前言

本书为企业风险管理与内部控制体系建设而作。

任何企业的生存和发展都面临不确定性，国际标准化组织（ISO）把这种不确定性对目标的影响称为“风险”。为了应对这些风险，企业开发了多种风险管理策略和内部控制措施，但由于企业内外部环境不断变化，所以既有的风险管理和内部控制一直面临新的挑战。

在国内，企业风险管理和内部控制工作一直被监管机构推动着。其中，非金融领域企业的“风险管理”工作被国务院国资委推动着，“内部控制”工作主要被财政部和证监会推动着；银行和保险等金融企业的风险管理和内部控制被银监会、保监会推动着。中央企业（和地方国有企业）每年需要向国务院国资委（和省国资委）提交“年度风险管理报告”和“年度内部控制评价报告”，上市公司则每年须对外披露“年度内部控制评价报告”和“年度内部控制审计报告”等。

为了帮助企业建立有效的风险管理体系和内部控制体系，相关咨询机构也做了不少工作。它们大致分成两类，一类是会计出身，按照财政部和证监会的相关规定，以内部控制为主导，兼顾风险管理，所遵循的理论主要来自COSO；另一类来自管理咨询领域，其中有以风险管理标准为依托的，也有以质量管理等标准为依托的，他们按照各级国资委的相关规定，偏重管理体系和策略，兼顾内部控制，所遵循的理论主要来自ISO。

随着风控实践的不断发展，相关理论和标准也在不断完善和演化。COSO已于2013年修订了《内部控制——整合框架》，并于2017年发布了全新的《企业风险管理——整合框架》；ISO也于2018年更新了ISO 31000标准。然而，我国非金融企业的风险管理和内部控制工作直到现在仍然主要按照2006年的《中央企业全面风险管理指引》和2008年的《企业内部控制基本规范》这两份文件执行。我国加入WTO之后，快速融于国际贸易大家庭，眼下，合规风险、知识产权风险、金融系统性风险正在威胁着我国企业的发展，各企业应审时度势、快速行动起来，尽早更新风险管理和内部控制相关理论，并运用这些新理论指导风控（风险管理和内部控制）实践，与时俱进地管理各种风险。

风险管理是对影响企业目标实现的各种不确定性的管理，应该是一种主动式管理，而不应仅仅被监管推动。

在企业热火朝天地建设风控体系的同时，关于风险管理和内部控制的图书也层出不穷。我考虑再三，还是决定把自己这十余年的风控实践经验和对其的认识写出来供风控同仁参考。其目的有三：一是把自己的相关经验分享给战斗在风控一线的朋友以及准备加入这一战线的朋友，帮助他们少走弯路；二是把自己的相关认识分享给各企业的风控决策者们，帮助他们选择更适合自己企业的风控理念和标准；三是鞭策自己继往开来，静下心来认真梳理过去、总结现在，然后用更科学、更具操作性的方法去开创风控实践的未来！

八年前，我编写了《ISO风险管理标准全解》这本书，对风险管理的术语、原则、指南，风险评估技术等做了比较细致的说明，但八年来，国内参照风险管理国际标准或国家标准来建立风险管理体系的企业寥寥无几，很多风险管理从业人员甚至都没听说过ISO 31000和ISO 31010，更没听说过GB/T 24353—2009《风险管理原则与实施指南》、GB/T 27291—2011《风险管理 风险评估技术》、GB/T 24420—2009《供应链风险管理指南》、GB/T 26317—2010《公司治理风险管理指南》、GB/T 27914—2011《企业法律风险管理指南》等国家标准。我一直为这种局面所困惑。党的十八大以来，习近平总书记就标准化工作做出了一系列重要论述，并特别强调：加强标准化工作，实施标准化战略，是一项重要和紧迫的任务，对经济社会发展具有长远的意义。他还指出，“标准决定质量，有什么样的标准就有什么样的质量，只有高标准才有高质量。”所以，建设高标准且适合自己的风控体系对企业来说势在必行。

本书共十五章内容，前三章系统地介绍了风控基本理论和标准规范，第四章至第十五章详细介绍了风控体系建设的各个环节，具体包括风控项目启动→风控初始信息收集→风险识别→风险评估→风险预警→风险应对→建立流程→优化制度→编写风控手册→编写内控评价报告→编写风险管理报告→风控信息化等内容。这些内容完整地描述了风控体系建设的全过程以及过程中的关键点。为了帮助读者理解这些关键点，书中提供了大量的图表和模板。话不多说，请打开目录按图索骥，或者直接进入您最关注的章节。

书中相关观点仅代表一家之言，不妥之处，敬请广大读者朋友批评指正。联系方式：cro2008@126.com。

李素鹏

2020年2月29日于北京