作者为我们奉献的《风险管理智慧》一书，既构建了全新的企业风险管理理论框架，解析了企业风险管理的操作程序，又向读者介绍了国际诸多领先企业在风险管理方面的最佳实践，给出了实务中如何操作的清晰意见。通读全书，纲目分明，语言流畅。很显然，这是一部内容丰富、操作性强的新作，实为企业风险管理人员的必备之书。

风险管理是识别、评价与控制风险的活动。当今世界变化多端，风险无处不在。只有掌握风险管理的理论与方法，才能为组织认识价值和创造价值。本书构建了全新的企业风险管理的理论框架，解析了企业风险管理的操作程序，向读者介绍了国际诸多领先企业在风险管理方面的最佳实践，给出了实务中如何操作的清晰意见。

本书适合企业管理者、风险管理人员阅读。

第一章 引言：责任与机会

第二章 认识四处弥漫的风险

 2.1 风险

 2.2 企业风险

 2.3 概率、风险及风险的交互作用

 2.4 企业风险的类别

第三章 洞察企业风险管理的实质

 3.1 风险管理的发展历程

 3.2 对企业风险管理的理解

 3.3 企业为什么要实行风险管理

 3.4 实施风险管理所面临的挑战

第四章 解析与借鉴企业风险管理理论框架

 4.1 经典与完美：COSO的：ERM框架

 4.2 简洁实用：澳新ERM标准

 4.3 国情与引进：国资委的风险管理指引

 4.4 客户化定制：最佳实践借鉴

第五章 实务操作第1步：评价风险管理能力

 5.1 抓住精髓：先思而后动

 5.2 树立标杆：界定风险管理的有效性

 5.3 放眼于终点：企业风险管理能力衡量

 5.4 前行之路：企业风险管理规划

第六章 实务操作第2步：架构风险管理组织

 6.1 组织定位：权责明确的风险管理中心

 6.2 风险治理：风险管理委员会及其职责

 6.3 管理风险：首席风险官的任务

 6.4 风险咨询：风险管理部门的日常事务

 6.5 抢占先机：业务部门的风险管理

第七章 实务操作第3步：董事会的风险管理

 7.1 公司治理：董事会自身的风险管理

 7.2 指导与监督：董事会对高级管理层的风险管理

 7.3 搞端防线：审计委员会的风险管理

 7.4 融入决策：董事会期望的长远收益

第八章 实务操作第4步：具体评估企业风险

 8.1 设立风险评估的基础

 8.2 识别风险

 8.3 分析风险

 8.4 评估风险

 8.5 风险对策

第九章 实务操作第5步：关键风险管理谋略

 9.1 关键风险分析

 9.2 关键风险谋略

 9.3 管理关键风险的具体措施

第十章 实务操作第6步：风险管理整体方案

 10.1 重新审视：法案实质与借鉴

 10.2 稳固后防：健全风险管理的内部环境

 10.3 业务融合：将风险管理渗透到控制活动

 10.4 风险报告：风险管理的信息与沟通

 10.5 最后防线：风险管理的监督与检查

后记

参考文献

2．1风险

风险是一个与不确定性密切相关的概念。但何谓风险，目前尚无权威性的定义。在《韦氏大词典》中，对风险一词的解释是：①遭受损失、伤害、不利或毁灭的可能性；②导致或暗示着危害或相反机会的某人或某事；③受损失的概率。在理论上，比较有代表性的观点有三种。第一种观点是把风险视为机会，认为风险越大回报的可能性越大，相应损失的可能性也就越大。第二种观点把风险视为危机，认为风险是消极的事件，可能产生损失，这常常是大多数公司所理解的风险。第三种观点介于两者之间，也更为学术，认为风险是一种不确定性。在实务中，人们从不同的角度对风险进行理解。

1．损失可能性

风险是客观存在的发生损失的可能性，损失发生的可能性越大，风险越大。在实践中，很多工程项目的风险评估就是从这一角度出发，如江河防洪系统中的水灾风险评估，就是将工程在使用期间内失事的可能性定义为风险，认为失事的可能性越大，风险越大。

2．损失不确定性

风险是损失的不确定性，通常用概率作为风险衡量的指标。当概率在0到1／2之间时，随着概率增加，损失的不确定性也增加，风险也就越大。当概率为1／2时，损失的不确定性最大，风险最大。当概率在l／2至1之间，随着概率的增加，损失的不确定性减少，风险减少。当概率为0或1时，意味着事件肯定不发生或者肯定发生，损失的不确定性消失，风险无从可谈。

3．目标的不确定性

风险是实现某种目标的不确定性，这种不确定性既可能是风险，也可能是一种机遇或机会。这种观点在企业界较为普遍。因为，今天的企业面临的经营环境中，有许多因素都会给企业带来不确定性，如全球化、技术进步、法规变化、企业重组、多变的市场以及竞争等。不确定性来源于无法明确潜在事物将要发生的可能性及其相应结果，以及由此带来的对实现企业目标的影响。

COSO在其ERM框架中认为，事件是源于外部或内部、影响企业目标实现的事变。事件可以带来负面影响、积极影响或两者皆而有之。带有负面影响的事件代表着风险。因此，风险的定义是：风险是某个事件将出现并严重影响目标实现的可能性。澳新标准认为，风险是一些事件发生并对其目标有一定影响的机会。并且认为，风险往往被解释成可能偏离其结果的一种事件或情况，风险通过一系列事件及其可能性的后果来衡量，风险的影响包括积极和消极两个方面。国资委在其“指引”中规定：本指引所称企业风险，指未来的不确定性对企业实现其经营目标的影响。这些风险的定义主要区别在于：在COSO的ERM中强调风险是负面影响的事件，而带有积极影响的事件则代表着机遇。而在澳新标准和国资委“指引”中，均认为风险的影响包括正面和负面两个方面。因此，风险的定义可以表述为：未来的不确定性对企业实现其目标的影响。P6-7

风险管理是识别、评价与控制风险的活动。当今世界变化多端，风险无处不在。只有掌握风险管理的理论与方法，才能为组织认识价值和创造价值。

作者杜杰先生就职于国际知名的德勤会计师事务所，作为为企业风险管理提供服务的专业人士，他拥有系统的风险管理理论知识和丰富的风险管理实践经验。作者为我们奉献的《风险管理智慧》一书，既构建了全新的企业风险管理理论框架，解析了企业风险管理的操作程序，又向读者介绍了国际诸多领先企业在风险管理方面的最佳实践，给出了实务中如何操作的清晰意见。通读全书，纲目分明，语言流畅。很显然，这是一部内容丰富、操作性强的新作，实为企业风险管理人员的必备之书。

如果说杜杰先生的处女作《创造价值的会计与财务》形成了创造价值的现代财务观，那么《风险管理智慧》一书，则形成了通过风险管理创造价值的智慧和理念。今见《风险管理智慧》的问世，不胜欣喜，而乐为序。

詹姆斯·林先生在其著作《企业全面风险管理——从激励到控制》中，大胆地预测了下一个十年风险管理的发展趋势，包括：

◇企业风险管理(ERM)将成为风险管理的行业标准。

◇风险总监职位在风险密集的各个企业中将会普及。

◇审计委员会将演化为风险管理委员会。

◇经济资本将流行，风险价值将出局。

◇风险转移将在企业整体水平上实施。

◇先进的技术将对风险管理产生深刻的影响。

◇对于营运风险将出现一个计量标准。

◇按市价计价会计将会成为财务报告的基础。

◇风险教育将成为公司训练和大学金融课程的一部分。

◇风险专业管理人员之间的薪水差距将会继续变大。

借助这些预测可以发现，除了目前与国外领先企业的差距外，我国企业的风险管理还有很长的路要走。而非常简单的是，不需要担心存在如此大的差距，并花费大量的时间来论证该不该实施风险管理，而是立即动手：以加强内部控制为起点，深化合规风险管理为试点，逐步展开全面风险管理。  

1．以加强内部控制为起点

SOX法案的核心在于促进企业完善内部控制，加强信息向公众披露的质量和透明度，并对公司管理层提出了明确的责任要求。尤其是该法案的第404节，要求所有在SEC备案的公司，包括在美国注册的上市公司和在外国注册而于美国上市的公司，企业的管理层需要对内部控制系统的有效性进行报告。

受其影响，管理层需要投入大量的时间和资源建立健全内部控制系统，以确保公司内部控制系统的合规性。然而，更深层次的影响来源于对公司董事会和管理层的巨大挑战：

◇SOX法案大大地改变了在美国上市公司的商业环境。对公司管理和内部控制的强制性关注，使公司内各个阶层都涉及一定的程序中并承担一定的责任，而且，该法案很有可能对今后数十年的商业习惯产生影响。

◇在法案遵循的第一年，有关各方忙于迎合法规的要求。然而，在接下来的年度里，企业如何设计出持续的遵循框架，形成最佳的内部控制治理结构，来帮助企业开发更加合理和有效的程序并减少总体的遵循成本则非常重要。  

◇同时，SOX法案还将影响到公司的各项管理行为，公司的会计和财务、内部审计、风险管理、人力资源政策和程序、公司治理等诸多方面，均将面临在萨班斯一奥克斯利时代的最优化选择问题。

可见。以立法的形式来要求企业加强其内部控制，其影响和意义是深远的。但是，与之相比较，我国企业的内部控制体系建设尚存在许多差距：尽管已经颁发了若干内控规范和指引，如财政部内部会计控制规范、上交所、深交所内部控制指引等，但从整体上缺乏如COSO《内部控制——整体框架》那样的统一框架，也没有如SOX法案那样的法律强制性要求。而从我国企业的实际情况分析，企业内部控制建设的内容方面也存在许多的不足：过分关注如何达到财务报告目标的要求，忽视内部控制的经营目标和满足法律法规要求的目标，并受限于会计控制；在内部控制的整体结构上，重视业务层面控制，忽略公司层面和信息系统层面的控制；缺乏完整的内部控制文档，以及对主要业务环节控制的全面分析；内部控制按传统的职能部门开展，缺乏流程观，内部控制不系统化；缺乏正式的内部控制测试方法，管理层内控报告依据不充分等。

正如COSO在其ERM框架中所指出的那样，内部控制是企业风险管理必不可少的一部分，风险管理框架建立在内部控制框架的基础上。我国企业要加强风险管理，首先须从内部控制人手，借鉴SOX法案对内部控制的要求，有力地推动企业自身的内部控制体系建设。

2．深化合规性风险管理

风险管理的全面实施可能存在难度，但选择某类风险进行试点，积累经验之后再逐步推行，不失为一种行之有效的策略。

每个企业由于所处发展阶段不同，面临的关键风险也存在差异。有的企业是战略风险问题，有的企业是经营风险问题，也有企业是财务风险问题。但是，我国企业目前普遍面临的最大风险问题则可能是法律法规的遵循问题，也就是合规性风险。它主要的内容是由于企业无法满足法律、法规、规则要求，也没有遵循自己制定的标准，以及运作的行为准则，而造成企业面临着财务损失的风险。究其原因，主要体现在以下两个方面：

第一，常见的是有“规”不“循”。比如中国航油(新加坡)股份有限公司就是典型的实例——其《风险管理手册》由某国际著名会计师事务所制定，与其他国际石油公司操作规定基本一致。中航油(新加坡)内部设有风险管理委员会。每名交易员亏损20万美元时必须向风险管理委员会汇报；亏损37．5万美元向CEO汇报；亏损50万美元时，必须斩仓。但是，这些制度却没有执行，最终导致企业濒临破产。……

风险指可以确定其结果的概率的情况下，能通过保险来转移；而不确定性则指其客观概率完全不可知的情况。即使在长期均衡中，企业家也会因为承担不确定性而获得作为回报的利润。

——（美）弗兰克 H.奈特 美国经济学家，20世纪最伟大的经济学家之

从长期来看，那些有效管理企业现有资产风险以及未来成长风险的公司必将强于那些未能有效管理风险的企业

——（美）瑞克?方司通 德勤全球治理与风险管理领域的领导者