中石油风险评估手册[教材](3)

中石油风险评估 手册 华为质量管理手册 下载焊接手册下载团建手册下载团建手册下载ld手册下载 内部控制管理手册风险评估分册中国石油天然气股份二○○八年一月1 内部控制体系建设内容………………………………………………………………1.1 概述…………………………………………………………………………………1.2 建立风险评估机制…………………………………………………………………1.3 建立并完善风险管理体系…………………………………………………………2 内部控制体系执行的文件及标准…………………………………………………2.1 流程描述标准………………………………………………………………………2.2 业务流程目录………………………………………………………………………2.3 风险评估标准………………………………………………………………………2.4 重要会计科目和披露事项确认……………………………………………………2.5 财务报表认定指南…………………………………………………………………2.6 重要业务单位确认…………………………………………………………………2.7 公司层面风险及对策分析程序……………………………………………………2.8 业务活动层面风险数据库…………………………………………………………2.9 风险管理标准〔试行〕……………………………………………………………2.10风险评估涉及的制度索引…………………………………………………………1 内部控制体系建设内容1.1 概述1.1.1 风险1.1.1.1概念风险是指未来的不确定性对公司实现其目标的影响，所有公司，无论规模、结构和行业性质，都面临着诸多来自内部和外部的风险，影响公司既定目标的实现。1.1.1.2风险的类型公司面临的风险可以分为公司层面风险和业务活动层面风险。1〕公司层面风险。导致公司层面风险的因素包括外部和内部两个方面。〔1〕外部因素主要表达在：①技术开展——影响研发的性质和时机；②不断变化的客户需求和期望——影响产品开发和定价；③竞争——影响营销和效劳活动；④新的法律和法规——影响经营政策和策略；⑤自然灾害——可能造成损失；⑥经济形势的变化等——影响融资、资本支出和扩张决策。〔2〕内部因素主要表达在：①信息系统运行的中断——影响经营运转；②员工的素质以及培训、鼓励方法——影响控制理念；③管理层职责的改变——影响某些实施控制的方式；④公司经营活动的性质、员工对资产的接触途径——产生挪用；⑤董事会或审计委员会无法有效履行其职责——可能为管理层轻率的行为提供时机。2〕业务活动层面风险。业务活动层面风险是指与公司的主要生产经营活动及管理职能有关的风险，包括采购、生产、市场营销、销售、技术开发以及研发、人力资源管理、财务管理等业务和管理活动中存在的风险。1.1.2风险评估1.1.2.1概念风险评估是识别及分析影响公司目标实现的因素的过程，是风险管理的根底。在风险评估中，既要识别和分析对实现目标具有阻碍作用的风险，也要发现对实现目标具有积极影响的机遇。1.1.2.2风险评估的范围公司针对战略目标、经营目标、报告目标、合规性目标，分别开展战略风险、经营风险、报告风险和合规性风险评估。目前主要是针对财务报告目标开展了风险评估工作，在以后的体系建设中，将逐步针对战略目标、经营目标、报告目标和合规性目标，按照全面风险管理的要求，开展公司风险评估工作。1.1.2.3风险评估的根本程序1〕信息收集。围绕公司战略目标和相关目标以及风险管理要求，相关职能部门、业务单位和内控管理部门广泛、持续收集与公司风险及风险管理相关的内部、外部各种信息，包括收集历史数据和未来信息，关注宏观经济与经营环境、竞争对手、新技术与新产品、海外经营、公司重组、业务整合、会计政策、信息系统、资本运作等方面已经发生和将要发生的变化情况。公司对收集的数据、信息和变化情况进行必要的筛选、提炼、比照、分类、组合，形成与公司风险管理相关的信息资料库并不断更新，以便进行风险评估。公司制定?风险评估标准?，明确收集风险管理信息的具体要求，包括收集战略风险、经营风险、报告风险和合规性风险等方面与公司风险和风险管理相关的内、外部各种信息。公司目前尚未建立针对风险评估的信息收集机制，将在以后的内控体系建设中，对风险评估标准进行修订，明确规定风险评估信息收集的具体要求，建立风险评估信息收集机制。2〕风险识别。风险识别是指查找公司各项重要经营管理活动及其重要业务流程中存在的影响目标实现的风险和机遇的过程。公司分别从公司层面、业务活动层面，动态识别影响公司战略目标及相关目标实现的、内部和外部的各种不确定性因素。带负面影响的因素代表风险，需要对其分析和应对；带积极影响的因素代表机遇，在制定目标和政策实施过程中对其加以考虑并把握。〔1〕公司层面风险识别。公司从战略开展的角度，识别公司层面面临的所有重大的不利因素和有利因素，从而识别风险，发现机遇。这些因素来自外部和内部两个方面，外部因素主要包括政治因素、经济因素、社会因素、自然环境因素等；内部因素主要包括根底设施因素、员工因素、流程因素和技术因素等。〔2〕业务活动层面风险识别。公司制定业务流程描述标准，建立流程目录并用流程图对所有业务进行直观描述。在业务流程描述的根底上，以业务流程步骤为主线，全面识别影响目标实现的相关因素。目前，在风险识别方面，暂未考虑有关公司开展机遇的问题，在以后的内控体系建设中，将关注公司开展机遇。3〕风险评价。风险评价是评估风险对公司实现目标的影响程度和风险发生可能性的过程。公司针对固有风险和残存风险，运用定性和定量的方法，对公司层面和业务活动层面风险发生的可能性和影响程度进行分析、评价，并按照风险排序标准和方法，确定风险重要性水平，识别公司重大风险，确定风险管理的优先顺序。公司制定?风险评估标准?，明确风险评估的定性与定量的具体方法。如定性方法包括问卷调查、集体讨论、专家咨询、情景分析、政策分析、行业标杆比拟、管理层访谈、由专人主持的工作访谈和调查研究等，定量方法包括统计推论、计算机模拟、失效模式与影响分析、事件树分析等；明确规定风险定量评估时，应当统一风险度量和度量模型；明确规定运用风险坐标图对多项风险进行比拟，确定风险排序的方法。识别风险后，需要采用定量或定性的方法对风险进行分析，分析的内容主要有：〔1〕分析风险发生的可能性〔或频率、概率〕；〔2〕分析风险可能产生的影响；〔3〕确定风险的重要性水平。目前，确定风险的重要性水平主要是以定性分析为主、定量分析为辅，公司将在以后的内控体系建设中，完善定量分析的方法，逐步建立起定性与定量相结合的风险分析方法。4〕风险反响。风险反响是公司针对风险发生的原因、风险重要性水平，考虑风险之间的关系并把握机遇，运用风险组合观，选择风险反响 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 的过程。风险反响方案包括回避风险、减少风险、分担风险、接受风险。在评估了相关风险之后，管理层确定如何应对风险，制定风险反响方案。风险反响方案包括以下几种：〔1〕回避风险———退出产生风险的各种活动；〔2〕减少风险———采取行动减少风险的可能性或影响；〔3〕分担风险———通过将风险转移或者分担局部风险来减少风险的可能性和影响；〔4〕接受风险———不采取任何行动去影响风险的可能性或影响。在考虑做出风险反响的过程中，管理层需要评估风险反响对风险可能性和影响的效应以及本钱和收益，并选择一种风险反响方案。公司制定?风险管理标准?〔试行〕，对不同类别的风险的反响策略作出规定。一般情况下，对于战略、经营、报告、合规性等风险，可采取回避风险、减少风险、接受风险等方法。对于能够通过保险、期货、对冲等手段减少风险的，可以采用风险转移等方法；明确要求按照风险管理的优选顺序，合理安排风险管理资金预算和其他风险管理资源。1.2建立风险评估机制1.2.1内控关注要点公司的风险评估程序应该从公司层面和业务活动层面两个角度识别风险，并分析其相关影响。风险评估程序还应该考虑会影响目标实现的内部因素和外部因素，对这些风险因素进行分析，从而为风险管理提供依据。1〕识别外部风险的机制是否健全；2〕识别内部风险的机制是否健全；3〕为业务活动层面的每一个重要目标识别相关的重要风险；4〕风险分析程序的全面性和相关性，包括：分析风险发生的可能性〔或频率、概率〕、分析风险可能产生的影响、确定风险的重要性水平，并决定应采取的行动；5〕存在一种可以预见、识别并对影响公司目标实现的事件或活动发生反响的机制；6〕存在一种识别和处理那些对公司有巨大深远影响的、应该引起管理层关注变革的机制。1.2.2措施公司制定?风险管理标准?〔试行〕、?风险评估标准?，对风险管理的机构及职责、风险管理的原那么及要素、风险评估的程序和方法、控制设计的程序和方法进行明确的规定；明确规定公司开展持续性风险评估工作。公司定期或当发生以下情况之一时，及时组织进行风险评估：内部控制体系建立时；新产品开发时；新业务介入时；新系统应用时；内控政策和目标修改时；业务流程发生较大变化时；组织机构变革时；法律法规、监管要求发生变化时；经济周期性波动时；行业发生变革时；同业发生新的案例时；其他认为需要时。同时针对风险评估的结果组织相关部门制定风险反响方案。1.2.2.1公司层面风险评估措施1〕公司层面风险的识别。〔1〕从外部专家处获得公司层面风险的 意见 文理分科指导河道管理范围浙江建筑工程概算定额教材专家评审意见党员教师互相批评意见 。公司管理层从法律参谋、外部审计师等方面获得有关公司层面风险的意见，分析后在年报中予以披露。公司已经识别并在年报中披露的公司层面风险主要包括：①汇率风险；②商品价格风险；③行业风险；④原油储藏下降风险；⑤灾害风险；⑥大股东控制公司经营政策风险；⑦同行业竞争风险；⑧资金风险；⑨法律风险。〔2〕相关管理部门识别公司层面风险。公司在管理过程中采取一定措施来识别影响公司目标实现的公司层面风险，并针对这些风险制定相应的控制措施。在公司制定开展规划过程中，公司的规划部门对公司所处的内外部环境进行分析，从而识别可能存在的风险。①外部环境分析。a.宏观环境分析：如对政治的、经济的、社会的、法律的、技术的因素进行分析识别，找出这些因素中影响战略目标实现的风险。b.行业分析：对所在行业的特性、产品开展方向及市场走向进行广泛的行业研究，探索所在行业对手过去成功的或失败的案例，确定最有影响力的行业因素，评估行业竞争程度，确定公司在本行业的战略方向，分析对手动向，评估对本行业带来的影响。对行业的这些因素进行分析后，识别这些因素中影响战略目标实现的风险。c.竞争态势分析：对公司的直接竞争者、供给商、购置者、替代品、潜在进入者进行分析，识别这些竞争性因素中影响战略目标实现的风险。d.对公司所处的市场环境和客户进行分析，识别市场环境以及客户中存在的影响战略目标实现的风险因素。②内部环境分析。对外部环境进行分析的同时，公司也对自身的资源和能力进行分析，分析公司资源和能力的现状是否能够支撑公司战略目标的实现，分析的内容包括：a.公司是否有足够的人力资源，如关键管理人员、技术人员等是否能够满足实现战略目标的需要，是否存在人力资源缺乏的风险；b.公司是否有足够的财务资源，如是否有充足的现金流、一定的融资能力等来满足实现战略目标的需要，是否存在财务资源缺乏的风险；c.公司在无形资源，如品牌商誉、技术资源等方面是否能够满足实现战略目标的需要，是否存在无形资源缺乏的风险；d.公司的各项管理能力，如营销、生产、技术开发的能力等方面是否能够满足实现战略目标的需要，是否存在管理能力缺乏的风险。〔3〕其他风险识别方法。公司管理层通过检查业务、参加行业联合会、利用参谋和其他专业人员获取特定信息；公司逐步加强与国内外大石油公司、知名咨询机构的沟通，获取更多、更全面的信息，从而更全面、更准确地识别公司层面风险，进而采取合理的应对措施。2〕对公司层面风险进行分析。内控部组织开展风险评估工作，对已经识别的风险采用定性的方法进行风险分析，分析风险发生的可能性〔或频率、概率〕以及风险可能产生的影响，确定风险的重要性水平。3〕制定风险反响方案。相关业务部门针对识别的风险，制定风险反响方案。对不同的风险，确定是采用躲避风险、减少风险、分担风险的风险反响方案，还是接受风险。1.2.2.2业务活动层面风险评估措施对于业务活动层面风险评估，公司目前只对影响财务报告目标实现的风险〔财务报告错报、资产平安受到威胁和舞弊〕进行风险评估，具体有以下措施。1〕确定重要会计科目和披露事项。根据美国上市公司会计监管委员会〔以下简称“PCAOB〞〕公布的审计准那么第5号——“与财务报表审计相结合的财务报告内部控制审计〔以下简称“PCAOB审计准那么〞〕的要求,管理层在每年对股份公司财务报告的内部控制体系进行评价并向美国证监会报告的过程中，需要首先确定与股份公司国际会计准那么财务报告相关的重要会计科目和披露事项，以及这些重要会计科目和披露事项可能出现重大错报的原因及相关财务报表认定，并以此为根底进一步确定与重要会计科目和披露事项相对应的业务流程，即重要业务流程，作为设计相关财务报告的内部控制体系的根底和依据。每年3月份，根据股份公司上一年度国际会计准那么的合并财务报告及相关附表，初步确定当年重要会计科目和披露事项，并以此为根底确认重要业务流程。对于当年可能发生的重大业务变化，如进行的重大收购、兼并活动，重大的工程投产等，内控部在年底财务报告生成以后，根据年度财务报告的相关数据对初步确认的重要会计科目和披露事项进行更新，确保重要会计科目和披露事项的完整性。2〕确定重要业务流程。公司以财务报告为切入点对业务进行梳理，确定公司治理、管理结构、开展规划、经营方案等三十三类业务为内部控制体系建设涉及的主要业务，根本涵盖了公司各个方面的经营管理活动；并以此制定通用流程目录，下发各地区公司。各地区公司在保证一级、二级、三级流程根本不变的根底上，结合本单位的具体业务进行修改和完善。内控部在确定重要会计科目和披露事项的根底上进一步确定与重要会计科目和披露事项相对应的业务流程，即重要业务流程。为了形成公司统一的流程描述文本，公司制定“流程描述标准〞，对流程描述进行标准和统一。公司每年在进行重要会计科目和披露事项确认的同时，对重要业务流程进行更新确认。3〕财务报表认定。在完成重要会计科目和披露事项确实认及其与业务流程的对应后，股份公司应确认和记录相关的财务报表认定，并测试与这些财务报表认定有关的内部控制。相关的认定是那些对于会计科目是否得到公允反映起着决定性意义的认定。只有满足了重要会计科目财务报表认定，才能保证财务报告内部控制的有效性。财务报表认定是管理层进行风险评估进而确保财务报告内部控制体系设计有效的根底。因此，必须对重要会计科目的财务报表认定进行确认和记录。财务报表认定包括存在与发生、完整性、估价与分摊、权利与义务、表达与披露五个方面。内控部除在内部控制体系建设阶段开展此项工作外，以后年度将在每年3月份开展一次财务报表认定工作，为每年进行的财务报告内部控制体系的更新维护做好准备。4〕对业务流程进行风险评估。〔1〕信息收集。〔2〕风险识别。根据公司实际，内控部采用多种方法对业务流程中影响财务报告目标实现的风险进行识别。〔3〕风险评价。内控部组织开展风险评估工作，对已经识别的风险采用定性或定量的方法进行风险分析，分析风险发生的可能性〔或频率、概率〕和风险可能产生的影响，并确定风险的重要性水平。〔4〕建立风险数据库。公司按照规定的程序和方法，开展公司层面风险和业务活动层面风险评估后，结合风险因素、重要性水平和风险反响方案，编制与维护公司层面风险数据库和业务活动层面风险数据库，将识别的风险形成风险数据库，并根据公司经营环境的开展变化，对风险数据库进行不断地更新与维护。1.2.3文档性记录1〕公司中长期开展规划；2〕风险数据库；3〕通用业务流程目录；4〕重要业务流程目录。1.3建立并完善风险管理体系公司建立风险管理组织 架构 酒店人事架构图下载公司架构图下载企业应用架构模式pdf监理组织架构图免费下载银行管理与it架构pdf ，形成包括明确风险管理的职责划分，建立并不断完善风险 管理制度 档案管理制度下载食品安全管理制度下载三类维修管理制度下载财务管理制度免费下载安全设施管理制度下载 、风险评估方法和工具，以及风险报告系统的组织体系。内控部门负责受理公司内部及外部关于改良风险管理的建议和意见，监督并定期评估风险管理体系的运行情况，并根据评估结果及时做出相应整改。评估内容主要包括以下事项：〔1〕风险管理系统是否到达预期效果；〔2〕风险管理程序是否合理；〔3〕风险信息及其采集方法是否有效；〔4〕是否有新的风险管理知识、技术、方法产生。2内部控制体系执行的文件及标准2.1业务流程描述标准本标准确立了基于业务流程管理系统的业务流程描述的标准，规定了建立业务流程描述的一般方法，界定了业务流程描述的相关术语。本标准适应于中国石油天然气股份公司总部机关、专业公司、地区公司的业务流程描述。