風控體繫就像萬丈高樓的地基，好的風控體繫能夠確保企業持續、健康、穩定的發展，保障戰略目標的實現。2019年12月31日，國務院國資委下發了《關於2020年中央企業內部控制體繫建設與監督工作有關事項的通知》，要求各中央企業要以“強內控、防風險、促合規”為目標，進一步整合優化內控、風險管理和合規管理監督工作，按一體化要求編制 2019 年度內控體繫工作報告。企業風控體繫建設勢在必行。

作者是國家人社部風險評估專業人員職業培訓證書首席研發專家，中國內部審計協會外聘講師。長期致力於風險管理、內控合規等領域的理論研究和實踐探索，擁有十餘年風控建設實戰經驗。

根據2019年12月發布的內部控制相關要求編寫。在書中，作者對風險管理和內部控制的近期政策進行了分析，對相關規範進行了解讀， 也對COSO 和 ISO 在風險管理和內部控制方面的**標準做了深入淺出的詮釋，以幫助從業人員在日常工作中規避相關風險。

風控建設必讀工具書。詳細介紹了風控體繫建設的各個環節，具體包括風控項目啟動→風控初始信息收集→風險識別→風險評估→風險預警→風險應對→建立流程→優化制度→編寫風控手冊→編寫內控評價報告→編寫風險管理報告→風控信息化等內容。

書中底稿、流程、圖表、模板、案例應有盡有，囊括了154張大型實戰圖表及模板，從業者可以拿來即用，提升工作效率。
隨書附贈60分鐘音頻資源，讀者掃碼即可獲取。本書作者對企業內控建設的必要性和內控信息化做了解讀，供從業者學習和探討。

企業在成長和發展的過程中，一定會面臨各種各樣的已知或未知的風險。如果企業不知道自己可能會遇到什麼風險，那怎麼成長又如何發展？風控體繫就像萬丈高樓的地基，好的風控體繫能夠確保企業持續、健康、穩定的發展，保障戰略目標的實現。所以企業要在日常運營中建設好自己的風控體繫。
《企業風控體繫建設全流程操作指南 規範講解 流程分解 操作實務 案例解析》作者一直服務在企業風控體繫建設和風控人纔培訓的第一線，不僅對風控理論有全面、深厚的理解，而且對風控實踐也積累了豐富的經驗。《企業風控體繫建設全流程操作指南 規範講解 流程分解 操作實務 案例解析》基於新的風控標準和新的監管規定，從咨詢師的角度對風控體繫建設的全過程進行了詳細的分解和描述，重點關注思路和方法，並通過大量圖表展示了企業風控體繫建設的重點和難點，為企業建立既滿足監管要求又符合企業自身發展實際需要的風控體繫提供了指南。
《企業風控體繫建設全流程操作指南 規範講解 流程分解 操作實務 案例解析》適合企業管理者，企業風險管理、內部控制負責人，高等院校相關專業師生，以及對企業風控體繫建設感興趣的讀者閱讀和使用。

李素鵬
安達風控研究中心主任，長期從事風險管理和內部控制的理論研究和實踐探索，累計為百餘家企事業單位在風險管理和內部控制方面提供了有針對性的咨詢或培訓服務。
著有《ISO風險管理標準全解》等書籍。微信號RM-IC-audit，微信公眾號risk-doctor。

第 一章企業內部控制理論與規範 / 1

第一節 企業為什麼要實施內部控制 /2
一、企業實施內部控制的根本原因/2
二、內部控制給企業帶來哪些價值/2

第二節1992 版 COSO《內部控制——整合框架》 /3
一、為什麼還要講 1992 版 COSO《內部控制——整合框架》/3
二、內控框架的主要內容/5
三、內部控制的定義和目標/6
四、內部控制要素/6
五、內控框架的意義/9
六、內部控制與企業管理之間的關繫/9

第三節美國薩班斯法案 /10
一、薩班斯法案產生的背景/10
二、薩班斯法案的主要內容/11
三、薩班斯法案中關於加強內部控制的主要條款/12
四、薩班斯法案的實施情況/14

第四節2004 版 COSO《企業風險管理——整合框架》 /14
一、COSO 為何開發《企業風險管理——整合框架》/14
二、風險管理框架的模型/15
三、風險管理框架的要素/16

第五節2013 版 COSO《內部控制——整合框架》 /18
一、COSO 為什麼要修訂《內部控制——整合框架》/18
二、新框架的模型/19
三、新框架的主要內容/20
四、被保留的內容/24
五、被更新的內容/25

第六節中國企業內部控制法規體繫 /26
一、中國企業內部控制法規體繫簡介/26
二、《企業內部控制基本規範》的主要內容/27
三、企業內部控制應用指引/30
四、企業內部控制評價指引/32

第七節內部控制的局限性 /32
一、內部控制能做什麼/32
二、內部控制局限性的具體表現形式/33

第二章風險管理標準與指引 /37

第一節 2017 版 COSO 風險管理框架 /38
一、新版 COSO 風險管理框架的由來/38
二、新版風險管理框架視圖/38
三、新版風險管理框架要素/39
四、新版風險管理框架的特點/43
五、新版風險管理框架的主要變化/45
第二節ISO 風險管理標準 /46
一、ISO 風險管理標準簡介/46
二、ISO31000：2009/46
三、ISO31000：2018/50

第三節我國《中央企業全面風險管理指引》 /53
一、國務院國資委發布風險管理指引的目的/53
二、國務院國資委對企業風險管理的定義/54
三、國務院國資委對風險管理基本流程的定義/54
四、國務院國資委定義的風險管理三道防線/55

第二章選擇合適的標準整合風控體繫/57

第一節 風險管理與內部控制的關繫 /58
一、何為風控體繫/58
二、內部控制是風險管理的一種手段/58

第二節不同風控標準之間的比較 /59
一、風控標準和指南一覽/59
二、舊風控標準之間的比較/61
三、新風控標準之間的比較/62

第三節風險管理與內部控制的整合思路 /63
一、為什麼要整合風險管理與內部控制/63
二、滿足外部監管的要求/64
三、滿足自身發展的需要/66

第四節風險管理與內部控制整合的實踐經驗 /67
一、國有企業的實踐/67
二、民營企業的實踐/68
三、在美國上市的國企的風控體繫整合實踐/69
四、風控體繫整合的經驗體會/69

第五節合規管理指引 /70
一、國務院國資委發布合規指引的背景/70
二、國務院國資委對合規的定義/71
三、建立合規管理體繫的原則/71
四、合規管理的重點內容/72
五、如何運行合規管理/74
六、如何保障合規管理落到實處/75

第六節把合規管理整合入風控體繫 /76
一、把合規管理整合入風控體繫的思路/76
二、把合規管理整合入風控體繫的實踐經驗/77

第四章風控體繫建設準備工作 /79
第一節 建立風控組織職能體繫 /80
一、在風控治理結構方面的設計/80
二、風控的三道防線/82
三、專職風控部門的職能提升/86

第二節選擇風控體繫的建設模式 /88
一、以咨詢機構為主的模式/88
二、以自身力量為主的模式/89
三、獨立自建的模式/89
四、選擇適合自身的建設模式/90

第三節組建風控項目團隊 /90
一、設立風控項目辦公室/91
二、成立項目組/91
三、明確項目溝通機制/93

第四節風控工作總體策劃 /93
一、總體規劃，分步實施/93
二、突出重點，講求實效/94
三、難點問題解析/95

第五節調研分析 /97

第六節制定項目計劃 /98

第七節召開項目啟動會 /99
一、誰應該出席項目啟動會/99
二、項目啟動會應該做哪些事情/100

第五章收集風控信息 /103
第一節 搭建風控信息框架 /104
一、按企業內外部信息分類搭建風控信息框架/104
二、按國資委推薦的風險分類搭建風控信息框架/105

第二節收集企業外部風控信息 /107
一、收集哪些外部風險信息/107
二、如何收集外部風險信息/107

第三節收集公司層面的風控信息 /108
一、公司總體層面的信息/108
二、專項信息/109

第四節收集業務層面的風控信息 /110
一、籌資業務活動信息收集/111
二、采購業務活動信息收集/112
三、銷售業務活動信息收集/113

第五節按國務院國資委推薦的框架收集信息 /114
一、國務院國資委推薦的風險信息框架/114
二、從哪些方面收集戰略風險相關的信息/115
三、從哪些方面收集財務風險相關的信息/116
四、從哪些方面收集市場風險相關的信息/116
五、從哪些方面收集運營風險相關的信息/117
六、從哪些方面收集法律風險相關的信息/117

第六節信息收集的方式和注意事項 /118
一、信息收集的方式/118
二、信息收集的注意事項/119

第六章進行風險識別 /121

第一節 風險識別概述 /122
一、什麼是風險識別/122
二、風險識別的具體工作內容/123

第二節風險識別的操作過程 /125
一、風險識別過程概述/125
二、研究企業目標/126
三、確定風險識別的對像和範圍/126
四、確定風險識別方法/126
五、收集風險信息/127
六、確認和描述風險/127

第三節常用的風險識別方法 /128
一、頭腦風暴法/128
二、訪談法/130
三、問卷調查法/132
四、流程分析法/133
五、歷史數據推演法/135

第四節風險識別的輸出成果 /136
一、風險識別可以輸出哪些成果/137
二、風險列表（風險清單）/138
三、風險庫/139
四、風險目錄/141
五、風險分類模式/142
六、風險分類舉例/143
七、風險分類調整/144

第五節風險識別實戰案例 /146
一、收集信息/146
二、發現風險/147
三、確認風險/147
四、描述風險/147

第七章開展風險評估 /149

第一節 風險評估概述 /150
一、什麼是風險評估/150
二、為什麼要實施風險評估/151
三、風險評估具體要做什麼/151
四、什麼時候開展風險評估/152
五、誰負責實施風險評估/152
六、風險評估是否都要定量/153

第二節風險評估的詳細過程 /155
一、風險評估六步驟/155
二、分析根本原因/157
三、評估現有控制措施/157
四、分析風險後果的嚴重程度/158
五、分析風險發生的可能性/159
六、確定風險的大小/161
七、確定風險的重要性等級/161
八、繪制風險熱力圖/162

第三節風險評估的常用方法 /163
一、問卷調查法/164
二、魚骨圖法/165
三、風險矩陣法/166
四、不同風險評估方法的適用場景/168

第四節風險評估的注意事項 /169
一、相關資料的歸檔/169
二、不確定性及敏感性/170
三、對風險評估的監督/170
四、選擇風險評估技術的影響因素/171

第五節風險評估實戰案例 /173
一、確定風險準則/174
二、對 CTO 離職風險實施評估/175
三、確定 CTO 離職風險的等級/175

第六節風險評估報告示例 /176

第八章風險預警 /179

第一節 風險預警概述 /180
一、風險預警的概念/180
二、風險預警繫統的特點/181
三、風險預警的作用/182

第二節建立風險預警繫統 /182
一、風險預警繫統建設路徑/183
二、預警指標數據收集與分析/184
三、預警事項發布和應對處理/184
四、風險預警信息繫統示例/185

第三節建立關鍵風險指標體繫 /186
一、關鍵風險指標體繫概述/186
二、如何建立關鍵風險指標體繫/187
三、關鍵風險指標體繫舉例/188
四、確定風險指標預警閾值/189
五、關鍵風險指標的拓展應用/190
六、建立關鍵風險指標庫/191

第四節建立風險預警配套機制 /191
一、建立風險預警提示機制/192
二、建立風險觸警響應機制/192
三、建立風險預警指標體繫閉環管理機制/193
四、建立風險預警組織流程管理機制/193
五、建立風險預警專業團隊管理機制/194

第九章風險應對 /195

第一節 風險應對概述 /196

第二節風險應對的操作過程 /197
一、風險應對操作過程四個步驟/197
二、對風險應對有效性的評估/198

第三節風險應對策略 /200
一、風險規避/200
二、風險接受/200
三、風險轉移/201
四、風險轉換/201
五、風險對衝/202
六、風險控制/202
七、如何利用內部控制降低風險/202
八、風險應對策略的優先順序/203
九、影響風險應對策略選擇的主要因素/205

第四節風險應對方案與計劃 /206
一、制定風險應對方案/206
二、制定風險應對計劃/207
三、實施過程中的計劃調整/207
四、項目風險應對計劃舉例/208

第五節通過內部控制來應對企業日常風險 /208
一、組織機構控制/209
二、授權審批控制/209
三、會計繫統控制/210
四、全面預算控制/211
五、財產保全控制/211
六、人力資源控制/212
七、內部報告控制/212
八、信息繫統控制/213

第六節風險應對實戰案例 /213

第十章流程體繫建設 /215

第一節 流程概述 /216
一、流程是什麼/216
二、流程圖/217
三、企業為什麼一定要流程化/219

第二節流程建設 /220
一、制定建設方案/220
二、設計流程體繫/221
三、運行流程/225
四、流程建設的注意事項/226

第三節流程管理 /228
一、明確流程管理機構/229
二、流程梳理/230
三、流程信息化/231

第四節流程與內部控制的關繫 /232
一、流程是內部控制體繫建設的基礎/232
二、流程是內部控制制度的載體/232
三、流程優化對組織架構優化有促進作用/232

第五節流程示例 /233
一、用文字描述流程/233
二、用邏輯圖描述流程/234
三、泳道式流程圖/237

第十一章制度體繫建設 /239

第一節 內部控制的主要工作內容 /240
一、明確權限/241
二、梳理流程/241
三、完善制度/241
四、內部控制體繫/242

第二節制度體繫建設概述 /243
一、制度體繫是什麼/243
二、制度的特點/243
三、制度建設與內部控制的關繫/244
四、為什麼要建制度體繫/244

第三節制度體繫的層級 /246
一、公司制度體繫/246
二、公司制度體繫舉例/247
三、風控制度體繫/248

第四節制度的制定和優化 /251
一、如何制定規章制度/251
二、制度體繫梳理和優化的流程/253
三、收集和整理制度/254
四、對制度進行分類/254
五、對制度的分析和優化/255

第五節對制度的管理 /256
一、制度的全生命周期管理/256
二、制度管理的主要風險/257
三、制度管理風險的應對措施/258

第十二章編制風控手冊 /259

第一節 風險管理手冊 /260

第二節內部控制手冊 /262
一、內部控制手冊的基本要素/262
二、內部控制手冊的基本格式/265
三、內部控制手冊實例（目錄）/268
四、風控矩陣/269
五、集團型企業的內部控制手冊/271

第三節企業風控手冊 /273
一、滿足監管的模板/273
二、升級版風控手冊/278

第四節宣貫落實風控手冊 /279
一、強化風控培訓宣傳/280
二、落實風控工作職責/280
三、建立風控考核機制/280

第十三章內控評價報告 /281

第一節 內部控制評價概述 /282
一、什麼是內部控制評價/282
二、內部控制評價模式/283
三、內部控制評價組織職能體繫/284

第二節內部控制評價程序 /284
一、內部控制評價程序概述/284
二、成立內部控制評價工作組/285
三、制定評價工作方案和計劃/286
四、準備評價用的資料清單/288
五、實施評價/289
六、內部控制缺陷認定/293
七、內部控制措施評價結果/297
八、整改與持續改進/298
九、內部控制成熟度評價/298

第三節內部控制評價方法 /300
一、個別訪談法/300
二、問卷調查法/300
三、標杆法/301
四、穿行測試法/301
五、抽樣法/301
六、實地查驗法/301
七、重新執行法/301
八、專題討論會法/302

第四節內部控制評價工作底稿 /302
一、編制內部控制評價工作底稿的依據/302
二、內部控制評價工作底稿樣例/302
三、內部控制的工作底稿/304

第五節內部控制評價報告示例 /305

第十四章風險管理報告 /315

第一節 風險管理報告的相關事項 /316
一、風險管理報告的要素/316
二、風險管理組織體繫/316
三、風險管理報告制度/317
四、風險管理報告的基本編制程序/318
五、風險管理報告的披露/319

第二節年度風險管理報告模板 /319

第三節回顧本年度企業全面風險管理工作 /320
一、本年度風險管理工作總體情況/321
二、本年度風險管理工作的亮點/322
三、本年度發生的重大風險事件/324

第四節研判下一年企業重大風險 /324

第五節安排下一年企業全面風險管理工作 /326

第六節年度風險管理報告示例 /327

第七節2020 年風控工作報告新模板 /332

第八節中小民營企業風險管理報告 /336

第十五章風控信息化 /339

第一節 風控信息化概述 /340
一、什麼是風控信息化/340
二、風控信息化是監管要求/341
三、風控信息化是企業風控工作的迫切需要/342
四、風控信息繫統要具備哪些基本功能/342
五、利用風控信息繫統實現持續性監督/343

第二節風控信息化建設的三個階段 /344
一、第 一階段實現風控工作信息化/344
二、第二階段實現風險預警自動化/344
三、第三階段實現業務風控一體化/345

第三節風控信息化的六項基礎工作 /345
一、環境基礎/346
二、組織架構基礎/346
三、業務流程及崗位職責基礎/346
四、表單基礎/347
五、數據基礎和數據標準/347
六、風險指標監控模型/348

第四節風控軟件市場情況 /348
一、風控軟件概述/348
二、風控軟件功能比較/349
三、風控軟件應用狀況/349

第五節SAP GRC 繫統展示 /350
一、風險管理模塊/350
二、流程控制模塊/353
三、訪問控制模塊/356

後記 /359