全面风险管理体系建设实施与操作

nullnull全面风险管理体系建设讲座 企管法规处 2010.3.31 *null下面，我主要介绍三个方面的内容： 第一部分 什么是全面风险管理 第二部分 为什么要开展全面风险管理； 如何在工作中融入风险管理（七项原则） 第三部分 如何建立全面风险管理*null第一部分 什么是全面风险管理1、基本概念 2、对基本概念的解读及认识 3、相关背景*null1、全面风险管理基本概念 是指企业围绕总体经营 目标，通过在企业管理的各 个环节和经营过程中执行风 险管理的基本流程，培育良 好的风险管理文化，建立健 全全面风险管理体系，包括 风险管理策略、风险理财措 施、风险管理的组织职能体 系、风险管理信息系统和内 部控制系统，从而为实现风 险管理的总体目标提供合理 保证的过程和方法。 各项工作*风险管理体系建设框架风险管理体系建设框架川庆公司人事管理川庆钻探工程公司全面风险管理体系建设领导小组 物资管理财务管理建设施工科研开发质量管理HSE股权管理市场管理生产管理规划 计划 项目进度计划表范例计划下载计划下载计划下载课程教学计划下载 信息管理公共关系企业文化海外业务内部审计纪检监察 合同 劳动合同范本免费下载装修合同范本免费下载租赁合同免费下载房屋买卖合同下载劳务合同范本下载 管理法律事务全面质量 管理6QERPOA合同信息 管理系统平衡记分人力资源管理系统通过 五步流程构建六大体系《风险管理手册》形成成果发布与实施管理系统管理HSE体系体系风险管理 信息框架风险评估风险管理 策略实施 解决方案监督与 改进从领导小组到 专业组和延伸单位形成的 跨专业、跨部 门、跨文化领 域纵横交错的 一种真正全面 覆盖管理领域 的控制体系对现有管理资源、管理体系 的应用、整合与提炼 组织体系 责任体系 方法体系 文化体系 沟通机制监督改进体系*null 　概念解读及认识1、什么是企业风险：指未来的不确定性对企业实现其经营目标的影响。 　　2010年公司的主要经营目标是：实现营业收入280亿元，实现利润总额4.6亿元。到2015年，实现“85311”目标，即：800支队伍，50000人规模，主营业务收入达到300亿元，其中实现考核利润9亿元，建设一流的综合性油气工程公司。 　　企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等；也可以能否为企业带来盈利等机会为标志，将风险分为纯粹风险（只有带来损失一种可能性，比如安全风险）和机会风险（带来损失和盈利的可能性并存，比如决策风险）。理解为应注重防范和控制可能给企业造成损失和危害的风险，也应把机会风险视为企业的特殊资源，通过对其管理，为企业创造价值，促进经营目标的实现。*null 　概念解读及认识2、 什么是基本流程：理解为开展风险管理的规定动作和方法。 　　（一）收集风险管理初始信息； 　　（二）进行风险评估； 　　（三）制定风险管理策略； 　　（四）提出和实施风险管理指引及解决方案； 　　（五）风险管理的监督与改进。*null 　五步流程——干什么？ 进行风险 评估 制定风险 管理策略 提出风险 管理指引及 解决方案 监督与 改进 收集风险 管理 初始信息各有关职能 部门和业务 单位，通过 问卷调查等 方法广泛、 持续地收集 企业内外部 风险信息， 包括历史与 未来的对企业各项 业务管理及 重要业务流 程进行风险 评估，包括 风险识别、 分析、评价 三个步骤根据风险与 收益相平衡 原则及风险 坐标指数， 确定风险偏 好，选择风 险管理的工 具，明确管 理策略制定风险解 决的具体目 标、组织领 导、所涉及 的管理及业 务流程、所 需要条件、 技术手段等 资源和控制 措施及方法采用压力测 试返回测试 穿行测试及 风险控制自 我评估等方 法对风险管 理实施进行 检验，出具 监督报告管理成果风 险 数 据 库 及手册*null 　概念解读及认识3、什么是风险管理总体目标： 　　（一）将风险控制在企业可承受的范围内； 　　（二）确保信息真实、可靠； 　　（三）确保遵守法律法规； 　　（四）确保企业制度和重大措施的贯彻执行； 　　（五）确保企业建立危机处理计划（应急预案）。 　　实现以上就是评价企业风险管理是否有效的 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 。*null 　概念解读及认识4、什么是内部控制系统： 　　指围绕风险管理策略目标，针对企业战略、规划、产品研发、投融资、市场运营、财务、内部审计、法律事务、人力资源、采购、加工制造、销售、物流、质量、安全生产、环境保护等各项业务管理及其重要业务流程，通过执行风险管理基本流程，制定并执行的规章制度、程序和措施的一系列工作。*null 全面风险管理 　概念解读及认识HSE体系内控体系建设*null 　相关背景从内控——风险管理的发展过程： 　　18世纪，由于企业规模扩张，产生内控思想； 　　20世纪40年代，由于企业所有权和经营权的分离，出现了内控的概念； 　　1949年美国注册会计师协会（AICPA）的审计程序委员会，首次对内控做了定义（是包括组织机构的设计和企业内部采取的所有相互协调的方法和措施）； 　　1985年—1987年美国审计、会计师协会等组织赞助成立了反虚假财务报告委员会，不久又成立了专门研究企业内部控制问题的专家委员会（即COSO委员会）；*null 　相关背景从内控——风险管理的发展过程： 　　1992年9月COSO委员会签署了《内部控制－整合框架》（即：COSO内控框架）报告；明确指出：内控涉及到企业各个方面，从管理层到员工对内控的制定和实施负有责任；*null 　相关背景从内控——风险管理的发展过程： 　　1996年美国注册会计师协会发布《审计准则公告第78号》，接受了内控的五个组织部分（控制环境、风险评估、控制活动、信息沟通和监督），开始在企业中实施； 　　*COSO组织机构COSO组织机构*null 　相关背景COSO框架1985年反虚假财务报告委员会发起的由美国注册会计师协会等5家专业团体自愿、私人组织成立的委员会这个组织研究提供的《内部控制－整合框架》就称为COSO框架 （92年9月签署）美国证券交易委员会（SEC）美国于2002.7.30由布什签署颁布的《萨班斯-奥克斯利法案》美国上市公司会计监管委员会（PCAOB）2003.4正式运作在美国的上市公司1300多家企业帮助制定的指定成立的执行机构管理手段实施管理欧洲日本中石油新加坡创新 科技公司在美国其它框架也存在，但SEC只认定这是国际标准。*null第二部份 为什么要开展全面风险管理1、风险管理的发展趋势 2、公司开展风险管理的重要意义 3、在工作中如何融入风险管理 （七项原则）*美国安然公司美国安然公司美国第二大长话公司―世界通信　　2001年年底，美国安然、世通、施乐、默克制药等一批大公司会计丑闻接连曝光，诚信危机震撼着美国及国际社会。 2002年6月引起的美国股市剧烈动荡。投资人纷纷抽逃资金。为了提高民众对美国金融市场和政府经济政策的信心，2002年7月30日美国总统布什签署了《萨班斯—奥克斯利法案》——由美国参议员Sarbanes和美国众议员Oxley联合提出了一项法案，该法案即以他们的名字命名。又称为“2002上市公司会计改革与投资者保护法案”。*null 　风险管理的发展趋势一、在美国上市的公司必须建立内部控制体系 　　1、《萨班斯—奥克斯利法案》要求。 　　2、公司治理结构存在缺陷。一方面，高级管理人员熟知公司内部情况，可以在公司股价下跌前将股票期权变现，损害了投资人利益；另一面，股东大会对经营管理者的控制力减弱，经营管理者为了自身利益而做出掩盖债务、虚报利润等违法违规行为。 　　3、外部监督不充分。会计师一方面对上市公司进行财务审计，另一方面又为上市公司提供会计咨询服务，缺乏独立性。同时，会计行业没有统一有效的监管体系，导致上市公司的外部监督失效。*null 　风险管理的发展趋势二、《萨班斯-奥克斯利法案》规定，公司管理层是对内部控制体系建设、运行、评估的责任人 　　1、公司管理层对内部控制体系设计、建立、运行有效性负责。 　　2、公司管理层对外声明已建立并运行了内控体系，声明评估证明内控有效。 　　3、公司管理层依据内控体系对外披露信息，并对披露报告的真实性、全面性、准确性负责。*null 　风险管理的发展趋势三、2005年必须按内控体系运行，并制定了严厉的处罚措施 　　1、《萨班斯—奥克斯利法案》的404条款要求中油股份于2005年12月31日前达到法案要求，普华永道会计事务所将从2005年度开始，按照内控体系进行外部审计，发表对内部控制的有效性的审计意见。审计方式由过去的单一财务结果性审计，变为以经营过程合规性的复合审计，内容包括生产、经营、管理等方面，采取对内控体系内容按一定比例分级随机抽样，重点是经营过程的数据、表单、报表和痕迹。*null 　风险管理的发展趋势　　2、对欺诈和舞弊防范措施作了强制规定，要求建立“反舞弊程序和控制”并每年进行评估，把发现高层管理人员任何程度上的舞弊行为判定为内部控制无效。 　　3、《萨班斯—奥克斯利法案》规定，对于违反财务报表披露要求的行为，个人的处罚额提高到100万美元，并可同时判处的监禁期限延长到10年，对恣意违反财务报表披露要求的公司主管处罚额高达500万美元，并可判处高达25年的监禁。 *null 　风险管理的发展趋势　　目前国内搞的比较好的企业有中广核电、神华煤田、中石油等单位，银行业起步较早，但都以金融管理为主，并且目前就风险管理而言，没有标准和模式，可借鉴可操作的样本很少。包括在所有高校也没有开设全面风险管理的专业。应该说发展前景广阔。*null 　公司开展风险管理的重要意义一是建立现代企业制度的客观要求 二是公司适应市场，依法治企的要求 三是公司强化制度，规范管理的需要 四是公司防范风险，强化管理的需要 五是公司协调发展的需要 六是有效地体现公司管理理念和发展要求 　　*null 　在工作中融入风险管理公司风险管理的七项原则 　 一事一评 风险培训 分工负责 领导带头 全员参与 信息共享 持续改进*null第三部分 如何建立全面风险管理1、风险管理的八要素 是什么？干什么？如何干? 2、五步流程法具体操作+案例*null内部控制体系框架的“三个控制目标”和“五个构成要素”构成 控制活动 财务报告的可靠性目标法规的遵循性目标经营的效率与效果目标构 成 要 素监　　　督风险评估控制环境 信息和沟通 　相关知识*null 　风险管理的理论依据—COSO框架内部环境目标设定事项识别风险评估风险应对控制活动信息与沟通监控战略经营报告合规子公司业务单元分部主体层次1992年9月COSO委员会签署了《内部控制－整合框架》（即：COSO内控框架）到2004年COSO内控框架发展出了更加细分的专业版本COSO企业全面风险管理框架－－COSO　II；八要素框架与五要素的区别*null一、控制环境——是什么？ 　　内控环境是企业的基调、氛围，直接影响企业员工的控制意识。具体包括： 　　员工的诚信和道德观 　　员工的胜任能力 　　董事会和审计委员会 　　管理层的经营理念和经营风格 　　组织结构 　　管理层授权和职责分工 　　企业的权责分配方法与人力资源政策 　风险管理的八要素*null控制环境——干什么——按要素建手册（文本成果）*null 　风险管理的八要素二、目标设定——是什么？ 　　企业面临着来自外部和内部的一系列风险，确定目标是有效的事项识别、风险评估和风险应对的前提。企业在识别和评估实现目标的风险并采取行动来管理风险之前，首先应该设定企业目标，包括战略层次及个业务单位的目标。*null 　风险管理的八要素风险评估——是什么？ 　　风险：是任何可能 影响实现目标的因素。 　　风险评估：是识别 和分析那些影响目标实 现的风险的过程，是确 定如何管理和控制风险 的基础。重点是开展三项工作 1、风险辩识 2、风险分析 3、风险评价*null 　风险管理的八要素风险评估——是什么？ 　　三、风险辨识：是查找企业各业务单元、各项重要经营活动及其重要业务中有无风险，有哪些风险。对风险管理信息实行动态管理，定期或不定期实施风险辨识、分析、评价，以便对新的风险和原有风险的变化重新评估。*null 　风险管理的八要素风险评估——是什么？ 　　四、风险分析：是对辨识出的风险及其特征进行明确的定义描述，分析和描述风险成因、发生的条件和影响程度。包括风险之间的关系分析，以便发现各风险之间的自然对冲、风险事件发生的正负相关性等组合效应，从风险策略上对风险进行统一集中管理。*null 　风险管理的八要素风险评估——是什么？ 　　五、风险评价：是评估风险对企业实现目标的影响程度、风险的价值等。在评估多项风险时，应根据对风险发生可能性的高低和对目标的影响程度的评估，绘制风险坐标图，对全局性的、分业务板块的、分单位的风险进行比较，初步确定对各项风险的管理优先顺序和策略。*null风险评估——干什么——文本成果*null 　风险管理的八要素六、控制活动——是什么？ 　　控制活动：是为确 保管理层指示得以执行 的政策和程序。 　　包括一系列不同的 活动，如审批、授权、 确认、核对、考核经营 业绩、资产保护等。 *null 　风险管理的八要素控制活动是什么——政策和程序 　　控制活动一般包含 两个要素，即： 　　第一个要素，政策 —它描述应该做什么。 　　第二个要素，程序 —它描述应该怎样做。 　　制度是指导你不做 错事；程序是指导你正 确地做事。 政策是程序的基础程序又影响政策的执行控制活动*null控制活动——干什么（编制控制文档）*null控制活动——干什么（编制控制文档）*null 　风险管理的八要素七、信息和沟通——指相关信息以某种形式被识别、获得和沟通，以促使员工履行自己的职责。 内容是否适当—是所需要的信息？ 信息是否及时—需要时就能获得？ 信息是否即时—能获得最新的信息？ 信息是否准确—数据都准确？ 信息是否畅通—相应的部门能容易 　　　　　　　地获得信息？1、信息的识别和获取 2、信息加工和报告 3、信息系统的整合 4、内部沟通和外部沟通 5、沟通的方式*null 　风险管理的八要素八、监督——是评估内控系统在一定时期内运行质量的过程，目的是保证内部控制持续有效。 持续性监督 独立的评估　　持续性监督：持续性的监督行为发生在经营的过程中，它包括日常的管理、监督、比较、核对和其他常规性活动。 　　独立的评估：独立于控制活动之外而采取的定期评估行为。*null 　风险管理的八要素监督——无论内部控制设计和执行的再好，它也只能提供合理的保证，个别内部控制可能会失效。 内部控制的局限性表现在：1、判断失误：判断是人在事情发生时依据现有信息的所做出的，个人的判断不能保证绝对正确，并且难以避免主观性，从而影响内部控制的有效性。基于错误判断的管理层决策也会导致失误。 2、执行偏差：一方面因设计人经验和知识水平的限制而带有 缺陷。另一方面，执行人员的粗心大意、精力分散、判断失误以及对指令的误解等，也可能使内部控制系统陷于瘫痪。  3、管理层的越权：内控制度是企业的管理工具，但任何内控最终都是靠人来执行的，管理层和出于各种目的而愈越内控制度，会使不同职务相互制约的作用丧失，从而导致内控的失效。 4、成本收益原则：控制环节越多，控制措施越复杂，相应的控制效果可能会越好，但控制成本也会越高。由于企业的资源有限，企业在设置和实施内部控制时，必须在控制失败可能造成的损失与建立控制所需相关的支出之间进行权衡。*null监督\沟通——干什么（编制文档）*null第三部分 如何建立全面风险管理 2、五步流程法具体操作+案例*null 　如何建立全面风险管理体系 　　——它自身有一套思路\设计\职责信息收集风险评估风险对策解决方案测试改进风险体系框架*null川庆钻探公司风险管理合法性 审查抽样调查 测试跟单人员操作 培训完善体系评价报告运行风险管理环境文化生命周期领导审查建立流程 （描述）分析主要业 务（绘制流 程图）专业组梳理 部门、单位 业务形成数据 （流程目录）确定关键 控制点岗位描述三期工程 （测试运行）二期工程 （业务分析）一期工程 （立项）项目组审批专用软件工作制度人员培训调研框架指导书川庆钻探公司全面风险管理体系建设生命周期设计形成实施方 案（操作指 南）详细设计制定关键岗 位职责规范编制规范文 本形成制度机构设置*null办公室专业部门二级单位体系建设目标过程明确目标任务 目标分解风险评估风险控制制定相关制度管理手册指导意见指导汇总目录培训督导、汇总审查汇总、审查评价制定专业组 目标风险数据库 风险点描述梳理现有制度 制定新制度执行执行目标延伸业务细分风险风险点 检测 工程第三方检测合同工程防雷检测合同植筋拉拔检测方案传感器技术课后答案检测机构通用要求培训 完善制度反馈收集信息形成风险识别 目录形成矩阵 (说明）形成风险 管理事件库川庆钻探公司风险管理体系目标管理及职能划分自上而下顶层设计自下而上完善体系*null 　如何建立全面风险管理体系五步流程法具体操作+案例 就是讲具体做什么？如何做？成果是什么？ 二个层面：一是完成整体工作的步骤 　　　　　二是具体步骤中的工作*null 　如何建立全面风险管理体系完成整体工作的步骤： 　　首先成立机构 　　开展培训 　　进行业务分析 　　开始风险管理*null 　如何建立全面风险管理体系全面风险管理它是整合企业资源，全员参与、高管层推进，在认知的基础上，将企业全面风险管理理念和措施，融入公司战略制定和业务实施的过程。 成立机构建设单位必须成立一个组织运行风险管理的保障机构，主要领导挂帅，所有部门参与、抽调具有资深经验和有培养前途的业务骨干形成工作团队。这就是此项工作上手的第一件事。*null 　风险管理的组织结构风险管理领导小组是最高决策机构。高管层决定企业的目标。 管理部门是组织机构。将目标转化为策略。 业务部门是执行机构。执行策略行动。风险管理领导小组 （安委会）风险管理部门业务部门业务部门业务部门 或专业组*null 　五步流程应用——第一步收集风险管理基本信息——如何干 主要完成以下工作（成果）： 1、组织召开讨论会（头脑风暴法）、问卷调查 2、业务分析：明确目标、组织机构图、职责描 述、业务流程目录梳理 3、完成《风险管理事件信息库》编制工作 4、完成《风险识别目录》编制工作*null 　五步流程应用——第一步收集风险管理基本信息——具体方法 进行风险识别小型讨论会 问卷调查 头脑风暴法 其他… 交替使用*null 　五步流程应用——第一步收集风险管理基本信息——具体做法一*null 　五步流程应用——第一步收集风险管理基本信息——具体做法二 开展业务分析，主要是通过与企业各个管理层面的充分沟通和交流，洞察生产经营全过程，并从战略规划到业务层面把握风险要素。通过以下五项活动，全面理解业务活动和企业发展目标,把握初始信息。第一步骤：获取并解读企业经营目标、业 务结构和组织构架。 第二步骤：检阅企业整体的业务流程图和 企业控制制度。 第三步骤：把握业务流程中各主要部门和 岗位业务职责。 第四步骤：明确企业经营中的风险事件。 第五步骤：确保领导和专家骨干足够的参 与。*null 　五步流程应用——第一步收集风险管理基本信息——方法 基础信息的来源是由各业务、内外各部门多方面形成的，而且是需要各专业随时间的推移不断补充和完善的过程。风险信息库其他职能部门企业员工人力资源部监察生产科研审计财务计划股权HSE法律事务人事政府部门集团公司竞争对手参股企业油田公司外部 咨询专家专业 研究机构基础信息来源*null 　五步流程应用——第一步收集风险管理基本信息 五项活动形成的主要方法、工具和成果：*null限制条件 企业风险管理文化 风险管理资源 风险管理自身建设 风险管理规划收集信息分析工具 专业分析工具 风险管理工具 SWOT问卷 PEST问卷报告汇总\风险事件库 业务分析报告 业务流程目录 管理制度 档案管理制度下载食品安全管理制度下载三类维修管理制度下载财务管理制度免费下载安全设施管理制度下载 汇编 组织机构及职责描述 　五步流程应用——第一步收集风险管理基本信息——全景描述信息获取 会晤\工作计划和业务目标\流程和组织机构图\公司价值链\风险委员会\控制制度\风险管理规划\业务报告\考绩指标体系*null 　五步流程应用——第一步其中重点内容的例举：风险管理文化就是控制环境。是风险管理的基础，因此也是五要素中的第一个。 风险管理规划主要包括：管理目标、建设内容、工作步骤、责任部门、推进时间；明确对哪些重要业务或事项需要开展风险评估，提出解决方案，进而完善相关制度，健全管理机制。具体可分为中、长期和年度规划，以持续建立和完善五要素为核心。表达本单位在风险管理方面要做什么，做到什么程度。*PEST分析模型PEST分析模型*风险事件库模板（示范—成果）风险事件库模板（示范—成果）*湖南株洲市区高架桥发生坍塌事故 湖南株洲市区高架桥发生坍塌事故 17日下午5时左右，湖南株洲市区红旗路一高架桥发生坍塌事故，目前已确认6人死亡，17人受伤，27台车被砸压。据悉，这座高架桥部分桥墩曾在15日被爆破，原计划20日再对余下桥墩进行爆破。 *风险问卷调查表（高管层使用模板）风险问卷调查表（高管层使用模板）*null 　五步流程应用——第一步风险问卷调查表项目设置： 试点单位可就某一方面问题设置问卷，立项课题1.个人岗位存在的最关健风险？ 2.相关岗位最敏感的风险？ 3.部室业务或系统业务存在的最大风险？ 4.本单位存在哪些风险？ 5.你认为公司可能面临什么主要风险？ 6.对其它行业（专业）你关注什么风险？ 7.你认为应该如何管理风险？ 8.你有什么好的风险管理经验和方法？*风险问卷调查表（中层管理者使用模板）风险问卷调查表（中层管理者使用模板）*风险识别模板（示范版）风险识别模板（示范版）*null 　五步流程应用——第一步对风险识别的例举比如，美国企业在2001年风险调查中——企业面临的10个最大风险是按大类原则排列的： 　　1、失去声誉的风险 　　2、变革失败的风险 　　3、经营中断的风险 　　4、产品可靠性的风险 　　5、电脑犯罪的风险 　　6、环境风险的风险 　　7、自然灾害的风险 　　8、聘用新员工的风险 　　9、研发可靠性的风险 　　10、员工意外的风险*null 　五步流程应用——第一步对风险识别的例举按环境分类有： 　　1、社会政治风险 　　2、供应链风险 　　3、市场风险 　　4、竞争对手风险 　　5、技术革新风险 　　6、法律法规风险 　　7、自然地理环境风险 　　8、灾害风险*null 　五步流程应用——第一步对风险识别的例举按原因分类有： 　　1、高管违规操作的风险 　　2、治理结构不健全的风险 　　3、上市公司信息披露失真的风险 　　4、内部审计制度不严格的风险 　　5、财务管理不合规的风险*null 　五步流程应用——第一步对风险识别的例举按专业和经营活动分类，比如法律和经营风险有： 　　1、合同管理把关不严的风险 　　2、重大决策法律审核不严的风险 　　3、缺乏节制的扩张带来的风险 　　4、短期贷款用于长期投资的风险 　　5、资产监管链条过长带来的风险*null 　五步流程应用——第一步对风险识别的例举按风险细分，比如法律风险中国有企业改制中存在的法律风险细分有： 　　1、利用剥离资产保留债务的风险 　　2、出售企业逃逸债务的风险 　　3、转让不透明带来的风险 　　4、产权改革、产权结构的风险 　　5、改制方案不规范带来的风险 　　6、程序不严的风险 　　7、改制企业债务遗漏的风险等*null 　五步流程应用——第一步对风险识别的例举按风险细分，比如法律风险中企业经营管理不善、决策失误导致的法律风险细分有： 　　1、盲目多元化经营带来的风险 　　2、盲目个人决策的风险（经营决策的风险、未进行 可行性论证的风险、未集体决策的风险） 　　3、盲目超速发展带来的风险 　　4、资金链断裂的风险*null 　五步流程应用——第一步对风险识别的例举按业务板块分： 　　1、如市场开发方面的风险有： 　　　客户资金的合法性引起的法律风险 　　　业务员跳槽造成客户流失的风险 　　　客户自身的经营风险（如客户破产所产生的纠纷） 　　　业务员因业务水平不高或未按公司规章制度办事给公司或客户 　　　带来的风险 　　2、财务管理方面的风险有： 　　　客户资金的收入与支取管理不足的风险 　　　客户保证金的管理和监督不足的风险 　　　财务系统内部的管理缺陷和漏洞带来的风险 　　　财务账簿与结算部门或交易部门的数据不一致的风险 *null 　五步流程应用——第一步对风险识别的例举建议： 　　目前，按照结合实际，重点关注和解决现有风险的原则，以关注的事件和结果作为描述的特征。比如股权管理专业5条风险，即： 　　1、股权投资决策失误带来的风险 　　2、控股公司管控不到位带来的风险 　　3、公司缺陷危害公司权益的风险 　　4、出资人代表履职不到位带来的风险 　　5、股权处置不当带来的风险*null 　五步流程应用——第一步对风险识别的例举如果按照全面覆盖的原则，每个风险都可以继续延伸和细化，如对“公司治理结构和治理机制不完善的风险”，又可细分为： 　　1、股东和公司高层缺乏有效监督和约束机制 　　2、信息披露渠道不足 　　3、管理层决策独断 　　4、授权不合理 　　5、股东抽逃资金风险（短期投资、拆借等）*null 　五步流程应用——第二步主要完成以下四项具体工作： 　　1、根据识别目录一一对应进行鱼刺图分析（必做） 　　2、填制风险数据库相关信息 　　3、做风险矩阵图 　　4、编制风险列表进行风险评估*null 　五步流程应用——第二步进行风险评估（分析与评价）根据初始风险进行风险细分与成因分析，利用风险矩阵和坐标图对风险进行定位排序。 明确风险评价技术与方法*当前工作－－风险评估当前工作－－风险评估风险评估管理要素构建路线表 *null 　五步流程应用——第二步风险识别 作为全面风险管理实施的第二个步骤，是以业务分析为基础的。企业在发展中所蕴含的风险识别，必须建立在对企业战略目标到业务流程全面理解的层面上。风险识别是在业务活动开始之前对可能发生的风险事件进行识别（正面和负面）。包括辨识风险不确定性的来源和所导致的损失。必须由各个业务部门的业务骨干、专家积极参与。 也是进行风险调研的一个过程*null限制条件 企业风险管理文化 风险管理资源 风险管理自身建设 风险管理规划风险识别识别工具 事件库、风险提示例举 风险检索目录 风险评估规范 调查问卷识别成果 风险识别目录 　五步流程应用——第二步风险识别的实施过程风险识别基础 业务流程目录 流程图 业务报告、重大非确定性事项 经营目标、企业战略目标 历史与未来风险资料、经验*null业务风险事件风险成因分类风险成因分类风险成因分类风险成因分类风险成因分类成因细分成因细分 　五步流程应用——第二步风险评估模型主推因果分析模型，其模型结果将成为制定风险应对策略的基础。掌握风险因素变化对事件的影响及变化趋势。 对导致风险事件的风险成因发生的可能性和影响程度的评价是风险评估的重要方法。*null 　五步流程应用——第二步鱼刺图分析案例 吊装作业风险因果关系分析模型*null 　五步流程应用——第二步鱼刺图分析案例 合同纠纷风险因果关系分析模型*null 　五步流程应用——第二步鱼刺图分析案例 人才流失风险因果关系分析模型*风险管理的基本流程    1. 天车台 2. 二层台及立管台 3. 井口 4. 绞车传动、传动链条 5. 猫头 6. 绞车滚筒前方 7. 防碰天车 8. 大绳死活绳固定 9. 绞车刹车系统 10. 司钻操作控制箱 11. 大门绷绳 12. 大钳 13. 万向轴14. 联动机传动部位 15. 泥浆泵皮带轮 16. 高压管线 17. 泵安全阀及泄压管线 18. 高压管汇 19. 泥浆枪 20. 配电箱、柜 21. 电路线 22. 防喷管线 23. 油气容器 24. 泥浆泵空气包 25. 锅炉房 26. 压缩气瓶 27. 绷、甩钻具工作场地钻井作业危险部位风险管理的基本流程*风险管理的基本流程钻井作业风险分布表 风险管理的基本流程*null钻井作业风险危害识别表*null 　五步流程应用——第二步施工现场作业风险与因素三维图*null评估障碍 风险管理资源 风险管理自身建设 风险管理规划风险评估评估工具 风险矩阵 风险评估模型 指标分析、价值测量、评级打分评估结果 风险数据库（包括模型结果-成因分析模型） 风险矩阵 风险列表（排序表） 　五步流程应用——第二步风险评估描述评估对象 风险识别目录 风险事件*null 　 风险管理基本流程风险评价指数矩阵*null 　五步流程应用——第二步风险评价指数区间坐标集与风险排列规则 风险评价指数数学分布*null 　五步流程应用——第三步主要工作： 　　编制风险数据库对应内容（确定对策栏目）制定风险管理策略*null 　五步流程应用——第三步 - 风险承担 - 风险规避 - 风险转移 - 风险转换 - 风险对冲 - 风险补偿 - 风险控制制定风险管理策略:*null应对的障碍 风险管理资源 风险管理自身因素 风险管理规划风险应对应对方法 风险规避 风险控制 风险承担 风险分散解决方案 风险数据库 　五步流程应用——第三步风险应对描述 风险应对阶段的核心工作是制定出适当的风险应对策略，并完善风险数据库。应对的风险事项 风险事件 管理策略、风险偏好、风险承受度 解决方案 指标体系*null 　五步流程应用——第三步风险应对策略应该从收益与成本最优化的角度来制定风险应对是根据风险成因分析后，按照成因控制理论对冲成因发生的可能性和影响程度的关健要素，制定解决方案，提出控制措施，实现企业目标的过程。*null 　五步流程应用——第三步选择风险策略考虑的主要因素针对管理层决策的因素 中、长期目标及行动策略 现有管理能力评价及资源 风险期限 风险的转移或保留手段 剩余风险 管理的优先性针对风险性质的因素 假想情形 环境变化 风险应对工具（保险、期贷） 失控点（业务流程和部门工作的边 界点） 合规约束 普遍性风险的管理 频率的不确定性 数据可获得性*各专业风险评价方法应用各专业风险评价方法应用*风险管理的基本流程风险管理的基本流程川庆公司风险矩阵*风险管理的基本流程风险管理的基本流程川庆公司业务板块风险矩阵*风险管理的基本流程风险管理的基本流程川庆公司业务板块风险矩阵*风险管理的基本流程风险管理的基本流程川庆公司业务板块风险矩阵*风险管理的基本流程风险管理的基本流程川庆公司业务板块风险矩阵*风险管理的基本流程风险管理的基本流程川庆公司业务板块风险矩阵*风险管理的基本流程风险管理的基本流程川庆公司业务板块风险矩阵*风险管理的基本流程风险管理的基本流程川庆公司业务板块风险矩阵*风险管理的基本流程风险管理的基本流程川庆公司业务板块风险矩阵*风险管理的基本流程风险管理的基本流程川庆公司业务板块风险矩阵*null风险矩阵 全局性的 分业务板块的 分业务单元的 分单位的 分作业项目的 关键环节的 …… ……风险管理的基本流程*制定风险管理策略　风险列表制定风险管理策略　风险列表*null 　五步流程应用——第三步风险数据库的规范 关于风险名称的规范：在对风险进行识别时，考虑到以下四种情况的因果关系确定风险命名规则： 　（A）1：N，一因多果。风险以原因命名，按结果进行描述。风险名称格式定为：“＊＊带来的风险”； 　（B）N：1，一果多因。风险以结果命名，按结果的影响进行描述。风险名称格式定为：“＊＊的风险”； 　（C）1：1，一因一果。风险以原因+结果命名，并对结果的影响进行描述。风险名称格式定为：“＊＊带来＊＊风险”； 　（D）M：N，多因多果。风险按重要性分解进行命名和描述。风险名称格式定为：“＊＊风险”。 *null 　五步流程应用——第三步风险数据库的规范 风险分类分层判断标准： 　企业层面的十大风险：高级管理层关注，具有跨部门、跨业务、跨专业管理或全员管理的性质，一但发生将涉及到不同领域或区域，其结果将对公司造成重大损失，直接影响企业目标的实现。比如：安全风险、投资决策风险、市场选择风险等。比如：重庆开县“12.23”事件，直接影响到集团总部领导。 　业务层面的重大风险：不足以冲击公司目标，但直接影响到本业务系统工作目标，造成一个业务系统或业务板块损失，需要系统内各职能部门联合尽职，共同落实责任和措施控制的风险。属于一个部门无法撑控，在业务系统内跨部门，业务又相对单一，但直接控制的主体较多。比如：在各部门、各法律系统工作中，重大事项未经法律论证的风险，一但发生影响到部门和单位业务工作。比如：原长庆农工商处违犯法律程序，擅自承揽工程，发生经济损失200万元，造成经济损失和法律纠纷。 　单位和业务部门重要风险：由于部门职责失误，影响本业务部门工作目标，一但发生不直接影响到其它部门，不涉及到系统风险的范围。通常本部门和单位可以控制的风险。比如：付款不严格履行审批程序的风险。*null 　五步流程应用——第三步风险识别的方法与风险的关系问题 从流程中查找风险的局限性： 　一是找到的是工作本身的质量问题；二是只能反映流程中的缺陷；三是只能辩识业务层面的风险。 　比如：在股权管理方面存在的企业层面风险——法人治理结构缺陷的风险，在业务流程中是无法识别的。 　比如：在流程中只能识别出“三会”履职不到位的风险、不按程序决策的风险等，前提是公司本身法人治理结构健全，识别的是执行中存在的问题。而前一种识别系统是查找企业本身就没有建立“三会”业务流程的问题，解决的是企业战略层面的结构调整问题。*null企业决定业务——业务决定流程 　五步流程应用——第三步包含关系图：*null 　五步流程应用——第四步主要工作： 　　编制风险数据库中解决方案内容制定和实施风险管理指引及解决方案*null 　五步流程应用——第四步风险成因分析 及管理现状预期控制目标1风险解决方案制定2制定方案以实现目标 确定特殊的行为，并说明资源和责任、技术和措施3确定需要采取风险策略的行动措施 谁做，做什么 何时做，如何做制定解决方案路线图*制定和实施风险管理指引及解决方案null 　五步流程应用——第四步制定和实施风险管理指引及解决方案 编写风险解决方案的思路和基本流程 　1、通过调查问卷或现场访谈和资料的研究，对已识别的风险信息进行全面的分析、搜集和整理。 　2、根据风险列表，确立各风险事件和业务流程之间的对应关系，明确风险事件发生的先后秩序和因果联系。 　3、为每个风险确定具体的控制目标，之后评估现有的管理措施，对现有措施当中的缺失和薄弱环节进行补充完善。 　4、划分风险管理的责任，对各部门在风险管理中的作用进行有效划分，理清各风险事件对应的主导管理责任和辅助管理责任部门。 　5、确定风险解决方案要素填写内容，其中包括风险监控指标及报告频率、现有管理措施和改进措施等内容。*null 　五步流程应用——第四步制定和实施风险管理指引及解决方案 风险解决方案编写的技术规范（参考意见） 　十项要点： 　以讲座模板为示范、以专业细化为特点、以全方位管理为框架、以有效可控可操作为标准、以成因控制为原理、以管理漏洞为线索、以关键控制为要害、以事前事中事后为顺序、以人财物要素为根本、以技术条件资源为手段。 　四个要求： 　在形式上不具一格；在方法上借鉴规范；在思路上开明；在思想上开放。*null 　五步流程应用——第四步制定和实施风险管理指引及解决方案 三条参考建议： 　针对性要强：一是针对规避、控制、分散、承担四种策略写方案所对应的内容；二是针对成因写措施（写控制该风险在实践中必须要做到的几件事情，一一罗列，并简述事情的核心内容“什么事，干什么”如：编制盆地评价报告，明确油层构造。至于如何编写？如何明确，可写参照《 ＊＊规定或细则》）。 　编写要领：一是对控制风险涉及到的面（事）一定要写全（比如：说明中提到的组织机构建设等几个方面……，提出控制风险涉及到的关键控制指标、明确禁止做什么及在人、财、物的配置等内容），并点到要害，内行一看就明白，外行看了也知道做什么，至于如何做，以内行清楚为原则。二是有现成《制度文件》可写执行《＊＊规定》，无现成制度，写出来就要配套制定出来，如不需要新制定下发文件，就要在解决方案中直接写出要做的事和关键控制点（此方案发布后本身就是一个文件）。比如：岗位制衡方面：明确＊＊岗位设置、责任权限。这样就不再起草制定下发《关于岗位制衡的相关规定》等文件。 　做到三个区别：一是方案与措施的区别，方案包括措施（原评估表中的措施），但比措施内容多、要求细；二是方案与原各部门制定的《规定》、《细则》的结合与区别，方案重点提炼相关《＊＊规定》、《＊＊细则》《＊＊实施方案》中的提纲要领，比《规定》、《细则》篇幅少、精炼、不重复。方案突出的是框架、要点、要害（点到点中，相当于策化）。《规定》、《细则》可以是解决方案的支持文件，但二者都是可执行文件，要正确理解，要有区别。*null 　五步流程应用——第四步制定和实施风险管理指引及解决方案 编写方案基本构成要素*null 　五步流程应用——第四步制定和实施风险管理指引及解决方案 防洪防汛风险管理解决方案： 　- 汛前风险排查评级，安排措施，明确责任，适度投入，… 　- 汛期重点要害部位监督，值班，… 　- 井场，驻地及重要设施位置选择，… 　- 汛期行车安全规定，… 　- 电网及重要设施防雷击措施，… 　- 防道路山体滑坡措施，… 　- 防洪防汛检查提示预警报告制度，… 　- 防洪防汛总预案，物资储备，突击队，… 　- 针对重大风险点的解决方案及预案，… 　- ……*null 　五步流程应用——第四步制定和实施风险管理指引及解决方案 规范职工股暨清理法人实体法律风险管理解决方案： 　- 分析法律问题：实体权利问题；法律程序问题；法律文书问题; 隐名股东问题；股权转让问题；… 　- 研究适用的法律法规和政策依据：公司法；集团公司文件；… 　- 评估实际操作中可能遇到的法律风险：股权关系；员工安置；… 　- 制定法律风险防控措施：预防性；可控性；补救途径；… 　- 审查改制单位的实施方案：合法性；合规性；可操作性；… 　- 股东会对重大问题进行决议：公司合并；股权转让；… 　- 办理相关法律文书：股权转让合同；股东会决议；… 　- 办理工商登记变更：法人名称、公司章程；变更劳动关系；… 　- ……*null 　五步流程应用——第四步制定和实施风险管理指引及解决方案 投资项目风险管理解决方案: 　- 与发展战略的一致性，… 　- 明确的投资政策，策略，… 　- 严格的论证程序：建议书，调研论证报告，初评，复评， 专家评审，… 　- 全面充分的调研论证内容：市场，技术，资源，经济，… 　- 严格明确的决策程序，… 　- 重大投资项目风险评估制度，… 　- 经营性项目投资回报标准，公益性功能性项目问卷调查，… 　- 投资项目后评价及审计制度，… 　- 调研论证者，决策者们知识结构，认识水平提高计划，… 　- ……*风险数据库案例风险数据库案例 案例 *风险数据库案例 案例 风险数据库案例*风险数据库案例 案例 风险数据库案例*风险数据库案例 案例 风险数据库案例*风险数据库案例风险数据库案例1、健全井控管理体系。完善各级井控管理机构和管理网络,配齐井控管理人员,明确各管理层面和岗位的井控责任,形成“一级抓一级、层层抓落实”的责任体系，按照集团公司“平稳、均衡、效率、受控、协调”的十字方针,组织生产,正确处理好安全、速度与效益的关系。 2、实行工作报告制度和责任追究制度。建立井控办公室主任半年汇报会制度、井控工作第一责任人述职制度和井喷事故责任追究制度。制定《井控管理考核办法》和相关责任追究制度,明确各个管理层面的井控责任和工作标准,对违反井控规定和造成井喷事故的责任人进行严肃处理。 3、做好浅气层及低压低渗油气田、老区调整的井控专项管理，实行关健流程或风险点定期检查制度。 4、推行地质和工程设计风险管理。一是设计、编写及审批人员必须取得井控培训合格证;二是做好设计实施的现场跟踪;三是地质设计要按井控规定要求提供必要的相关数据,包括三条压力曲线、目的层含气情况及浅气层等资料。要对同一区域曾发生的井控险情或井喷事故进行描述和风险提示;四是工程设计要针对施工井的基本情况和各类井控风险,制定科学合理的井身结构和应对措施;五是坚持方案的安全环保风险评估制度,按照“谁设计,谁负责;谁审批,谁负责”的原则,严格方案制定、设计审批及设计变更的程序和责任,从设计源头抓好井控管理。风险管理解决方案方案前应增加对该风险的管理目标：比如什么时间，达到什么水平，目标定量化，逐步形成一系列指标体系，为风险管理信息系统打下基础，这也是发展趋势。*风险数据库案例风险数据库案例5、实行持证上岗制度。执行集团公司《井控培训管理办法》,按照“理论合格、操作过硬、实战实用”三位一体的思路,重点抓好基层井队长、技术员、班组长的井控知识和实际技能培训, 保证学时,按规定复培取证上岗。 6、开展实战演练。杜绝演习的形式化、表面化,对可能遇到的井控紧急险情现场每个生产班组都要进行模拟溢流、井涌和井喷以及可能出现的各种异常情况的针对性演练,要按照历史上已发生井喷的实际状况进行演习,要按照不同时间段、不同气候状况进行演习,每个井架工都要实际演练二层台逃生,达到正确熟练地使用逃生装置的能力。 7、实施井控装备管理。一是要解决井控装备费用问题, ,保证资金投入,,保证井控装备的正常维护及更新配套投入。二是强化有毒有害气体检测，三是制定超期服役井控装备使用管理办法，完善井控装备配套、试压和检修工作制度。 8、进行井控风险评估,建立一井一评估制度。针对不同区域的地质、油藏及环境特点以及以往溢流、井涌、井喷及有毒有害气体溢出情况,进行井控风险识别、风险评估。在信息分析的基础上，开展一井一评估工作，制定有效的防范措施，建立重点井的跟踪巡视制度。 9、实行资质审查准入制度。严把资质五关口，坚决不用无资质的施工队伍,对准入队伍要提出明确的井控要求。 10、转变管理思路，将井控工作视为职工健康管理的需求，提高井控工作落实的主动性。 风险管理解决方案 案例 *风险数据库案例风险数据库案例 案例 *风险评估要素的评价标准 风险评估要素的评价标准 风险细分动因准确方案务实措施具体执行有力 持续改进准确描述本单位重要业务、重大事件、重要项目存在的风险，通过风险定义，进行风险的表象、事件、结果的细分，找准不确定因素问题隐患和引起的异常现象。对造成风险的主要原因按关健因素分析法一一列举，切中问题和要害，准确提出存在的主要问题，找准因果关系。制定的解决方案，目标明确，方法具体，比如：几年内、干什么、达到什么效果。方案源于动因，回归于动因，结合实际，一用就灵。措施具有可操作性，明确誰、什么时间、干什么、依据什么文件、标准？解决什么关健问题，抓住关健环节、重要关口、关健指标、重要因素。就是按做的正确的去写，按写的正确的去做；只有规定动作，这就是制度。持续改进是一个动态的管理过程，改掉不正确和不适应现代管理和发展需要的过时的制度。*null 　五步流程应用——第五步主要工作： 　　项目组组织测试工作 目前：风险管理报告---要素评价法 体系建设水平/风险受控或失控 评估框架： 控制50% 控制100% 未发现未识别 识别了未控制风险管理的监督与改进*null 　五步流程应用——第五步风险管理的监督与改进*null 　文化培育与环境建设各层面形成风险文化的主要途径： ★　宣传报道、讲座培训 ★　问卷调查、有奖答题 ★　风险管理卡片 ★　事件报告奖励机制 ★　询问*几点新认识：几点新认识：1、关于风险的层次性。正确区分和判断企业风险和业务风险的方法。 企业风险—决策问题、战略问题、系统问题----决定做正确的事 业务风险---规范问题、控制问题----决定正确地做事 关于质量问题与业务风险的衡量标准。 *几点新认识：几点新认识：2、关于风险种类划分问题。 决策风险 会计风险 环境风险 作业风险 合同风险 规划风险 ……. 政策风险 安全风险 战略风险财务风险市场风险运营风险法律风险*几点新认识：几点新认识：3、关于风险矩阵等管理工具的应用问题. 矩阵式风险识别的方法应用（多维识别法） *几点新认识：几点新认识：4、对于风险名称和定义，既要规范又要把握灵活的原则。 《巴基斯坦项目社会安全风险》结合了集团公司海外业务强调HSSE的要求，有特点,但不具体。 恐怖袭击风险 本土化员工风险 …………. 比如：人身安全风险－－指向不明确*几点新认识：几点新认识：5、对风险发生概率和风险成本指标的评估上，要进一步研究在定性基础上量化分析的方法。 对两个重要指标的认识问题。 对外合作与市场开发处对信息收集很重视，将国家海外风险预警做为信息源，并及时作为动态评估的依据，也是用近期数据分析风险评价指标的一个方法。 历史概率 未来概率*几点新认识：几点新认识：6、解决方案作为风险管理的重点，要形成各业务板块的特点，研究关键风险点的核心管理措施，避免笼统和可操作性差。 一是目前针对初始风险制定的解决方案只是此类风险如何解决的管理指引，具有普遍性和解决方案的共性特征。 二是在此管理指引下，开展一事一评的风险管理工作，针对更加具体的重大项目和重要业务，制定可操作的解决方案，才是风险管理的实践活动。*几点新认识：几点新认识：7、对于关健要素的分析把握. 排序法、管理要素差异分析法、现状评价法 二八定律 流程出口、进口 关健岗位、环节 重要权限、审批*几点新认识：几点新认识： 8、关于控制方式 结合业务特点，扩展高管层控制、流程控制等五种方法，形成风险管理措施库。 *风险管理体系的全面实施“风险管理是每个人的工作”这个观点必须被大多数所认同，特别是高管人员，所以，建立风险管理意识和文化，才能有效地推动风险管理的实施。风险管理体系的全面实施“风险管理是每个人的工作”这个观点必须被大多数所认同，特别是高管人员，所以，建立风险管理意识和文化，才能有效地推动风险管理的实施。风险实施就是风险管理活动的执行，是前面几项工作的落地，《手册》只是体系建设成果，实施是运行成果，运行的结果是检验《手册》的执行力，《手册》是实施管理的文件和依据，风险实施还需要制定《风险管理制度》等管理文件，明确运行中的维护、检查和改进的职责，建立长期运行机制。*风险管理体系执行的要素就是策略、流程、人员、技术及知识的组合-----也是解决方案要素的落地。 风险管理体系执行的要素就是策略、流程、人员、技术及知识的组合-----也是解决方案要素的落地。 风险负责人对目标、策略的理解和认识 流程是风险控制与管理的一个重要手段，但不局限于流程，我们提供了六类控制方式手段。 风险负责人定期提交状况报告，是实现风险策略目的一条保证线，是一个促进风险改进工作的过程。 具有较强风险管