本书对国际标准化组织（ISO）和美国反欺诈财务报告委员会（COSO）发布的最新的理论成果——新版《风险管理指南》国际标准、新版《企业风险管理——整合框架》以及更新版《内部控制——整合框架》做了最新解读，从企业的使命、愿景入手，提出了基于企业核心价值创造活动自上而下的风险管理工作方法，协助企业更好的在不确定环境下实现战略和经营目标；更加注重风险管理工作对组织价值创造和保护两个方面的作用，突出强调了将风险管理活动整合融入各类管理活动的重要性，为企业在当下不确定环境下管理风险提供了最新指南和参考。本书旨在更好地把最新的风险管理和控制理念和要素融入中国的企业管理文化中去，在当下充满挑战的环境下帮助我们在大变局时代更好的取得先机、争创世界一流。

孙友文，ISO国际风险管理标准委员会中国委员、全国风险管理技术标准委员会副主任、中央财经大学研究生客座导师、达信风险咨询中国区CEO、“大风控”公众号创始人。中国企业风险管理与内部控制理论研究和实践的知名专家，企业“大风控”理念的提出者和推广者，在企业风险管理领域耕耘多年，拥有深厚的风险管理理论基础和丰富的实践经验，对国有企业风控体系发展及演变有深刻见解。曾多次代表中国参加国际风险管理会议，传播基于中国实践的风险管理理念，坚持“走出去”“引进来”并重，主持编译了《企业风险管理全球最佳实践与案例精选》等多本著作。其创立的“大风控”公众号上发表了数百篇原创观点文章，已成为企业风险管理领域重要的自媒体平台，系统地介绍了COSO和ISO等组织发布的最新理论成果以及基于中国实践的观点和思考，在中国风险管理学术界和企业实践领域享有很高的声誉。

第一部分 COSO最新企业风险管理框架解读
第1篇 COSO新版企业风险管理框架全文总览
第2篇 面向更加融合的管理体系——COSO新版企业风险管理框架全文解读（一）
第3篇 风险和风险管理的新定义——COSO新版企业风险管理框架全文解读（二）
第4篇 融入战略、目标和绩效——COSO新版企业风险管理框架全文解读（三）
第5篇 新版框架就是全面风险管理？——COSO新版企业风险管理框架全文解读（四）
第6篇 5要素与20项原则详解——COSO新版企业风险管理框架全文解读（五）
第7篇 治理与文化要素——COSO新版企业风险管理框架全文解读（六）
第8篇 战略和目标设定要素——COSO新版企业风险管理框架全文解读（七）
第9篇 运行要素——COSO新版企业风险管理框架全文解读（八）
第10篇 审阅和修订要素——COSO新版企业风险管理框架全文解读（九）
第11篇 信息、沟通和报告要素——COSO新版企业风险管理框架全文解读（十）
第12篇 详解十大变化与五大误解——COSO新版企业风险管理框架全文解读（十一）
第13篇 COSO新框架为什么推迟了一年才发布？——COSO新版企业风险管理框架全文解读（十二）
第14篇 风险管理“三道防线”含义已变！——COSO新版企业风险管理框架全文解读（十三）
第15篇 什么是风险绩效曲线？——COSO新版企业风险管理框架全文解读（十四）
第二部分 COSO新版企业内部控制框架解读
第1篇 一本被忽略的内控经典——新版COSO内部控制整合框架
第2篇 内部控制的定义——COSO新版内控框架解读（一）
第3篇 内部控制的目标、要素及原则——COSO新版内部控制框架解读（二）
第4篇 如何定义内部控制的有效性——COSO新版内部控制框架解读（三）
第5篇 内部控制体系的一些额外考虑事项——COSO新版内部控制框架解读（四）
第6篇 如果控制环境出了问题，再完善的内控体系都没用——COSO新版内部控制框架解读（五）
第7篇 内部控制里的风险和风险管理的风险是一回事吗？——COSO新版内部控制框架解读（六）
第8篇 控制活动是内部控制的主体——COSO新版内部控制框架解读（七）
第9篇 信息是消除不确定性的强力武器——COSO新版内部控制框架解读（八）
第10篇 内部控制始于对监督权的追求——COSO新版内部控制框架解读（九）
第11篇 内部控制不是万能的！——COSO新版内部控制框架解读（十）
第12篇 如何利用三道防线模型，使内部控制体系在企业落地——COSO新版内部控制框架解读（十一）
第三部分 ISO 31000最新风险管理标准解读
第1篇 ISO 31000：2018版风险管理指南全文总览
第2篇 2017《风险管理原则与指南》送审版解读
第3篇 风险管理应该自上而下——ISO 31000:2018风险管理指南系列解读（一）
第4篇 风险管理与企业管理不是“两张皮”——ISO 31000:2018风险管理指南系列解读（二）
第5篇 领导层的重视是前提——ISO 31000:2018风险管理指南系列解读（三）
第6篇 风险管理基本流程具有普适性——ISO 31000:2018风险管理指南系列解读（四）
第四部分 企业风险管理与内控理论实践与思考
第1篇 用PDCA来解构COSO和ISO最新风险管理框架
第2篇 超越COSO和ISO，一文读懂风险管理和企业管理的整合
第3篇 中国企业如何实施COSO新版风险管理框架的思考与建议
第4篇 30年风险管理标准化之路，一文读透ISO 31000的前世今生
第5篇 从COSO企业风险管理框架演变看企业风险管理工作的定位
第6篇 风险评估工作的现状、问题和思考
第7篇 一文读懂企业内部控制的前世今生
第8篇 细数风险管理与内部控制的八大不同
第9篇 为什么说战略和目标设定不属于内部控制范畴
第10篇 内部控制中的“风险”和风险管理中的“风险”有何异同
第11篇 不相容岗位分离，所有中国企业都要补的基本功
参考文献

历时三年的“新冠肺炎疫
情”对全球任何一个国家来
讲都是一场前所未有的考验
，这场疫情注定将会成为进
入21世纪以后社会发展的一
个分水岭，前疫情时代与后
疫情时代由此出现。
前疫情时代，虽然社会
发展过程中偶有风浪扰动，
但总体上还算在既定轨道上
前行，发展的确定性和可预
测性较高。后疫情时代，风
险并没有跟随着疫情一并消
退，错综复杂的风险环境反
而愈演愈烈，地缘政治、区
域战争、贸易制裁、极端气
候、通货膨胀……各类事件
不确定性极高、可预测性极
差，我们仿佛再也回不到那
个“平静”的前疫情时代了。
企业要想在后疫情时代
的环境中生存和发展，组织
的韧性及抗风险能力将会成
为其核心竞争力。风险的话
题从来没有像今天这样引人
注目，好像我们每时每刻都
沉浸在遍布“黑天鹅”“灰犀
牛”的环境中，而这种遍布
风险的环境，会帮助具备卓
越风险驾驭能力的企业淘汰
掉不合格的竞争对手。
虽然管理风险有时不只
是门技术，更是一门艺术，
但打好扎实的技术功底、掌
握最新的理论趋势可以为更
好地管理风险打下基础。
近几年，作为引领风险
管理理论发展最具影响力的
两大组织——国际标准化组
织（ISO）和美国反欺诈财
务报告委员会（COSO），
均发布了最新的理论成果，
为企业在当下不确定环境下
的管理风险提供了最新指南
和参考。
2017年9月，COSO发布
了具有革命意义的新版《企
业风险管理——整合框架》
，从企业的使命、愿景入手
，提出了基于企业核心价值
创造活动自上而下的风险管
理工作方法，协助企业更好
地在不确定环境下实现战略
和经营目标。
2018年2月，ISO发布了
新版《风险管理——指南》
国际标准，更加注重风险管
理工作对组织价值创造和保
护两个方面的作用，突出强
调了将风险管理活动整合融
入各类管理活动的重要性。
风险的本质是不确定性
，所以管理风险就是管理不
确定性，但管理不确定性的
基础是首先要提高组织本身
的确定性，那如何提高组织
的确定性？答案是建立完善
的内部控制体系。本书还介
绍了COSO在2013年更新的
《内部控制——整合框架》
的内容，这是一本被中国企
业界忽略的经典。
截至本书发行之日，本
书的部分内容还未发布官方
中文版文件，为了更好地把
最新的风险管理和控制理念
与要素融入中国的企业管理
文化中，我曾经在公众号大
风控上及时与全国的风控同
仁们分享了这些观点，获得
了广大同仁的支持和鼓励。
本书集合了我对以上三
个体系的最新解读，我坚信
这些理论在当下充满挑战的
环境下将给中国企业带来特
殊价值和意义，帮助我们在
大变局时代更好地取得先机
、争创世界一流。
孙友文
2023年4月