基于COSO-ERM的內部審計風險管理研究

摘要：現代內部審計，已成為企業風險管理的第三道防線，在企業的公司治理、戰略實現、風險管理、內部控制等方面發揮越來越大的作用，同時也對股東、外部監管、企業高級管理層等相關方提出越來越高的期望與要求。伴隨內部審計作用與地位的提升，內部審計風險也隨之加大，如何有效管理審計風險，是內部審計研究的一項重要課題。本文通過研究企業風險管理整合框架（COSO-ERM）在內部審計風險管理中的應用，以期為內部審計風險管理提供新的思路和方法，實現內部審計風險的有效管理，發揮內部審計的增值作用。

Abstract： Modern internal audit has become the third line of defense for enterprise risk management and it plays an increasingly important role in corporate governance， strategic realization， risk management and internal control of enterprises. At the same time， it also puts higher and higher expectations and requirements on relevant parties such as shareholders， external supervision， and corporate senior management. With the improvement of the role and status of internal audit， internal audit risk has also increased. How to effectively manage audit risk is an important issue in internal audit research. This paper aims to provide new ideas and methods for internal audit risk management by studying the application of COSO-ERM in internal audit risk management， to achieve effective management of internal audit risks and play the value-added role of internal audit.

關鍵詞：COSO-ERM;內部審計風險;管理

Key words： COSO-ERM;internal audit risk;management

中圖分類號：F239 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文獻標識碼：A ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文章編號：1006-4311（2020）15-0079-02

0 ?引言

現代內部審計，已經逐漸從簡單的糾錯、防止舞弊的目標向關注經營管理與內部控制等業務擴展，并基本已遍布到企業日常經營的每個過程[1]。企業內部審計工作也已不僅局限在經濟業務、財務往來，而是融入到管理各個層面[2]，成為企業風險管理的第三道防線。內部審計在企業的公司治理、戰略目標實現、風險管理、內部控制等方面逐漸發揮越來越大的作用，并在一定程度上促進企業報告、合規等目標的實現[3]。正是內部審計價值的不斷提升，股東方、外部監管機構、公司高級管理層等對內部審計給予更多的重視，并寄予更多期望和要求，也使得內部審計發現和客觀、正確披露審計問題的風險越來越高。

在這種新形勢下，研究內部審計風險管理問題，以保持內部審計的公允、客觀性，實現內部審計的監督和增值作用，具有重要的意義。

1 ?內部審計風險

內部審計風險，是指當被審計單位及其經濟活動事項的財務會計報告存在重大錯報、漏報，或者內部控制制度存在重大漏洞、缺陷或未被有效執行，或者經營管理存在重大舞弊時，內部審計人員經過審計未能發現，且發表不正確或不恰當的審計意見，造成審計對象和與之相關方面遭受損失或損害，并由此引起審計主體承擔這種責任的風險。

內部審計風險可根據固有風險、控制風險和檢查風險計算得出，公式為：內部審計風險=固有風險×控制風險×檢查風險。固有風險是與企業業務相關的風險，當前企業業務日趨復雜，業務量巨大，固有風險不可避免;控制風險，則是與企業風險管理及內部控制相關的風險，企業內部控制越健全，控制風險越低，反之，企業內部控制水平低，則面臨高的控制風險;檢查風險，則是與內部審計執行相關的風險，審計方法的選擇，審計人員的勝任能力、審計檢查的覆蓋范圍等等審計具體項目執行情況，將影響該風險。

作為風險的一種，內部審計風險同樣可以應用風險管理的方法進行控制和管理。

2 ?COSO-ERM的基本原理

COSO-ERM，即企業風險管理整合框架，是COSO委員會在COSO內部控制整體框架的基礎上，結合美國薩班斯法案相關要求以及擴展風險管理的相關理念，于2004年頒布的用于指導企業構建風險管理框架的理論模型。該模型的核心原理是將企業風險管理假設為由企業目標、風險管理要素和業務實體三個維度構成，并通過立體的整合，指導企業設計出業務實體通過實現對風險管理要素的有效管理，從而為實現企業目標實現提供合理保證的架構。并可通過細化和組合，實現不同層級、信度上評價及管理風險、實現目標的作用。經過近10年的實踐，COSO-ERM目前已成為最為廣泛接受和應用的企業風險管理模型。

COSO-ERM將企業目標分為戰略、運營、報告和合規4個目標;將風險管理要素分為內部環境、目標設定、事件識別、風險評估、風險應對、控制活動、信息與溝通、監督8個要素;將業務實體分為由業務單元到集團公司的4個層級[4]。

雖然COSO-ERM是企業風險管理模型，但其核心功能是風險管理，只是應用于不同層級與不同目標的實現上，既然內部審計風險也是風險的一種，理論上，同樣可以借鑒COSO-ERM模型，實現提高內部審計風險管理的水平，更合理保證審計目標的實現。

3 ?COSO-ERM在內部審計風險管理應用的構想

基于COSO-ERM模型，內部審計風險管理架構可設計成由審計主體應用COSO-ERM的8個風險管理要素，對內部審計風險進行有效管理，為內部審計增加價值和改善組織運營的目標的實現提供合理保證。本文重點分析內部審計風險管理，即固有風險、控制風險和檢查風險管理的COSO-ERM應用。

固有風險是被審計業務自身存在的風險;控制風險是被審計業務內部控制設計與執行產生的風險;檢查風險是審計實施產生的風險，為應用COSO-ERM于上述3種風險中管理，則要對產生風險的具體活動結合8個風險管理要素進行分析，通過對每項活動分別從內部環境、目標設定、事件識別、風險評估、風險應對、控制活動、信息與溝通、監督的各個風險管理要素的對應，評估每一個組合需要關注和管理的要點，從而達到總體管理內部審計風險的作用。具體的架構見表1。

從表中可知，內部審計固有風險和控制風險是由被審計業務的審計當時的運行情況客觀決定的，并不能通過這兩項風險應用COSO-ERM實現對內部審計風險的直接管理，與傳統理論相同，內部審計風險仍需與檢查風險實現雙向的控制。但是通過應用COSO-ERM的風險管理要素對三種風險進行結構化分析，可以為我們提供更完整的風險分析與管理結果。同時，借助風險管理模型，審計人員通過分析產生固有風險與控制風險被審計業務的運行情況，能夠依據風險評估結果發現可能存在的風險以及問題，并針對提出審計建議，也是更客觀反映審計問題，降低內部審計檢查風險的有效手段。另外，通過跟蹤審計發現及建議的落實整改，則使被審計業務及內部控制得到持續的改善，從而促進內部審計固有風險和控制風險的降低。

對于內部審計主體更為直接控制的檢查風險，通過運用COSO-ERM模型，則可以幫助審計人員從所處的內部審計環境進行分析，通過設定控制目標、進行風險識別、評估、制定應對策略，從而設計管理內部審計風險的控制活動，再通過信息溝通及時傳遞風險管理情況，進行知識管理，最后進行監督，落實問題整改等一系列風險管理要素的管理，可實現從環境、程序到結果的全過程內部檢查風險管理，從而改善以往更多依賴審計人員經驗判斷來管理審計風險現實狀況。

因此，應用COSO-ERM，并通過對表中固有風險、控制風險、檢查風險對應風險管理要素各控制點的分析、應對以及有效管理，能夠實現對內部審計風險的更合理、科學的控制管理。

4 ?結論

內部審計風險管理的目標，與企業的風險管理的目標本質上是一致的，即改善企業的運營，實現企業的目標。將內部審計風險控制在合理的水平，是為合理保證內部審計結果公允、客觀，為內部審計結果使用相關方提供更加可靠的決策依據。企業風險管理已成為企業實現目標的重要保證，也是現代內部審計評估的重要方面之一，COSO-ERM經過多年的實踐與應用，已被證明在風險管理體系構建上發揮了重要作用，但內部審計自身業務的開展結合COSO-ERM的應用卻仍十分有限。借鑒COSO在風險管理上的作用，用于加強內部審計風險的管理，通過風險管理要素實現對內部審計風險的細化分析、評估、應對和管理，從而起到降低內部審計風險，控制風險在管理層及審計主體可接受的范圍，更好的發揮內部審計的監督和增值作用。

參考文獻：

[1]賁鐵波.強化內部審計促進企業管理[J].現代審計與會計，2012（01）：52.

[2]張愛琴.淺談供電企業內部審計風險及控制[J].會計之友，2006（03）：55.

[3]IIA.內部審計實務標準.2004.

[4]IIA. Enterprise Risk Management Integrated Framework Executive Summary. 2004.

作者簡介：宮巖偉（1982-），男，吉林蛟河人，碩士研究生，中級審計師，主要從事內部審計工作。