1内部控制管理手册风险评估分册中国股份有限公司二○○八年一月2目录1内部控制体系建设内容………………………………………………………………1.1概述…………………………………………………………………………………1.2建立风险评估机制…………………………………………………………………1.3建立并完善风险管理体系…………………………………………………………2内部控制体系执行的文件及规范…………………………………………………2.1流程描述规范………………………………………………………………………2.2业务流程目录………………………………………………………………………2.3风险评估规范………………………………………………………………………2.4重要会计科目和披露事项确认……………………………………………………2.5财务报表认定指南…………………………………………………………………2.6重要业务单位确认…………………………………………………………………2.7公司层面风险及对策分析程序……………………………………………………2.8业务活动层面风险数据库…………………………………………………………2.9风险管理规范(试行)……………………………………………………………2.10风险评估涉及的制度索引…………………………………………………………31内部控制体系建设内容1.1概述1.1.1风险1.1.1.1概念风险是指未来的不确定性对公司实现其目标的影响,所有公司,无论规模、结构和行业性质,都面临着诸多来自内部和外部的风险,影响公司既定目标的实现。1.1.1.2风险的类型公司面临的风险可以分为公司层面风险和业务活动层面风险。1)公司层面风险。导致公司层面风险的因素包括外部和内部两个方面。(1)外部因素主要体现在:①技术发展——影响研发的性质和时机;②不断变化的客户需求和期望——影响产品开发和定价;③竞争——影响营销和服务活动;④新的法律和法规——影响经营政策和策略;⑤自然灾害——可能造成损失;⑥经济形势的变化等——影响融资、资本支出和扩张决策。(2)内部因素主要体现在:①信息系统运行的中断——影响经营运转;②员工的素质以及培训、激励方法——影响控制理念;③管理层职责的改变——影响某些实施控制的方式;④公司经营活动的性质、员工对资产的接触途径——产生挪用;⑤董事会或审计委员会无法有效履行其职责——可能为管理层轻率的行为提供机会。2)业务活动层面风险。业务活动层面风险是指与公司的主要生产经营活动及管理职能有关的风险,包括采购、生产、市场营销、销售、技术开发以及研发、人力资源管理、财务管理等业务和管理活动中存在的风险。1.1.2风险评估1.1.2.1概念风险评估是识别及分析影响公司目标实现的因素的过程,是风险管理的基础。在风险评估中,既要识别和分析对实现目标具有阻碍作用的风险,也要发现对实现目标具有积极影响的机遇。1.1.2.2风险评估的范围公司针对战略目标、经营目标、报告目标、合规性目标,分别开展战略风险、经营风险、报告风险和合规性风险评估。目前主要是针对财务报告目标开展了风险评估工作,在以后的体系建设中,将逐步4针对战略目标、经营目标、报告目标和合规性目标,按照全面风险管理的要求,开展公司风险评估工作。1.1.2.3风险评估的基本程序1)信息收集。围绕公司战略目标和相关目标以及风险管理要求,相关职能部门、业务单位和内控管理部门广泛、持续收集与公司风险及风险管理相关的内部、外部各种信息,包括收集历史数据和未来信息,关注宏观经济与经营环境、竞争对手、新技术与新产品、海外经营、公司重组、业务整合、会计政策、信息系统、资本运作等方面已经发生和将要发生的变化情况。公司对收集的数据、信息和变化情况进行必要的筛选、提炼、对比、分类、组合,形成与公司风险管理相关的信息资料库并不断更新,以便进行风险评估。公司制定《风险评估规范》,明确收集风险管理信息的具体要求,包括收集战略风险、经营风险、报告风险和合规性风险等方面与公司风险和风险管理相关的内、外部各种信息。公司目前尚未建立针对风险评估的信息收集机制,将在以后的内控体系建设中,对风险评估规范进行修订,明确规定风险评估信息收集的具体要求,建立风险评估信息收集机制。2)风险识别。风险识别是指查找公司各项重要经营管理活动及其重要业务流程中存在的影响目标实现的风险和机遇的过程。公司分别从公司层面、业务活动层面,动态识别影响公司战略目标及相关目标实现的、内部和外部的各种不确定性因素。带负面影响的因素代表风险,需要对其分析和应对;带积极影响的因素代表机遇,在制定目标和政策实施过程中对其加以考虑并把握。(1)公司层面风险识别。公司从战略发展的角度,识别公司层面面临的所有重大的不利因素和有利因素,从而识别风险,发现机遇。这些因素来自外部和内部两个方面,外部因素主要包括政治因素、经济因素、社会因素、自然环境因素等;内部因素主要包括基础设施因素、员工因素、流程因素和技术因素等。(2)业务活动层面风险识别。公司制定业务流程描述规范,建立流程目录并用流程图对所有业务进行直观描述。在业务流程描述的基础上,以业务流程步骤为主线,全面识别影响目标实现的相关因素。目前,在风险识别方面,暂未考虑有关公司发展机遇的问题,在以后的内控体系建设中,将关注公司发展机遇。3)风险评价。风险评价是评估风险对公司实现目标的影响程度和风险发生可能性的过程。公司针对固有风险和残存风险,运用定性和定量的方法,对公司层面和业务活动层面风险发生的可能性和影响程度进行分析、评价,并按照风险排序标准和方法,确定风险重要性水平,识别公司重大风险,确定风险管理的优先顺序。公司制定《风险评估规范》,明确风险评估的定性与定量的具体方法。如定性方法包括问卷调查、集体讨论、专家咨询、情景分析、政策分析、行业标杆比较、管理层访谈、由专人主持的工作访谈和调查研究等,定量方法包括统计推论、计算机模拟、失效模式与影响分析、事件树分析等;明确规定风险定量评估时,应当统一风险度量和度量模型;明确规定运用风险坐标图对多项风险进行比较,确定风险排序的方法。识别风险后,需要采用定量或定性的方法对风险进行分析,分析的内容主要有:(1)分析风险发生的可能性(或频率、概率);(2)分析风险可能产生的影响;(3)确定风险的重要性水平。目前,确定风险的重要性水平主要是以定性分析为主、定量分析为辅,公司将在以后的内控体系建设中,完善定量分析的方法,逐步建立起定性与定量相结合的风险分析方法。4)风险反应。风险反应是公司针对风险发生的原因、风险重要性水平,考虑风险之间的关系并把握机遇,运用风险组合观,选择风险反应方案的过程。风险反应方案包括回避风险、减少风险、分担风险、接受风险。在评估了相关风险之后,管理层确定如何应对风险,制定风险反应方案。5风险反应方案包括以下几种:(1)回避风险———退出产生风险的各种活动;(2)减少风险———采取行动减少风险的可能性或影响;(3)分担风险———通过将风险转移或者分担部分风险来减少风险的可能性和影响;(4)接受风险———不采取任何行动去影响风险的可能性或影响。在考虑做出风险反应的过程中,管理层需要评估风险反应对风险可能性和影响的效应以及成本和收益,并选择一种风险反应方案。公司制定《风险管理规范》(试行),对不同类别的风险的反应策略作出规定。一般情况下,对于战略、经营、报告、合规性等风险,可采取回避风险、减少风险、接受风险等方法。对于能够通过保险、期货、对冲等手段减少风险的,可以采用风险转移等方法;明确要求按照风险管理的优选顺序,合理安排风险管理资金预算和其他风险管理资源。1.2建立风险评估机制1.2.1内控关注要点公司的风险评估程序应该从公司层面和业务活动层面两个角度识别风险,并分析其相关影响。风险评估程序还应该考虑会影响目标实现的内部因素和外部因素,对这些风险因素进行分析,从而为风险管理提供依据。1)识别外部风险的机制是否健全;2)识别内部风险的机制是否健全;3)为业务活动层面的每一个重要目标识别相关的重要风险;4)风险分析程序的全面性和相关性,包括:分析风险发生的可能性(或频率、概率)、分析风险可能产生的影响、确定风险的重要性水平,并决定应采取的行动;5)存在一种可以预见、识别并对影响公司目标实现的事件或活动发生反应的机制;6)存在一种识别和处理那些对公司有巨大深远影响的、应该引起管理层关注变革的机制。1.2.2措施公司制定《风险管理规范》(试行)、《风险评估规范》,对风险管理的机构及职责、风险管理的原则及要素、风险评估的程序和方法、控制设计的程序和方法进行明确的规定;明确规定公司开展持续性风险评估工作。公司定期或当发生以下情况之一时,及时组织进行风险评估:内部控制体系建立时;新产品开发时;新业务介入时;新系统应用时;内控政策和目标修改时;业务流程发生较大变化时;组织机构变革时;法律法规、监管要求发生变化时;经济周期性波动时;行业发生变革时;同业发生新的案例时;其他认为需要时。同时针对风险评估的结果组织相关部门制定风险反应方案。1.2.2.1公司层面风险评估措施1)公司层面风险的识别。(1)从外部专家处获得公司层面风险的意见。公司管理层从法律顾问、外部审计师等方面获得有关公司层面风险的意见,分析后在年报中予以披露。公司已经识别并在年报中披露的公司层面风险主要包括:①汇率风险;②商品价格风险;③行业风险;6④原油储备下降风险;⑤灾害风险;⑥大股东控制公司经营政策风险;⑦同行业竞争风险;⑧资金风险;⑨法律风险。(2)相关管理部门识别公司层面风险。公司在管理过程中采取一定措施来识别影响公司目标实现的公司层面风险,并针对这些风险制定相应的控制措施。在公司制定发展规划过程中,公司的规划部门对公司所处的内外部环境进行分析,从而识别可能存在的风险。①外部环境分析。a.宏观环境分析:如对政治的、经济的、社会的、法律的、技术的因素进行分析识别,找出这些因素中影响战略目标实现的风险。b.行业分析:对所在行业的特性、产品发展方向及市场走向进行广泛的行业研究,探索所在行业对手过去成功的或失败的案例,确定最有影响力的行业因素,评估行业竞争程度,确定公司在本行业的战略方向,分析对手动向,评估对本行业带来的影响。对行业的这些因素进行分析后,识别这些因素中影响战略目标实现的风险。c.竞争态势分析:对公司的直接竞争者、供应商、购买者、替代品、潜在进入者进行分析,识别这些竞争性因素中影响战略目标实现的风险。d.对公司所处的市场环境和客户进行分析,识别市场环境以及客户中存在的影响战略目标实现的风险因素。②内部环境分析。对外部环境进行分析的同时,公司也对自身的资源和能力进行分析,分析公司资源和能力的现状是否能够支撑公司战略目标的实现,分析的内容包括:a.公司是否有足够的人力资源,如关键管理人员、技术人员等是否能够满足实现战略目标的需要,是否存在人力资源不足的风险;b.公司是否有足够的财务资源,如是否有充足的现金流、一定的融资能力等来满足实现战略目标的需要,是否存在财务资源不足的风险;c.公司在无形资源,如品牌商誉、技术资源等方面是否能够满足实现战略目标的需要,是否存在无形资源不足的风险;d.公司的各项管理能力,如营销、生产、技术开发的能力等方面是否能够满足实现战略目标的需要,是否存在管理能力不足的风险。(3)其他风险识别方法。公司管理层通过检查业务、参加行业联合会、利用顾问和其他专业人员获取特定信息;公司逐步加强与国内外大石油公司、知名咨询机构的沟通,获取更多、更全面的信息,从而更全面、更准确地识别公司层面风险,进而采取合理的应对措施。2)对公司层面风险进行分析。内控部组织开展风险评估工作,对已经识别的风险采用定性的方法进行风险分析,分析风险发生的可能性(或频率、概率)以及风险可能产生的影响,确定风险的重要性水平。3)制定风险反应方案。相关业务部门针对识别的风险,制定风险反应方案。对不同的风险,确定是采用规避风险、减少风险、分担风险的风险反应方案,还是接受风险。1.2.2.2业务活动层面风险评估措施7对于