内容提要

企业在成长和发展的过程中，一定会面临各种各样的已知或未知的风险。如果企业不知道自己可能会遇到什么风险，那怎么成长又如何发展？风控体系就像万丈高楼的地基，好的风控体系能够确保企业持续、健康、稳定的发展，保障战略目标的实现。所以企业要在日常运营中建设好自己的风控体系。

本书作者一直服务在企业风控体系建设和风控人才培训的第一线，不仅对风控理论有全面、深厚的理解，而且对风控实践也积累了丰富的经验。本书基于最新的风控标准和最新的监管规定，从咨询师的角度对风控体系建设的全过程进行了详细的分解和描述，重点关注思路和方法，并通过大量图表展示了企业风控体系建设的重点和难点，为企业建立既满足监管要求又符合企业自身发展实际需要的风控体系提供了指南。

本书适合企业管理者，企业风险管理、内部控制负责人，高等院校相关专业师生，以及对企业风控体系建设感兴趣的读者阅读和使用。

推荐序

我从事企业内部审计工作迄今已二十二年有余，和素鹏兄相识也有十三年。刚结识素鹏兄时，我还在伊利集团担任审计部总经理职务，当时每年的核心任务是对企业风险管理进行全面审计并及时向集团领导汇报，因此特别需要外部辅导来提高自己的理论水平和相关技能。2007年，我有机会报名参加了AARCM的风险管理培训课程，并在培训中第一次系统地学习了素鹏兄主编的风险管理课程，十分受益。之后每年我都会参加素鹏兄主讲的各类线上、线下培训课程，受益良多。

这次疫情期间，素鹏兄笔耕不辍，把自己对风险管理和内部控制的认识及实践经验总结出来，编著成书，我能提前拜读，是一件幸事。

本书全面、系统、详实地讲述了企业风控体系建设和运行优化的过程及方法，不仅体例完整，应用性极强，而且对COSO和ISO在风险管理和内部控制方面的最新标准也做了深入浅出的诠释，是当前市面上不可多得的风险管理教材，更是难得一见的相当完整的风险管理工具书。

本书特别适合企业风险管理部门、内控合规部门、审计部门以及与风险管理职能有关的部门工作人员使用，也适合从事企业体系管理的工作人员、中高层管理者和高校相关专业学生阅读。读者可以通过这本书系统地学习和了解风险管理和内部控制的相关理论及实践，然后事半功倍地建立和完善自己企业的风控体系，为自己所在企业的战略决策、业务发展、业务运行等保驾护航。

前言

本书为企业风险管理与内部控制体系建设而作。

任何企业的生存和发展都面临不确定性，国际标准化组织（ISO）把这种不确定性对目标的影响称为“风险”。为了应对这些风险，企业开发了多种风险管理策略和内部控制措施，但由于企业内外部环境不断变化，所以既有的风险管理和内部控制一直面临新的挑战。

在国内，企业风险管理和内部控制工作一直被监管机构推动着。其中，非金融领域企业的“风险管理”工作被国务院国资委推动着，“内部控制”工作主要被财政部和证监会推动着；银行和保险等金融企业的风险管理和内部控制被银监会、保监会推动着。中央企业（和地方国有企业）每年需要向国务院国资委（和省国资委）提交“年度风险管理报告”和“年度内部控制评价报告”，上市公司则每年须对外披露“年度内部控制评价报告”和“年度内部控制审计报告”等。

为了帮助企业建立有效的风险管理体系和内部控制体系，相关咨询机构也做了不少工作。它们大致分成两类，一类是会计出身，按照财政部和证监会的相关规定，以内部控制为主导，兼顾风险管理，所遵循的理论主要来自COSO；另一类来自管理咨询领域，其中有以风险管理标准为依托的，也有以质量管理等标准为依托的，他们按照各级国资委的相关规定，偏重管理体系和策略，兼顾内部控制，所遵循的理论主要来自ISO。

随着风控实践的不断发展，相关理论和标准也在不断完善和演化。COSO已于2013年修订了《内部控制——整合框架》，并于2017年发布了全新的《企业风险管理——整合框架》；ISO也于2018年更新了ISO 31000标准。然而，我国非金融企业的风险管理和内部控制工作直到现在仍然主要按照2006年的《中央企业全面风险管理指引》和2008年的《企业内部控制基本规范》这两份文件执行。我国加入WTO之后，快速融于国际贸易大家庭，眼下，合规风险、知识产权风险、金融系统性风险正在威胁着我国企业的发展，各企业应审时度势、快速行动起来，尽早更新风险管理和内部控制相关理论，并运用这些新理论指导风控（风险管理和内部控制）实践，与时俱进地管理各种风险。