本书详细阐述了企业建设内部控制与风险管理的关注点和所应采取的主要措施，关注了国际最完美的COBIT理论框架，并与IT治理相结合，给出了内部控制与IT融合的完美解决之道，是国内最领先的企业内部控制与风险管理实务操作指南。

本书适用于公司董事、监事、高级管理人员、财务部门、审计部以及相关监管人员等。

本书图文并茂,脉络清晰,在三个“指引”的基础上，根据我国企业的实情，结合COSO最新的企业风险管理整合框架（ERM），对企业内控与风险管理体系设计进行全面阐述，重点突出实务操作。本书在关注ERM框架时指出：未来完善企业风险管理的同时，更要侧重对机会的把握，大胆提出“企业机构管理整合框架”，这是本书的一个创新之处。同时，本书关注了国际最完美的COBIT理论框架，并与IT治理相结合，给出了内部控制与IT融合的完美解决之道，本书可称之为国内领先的、权威的、全面的企业内部控制与风险管理实务操作指南。

本书分成三个部分，第1部分是本书的理论基础，全面解析了上海证券交易所、深圳证券交易所《上市公司内部控制指引》，国务院国资委《中央企业全面风险管理指引》，根据我国企业的实际情况，分析了构建内部控制与风险管理体系应注意，在结合COSO企业管理整合框架的基础上，给出了适合我国企业内部控制与风险管理体系的设计思路。

第2部分是内部控制与企业风险管理操作实务。

第3部分是IT治理与内部控制。

本书适用于公司董事、监事、高级管理人员、财务部门、审计部及其他职能部门的相关人士，大专院校、科研院所从事内部控制与风险管理专业的师生及研究人员，保荐人、外部审计师以及相关监管人员等。

第1部分 内部控制与企业风险管理框架

　第1章　我国的内部控制与企业风险管理

1．1　我国内部控制与企业风险管理的发展

1．2　上海证券交易所《上市公司内部控制指引》

1．3　深圳证券交易所《上市公司内部控制指引》

1．4　国务院国有资产监督管理委员会《中央企业全面风险管理指引》

 第2章　COSO内部控制与企业风险管理整合框架

2．1 COSO内部控制整合框架及发展

2．2 COSO企业风险管理整合框架

2．3 COSO内部控制与企业风险管理整合框架的比较

第2部分 内部控制与企业风险管理实务

　第3章　内部环境

3．1 风险管理理念和风险偏好

3．2　董事会／审计委员会与监事会

3．3　诚信与道德价值观

3．4　员工的胜任能力

3．5　组织结构

3．6　权力和职责的分配

3．7　人力资源政策

3．8　反舞弊

 第4章　目标设定

4．1 战略目标

4．2　经营目标

4．3　报告目标

4．4　合规目标

4．5　对应的主要文档性记录

 第5章　事项识别

5．1 关注要点

5．2　主要措施和程序

5．3　对应的主要文档性记录

 第6章　风险评估

6．1 关注要点

6．2　主要措施和程序

6．3 对应的主要文档性记录

 第7章 风险应对

7．1 关注要点

7．2 主要措施和程序

7．3 对应的主要文档性记录

 第8章 控制活动

8．1 控制活动的实施

8．2 销售与收款业务流程

8．3 采购与付款业务流程

8．4 生产管理业务流程

8．5 固定资产管理业务流程

8．6 货币资金管理业务流程

8．7 关联方交易业务流程

8．8 对外担保业务流程

8．9 投资管理业务流程

8．10 研发业务流程

8．11 人力资源业务流程

 第9章 信息与沟通

9．1 信息

9．2 沟通

9．3 信息系统总体控制

9．4 信息系统应用控制

9．5 信息披露

 第10章 监控

10．1 持续监督

10．2 单独评价

10．3 报告缺陷

 第11章 测试

11．1 测试人员的职责和权限

11．2 测试流程

11．3 测试方法

11．4 保存测试的工作底稿

第3部分 IT治理与内部控制

 第12章 IT治理与内部控制

12．1 治理的背景

12．2 IT治理的形成

12．3 IT治理要点

12．4 COBIT 4．0

12．5 COBIT 4．0的原理与框架

12．6 IT流程、IT治理、COS0、COBIT IT资源和COBIT信息特征的直接关系

12．7 COS0-COBIT-SOX

12．8 ITIL

12．9 BS7799／IS0／IEC17799

第4部分　附录

 附录A　上海证券交易所上市公司内部控制指引（2006-6-5）

 附录B　深圳证券交易所上市公司内部控制指引（2006-9-28）

 附录C　国务院国有资产监督管理委员会中央企业全面风险管理指引（2006-6-6）

 附录D　《萨班斯法案》（SOX）摘录（302、404、906）

参考文献

我国内部控制与企业风险管理的发展

20世纪90年代发生的安然、世通等事件在很大程度上与内部控制失灵有关，为此，美国国会推出了《萨班斯法案》，旨在从法律上加强在美国上市公司的内部控制建设和监控，以免企业陷入危机。美国的这一举措引起了国际社会对内部控制和风险管理的普遍关注，其他国家纷纷效仿，陆续建立起与内部控制及风险管理相关的制度。我国的资本市场从某种程度上落后于发达国家的资本市场，尤其是近几年，我国上市公司重大违法、违规事件频繁发生，这在相当程度上与国内内部控制建设缺失、风险管理落后有关，因此，健全内部控制机制，加强企业的风险管理水平，对于我国企业尤其是上市公司而言，已经显得十分迫切和必要。此外，建立和完善内部控制制度也有利于强化企业内部管理、提高工作效率、增加经营效益，是上市公司建立规范、高效的现代企业制度的内在要求。

显然，我国的监管当局已经充分意识到加强内部控制和企业风险管理建设的重要性。2005年10月，自证监会《关于提高上市公司质量意见》出台起，我国集中出台了一系列与内部控制和企业风险管理相关的制度。相比美国《萨班斯法案》的出台过程，我国关于内部控制建设和风险管理方面法规出台的密度和力度引世人瞩目。

2006年5月17日，中国证券监督管理委员会发布了《首次公开发行股票并上市管理办法》，该办法第29条规定“发行人的内部控制在所有重大方面是有效的，并由注册会计师出具了无保留结论的内部控制鉴证报告”。这是中国首次对上市公司内部控制提出具体的要求。

2006年6月5日，上海证券交易所(以下简称“上交所”)出台了《上市公司内部控制指引》，要求上市公司建立内部控制体系，并于2006年7月1日全面执行。

2006年6月6日，国务院国有资产监督管理委员会(以下简称“国资委”)发布了《中央企业全面风险管理指引》，文件强调：企业全面风险管理是一项十分重要的工作，关系到国有资产保值增值和企业持续、健康、稳定发展。为了指导企业开展全面风险管理工作，进一步提高企业管理水平，增强企业竞争力，促进企业稳步发展，要求结合企业实际情况执行风险管理指引。

2006年9月28日，继上交所和国资委之后，深圳证券交易所(以下简称“深交所”)也出台了《上市公司内部控制指引》，敦促上市公司建立健全公司内部控制制度，并于2007年7月1日起正式执行。

这些都是监管层对上市公司内部控制建设由提倡向明确要求转变的标志性事件。企业的内部控制机制和风险管理体系，是为满足企业生产经营管理的内在需要而产生的。上交所、深交所和国资委推出的一系列与内部控制和企业风险管理有关的指引，无疑给上市公司提供了具有操作性和实用性的指导，必将大力推动我国上市公司内部控制的健全和发展。

值得一提的是，上交所、深交所和国资委在相应的内部控制或风险管理的指引中都将董事会视为企业内部控制和风险管理的最高责任人，董事会要对内部控制和风险管理的最终执行情况负责。虽然目前国内大部分的上市公司都在一定程度上建有内部控制制度，并且设有审计委员会对重大事项进行审核，然而对于内部控制的实质很多人并不十分清晰，有相当一部分人将其视为是对董事会层面以下的经理层层面的约束。上交所、深交所和国资委将董事会置于内部控制和风险管理活动主导者的地位，打破了企业原来对于内部控制认识的局限性，有利于企业从战略决策的高度开展内部控制与风险管理建设工作。

事实上，企业内部控制与风险管理建设是一项十分复杂的系统工程。在美国上市的企业为满足美国《萨班斯法案》关于内部控制的要求，常常要耗费一年甚至几年的时间，且通常都是在中介机构的协助下进行的。监管当局显然已经意识到企业完善内部控制和风险管理的难度，并分别以不同的形式让上市公司做好实施内部控制和风险管理的预备工作，且在相应指引中建议企业在实施的过程中聘请中介机构协助。

可以预见，在未来的几年中，我国上市公司的内部控制和风险管理建设必将广泛展开并取得质的飞跃，同时也会带动众多非上市公司提升企业的内部控制和风险管理水平。P3-5

在一个充满不确定性的世界中，如何识别和控制风险成为企业生存与发展的重要一环，在很多情况下，往往决定了企业的成败。内部风险控制的疏漏导致1995年英国霸菱银行的破产、2001年美国安然公司的倒台和2002年世通公司的丑闻，促使全球的商界、金融界和政府重新审视风险控制的内部制度和外部环境。以美国的《萨班斯-奥克斯利法案》(Sarbanes-Oxley Actof 2002，以下简称《萨班斯法案》)为代表，世界各国经历了一波强化内部控制和监管的浪潮，企业对风险控制的重视程度显著提高，投入了大量的资源改造和完善内部控制的流程、操作、监督和评估。

《内部控制与企业风险管理实务操作指南》一书以美国COSO(Committee of Sponsoring Organization)委员会1992年发布的《内部控制整合框架》和2004年的《企业风险管理整合框架》为主线，全面介绍了企业内部控制的目标、要素、流程设计以及信息技术支持，既包含了内部控制的一般原则，也不乏操作的具体细节，可以作为企业经营管理者的一部手册性参考书籍。

如COSO委员会所陈述的，企业内部控制和风险管理的目标是提高经营效率，确保财务报告的可靠性，以及企业经营操作的合洳J生与合规性。看上去这些目标似乎有相互矛盾之处，例如为了增加利润而进入法律上的灰色地带．但如果企业追求的是盈利的长期可持续增长，这三个目标实际上是一个不可分割的整体。

企业追求经营效率，效率意味着利润的最大化，但长期利润的最大化需要与企业承担的风险相匹配。市场经济活动具有不确定性，要想获得利润。就必须承担风险。效率并不是单纯的利润最大化，而是收益和风险之间的最佳平衡，是在股东能够承受风险的约束下，尽可能地获取利润。至于第二个目标，可靠的财务报告既是管理层评估和控制企业风险的依据，也是外部投资者信心的基础，而外部投资者的信任与支持是企业长期发展的重要前提条件。与此相类似。坚持经营操作的合法与合规性，可能在短期内会限制企业的内外部机会，但同时也避免了过高的风险，对于企业的长期利润最大化是必不可少的。

关于内部控制与风险管理的8个因素(详见本书第2章)，我们希望强调的是公司文化的重要性。由于企业内部上下信息的不对称，管理层的评估与监控不可能是完美的，规章制度的执行总会出现有意和无意的偏差，从而将企业暴露在风险之下。具有高度风险意识以及高水准职业道德的员工是企业风险控制的根本保障，如何向员工传达诚信的理念，如何建立合规操作的企业文化．将规章制度转化为员工的自觉行动，是企业管理者所面临的一项挑战。

对于像中国这样的转型经济，企业内部控制与风险管理首先是一个体制问题，或者说是公司治理机制问题，风险控制的方法和技术当然很重要，但只是第二位的。在经济转型的过程中，因经济体制改革的落后以及政府职能的错位。管理层控制风险的激励不足。在激励机制没有到位之前，内部控制和风险管理的规章制度再完善，也有可能是形同虚设。以中国航空燃油进出口公司为例。前总经理陈久霖违规进行石油期货的交易，使国家遭受5．5亿美元的损失。主要的原因并非内部控制制度不健全，而是管理者的行为扭曲。这种行为扭曲并非单纯的道德水准和职业操守问题，国家股东既没有给管理者以控制风险的充分激励，也未能对管理者形成有效的约束和制衡，说到底，根子还是在政府所有制下公司治理的制度性虚弱。不是自己的资产，有谁会关注风险？政府所有制能否产生有效的公司治理？能否避免内部人控制？理论和实践都给出了不容乐观的回答。为了改善企业的风险管理，有必要进一步推动包括所有制在内的经济体制改革。

经济体制改革的滞后造成企业风险管理激励不足与政府部门过度监管的并存。出于风险控制和部门利益的考虑，政府部门日益繁琐的政策法规和行政审批，有可能干预企业的正常运行。企业发行股票和债券，政府要审批，理由为控制风险；金融类企业开发新产品和设立新的金融机构，政府也要审批，理由同样是为民众控制风险。企业的内部控制正变为外部控制，微观层面上的风险管理正呈现出宏观化的趋势。政府的干预增加了市场交易成本，有可能阻碍企业的产品和技术创新。

过度监管并非转型经济中的特有现象，美国的《萨班斯法案》通过前后，争议一直不断。政客们为了安抚在2000年科技泡沫破灭之中遭受惨重损失的投资者，讨好民众以捞取选票，将大公司和金融机构描绘成见利忘义的元凶，主张监管从严，处罚从重。作为那场“清理后院”运动的领头羊，纽约州大法官斯皮泽已成功当选纽约州州长，而《萨班斯法案》的后果则留给了企业和投资者去品味和消化。

《萨班斯法案》对上市公司的财务报表提出了几近苛刻的要求，极大地增加了独立的外部审计成本，以至于纽约交易所上市的一批中小公司无法承担这笔额外的费用，不得不中请摘牌退市。过度监管也使计划在美国上市的外国公司望而却步，转向伦敦等其他交易所，以降低融资成本。有人认为，该法案已降低了纽约作为国际金融中心的竞争力。

美国财政部最近在首都华盛顿召集了一次会议，会上美联储前任主席格林斯潘表示，安然和世通事件之后，美国公司的情况并不像一些人所说的那样严重，进行彻底检查的必要性是值得怀疑的(《亚洲华尔街日报》，2007年3月15日）。作为投资者的股神巴菲特也在会上提出质疑，“如果公司治理真的那么糟的话，为什么公司盈利这么好？”风险控制是有成本的，而这个成本最终将由纳税人和广大投资者承担。一味迎合社会舆论，不计成本地提高监管标准，将会伤害公众的利益。改善公司治理，强化企业内控的方向是正确的，关键的问题在于收益和成本的比较，诚如现任美国财政部长鲍尔森所总结的，“我们是否在投资者保护和市场竞争力之间实现了很好的平衡”。

企业的内部控制需要比较成本与风险降低所带来的收益，最优内部控制并不意味着将风险减少到零。同样，监管也是有成本的，并不是越严越好，需要在社会所获得的收益和社会必须承担的成本之间找到最佳的平衡点。

我一直关注美国《萨班斯法案》对中国企业的影响。2006年，法案的正式生效，标志着美国证券市场要从单纯的监管转向严格的过程控制。对于已进入全流通时代的中国资本市场来讲，众多上市公司也将面临同样的挑战。通过COSO与COBIT的中国化运用，实现企业内部控制机制和风险管理水平的全面升级，正是大家完成良性蜕变的历史机遇。因此，此书的出版，切准了一个独特的时代节点，非常符合企业实际需求！

——伊利集团董事长 潘刚

上市公司董事会和高层管理者应该建立风险管理意识，努力构建完善的内部控制体系，在公司内全面推进内部控制与企业风险管理。本书操作性极强，为上市公司构建内部控制体系、实行全面风险管理提供了较强的指导参考。

——柳工股份董事长 王晓华

本书基于国内监管当局对内部控制和风险管理的要求，并借鉴国际风险管理的框架，详细阐述了企业建设内部控制与风险管理的关注点和所应采取的主要措施，具有较强的借鉴意义。

——潍柴动力董事长 谭旭光