搜索
风险评估培训材料集团公司内控部二〇〇八年一月2一、风险管理概述二、集团公司内控体系建设范围的确认三、集团公司风险数据库介绍四、风险与控制活动的关系五、现阶段工作内容主要内容3到底该如何理解风险呢?定义:风险是任何可能影响您实现目标的因素。危险坏的事情发生的风险结果的不确定性不能满足预期机会丧失机会4到底该如何理解风险管理呢?AS/NZS4360:1999风险管理的定义:风险管理是发现和了解组织中风险的各个方面,并且付诸明智的行动,帮助组织实现战略目标、减少失败的可能、降低不确定的经营结果的整个过程。5到底该如何理解风险管理呢?COSO企业风险管理给出的定义:企业风险管理是一个过程:它由公司董事会、管理层以及其他员工执行,适用于公司战略的制定和整个公司范围,用来识别可能对公司产生影响的潜在事项,并将风险控制在企业可以承受的水平以内,为公司目标的实现提供合理的保证。6风险管理的发展史7为何风险管理日益重要?不断变化的驱动因素持续的改变,不确定性的增加……通信技术进步和互联网全球化的竞争贸易自由化和投资全球化数不胜数的金融衍生工具组织结构的变化分营、剥离、重组、体制改革更高的客户预期法律法规的变化随时出现的外部危机8为何风险管理日益重要?国外、国内风险管理与内部控制相关法律法规的要求2006年,国内出台了很多关于风险管理和内部控制的法律法规9为何风险管理日益重要?全球风险管理与内部控制相关法律和规章的发展趋势2002年7月美国萨班斯奥克斯利法案生效2003年3月澳大利亚证券交易所(ASX)及其公司治理委员会采纳《良好公司治理原则和最佳实务操作建议》2004年11月香港联交所公布《公司治理实务和公司治理报告的准则》,要求公司董事至少每年审核一次内部控制的有效性,并在《公司治理报告》中向股东汇报2005年2月加拿大安大略证券委员会要求管理层评估并测试有关财务报告的内部控制系统(MI52-111)2005年5月新加坡交易所就其加强上市规定和程序的计划发行了一份公共咨文,提出了公司治理标准并促进更好的监管。10为何风险管理日益重要?全球风险管理与内部控制相关法律和规章的发展趋势德国2002年2月发布了《德国公司治理准则》英国TurnbullGuidance,1999TheCombinedCodeonCorporateGovernance,Jul2003,FinancialReportingCouncil欧盟2004年10月成立了《欧洲公司治理论坛》(EuropeanCorporateGovernanceForum)EC4thand7thDirective–Consultation日本将于2008年3月实施与萨奥法案相等的法案,加强对上市公司的监管11为何风险管理日益重要?中国风险管理与内部控制相关法规的发展2006年6月国务院国有资产监督管理委员会发布国资发改革[2006]108号《中央企业全面风险管理指引》2006年6月上交所发布《上海证券交易所上市公司内部控制指引》2006年7月财政部成立“企业内部控制标准委员会”2006年9月深交所发布《深圳证券交易所上市公司内部控制指引》12为何风险管理日益重要?国资委[2006]108号《中央企业全面风险管理指引》全面风险管理是指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。风险管理基本流程包括:收集风险管理初始信息、进行风险评估、制定风险管理策略、提出和实施风险管理解决方案和风险管理的监督与改进。13为何风险管理日益重要?财政部《企业内部控制规范——基本规范》摘要第四条:“内部控制…是指由董事会、管理层和全体员工共同实施的、旨在合理保证实现…基本目标的一系列控制活动”基本目标包括:“企业战略、经营的效率和效果、财务报告及管理信息的真实、可靠和完整、资产的安全完整、遵循国家法律法规和有关监管要求”“有义务对外提供财务报告的企业,应当确保财务报告及管理信息的真实、可靠和完整,具备条件的,还应同时实现其他控制目标”基本规范在形式上借鉴了COSO报告5要素框架,同时在内容上体现了风险管理8要素框架的实质。14挑战与成功的因素将企业带入到风险管理的新阶段企业风险管理并不是一个新的概念,但是大规模实施风险管理的企业需面对相当大的挑战经常被“分阶段”地定义和实施15集团公司内控体系建设项目遵循以下原则推动全面的企业风险管理是一个远期目标近期寻找一个适当的切入点,逐步建立相应体系,在建设过程中统一认识,为实现远期目标做好准备。16集团公司内控体系建设项目遵循以下原则切入点:考虑到财政部在《企业内部控制规范》中的如下观点:“企业的经营管理活动归根结底要通过财务报告来反映,所以抓住了财务报告内部控制这条主线,在一定程度上也抓住了企业经营管理与内部控制的重心和主体。”--《企业内部控制规范起草说明》考虑到股份公司的经验可借鉴本项目最有效的切入点是“财务报告风险”,以“避免财务重大错报”为目标。17集团公司内控体系建设项目遵循以下原则另一方面,考虑到国资委的监管要求,在2008年6月要完成集团公司风险控制年报,集团对公司层面的各项风险(战略风险、财务风险、市场风险、运营风险、法律风险)进行宏观概要的分析,仅将“财务报告风险”管理做为近期工作重点,进行深入工作,建立相应体系。18风险管理一般流程目标设定风险识别风险评估风险应对控制活动19目标设定目标设定是事件识别、风险评估和风险反应的前提。企业必须首先审定目标,在此之后,管理层才能识别和评估影响目标实现的风险并且采取必要的行动对这些风险进行管理战略目标经营目标报告目标合规目标20风险识别是指查找公司各项重要经营管理活动及其重要业务流程中存在的影响目标实现的风险和机遇的过程。公司分别从公司层面、业务活动层面,动态识别影响公司战略目标及相关目标实现的、内部和外部的各种不确定性因素。风险识别21风险评估理解潜在的事件对企业目标有多大程度的影响,并从两个方面对风险进行评估:发生的可能性影响程度22风险应对-1确定并评估可能的应对风险的方法根据企业风险偏好、潜在风险应对措施的成本效益来评价各种风险应对措施,以及各种风险应对措施可以在多大程度上降低风险影响程度和/或发生可能性基于对风险和应对措施组合的评估,选择并实施适当的应对措施风险回应的四个选择:规避、控制、转移和承担23风险应对-2规避退出产生风险的各种活动。规避风险的例子可能有退出使用一条生产线、停止向一个新的地理区域市场扩大业务,或者出售公司的一个分支,剥离亏损业务,缩小经营规模。控制是指采取行动或控制减少风险的可能性和影响程度。转移是指通过合同将风险转移到第三方,企业对转移后的风险不再拥有所有权。承担完全接受、设定损失目标和容忍水平、设定并监控关键风险指标、制定恢复计划、准备补救措施、事先筹措资金。24控制活动在业务层面通过业务流程中的控制活动减少影响目标实现的风险25一、风险管理概述二、集团公司内控体系建设范围的确认三、集团公司风险数据库介绍四、风险与控制活动的关系五、现阶段工作内容主要内容26集团公司内控体系建设范围的确认集团公司主要业务流程的认定依据集团公司流程架构,通过定性和定量的分析,目前已经完成集团层面的《主要业务流程目录》初稿。27集团公司一级流程集团公司相应流程安全环保SP08.03.03安全环保-环境保护-排污费缴纳…………SP08.04.07安全环保-事故管理-事故损失统计油气资源勘探KP01.02.04油气资源勘探-勘探项目管理-勘探项目验收………………………………油气销售KP06.01.07油气销售-包装物销售管理-销售收入实现…………KP06.03.11油气销售-轻烃销售管理-销售价格物探工程KP16.01.04物探工程-采集服务-生产信息管理…………KP16.04.06物探工程-地质综合研究-结算财务管理MP02.01.01财务管理-资金管理-资金计划…………MP02.15.02财务管理-财务报告-对外财务报告……………………集团公司主要流程目录例示28一、风险管理概述二、集团公司内控体系建设范围的确认三、集团公司风险数据库介绍四、风险与控制活动的关系五、现阶段工作内容主要内容29三、集团公司风险数据库介绍(一)风险数据库的形成(二)风险数据库的结构30风险数据库是进行风险记录的工具。风险数据库记录整个集团公司范围内的风险,按照流程,记录各个流程中可能出现的风险,并对风险的属性进行记录,例如是否是财务风险等。(一)风险数据库的形成31在已确定的主要业务流程基础上,需要对主要业务流程进行风险分析。与股份公司相同的业务流程直接借鉴股份公司《风险控制数据库》相关风险点。对于集团公司特有的流程,结合业务进行具体分析,识别相应的风险。(一)风险数据库的形成32集团公司项目组制定了《风险数据库》初稿,并根据最新的主要业务流程目录进行了更新。(二)风险数据库的结构33集团公司风险数据库例示一级流程二级流程三级流程末级流程相关风险非财务风险财务风险控制目标的类型主要风险可能性C:完整性A:准确性V:有效性R:接触性油气销售天然气销售管理销售收入实现/销售收入核算销售收入确认不准确√√√较大财务数据和业务数据不一致(账实相符,账单相符)√√较大虚假的销售收入(截留、隐瞒、虚报)√√较大销售发票未经有效审核√√√较大计划中的数据未被准确、完整地转移到相关的生产、运输及销售执行部门√√√较大销售计划(包括计划调整)未经有效审批√√√较大原油量交接凭证记录数据不完整、不准确(数量、质量),交接记录未经双方确认√√√√较大发货没有根据有效的发货指令√√√较大没有执行当期的价格政策√√√较大货款未能及时收回√√较大(二)风险数据库的结构34一级流程二级流程三级流程末级流程相关风险非财务风险财务风险控制目标的类型重要风险可能性C:完整性A:准确性V:有效性R:接触性根据《主要业务流程目录》填写一级流程、二级流程、三级流程、末级流程名称。《主要业务流程目录》内容与集团流程架构一致,是集团流程架构的子集。(二)风险数据库的结构结算录井工程综合录井35一级流程二级流程三级流程末级流程相关风险非财务风险财务风险控制目标的类型重要风险可能性C:完整性A:准确性V:有效性R:接触性对于股份与集团一致的流程,风险数据库中的风险信息与股份一致;对于集团特有的流程,集团层面统一在三级流程下识别风险。(二)风险数据库的结构结算录井工程综合录井36一级流程二级流程三级流程末级流程相关风险非财务风险财务风险控制目标的类型重要风险可能性C:完整性A:准确性V:有效性R:接触性填写该主要业务流程下的相关风险;例如针对已识别的流程:“录井工程–综合录井–结算”,结合地区公司的实际业务,识别出的一项风险为“财务数据和业务数据不一致(账实相符,账单相符)”,填写在该单元格中。结算财务数据和业务数据不一致(账实相符,账单相符)(二)风险数据库的结构录井工程综合录井37一级流程二级流程三级流程末级流程相关风险非财务风险财务风险控制目标的类型重要风险可能性C:完整性A:准确性V:有效性R:接触性非财务风险:经营决策风险违反法律法规风险财务风险财务报告失真风险资产安全受到威胁营私舞弊风险(二)风险数据库的结构录井工程综合录井结算财务数据和业务数据不一致(账实相符,账单相符)38一级流程二级流程三级流程末级流程相关风险非财务风险财务风险控制目标的类型重要风险可能性C:完整性A:准确性V:有效性R:接触性判断风险是否与财务报告相关?如果与财务报告无关,则在“非财务风险”列打“√”;如果与财务报告相关,则在“财务风险”列打“√”。针对已识别的流程:“炼化销售–炼油产品零售–销售收入实现–现收货款”,流程识别出的风险为“现金收款没有及时、安全存入