中石油风险评估培训材料

风险评价培训资料，集团公司内部控制部2008年1月，2，1，风险管理概要二，集团公司内部控制系统建设范围的确认三，集团公司风险数据库的介绍四，风险与控制活动的关系五，现阶段的工作内容，主要内容，三，如何定义：风险是可能影响实现目标的因素。 危险发生的风险，结果的不确定性不能满足期望，失去机会，4，如何理解风险管理？ PS/nzs 4360603353999风险管理的定义：风险管理能发现和理解组织中风险的各个方面，付诸明智的行动，帮助组织实现战略目标，减少失败的可能性，减少不确定的经营结果。 5、该如何理解风险管理呢？ COSO企业风险管理的定义：企业风险管理是由公司董事会、管理层和其他员工执行，制定公司战略并应用于整个公司，确定可能影响公司的潜在事项，将风险降到公司可接受的水平，为实现公司目标提供合理的保证的流程。 6、风险管理发展史，7、为什么风险管理越来越重要？ 不断变化的驱动因素，持续的变化，不确定性的增加通信技术的进步和网络全球化的竞争贸易自由化和投资全球化的无数金融衍生工具的组织结构的变化，分裂、剥离、重组、体制改革的更高的顾客，期待法律法规的变化随时出现的外部危机，8，为什么？ 国外、国内风险管理和内部控制法律法规的要求，2006年国内公布了很多风险管理和内部控制法律法规9，为什么风险管理越来越重要？ 全球风险管理和内部控制法律和规则的发展趋势，采用了2002年7月美国萨班斯-奥克利法生效的2003年3月澳大利亚证券交易所(ASX )及其公司治理委员会良好公司治理原则和最佳实务操作建议年11月香港联交所公布的公司治理实务和公司治理报告的准则， 2005年2月加拿大安大略证券委员会要求管理层评价和测试财务报告内部控制系统(mi52-111 )，公司治理报告要求每年审查公司治理的有效性，2005年5月新加坡交易所制定了加强上市规定和手续的计划10、为什么风险管理变得越来越重要？ 全球风险管理和内部控制法律和规则的发展趋势，德国于2002年2月在德国公司治理准则英国TurnbullGuidance，1999 teconnitydcodeoncorporategovernance， 发表了Jul2003的financialreportcouncilEU于2004年10月推出了欧洲公司治理论坛 (eureancorporategovernanceforum ) ec4t hand7th directive-consultation日本2000 11、为什么风险管理变得越来越重要？ 中国风险管理和内部控制法规的发展，于2006年6月国务院国有资产监督管理委员会发表国有资产改革2006108号中央企业全面风险管理指引年6月提交的上海证券交易所上市公司内部控制指引年7月财政部成立“企业内部控制标准委员会”2006年9月公布的深圳证券交易所上市公司内部控制指引，12，为什么风险管理国资委2006108号中央企业全面风险管理指引、全面风险管理是指企业围绕总体经营目标，在企业管理的各环节和经营过程中实行风险管理的基本流程，培养良好的风险管理文化，健全建立全面风险管理体系，完善风险管理战略、风险资产管理措施， 为实现风险管理的总体目标提供合理的保证流程和方法，包括风险管理的组织功能系统、风险管理信息系统和内部控制系统。 风险管理的基本流程包括收集风险管理初始信息、风险评估、制定风险管理战略、监控和改进风险管理解决方案和风险管理。13、为什么风险管理变得越来越重要？ 财政部企业内部控制规范基本规范摘要，第四条：“内部控制董事会、管理层和全体员工共同实施、合理实现基本目标的一系列控制活动”的基本目标是“企业战略、经营效率和效果、财务报告和管理信息的真实、信赖和完全、资产安全完全， 按照国家法律法规和有关监督要求”、“有义务对外提供财务报告的企业财务报告和管理信息的真实性、可靠性和完整性，有条件的，还必须同时实现其他控制目标”，基本规范从形式上参考了COSO报告5要素框架，同时在内容上体现了风险管理8要素框架的本质。 十四、挑战和成功的因素使企业进入风险管理的新阶段。 虽然企业风险管理不是新概念，但实施大规模风险管理的企业总是被定义和实施“阶段性”。 15、集团公司内部控制系统的建设项目遵循以下原则： 推进全面的企业风险管理，要在近期找到合适的起点，逐步建立相应的体系，在建设过程中统一认识，为实现长期目标做准备。 16、集团公司内部控制系统建设项目遵循以下原则： 财政部企业内部控制规范中“因为企业的经营管理活动最终反映在财务报告中，所以要抓住财务报告内部控制的主线，在一定程度上掌握企业的经营管理和内部控制的中心和主体”的想法。 - -借鉴- 企业内部控制规范起草说明股份有限公司的经验，本项目最有效的要点是“财务报告风险”，以“避免财务重大错误”为目标。 17、集团公司内部控制系统建设项目应遵循以下原则，同时考虑国资委员会的监督要求，于2008年6月完成集团公司风险控制年报，集团对公司级各风险(战略风险、财务风险、市场风险、运营风险、法律风险)实行18、风险管理的一般流程、19、目标设定、目标设定是事件识别、风险评估和风险反应的前提。 企业必须首先鉴定目标。 然后，管理层识别和评估影响目标达成的风险，采取必要的行动来管理这些风险的战略目标经营目标报告目标合规目标。 20、风险识别是一个寻找公司重要经营管理活动和重要业务流程中存在的影响目标达成的风险和机会的流程。 公司从公司层、业务活动层动态地识别影响公司战略目标和相关目标的各种内部和外部不确定性因素。风险识别、21、风险评估、了解潜在事件对企业目标有多大的影响，从两个方面评价风险。 发生可能性的影响程度、22、风险应对-1、确定和评价风险应对方法可以根据企业风险优先、潜在风险应对措施的成本效果来评估各种风险应对措施，以及各种风险应对措施能降低风险影响程度，以及/或者发生可能性基于风险和应对措施的组合评价，选择适当的应对措施风险应对的四种选择实施：回避、控制、转移和负担、23、风险应对-2、避免风险发生的各种活动。 回避风险的例子，有可能停止使用某条生产线，停止向新的地区市场扩大业务，或者出售公司的分店，剥离赤字业务，缩小经营规模。 控制是采取行动，控制降低风险的可能性和影响的程度。 所谓转移，是通过合同将风险转移给第三方，企业对转移后的风险没有所有权。 完全接受，设定损失目标和容许水平，设定重要风险指标，监视，制定恢复计划，准备纠正措施，事先筹措资金。、24、控制活动、业务水平通过业务流程中的控制活动降低影响目标的风险，25、一、风险管理概要二、集团公司控制系统建设范围的确认三、集团公司风险数据库介绍四、风险与控制活动的关系26、集团公司控制系统建设范围的确认，集团公司主要业务流程的认定是基于集团公司的流程结构，通过定性和定量分析，目前已完成集团水平的主要业务流程目录初稿。27、集团公司主要流程目录示例、28、一、风险管理概述二、集团公司内部控制系统建设范围确认三、集团公司风险数据库介绍四、风险与控制活动关系五、现阶段工作内容、主要内容、29、三、集团公司风险数据库的形成(二)风险数据库的结构、30、风险数据库是进行风险记录的工具。 风险数据库记录整个集团公司的风险，记录每个流程中可能发生的风险，并记录风险属性。 例如，是否有财务风险。 (1)风险数据库的形成，31，根据确定的主要业务流程，需要对主要业务流程进行风险分析。 与股份公司相同的业务流程直接参考股份公司风险控制数据库的相关风险点。 对集团公司特有的流程，结合业务进行具体分析，识别相应的风险。 (1)风险数据库的形成，32，集团公司项目集团制定了风险数据库初稿，按照最新的主要业务流程目录进行更新； (2)风险数据库的结构，33，集团公司的风险数据库的例示，(2)风险数据库的结构，34，(2)风险数据库的结构，结算，记录井工程，36， 结算、财务数据和业务数据不匹配(帐簿匹配、发票匹配)、(2)风险数据库结构记录井工程、综合记录井、37、非财务风险：经营决定风险违反法律法规风险、财务风险财务报告失真的风险资产安全威胁不正当风险(2)风险日记录井工程、综合记录井、决算、财务数据与业务数据不匹配(帐簿匹配，发票匹配)、38、等风险数据库的结构、记录井工程财务数据与业务数据不匹配(帐簿匹配，发票匹配)。 控制目标类型的详细内容请参阅下页。 (二)风险数据库的结构、记录井工程、综合记录井、结算、财务数据与业务数据不一致(帐簿一致，帐单一致)，40，建立完整规范的控制系统和指标的生产经营和财务信息数据的收集、记录和处理完整，无漏洞和重复。 例如，将本期的所有合同信息完全不重复地登记到合同管理系统中。 根据会计确认收入的原则，记录本期的所有销售收入。 确保合并报表的原始数据包含需要合并的所有会计单位的数据。 (二)风险数据库的结构、记录井工程、综合记录井、决算、财务数据与业务数据不一致(帐簿一致、账单一致)、41、所有信息和数据的计算、收集和记录操作等都是正确的。 例如，保证会计处理的金额正确。 在采购业务中，合同上的价格数量必须准确。 销售收入必须填写正确的会计期。 账单的内容必须与销售交易的内容和合同一致。 (二)风险数据库的结构、记录井工程、综合记录井、结算、财务数据与业务数据不一致(帐簿一致，账单一致)，42、，所有生产经营活动经过适当的批准和批准，真实发生，并按规定保存有效的原始文件。 例如，付款是在适当的级别上批准的。 记录下来的销售额是真实的。 费用支出与公司业务相关，符合公司费用支出标准。(二)风险数据库的结构、记录井工程、综合记录井、结算、财务数据与业务数据不一致(帐目一致、账单一致)、43、信息处理和实物资产的保护和安全控制。 例如，防止库存和实物资产被盗和丢失。 会计负责人仅在被许可的情况下，才能制作与自己的管理业务有关的会计证明书。 把企业投资实施计划保密，以免被无关的人理解。 (2)风险数据库的结构、记录井工程、综合记录井、结算、财务数据与业务数据不一致(帐簿一致、账单一致)、44、(2)风险数据库的结构、记录井工程、综合记录井、结算、财务数据与业务数据不一致(帐簿一致、账单一致)。 极小的可能性、大的影响、中、高(重要风险)、低、中、风险矩阵示例极小的影响、大的可能性、(二)风险数据库的结构、46、可能性：将风险发生的可能性分为极小的可能性和大的可能性两个阶段。 风险的可能性等级可以通过风险发生的概率和一定时期的风险发生的次数来判断。 关于财务报告风险，概率标准：可以从资产的容易出现、业务流程中的人工参与程度、财务数据是否参与了大量复杂的人工计算等角度来考虑。 资产变化困难或财务数据涉及大量人工计算时，风险概率高，相反小。 频率基准：如果难以用概率来估计，以发生频率为基准，根据会计年度内风险发生的次数来判断。 低于一次是因为可能性极小，在一次以上的情况下，可能性很高。 同样，确定风险发生的可能性需要一定的判断因素，项目组在整合风险数据库时进一步进行分析确认。、一、二)风险数据库的结构、记录井工程、综合记录井、决算、财务数据和业务数据不一致(帐簿一致、账单一致)、47、一、风险管理概要二、集团公司内部控制系统的建设范围的确认三、集团公司的风险数据库介绍四， 风险与控制活动的关系五，现阶段的工作内容，主要内容，48，四，风险与控制活动的关系，本项目将“避免财务重大错误”目标分解为目前确认的主要业务流程，根据在业务水平进行各业务的风险分析，继续控制活动的设计和业务流程的记述、49、4、风险与控制活动的关系，详细记录各主要业务流程的风险点和控制活动，形成风险控制文件。 风险控制文件例1 :50，4，风险与控制活动的关系，风险控制文件例2 :51，1，风险管理概要2，集团公司内部控制系统的建设范围的确认3，集团公司的风险数据库介绍4，风险与控制活动的关系5，现阶段现阶段工作内容(1)前阶段工作成果(2)现阶段应完成的工作事项和日程，53，前阶段工作成果，集团公司主要业务流程目录(初稿)集团公司风险数据库(初稿)，54，第一届建设部门现阶段工作内容如下： 分析流程是否符合本部门的实际业务情况，特别是集团特定的最终流程。 2月20日集团提交主要业务流程目录初稿，各企业事业单位在流程整理过程中对集团公司主要流程目录提出意见，集团不断完善主要流程目录。现阶段需要完成的工作事项和日程，55、第一届建设部门现阶段的工作内容总结