摘要：现代内部审计，已成为企业风险管理的第三道防线，在企业的公司治理、战略实现、风险管理、内部控制等方面发挥越来越大的作用，同时也对股东、外部监管、企业高级管理层等相关方提出越来越高的期望与要求。伴随内部审计作用与地位的提升，内部审计风险也随之加大，如何有效管理审计风险，是内部审计研究的一项重要课题。本文通过研究企业风险管理整合框架（COSO-ERM）在内部审计风险管理中的应用，以期为内部审计风险管理提供新的思路和方法，实现内部审计风险的有效管理，发挥内部审计的增值作用。

Abstract： Modern internal audit has become the third line of defense for enterprise risk management and it plays an increasingly important role in corporate governance， strategic realization， risk management and internal control of enterprises. At the same time， it also puts higher and higher expectations and requirements on relevant parties such as shareholders， external supervision， and corporate senior management. With the improvement of the role and status of internal audit， internal audit risk has also increased. How to effectively manage audit risk is an important issue in internal audit research. This paper aims to provide new ideas and methods for internal audit risk management by studying the application of COSO-ERM in internal audit risk management， to achieve effective management of internal audit risks and play the value-added role of internal audit.

关键词：COSO-ERM;内部审计风险;管理

Key words： COSO-ERM;internal audit risk;management

中图分类号：F239                                        文献标识码：A                                  文章编号：1006-4311（2020）15-0079-02

0  引言

现代内部审计，已经逐渐从简单的纠错、防止舞弊的目标向关注经营管理与内部控制等业务扩展，并基本已遍布到企业日常经营的每个过程[1]。企业内部审计工作也已不仅局限在经济业务、财务往来，而是融入到管理各个层面[2]，成为企业风险管理的第三道防线。内部审计在企业的公司治理、战略目标实现、风险管理、内部控制等方面逐渐发挥越来越大的作用，并在一定程度上促进企业报告、合规等目标的实现[3]。正是内部审计价值的不断提升，股东方、外部监管机构、公司高级管理层等对内部审计给予更多的重视，并寄予更多期望和要求，也使得内部审计发现和客观、正确披露审计问题的风险越来越高。

在这种新形势下，研究内部审计风险管理问题，以保持内部审计的公允、客观性，实现内部审计的监督和增值作用，具有重要的意义。

1  内部审计风险

内部审计风险，是指当被审计单位及其经济活动事项的财务会计报告存在重大错报、漏报，或者内部控制制度存在重大漏洞、缺陷或未被有效执行，或者经营管理存在重大舞弊时，内部审计人员经过审计未能发现，且发表不正确或不恰当的审计意见，造成审计对象和与之相关方面遭受损失或损害，并由此引起審计主体承担这种责任的风险。

内部审计风险可根据固有风险、控制风险和检查风险计算得出，公式为：内部审计风险=固有风险×控制风险×检查风险。固有风险是与企业业务相关的风险，当前企业业务日趋复杂，业务量巨大，固有风险不可避免;控制风险，则是与企业风险管理及内部控制相关的风险，企业内部控制越健全，控制风险越低，反之，企业内部控制水平低，则面临高的控制风险;检查风险，则是与内部审计执行相关的风险，审计方法的选择，审计人员的胜任能力、审计检查的覆盖范围等等审计具体项目执行情况，将影响该风险。

作为风险的一种，内部审计风险同样可以应用风险管理的方法进行控制和管理。

2  COSO-ERM的基本原理

COSO-ERM，即企业风险管理整合框架，是COSO委员会在COSO内部控制整体框架的基础上，结合美国萨班斯法案相关要求以及扩展风险管理的相关理念，于2004年颁布的用于指导企业构建风险管理框架的理论模型。该模型的核心原理是将企业风险管理假设为由企业目标、风险管理要素和业务实体三个维度构成，并通过立体的整合，指导企业设计出业务实体通过实现对风险管理要素的有效管理，从而为实现企业目标实现提供合理保证的架构。并可通过细化和组合，实现不同层级、信度上评价及管理风险、实现目标的作用。经过近10年的实践，COSO-ERM目前已成为最为广泛接受和应用的企业风险管理模型。

COSO-ERM将企业目标分为战略、运营、报告和合规4个目标;将风险管理要素分为内部环境、目标设定、事件识别、风险评估、风险应对、控制活动、信息与沟通、监督8个要素;将业务实体分为由业务单元到集团公司的4个层级[4]。

虽然COSO-ERM是企业风险管理模型，但其核心功能是风险管理，只是应用于不同层级与不同目标的实现上，既然内部审计风险也是风险的一种，理论上，同样可以借鉴COSO-ERM模型，实现提高内部审计风险管理的水平，更合理保证审计目标的实现。

3  COSO-ERM在內部审计风险管理应用的构想

基于COSO-ERM模型，内部审计风险管理架构可设计成由审计主体应用COSO-ERM的8个风险管理要素，对内部审计风险进行有效管理，为内部审计增加价值和改善组织运营的目标的实现提供合理保证。本文重点分析内部审计风险管理，即固有风险、控制风险和检查风险管理的COSO-ERM应用。

固有风险是被审计业务自身存在的风险;控制风险是被审计业务内部控制设计与执行产生的风险;检查风险是审计实施产生的风险，为应用COSO-ERM于上述3种风险中管理，则要对产生风险的具体活动结合8个风险管理要素进行分析，通过对每项活动分别从内部环境、目标设定、事件识别、风险评估、风险应对、控制活动、信息与沟通、监督的各个风险管理要素的对应，评估每一个组合需要关注和管理的要点，从而达到总体管理内部审计风险的作用。具体的架构见表1。

从表中可知，内部审计固有风险和控制风险是由被审计业务的审计当时的运行情况客观决定的，并不能通过这两项风险应用COSO-ERM实现对内部审计风险的直接管理，与传统理论相同，内部审计风险仍需与检查风险实现双向的控制。但是通过应用COSO-ERM的风险管理要素对三种风险进行结构化分析，可以为我们提供更完整的风险分析与管理结果。同时，借助风险管理模型，审计人员通过分析产生固有风险与控制风险被审计业务的运行情况，能够依据风险评估结果发现可能存在的风险以及问题，并针对提出审计建议，也是更客观反映审计问题，降低内部审计检查风险的有效手段。另外，通过跟踪审计发现及建议的落实整改，则使被审计业务及内部控制得到持续的改善，从而促进内部审计固有风险和控制风险的降低。

对于内部审计主体更为直接控制的检查风险，通过运用COSO-ERM模型，则可以帮助审计人员从所处的内部审计环境进行分析，通过设定控制目标、进行风险识别、评估、制定应对策略，从而设计管理内部审计风险的控制活动，再通过信息沟通及时传递风险管理情况，进行知识管理，最后进行监督，落实问题整改等一系列风险管理要素的管理，可实现从环境、程序到结果的全过程内部检查风险管理，从而改善以往更多依赖审计人员经验判断来管理审计风险现实状况。

因此，应用COSO-ERM，并通过对表中固有风险、控制风险、检查风险对应风险管理要素各控制点的分析、应对以及有效管理，能够实现对内部审计风险的更合理、科学的控制管理。

4  结论

内部审计风险管理的目标，与企业的风险管理的目标本质上是一致的，即改善企业的运营，实现企业的目标。将内部审计风险控制在合理的水平，是为合理保证内部审计结果公允、客观，为内部审计结果使用相关方提供更加可靠的决策依据。企业风险管理已成为企业实现目标的重要保证，也是现代内部审计评估的重要方面之一，COSO-ERM经过多年的实践与应用，已被证明在风险管理体系构建上发挥了重要作用，但内部审计自身业务的开展结合COSO-ERM的应用却仍十分有限。借鉴COSO在风险管理上的作用，用于加强内部审计风险的管理，通过风险管理要素实现对内部审计风险的细化分析、评估、应对和管理，从而起到降低内部审计风险，控制风险在管理层及审计主体可接受的范围，更好的发挥内部审计的监督和增值作用。

参考文献：

[1]贲铁波.强化内部审计促进企业管理[J].现代审计与会计，2012（01）：52.

[2]张爱琴.浅谈供电企业内部审计风险及控制[J].会计之友，2006（03）：55.

[3]IIA.内部审计实务标准.2004.

[4]IIA. Enterprise Risk Management Integrated Framework Executive Summary. 2004.

作者简介：宫岩伟（1982-），男，吉林蛟河人，硕士研究生，中级审计师，主要从事内部审计工作。