摘要：現(xiàn)代內(nèi)部審計(jì)，已成為企業(yè)風(fēng)險(xiǎn)管理的第三道防線，在企業(yè)的公司治理、戰(zhàn)略實(shí)現(xiàn)、風(fēng)險(xiǎn)管理、內(nèi)部控制等方面發(fā)揮越來(lái)越大的作用，同時(shí)也對(duì)股東、外部監(jiān)管、企業(yè)高級(jí)管理層等相關(guān)方提出越來(lái)越高的期望與要求。伴隨內(nèi)部審計(jì)作用與地位的提升，內(nèi)部審計(jì)風(fēng)險(xiǎn)也隨之加大，如何有效管理審計(jì)風(fēng)險(xiǎn)，是內(nèi)部審計(jì)研究的一項(xiàng)重要課題。本文通過(guò)研究企業(yè)風(fēng)險(xiǎn)管理整合框架（COSO-ERM）在內(nèi)部審計(jì)風(fēng)險(xiǎn)管理中的應(yīng)用，以期為內(nèi)部審計(jì)風(fēng)險(xiǎn)管理提供新的思路和方法，實(shí)現(xiàn)內(nèi)部審計(jì)風(fēng)險(xiǎn)的有效管理，發(fā)揮內(nèi)部審計(jì)的增值作用。

Abstract： Modern internal audit has become the third line of defense for enterprise risk management and it plays an increasingly important role in corporate governance， strategic realization， risk management and internal control of enterprises. At the same time， it also puts higher and higher expectations and requirements on relevant parties such as shareholders， external supervision， and corporate senior management. With the improvement of the role and status of internal audit， internal audit risk has also increased. How to effectively manage audit risk is an important issue in internal audit research. This paper aims to provide new ideas and methods for internal audit risk management by studying the application of COSO-ERM in internal audit risk management， to achieve effective management of internal audit risks and play the value-added role of internal audit.

關(guān)鍵詞：COSO-ERM;內(nèi)部審計(jì)風(fēng)險(xiǎn);管理

Key words： COSO-ERM;internal audit risk;management

中圖分類(lèi)號(hào)：F239 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文章編號(hào)：1006-4311（2020）15-0079-02

0 ?引言

現(xiàn)代內(nèi)部審計(jì)，已經(jīng)逐漸從簡(jiǎn)單的糾錯(cuò)、防止舞弊的目標(biāo)向關(guān)注經(jīng)營(yíng)管理與內(nèi)部控制等業(yè)務(wù)擴(kuò)展，并基本已遍布到企業(yè)日常經(jīng)營(yíng)的每個(gè)過(guò)程[1]。企業(yè)內(nèi)部審計(jì)工作也已不僅局限在經(jīng)濟(jì)業(yè)務(wù)、財(cái)務(wù)往來(lái)，而是融入到管理各個(gè)層面[2]，成為企業(yè)風(fēng)險(xiǎn)管理的第三道防線。內(nèi)部審計(jì)在企業(yè)的公司治理、戰(zhàn)略目標(biāo)實(shí)現(xiàn)、風(fēng)險(xiǎn)管理、內(nèi)部控制等方面逐漸發(fā)揮越來(lái)越大的作用，并在一定程度上促進(jìn)企業(yè)報(bào)告、合規(guī)等目標(biāo)的實(shí)現(xiàn)[3]。正是內(nèi)部審計(jì)價(jià)值的不斷提升，股東方、外部監(jiān)管機(jī)構(gòu)、公司高級(jí)管理層等對(duì)內(nèi)部審計(jì)給予更多的重視，并寄予更多期望和要求，也使得內(nèi)部審計(jì)發(fā)現(xiàn)和客觀、正確披露審計(jì)問(wèn)題的風(fēng)險(xiǎn)越來(lái)越高。

在這種新形勢(shì)下，研究?jī)?nèi)部審計(jì)風(fēng)險(xiǎn)管理問(wèn)題，以保持內(nèi)部審計(jì)的公允、客觀性，實(shí)現(xiàn)內(nèi)部審計(jì)的監(jiān)督和增值作用，具有重要的意義。

1 ?內(nèi)部審計(jì)風(fēng)險(xiǎn)

內(nèi)部審計(jì)風(fēng)險(xiǎn)，是指當(dāng)被審計(jì)單位及其經(jīng)濟(jì)活動(dòng)事項(xiàng)的財(cái)務(wù)會(huì)計(jì)報(bào)告存在重大錯(cuò)報(bào)、漏報(bào)，或者內(nèi)部控制制度存在重大漏洞、缺陷或未被有效執(zhí)行，或者經(jīng)營(yíng)管理存在重大舞弊時(shí)，內(nèi)部審計(jì)人員經(jīng)過(guò)審計(jì)未能發(fā)現(xiàn)，且發(fā)表不正確或不恰當(dāng)?shù)膶徲?jì)意見(jiàn)，造成審計(jì)對(duì)象和與之相關(guān)方面遭受損失或損害，并由此引起審計(jì)主體承擔(dān)這種責(zé)任的風(fēng)險(xiǎn)。

內(nèi)部審計(jì)風(fēng)險(xiǎn)可根據(jù)固有風(fēng)險(xiǎn)、控制風(fēng)險(xiǎn)和檢查風(fēng)險(xiǎn)計(jì)算得出，公式為：內(nèi)部審計(jì)風(fēng)險(xiǎn)=固有風(fēng)險(xiǎn)×控制風(fēng)險(xiǎn)×檢查風(fēng)險(xiǎn)。固有風(fēng)險(xiǎn)是與企業(yè)業(yè)務(wù)相關(guān)的風(fēng)險(xiǎn)，當(dāng)前企業(yè)業(yè)務(wù)日趨復(fù)雜，業(yè)務(wù)量巨大，固有風(fēng)險(xiǎn)不可避免;控制風(fēng)險(xiǎn)，則是與企業(yè)風(fēng)險(xiǎn)管理及內(nèi)部控制相關(guān)的風(fēng)險(xiǎn)，企業(yè)內(nèi)部控制越健全，控制風(fēng)險(xiǎn)越低，反之，企業(yè)內(nèi)部控制水平低，則面臨高的控制風(fēng)險(xiǎn);檢查風(fēng)險(xiǎn)，則是與內(nèi)部審計(jì)執(zhí)行相關(guān)的風(fēng)險(xiǎn)，審計(jì)方法的選擇，審計(jì)人員的勝任能力、審計(jì)檢查的覆蓋范圍等等審計(jì)具體項(xiàng)目執(zhí)行情況，將影響該風(fēng)險(xiǎn)。

作為風(fēng)險(xiǎn)的一種，內(nèi)部審計(jì)風(fēng)險(xiǎn)同樣可以應(yīng)用風(fēng)險(xiǎn)管理的方法進(jìn)行控制和管理。

2 ?COSO-ERM的基本原理

COSO-ERM，即企業(yè)風(fēng)險(xiǎn)管理整合框架，是COSO委員會(huì)在COSO內(nèi)部控制整體框架的基礎(chǔ)上，結(jié)合美國(guó)薩班斯法案相關(guān)要求以及擴(kuò)展風(fēng)險(xiǎn)管理的相關(guān)理念，于2004年頒布的用于指導(dǎo)企業(yè)構(gòu)建風(fēng)險(xiǎn)管理框架的理論模型。該模型的核心原理是將企業(yè)風(fēng)險(xiǎn)管理假設(shè)為由企業(yè)目標(biāo)、風(fēng)險(xiǎn)管理要素和業(yè)務(wù)實(shí)體三個(gè)維度構(gòu)成，并通過(guò)立體的整合，指導(dǎo)企業(yè)設(shè)計(jì)出業(yè)務(wù)實(shí)體通過(guò)實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)管理要素的有效管理，從而為實(shí)現(xiàn)企業(yè)目標(biāo)實(shí)現(xiàn)提供合理保證的架構(gòu)。并可通過(guò)細(xì)化和組合，實(shí)現(xiàn)不同層級(jí)、信度上評(píng)價(jià)及管理風(fēng)險(xiǎn)、實(shí)現(xiàn)目標(biāo)的作用。經(jīng)過(guò)近10年的實(shí)踐，COSO-ERM目前已成為最為廣泛接受和應(yīng)用的企業(yè)風(fēng)險(xiǎn)管理模型。

COSO-ERM將企業(yè)目標(biāo)分為戰(zhàn)略、運(yùn)營(yíng)、報(bào)告和合規(guī)4個(gè)目標(biāo);將風(fēng)險(xiǎn)管理要素分為內(nèi)部環(huán)境、目標(biāo)設(shè)定、事件識(shí)別、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)應(yīng)對(duì)、控制活動(dòng)、信息與溝通、監(jiān)督8個(gè)要素;將業(yè)務(wù)實(shí)體分為由業(yè)務(wù)單元到集團(tuán)公司的4個(gè)層級(jí)[4]。

雖然COSO-ERM是企業(yè)風(fēng)險(xiǎn)管理模型，但其核心功能是風(fēng)險(xiǎn)管理，只是應(yīng)用于不同層級(jí)與不同目標(biāo)的實(shí)現(xiàn)上，既然內(nèi)部審計(jì)風(fēng)險(xiǎn)也是風(fēng)險(xiǎn)的一種，理論上，同樣可以借鑒COSO-ERM模型，實(shí)現(xiàn)提高內(nèi)部審計(jì)風(fēng)險(xiǎn)管理的水平，更合理保證審計(jì)目標(biāo)的實(shí)現(xiàn)。

3 ?COSO-ERM在內(nèi)部審計(jì)風(fēng)險(xiǎn)管理應(yīng)用的構(gòu)想

基于COSO-ERM模型，內(nèi)部審計(jì)風(fēng)險(xiǎn)管理架構(gòu)可設(shè)計(jì)成由審計(jì)主體應(yīng)用COSO-ERM的8個(gè)風(fēng)險(xiǎn)管理要素，對(duì)內(nèi)部審計(jì)風(fēng)險(xiǎn)進(jìn)行有效管理，為內(nèi)部審計(jì)增加價(jià)值和改善組織運(yùn)營(yíng)的目標(biāo)的實(shí)現(xiàn)提供合理保證。本文重點(diǎn)分析內(nèi)部審計(jì)風(fēng)險(xiǎn)管理，即固有風(fēng)險(xiǎn)、控制風(fēng)險(xiǎn)和檢查風(fēng)險(xiǎn)管理的COSO-ERM應(yīng)用。

固有風(fēng)險(xiǎn)是被審計(jì)業(yè)務(wù)自身存在的風(fēng)險(xiǎn);控制風(fēng)險(xiǎn)是被審計(jì)業(yè)務(wù)內(nèi)部控制設(shè)計(jì)與執(zhí)行產(chǎn)生的風(fēng)險(xiǎn);檢查風(fēng)險(xiǎn)是審計(jì)實(shí)施產(chǎn)生的風(fēng)險(xiǎn)，為應(yīng)用COSO-ERM于上述3種風(fēng)險(xiǎn)中管理，則要對(duì)產(chǎn)生風(fēng)險(xiǎn)的具體活動(dòng)結(jié)合8個(gè)風(fēng)險(xiǎn)管理要素進(jìn)行分析，通過(guò)對(duì)每項(xiàng)活動(dòng)分別從內(nèi)部環(huán)境、目標(biāo)設(shè)定、事件識(shí)別、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)應(yīng)對(duì)、控制活動(dòng)、信息與溝通、監(jiān)督的各個(gè)風(fēng)險(xiǎn)管理要素的對(duì)應(yīng)，評(píng)估每一個(gè)組合需要關(guān)注和管理的要點(diǎn)，從而達(dá)到總體管理內(nèi)部審計(jì)風(fēng)險(xiǎn)的作用。具體的架構(gòu)見(jiàn)表1。

從表中可知，內(nèi)部審計(jì)固有風(fēng)險(xiǎn)和控制風(fēng)險(xiǎn)是由被審計(jì)業(yè)務(wù)的審計(jì)當(dāng)時(shí)的運(yùn)行情況客觀決定的，并不能通過(guò)這兩項(xiàng)風(fēng)險(xiǎn)應(yīng)用COSO-ERM實(shí)現(xiàn)對(duì)內(nèi)部審計(jì)風(fēng)險(xiǎn)的直接管理，與傳統(tǒng)理論相同，內(nèi)部審計(jì)風(fēng)險(xiǎn)仍需與檢查風(fēng)險(xiǎn)實(shí)現(xiàn)雙向的控制。但是通過(guò)應(yīng)用COSO-ERM的風(fēng)險(xiǎn)管理要素對(duì)三種風(fēng)險(xiǎn)進(jìn)行結(jié)構(gòu)化分析，可以為我們提供更完整的風(fēng)險(xiǎn)分析與管理結(jié)果。同時(shí)，借助風(fēng)險(xiǎn)管理模型，審計(jì)人員通過(guò)分析產(chǎn)生固有風(fēng)險(xiǎn)與控制風(fēng)險(xiǎn)被審計(jì)業(yè)務(wù)的運(yùn)行情況，能夠依據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果發(fā)現(xiàn)可能存在的風(fēng)險(xiǎn)以及問(wèn)題，并針對(duì)提出審計(jì)建議，也是更客觀反映審計(jì)問(wèn)題，降低內(nèi)部審計(jì)檢查風(fēng)險(xiǎn)的有效手段。另外，通過(guò)跟蹤審計(jì)發(fā)現(xiàn)及建議的落實(shí)整改，則使被審計(jì)業(yè)務(wù)及內(nèi)部控制得到持續(xù)的改善，從而促進(jìn)內(nèi)部審計(jì)固有風(fēng)險(xiǎn)和控制風(fēng)險(xiǎn)的降低。

對(duì)于內(nèi)部審計(jì)主體更為直接控制的檢查風(fēng)險(xiǎn)，通過(guò)運(yùn)用COSO-ERM模型，則可以幫助審計(jì)人員從所處的內(nèi)部審計(jì)環(huán)境進(jìn)行分析，通過(guò)設(shè)定控制目標(biāo)、進(jìn)行風(fēng)險(xiǎn)識(shí)別、評(píng)估、制定應(yīng)對(duì)策略，從而設(shè)計(jì)管理內(nèi)部審計(jì)風(fēng)險(xiǎn)的控制活動(dòng)，再通過(guò)信息溝通及時(shí)傳遞風(fēng)險(xiǎn)管理情況，進(jìn)行知識(shí)管理，最后進(jìn)行監(jiān)督，落實(shí)問(wèn)題整改等一系列風(fēng)險(xiǎn)管理要素的管理，可實(shí)現(xiàn)從環(huán)境、程序到結(jié)果的全過(guò)程內(nèi)部檢查風(fēng)險(xiǎn)管理，從而改善以往更多依賴審計(jì)人員經(jīng)驗(yàn)判斷來(lái)管理審計(jì)風(fēng)險(xiǎn)現(xiàn)實(shí)狀況。

因此，應(yīng)用COSO-ERM，并通過(guò)對(duì)表中固有風(fēng)險(xiǎn)、控制風(fēng)險(xiǎn)、檢查風(fēng)險(xiǎn)對(duì)應(yīng)風(fēng)險(xiǎn)管理要素各控制點(diǎn)的分析、應(yīng)對(duì)以及有效管理，能夠?qū)崿F(xiàn)對(duì)內(nèi)部審計(jì)風(fēng)險(xiǎn)的更合理、科學(xué)的控制管理。

4 ?結(jié)論

內(nèi)部審計(jì)風(fēng)險(xiǎn)管理的目標(biāo)，與企業(yè)的風(fēng)險(xiǎn)管理的目標(biāo)本質(zhì)上是一致的，即改善企業(yè)的運(yùn)營(yíng)，實(shí)現(xiàn)企業(yè)的目標(biāo)。將內(nèi)部審計(jì)風(fēng)險(xiǎn)控制在合理的水平，是為合理保證內(nèi)部審計(jì)結(jié)果公允、客觀，為內(nèi)部審計(jì)結(jié)果使用相關(guān)方提供更加可靠的決策依據(jù)。企業(yè)風(fēng)險(xiǎn)管理已成為企業(yè)實(shí)現(xiàn)目標(biāo)的重要保證，也是現(xiàn)代內(nèi)部審計(jì)評(píng)估的重要方面之一，COSO-ERM經(jīng)過(guò)多年的實(shí)踐與應(yīng)用，已被證明在風(fēng)險(xiǎn)管理體系構(gòu)建上發(fā)揮了重要作用，但內(nèi)部審計(jì)自身業(yè)務(wù)的開(kāi)展結(jié)合COSO-ERM的應(yīng)用卻仍十分有限。借鑒COSO在風(fēng)險(xiǎn)管理上的作用，用于加強(qiáng)內(nèi)部審計(jì)風(fēng)險(xiǎn)的管理，通過(guò)風(fēng)險(xiǎn)管理要素實(shí)現(xiàn)對(duì)內(nèi)部審計(jì)風(fēng)險(xiǎn)的細(xì)化分析、評(píng)估、應(yīng)對(duì)和管理，從而起到降低內(nèi)部審計(jì)風(fēng)險(xiǎn)，控制風(fēng)險(xiǎn)在管理層及審計(jì)主體可接受的范圍，更好的發(fā)揮內(nèi)部審計(jì)的監(jiān)督和增值作用。

參考文獻(xiàn)：

[1]賁鐵波.強(qiáng)化內(nèi)部審計(jì)促進(jìn)企業(yè)管理[J].現(xiàn)代審計(jì)與會(huì)計(jì)，2012（01）：52.

[2]張愛(ài)琴.淺談供電企業(yè)內(nèi)部審計(jì)風(fēng)險(xiǎn)及控制[J].會(huì)計(jì)之友，2006（03）：55.

[3]IIA.內(nèi)部審計(jì)實(shí)務(wù)標(biāo)準(zhǔn).2004.

[4]IIA. Enterprise Risk Management Integrated Framework Executive Summary. 2004.

作者簡(jiǎn)介：宮巖偉（1982-），男，吉林蛟河人，碩士研究生，中級(jí)審計(jì)師，主要從事內(nèi)部審計(jì)工作。