风险控制分析培训讲解稿课件

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第,117,页,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,中国石油集团海洋工程有限公司,二,OO,七年四月二十日,风险控制分析讲解,中国石油集团海洋工程有限公司 风险控制分析讲解,内容,第一部分 风险管理基本理论,第二部分 如何进行风险控制分析,内容第一部分 风险管理基本理论,第一部分 风险管理基本理论,风险管理历史沿革,全面风险管理的一般概念,全面风险管理的实践,如何实施全面风险管理,第一部分 风险管理基本理论风险管理历史沿革,法人治理结构,法人治理结构,综合内部控制体系,法人治理结构,综合内部控制体系,全面风险管理,时间,企业管理核心范围,目标范围扩大； 标准化加强,风险管理历史沿革,法人治理结构法人治理结构综合内部控制体系法人治理结构综合内部,时间走向,2000,可持续性发展,保险，投资组合，流程控制,企业管理目标,金融衍生品，风险资本结构,信息技术的发展,基于风险的资源配置与绩效考核,风险最优化、全面风险管理,收益最大化,收益稳定,1970,1990,1980,风险管理的复杂程度越来越高,与企业战略目标结合越来越紧密,避免损失,企业风险管理技术的三个发展阶段：,第一阶段,第二阶段：,第三阶段：,时间走向2000可持续性发展保险，投资组合，流程控制企业管理,全面风险管理的背景,风险种类增加，风险日益复杂，导致企业灾难频发,世通,安然,德隆集团,中航油,中储棉,长虹集团,大宇集团,。,利益相关者的要求,股东追求收益的稳定持续增长,社会要求企业承担社会责任,员工要求职业生涯的不断发展,。,风险管理技术和工具的不断创新,流程控制,VAR,方法,投资组合理论,基于风险的绩效考核,计算机模拟技术,信息系统,合规性要求,萨班斯法案,公司法,证券法,消费者权益保护法,。,全面风险管理,全面风险管理的背景 风险种类增加，风险日益复杂，导致企业灾,案例介绍,历史背景：中国最大的彩电生产商,最后结果：由于信用风险,2004,年损失约,3.1,亿美元左右,风险分析：,家电市场竞争激烈，库存居高不下；,当地政府追求,GDP,增长，一定程度上增加了企业领导人向外出口的压力；,客户选择不慎；,缺乏有效的信用管理措施，如先交货后付款，又没有设立止损额，导致应收帐款不断增加。,忽视了美国反倾销的风险,长虹巨额亏损,案例介绍历史背景：中国最大的彩电生产商长虹巨额亏损,案例介绍,历史背景：韩国第二大企业集团,最后结果：,1999,年,负债高达650亿美元，宣告破产,风险分析：,世界化经营的发展战略；,97,年亚洲金融危机；,低估了自身的高负债风险；,高估了自身的经营能力和出口能力，低估了经营风险；,寄希望于政府施援，低估了政治风险；,大宇集团解体,案例介绍历史背景：韩国第二大企业集团大宇集团解体,对我们的启示,实施全面风险管理！,企业必须认识自身面临的风险，并且必须从战略的高度对风险进行系统化的管理！,对我们的启示 实施全面风险管理！企业必须认识自身面临的风,风险的内涵和外延,全面风险管理的定义,传统风险管理与全面风险管理,全面风险管理与全面质量管理,全面风险管理与现行管理体系,全面风险管理的目标和作用,全面风险管理的一般概念,全面风险管理的一般概念,1,、风险是损失的可能性。,2,、风险是,未来,的,不确定性,对企业实现其,既定目标,的,影响,。,行为目标曲线,可能的实际曲线,可能路径的概率分布,风险定义,行为目标曲线可能的实际曲线可能路径的概率分布风险定义,风险是有关未来的,风险是有关不确定性的,风险是与目标有关的,风险的,内涵,风险是有关未来的风险的内涵,风险几乎涵盖了企业的所有内外部因素和管理活动。,外部环境的不确定性对企业的影响可以称之为风险，如社会政治风险、供应链风险、市场风险、竞争对手风险、技术革新风险、法律法规风险、自然地理环境风险、灾害风险等。,企业,社会政治,法律法规,市场,自然环境,竞争对手,供应链,灾害,技术革新,风险的外延,风险几乎涵盖了企业的所有内外部因素和管理活动。企业社会政治法,企业决策和经营活动中的不确定性可称之为风险。,企业内部的风险来自企业的各个流程。,风险的外延（续）,人力资源开发和管理,信息资源和技术管理,财务和实物资源管理,环境卫生和安全活动,外部关系管理,改进和变革管理,了解市场,和客户,确定愿景,和战略,产品服务,设计,市场和,销售,提供产品,和服务,售后,服务,企业决策和经营活动中的不确定性可称之为风险。风险的外延（续）,风险管理是基于未来对企业现状的管理；,风险管理是目标管理；,风险管理是对企业内外部环境的管理,风险管理的本质,风险管理是基于未来对企业现状的管理；风险管理的本质,全面风险管理定义,全面风险管理是使企业在实现其未来战略目标的过程中，将企业面临的不确定性和变化所产生的影响控制在可接受范围内的过程和系统方法。,全面风险管理定义 全面风险管理是使企业在实现其未来战略,全面风险管理解读,全面风险管理是一种理念：,对企业的认识：,企业的使命是实现企业利益相关人的利益最大化。,对企业环境的认识：在企业实现战略目标的过程中，不确定是唯一确定的，即,企业处于不确定的环境之中。,对企业管理的认识：强调战略、风险与流程活动的统一。,全面风险管理解读全面风险管理是一种理念：,全面风险管理解读（续）,全面风险管理是一种态度,：,积极、主动的管理风险，而不是被动、消极地管理风险,被动应对风险,主动管理风险,将风险看作外在的东西，类似于“不可抗力”，企业只能接受。基于这样一种认识，企业经营者一般会漠视风险，抱有侥幸心理。当风险发生时，企业只能匆忙应对，导致重大损失甚至破产。,将风险管理作为一种价值创造活动，积极地面对风险，从战略的高度并采取系统地方法主动去认识风险、管理风险。当风险发生时有充分的准备，可以将风险控制在企业能够承担的水平。,全面风险管理解读（续）全面风险管理是一种态度：被动应对风险主,全面风险管理（续）,全面风险管理是一种管理方法：,风险管理方法和工具的集合：,统计学的方法,在险值（,VAR,）方法,投资组合理论,全面风险管理涵盖了从战略管理到运营管理的各种方法，为传统管理方法赋予了新的活力：,MRP,、,ERP,、,TQM,、,6,西格玛、,CRM,、 平衡记分卡。,全面风险管理（续）全面风险管理是一种管理方法：,全面风险管理解读（续）,全面风险管理的全面性体现在,：,风险的全面性,管理企业面临的所有重大风险,人员的全面性,从公司,CEO,到基层员工全面参与,应对方法的全面性,采取多样化、系统的应对方法,全面风险管理解读（续）全面风险管理的全面性体现在：,全面风险管理解读（续）,全面风险管理,不是,:,成立一个部门，由单一部门负责管理、控制企业的所有风险；,一次“运动”；,编制一堆手册和制度；,购买一台大型计算机收集风险信息。,而是,:,将风险管理纳入企业战略框架之下，实现风险与战略和经营活动的统一；,融于流程，持续的、贯穿于日常业务和管理的活动；,基于风险的决策，包括基于风险的绩效考核和资源配置；,整合而不是单一的风险管理措施，实现有效的风险控制；,与企业利益相关人的有效沟通。,全面风险管理解读（续）全面风险管理不是:,全面风险管理继承和发展了传统风险管理的体系和方法，是当今世界风险管理的最佳实践。,传统风险管理,全面风险管理,管理对象,传统意义上可控的风险，如运营风险、灾害性风险等,不仅包括运营风险和灾害性风险，还涵盖了战略风险。,管理方式,就单个风险实施管理和控制,从企业总体上集中考虑和管理风险,态度,被动的将风险管理作为成本中心,主动积极的将风险管理作为价值中心,目标,实现运营、财务和合规目标，与企业战略目标联系不紧。风险管理的目标主要是转移和控制风险,紧密联系企业战略，实现企业的各项目标，通过系统化的风险管理手段寻求风险最优组合,手段,基本上采用保险手段和内部控制手段，控制手段较为单一,采用多种手段，除保险、内控手段以外，还结合战略、组织、信息系统、金融等多种手段,全面风险管理与传统风险管理,全面风险管理继承和发展了传统风险管理的体系和方法，是当今世界,全面风险管理与现行管理体系,全面风险管理,不是,独立于现有管理体系的另外一个体系,全面风险管理是对现有数据的挖掘和利用,全面风险管理是对现有管理体系的整合,全面风险管理是对现有管理职能的强化,全面风险管理的内容融入现有管理职能,预算,ISO9000,投资,规划,全面风险管理与现行管理体系全面风险管理不是独立于现有管理体系,5.,遵守法律法规,4.,可靠的信息沟通，包括可靠的财务报告,3.,有效和有效率的运营,2.,保护企业不致因灾害性事件或错误而遭受重大损失,1.,达到与企业整体经营战略相结合的风险最优化,全面风险管理的目标,5. 遵守法律法规 4. 可靠的信息沟通，包括可靠的财务报,全面风险管理的最终目标是为企业实现经营目标提供,合理保证,发生概率,目标,+,t,o,t,1,t,N,时间,全面风险管理,影响程度,全面风险管理的最终目标是为企业实现经营目标提供合理保证发,COSO-ERM,框架,在,COSO-I,的基础上，增加了控制环境、事件辨识、风险反应三个要素，将风险管理活动的目标扩展到战略目标。,将内控框架置于风险管理框架之下。,COSO-ERM框架在COSO-I的基础上，增加了控制环境,指引,中的全面风险管理框架：,企业风险文化,风险管理,组织体系,风险管理,信息系统,内控活动,风险理财,风险评估,风险管理解决方案,基础信息,监控改进,风险管理策略,信息与沟通,全面风险管理框架,风险管理策略强调企业总体战略和风险偏好的一致性，将企业成长、回报与风险联结起来，对企业风险管理具有指导作用。,全面风险管理程序是一个循环的过程，可针对整个企业或单个部门、流程和风险运行。,全面风险管理体系是风险管理的基础。,中央企业全面风险管理指引,指引中的全面风险管理框架：企业风险文化风险管理风险管理内,指引,全面风险管理框架要素：,指引与COSO-ERM框架的关系,COSO-REM,框架要素：,控制环境,目标设定,事件辨识,风险评估,风险反应,控制活动,信息与沟通,监督改进,风险管理初始信息,风险评估,风险管理策略,风险管理解决方案,风险管理监督改进,信息与沟通,风险管理组织体系,风险管理信息系统,风险管理文化,内控活动,风险理财,风险管理信息系统,控制环境,风险管理组织体系,风险管理文化,目标设定,风险管理策略,事件辨识,风险评估,风险评估,风险反应,风险管理策略,信息与沟通,信息与沟通,风险管理信息系统,风险管理初始信息,监督改进,风险管理监督改进,控制环境,风险管理组织体系,风险管理文化,目标设定,风险管理策略,风险反应,风险管理策略,控制活动,风险管理解决方案,内控活动,信息与沟通,信息与沟通,风险管理信息系统,风险管理初始信息,监督改进,风险管理监督改进,事件辨识,风险评估,风险评估,风险理财,控制活动,风险管理解决方案,内控活动,风险理财,指引全面风险管理框架要素：指引与COSO-ERM框架,相同点：,目标相同；,都是全面风险管理的框架，各要素的实质内容相同；,均适用于不同组织，以及同一组织的不同层面；,最终的实施都落实到企业的流程、制度层面。,不同点：,指引,相比,COSO-ERM,框架，要素之间关系的描述更为清晰；,指引,突出风险管理解决方案，强调风险管理手段的系统性、多样性；而,COSO-ERM,框架源于,COSO,内控框架，突出风险控制活动，强调流程、制度对风险的控制作用。,两者细节上的差别体现在方法论上。,指引,将风险评估放在风险管理的第一步，通过系统评估公司各个层面的风险，统一制定公司的风险应对策略，包括战略调整、组织结构调整、流程制度调整等；,COSO-ERM,框架各要素间关系相对独立，实施过程中易相互脱节。,指引,最终的实施不仅要落实到企业的流程、制度层面，更强调要落实到信息系统平台上。,指引与COSO-ERM框架的关系（续）,相同点：指引与COSO-ERM框架的关系（续）,进入,21,世纪以来，行业竞争、法律规定、股东要求以及频频发生的企业灾难，使得国外企业加快了全面风险管理的实施步伐。,38%,没有计划全面风险管理体系,计划实施全面风险管理体系,完整的全面风险管理体系,35%,0%,60%,80%,100%,20%,16%,6%,4%,40%,部分的全面风险管理体系,正在调研全面风险管理体系,11%,20%,22%,9%,38%,- 2004,- 2001,Tillinhgast Tower-Perrin 2001 & Pwc 2004,国外全面风险管理的实施,进入21世纪以来，行业竞争、法律规定、股东要求以及频频发生的,国内企业风险管理的现状,总体说来，中国企业现有的风险管理处于低水平，主要表现为：,企业普遍缺乏风险意识。,企业没有将风险管理纳入企业总体战略框架中。,企业内控系统不健全，或即使内控系统健全但不能得到有效执行。,在企业绩效考核、产品或资产定价方面没有引入风险因素。,缺乏有效的风险管理手段。,国内企业风险管理的现状 总体说来，中国企业现有的风险管理处于,中央企业实施全面风险管理情况简介,中央企业,全面风险管理实施情况,中国最大的五金矿产贸易集团,1,、风险辨识和评估,2,、风险管理现状分析和诊断,3,、制定风险管理策略,4,、根据,指引,的要求建设和完善全面风险管理体系,中国最大的投资控股企业,1,、风险辨识和评估,2,、风险管理现状分析和诊断,3,、制定风险管理策略,4,、根据,指引,的要求建设和完善全面风险管理体系,中国最大的远洋运输集团,1,、风险辨识和评估,2,、建设和完善全面风险管理体系,中国最大的电信集团,1,、战略风险管理,2,、子公司和投资企业全面风险管理指导意见,中国大型贸易集团,1,、风险辨识和评估,2,、制定全面风险管理指导意见,中国最大的石化企业,1,、在下属企业进行风险管理工作试点，三家企业已经进行风险辨识和评估，另有一家企业已经按照指引的要求初步搭建起全面风险管理体系。,2,、其控股的股份公司已经建立了较为完善的内控体系，正准备以此为基础建立全面风险管理体系。,3,、集团总部正着手建立全面风险管理体系,中国最大的核工业集团,1,、风险辨识和诊断,2,、集团总部、工程公司、财务公司建立全面风险管理体系（包括内控体系）。,中国某大型军工企业,风险辨识和评估,中央企业实施全面风险管理情况简介中央企业全面风险管理实施情况,实施全面风险管理必须遵循一定的顺序：,II,设计阶段,I,评估阶段,风险管理文化建设,建立基础,信息框架,风险辨识,和评估,风险管理,现状诊断,风险偏好,风险承受度,测试改进,风险管理,信息系统,全面风险管理方法论,信息与沟通,制定风险管理解决方案,制定风险管,理策略,风险应对,策略,III,实施阶段,风险管,理组织职能,流程梳理和完善,风险管理制度,实施全面风险管理必须遵循一定的顺序：III风险管理文化建设建,建立基础信息框架,建立基础信息框架是所有风险管理工作的基础。,基础信息的来源是多方面的，而且需要随时间的推移不断补充和完善。,基础信息框架,监察审计部,其他职能部门,企业员工,分、子公司,战略部,计划财务部,经营管理部,人力资源部,法律事务部,投资部,政府部门,合作伙伴,竞争对手,参股企业,客户、供应商,外部咨询专家,专业研究机构,基础信息来源,示 例,参见,指引,第二章,11,17,条,建立基础信息框架建立基础信息框架是所有风险管理工作的基础。基,风险评估是风险管理的基础,吉德林法则：认识到问题就等于解决了一 半,风险评估是风险管理的基础吉德林法则：认识到问题就等于解决了,风险评估,要点：,高管层的参与,评价风险是否重大的标准,评估工具的使用,内容：,辨识、分析、评价三部曲,定性和定量相结合,确定优先次序,动态管理，滚动评估,参见,指引,第,18,25,条,风险评估要点：高管层的参与内容：参见指引第1825条,风险评估（续）,风险辩识的方法,自上而下和自下而上相结合,企业,目标,企业总体层面的风险,流程层面的风险,投资企业的风险,风险分解,风险汇总,风险辨识的方法,通过研究企业目标的实现过程辨识风险,通过行业或一般风险分类标准对风险进行辨识,风险评估（续） 风险辩识的方法自上而下和自下而上相结合企,风险评价即对各种风险进行比较，确定风险的大小。,风险评价的基础是统一的风险度量标准。,对于不同的风险，在不同的情境下可用不同的风险度量方法来度量。,最大可能损失,标准差,VAR,值,发生的可能性和对企业目标影响程度,任何风险均可以定义为风险事件，用其发生的概率和对目标的影响程度两个指标来度量。,风险评估（续）,风险评价即对各种风险进行比较，确定风险的大小。风险评估（续）,工作内容,公司层面的风险,：根据集团公司指引的要求，通过风险管理模型的风险列表，设计海洋公司,风险评估问卷,，发放,74,份，回收,57,份，回收率,77%,。通过对问卷进行统计分析，判断风险列表中的各类风险发生的概率和影响的重要程度，识别风险关联，对风险进行分类，解读“十一五发展规划”对风险管理的需要，对筛选的公司层级的风险编写了,公司层面风险及对策指引表,业务层面的风险：,通过业务流程风险控制分析，借鉴同行业的风险数据库，利用头脑风暴法，沟通研讨法等形式，识别目前业务存在或潜在哪些风险，编写了业务层面的,风险数据库,工作内容公司层面的风险：根据集团公司指引的要求，通过风险管理,风险评估（续）,自上而下的风险辨识：,确定企业或流程的目标,分析实现目标的关键成功因素,辨识影响目标实现的风险事件,战略目标,运营目标,财务目标,合规目标,安全目标,人力资源目标,。,人才,技术,设备,资金,环境,政策,竞争对手,。,人才流失,投资决策失误,新技术突破，技术落后,设备发生故障,全球气候变暖,天然气定价政策变化,竞争对手发现新的油田,。,风险评估（续）自上而下的风险辨识：确定企业或流程的目标分析实,风险评估（续）,自下而上的风险辨识：,指引,分类标准：,战略风险,运营风险,财务风险,灾害性风险,法律风险,选择适当风险分类标准,按照分类标准辨识风险,巴塞尔协议,分类标准：,市场风险,信用风险,运营风险,风险评估（续）自下而上的风险辨识：指引分类标准：选择适当,战略风险,投资风险,财务风险,运营风险,风险目录,风险类别,(40),销售风险,(41),物流风险,(42),客户风险,(43),产品风险,(16),投资管理风险,(26),计划预算风险,(27),融资风险,(5),资本市场风险,(33),诉讼风险,(39),生产风险,(44),产权市场风险,(45),资产转入风险,(1),社会政治环境风险,(2),宏观经济风险,(3),行业风险,(12),竞争风险,(15),投资决策风险,(17),投资退出风险,(28),担保风险,(32),合规风险,(25),现金流风险,(23),人力资源风险,(22),环境风险,(21),健康安全风险,(29),信息风险,(35),道德风险,(31),对外合作,(30),商誉风险,(10),灾害性风险,(9),自然地理环境,（,36),内部合作沟通风险,(24),信用风险,(6),利率风险,(7),汇率风险,(14),政策法规风险,(13),替代品风险,(18),工程建设风险,(20),外部关系风险,(34),社会稳定风险,(11),技术风险,(49),税收风险,(4),相关行业风险,(8),价格风险,(19),战略定位风险,(37),研发风险,(38),采购风险,（,46,）资产评估风险,(47),资产定价风险,(48),资产管理风险,示 例,企业层面的风险,风险列表,战略风险投资风险财务风险运营风险风险目录风险类别(40) 销,海洋公司层面的风险列表,环境,风险,竞争者,需求风险,敏感性风险,技术风险,资金充足性,投资者信任,法律法规,主权,/,政治,金融市场,行业,灾难性损失,营运风险：,客户满意 人力资源,知识资本 建造设计,效率 装备能力,业绩差异 业务周期,资源风险,渠道有效性,经营伙伴 符合性,业务中断 质量,HSE,被侵权,财务,/,金融风险：,利率风险 货币,/,汇率,股票,/,股权,价格,金融工具,现金流,机会成本 市场集中,坏账 客户集中,交割风险,抵押风险,授权风险：,领导能力信任 权力,/,控制 外包 适应能力风险 沟通 线效考核,信息处理,/,技术风险,相关性 真实性 使用机 可得到性 基础构架,道德风险：,管理层舞弊 员工、第三方舞弊,违法 越权使用 声誉,流程,风险,财务范围决策风险：,预算和计划 会计信息,财务报告评价 税收,退休基金 投资评估,法定报告,战略范围决策风险：,环境考察 业务模式,经营组合 价值衡量,组织结构 战略评价,资源分配 计划 生命周期,流程范围决策风险：,产品,/,服务价格 合同承诺,评价（营运）风险,与（战略）背离风险,决策,信息,风险,海洋公司层面的风险列表环境竞争者需求风险敏感性风险技术风险资,根据企业风险管理模型，设计海洋公司调查问卷,内控体系建设是为了强化公司的风险管理基础，实现公司的发展战略目标而实施的。此次问卷调查的目的是进一步了解公司的风险管理客观情况、为提升风险管理水平需要收集必要的评价信息。（问卷回收,57,份，回收率为,77%,，有效率为,100%,）,在发放问卷的过程中，得到了公司领导和员工的大力支持和积极配合，使得本次问卷调查得以顺利进行。,问卷调查,背景、目的,问卷发放和回收情况,调查问卷发放,序号,部室名称,发放份数,回收份数,1,公司高管,7,6,2,办公室,5,5,3,生产运行部,5,5,4,技术部,5,4,5,规划计划部,5,5,6,装备工程部,6,4,7,质量安全环保部,5,3,8,人力资源部,7,5,9,财务资产部,7,7,10,监察审计部,4,4,11,设计研究中心,18,9,合计,74,57,根据企业风险管理模型，设计海洋公司调查问卷内控体系建设是为了,解读”十一五发展规划“，识别战略目标实施的风险管理的需求,序号,十一五发展目标,潜在的风险管理需求,风险简析,1,努力满足集团公司国内外海洋油气勘探开发需求，力争在集团公司海洋钻采和海洋工程市场占有率达到,90%,市场风险,市场风险：加强市场的预测、研究、规划、战略部署能力；,2,年收入达到,38,亿元以上。实现盈亏平衡，使公司具备良性滚动发展能力,获利能力风险,获利能力风险：增加销售收入、控制成本费用、提高资产利用效率、合理控制财务结构、提高获得现金流的能力,3,完成适应浅海、中深海施工的装备体系和基地建设，通过集团公司投资和公司自我积累使资产总额达到,200,亿元以上,装备不足风险,装备不足风险：加强与战略合作伙伴的关系、加强对市场发展趋势的判断能力,4,积极开展对外合作，力争采取合资、合作、联合、并购等多种方式，成立,12,个分（子）公司，提升公司核心竞争力,法律风险资本运营风险,法律风险：加强法律政策的研究和风险防范能力资本运营风险：加强对外投资的可行性研究,解读”十一五发展规划“，识别战略目标实施的风险管理的需求序号,解读”十一五发展规划“，识别战略目标实施的风险管理的需求,序号,十一五发展目标,潜在的风险管理需求,风险简析,5,构建合理的管理、专业技术和操作人员队伍，员工总量控制在,3000,人左右，海洋钻采作业队伍发展到,19,支，满足在不同海域和走向国际施工作业的需要,人力资源风险,人力资源风险：建立健全人才的“选、用、育、留”机制，完善薪酬体系、绩效考核体系、员工职业生涯发展规划政策、培训政策。,6,逐步形成和掌握海洋钻采、海洋工程等六大类集成技术，初步建成海洋石油工程技术中心和重点实验室，技术水平达到或接近国内先进水平，能满足公司一体化服务和总承包作业的需要,技术风险,技术风险：加强形成企业的技术竞争优势，包括人才的引进、资金的投入、对外交流与合作等。,7,按照国际化标准，不断改进、完善和创新管理体制和运行机制，实现各项管理工作的精干高效、协调有序运行。,组织运营风险,组织运营风险：提升企业的组织竞争力，合理的组织结构设置，完善的对二级单位的管理控制体系,8,建立预防为主、持续改进的安全生产和环境保护长效机制，塑造具有中油海洋特色的企业文化，实现清洁无害化生产,HSE,风险,HSE,风险：提升企业的,HSE,管理水平,9,让公司发展成果惠及全体员工，把公司建成社会推崇、客户认同、股东满意、员工自豪的公司。,企业文化风险,企业文化风险：培训员工的归属感、认同感,解读”十一五发展规划“，识别战略目标实施的风险管理的需求序号,编制公司层面风险中国石油集团海洋工程有限公司公司层面风险及对策指引表,序,号,公司层面,风险,风险说明,主要,责任,部门,主要控制对策指引,可,能,性,影响,程度,重要,性水,平,相关,管理,制度,索引,1,健康和安全风险,未能为员工提供安全的工作环境使企业可能面临债务赔偿、声誉受损和产生其他不可预估的成本。重大安全事故的发生对人身安全和社会带来的损失。,质量安全环保部,公司设立质量安全环保部负责公司相关环保工作。,公司全面建立并实施了质量健康安全环保（,QHSE,）管理制度，努力减少环保事故发生，消除损失，保障公司员工人身安全，并按法律、法规的规定承担环保相关的法律责任。,业务层面控制：见业务流程“健康、安全、环保”流程。,较高,最大,最高,QHSE,体系制度汇编,2,环境风险,企业的行为造成对环境破坏，面临造成他人身体伤害、财产毁坏、搬迁和处罚等赔偿债务，危害社会环境，违背企业价值观的风险。,质量安全环保部,3,质量风险,企业的行为造成对环境破坏，面临造成他人身体伤害、财产毁坏、搬迁和处罚等赔偿债务，危害社会环境，违背企业价值观的风险。,质量安全环保部,编制公司层面风险中国石油集团海洋工程有限公司公司层面风险及,结合海洋公司的实际情况，针对具体业务流程建立海洋公司的风险数据库,进行控制现状分析，完成风险控制文档，发现控制设计缺陷,收集整理规章制度（能够及时提供相关规章制度）,风险控制分析的主要目的,结合海洋公司的实际情况，针对具体业务流程建立海洋公司的风险数,第二部分 如何进行风险控制分析,一、风险控制分析的基础知识介绍,二、风险控制分析模板及操作,三、风险控制分析注意事项,第二部分 如何进行风险控制分析一、风险控制分析的基础知识介绍,导读,一、风险控制分析的基础知识介绍,二、风险控制分析模板及操作,三、风险控制分析注意事项,导读一、风险控制分析的基础知识介绍,风险分析,基本概念,风险评估,风险反应,控制分析,基本概念,设计原则,控制有效性评价,基础知识介绍,风险分析基础知识介绍,风险分析,基本概念,风险评估,风险反应,控制分析,基本概念,设计原则,控制有效性评价,基础知识介绍,风险分析基础知识介绍,风险的定义,目标识别,风险评估,风险反应,控制活动,风险的定义：,风险是某个事件将出现并严重影响目标实现的可能性,风险的定义目标识别风险评估风险反应控制活动风险的定义：风险是,经营决策风险,违反法律法规风险,财务报告失真风险,资产安全受到威胁,营私舞弊风险,风险的分类（1）,战略风险,财务风险,市场风险,运营风险,法律风险,经营决策风险风险的分类（1） 战略风险,1,）经营决策风险：,影响决策的时效、依据和质量等。,例如：,预算目标脱离实际,没能以合理的价格取得物资或服务,投资决策失误导致投资失败,产品不能及时适应市场的变化和需求,风险的分类（2）,2,）违反法律法规风险：,没有全面执行国家法律、法规和政策规定。,例如：,合同条款违法,偷税,坐支现金,污染物的排放不符合国家环保规定,1）经营决策风险：影响决策的时效、依据和质量等。例如：风险,风险的分类（3）,3,）财务报告失真风险：,企业未完全按会计准则、制度等规定组织会计核算和披露信息，导致财务报告在完整性、准确性等方面存在问题,例如：,将资本化的支出费用化或将费用化的支出资本化,会计记录错误（金额、科目、期间错误）,帐实不符,产品交接计量错误,4,）资产安全受到威胁：,指管理制度不健全或执行不到位，企业实物资产如设备、存货、证券、资金和其他资产的安全受到威胁,例如：,挪用现金,存货毁损被盗,资产处置未经适当的授权导致资产流失,风险的分类（3）3）财务报告失真风险：企业未完全按会计准则、,5,）营私舞弊风险：,以故意的行为获得不公平或非法的收益,例如：,人为调节收入,挪用现金,与审计师合谋篡改审计报告,偷税,风险的分类（4）,五类风险之间并没有严格的界线，同一风险可能对应多个风险类别,例如：,挪用现金即影响,资产的安全,又涉及到,营私舞弊,风险。所以，在填列风险控制文档时，同一风险可能对应多个风险类别,5）营私舞弊风险：以故意的行为获得不公平或非法的收益例如：风,风险分析,基本概念,风险评估,风险反应,控制分析,基本概念,设计原则,控制有效性评价,基础知识介绍,风险分析基础知识介绍,风险评估：,是指管理层采用定量或定性的方法，考虑企业潜在事件发生的可能性及对实现企业目标的影响程度,风险评估的概念,风险识别,风险分析,风险评价,查找企业各业务单元、各项经营活动及其重要业务流程中是否有风险，有哪些风险,对识别出的风险及其特征进行明确的描述，分析风险发生可能性的高低、风险发生的条件、风险之间的关系等,评估风险对企业实现目标的影响程度、风险的价值等,风险评估的步骤,在风险评估过程中，应在考虑,固有风险,和,剩余风险,的基础上对企业的风险进行评估,固有风险：,管理层不采取任何措施去改变风险的可能性或影响的情况下企业所面对的风险,剩余风险：,管理层在对该风险采取措施后仍然存在的风险,风险评估：是指管理层采用定量或定性的方法，考虑企业潜在事件发,风险评估的主要工作,制定风险评估标准,确定合适的风险评估方法,对风险进行评估和分析,建立风险数据库,按照公司特性，充分分析企业规模、业务的复杂性、信息处理方法、适用的法律法规等，结合管理层的判断，制定风险评估标准,根据业务活动、业务流程描述和风险评估标准，选择确定合适的风险评估方法,根据确定的目标，结合事件库，建立合适的风险评估程序即对风险在业务流程中进行具体识别和确认，分析风险的重要性程度、评估风险发生的可能性或频率，确定其风险等级,对风险进行描述，建立风险数据库,主要工作,详细内容,风险评估的主要工作制定风险评估标准确定合适的风险评估方法对风,头脑风暴（小组讨论，集思广议）,参考专业机构的风险数据库,调查,问卷法,流程图分析法,财务报表分析法,相关规律、经验及专业判断,风险识别的主要方法和工具,头脑风暴（小组讨论，集思广议）风险识别的主要方法和工具,中国石油集团海洋工程有限公司风险数据库,一级流程,二级流程,三级流程,四级流程,相关风险,控制目标的,类型,C:,完整性,A:,准确性,V:,有效性,R:,接触性,财务资产,资金管理,银行存款及帐户管理,未经授权的人员处理银行存款业务及帐户管理（例如：未经授权的修改、银行存款收支及核对等）,未得到适当授权的人员进行网上银行交易，未按规定的网上银行交易范围进行交易,开户、销户未经过适当审批,银行印鉴和票据未妥善保管造成资金损失,银行存款的原始交易记录不完整、不准确（例如：银行对账单记录丢失、银行存款收支的原始单据丢失、肆意篡改原始记录等）,风险数据库,以集团总部确定的一级业务流程为基础,参照中油股份和其他类似企业的相关资料，从五类风险入手，考虑影响完整性、准确性、有效性、接触性等目标的具体问题，讨论存在的风险,中国石油集团海洋工程有限公司风险数据库一级流程二级流程三级,风险分析,基本概念,风险评估,风险反应,控制分析,基本概念,设计原则,控制有效性评价,基础知识介绍,风险分析基础知识介绍,风险反应的概念,风险反应：,管理层在评估相关风险后，按照风险管理优先顺序和风险管理策略，结合风险预警机制，对各类风险或每一项重大风险制定、评估和选择风险管理解决方案，确定如何应对风险,风险反应应考虑的基本因素,:,风险管理的难度,风险事件发生的可能性和影响,合规的需要,对企业技术准备、人力、资金的需求,利益相关人的要求,风险管理的有效性标准是指企业衡量企业风险管理是否有效的标准,风险管理有效性标准的作用是帮助企业了解：,企业现在的风险是否在风险承受度范围之内，即风险是否优化,企业风险状况的变化是否所要求的，即风险的变化是否优化,因此，量化的企业风险管理有效性标准可以基于企业风险承受度的度量,风险管理的有效性标准,风险反应的概念风险反应：管理层在评估相关风险后，按照风险管理,风险反应重点应关注的内容,风险管理策略：,风险管理策略指企业根据自身条件和内外部环境，围绕企业发展战略和制定的目标，确定风险偏好、风险承受度、风险管理有效性标准，选择适合的风险管理工具，并确定风险管理所需资源的配置原则。,风险偏好和风险承受度,“承担什么风险？承担多少？,全面风险管理的有效性标准,“怎样衡量我们的风险管理工作成效？”,风险管理的工具选择,“怎样管理重大风险？”,全面风险管理的资源配置,“如何安排人力、财力、物资、外部资源等风险管理资源？”,风险管理解决方案：,风险管理解决方案一般应包括风险解决的具体目标，所需的组织领导，所涉及的业务管理流程，所需的条件、手段等资源，风险事件发生前、中、后所采取的具体应对措施以及风险管理工具。风险管理解决方案一般可分为四类：规避风险、减少风险、分担风险、接受风险。,规避风险：,指企业退出产生风险的各类活动,减少风险：,指企业采取能减少风险发生可能性或减少风险影响，以及采取能同时减少风险发生可能性和影响的各类活动,分担风险：,指企业转移或者分摊风险的各类活动,接受风险：,指企业对风险不采取任何行动,风险反应重点应关注的内容风险管理策略：风险管理解决方案： 规,风险反应的主要工作,制定风险管理解决方案,评估风险管理解决方案,选择风险管理解决方案,根据风险管理解决方案的标准，结合企业风险偏好等实际情况，对自身面临的风险制定具体的风险管理解决方案,评估方案的效应,评估方案成本和收益,评估外包风险管理方案的可行性,评估方案的内容,在对风险管理解决方案进行评估后，管理层选择能使风险可能性和影响维持在风险承受度范围内的一种风险管理解决方案或者组合管理解决方案,选择风险管理解决方案时，着重考虑以下因素：,风险容量和风险承受度：,在评估风险管理解决方案时，要考虑采取方案后的剩余风险是否在企业的风险容量和风险承受度之内,成本和收益：,对实施风险管理解决方案进行成本和效益测算,方案的机遇：,考虑风险方案中的机遇，分析是否有机遇价值超过风险的情况,风险反应的主要工作制定风险管理解决方案评估风险管理解决方案选,风险分析,基本概念,风险评估,风险反应,控制分析,基本概念,设计原则,控制有效性评价,基础知识介绍,风险分析基础知识介绍,基本概念,控制目标,控制活动,控制活动分类,基本概念 控制目标,完整性控制（,C,）：,指建立完整规范的控制体系和标准；生产经营和财务信息数据的采集、记录和处理完整，无遗漏和重复,例如：,把当期所有的合同信息都完整地、不重复地录入合同管理系统,按照会计确认收入的原则，将当期所有的销售收入记录下来,保证合并报表的原始数据包括了所有需要合并的会计核算单位的数据,控制目标（1）,准确性控制（,A,）：,指所有信息和数据计算、归集和记录操作等准确,例如：,保证账务处理的金额是准确的,在采购业务中，合同上的价格、数量应该准确,销售收入应当记入正确的会计期间,发票内容与销售交易内容或合同应当一致,完整性控制（C）：指建立完整规范的控制体系和标准,有效性控制（,V,）：,指所有的生产经营活动都经过适当的授权和批准，都是真实发生的，并按规定保存有效的原始文件,例如：,控制目标（2）,付款经过适当级别的审批,记录的销售收入是真实的,费用支出与公司的业务相关，且符合公司的费用开支标准,接触性控制（,R,）：,指信息处理和实物资产的保护和安全控制,例如：,防止存货和实物资产的偷窃和遗失,会计人员只能在授权的情况下，编制与自己分管业务相关的会计凭证,对企业投资实施计划的保密，防止被不相关的人员了解,有效性控制（V）：指所有的生产经营活动都经过适当的授权和批准,控制活动,：,指保证管理层的指令得到有效执行的政策和程序。控制活动存在于组织所有职能的各个层面，他们包括一系列的活动,控制活动（1）,1,）不相容职务相互分离控制,要求按照不相容职务相分离的原则，合理设置相关工作岗位，明确职责权限，形成相互制衡机制。不相容职务主要包括：授权批准、业务经办、会计记录、财产保管、稽核检查等职务。例如：单位应当将办理销售、发货、收款三项业务的岗位分别设立,2,）授权批准控制,要求明确规定涉及相关工作的授权批准的范围、权限、程序、责任等内容，单位内部的各级管理层必须在授权范围内行使职权和承担责任，经办人员也必须在授权范围内办理业务。例如：应对采购与付款业务建立严格的授权批准制度,控制活动：指保证管理层的指令得到有效执行的政策和程序。控制活,3,）会计系统控制,要求依据,会计法,和国家统一的会计制度，制定适合本单位的会计制度，明确会计凭证、会计账簿和财务会计报告的处理程序，建立和完善会计档案保管和会计工作交接办法，实行会计人员岗位责任制，充分发挥会计的监督职能。,控制活动（2）,4,）预算控制,要求单位加强预算编制、执行、分析、考核等环节的管理，明确预算项目，建立预算标准，规范预算的编制、审定、下达和执行程序，及时分析和控制预算差异，采取改进措施，确保预算的执行。,3）会计系统控制控制活动（2）4）预算控制,5,）财产保全控制,要求限制未经授权的人员对财产的直接接触，采取定期盘点、财产记录、账实核对、财产保险等措施，确保各种财产的安全完整。,控制活动（3）,6,）电子信息技术控制,要求运用电子信息技术手段建立内部会计控制系统，减少和消除人为操纵因素，确保内部会计控制的有效实施；同时要加强对财务会计电子信息系统开发与维护、数据输入与输出、文件储存与保管、网络安全等方面的控制。,5）财产保全控制控制活动（3）6）电子信息技术控制,预防性控制：,事前的控制，如：合同需要经过审批,发现性控制：,事后的控制，如：编制银行存款余额调节表,人工控制：,由手工而不是由计算机系统实施的,控制。,如：授权签字,自动控制：,由计算机系统实施的控制。如：禁止未授权的用户登录系统,控制活动可以按不同标准进行分类，在进行风险控制分析时主要从以下方面考虑：,控制活动分类,预防性控制：事前的控制，如：合同需要经过审批 控,风险分析,基本概念,风险评估,风险反应,控制分析,基本概念,设计原则,控制有效性评价,基础知识介绍,风险分析基础知识介绍,1,、合规、合法性原则：,应当符合国家的法律法规，同时符合企业实际，满足利益相关者的监管要求,2,、全员性原则：,内控涉及内部全体员工，并对全体员工具有约束力,3,、全面性原则：,内控应涵盖内部各项经济业务及相关岗位，并针对业务处理过程中的关键控制点，落实到决策、执行、监督、反馈等各个环节,设计原则,1、合规、合法性原则：设计原则,4,、内部制衡原则：,内控应保证机构、岗位、的合理设置及其职责权限的合理划分，坚持不相容职务相互分离，确保不同机构和岗位之间权责分明、相互制约、相互监督,5,、成本效益原则：,内控应遵循成本效益原则，以合理的控制成本达到最佳的控制效益,6,、适应性原则：,内控应随着外部环境的变化、公司业务职能的调整和管理要求的提高，不断修订和完善,设计原则,4、内部制衡原则：设计原则,风险分析,基本概念,风险评估,风险反应,控制分析,基本概念,设计原则,控制有效性评价,基础知识介绍,风险分析基础知识介绍,控制是否与企业的业务流程及相关风险相匹配,控制是否满足完整性、准确性、有效性和接触性四要素,控制是否能够及时发现和预防风险（控制实施的频率）,控制实施人员是否有足够的知识和经验,是否实施职责分离,控制中发现的问题是否能够及时处理,在实施控制中所使用的信息是否可靠,控制是否适应变化的环境,控制有效性评价（,1,）,控制是否与企业的业务流程及相关风险相匹配控制有效性评价（1）,控制力较强,控制力较弱,自动控制,人工控制,简单控制,复杂控制,有经验的人员,缺乏经验的人员,预防性控制（二者结合更好）,发现性控制,多层次控制,单一层次控制,业务层面的控制,公司层面的控制,事中控制,事后控制,控制有效性评价（,2,）,控制力较强控制力较弱自动控制人工控制简单控制复杂控制有经验的,导读,一、风险控制分析的基础知识介绍,二、风险控制分析模板及操作,三、风险控制分析注意事项,导读一、风险控制分析的基础知识介绍,了解如何填列风险控制文档,了解风险控制文档填列过程中可能遇到的问题和解决方法,了解如何将风险控制文档和流程图、文字说明进行对应,风险控制分析模板及操作的主要目的,了解如何填列风险控制文档风险控制分析模板及操作的主要目的,风险控制分析的作用及重要性,现有业务流程中的内控措施是否全面地涵盖了所有风险，并能够有效的防范并发现风险,现有控制措施设计是否充分，是否形成充分的实施证据,现有规章制度文件是否完善,风险控制文档，详细的体现业务流程中存在的风险和控制措施设计的情况。它是对现有规章制度进行描述和分析的主要载体，亦是联结业务流程、风险、现有控制措施、规章制度文件的工具,通过使用风险控制文档，将风险对应到具体的业务流程中，了解在实际工作中如何控制这些风险，并将这个过程文本化,风险控制文档记载并体现了风险控制分析所发现的控制缺陷和不足，是后续进行差异分析、控制完善的重要基础和依据,风险,控制措施,风险控制,分析,风险控制分析的作用及重要性 现有业务流程中的内控措施是否全面,控制点编号,风险类别,风,险,描,述,控制目标的类型,控制目标具体描述,关键控制编号,现有控制措施,控制方法（自动,/,人工）,控制类型（预防性,/,发现性）,控制频率,(,随时,日,周,月度,季度,年度,),控制,实施证据,控制文件的文号及名称,有风险但无相应的控制,控制,不充分,现有控制在规章制度方面存在的问题,经营决策风险,违反法律法规,财务报告失真,资产安全受到威胁,营私舞弊,C:,完整性控制,A:,准确性控制,V:,有效性控制,R:,接触,性,控制,缺少文件,文件不完善,1.1M,1.,招标采购未按照规定流程进行，导致产生舞弊行为,确保采购按照规定流程进行,监察审计部对招标采购过程进行监督检查，确保招标过程符合要求,人工,预防性,随时,招标采购监察记录,中国石油集团海洋工程有限公司物资设备招标采购管理办法,不适用,无,不适用,不,适,用,单位名称：中国石油集团海洋工程有限公司,单位编码：,业务流程名称：物资采购,业务流程编码：,OE03,当前子流程名称：采购管理招标采购,当前子流程编码：,EP03.03.02,最后更新时间：,2007-06-30,版本：,编制,部门：装备工程部,编制人：,XXX,风险控制分析模板,控制点编号风险类别风控制目标的类型控制目标具体描述关键控制编,背景栏部分,正文部分,文档格式,文件及文件夹的建立,风险控制文档编制标准,背景栏部分风险控制文档编制标准,单位名称,业务流程名称,当前子流程名称,单位编码,业务流程编码,当前子流程编码,版本,编制部门,编制人,风险控制文档编制标准背景栏,单位名称风险控制文档编制标准背景栏,单位名称,:,统一列示,“,中国石油集团海洋工程有限公司,”,单位名称,单位名称：中国石油集团海洋工程有限公司,单位编码：,业务流程名称：物资采购,业务流程编码：,OE03,当前子流程名称：采购管理招标采购,当前子流程编码：,OE03.03.02,最后更新时间：,2007-06-30,版本：,编制,部门：装备工程部,编制人：,XXX,单位名称:单位名称 单位名称：中国石油集团海洋工程有限公司,业务流程名称：,按,照业务流程目录列示,财务流程：二级财务子流程名称，如“油气及固定资产管理和核算,”,非财务流程：一级流程名称，如“物资采购”,当前子流程名称：,财务流程：在二级流程下按流程层次连续列示其流程名称， 如“租赁管理”,非财务流程：在一级流程下按流程层次连续列示其流程的名称，如“应付账款管理预付账款”,业务流程名称,单位名称：中国石油集团海洋工程有限公司,单位编码：,业务流程名称：物资采购,业务流程编码：,OE03,当前子流程名称：采购管理招标采购,当前子流程编码：,OE03.03.02,最后更新时间：,2007-06-30,版本：,编制,部门：装备工程部,编制人：,XXX,业务流程名称：按照业务流程目录列示业务流程名称 单位名称,单位编码,:,暂留空,业务流程编码：,按该业务流程相应的编码列示,当前子流程编码：,按该业务当前子流程相应的编码列示,单位、业务流程、当前子流程编码,单位名称：中国石油集团海洋工程有限公司,单位编码：,业务流程名称：物资采购,业务流程编码：,OE03,当前子流程名称：采购管理招标采购,当前子流程编码：,OE03.03.02,最后更新时间：,2007-06-30,版本：,编制,部门：装备工程部,编制人：,XXX,单位编码: 单位、业务流程、当前子流程编码单位名称：中国石油,最后更新时间,：,最后上报时间，格式为,四位年两位月两位日期（,yyyy-mm-dd),版本,：,由中国石油内控项目组统一制定,最后更新时间、版本,单位名称：中国石油集团海洋工程有限公司,单位编码：,业务流程名称：物资采购,业务流程编码：,OE03,当前子流程名称：采购管理招标采购,当前子流程编码：,OE03.03.02,最后更新时间：,2007-06-30,版本：,编制,部门：装备工程部,编制人：,XXX,最后更新时间：最后更新时间、版本 单位名称：中国石油集团海,控制点编号,风险类别,风险描述,控制目标的类型,控制目标具体描述,关键控制编号,现有控制措施,控制方法,控制类型,控制频率,控制实施证据,控制文件的文号及名称,有风险但无相应的控制,控