在过去十年时间里,我目睹了很多企业在开展风险管理和内部控制过程中取得成功,目睹了很多企业在这个过程中遭遇挫折,也目睹了风险管理和内部控制工作的内涵和范围的不断发展和演化。时至今日,很多企业管理者仍对风险内控的工作目标、对企业价值贡献缺乏正确认识,很多从业人员对风险内控的实际执行方法和具体实施步骤未能完全掌握。
基于此种考虑,本书对风险管理和内部控制的理论与实践进行了全方位的介绍,包括理论演进、国内外监管要求、风险识别、风险评估和应对、内部控制体系建设和评估、风险监控预警机制等,对公司层面和业务层面的各项风险及对应的内控措施等进行详细描述。
希望本书能够帮助读者全方面了解风险管理和内部控制工作开展的全过程,也希望从事风险内控工作实践的各位读者在书中找到可以遵循风险内控工作的详细步骤,从而对各企业推进风险内控工作有所裨益。
序 一
奠稳风险管理和内部控制的基石,
企业之舟才能扬帆远航
近年来,全球化和技术变迁正在不断改变着世界的政治格局和经济版图,企业面对的不确定因素不断增多,面对的风险也越来越复杂。波及全球的贸易战、金融危机以及时有发生的地区武装冲突、恐怖袭击、自然灾害、安全事故、环境污染等不仅给全球经济发展带来了巨大挑战,也直接威胁到企业的生存和发展。因此,企业开展风险管理和内部控制工作是顺应国际国内政治经济环境新变化的必然要求,也是现代企业实现健康稳定可持续发展的必要保障。
全球经济一体化的进程在很大程度上加剧了风险事件产生的影响,一个小的风险事件往往会打开一体化链条上的潘多拉之盒,形成多米诺骨牌效应,波及的方面和产生的连锁反应往往是很多国家和企业所始料未及的。这些都在客观上要求中国企业建立一套行之有效的风险管理和内部控制体系来抵御内外部的各种风险。
虽然中国企业经过了四十多年的发展,也经历了市场化和全球化的巨大考验,但中国企业的风险管理和内部控制工作依然处于初级发展阶段,与中国企业在全球化和世界经济中承担的角色还很不相称和匹配。未来企业开展风险管理和内部控制工作需要走出仅仅满足合规要求的禁锢,要择高处立,即这些工作要与企业整体战略密切结合,推动企业整体战略的实现,藉此实现企业的盈利目标和增加企业价值。风险管理要帮助企业管理者进行战略分析和提供决策选项,确保企业战略得到有效的执行。而内部控制是企业通过内部管控措施有效应对风险的重要手段,是企业综合能力的体现,也是企业竞争力的重要来源。
毫无疑问,以上这些变化和挑战要求企业管理者和学者从战略和创新发展的角度来审视风险管理和内部控制,并将两者与企业的整体战略、企业日常经营管理和业务流程密切融合,以便应对企业发展进程中不断出现的新的挑战。
本书的作者李健博士是我最优秀的博士生之一,具有很强的研究创新能力,严谨的治学态度和极强的进取精神,善于通过跨学科研究和理论实践相结合的方式实现学术上的突破。在《风险管理和内部控制理论与实践》的编写过程中,他融入了自己在世界五百强企业从事风险管理和内部控制工作多年积累的经验,结合理论研究的最新成果和行业内的最佳实践,阐述了风险管理和内部控制等各个方面,是一部不可多得的学术新作。该书有助于读者掌握风险管理和内部控制的游戏规则,了解企业开展风险内控工作的具体方法,提高风险管理和内部控制的理论和实践水平。
金占明
清华大学创新创业与战略系
教授 博士生导师
序 二
近十多年来,放眼全球,人们看到了大洋彼岸许多不良的公司治理和内部控制失效的事件,由此而引发的一系列的财务丑闻和舞弊案件以及国际金融危机,对企业和社会经济发展产生了巨大的破坏性影响。社会各界人士的口诛笔伐,促使美国监管部门出台了《萨班斯奥克斯利法案》等一系列的法律法规和标准,要求上市公司加强内部控制和完善公司治理。
现代内部控制是一种综合管理体系,包含着经营管理的精髓、理念和控制措施,是企业运营和各项管理工作的基础;企业风险管理强调治理和文化的上层建筑,支持企业使命、愿景和核心价值的实现。按照美国反虚假财务报告委员会发起人委员会(COSO)在2017年版企业风险管理整合框架中的最新解释,内部控制主要聚焦在企业的运营和对于相关法律法规的遵从性上,例如,企业需要关注与财务报告目标相关的舞弊风险、与合规目标相关的控制活动、与运营目标相关的持续及独立评估。风险管理则包括了管理风险的文化、能力和实践,更加强调风险与价值的相结合,突出价值创造而不只是防止损失。COSO一再强调,风险管理和内部控制两个框架是截然不同的,并提供不同的重点;它们不可相互取代,而是互补的关系。二者是公司治理不可缺少的两个组成部分。
在企业内部控制规范体系建设方面,我国政府监管部门充分利用了后发优势,在借鉴和吸收国际监管新理念,通过整合资源与合力攻坚,2008年5月和2010年4月,我国财政部、证监会、审计署、银监会和保监会五个部委联合制定和先后发布了《企业内部控制基本规范》和《企业内部控制配套指引》,构建了中国企业内部控制规范体系。
李健博士一直负责中国化工集团的风险管理和内部控制工作。近十年来,他全过程参与了其所在集团从风险控制体系建设、风险识别和评估、试点及推广项目,到全体系的内部控制评价检查工作,积累了丰富的实践经验,并具备了较全面的综合管理和协调能力。本书是李健博士近十年来在中国化工集团从事风险管理和内部控制工作的实践经验总结。作者结合国资委对中央企业全面风险管理的各项要求和财政部等五部委对企业贯彻落实内部控制规范体系的指引和规定,从风险管理和内部控制概述,风险内控体系建设,风险的识别、评估和应对,公司层面控制,业务层面控制,内部控制评价和风险内控信息化六个方面,详细论述了风险管理和内部控制从规划、实施、评价检查,以及整改和信息化的各个环节的重点内容,面临的主要风险和相应的控制措施,力图为企业开展风险管理和内部控制工作提供有效的指导。
企业建立和实施内部控制是一项专业性很强的工作,要求相关人员具备丰富的知识技能和充足的实践经验。本书的出版发行不仅为我国上市公司和国有企业的内部控制体系建设提供可供选择的实务操作指南和解决方案,而且可作为内部控制培训项目的适用辅导教材,有利于培养风险内控专业人才,促进企业内部控制体系建设紧密结合自身实际,实现控制目标和提升经营管理绩效。
张 玉
中国大陆首位高级国际注册内部控制师
中国职协企业内控师岗位培训项目资深顾问
2019年5月
李健
清华大学经管学院企业战略与创新系博士,瑞士圣加伦大学访问学者,国际注册内控师,高级经济师。2009年开始从事风险管理和内部控制工作,现任世界五百强企业风险管理和内部控制工作负责人。 负责风险内控体系搭建 、风险识别和评估 、试点及推广项目,以及全系统的内部控制评价检查工作;国际内部控制协会(ICI)中国总部高级顾问,对企业风险管理和内部控制都具有丰富的实践经验和较深的理论知识。
第一章 风险管理和内部控制概述
第一节 风险和风险管理
一、风险的概念
二、风险的分类
三、风险管理理论的演进
四、2017年版企业风险管理框架
第二节 内部控制
一、内部控制的概念
二、内部控制的重要性
三、内部控制的基本原则
四、内部控制发展历程
五、2013年版内部控制框架
六、内部控制局限性
第三节 风险管理、内部控制与合规管理
一、风险管理和内部控制的关系
二、风险管理、内部控制与合规管理的关系
三、风险管理、内部控制与内部审计的关系
四、风险管理、内部控制与业务的关系
第四节 风险管理和内部控制相关法规
一、安然事件
二、《萨班斯奥克斯利法案》简介
三、我国风险管理和内部控制规范的演进
四、《中央企业全面风险管理指引》主要内容
五、《企业内部控制基本规范》主要内容
六、《企业内部控制基本规范》应用指引主要内容
第五节 中国企业风险内控的现状和未来
一、中国企业内部控制现状
二、中国企业风险内控工作中存在的问题
三、中国企业风险内控的未来发展
第二章 风险内控体系建设
第一节 总体规划
一、前期分析调研
二、主要工作难点分析
三、实施原则
四、启动会
第二节 组织架构搭建
一、组织架构概述
二、风险内控组织架构
三、风险内控部门职责
四、对企业风险内控部门定位的思考
第三节 制度体系建设
一、制度的概述
二、风险内控制度体系构成
三、制度管理
第四节 风险内控手册编制
一、风险管理手册和内部控制手册概述
二、集团型企业内部控制手册类型
三、内部控制手册的展现形式
第三章
风险的识别、评估和应对
第一节 风险识别
一、风险识别的概念
二、风险识别的程序
第二节 风险评估
一、根本原因分析
二、风险发生的可能性
三、风险影响程度
四、风险评级
五、风险热力图
第三节 风险应对
一、风险偏好和风险承受度
二、风险应对策略
三、风险应对有效性评估
四、风险与创新
第四节 风险预警和关键风险指标
一、风险监控和风险预警概述
二、风险预警体系的建立
三、关键风险指标体系概述
四、关键风险指标体系建设路径
五、关键风险指标体系的拓展应用
第四章 公司层面控制
第一节 组织架构的内部控制
一、治理结构和内部机构
二、组织架构的责权分配
三、组织架构的内部控制
第二节 企业战略的内部控制
一、战略的概述
二、战略管理的理论研究
三、战略管理的内部控制
第三节 人力资源的内部控制
一、人力资源的引进与开发
二、人力资源的约束与激励
三、薪酬福利管理
四、人力资源的使用与退出
五、员工档案管理
第四节 社会责任的内部控制
一、安全生产
二、质量管理
三、节能环保
四、促进就业与员工权益保护
第五节 企业文化的内部控制
第五章
业务层面控制
第一节 资金管理的内部控制
一、筹资
二、资金营运
三、金融衍生业务
四、担保业务
第二节 投资管理的内部控制
一、投资方案与决策
二、投资执行
三、投资企业管理
四、投资后评价
第三节 采购业务的内部控制
一、采购计划
二、供应商管理
三、采购执行与验收
四、采购付款
五、业务外包
第四节 生产管理的内部控制
一、生产计划
二、生产运行
三、生产监督
四、生产成本
第五节 存货管理的内部控制
一、入库管理
二、库存管理
三、出库管理
四、存货处置
五、物流运输
第六节 销售业务的内部控制
一、销售计划
二、客户管理
三、销售定价
四、销售渠道管理
五、收款管理
六、客户服务
第七节 研究与开发的内部控制
一、立项与研发计划
二、技术及产品应用
三、知识产权保护
第八节 工程项目的内部控制
一、工程立项
二、工程招标
三、工程建设
四、工程验收与竣工决算
第九节 资产管理的内部控制
一、固定资产管理
二、在建工程
三、无形资产管理
第十节 财务管理的内部控制
一、全面预算
二、税务管理
三、会计核算
四、财务报告
五、成本与费用管理
六、关联交易
第十一节 法律事务的内部控制
一、合同管理
二、纠纷与诉讼管理
第十二节 信息系统的内部控制
一、信息系统规划
二、信息系统开发
三、信息系统运行维护
四、信息安全
第十三节 综合管理
一、综合办公
二、制度管理
三、信息传递
四、保密管理
第六章 内部控制评价
第一节 内部控制评价概述
一、内部控制评价的目标
二、内部控制评价的主体
三、内部控制评价的范围
第二节 内部控制评价程序和方法
一、内部控制评价程序
二、内部控制评价方法
三、内部控制评价检查内容
四、内部控制缺陷认定
五、内部控制评价工作底稿
六、内部控制成熟度评价
第七章 风险内控的信息化
第一节 风控信息化的重要性
一、风控信息化的内在需求
二、外部监管要求
第二节 风控信息化建设
一、风控信息化应注意的问题
二、风控信息化平台建设的目标
三、风控信息化的基础和前提
四、风控信息化的具体内容
第三节 风险内控应用软件
一、风控信息化软件应用现状
二、国内企业风险内控信息化现状
三、SAP GRC系统功能和模块介绍