投资评估法定报告,战略范围决策风险：环境考察业务模式经营组合价值衡量组织结构战略评价资源分配计划生命周期,流程范围决策风险：产品/服务价格合同承诺评价（营运）风险与（战略）背离风险,决策信息风险,根据企业风险管理模型，设计海洋公司调查问卷,内控体系建设是为了强化公司的风险管理基础，实现公司的发展战略目标而实施的。此次问卷调查的目的是进一步了解公司的风险管理客观情况、为提升风险管理水平需要收集必要的评价信息。（问卷回收57份，回收率为77%，有效率为100%）在发放问卷的过程中，得到了公司领导和员工的大力支持和积极配合，使得本次问卷调查得以顺利进行。,问卷调查背景、目的,问卷发放和回收情况,解读”十一五发展规划“，识别战略目标实施的风险管理的需求,解读”十一五发展规划“，识别战略目标实施的风险管理的需求,编制公司层面风险中国石油集团海洋工程有限公司公司层面风险及对策指引表,结合海洋公司的实际情况，针对具体业务流程建立海洋公司的风险数据库进行控制现状分析，完成风险控制文档，发现控制设计缺陷收集整理规章制度（能够及时提供相关规章制度）,风险控制分析的主要目的,第二部分如何进行风险控制分析,一、风险控制分析的基础知识介绍二、风险控制分析模板及操作三、风险控制分析注意事项,导读,一、风险控制分析的基础知识介绍二、风险控制分析模板及操作三、风险控制分析注意事项,风险分析基本概念风险评估风险反应控制分析基本概念设计原则控制有效性评价,基础知识介绍,风险分析基本概念风险评估风险反应控制分析基本概念设计原则控制有效性评价,基础知识介绍,风险的定义,风险的定义：风险是某个事件将出现并严重影响目标实现的可能性,经营决策风险违反法律法规风险财务报告失真风险资产安全受到威胁营私舞弊风险,风险的分类（1）,战略风险财务风险市场风险运营风险法律风险,1）经营决策风险：影响决策的时效、依据和质量等。,例如：预算目标脱离实际没能以合理的价格取得物资或服务投资决策失误导致投资失败产品不能及时适应市场的变化和需求,风险的分类（2）,2）违反法律法规风险：没有全面执行国家法律、法规和政策规定。,例如：合同条款违法偷税坐支现金污染物的排放不符合国家环保规定,风险的分类（3）,3）财务报告失真风险：企业未完全按会计准则、制度等规定组织会计核算和披露信息，导致财务报告在完整性、准确性等方面存在问题,例如：将资本化的支出费用化或将费用化的支出资本化会计记录错误（金额、科目、期间错误）帐实不符产品交接计量错误,4）资产安全受到威胁：指管理制度不健全或执行不到位，企业实物资产如设备、存货、证券、资金和其他资产的安全受到威胁,例如：挪用现金存货毁损被盗资产处置未经适当的授权导致资产流失,5）营私舞弊风险：以故意的行为获得不公平或非法的收益,例如：人为调节收入挪用现金与审计师合谋篡改审计报告偷税,风险的分类（4）,五类风险之间并没有严格的界线，同一风险可能对应多个风险类别,例如：挪用现金即影响资产的安全又涉及到营私舞弊风险。所以，在填列风险控制文档时，同一风险可能对应多个风险类别,风险分析基本概念风险评估风险反应控制分析基本概念设计原则控制有效性评价,基础知识介绍,风险评估：是指管理层采用定量或定性的方法，考虑企业潜在事件发生的可能性及对实现企业目标的影响程度,风险评估的概念,风险识别,风险分析,风险评价,查找企业各业务单元、各项经营活动及其重要业务流程中是否有风险，有哪些风险,对识别出的风险及其特征进行明确的描述，分析风险发生可能性的高低、风险发生的条件、风险之间的关系等,评估风险对企业实现目标的影响程度、风险的价值等,风险评估的步骤,在风险评估过程中，应在考虑固有风险和剩余风险的基础上对企业的风险进行评估,固有风险：管理层不采取任何措施去改变风险的可能性或影响的情况下企业所面对的风险剩余风险：管理层在对该风险采取措施后仍然存在的风险,风险评估的主要工作,制定风险评估标准,确定合适的风险评估方法,对风险进行评估和分析,建立风险数据库,按照公司特性，充分分析企业规模、业务的复杂性、信息处理方法、适用的法律法规等，结合管理层的判断，制定风险评估标准,根据业务活动、业务流程描述和风险评估标准，选择确定合适的风险评估方法,根据确定的目标，结合事件库，建立合适的风险评估程序即对风险在业务流程中进行具体识别和确认，分析风险的重要性程度、评估风险发生的可能性或频率，确定其风险等级,对风险进行描述，建立风险数据库,主要工作,详细内容,头脑风暴（小组讨论，集思广议）参考专业机构的风险数据库调查问卷法流程图分析法财务报表分析法相关规律、经验及专业判断,风险识别的主要方法和工具,风险数据库,以集团总部确定的一级业务流程为基础参照中油股份和其他类似企业的相关资料，从五类风险入手，考虑影响完整性、准确性、有效性、接触性等目标的具体问题，讨论存在的风险,风险分析基本概念风险评估风险反应控制分析基本概念设计原则控制有效性评价,基础知识介绍,风险反应的概念,风险反应：管理层在评估相关风险后，按照风险管理优先顺序和风险管理策略，结合风险预警机制，对各类风险或每一项重大风险制定、评估和选择风险管理解决方案，确定如何应对风险,风险反应应考虑的基本因素:风险管理的难度风险事件发生的可能性和影响合规的需要对企业技术准备、人力、资金的需求利益相关人的要求,风险管理的有效性标准是指企业衡量企业风险管理是否有效的标准风险管理有效性标准的作用是帮助企业了解：企业现在的风险是否在风险承受度范围之内，即风险是否优化企业风险状况的变化是否所要求的，即风险的变化是否优化因此，量化的企业风险管理有效性标准可以基于企业风险承受度的度量,风险管理的有效性标准,风险反应重点应关注的内容,风险管理策略：风险管理策略指企业根据自身条件和内外部环境，围绕企业发展战略和制定的目标，确定风险偏好、风险承受度、风险管理有效性标准，选择适合的风险管理工具，并确定风险管理所需资源的配置原则。风险偏好和风险承受度“承担什么风险？承担多少？全面风险管理的有效性标准“怎样衡量我们的风险管理工作成效？”风险管理的工具选择“怎样管理重大风险？”全面风险管理的资源配置“如何安排人力、财力、物资、外部资源等风险管理资源？”,风险管理解决方案：风险管理解决方案一般应包括风险解决的具体目标，所需的组织领导，所涉及的业务管理流程，所需的条件、手段等资源，风险事件发生前、中、后所采取的具体应对措施以及风险管理工具。风险管理解决方案一般可分为四类：规避风险、减少风险、分担风险、接受风险。,规避风险：指企业退出产生风险的各类活动减少风险：指企业采取能减少风险发生可能性或减少风险影响，以及采取能同时减少风险发生可能性和影响的各类活动分担风险：指企业转移或者分摊风险的各类活动接受风险：指企业对风险不采取任何行动,风险反应的主要工作,制定风险管理解决方案,评估风险管理解决方案,选择风险管理解决方案,根据风险管理解决方案的标准，结合企业风险偏好等实际情况，对自身面临的风险制定具体的风险管理解决方案,评估方案的效应评估方案成本和收益评估外包风险管理方案的可行性评估方案的内容,在对风险管理解决方案进行评估后，管理层选择能使风险可能性和影响维持在风险承受度范围内的一种风险管理解决方案或者组合管理解决方案,选择风险管理解决方案时，着重考虑以下因素：风险容量和风险承受度：在评估风险管理解决方案时，要考虑采取方案后的剩余风险是否在企业的风险容量和风险承受度之内成本和收益：对实施风险管理解决方案进行成本和效益测算方案的机遇：考虑风险方案中的机遇，分析是否有机遇价值超过风险的情况,风险分析基本概念风险评估风险反应控制分析基本概念设计原则控制有效性评价,基础知识介绍,基本概念,控制目标控制活动控制活动分类,完整性控制（C）：指建立完整规范的控制体系和标准；生产经营和财务信息数据的采集、记录和处理完整，无遗漏和重复例如：,把当期所有的合同信息都完整地、不重复地录入合同管理系统按照会计确认收入的原则，将当期所有的销售收入记录下来保证合并报表的原始数据包括了所有需要合并的会计核算单位的数据,控制目标（1）,准确性控制（A）：指所有信息和数据计算、归集和记录操作等准确例如：,保证账务处理的金额是准确的在采购业务中，合同上的价格、数量应该准确销售收入应当记入正确的会计期间发票内容与销售交易内容或合同应当一致,有效性控制（V）：指所有的生产经营活动都经过适当的授权和批准，都是真实发生的，并按规定保存有效的原始文件例如：,控制目标（2）,付款经过适当级别的审批记录的销售收入是真实的费用支出与公司的业务相关，且符合公司的费用开支标准,接触性控制（R）：指信息处理和实物资产的保护和安全控制例如：,防止存货和实物资产的偷窃和遗失会计人员只能在授权的情况下，编制与自己分管业务相关的会计凭证对企业投资实施计划的保密，防止被不相关的人员了解,控制活动：指保证管理层的指令得到有效执行的政策和程序。控制活动存在于组织所有职能的各个层面，他们包括一系列的活动,控制活动（1）,1）不相容职务相互分离控制要求按照不相容职务相分离的原则，合理设置相关工作岗位，明确职责权限，形成相互制衡机制。不相容职务主要包括：授权批准、业务经办、会计记录、财产保管、稽核检查等职务。例如：单位应当将办理销售、发货、收款三项业务的岗位分别设立,2）授权批准控制要求明确规定涉及相关工作的授权批准的范围、权限、程序、责任等内容，单位内部的各级管理层必须在授权范围内行使职权和承担责任，经办人员也必须在授权范围内办理业务。例如：应对采购与付款业务建立严格的授权批准制度,3）会计系统控制要求依据会计法和国家统一的会计制度，制定适合本单位的会计制度，明确会计凭证、会计账簿和财务会计报告的处理程序，建立和完善会计档案保管和会计工作交接办法，实行会计人员岗位责任制，充分发挥会计的监督职能。,控制活动（2）,4）预算控制要求单位加强预算编制、执行、分析、考核等环节的管理，明确预算项目，建立预算标准，规范预算的编制、审定、下达和执行程序，及时分析和控制预算差异，采取改进措施，确保预算的执行。,5）财产保全控制要求限制未经授权的人员对财产的直接接触，采取定期盘点、财产记录、账实核对、财产保险等措施，确保各种财产的安全完整。,控制活动（3）,6）电子信息技术控制要求运用电子信息技术手段建立内部会计控制系统，减少和消除人为操纵因素，确保内部会计控制的有效实施；同时要加强对财务会计电子信息系统开发与维护、数据输入与输出、文件储存与保管、网络安全等方面的控制。,预防性控制：事前的控制，如：合同需要经过审批发现性控制：事后的控制，如：编制银行存款余额调节表人工控制：由手工而不是由计算机系统实施的控制。如：授权签字自动控制：由计算机系统实施的控制。如：禁止未授权的用户登录系统,控制活动可以按不同标准进行分类，在进行风险控制分析时主要从以下方面考虑：,控制活动分类,风险分析基本概念风险评估风险反应控制分析基本概念设计原则控制有效性评价,基础知识介绍,1、合规、合法性原则：应当符合国家的法律法规，同时符合企业实际，满足利益相关者的监管要求2、全员性原则：内控涉及内部全体员工，并对全体员工具有约束力3、全面性原则：内控应涵盖内部各项经济业务及相关岗位，并针对业务处理过程中的关键控制点，落实到决策、执行、监督、反馈等各个环节,设计原则,4、内部制衡原则：内控应保证机构、岗位、的合理设置及其职责权限的合理划分，坚持不相容职务相互分离，确保不同机构和岗位之间权责分明、相互制约、相互监督5、成本效益原则：内控应遵循成本效益原则，以合理的控制成本达到最佳的控制效益6、适应性原则：内控应随着外部环境的变化、公司业务职能的调整和管理要求的提高，不断修订和完善,设计原则,风险分析基本概念风险评估风险反应控制分析基本概念设计原则控制有效性评价,基础知识介绍,控制是否与企业的业务流程及相关风险相匹配控制是否满足完整性、准确性、有效性和接触性四要素控制是否能够及时发现和预防风险（控制实施的频率）控制实施人员是否有足够的知识和经验是否实施职责分离控制中发现的问题是否能够及时处理在实施控制中所使用的信息是否可靠控制是否适应变化的环境,控制有效性评价（1）,控制有效性评价（2）,导读,一、风险控制分析的基础知识介绍二、风险控制分析模板及操作三、风险控制分析注意事项,了解如何填列风险控制文档了解风险控制文档填列过程中可能遇到的问题和解决方法了解如何将风险控制文档和流程图、文字说明进行对应,风险控制分析模板及操作的主要目的,风险控制分析的作用及重要性,现有业务流程中的内控措施是否全面地涵盖了所有风险，并能够有效的防范并发现风险现有控制措施设计是否充分，是否形成充分的实施证据现有规章制度文件是否完善风险控制文档，详细的体现业务流程中存在的风险和控制措施设计的情况。它是对现有规章制度进行描述和分析的主要载体，亦是联结业务流程、风险、现有控制措施、规章制度文件的工具通过使用风险控制文档，将风险对应到具体的业务流程中，了解在实际工作中如何控制这些风险，并将这个过程文本化风险控制文档记载并体现了风险控制分析所发现的控制缺陷和不足，是后续进行差异分析、控制完善的重要基础和依据,风险控制分析模板,背景栏部分正文部分文档格式文件及文件夹的建立,风险控制文档编制标准,单位名称业务流程名称当前子流程名称单位编码业务流程编码当前子流程编码版本编制部门编制人,风险控制文档编制标准背景栏,单位名称:统一列示“中国石油集团海洋工程有限公司”,单位名称,业务流程名称：按照业务流程目录列示财务流程：二级财务子流程名称，如“油气及固定资产管理和核算”非财务流程：一级流程名称，如“物资采购”当前子流程名称：财务流程：在二级流程下按流程层次连续列示其流程名称，如“租赁管理”非财务流程：在一级流程下按流程层次连续列示其流程的名称，如“应付账款管理预付账款”,业务流程名称,单位编码:暂留空业务流程编码：按该业务流程相应的编码列示当前子流程编码：按该业务当前子流程相应的编码列示,单位、业务流程、当前子流程编码,最后更新时间：最后上报时间，格式为四位年两位月两位日期（yyyy-mm-dd)版本：由中国石油内控项目组统一制定,最后更新时间、版本,控制点编号风险类别风险描述控制目标的类型控制目标具体描述关键控制编号现有控制措施控制方法,控制类型控制频率控制实施证据控制文件的文号及名称有风险但无相应的控制控制不充分现有控制文件存在的问题,风险控制文档编制标准正文,控制编号以小数点为界，分成两部分：小数点之前的部分表示相对应的风险的编号，小数点之后的部分表示对应该风险各个控制的编号，并在编号后加M或A以区分人工或自动控制，如：1.1A、1.1M、1.2M等应对所有的控制点进行编号，控制点编号必须和流程图中的编号对应风险点应参照总部下发的风险数据库填写,控制点编号,将所识别的风险在该栏目详细描述参考风险数据库的内容，根据本单位的实际情况进行风险识别和描述。若对风险数据库进行删减、增加、修改应加以解释对于增加的风险，有关风险描述的文字要清晰地反映影响目标实现的因素,风险描述,根据所选的控制目标的类型，具体描述针对风险的控制目标,控制目标具体描述,根据关键控制文档，确定是否关键控制措施，若是，则加以标注：如K1、K2等,关键控制编号,根据谁（岗位）负责执行控制控制的具体内容,现有控制措施,“自动”控制：由系统自动设置控制，为避免风险采取的措施。例如：超出信用额度，系统自动限制发出货物及开出发票“人工”控制：由被授权的人员执行的控制。例如：财务经理审核银行余额调节表。应付账会计核对发票，入库单及合同,控制方法（自动/人工）,“预防性”控制：在风险发生之前，为避免风险采取的措施。例如：制定政策、准备备查清单、合同在执行前需要审批，等为预防性控制“发现性”控制：事后做的、为及时发现问题而采取的措施是发现性控制。例如：核对财务系统和资产系统的余额是否一致，审核记账凭证是否准确、编制银行存款余额调节表等,控制类型（预防性/发现性）,该栏目注重描述什么时候，多久进行的控制,控制频率,控制实施的证据是指在实施现有控制时所使用的报告、表单、签字等如果在实施现有控制时没有使用相应的报告、表单、签字等，则应填“无”在实施现有控制时使用了相应的报告、表单，但在文件和规章制度中没有相应的规定，应作为文件不完善在“现有控制在规章制度方面存在的问题”进行描述,控制实施证据,该项控制的管理制度文件的文号和名称若没有控制文件，则应填“无”,控制文件的文号及名称,如果存在有风险但是没有相应控制的情况，此处应说明没有控制的原因，相应的控制描述栏从“现有控制措施”到“控制文件的文号及名称”应填写“无”若没有这种情况，则应填“不适用”,有风险但无相应的控制,应对控制不充分的原因进行描述若不存在控制不充分这种情况，则应填“不适用”,控制不充分,如果缺少文件，则应填“缺少文件”如果文件不完善，则应对文件不完善的原因进行描述，着重描述所缺少的控制文档要素。如：会计基础工作规范中未明确复核记账凭证的具体岗位和具体操作要求；财务资产处岗位职责中未明确工程结算科科长复核记账凭证的职责若没有这种情况，则应填“不适用”,现有控制在规章制度方面存在的问题,文档格式背景栏,字体:中文：12号，宋体，粗体；西文（包括英文、数字、字符等）12号,粗体，TimesNewRoman与正文空一行,文档格式正文（表头）,保证表头部分包括的内容与标准模板一致字体：中文10号，宋体，粗体；西文10号，TimesNewRoman位置：上下居中，左右居中,文档格式正文（表体）,表体部分：字体：中文9号，宋体；西文9号，TimesNewRoman选择CAVR类型时，使用对号，即（“”）表示；不要使用英文“V”位置：文字居左，居上；对号上下居中，左右居中,文档格式,边框：正文部分的边框，粗细采用默认设置页边距的规定：左，右，上，下，以厘米为单位需标定相应的厘米数打印：保证横向在一个A4页中针对风险控制文档的背景栏部分和表头部分，需要在每一个打印页重复出现设置方法：进入文件“页面设置”，选择工作表一栏，通过顶端标题行选择需要重复出现的单元格删除没有内容的空行,文件及文件夹的建立,风险控制文档应以需要编制风险控制文档的末级子流程为单位编制风险控制文档建立文件的层次和文件夹结构应与相应的流程图相同，例如，如果相应的流程图在二级流程的层次上建立文件，风险控制文档也应在二级流程的层次上建立文件，并将下属末级子流程的风险控制文档在同一文件中建立不同的工作表表示，该工作表以末级子流程的流程编码流程名称命名,导读,一、风险控制分析的基础知识介绍二、风险控制分析模板及操作三、风险控制分析注意事项,进行风险控制差异分析的目的，主要