中石油风险评估分册.doc

内部控制管理手册 风险评估分册 中国 股份有限公司 二○○八年一月  目 录 1 内部控制体系建设内容……………………………………………………………… 1.1 概述………………………………………………………………………………… 1.2 建立风险评估机制………………………………………………………………… 1.3 建立并完善风险管理体系………………………………………………………… 2 内部控制体系执行的文件及规范………………………………………………… 2.1 流程描述规范……………………………………………………………………… 2.2 业务流程目录……………………………………………………………………… 2.3 风险评估规范……………………………………………………………………… 2.4 重要会计科目和披露事项确认…………………………………………………… 2.5 财务报表认定指南………………………………………………………………… 2.6 重要业务单位确认………………………………………………………………… 2.7 公司层面风险及对策分析程序…………………………………………………… 2.8 业务活动层面风险数据库………………………………………………………… 2.9 风险管理规范（试行）…………………………………………………………… 2.10风险评估涉及的制度索引………………………………………………………… 1 内部控制体系建设内容 1.1 概 述 1.1.1 风险 1.1.1.1 概念 风险是指未来的不确定性对公司实现其目标的影响，所有公司，无论规模、结构和行业性质，都面临着诸多来自内部和外部的风险，影响公司既定目标的实现。 1.1.1.2 风险的类型 公司面临的风险可以分为公司层面风险和业务活动层面风险。 1）公司层面风险。 导致公司层面风险的因素包括外部和内部两个方面。 （1）外部因素主要体现在： ①技术发展——影响研发的性质和时机； ②不断变化的客户需求和期望——影响产品开发和定价； ③竞争——影响营销和服务活动； ④新的法律和法规——影响经营政策和策略； ⑤自然灾害——可能造成损失； ⑥经济形势的变化等——影响融资、资本支出和扩张决策。 （2）内部因素主要体现在： ①信息系统运行的中断——影响经营运转； ②员工的素质以及培训、激励方法——影响控制理念； ③管理层职责的改变——影响某些实施控制的方式； ④公司经营活动的性质、员工对资产的接触途径——产生挪用； ⑤董事会或审计委员会无法有效履行其职责——可能为管理层轻率的行为提供机会。 2）业务活动层面风险。 业务活动层面风险是指与公司的主要生产经营活动及管理职能有关的风险，包括采购、生产、市场营销、销售、技术开发以及研发、人力资源管理、财务管理等业务和管理活动中存在的风险。 1.1.2 风险评估 1.1.2.1 概念 风险评估是识别及分析影响公司目标实现的因素的过程，是风险管理的基础。在风险评估中，既要识别和分析对实现目标具有阻碍作用的风险，也要发现对实现目标具有积极影响的机遇。 1.1.2.2 风险评估的范围 公司针对战略目标、经营目标、报告目标、合规性目标，分别开展战略风险、经营风险、报告风险和合规性风险评估。目前主要是针对财务报告目标开展了风险评估工作，在以后的体系建设中，将逐步针对战略目标、经营目标、报告目标和合规性目标，按照全面风险管理的要求，开展公司风险评估工作。 1.1.2.3 风险评估的基本程序 1）信息收集。 围绕公司战略目标和相关目标以及风险管理要求，相关职能部门、业务单位和内控管理部门广泛、持续收集与公司风险及风险管理相关的内部、外部各种信息，包括收集历史数据和未来信息，关注宏观经济与经营环境、竞争对手、新技术与新产品、海外经营、公司重组、业务整合、会计政策、信息系统、资本运作等方面已经发生和将要发生的变化情况。公司对收集的数据、信息和变化情况进行必要的筛选、提炼、对比、分类、组合，形成与公司风险管理相关的信息资料库并不断更新，以便进行风险评估。 公司制定《风险评估规范》，明确收集风险管理信息的具体要求，包括收集战略风险、经营风险、报告风险和合规性风险等方面与公司风险和风险管理相关的内、外部各种信息。 公司目前尚未建立针对风险评估的信息收集机制，将在以后的内控体系建设中，对风险评估规范进行修订，明确规定风险评估信息收集的具体要求，建立风险评估信息收集机制。 2）风险识别。 风险识别是指查找公司各项重要经营管理活动及其重要业务流程中存在的影响目标实现的风险和机遇的过程。公司分别从公司层面、业务活动层面，动态识别影响公司战略目标及相关目标实现的、内部和外部的各种不确定性因素。带负面影响的因素代表风险，需要对其分析和