在過去十年時間里�����,我目睹了很多企業(yè)在開展風險管理和內(nèi)部控制過程中取得成功��,目睹了很多企業(yè)在這個過程中遭遇挫折�����,也目睹了風險管理和內(nèi)部控制工作的內(nèi)涵和范圍的不斷發(fā)展和演化���。時至今日���,很多企業(yè)管理者仍對風險內(nèi)控的工作目標、對企業(yè)價值貢獻缺乏正確認識����,很多從業(yè)人員對風險內(nèi)控的實際執(zhí)行方法和具體實施步驟未能完全掌握。
基于此種考慮���,本書對風險管理和內(nèi)部控制的理論與實踐進行了全方位的介紹��,包括理論演進�����、國內(nèi)外監(jiān)管要求����、風險識別�����、風險評估和應對�����、內(nèi)部控制體系建設和評估����、風險監(jiān)控預警機制等,對公司層面和業(yè)務層面的各項風險及對應的內(nèi)控措施等進行詳細描述���。
希望本書能夠幫助讀者全方面了解風險管理和內(nèi)部控制工作開展的全過程���,也希望從事風險內(nèi)控工作實踐的各位讀者在書中找到可以遵循風險內(nèi)控工作的詳細步驟���,從而對各企業(yè)推進風險內(nèi)控工作有所裨益。
序 一
奠穩(wěn)風險管理和內(nèi)部控制的基石�,
企業(yè)之舟才能揚帆遠航
近年來,全球化和技術變遷正在不斷改變著世界的政治格局和經(jīng)濟版圖��,企業(yè)面對的不確定因素不斷增多,面對的風險也越來越復雜��。波及全球的貿(mào)易戰(zhàn)���、金融危機以及時有發(fā)生的地區(qū)武裝沖突�����、恐怖襲擊�、自然災害����、安全事故、環(huán)境污染等不僅給全球經(jīng)濟發(fā)展帶來了巨大挑戰(zhàn)��,也直接威脅到企業(yè)的生存和發(fā)展。因此�,企業(yè)開展風險管理和內(nèi)部控制工作是順應國際國內(nèi)政治經(jīng)濟環(huán)境新變化的必然要求,也是現(xiàn)代企業(yè)實現(xiàn)健康穩(wěn)定可持續(xù)發(fā)展的必要保障���。
全球經(jīng)濟一體化的進程在很大程度上加劇了風險事件產(chǎn)生的影響���,一個小的風險事件往往會打開一體化鏈條上的潘多拉之盒,形成多米諾骨牌效應��,波及的方面和產(chǎn)生的連鎖反應往往是很多國家和企業(yè)所始料未及的���。這些都在客觀上要求中國企業(yè)建立一套行之有效的風險管理和內(nèi)部控制體系來抵御內(nèi)外部的各種風險。
雖然中國企業(yè)經(jīng)過了四十多年的發(fā)展�����,也經(jīng)歷了市場化和全球化的巨大考驗��,但中國企業(yè)的風險管理和內(nèi)部控制工作依然處于初級發(fā)展階段��,與中國企業(yè)在全球化和世界經(jīng)濟中承擔的角色還很不相稱和匹配���。未來企業(yè)開展風險管理和內(nèi)部控制工作需要走出僅僅滿足合規(guī)要求的禁錮���,要擇高處立����,即這些工作要與企業(yè)整體戰(zhàn)略密切結合�,推動企業(yè)整體戰(zhàn)略的實現(xiàn),藉此實現(xiàn)企業(yè)的盈利目標和增加企業(yè)價值�����。風險管理要幫助企業(yè)管理者進行戰(zhàn)略分析和提供決策選項�,確保企業(yè)戰(zhàn)略得到有效的執(zhí)行。而內(nèi)部控制是企業(yè)通過內(nèi)部管控措施有效應對風險的重要手段�����,是企業(yè)綜合能力的體現(xiàn)���,也是企業(yè)競爭力的重要來源�。
毫無疑問�,以上這些變化和挑戰(zhàn)要求企業(yè)管理者和學者從戰(zhàn)略和創(chuàng)新發(fā)展的角度來審視風險管理和內(nèi)部控制,并將兩者與企業(yè)的整體戰(zhàn)略��、企業(yè)日常經(jīng)營管理和業(yè)務流程密切融合�,以便應對企業(yè)發(fā)展進程中不斷出現(xiàn)的新的挑戰(zhàn)。
本書的作者李健博士是我最優(yōu)秀的博士生之一,具有很強的研究創(chuàng)新能力��,嚴謹?shù)闹螌W態(tài)度和極強的進取精神���,善于通過跨學科研究和理論實踐相結合的方式實現(xiàn)學術上的突破��。在《風險管理和內(nèi)部控制理論與實踐》的編寫過程中��,他融入了自己在世界五百強企業(yè)從事風險管理和內(nèi)部控制工作多年積累的經(jīng)驗����,結合理論研究的最新成果和行業(yè)內(nèi)的最佳實踐�����,闡述了風險管理和內(nèi)部控制等各個方面��,是一部不可多得的學術新作����。該書有助于讀者掌握風險管理和內(nèi)部控制的游戲規(guī)則��,了解企業(yè)開展風險內(nèi)控工作的具體方法����,提高風險管理和內(nèi)部控制的理論和實踐水平�����。
金占明
清華大學創(chuàng)新創(chuàng)業(yè)與戰(zhàn)略系
教授 博士生導師
序 二
近十多年來��,放眼全球����,人們看到了大洋彼岸許多不良的公司治理和內(nèi)部控制失效的事件�����,由此而引發(fā)的一系列的財務丑聞和舞弊案件以及國際金融危機���,對企業(yè)和社會經(jīng)濟發(fā)展產(chǎn)生了巨大的破壞性影響����。社會各界人士的口誅筆伐�,促使美國監(jiān)管部門出臺了《薩班斯奧克斯利法案》等一系列的法律法規(guī)和標準,要求上市公司加強內(nèi)部控制和完善公司治理����。
現(xiàn)代內(nèi)部控制是一種綜合管理體系����,包含著經(jīng)營管理的精髓�、理念和控制措施,是企業(yè)運營和各項管理工作的基礎��;企業(yè)風險管理強調(diào)治理和文化的上層建筑���,支持企業(yè)使命����、愿景和核心價值的實現(xiàn)�����。按照美國反虛假財務報告委員會發(fā)起人委員會(COSO)在2017年版企業(yè)風險管理整合框架中的最新解釋�����,內(nèi)部控制主要聚焦在企業(yè)的運營和對于相關法律法規(guī)的遵從性上��,例如���,企業(yè)需要關注與財務報告目標相關的舞弊風險����、與合規(guī)目標相關的控制活動��、與運營目標相關的持續(xù)及獨立評估��。風險管理則包括了管理風險的文化��、能力和實踐����,更加強調(diào)風險與價值的相結合,突出價值創(chuàng)造而不只是防止損失�����。COSO一再強調(diào)��,風險管理和內(nèi)部控制兩個框架是截然不同的�����,并提供不同的重點�;它們不可相互取代,而是互補的關系�����。二者是公司治理不可缺少的兩個組成部分。
在企業(yè)內(nèi)部控制規(guī)范體系建設方面���,我國政府監(jiān)管部門充分利用了后發(fā)優(yōu)勢�,在借鑒和吸收國際監(jiān)管新理念����,通過整合資源與合力攻堅,2008年5月和2010年4月�����,我國財政部����、證監(jiān)會、審計署�����、銀監(jiān)會和保監(jiān)會五個部委聯(lián)合制定和先后發(fā)布了《企業(yè)內(nèi)部控制基本規(guī)范》和《企業(yè)內(nèi)部控制配套指引》�,構建了中國企業(yè)內(nèi)部控制規(guī)范體系。
李健博士一直負責中國化工集團的風險管理和內(nèi)部控制工作���。近十年來���,他全過程參與了其所在集團從風險控制體系建設、風險識別和評估�����、試點及推廣項目�����,到全體系的內(nèi)部控制評價檢查工作�,積累了豐富的實踐經(jīng)驗,并具備了較全面的綜合管理和協(xié)調(diào)能力�����。本書是李健博士近十年來在中國化工集團從事風險管理和內(nèi)部控制工作的實踐經(jīng)驗總結�����。作者結合國資委對中央企業(yè)全面風險管理的各項要求和財政部等五部委對企業(yè)貫徹落實內(nèi)部控制規(guī)范體系的指引和規(guī)定�����,從風險管理和內(nèi)部控制概述,風險內(nèi)控體系建設��,風險的識別���、評估和應對��,公司層面控制�����,業(yè)務層面控制��,內(nèi)部控制評價和風險內(nèi)控信息化六個方面��,詳細論述了風險管理和內(nèi)部控制從規(guī)劃����、實施��、評價檢查����,以及整改和信息化的各個環(huán)節(jié)的重點內(nèi)容,面臨的主要風險和相應的控制措施,力圖為企業(yè)開展風險管理和內(nèi)部控制工作提供有效的指導�。
企業(yè)建立和實施內(nèi)部控制是一項專業(yè)性很強的工作,要求相關人員具備豐富的知識技能和充足的實踐經(jīng)驗���。本書的出版發(fā)行不僅為我國上市公司和國有企業(yè)的內(nèi)部控制體系建設提供可供選擇的實務操作指南和解決方案�,而且可作為內(nèi)部控制培訓項目的適用輔導教材���,有利于培養(yǎng)風險內(nèi)控專業(yè)人才,促進企業(yè)內(nèi)部控制體系建設緊密結合自身實際����,實現(xiàn)控制目標和提升經(jīng)營管理績效。
張 玉
中國大陸首位高級國際注冊內(nèi)部控制師
中國職協(xié)企業(yè)內(nèi)控師崗位培訓項目資深顧問
2019年5月
李健
清華大學經(jīng)管學院企業(yè)戰(zhàn)略與創(chuàng)新系博士��,瑞士圣加倫大學訪問學者��,國際注冊內(nèi)控師��,高級經(jīng)濟師�����。2009年開始從事風險管理和內(nèi)部控制工作����,現(xiàn)任世界五百強企業(yè)風險管理和內(nèi)部控制工作負責人���。 負責風險內(nèi)控體系搭建 、風險識別和評估 �、試點及推廣項目,以及全系統(tǒng)的內(nèi)部控制評價檢查工作��;國際內(nèi)部控制協(xié)會(ICI)中國總部高級顧問��,對企業(yè)風險管理和內(nèi)部控制都具有豐富的實踐經(jīng)驗和較深的理論知識���。
第一章 風險管理和內(nèi)部控制概述
第一節(jié) 風險和風險管理
一����、風險的概念
二��、風險的分類
三�����、風險管理理論的演進
四���、2017年版企業(yè)風險管理框架
第二節(jié) 內(nèi)部控制
一���、內(nèi)部控制的概念
二�����、內(nèi)部控制的重要性
三��、內(nèi)部控制的基本原則
四���、內(nèi)部控制發(fā)展歷程
五����、2013年版內(nèi)部控制框架
六、內(nèi)部控制局限性
第三節(jié) 風險管理����、內(nèi)部控制與合規(guī)管理
一、風險管理和內(nèi)部控制的關系
二����、風險管理、內(nèi)部控制與合規(guī)管理的關系
三���、風險管理��、內(nèi)部控制與內(nèi)部審計的關系
四��、風險管理��、內(nèi)部控制與業(yè)務的關系
第四節(jié) 風險管理和內(nèi)部控制相關法規(guī)
一���、安然事件
二�、《薩班斯奧克斯利法案》簡介
三����、我國風險管理和內(nèi)部控制規(guī)范的演進
四、《中央企業(yè)全面風險管理指引》主要內(nèi)容
五�����、《企業(yè)內(nèi)部控制基本規(guī)范》主要內(nèi)容
六����、《企業(yè)內(nèi)部控制基本規(guī)范》應用指引主要內(nèi)容
第五節(jié) 中國企業(yè)風險內(nèi)控的現(xiàn)狀和未來
一、中國企業(yè)內(nèi)部控制現(xiàn)狀
二����、中國企業(yè)風險內(nèi)控工作中存在的問題
三、中國企業(yè)風險內(nèi)控的未來發(fā)展
第二章 風險內(nèi)控體系建設
第一節(jié) 總體規(guī)劃
一��、前期分析調(diào)研
二、主要工作難點分析
三�����、實施原則
四����、啟動會
第二節(jié) 組織架構搭建
一、組織架構概述
二���、風險內(nèi)控組織架構
三��、風險內(nèi)控部門職責
四�、對企業(yè)風險內(nèi)控部門定位的思考
第三節(jié) 制度體系建設
一�、制度的概述
二����、風險內(nèi)控制度體系構成
三、制度管理
第四節(jié) 風險內(nèi)控手冊編制
一�����、風險管理手冊和內(nèi)部控制手冊概述
二���、集團型企業(yè)內(nèi)部控制手冊類型
三����、內(nèi)部控制手冊的展現(xiàn)形式
第三章
風險的識別、評估和應對
第一節(jié) 風險識別
一����、風險識別的概念
二、風險識別的程序
第二節(jié) 風險評估
一���、根本原因分析
二��、風險發(fā)生的可能性
三�、風險影響程度
四��、風險評級
五��、風險熱力圖
第三節(jié) 風險應對
一�����、風險偏好和風險承受度
二�����、風險應對策略
三、風險應對有效性評估
四�、風險與創(chuàng)新
第四節(jié) 風險預警和關鍵風險指標
一、風險監(jiān)控和風險預警概述
二���、風險預警體系的建立
三�、關鍵風險指標體系概述
四�����、關鍵風險指標體系建設路徑
五��、關鍵風險指標體系的拓展應用
第四章 公司層面控制
第一節(jié) 組織架構的內(nèi)部控制
一��、治理結構和內(nèi)部機構
二�、組織架構的責權分配
三、組織架構的內(nèi)部控制
第二節(jié) 企業(yè)戰(zhàn)略的內(nèi)部控制
一����、戰(zhàn)略的概述
二�、戰(zhàn)略管理的理論研究
三、戰(zhàn)略管理的內(nèi)部控制
第三節(jié) 人力資源的內(nèi)部控制
一��、人力資源的引進與開發(fā)
二�、人力資源的約束與激勵
三���、薪酬福利管理
四、人力資源的使用與退出
五���、員工檔案管理
第四節(jié) 社會責任的內(nèi)部控制
一����、安全生產(chǎn)
二�����、質量管理
三�����、節(jié)能環(huán)保
四����、促進就業(yè)與員工權益保護
第五節(jié) 企業(yè)文化的內(nèi)部控制
第五章
業(yè)務層面控制
第一節(jié) 資金管理的內(nèi)部控制
一、籌資
二���、資金營運
三�����、金融衍生業(yè)務
四�、擔保業(yè)務
第二節(jié) 投資管理的內(nèi)部控制
一、投資方案與決策
二�、投資執(zhí)行
三、投資企業(yè)管理
四���、投資后評價
第三節(jié) 采購業(yè)務的內(nèi)部控制
一��、采購計劃
二����、供應商管理
三��、采購執(zhí)行與驗收
四��、采購付款
五����、業(yè)務外包
第四節(jié) 生產(chǎn)管理的內(nèi)部控制
一、生產(chǎn)計劃
二�����、生產(chǎn)運行
三���、生產(chǎn)監(jiān)督
四�����、生產(chǎn)成本
第五節(jié) 存貨管理的內(nèi)部控制
一���、入庫管理
二、庫存管理
三��、出庫管理
四��、存貨處置
五��、物流運輸
第六節(jié) 銷售業(yè)務的內(nèi)部控制
一�����、銷售計劃
二�、客戶管理
三、銷售定價
四���、銷售渠道管理
五����、收款管理
六、客戶服務
第七節(jié) 研究與開發(fā)的內(nèi)部控制
一��、立項與研發(fā)計劃
二��、技術及產(chǎn)品應用
三�、知識產(chǎn)權保護
第八節(jié) 工程項目的內(nèi)部控制
一、工程立項
二�����、工程招標
三�����、工程建設
四����、工程驗收與竣工決算
第九節(jié) 資產(chǎn)管理的內(nèi)部控制
一、固定資產(chǎn)管理
二����、在建工程
三、無形資產(chǎn)管理
第十節(jié) 財務管理的內(nèi)部控制
一�、全面預算
二��、稅務管理
三����、會計核算
四����、財務報告
五�����、成本與費用管理
六����、關聯(lián)交易
第十一節(jié) 法律事務的內(nèi)部控制
一、合同管理
二��、糾紛與訴訟管理
第十二節(jié) 信息系統(tǒng)的內(nèi)部控制
一���、信息系統(tǒng)規(guī)劃
二���、信息系統(tǒng)開發(fā)
三、信息系統(tǒng)運行維護
四�����、信息安全
第十三節(jié) 綜合管理
一、綜合辦公
二�����、制度管理
三����、信息傳遞
四、保密管理
第六章 內(nèi)部控制評價
第一節(jié) 內(nèi)部控制評價概述
一�、內(nèi)部控制評價的目標
二、內(nèi)部控制評價的主體
三�����、內(nèi)部控制評價的范圍
第二節(jié) 內(nèi)部控制評價程序和方法
一�、內(nèi)部控制評價程序
二、內(nèi)部控制評價方法
三���、內(nèi)部控制評價檢查內(nèi)容
四��、內(nèi)部控制缺陷認定
五���、內(nèi)部控制評價工作底稿
六���、內(nèi)部控制成熟度評價
第七章 風險內(nèi)控的信息化
第一節(jié) 風控信息化的重要性
一、風控信息化的內(nèi)在需求
二���、外部監(jiān)管要求
第二節(jié) 風控信息化建設
一�����、風控信息化應注意的問題
二、風控信息化平臺建設的目標
三�����、風控信息化的基礎和前提
四��、風控信息化的具體內(nèi)容
第三節(jié) 風險內(nèi)控應用軟件
一�����、風控信息化軟件應用現(xiàn)狀
二�����、國內(nèi)企業(yè)風險內(nèi)控信息化現(xiàn)狀
三���、SAP GRC系統(tǒng)功能和模塊介紹
書單推薦
