本书在全面风险管理体系基础上，为读者展示了全面风险管理标准的基本框架，内容包括目标体系、风险整合、管理融合、管理准备、管理实施、管理报告、监督改进等，涵盖了财务风险管理的几乎所有内容。每一方面都详细地介绍应识别哪些风险，如何分析和预防风险，如何控制风险等。

本书主要内容包括目标体系、风险整合、管理融合、管理准备、管理实施、管理报告、监督改进等，涵盖了财务风险管理的几乎所有内容。企业目标就是尽可能地创造价值，使企业价值最大化；风险是对企业目标实现产生影响的事项发生的不确定性，危险和机会并存，是一个全面的概念；全面风险管理是为合理保证企业目标实现，对企业风险进行全面管理的动态过程；管理准备阶段主要工作内容包括选择项目、确定目标、成立小组、收集信息、初步了解、制定计划、编制方案、下发倡议等；管理实施工作内容包括风险识别、风险评估、风险应对、风险控制等等。

序一 时代呼唤：构建中国企业全面风险管理标准

序二 融合之道：内部控制与风险管理逐步走向融合

序三 3C框架：控制与风险的融合

内容摘要

 目标体系

 风险整合

 管理融合

 管理准备

 管理实施

 管理报告

 监督改进

基本框架

 目标体系

1 目标概念

2 目标分类

3 目标体系

4 目标确定

 风险整合

1 风险概念

2 风险要素

3 风险属性

4 风险分类

5 风险偏好

6 风险意识

7 风险理念

8 风险文化

9 风险整合

 管理融合

1 全面风险管理概念

2 全面风险管理目标

3 全面风险管理意义

4 全面风险管理政策

5 全面风险管理战略

6 全面风险管理策略

7 全面风险管理决策

8 全面风险管理主体

9 全面风险管理内容

10 全面风险管理流程

11 全面风险管理方法

12 全面风险管理信息

13 全面风险管理沟通

14 全面风险管理学习

15 全面风险管理融合

实务标准

 管理准备

1 选择项目

2 确定目标

3 成立小组

4 收集信息

5 初步了解

6 制定计划

7 编制方案

8 下发倡议

 管理实施

1 风险识别

2 风险评估

3 风险应对

4 风险控制

 管理报告

1 风险预警

2 风险报告

 监督改进

1 风险监督

2 风险审计

3 管理改进

操作指南

 操作工具

一、3C框架全面风险管理常用技术

二、3C框架全面风险管理创新技术

三、3C框架全面风险管理常用工具

 操作简图

1 3C框架全面风险管理框架图

2 3C框架风险要素关系图

3 3C框架风险透视图

4 3C框架风险对利益关系人影响图

5 3C框架风险偏好的整合模型

6 3C框架风险态度曲线图

7 3C框架风险文化类型图

8 3C框架风险整合图

9 3C框架全面风险管理目标关系图

10 3C框架全面风险管理最佳组织结构图

11 3C框架全面风险管理者关系图

12 3C框架全面风险管理流程简图

13 3C框架全面风险管理信息系统简图

14 3C框架全面风险管理“鱼骨图”

15 3C框架我国某中央企业风险图谱(略)

16 3C框架重点风险应对对象矩阵图(略)

17 3C框架全面风险管理报告流程图

18 3C框架风险审计特点图

19 3C框架风险审计作用图

20 3C框架风险审计框架图(略)

 操作简表

1 3C框架企业目标体系整合表

2 3C框架主要风险及简明定义表

3 3C框架风险偏好描述表(略)

4 3C框架传播风险意识方法表

5 3C框架ExACT模式

6 3C框架企业风险文化建设有效做法表

7 3C框架全面风险整合框架表

8 3C框架实施全面风险管理的效果情况表

9 3C框架传统风险管理与全面风险管理的比较表

10 3C框架全面风险管理目标体系表

11 3C框架全面风险管理政策说明书范例表

12 3C框架全面风险管理手册范例表

13 3C框架全面风险管理政策最佳实践表

14 3C框架全面风险管理组织及职责最佳实践表(略)

15 3C框架全面风险管理流程表

16 3C框架全面风险管理方法组合体系表

17 3C框架全面风险管理信息分类表

18 3C框架全面风险管理信息获取渠道表

19 3C框架信息需求情况表

20 3C框架具体信息需求模板(略)

21 3C框架信息需求汇总表

22 3C框架全面风险管理沟通表

23 3C框架企业状况情况表

24 3C框架企业经营情况表

25 3C框架内部控制情况表

26 3C框架经营活动中的其他重大事项情况表

27 3C框架企业所处的经济环境情况表

28 3C框架企业所在行业的情况表

29 3C框架风险信息表

30 3C框架全面风险管理计划格式模本

31 3C框架风险数据库的基本格式

32 3C框架业务层面风险数据库的基本格式

33 3C框架部门风险表基本格式

34 3C框架企业风险汇总表基本格式

35 3C框架5-M模型综合风险识别检查对照表(略)

36 3C框架我国某中央企业风险表

37 3C框架部门初始风险评估表

38 3C框架企业初始风险评估汇总表

39 3C框架风险可能性的排序及标准

40 3C框架风险可能产生影响的排序及标准

41 3C框架风险可能性分析表

42 3C框架风险可能产生影响分析表

43 3C框架风险性质、风险程度综合评价表

44 3C框架控制型、财务型风险转移与保险风险转移比较表

45 3C框架风险应对策略效果分析表

46 3C框架部门风险应对方案(略)

47 3C框架企业剩余风险汇总表

48 3C框架全面风险管理预警指标及标准表

49 3C框架风险审计方法列示表

50 3C框架风险管理缺陷汇总分析表

51 3C框架风险管理变化情况分析表

附件

 比较分析

 学习文档

1 3C框架目标概念文档

2 3C框架目标分类文档

3 3C框架风险概念文档

4 3C框架风险属性文档

5 3C框架风险分类文档

6 3C框架主要风险及定义文档

7 3C框架风险意识文档

8 3C框架风险文化文档

9 3C框架风险管理的起源和发展文档

10 3C框架风险管理定义文档

11 3C框架风险管理目标文档

12 3C框架全面风险管理意义文档

13 3C框架全面风险管理政策文档

14 3C框架全面风险管理战略文档

15 3C框架全面风险管理策略文档

16 3C框架全面风险管理职责文档

17 3C框架全面风险管理内容文档

18 3C框架风险管理过程文档

19 3C框架全面风险管理方法文档

20 3C框架全面风险管理信息文档

21 3C框架全面风险管理沟通文档

22 3C框架风险识别概念文档

23 3C框架风险识别内容文档

24 3C框架风险识别方法文档

25 3C框架风险评估概念文档

26 3C框架风险评估内容文档

27 3C框架风险计价概念文档

28 3C框架风险计价意义文档

29 3C框架风险计价内容文档

30 3C框架风险计价方法文档

31 3C框架风险分析概念文档

32 3C框架风险分析内容文档

33 3C框架风险分析步骤文档

34 3C框架风险方法文档

35 3C框架风险评价概念

36 3C框架风险评估方法文档

37 3C框架风险应对概念文档

38 3C框架风险应对内容文档

39 3C框架风险规避文档

40 3C框架风险降低文档

41 3C框架风险分散文档

42 3C框架风险转移文档

43 3C框架风险接受文档

44 3C框架风险利用文档

45 3C框架风险应对方法文档

46 3C框架风险控制概念文档

47 3C框架风险控制内容文档

48 3C框架风险预警概念文档

49 3C框架风险预警内容文档

50 3C框架风险报告文档

51 3C框架风险监督文档

◎管理融合

1 全面风险管理概念

全面风险管理是随着社会的进步和经济的发展生产和发展起来的。国内外关于风险管理的概念虽未完全统一，但全面风险管理的概念越来越清晰。

全面风险管理，是为了合理保证企业目标的实现，将企业整体风险控制在偏好之内，由企业风险管理组织和人员组织实施、全体人员参与的对企业目标实现过程中的风险，本着从实际出发、务求实效、突出重点的原则，以对重大风险的管理和重要流程的内部控制为重点，凭借信息化平台，采用与风险管理策略相适应组合技术或工具所进行的准备、实施、报告、监督和改进的动态连续不断的过程。本概念至少明确了以下几点：

◎全面风险管理目标。通过控制风险和利用机会创造价值，以合理保证企业目标的实现。

◎企业风险偏好概念。企业在寻求价值最大化时愿意接受的风险的数量，可以说是风险容量和风险容限的组合。把企业风险控制在可接受范围内是重要的。

◎全面风险管理主体。企业进行全面风险管理的组织和人员，是全面风险管理目标得以实现的组织和人员保证。

◎全面风险管理内容。是对企业整合风险的管理，也就是对企业风险的管理。既要对企业各类风险进行分别管理，也要对企业总体风险进行综合管理。

◎全面风险管理原则。从实际出发，务求实效的原则，以重大风险的管理和重要流程的内部控制为重点的原则。

◎全面风险管理方法。风险管理策略相适应的技术或工具的组合体系，既有定性的方法，又有定量的方法，定性方法和定量方法要相结合。

◎风险管理流程。是企业全面管理准备、实施、报告、监督和改进的动态连续不断的过程。

简单地说，全面风险管理是为保证企业目标实现，对企业风险进行全面管理的动态过程。

这里的全面是相对的，至少是相对于分散的、不全面的传统风险管理而言的。传统风险管理是以防人为核心内容的管理，以防人为主体的风险管理机制，关注的对象主要是那些可能带来损失的纯粹风险，基本上也是围绕纯粹风险展开的，风险应对主要手段是保险。而现代的全面风险管理，是系统的、统一的，是以规范制度、规范流程、规范责任为特征的完整的企业风险机制，突出风险的选择和利用。全面风险管理的特点主要有：

>从预防风险、减少风险损失，过渡到规避风险和利用风险相统一的体系。

>强调风险管理的系统性和统一性，强调企业部门之间相互配合．加强了责任。

>强调信息平台的建立，没有信息系统的建设，就没有必要谈全面风险管理。

>强调方法的科学性，除了定性分析之外，还要有大量的数学模型来进行风险分析。

>将全面风险管理贯穿于企业管理的全过程。全面风险管理是决策层。特别是一把手必须亲自管理的一项重要的企业管理工作。

全面风险管理是全员、全过程、全方位的风险管理，既要控制风险，更要把握机会，是积极进攻型的风险管理。全面风险管理，是对企业风险进行整合管理的过程，从始至终是科学和艺术的结合。在全面风险管理实践中，量化风险虽然诱人，但可能会产生误导，或给人一种“安全错觉”，风险管理永远是定量和定性相结合的。

实际上，全面风险管理还应该是全社会的、全世界的风险管理，至少是由政府、企业与社区共同组成的全面风险管理体系，建立集安全建设、应急管理、风险控制与风险融资于一身的企业全面风险管理模式。

2 全面风险管理目标

明确全面风险管理的目标，就会明确全面风险管理的方向，这对全面风险管理作用的有效发挥是极其重要的。

全面风险管理目标，是通过控制风险和利用机会来创造价值，应与企业目标相一致，与企业价值最大化目标相一致。全面风险管理就是要通过有效控制风险和充分利用机会提高企业创造价值的能力，从而达到自身创造价值的目的。

一般来说，全面风险管理是通过减少风险给企业价值造成的损失，来增加企业的价值。或者说，全面风险管理是以降低企业风险来增进企业价值的。全面风险管理至少从控制(避免意外事件、发现违规犯法行为、遵守法律法规等)和机会(提高效率、提高产品效能、提高声誉等)两个方面来创造价值。

当然，全面风险管理创造的价值大多是间接的，从形式上是看不出来的，这就需要企业高层管理人员具有战略眼光。

根据我国企业的实际情况，现阶段开展全面风险管理工作，至少应达到以下总体目标：

◎控制风险目标。企业风险水平要永远控制在可接受的范围内，也就是要将风险控制在与总体目标相适应并可承受的范围内，这是全面风险管理的主要目标。

◎处理危机目标。企业风险一旦发生就变成危机，造成程度不同的损失，这是全面风险管理不期望看到的结果。处理企业危机，即提供危机处理解决方案，将危机造成的损失降到最低程度，是全面风险管理不可忽视的目标。

◎把握机会目标。企业坐失良机，实际上是最大的风险。企业发展，不仅要管理风险，还应抓住机会，促使企业把握住发展的良机，是全面风险管理的一个积极目标。

◎增强风险意识目标。我国企业风险意识不强，通过全面风险管理工作，促进企业增强风险意识，进而增强全社会的风险意识，是全面风险管理总体上期望达到的一个基本目标。

全面风险管理的实践是具体而丰富多彩的，因此，全面风险管理应具备有针对性、可实现的具体目标。全面风险管理的具体目标，因企业的不同而不同，即使是同一个企业，全面风险管理的具体目标也是因管理风险的不同而不同，不能固定化和模式化。理论上，大多把全面风险管理的目标分为损前目标和损后目标两类，还可继续进一步分解，这是有益的探索。我国企业编制的内部控制和风险管理手册中，大多依据COSO全面风险管理框架，把全面风险管理目标分为企业层面目标和业务层面目标两个方面，再具体分解为企业的战略、经营、报告和合规四种类型的目标。

全面风险管理的目标，从总体上要和企业目标相一致，和企业战略目标相协调，但全面风险管理的具体目标是针对不同的风险，简单地把不同风险的管理目标都确定为战略、经营、报告、合规四个目标是机械地照抄照搬，是没有针对性的。

一般来说，全面风险管理的目标是多种多样的，如同企业目标一样，也是一个相互联系的目标体系。

与企业目标体系相协调，与企业风险整合相衔接，全面风险管理目标体系应分为社会、管理、经营、财务、遵循、其他等一级风险管理目标，在这些一级风险管理目标下再细分若干个二级风险管理目标，在二级风险管理目标下再细分三级风险管理目标。当然，还可再继续分下去：与企业全面风险管理核心流程相对应，全面风险管理目标体系可分为识别风险、评估风险、应对风险、控制风险、处理危机、把握机会等目标。事实上，在具体的全面风险管理实践中，按具体的风险类别，再按对该类别风险的流程来确定全面风险管理的具体目标是最佳实践。

这个体系不管如何构成，也不管其组成如何细分，都需要服务于企业目标和全面风险管理的总体目标。还有，不管企业全面风险管理多么有效，也只是对企业目标实现提供合理的保证，这已经成为全面风险管理中被普遍接受的原则。所谓保证是指全面风险管理对企业经营管理过程中所面临的风险的控制。所谓合理的保证是相对于绝对的保证而言。由于全面风险管理对象就是未来的不确定性，包括人们操作过程中的缺陷、技术和信息的不足、自然存在的不确定性以及对成本的考虑等，全面风险管理在大多数情况下不可能而且也不应该对企业实现其目标提供绝对的保证。P27-31

时代呼唤：构建中国企业全面风险管理标准

全面风险管理是一项十分重要的工作，关系到企业战略目标的实现，关系到企业持续、健康、稳定的发展，这是毋庸置疑的。企业实施全面风险管理主要是由于来自外部的压力和内部的需要，在风险管理还没有普遍开展起来时，来自外部的压力对推动全面风险管理的实施是非常重要的；但从长远来看，内部的需要将起决定性作用。中国大多数企业的风险管理还处于起步阶段，政府的推动将起到很大的作用。

许多发达国家的大公司对于如何控制和管理风险已经进行了多年的探索和实践，由起初的认识风险、重视风险管理逐步完善到现在的建立全面风险管理体系。风险管理的理念、技术、方法和手段，已经应用于发展战略的制定、投融资决策、财务报告管理、内部审计体系建设等，涵盖了从公司法人治理结构的制度安排，到各项业务运作的流程和操作等各个层面，形成了系统化、制度化、具体化的全面风险管理体系。在发达国家，风险管理和内控机制建设已经上升到法律的高度。美国、英国、澳大利亚、新西兰等国家已经颁布了风险管理体系框架或国家风险管理标准。比较著名的是美国COSO委员会1992年颁布的《COSO内部控制框架》和2004年颁布的《COSO全面风险管理整合框架》。美国还针对近年来发生的安然、世通等财务丑闻，进一步加大了监管力度，专门出台了《萨班斯法案》，对上市公司内控体系建设、信息披露等作了严格的规定。

在风险管理方面，我国一些企业进行了积极的探索和实践，取得了初步成效。但是，从总体上看，还处于起步阶段。我们有不少企业过去曾经出现过这样那样的问题，甚至到最后走向破产。说到底，就是企业风险没有控制好。国务院国资委2006年研究制定的《中央企业全面风险管理指引》(以下简称《指引》)，得到了中央企业、地方国资委的积极响应和社会各方面的广泛关注。中央企业中已经有一批企业开始启动这项工作，并且取得了较好效果。但《指引》仅仅还是个指引，比较原则，难以实施，需要具有可操作性的具体管理标准。时代呼唤中国企业建立自己的全面风险管理标准。

信息化是内部控制发展的未来。内部控制和风险管理逐步融合，包括在系统设计中这两个东西一定要融合，不是分开的。

——中华人民共和国审计署副审计长 石爱中

中天恒推出的中国式全面控制框架是自主创新的科研成果，是一项非常有意义的探索。当然，这只是初步的框架，要想形成真正中国式的控制框架，还需要下大力气深入研究，不断完善。

——中国内部审计协会副会长兼秘书长 易仁萍教授

3C框架是中国企业最为需要的咨询体系，实用性强，非常有特色，符合中国企业的需要。建议丰富汇率、资本市场方面的内容，促进IT和咨询的一体化。

——中国社会科学院经济所所长研究员助理 张平博士

3C全面风险管理标准适应中国企业高速成长过程中面临的多维风险管理和控制问题，标准涉及面广且有深度，具有极强的可操作性，有利于促进企业通过风险控制，起到回报投资者、稳定社会的作用。通过进一步的完善，可以成为中国企业风险管理的基本标准。

——中国社会科学院工业经济研究室主任 曹建海

3C框架下的全面风险管理标准简单、明了、易懂，具有可操作性，体系设置完整、科学，程序之间的衔接合理，涵盖了管理的各个环节。建议在管理框架图中加入反馈机制和调节机制。

——中央财经大学金融学院教授 韩复龄

3C框架这一创新理念，是以“中天恒”为代表的最普通的实务工作者们经过缜密思考、兼收并蓄、大胆革新创造出来的。它既是对国际权威的挑战，也是对国内理论界、政府监管机构以及企事业单位主要负责人思维模式的有力撞击。

——首创集团审计部总经理 李章

提出全面控制管理思想的确有很强的现实意义。全面控制要与企业信息建设结合起来，没有信息化，难以控制；有了信息化，许多控制就能很容易做到。

——山西焦煤集团政策研究主任 刘治斌