1998年當我從中國銀行總行信貸管理部風險管理處（當時內地銀行業(yè)還沒有獨立的風險管理部門）被外派到香港工作時，作為一個具有16年商業(yè)銀行信貸經營和管理經驗的人，第一次聽到違約概率這個新名詞時的驚訝程度是當今銀行業(yè)工作者難以想象的。自那時起我開始接觸以巴塞爾銀行監(jiān)管委員會（簡稱“巴塞爾委員會”）為代表的現(xiàn)代商業(yè)銀行風險管理理念和方法，并參與了中銀香港和中國銀行總行兩家公司股改上市的全過程。我當時負責其中有關商業(yè)銀行信用風險管理體系的建設工作，包括組織架構、業(yè)務流程的設計、規(guī)章制度的編制和與信用風險相關的信息科技系統(tǒng)的研發(fā)以及巴塞爾新資本協(xié)議的貫徹落實等。在中國銀行整體股改上市以后的2006年年底，我由總行風險管理部副總經理改任審計部內控總稽核，開始研究COSO風險管理框架體系，并以此為標準對一家在國內外擁有1萬多個經營機構、30多萬員工的上市公司的內部控制系統(tǒng)進行評價。 
從對BASEL體系的崇拜和對COSO體系的抵觸，到能夠客觀地評價這兩大風險管理體系的優(yōu)劣并取其精華用于實踐而獲得成果，回顧自己20多年的風險管理之路，反思其中所走過的彎路，深感當今國際、國內分別研究COSO體系或BASEL體系的大有人在。但是，既研究COSO又研究BASEL，并有兩者實踐經驗的人真是鳳毛麟角。將兩大組織的風險管理理念、方法之精華，根據一般企業(yè)特征重新組合，然后用于指導非銀行業(yè)企業(yè)的風險管理和內部控制的書幾乎不曾面世，這就是我寫此書的最初想法。 
本書是我上述工作經歷、研究成果、實踐經驗以及20多年風險管理教學經驗的總結，也是我職業(yè)生涯的總結。書中的案例基本上都是我親身經歷的，許多觀點是在多年的實踐經驗和教訓總結的基礎上感悟所得。本書的目的是將過去幾十年企業(yè)風險管理尤其是商業(yè)銀行風險管理的先進理念和方法介紹給讀者。希望通過我的講解，讀者能夠全面了解一個企業(yè)是如何開展風險管理的，掌握管理的方法和實施的路線圖；幫助各位讀者對以往聽課或閱讀時不曾搞懂的疑難問題和似是而非的困惑找到清晰的答案。 
本書的特點在于以國際、國內最先進的管理方法為基礎，將COSO和BASEL兩大風險管理組織的管理理念和方法中適合于一般企業(yè)性質和管理需求的內容抽取出來，按照一般企業(yè)的管理模式和習慣將風險管理的理念、方法、工具和實施路線圖重新組合在一起。本書用案例和圖譜替代復雜的數學模型來詮釋風險管理的基本原理，以最為通俗的語言、最為簡潔的方法來解讀風險管理的基本概念和方法。在全書的寫作過程中，作者盡量避免照搬國際、國內風險管理著作慣用的寫作模式，不是利用數學模型解釋問題，因為這會讓多數見到數學公式就頭大的讀者無所適從；也不是千篇一律枯燥乏味地以概念講概念，這樣會與現(xiàn)實相距甚遠。作者希望通過本書的闡述，不僅讓讀者明白風險管理的基本定義、風險理念和方法論，更要讓讀者掌握其管理思路、解決方案、實施方法和操作路徑，通過閱讀本書，讓讀者知道作為一個企業(yè)管理者應該如何開展風險管理；讓讀者從企業(yè)層面的體系建設到具體風險的管理與控制，對于從何處入手、如何啟動、工作內容、實施程序、驗收標準等了然于胸。作者本人具有長期從事信貸經營、信貸管理、內部控制和風險管理以及教學工作的豐富經驗，為實現(xiàn)上述目標提供了技術保障。 
本書適合于具有三年以上企業(yè)管理經驗的管理者、大學經濟類本科畢業(yè)從事企業(yè)風險管理的工作者，以及商業(yè)銀行內部希望了解風險管理卻又不從事風險管理與內部控制的員工。尤其是對那些沒有數理統(tǒng)計基礎的企業(yè)負責人而言，可以通過本書掌握有關企業(yè)家如何管理企業(yè)風險的所有知識。了解了這些內容，就可以領導風險管理專業(yè)人員對企業(yè)的風險實施管理。至于數理統(tǒng)計、數據庫建設、數據清理、數據定義、模型構建、模型測試與驗證等專業(yè)知識和技術工作完全是專業(yè)人員的職責，作為管理者只要掌握本書內容就完全足以支持企業(yè)的風險管理領導責任和相關工作內容。如果有興趣的話，還可以在閱讀本書的基礎上，去銜接建設風險計量模型方面的書。為了便于讀者閱讀時能夠盡快理解本書所闡述的理念、方法等內容，現(xiàn)就書中一些內容和與內容有關的問題說明如下。 
（1）目前在國際、國內的各行各業(yè)中，只有商業(yè)銀行的風險管理處于領先地位，其他行業(yè)或在起步階段或在基本理念的摸索階段，這些行業(yè)的風險管理水平與商業(yè)銀行的時間差距不小于20年。將商業(yè)銀行特殊的行業(yè)特質剝離后，其本質與一般企業(yè)無異。而且，本書作者在以往的實踐中，也曾借鑒工業(yè)企業(yè)和流通企業(yè)的管理經驗并取得了良好的效果；同時，一些風險管理同人已將本書中的管理經驗運用于工業(yè)企業(yè)和商業(yè)企業(yè)的成功案例，都足以證明商業(yè)銀行與一般企業(yè)的管理模式是可以相互借鑒并普遍適用的。本書作者具有近20年的企業(yè)信貸和項目投融資經驗，在書中盡可能地將商業(yè)銀行的經驗與一般企業(yè)運營和管理模式相結合，為讀者提供一個既容易理解又便于操作的方法。 
（2）目前國際上的風險管理組織除了本書中介紹的COSO和BASEL外，還有國際標準化組織ISO。由于ISO的相關管理要求并沒有在國內有效落地，且基本理念和方法與COSO近似，故本書沒有將其列入。 
（3）本書以商業(yè)銀行風險管理最佳實踐為基礎，全面闡述了企業(yè)風險管理的基本理念、方法、框架和路線圖。而商業(yè)銀行的監(jiān)管者——巴塞爾委員會的監(jiān)管理念和方法與被監(jiān)管者既有相同點，又有不同之處。這是兩者職能和目標差異造成的結果。簡而言之，商業(yè)銀行風險管理的外延要大于監(jiān)管者，而內涵又比監(jiān)管者的要求豐富許多。為了闡述方便，書中在提及商業(yè)銀行風險管理，尤其是在與COSO體系進行對比時難免會以BASEL體系為代表。雖然作者在書中已將商業(yè)銀行的風險管理與BASEL的風險管理之間的差異做了詳細的說明，但讀者在閱讀時還是需要注意加以區(qū)別。 
（4）只要是在中國境內注冊的企業(yè)都應該遵守財政部的相關規(guī)定，而財政部關于企業(yè)風險管理和內部控制的規(guī)則完全是遵循COSO風險管理框架為標準制定的。從遵守法規(guī)的角度講，企業(yè)必須按照財政部的要求執(zhí)行相關規(guī)定；從商業(yè)銀行實踐的角度講，企業(yè)應該先遵循COSO的理念完成企業(yè)層面的全面風險管理框架的構建，然后在此基礎上根據不同風險的特征，參照商業(yè)銀行和BASEL的方法實施有針對性的管理，這樣才能起到事半功倍的效果。在本書的寫作中為了減輕讀者的困惑，除了第三章詳細地介紹了COSO和BASEL兩大體系的具體內容外，在其他章節(jié)中，作者刻意模糊了兩大組織的不同要求和方法，僅從企業(yè)風險管理的視角闡述理念、方法，介紹工具。讀者在閱讀時也沒有必要去追究這些方法和工具的出處與來源，另有研究需求者除外。 
（5）COSO委員會于2017年頒布了最新版的《企業(yè)風險管理框架》，新框架與原有框架存在巨大的差異。但是，新框架在摒棄原來有效方法的同時，并沒有給出新的可操作性的管理模式和方法。這一方面說明COSO體系在基礎理論上缺乏系統(tǒng)性和連貫性；另一方面，表明COSO體系在具體實施的方法論上，對企業(yè)的可操作性研究不足。為了彌補上述缺憾，作者在本書的寫作中根據實際工作經驗，仍將COSO原有框架作為重點加以闡述。畢竟實踐是檢驗真理的唯一標準，向讀者介紹經過實踐證明是有效的方法要比僅僅從理論上闡述一個未經驗證的方法更具有現(xiàn)實意義，這也正是本書的初衷。況且COSO委員會在發(fā)布2017版新的框架文件后，曾經公開表示新框架的公布并不意味著對原有框架的否定，原有框架中的有效部分和內容仍是本委員會支持和贊同的。因此，對于COSO 2017版新框架，我們只是在書中相關內容結尾的部分增加了對新框架的介紹與評價。 
（6）本書的所有觀點、結論、方法、工具等均來自實踐經驗的總結，或經過實踐的檢驗。對于未經實踐檢驗過的2017年BASEL3.5最終資本協(xié)議版本和COSO 2017最新風險管理框架的內容只做簡單介紹和評價，其規(guī)則和方法論等是否可行還有待讀者在今后的實踐中加以驗證。 
（7）本書特別強調風險管理的意義在于為企業(yè)創(chuàng)造財富，風險管理的實質是資本經營，其本質就是為資本創(chuàng)造利潤。一般企業(yè)在沒有引入風險管理之前，所有的經營活動都是圍繞著如何為資本創(chuàng)造更多的利潤進行的，這實際上就是資本經營。加入風險管理的概念是為了更加確切地反映資本的意義，同時也豐富了企業(yè)管理的內涵。 
讀者在閱讀本書時，如果以前沒有接觸過企業(yè)風險管理，或沒有系統(tǒng)性地閱讀過相關書的話，最好按照書中目錄逐章逐節(jié)地閱讀，這樣可以遵循方法論的邏輯性系統(tǒng)地學習。如果是有一定風險管理經驗的讀者，對實踐中一些問題尋求答案，也可以根據自己的需求，從目錄中選擇所需要的章節(jié)有針對性地閱讀。 
全書共分七章并有七個附錄，前三章屬于基本概念和基礎理論，閱讀后可以對目前國際、國內企業(yè)風險管理有一個大致的框架性的了解，這部分的重點在于基本概念，很多人不大注意對基本概念的掌握，這是錯誤的。在實踐中有許多實際問題的最終解決都與是否清晰地掌握了基本概念有關，這一點在書中有詳細的分析。 
第四章是企業(yè)實施全面風險管理的內容和方法，企業(yè)在完成這一章所要求的工作內容后，就基本達到了COSO風險管理框架的要求，風險管理也完成了階段性的工作。 
從第五章開始，相關內容已經超出了COSO風險管理框架的范疇，目前非銀行業(yè)企業(yè)一般都尚未觸及這些內容。這一章的內容是信用風險防范，巴塞爾委員會的監(jiān)管規(guī)則對這部分內容有詳細的要求，但又不同于銀行作為企業(yè)的管理要求。 
第六章內容已經超出所有監(jiān)管者的監(jiān)管內容，是企業(yè)董事會從資本管理的視角對風險管理提出的相關要求，以及如何落實的方法論。 
第七章主要介紹企業(yè)完成全部風險管理內容之后，如何進行有效的反思、檢討和評價。其中，關于操作風險的測量方法是本書作者經過實踐經驗總結并得到驗證的方法，具有在國際、國內銀行業(yè)領先的水平。這部分內容放在這一章而非第四章，除了因為相關內容的研發(fā)是作者在內控總稽核的崗位上，在對企業(yè)內部控制評價職能落實的實踐中實現(xiàn)的以外，主要是由于企業(yè)在實施第四章的內容時還處于風險管理的初級階段，在主觀上還沒有相關需求，客觀上也不具備這樣的條件。而且這部分內容非COSO風險管理框架的要求，屬于第四章內容的延續(xù)；從方法論上講，這部分是在落實第四章內容后，根據具體風險的特質和管理需求，按照商業(yè)銀行的最佳實踐和BASEL方法，進行針對性管理的內容。附錄C～E就是對這些方法進行研發(fā)和實施驗證的過程證明。對這部分內容感興趣的讀者只看第四章和第七章及這三篇附錄，就可以對該方法論有一個大致的了解。如果還想具體掌握實施方法，就需要詳細閱讀中國金融出版社2014年出版的《商業(yè)銀行操作風險管理暨內部控制評價理論與方法》一書了。 
附錄A和B是對書中涉及問題的補充和完善，便于讀者理解書中的有關內容。附錄F和G是案例說明，表明通過操作風險測量得到相關統(tǒng)計數據后如何將其運用于全面風險管理、評價企業(yè)風險管理成果并對下一步工作起到指導作用。 
本書介紹的有關風險管理之內容，無論是BASEL還是COSO，如果算作一門學科的話，其歷史也不過20年。時至今日，許多內容還在不斷地發(fā)展完善之中，甚至連一些基本概念都尚未形成統(tǒng)一的認識，書中的一些觀點在本書寫作的幾年中也是在不斷地修正和完善。任何理論都要經歷無數次的實踐、檢驗、總結、提高，再實踐、再檢驗、再總結、再提高不斷完善的過程。本書中的一些觀點和方法是在學習前人的基礎上，不斷實踐總結而成的，但也難免存在這樣或那樣的瑕疵與不足。作者真誠地希望廣大讀者能夠通過閱讀和實踐，幫助作者找出不足與問題，以利于這些方法的修改、補充和完善。 


周瑋 
2019年9月于懷柔小鎮(zhèn)