李素鹏
安达风控研究中心主任，长期从事风险管理和内部控制的理论研究和实践探索，累计为百余家企事业单位在风险管理和内部控制方面提供了有针对性的咨询或培训服务。
著有《ISO风险管理标准全解》等书籍。微信号RM-IC-audit，微信公众号risk-doctor。

内部控制,风险管理,风控建设,企业管理,风险识别,风险评估,风控手册,精细化管理

第 一章企业内部控制理论与规范 / 1
第　一节 企业为什么要实施内部控制 /　2
一、　企业实施内部控制的根本原因/2
二、　内部控制给企业带来哪些价值/2
第二节　1992 版 COSO《内部控制——整合框架》 /　3
一、　为什么还要讲 1992 版 COSO《内部控制——整合框架》/3
二、　内控框架的主要内容/5
三、　内部控制的定义和目标/6
四、　内部控制要素/6
五、　内控框架的意义/9
六、　内部控制与企业管理之间的关系/9
第三节　美国萨班斯法案 /　10
一、　萨班斯法案产生的背景/10
二、　萨班斯法案的主要内容/11
三、　萨班斯法案中关于加强内部控制的主要条款/12
四、　萨班斯法案的实施情况/14
第四节　2004 版 COSO《企业风险管理——整合框架》 /　14
一、　COSO 为何开发《企业风险管理——整合框架》/14
二、　风险管理框架的模型/15
三、　风险管理框架的要素/16
第五节　2013 版 COSO《内部控制——整合框架》 /　18
一、　COSO 为什么要修订《内部控制——整合框架》/18
二、　新框架的模型/19
三、　新框架的主要内容/20
四、　被保留的内容/24
五、　被更新的内容/25
第六节　中国企业内部控制法规体系 /　26
一、　中国企业内部控制法规体系简介/26
二、　《企业内部控制基本规范》的主要内容/27
三、　企业内部控制应用指引/30
四、　企业内部控制评价指引/32
第七节　内部控制的局限性 /　32
一、　内部控制能做什么/32
二、　内部控制局限性的具体表现形式/33
第二章　风险管理标准与指引 /　37
第　一节 2017 版 COSO 风险管理框架 /　38
一、　新版 COSO 风险管理框架的由来/38
二、　新版风险管理框架视图/38
三、　新版风险管理框架要素/39
四、　新版风险管理框架的特点/43
五、　新版风险管理框架的主要变化/45
第二节　ISO 风险管理标准 /　46
一、　ISO 风险管理标准简介/46
二、　ISO31000：2009/46
三、　ISO31000：2018/50
第三节　我国《中央企业全面风险管理指引》 /　53
一、　国务院国资委发布风险管理指引的目的/53
二、　国务院国资委对企业风险管理的定义/54
三、　国务院国资委对风险管理基本流程的定义/54
四、　国务院国资委定义的风险管理三道防线/55
第二章选择合适的标准整合风控体系　/　57
第　一节 风险管理与内部控制的关系 /　58
一、　何为风控体系/58
二、　内部控制是风险管理的一种手段/58
第二节　不同风控标准之间的比较 /　59
一、　风控标准和指南一览/59
二、　旧风控标准之间的比较/61
三、　新风控标准之间的比较/62
第三节　风险管理与内部控制的整合思路 /　63
一、　为什么要整合风险管理与内部控制/63
二、　满足外部监管的要求/64
三、　满足自身发展的需要/66
第四节　风险管理与内部控制整合的实践经验 /　67
一、　国有企业的实践/67
二、　民营企业的实践/68
三、　在美国上市的国企的风控体系整合实践/69
四、　风控体系整合的经验体会/69
第五节　合规管理指引 /　70
一、　国务院国资委发布合规指引的背景/70
二、　国务院国资委对合规的定义/71
三、　建立合规管理体系的原则/71
四、　合规管理的重点内容/72
五、　如何运行合规管理/74
六、　如何保障合规管理落到实处/75
第六节　把合规管理整合入风控体系 /　76
一、　把合规管理整合入风控体系的思路/76
二、　把合规管理整合入风控体系的实践经验/77
第四章　风控体系建设准备工作 /　79
第　一节 建立风控组织职能体系 /　80
一、　在风控治理结构方面的设计/80
二、　风控的三道防线/82
三、　专职风控部门的职能提升/86
第二节　选择风控体系的建设模式 /　88
一、　以咨询机构为主的模式/88
二、　以自身力量为主的模式/89
三、　独立自建的模式/89
四、　选择适合自身的建设模式/90
第三节　组建风控项目团队 /　90
一、　设立风控项目办公室/91
二、　成立项目组/91
三、　明确项目沟通机制/93
第四节　风控工作总体策划 /　93
一、　总体规划，分步实施/93
二、　突出重点，讲求实效/94
三、　难点问题解析/95
第五节　调研分析 /　97
第六节　制定项目计划 /　98
第七节　召开项目启动会 /　99
一、　谁应该出席项目启动会/99
二、　项目启动会应该做哪些事情/100
第五章　收集风控信息 /　103
第　一节 搭建风控信息框架 /　104
一、　按企业内外部信息分类搭建风控信息框架/104
二、　按国资委推荐的风险分类搭建风控信息框架/105
第二节　收集企业外部风控信息 /　107
一、　收集哪些外部风险信息/107
二、　如何收集外部风险信息/107
第三节　收集公司层面的风控信息 /　108
一、　公司总体层面的信息/108
二、　专项信息/109
第四节　收集业务层面的风控信息 /　110
一、　筹资业务活动信息收集/111
二、　采购业务活动信息收集/112
三、　销售业务活动信息收集/113
第五节　按国务院国资委推荐的框架收集信息 /　114
一、　国务院国资委推荐的风险信息框架/114
二、　从哪些方面收集战略风险相关的信息/115
三、　从哪些方面收集财务风险相关的信息/116
四、　从哪些方面收集市场风险相关的信息/116
五、　从哪些方面收集运营风险相关的信息/117
六、　从哪些方面收集法律风险相关的信息/117
第六节　信息收集的方式和注意事项 /　118
一、　信息收集的方式/118
二、　信息收集的注意事项/119
第六章　进行风险识别 /　121
第　一节 风险识别概述 /　122
一、　什么是风险识别/122
二、　风险识别的具体工作内容/123
第二节　风险识别的操作过程 /　125
一、　风险识别过程概述/125
二、　研究企业目标/126
三、　确定风险识别的对象和范围/126
四、　确定风险识别方法/126
五、　收集风险信息/127
六、　确认和描述风险/127
第三节　常用的风险识别方法 /　128
一、　头脑风暴法/128
二、　访谈法/130
三、　问卷调查法/132
四、　流程分析法/133
五、　历史数据推演法/135
第四节　风险识别的输出成果 /　136
一、　风险识别可以输出哪些成果/137
二、　风险列表（风险清单）/138
三、　风险库/139
四、　风险目录/141
五、　风险分类模式/142
六、　风险分类举例/143
七、　风险分类调整/144
第五节　风险识别实战案例 /　146
一、　收集信息/146
二、　发现风险/147
三、　确认风险/147
四、　描述风险/147
第七章　开展风险评估 /　149
第　一节 风险评估概述 /　150
一、　什么是风险评估/150
二、　为什么要实施风险评估/151
三、　风险评估具体要做什么/151
四、　什么时候开展风险评估/152
五、　谁负责实施风险评估/152
六、　风险评估是否都要定量/153
第二节　风险评估的详细过程 /　155
一、　风险评估六步骤/155
二、　分析根本原因/157
三、　评估现有控制措施/157
四、　分析风险后果的严重程度/158
五、　分析风险发生的可能性/159
六、　确定风险的大小/161
七、　确定风险的重要性等级/161
八、　绘制风险热力图/162
第三节　风险评估的常用方法 /　163
一、　问卷调查法/164
二、　鱼骨图法/165
三、　风险矩阵法/166
四、　不同风险评估方法的适用场景/168
第四节　风险评估的注意事项 /　169
一、　相关资料的归档/169
二、　不确定性及敏感性/170
三、　对风险评估的监督/170
四、　选择风险评估技术的影响因素/171
第五节　风险评估实战案例 /　173
一、　确定风险准则/174
二、　对 CTO 离职风险实施评估/175
三、　确定 CTO 离职风险的等级/175
第六节　风险评估报告示例 /　176
第八章　风险预警 /　179
第　一节 风险预警概述 /　180
一、　风险预警的概念/180
二、　风险预警系统的特点/181
三、　风险预警的作用/182
第二节　建立风险预警系统 /　182
一、　风险预警系统建设路径/183
二、　预警指标数据收集与分析/184
三、　预警事项发布和应对处理/184
四、　风险预警信息系统示例/185
第三节　建立关键风险指标体系 /　186
一、　关键风险指标体系概述/186
二、　如何建立关键风险指标体系/187
三、　关键风险指标体系举例/188
四、　确定风险指标预警阈值/189
五、　关键风险指标的拓展应用/190
六、　建立关键风险指标库/191
第四节　建立风险预警配套机制 /　191
一、　建立风险预警提示机制/192
二、　建立风险触警响应机制/192
三、　建立风险预警指标体系闭环管理机制/193
四、　建立风险预警组织流程管理机制/193
五、　建立风险预警专业团队管理机制/194
第九章　风险应对 /　195
第　一节 风险应对概述 /　196
第二节　风险应对的操作过程 /　197
一、　风险应对操作过程四个步骤/197
二、　对风险应对有效性的评估/198
第三节　风险应对策略 /　200
一、　风险规避/200
二、　风险接受/200
三、　风险转移/201
四、　风险转换/201
五、　风险对冲/202
六、　风险控制/202
七、　如何利用内部控制降低风险/202
八、　风险应对策略的优先顺序/203
九、　影响风险应对策略选择的主要因素/205
第四节　风险应对方案与计划 /　206
一、　制定风险应对方案/206
二、　制定风险应对计划/207
三、　实施过程中的计划调整/207
四、　项目风险应对计划举例/208
第五节　通过内部控制来应对企业日常风险 /　208
一、　组织机构控制/209
二、　授权审批控制/209
三、　会计系统控制/210
四、　全面预算控制/211
五、　财产保全控制/211
六、　人力资源控制/212
七、　内部报告控制/212
八、　信息系统控制/213
第六节　风险应对实战案例 /　213
第十章　流程体系建设 /　215
第　一节 流程概述 /　216
一、　流程是什么/216
二、　流程图/217
三、　企业为什么一定要流程化/219
第二节　流程建设 /　220
一、　制定建设方案/220
二、　设计流程体系/221
三、　运行流程/225
四、　流程建设的注意事项/226
第三节　流程管理 /　228
一、　明确流程管理机构/229
二、　流程梳理/230
三、　流程信息化/231
第四节　流程与内部控制的关系 /　232
一、　流程是内部控制体系建设的基础/232
二、　流程是内部控制制度的载体/232
三、　流程优化对组织架构优化有促进作用/232
第五节　流程示例 /　233
一、　用文字描述流程/233
二、　用逻辑图描述流程/234
三、　泳道式流程图/237
第十一章　制度体系建设 /　239
第　一节 内部控制的主要工作内容 /　240
一、　明确权限/241
二、　梳理流程/241
三、　完善制度/241
四、　内部控制体系/242
第二节　制度体系建设概述 /　243
一、　制度体系是什么/243
二、　制度的特点/243
三、　制度建设与内部控制的关系/244
四、　为什么要建制度体系/244
第三节　制度体系的层级 /　246
一、　公司制度体系/246
二、　公司制度体系举例/247
三、　风控制度体系/248
第四节　制度的制定和优化 /　251
一、　如何制定规章制度/251
二、　制度体系梳理和优化的流程/253
三、　收集和整理制度/254
四、　对制度进行分类/254
五、　对制度的分析和优化/255
第五节　对制度的管理 /　256
一、　制度的全生命周期管理/256
二、　制度管理的主要风险/257
三、　制度管理风险的应对措施/258
第十二章　编制风控手册 /　259
第　一节 风险管理手册 /　260
第二节　内部控制手册 /　262
一、　内部控制手册的基本要素/262
二、　内部控制手册的基本格式/265
三、　内部控制手册实例（目录）/268
四、　风控矩阵/269
五、　集团型企业的内部控制手册/271
第三节　企业风控手册 /　273
一、　满足监管的模板/273
二、　升级版风控手册/278
第四节　宣贯落实风控手册 /　279
一、　强化风控培训宣传/280
二、　落实风控工作职责/280
三、　建立风控考核机制/280
第十三章　内控评价报告 /　281
第　一节 内部控制评价概述 /　282
一、　什么是内部控制评价/282
二、　内部控制评价模式/283
三、　内部控制评价组织职能体系/284
第二节　内部控制评价程序 /　284
一、　内部控制评价程序概述/284
二、　成立内部控制评价工作组/285
三、　制定评价工作方案和计划/286
四、　准备评价用的资料清单/288
五、　实施评价/289
六、　内部控制缺陷认定/293
七、　内部控制措施评价结果/297
八、　整改与持续改进/298
九、　内部控制成熟度评价/298
第三节　内部控制评价方法 /　300
一、　个别访谈法/300
二、　问卷调查法/300
三、　标杆法/301
四、　穿行测试法/301
五、　抽样法/301
六、　实地查验法/301
七、　重新执行法/301
八、　专题讨论会法/302
第四节　内部控制评价工作底稿 /　302
一、　编制内部控制评价工作底稿的依据/302
二、　内部控制评价工作底稿样例/302
三、　内部控制的工作底稿/304
第五节　内部控制评价报告示例 /　305
第十四章　风险管理报告 /　315
第　一节 风险管理报告的相关事项 /　316
一、　风险管理报告的要素/316
二、　风险管理组织体系/316
三、　风险管理报告制度/317
四、　风险管理报告的基本编制程序/318
五、　风险管理报告的披露/319
第二节　年度风险管理报告模板 /　319
第三节　回顾本年度企业全面风险管理工作 /　320
一、　本年度风险管理工作总体情况/321
二、　本年度风险管理工作的亮点/322
三、　本年度发生的重大风险事件/324
第四节　研判下一年企业重大风险 /　324
第五节　安排下一年企业全面风险管理工作 /　326
第六节　年度风险管理报告示例 /　327
第七节　2020 年风控工作报告新模板 /　332
第八节　中小民营企业风险管理报告 /　336
第十五章　风控信息化 /　339
第　一节 风控信息化概述 /　340
一、　什么是风控信息化/340
二、　风控信息化是监管要求/341
三、　风控信息化是企业风控工作的迫切需要/342
四、　风控信息系统要具备哪些基本功能/342
五、　利用风控信息系统实现持续性监督/343
第二节　风控信息化建设的三个阶段 /　344
一、　第 一阶段实现风控工作信息化/344
二、　第二阶段实现风险预警自动化/344
三、　第三阶段实现业务风控一体化/345
第三节　风控信息化的六项基础工作 /　345
一、　环境基础/346
二、　组织架构基础/346
三、　业务流程及岗位职责基础/346
四、　表单基础/347
五、　数据基础和数据标准/347
六、　风险指标监控模型/348
第四节　风控软件市场情况 /　348
一、　风控软件概述/348
二、　风控软件功能比较/349
三、　风控软件应用状况/349
第五节　SAP GRC 系统展示 /　350
一、　风险管理模块/350
二、　流程控制模块/353
三、　访问控制模块/356
后　记 /　359

风控体系就像万丈高楼的地基，好的风控体系能够确保企业持续、健康、稳定的发展，保障战略目标的实现。2019年12月31日，国务院国资委下发了《关于2020年中央企业内部控制体系建设与监督工作有关事项的通知》，要求各中央企业要以“强内控、防风险、促合规”为目标，进一步整合优化内控、风险管理和合规管理监督工作，按一体化要求编制 2019 年度内控体系工作报告。企业风控体系建设势在必行。
作者是国家人社部风险评估专业人员职业培训证书首席研发专家，中国内部审计协会外聘讲师。长期致力于风险管理、内控合规等领域的理论研究和实践探索，拥有十余年风控建设实战经验。
根据2019年12月发布的内部控制相关要求编写。在书中，作者对风险管理和内部控制的近期政策进行了分析，对相关规范进行了解读， 也对COSO 和 ISO 在风险管理和内部控制方面的最新标准做了深入浅出的诠释，以帮助从业人员在日常工作中规避相关风险。
风控建设必读工具书。详细介绍了风控体系建设的各个环节，具体包括风控项目启动→风控初始信息收集→风险识别→风险评估→风险预警→风险应对→建立流程→优化制度→编写风控手册→编写内控评价报告→编写风险管理报告→风控信息化等内容。
书中底稿、流程、图表、模板、案例应有尽有，囊括了154张大型实战图表及模板，从业者可以拿来即用，提升工作效率。
随书附赠60分钟音频资源，读者扫码即可获取。本书作者对企业内控建设的必要性和内控信息化做了解读，供从业者学习和探讨。

企业在成长和发展的过程中，一定会面临各种各样的已知或未知的风险。如果企业不知道自己可能会遇到什么风险，那怎么成长又如何发展？风控体系就像万丈高楼的地基，好的风控体系能够确保企业持续、健康、稳定的发展，保障战略目标的实现。所以企业要在日常运营中建设好自己的风控体系。
《企业风控体系建设全流程操作指南 规范讲解 流程分解 操作实务 案例解析》作者一直服务在企业风控体系建设和风控人才培训的第一线，不仅对风控理论有全面、深厚的理解，而且对风控实践也积累了丰富的经验。《企业风控体系建设全流程操作指南 规范讲解 流程分解 操作实务 案例解析》基于新的风控标准和新的监管规定，从咨询师的角度对风控体系建设的全过程进行了详细的分解和描述，重点关注思路和方法，并通过大量图表展示了企业风控体系建设的重点和难点，为企业建立既满足监管要求又符合企业自身发展实际需要的风控体系提供了指南。
《企业风控体系建设全流程操作指南 规范讲解 流程分解 操作实务 案例解析》适合企业管理者，企业风险管理、内部控制负责人，高等院校相关专业师生，以及对企业风控体系建设感兴趣的读者阅读和使用。