内部控制与风险管理

内部控制与风险管理体系建设目录第一部分什么是全面风险管理1、基本概念2、对基本概念的解读及认识3、相关背景第二部分为什么要开展全面风险管理1、风险管理的发展趋势2、公司开展风险管理的重要意义3、在工作中如何融入风险管理（七项原则）第三部分如何建立全面风险管理1、风险管理的八要素是什么？干什么？如何干?2、五步流程法具体操作+案例1、全面风险管理基本概念是指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。各项工作风险管理体系建设框架川庆公司人事管理川庆钻探工程公司全面风险管理体系建设领导小组

物资管理财务管理建设施工科研开发质量管理HSE股权管理市场管理生产管理规划计划信息管理公共关系企业文化海外业务内部审计纪检监察合同管理法律事务全面质量管理6QERPOA合同信息管理系统平衡记分人力资源管理系统通过五步流程构建六大体系《风险管理手册》形成成果发布与实施管理系统管理HSE体系体系风险管理信息框架风险评估风险管理策略实施解决方案监督与改进从领导小组到专业组和延伸单位形成的跨专业、跨部门、跨文化领域纵横交错的一种真正全面覆盖管理领域的控制体系对现有管理资源、管理体系的应用、整合与提炼组织体系责任体系方法体系文化体系沟通机制监督改进体系手册制度分册手册业务流程手册风险数据库手册风险列表手册风险数据库手册环境分册手册监督分册概念解读及认识1、什么是企业风险：指未来的不确定性对企业实现其经营目标的影响。企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等；也可以能否为企业带来盈利等机会为标志，将风险分为纯粹风险（只有带来损失一种可能性，比如安全风险）和机会风险（带来损失和盈利的可能性并存，比如决策风险）。理解为应注重防范和控制可能给企业造成损失和危害的风险，也应把机会风险视为企业的特殊资源，通过对其管理，为企业创造价值，促进经营目标的实现。概念解读及认识2、

什么是基本流程：理解为开展风险管理的规定动作和方法。（一）收集风险管理初始信息；（二）进行风险评估；（三）制定风险管理策略；（四）提出和实施风险管理指引及解决方案；（五）风险管理的监督与改进。五步流程——干什么？

进行风险评估

制定风险管理策略

提出风险管理指引及解决方案

监督与改进

收集风险管理初始信息各有关职能部门和业务单位，通过问卷调查等方法广泛、持续地收集企业内外部风险信息，包括历史与未来的对企业各项业务管理及重要业务流程进行风险评估，包括风险识别、分析、评价三个步骤根据风险与收益相平衡原则及风险坐标指数，确定风险偏好，选择风险管理的工具，明确管理策略制定风险解决的具体目标、组织领导、所涉及的管理及业务流程、所需要条件、技术手段等资源和控制措施及方法采用压力测试返回测试穿行测试及风险控制自我评估等方法对风险管理实施进行检验，出具监督报告管理成果风险数据库及手册概念解读及认识3、什么是风险管理总体目标：（一）将风险控制在企业可承受的范围内；（二）确保信息真实、可靠；（三）确保遵守法律法规；（四）确保企业制度和重大措施的贯彻执行；（五）确保建立危机处理计划（应急预案）。以上就是评价企业风险管理是否有效的标准。概念解读及认识4、什么是内部控制系统：指围绕风险管理策略目标，针对企业战略、规划、产品研发、投融资、市场运营、财务、内部审计、法律事务、人力资源、采购、加工制造、销售、物流、质量、安全生产、环境保护等各项业务管理及其重要业务流程，通过执行风险管理基本流程，制定并执行的规章制度、程序和措施的一系列工作。目录第一部分什么是全面风险管理1、基本概念2、对基本概念的解读及认识3、相关背景第二部分为什么要开展全面风险管理1、风险管理的发展趋势2、公司开展风险管理的重要意义3、在工作中如何融入风险管理（七项原则）第三部分如何建立全面风险管理1、风险管理的八要素是什么？干什么？如何干?2、五步流程法具体操作+案例公司开展风险管理的重要意义一是建立现代企业制度的客观要求二是公司适应市场，依法治企的要求三是公司强化制度，规范管理的需要四是公司防范风险，强化管理的需要五是公司协调发展的需要六是有效地体现公司管理理念和发展要求公司风险管理的七项原则一事一评风险培训分工负责领导带头全员参与信息共享持续改进目录第一部分什么是全面风险管理1、基本概念2、对基本概念的解读及认识3、相关背景第二部分为什么要开展全面风险管理1、风险管理的发展趋势2、公司开展风险管理的重要意义3、在工作中如何融入风险管理（七项原则）第三部分如何建立全面风险管理1、风险管理的八要素是什么？干什么？如何干?2、五步流程法具体操作+案例“三个控制目标”和“五个构成要素”控制目标监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1监督信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1控制活动

财务报告的可靠性目标法规的遵循性目标经营的效率与效果目标构成要素监督风险评估控制环境信息和沟通风险管理的八要素一、控制环境——是什么？内控环境是企业的基调、氛围，直接影响企业员工的控制意识。具体包括：员工的诚信和道德观员工的胜任能力董事会和审计委员会管理层的经营理念和经营风格组织结构管理层授权和职责分工企业的权责分配方法与人力资源政策控制环境——干什么——按要素建手册控制环境分册

川庆工程公司风险管理手册之一组织机构及机关部门、基层单位职能

川庆工程公司风险管理手册之一机关部门管理人员岗位职责描述(上、中、下)

川庆工程公司风险管理手册之一风险管理的八要素二、目标设定——是什么？企业面临着来自外部和内部的一系列风险，确定目标是有效的事项识别、风险评估和风险应对的前提。企业在识别和评估实现目标的风险并采取行动来管理风险之前，首先应该设定企业目标，包括战略层次及个业务单位的目标。风险评估——是什么？风险：是任何可能影响实现目标的因素。风险评估：是识别和分析那些影响目标实现的风险的过程，是确定如何管理和控制风险的基础。重点是开展三项工作1、风险辩识2、风险分析3、风险评价风险管理的八要素三、风险辨识：是查找企业各业务单元、各项重要经营活动及其重要业务中有无风险，有哪些风险。对风险管理信息实行动态管理，定期或不定期实施风险辨识、分析、评价，以便对新的风险和原有风险的变化重新评估。风险管理的八要素四、风险分析：是对辨识出的风险及其特征进行明确的定义描述，分析和描述风险成因、发生的条件和影响程度。包括风险之间的关系分析，以便发现各风险之间的自然对冲、风险事件发生的正负相关性等组合效应，从风险策略上对风险进行统一集中管理。风险管理的八要素五、风险评价：是评估风险对企业实现目标的影响程度、风险的价值等。在评估多项风险时，应根据对风险发生可能性的高低和对目标的影响程度的评估，绘制风险坐标图，对全局性的、分业务板块的、分单位的风险进行比较，初步确定对各项风险的管理优先顺序和策略。风险评估——干什么风险事件信息库川庆工程公司风险管理手册之二风险数据库

川庆工程公司风险管理手册之二风险管理的八要素六、控制活动——是什么？控制活动：是为确保管理层指示得以执行的政策和程序。包括一系列不同的活动，如审批、授权、确认、核对、考核经营业绩、资产保护等。监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1监督信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1风险管理的八要素控制活动是什么——政策和程序控制活动一般包含两个要素，即：第一个要素，政策—它描述应该做什么。第二个要素，程序—它描述应该怎样做。制度指导你不做错事；程序指导你正确地做事。政策是程序的基础程序又影响政策的执行控制活动——干什么业务流程目录

川庆工程公司风险管理手册之六安全管理(CQ02)

控制文件川庆工程公司风险管理手册之六规划计划(CQ01)

控制文件川庆工程公司风险管理手册之六物资管理(CQ03)

控制文件川庆工程公司风险管理手册之六质量管理(CQ04)

控制文件川庆工程公司风险管理手册之六管理制度汇编(第一——七册)川庆工程公司风险管理手册之六权限指引表川庆工程公司风险管理手册之六管理制度汇编(第一——七册)川庆工程公司风险管理手册之六风险管理的八要素七、信息和沟通——指相关信息以某种形式被识别、获得和沟通，以促使员工履行自己的职责。

内容是否适当—是所需要的信息？信息是否及时—需要时就能获得？信息是否即时—能获得最新的信息？信息是否准确—数据都准确？信息是否畅通—相应的部门能容易地获得信息？1、信息的识别和获取2、信息加工和报告3、信息系统的整合4、内部沟通和外部沟通5、沟通的方式风险管理的八要素八、监督——是评估内控系统在一定时期内运行质量的过程，目的是保证内部控制持续有效。监督的方式：持续性监督：持续性的监督行为发生在经营的过程中，它包括日常的管理、监督、比较、核对和其他常规性活动。独立的评估：独立于控制活动之外而采取的定期评估行为。风险管理的八要素监督——无论内部控制设计和执行的再好，它也只能提供合理的保证，个别内部控制可能会失效。

内部控制的局限性表现在：1、判断失误：判断是人在事情发生时依据现有信息的所做出的，个人的判断不能保证绝对正确，并且难以避免主观性，从而影响内部控制的有效性。基于错误判断的管理层决策也会导致失误。2、执行偏差：一方面因设计人经验和知识水平的限制而带有缺陷。另一方面，执行人员的粗心大意、精力分散、判断失误以及对指令的误解等，也可能使内部控制系统陷于瘫痪。

3、管理层的越权：内控制度是企业的管理工具，但任何内控最终都是靠人来执行的，管理层和出于各种目的而愈越内控制度，会使不同职务相互制约的作用丧失，从而导致内控的失效。4、成本收益原则：控制环节越多，控制措施越复杂，相应的控制效果可能会越好，但控制成本也会越高。由于企业的资源有限，企业在设置和实施内部控制时，必须在控制失败可能造成的损失与建立控制所需相关的支出之间进行权衡。监督\沟通——干什么监督分册川庆工程公司风险管理手册之十五信息与沟通分册川庆工程公司风险管理手册之十五监督分册川庆工程公司风险管理手册之十五信息与沟通分册川庆工程公司风险管理手册之十五目录第一部分什么是全面风险管理1、基本概念2、对基本概念的解读及认识3、相关背景第二部分为什么要开展全面风险管理1、风险管理的发展趋势2、公司开展风险管理的重要意义3、在工作中如何融入风险管理（七项原则）第三部分如何建立全面风险管理1、风险管理的八要素是什么？干什么？如何干?2、五步流程法具体操作+案例如何建立全面风险管理体系全面风险管理它是整合企业资源，全员参与、高管层推进，在认知的基础上，将企业全面风险管理理念和措施，融入公司战略制定和业务实施的过程。成立机构建设单位必须成立一个组织运行风险管理的保障机构，主要领导挂帅，所有部门参与、抽调具有资深经验和有培养前途的业务骨干形成工作团队。这就是此项工作上手的第一件事。五步流程一:收集风险管理基本信息收集风险管理基本信息——如何干主要完成以下工作（成果）：1、组织召开讨论会（头脑风暴法）、问卷调查2、业务分析：明确目标、组织机构图、职责描述、业务流程目录梳理3、完成《风险管理事件信息库》编制工作4、完成《风险识别目录》编制工作五步流程一:收集风险管理基本信息收集风险管理基本信息——具体方法进行风险识别识别列举风险目录风险分析因素排查风险坐标矩阵风险列表排序制定解决方案收集风险初始信息风险评价监督与改进小型讨论会问卷调查头脑风暴法其他…交替使用五步流程一:收集风险管理基本信息收集风险管理基本信息——具体做法一

收集事件

会议

报告

交流

持续改进

访谈

涵件问卷

讨论

调研五步流程一:收集风险管理基本信息收集风险管理基本信息——具体做法二开展业务分析，主要是通过与企业各个管理层面的充分沟通和交流，洞察生产经营全过程，并从战略规划到业务层面把握风险要素。通过以下五项活动，全面理解业务活动和企业发展目标,把握初始信息。第一步骤：获取并解读企业经营目标、业务结构和组织构架。第二步骤：检阅企业整体的业务流程图和企业控制制度。第三步骤：把握业务流程中各主要部门和岗位业务职责。第四步骤：明确企业经营中的风险事件。第五步骤：确保领导和专家骨干足够的参与。五步流程一:收集风险管理基本信息收集风险管理基本信息——方法基础信息的来源是由各业务、内外各部门多方面形成的，而且是需要各专业随时间的推移不断补充和完善的过程。风险信息库其他职能部门企业员工人力资源部监察生产科研审计财务计划股权HSE法律事务人事政府部门集团公司竞争对手参股企业油田公司外部咨询专家专业研究机构基础信息来源五步流程一:收集风险管理基本信息工作内容主要方法主要工具工作成果整理企业战略目标、疏理业务流程分析重要业务价值链与目标关联及分级、分类排序流程目录表格业务目标计划工作报告《业务流程目录手册》清理现有制度文件，明确企业已发布正使用文件情况清理重复、交叉、在用、修订和废止文件管理制度目录清单《管理制度汇编手册》疏理组织机构、部门职能、职责描述现有组织机构管理模式组织机构及部门岗位职责表《组织机构及部门岗位手册》收集各项业务风险事件信息会晤、沟通和交流调查表、事件表、会议纪要SWOT、PEST问卷《风险管理事件库》规范风险工作机构、管理制度确定工作人员、地点和办公设施、设备会议、文件《工作简报》《业务分析报告》收集风险管理基本信息——全景描述信息获取会晤\工作计划和业务目标\流程和组织机构图\公司价值链\风险委员会\控制制度\风险管理规划\业务报告\考绩指标体系限制条件企业风险管理文化风险管理资源风险管理自身建设风险管理规划分析工具专业分析工具风险管理工具SWOT问卷PEST问卷报告汇总\风险事件库业务分析报告业务流程目录管理制度汇编组织机构及职责描述收集信息重点内容的例举风险管理文化就是控制环境。是风险管理的基础，因此也是五要素中的第一个。风险管理规划主要包括：管理目标、建设内容、工作步骤、责任部门、推进时间；明确对哪些重要业务或事项需要开展风险评估，提出解决方案，进而完善相关制度，健全管理机制。具体可分为中、长期和年度规划，以持续建立和完善五要素为核心。表达本单位在风险管理方面要做什么，做到什么程度。风险事件库模板（示范—成果）风险问卷调查表（高管层使用模板）风险问卷调查表项目设置：试点单位可就某一方面问题设置问卷，立项课题1.个人岗位存在的最关健风险？2.相关岗位最敏感的风险？3.部室业务或系统业务存在的最大风险？4.本单位存在哪些风险？5.你认为公司可能面临什么主要风险？6.对其它行业（专业）你关注什么风险？7.你认为应该如何管理风险？8.你有什么好的风险管理经验和方法？风险问卷调查表（中层管理者使用模板）风险识别模板（示范版）对风险识别的例举按环境分类有：1、社会政治风险2、供应链风险3、市场风险4、竞争对手风险5、技术革新风险6、法律法规风险7、自然地理环境风险8、灾害风险按原因分类有：1、高管违规操作风险2、治理不健全的风险3、信息披露失真风险4、审计不严格的风险5、财务不合规的风险五步流程二:进行风险评估主要完成以下四项具体工作：1、根据识别目录一对应进行鱼刺图分析（必做）2、填制风险数据库相关信息3、做风险矩阵图4、编制风险列表五步流程二:进行风险评估根据初始风险进行风险细分与成因分析，利用风险矩阵和坐标图对风险进行定位排序。明确风险评价技术与方法识别列举风险目录风险分析因素排查风险坐标矩阵风险列表排序制定解决方案收集风险初始信息风险评价监督与改进当前工作－－风险评估流程顺序工作内容关健要素主要工具应用方法成果载体责任部门1收集信息时间、地点、事件、损失、原因、措施《事件信息库》资料汇编《风险事件汇编》各业务部门2风险辨识名称、编号、类别、控制方式、主管部门五大要素识别表讨论、头脑风暴法等《风险识别目录》风险管理工作推进组3风险分析风险当前状态等要素数据庫表格管理现状评估《风险数据庫》各业务部门4风险概率、风险成本表格经验法和推断法5

成因分析鱼刺图专家分析6

风险策略4种专家分析7

解决方案案例样表成因控制法8

风险负责、监管人表格责任追究法9风险评价风险指标风险数据组、坐标图坐标矩阵《风险列表》坐标图风险管理工作推进组10方案运行风险管理制度测试表检验性测试测试报告项目组审计处五步流程二:进行风险评估风险识别:作为全面风险管理实施的第二个步骤，是以业务分析为基础的。企业在发展中所蕴含的风险识别，必须建立在对企业战略目标到业务流程全面理解的层面上。风险识别是在业务活动开始之前对可能发生的风险事件进行识别（正面和负面）。包括辨识风险不确定性的来源和所导致的损失。必须由各个业务部门的业务骨干、专家积极参与。也是进行风险调研的一个过程风险识别的实施过程风险识别基础业务流程目录流程图业务报告、重大非确定性事项经营目标、企业战略目标历史与未来风险资料、经验限制条件企业风险管理文化风险管理资源风险管理自身建设风险管理规划识别工具事件库、风险提示例举风险检索目录风险评估规范调查问卷识别成果风险识别目录收集信息五步流程二:进行风险评估风险评估模型主推因果分析模型，其模型结果将成为制定风险应对策略的基础。掌握风险因素变化对事件影响及变化趋势。对导致风险事件的风险成因发生的可能性和影响程度的评价是风险评估的重要方法。人才流失人力资源管理外部原因企业原因环境因素工作环境对手挖掘企业文化融合行业萎缩主观因素职业生涯设计薪酬福利政策文化生活价值取向企业文化认同人际关系处理组织关心没有公平感风险评估描述评估对象风险识别目录风险事件评估障碍风险管理资源风险管理自身建设风险管理规划评估工具风险矩阵风险评估模型指标分析价值测量、评级打分评估结果风险数据库（包括模型结果-成因分析模型）风险矩阵风险列表（排序表）风险评估风险评价指数矩阵Ⅴ级（极高）1020304050607080901009182736455463728190Ⅳ级（高）81624324048566472807142128354249566370Ⅲ级（中等）61218243036424854605101520253035404550Ⅱ级（低）48121620242832364036912151821242730Ⅰ级（较低）246810121416182012345678910

风险概率风险成本Ⅰ级（较小）Ⅱ级（小）Ⅲ级（中等）Ⅳ级（大）Ⅴ级（极大）风险评价指数区间坐标集与风险排列规则五步流程三:制定风险管理策略制定风险管理策略:-风险承担-风险规避-风险转移-风险转换-风险对冲-风险补偿-风险控制风险应对描述应对的风险事项风险事件管理策略、偏好、承受度解决方案指标体系应对的障碍风险管理资源风险管理自身因素风险管理规划应对方法风险规避风险控制风险承担风险分散解决方案风险数据库收集信息风险应对策略应该从收益与成本最优化的角度来制定风险应对是根据风险成因分析后，按照成因控制理论对冲成因发生的可能性和影响程度的关健要素，制定解决方案，提出控制措施，实现企业目标的过程。选择风险策略考虑的主要因素针对管理层决策的因素中、长期目标及行动策略现有管理能力评价及资源风险期限风险的转移或保留手段剩余风险管理的优先性针对风险性质的因素假想情形环境变化风险应对工具（保险期贷）失控点（业务流程和部门工作的边界点）合规约束普遍性风险的管理频率的不确定性数据可获得性各专业风险评价方法应用风险矩阵川庆公司业务板块风险矩阵风险标号风险名称(1)公司内部改革改制风险(2)重大事项决策未经法律论证的风险(3)挂靠经营风险(4)违反招投标程序带来的风险(5)合同形式要件不合规的风险(6)合同相对人主体不适格带来的风险(7)未履行或未适当履行合同风险(8)未依法行使合同权利带来经济损失的风险(9)无照经营带来的风险(10)公司合并、分立、减资、清算注销程序违反法律规定风险(11)商标管理不当风险(12)擅自对外出具文书带来法律纠纷风险(13)违反纠纷案件管理规定带来的风险(14)股权投资决策失误带来的风险(15)控股公司管控不到位带来的风险(16)出资人代表管理不到位带来的风险(17)股权处置不当带来的风险(18)多元经济企业盲目多元化经营的风险风险矩阵川庆公司业务板块风险矩阵风险标号风险名称(1)职业因素引起健康损害的风险(2)突发公共卫生事件带来的风险(3)企业高管健康管理风险(4)群体食物中毒的风险(5)火灾事故的风险(6)危险化学品泄漏造成的风险(7)民用爆炸物品管理风险(8)突发事件应急失效的风险(9)交通事故的风险(10)有毒有害气体中毒的风险(11)人身安全风险(12)特种设备事故风险(13)环境污染的风险(14)产品质量不合格的风险(15)违法、违章使用特种设备风险风险矩阵川庆公司业务板块风险矩阵风险标号风险名称(1)资金授权和审批的风险(2)应收款项回收的风险(3)境外资金汇率风险(4)资产管理被盗、流失风险(5)不良资产处置风险(6)成本费用失控的风险(7)预算管理风险(8)受甲方投资变化影响，造成工作量和结算价格下降的风险(9)财政税收政策变化的风险(10)财务报告编制与批露风险(11)财务信息系统数据安全风险(12)会计人员职业道德风险风险矩阵风险矩阵全局性的分业务板块的分业务单元的分单位的分作业项目的关键环节的…………制定风险管理策略风险列表风险数据库的规范风险数据库的规范关于风险名称的规范：在对风险进行识别时，考虑到以下四种情况的因果关系确定风险命名规则：（A）1：N，一因多果。风险以原因命名，按结果进行描述。风险名称格式定为：“＊＊带来的风险”；（B）N：1，一果多因。风险以结果命名，按结果的影响进行描述。风险名称格式定为：“＊＊的风险”；（C）1：1，一因一果。风险以原因+结果命名，并对结果的影响进行描述。风险名称格式定为：“＊＊带来＊＊风险”；（D）M：N，多因多果。风险按重要性分解进行命名和描述。风险名称格式定为：“＊＊风险”。风险数据库的规范风险分类分层判断标准：企业层面的十大风险：高级管理层关注，具有跨部门、跨业务、跨专业管理或全员管理的性质，一但发生将涉及到不同领域或区域，其结果将对公司造成重大损失，直接影响企业目标的实现。比如：安全风险、投资决策风险、市场选择风险等。比如：重庆开县“12.23”事件，直接影响到集团总部领导。业务层面的重大风险：不足以冲击公司目标，但直接影响到本业务系统工作目标，造成一个业务系统或业务板块损失，需要系统内各职能部门联合尽职，共同落实责任和措施控制的风险。属于一个部门无法撑控，在业务系统内跨部门，业务又相对单一，但直接控制的主体较多。比如：在各部门、各法律系统工作中，重大事项未经法律论证的风险，一但发生影响到部门和单位业务工作。比如：原长庆农工商处违犯法律程序，擅自承揽工程，发生经济损失200万元，造成经济损失和法律纠纷。单位和业务部门重要风险：由于部门职责失误，影响本业务部门工作目标，一但发生不直接影响到其它部门，不涉及到系统风险的范围。通常本部门和单位可以控制的风险。比如：付款不严格履行审批程序的风险。风险数据库的规范风险识别的方法与风险的关系问题从流程中查找风险的局限性：一是找到的是工作本身的质量问题；二是只能反映流程中的缺陷；三是只能辩识业务层面的风险。比如：在股权管理方面存在的企业层面风险——法人治理结构缺陷的风险，在业务流程中是无法识别的。比如：在流程中只能识别出“三会”履职不到位的风险、不按程序决策的风险等，前提是公司本身法人治理结构健全，识别的是执行中存在的问题。而前一种识别系统是查找企业本身就没有建立“三会”业务流程的问题，解决的是企业战略层面的结构调整问题。五步流程四：风险管理指引及解决方案识别列举风险目录风险分析因素排查风险坐标矩阵风险列表排序制定解决方案收集风险初始信息风险评价监督与改进风险成因分析及管理现状预期控制目标1风险解决方案制定2制定方案以实现目标确定特殊的行为，并说明资源和责任、技术和措施3确定需要采取风险策略的行动措施谁做，做什么何时做，如何做制定解决方案路线图五步流程四：风险管理指引及解决方案编写风险解决方案的思路和基本流程1、通过调查问卷或现场访谈和资料的研究，对已识别的风险信息进行全面的分析、搜集和整理。2、根据风险列表，确立各风险事件和业务流程之间的对应关系，明确风险事件发生的先后秩序和因果联系。3、为每个风险确定具体的控制目标，之后评估现有的管理措施，对现有措施当中的缺失和薄弱环节进行补充完善。4、划分风险管理的责任，对各部门在风险管理中的作用进行有效划分，理清各风险事件对应的主导管理责任和辅助管理责任部门。5、确定风险解决方案要素填写内容，其中包括风险监控指标及报告频率、现有管理措施和改进措施等内容。五步流程四：风险管理指引及解决方案制定和实施风险管理指引及解决方案风险解决方案编写的技术规范（参考意见）十项要点：以讲座模板为示范、以专业细化为特点、以全方位管理为框架、以有效可控可操作为标准、以成因控制为原理、以管理漏洞为线索、以关键控制为要害、以事前事中事后为顺序、以人财物要素为根本、以技术条件资源为手段。四个要求：在形式上不具一格；在方法上借鉴规范；在思路上开明；在思想上开放。五步流程四：风险管理指引及解决方案三条参考建议：针对性要强：一是针对规避、控制、分散、承担四种策略写方案所对应的内容；二是针对成因写措施（写控制该风险在实践中必须要做到的几件事情，一一罗列，并简述事情的核心内容“什么事，干什么”如：编制盆地评价报告，明确油层构造。至于如何编写？如何明确，可写参照《＊＊规定或细则》）。编写要领：一是对控制风险涉及到的面（事）一定要写全（比如：说明中提到的组织机构建设等几个方面……，提出控制风险涉及到的关键控制指标、明确禁止做什么及在人、财、物的配置等内容），并点到要害，内行一看就明白，外行看了也知道做什么，至于如何做，以内行清楚为原则。二是有现成《制度文件》可写执行《＊＊规定》，无现成制度，写出来就要配套制定出来，如不需要新制定下发文件，就要在解决方案中直接写出要做的事和关键控制点（此方案发布后本身就是一个文件）。比如：岗位制衡方面：明确＊＊岗位设置、责任权限。这样就不再起草制定下发《关于岗位制衡的相关规定》等文件。做到三个区别：一是方案与措施的区别，方案包括措施（原评估表中的措施），但比措施内容多、要求细；二是方案与原各部门制定的《规定》、《细则》的结合与区别，方案重点提炼相关《＊＊规定》、《＊＊细则》《＊＊实施方案》中的提纲要领，比《规定》、《细则》篇幅少、精炼、不重复。方案突出的是框架、要点、要害（点到点中，相当于策化）。《规定》、《细则》可以是解决方案的支持文件，但二者都是可执行文件，要正确理解，要有区别。五步流程四：风险管理指引及解决方案编写方案基本构成要素组织机构风险防范的保证体系人员配置人力资源的配备设备、工具资源风险解决方案硬件环境因素风险改善的环境要求法规及其他国家行业法规风险相关的法规、依据内部制度岗位授权制度、报告制度、批准制度、责任制度、审计检查制度、考核评价制度、风险预警制度、法律顾问制度、重要岗位权力制衡制度等内部控制指标相关预警指标管理目标控制目标管理制度、程序相关业务流程管理措施控制方法技术管理方法和措施，操作规程，培训和检查费用概算控制成本监督手段第三方等，自动控制实施步骤控制阶段任务目标信息系统专业信息系统开发与应用责权分配相关者责任实施部门责任主管部门协助部门相关责任部门监督检查部门相关上级和业务监督主要部门解决方案示例规范职工股暨清理法人实体法律风险管理解决方案：分析法律问题：实体权利问题；法律程序问题；法律文书问题;隐名股东问题；股权转让问题；…研究适用的法律法规和政策依据：公司法；集团公司文件；…评估实际操作中可能遇到的法律风险：股权关系；员工安置；…制定法律风险防控措施：预防性；可控性；补救途径；…审查改制单位的实施方案：合法性；合规性；可操作性；…股东会对重大问题进行决议：公司合并；股权转让；…办理相关法律文书：股权转让合同；股东会决议；…办理工商登记变更：法人名称、公司章程；变更劳动关系；………解决方案示例投资项目风险管理解决方案:与发展战略的一致性，…明确的投资政策，策略，…严格的论证程序：建议书，调研论证报告，初评，复评，专家评审等全面充分的调研论证内容：市场，技术，资源，经济，…严格明确的决策程序，…重大投资项目风险评估制度，…经营性项目投资回报标准，公益性功能性项目问卷调查，…投资项目后评价及审计制度，…调研论证者，决策者们知识结构，认识水平提高计划，………风险评估要素的评价标准风险管理活动是否有效?持续改进监督的重点监督的对象风险管理初始信息风险评估

风险管理策略风险管理解决方案关键控制活动重大风险重大事项和重大决策重要管理及业务流程文化培育与环境建设各层面形成风险文化的主要途径：宣传报道、讲座培训问卷调查、有奖答题风险管理卡片事件报告奖励机制询问风险管理体系的全面实施风险管理是每个人的工作”这个观点必须被大多数所认同，特别是高管人员，所以，建立风险管理意识和文化，才能有效地推动风险管理的实施。风险实施就是风险管理活动的执行，是前面几项工作的落地，《手册》只是体系建设成果，实施是运行成果，运行的结果是检验《手册》的执行力，《手册》是实施管理的文件和依据，风险实施还需要制定《风险管理制度》等管理文件，明确运行中的维护、检查和改进的职责，建立长期运行机制。风险管理体系执行的要素风险负责人对目标、策略的理解和认识流程是风险控制与管理的一个重要手段，但不局限于流程，我们提供了六类控制方式手段。风险负责人定期提交状况报告，是实现风险策略目的一条保证线，是一个促进风险改进工作的过程。具有较强风险管理能力的负责人风险的管理报告先进的信息系统和可靠的数据组合举例比如人力资源管理要素组合=解决方案的基本要素目标政策：能力发展目标，人才就在身边的理念、留住人才的政策。管理流程：薪酬保险管理、培训管理、人员招聘。人员：相关职能部门负责人和专家团队。报告：人才政策调查报告、员工满意调查。方法：面试、才人招用计划、福利。系统及数据：人力资源信息系统。对风险管理的进一步认识1、正确把握风险之间的关系，树立风险管理组合观。在一个企业范围进行的风险管理，应该是寻求管理风险的组合，而不是寻求个别的风险，这种风险集合赋