本书从企业实务角度，全景式地阐述企业内部控制与风险管理体系建设的流程、方法、工具和技术等。本书核心是告诉企业如何将内控与风险管理融入日常经营管理中，如何把内控与风险管理和战略规划结合起来，与经营管理结合起来，使其成为企业重要的基础管理工作，使风险管理文化和理念渗透到企业经营管理的各个环节。

前言 超越SOX404 2011年12月25日，圣诞节。 华为总裁任正非如期发表了2012年新年献词《一江春水向东流》，在照搬、模仿和学习西方企业管理数十年后，中国企业家原创管理思想在这篇文章中得到充分展现，可以说是中国原创企业管理思想的一个里程碑。 在此文中，任正非指出，我们对未来的无知源于无法解决的问题，面对未来的风险，我们只能用规则的确定来对付结果的不确定；要矢志不移地继续推动组织朝向长期价值贡献的方向去改革。 2002年7月，美国通过萨班斯法案（SOX） ；2006年6月，我国国资委印发《中央企业全面风险管理指引》；2008年6月，财政部等五部委颁布中国版萨班斯（C-SOX）——《企业内部控制基本规范》；2012年5月，国资委发布《关于加快构建中央企业内部控制体系有关事项的通知》；同年11月，财政部发布《行政事业单位内部控制规范（试行）》。无论是公司治理还是政府治理，无一例外地都做出同样的选择——内部控制，这就是规则的确定。 一、SOX404≠内部控制 萨班斯法案404条款（简称“SOX404”）要求建设以COSO五要素（控制环境、风险评估、控制活动、信息与沟通、监控）为基础，从公司、流程和信息系统三个层面，以风险管理为导向建立公司内部控制体系。通过对公司管理和业务运营状况及其可能对财务报表的影响进行复核、测试和不断的完善，保证财务报表的可靠性、经营活动的合法合规性。总体来看，SOX404主要还是针对财务报告内部控制（Internal Control over Financial Reporting，ICFR）。 内部控制作为公司治理的关键环节和经营管理的重要举措，在企业发展壮大过程中具有举足轻重的作用。但从现实情况看，许多企业管理松弛、内控弱化、风险频发，资产流失、营私舞弊、损失浪费等问题比较突出。经济健康发展迫切呼唤加强内部控制。内部控制涉及的领域已非常广泛，覆盖公司层面、业务层面和信息系统层面等几乎所有的公司活动，远远突破原来的内部牵制、会计控制等范围。显然，SOX404具有很大的局限性。 中国版萨班斯（C-SOX），即《企业内部控制基本规范》及其配套指引，就是在参考借鉴SOX404即美国COSO内部控制框架的基础上，根据中国的实际情况作了一些调整，特别是摆脱了拘泥于财务报告内部控制的局限，形成了中国企业内部控制规范体系。 二、内部控制与全面风险管理 1．两者密不可分 内部控制与全面风险管理是相互依存、不可分割的有机整体，内部控制是全面风险管理工作的基础和手段，风险防范和控制是内部控制的核心目标。 国资委下发的《中央企业全面风险管理指引》，全面风险管理体系包括目标设定、事项识别、风险应对（风险管理策略、风险解决方案等）、风险管理信息系统和内部控制系统，如图0-1所示。可见，全面风险管理体系的核心组成部分之一即是内部控制系统。 内部控制系统是指围绕风险管理策略目标，针对企业战略、规划、投融资、市场运营、财务、内部审计、法律事务、人力资源、采购、研发生产、销售、物流、质量、安全生产、环境保护等各项业务管理及其重要业务流程，通过执行风险管理基本流程，制定并执行的规章制度、程序和措施。 图0-1 内控、风险管理及企业管理的关系 2．内部控制是对风险的补偿 风险是客观存在的，只要企业从事某项业务，就会面临该业务领域的相关风险，比如，企业进行海外并购就必然面临海外政治经济风险、文化差异风险、法律风险等。良好的内部控制可以大大降低风险发生的可能性和影响程度。因此，如果企业设置了良好的内部控制体系并且有效运行，则风险敞口就会大大缩小，将风险控制在企业可承受范围之内。 3．风险和控制此消彼长 控制能够减少风险发生的可能性和影响程度，可以减少过度的风险带来的财务损失、企业声誉损失、运营效率低下和人员健康损害。反过来，如果控制过度，则不但增加了企业的成本，而且可能因为增加流程的复杂性而造成控制失误，并且容易引起官僚作风，如图0-2所示。 图0-2 风险与控制的平衡 公司在制定解决风险的内控方案时，一方面要满足合规的要求，同时坚持经营战略与风险策略一致、风险控制与运营效率及效果相平衡的原则，针对重大风险所涉及的各管理及业务流程，制定涵盖各个环节的全流程控制措施；另一方面对其他风险所涉及的业务流程，要把关键环节作为控制点，采取相应的控制措施，避免控制不足或者控制过度。 前述的确定的规则，即内部控制体系，解决的是“正确地做事”（Do Things Right），但其“结果也是不确定的”，这就是风险，而全面风险管理是要解决“做正确的事”（Do Right Things），将两者合二为一，这样才能推动企业朝向长期价值贡献的方向前行。本书《全面风险管理实务操作指南》，尝试提供将全面风险管理和内部控制融为一体的风险控制体系（Risk Control System，RCS）建设操作实务。 三、从SOX404到全面风险管理 SOX404只是基于遵守法律法规，满足监管机构的规定，对于企业来说这是最起码的要求。中国当下的现实不容乐观，相当多中国企业还在为满足这个要求而努力，所以国家层面依法治国才会被屡屡提上议事日程，企业层面《企业内部控制基本规范》将经营管理合法合规列为首要目标和最基本的要求。企业提高经营效率，需要将风险控制融入到日常经营管理中，提高执行力，降低不确定因素对实现目标的影响，也是应有之义。而将风险控制融入战略管理，提高决策水平和资源分配能力，创造价值，这是更高层次的追求，如图0-3所示。 图0-3 风险控制体系不同的发展阶段 从SOX404到全面风险管理，就是要建立一个免疫系统。就像天然具有“自我净化”功能的小河水一样，清澈见底的河水遇到下雨、排涝或被扔进杂物时会变混浊，但一段时间后又会自动变清。全面风险管理的目的就是让企业的组织体系具备类似河水的自然而然的净化功能和免疫能力，有了免疫力的公司自然更能抵御风险，更有可能基业长青。死亡迟早会到来的，这是组织的宿命，不断延长企业的生命是我们努力的方向。

目 录 第一章 总论 1 一、本书结构 1 二、风控体系依据与标准 3 三、风控体系方法论 9 四、风控体系主要内容 14 第二章 内部环境 20 一、行为准则 20 二、公司治理 26 三、组织与权责分配 28 四、员工胜任能力 29 五、管理理念与企业文化 30 六、人力资源政策与措施 30 第三章 风险评估 43 一、风险分类 44 二、风险偏好、容忍度和预警指标 45 三、风险评估 49 第四章 控制活动 94 一、控制活动的种类 94 二、控制活动的实施 96 三、权限指引 136 第五章 信息与沟通 161 一、构成要素 161 二、信息采集 163 三、沟通 167 四、信息系统 170 第六章 监控 185 一、概述 185 二、日常监督 186 三、专项监督 188 四、缺陷跟踪 191 五、风险控制评价 196 附录A 港交所《企业管治守则》修订 237 附录B 2013年新版《COSO内部控制整合框架》简介 241 附录C 风险数据库 251 附录D 风险预警指标 284 附录E 流程编码规则 286 参考文献 289