2004年美国COSO《内部控制》――在整体框架（IC框架）的基础上，扩大了风险识别、风险评估、风险响应等企业风险管理内容的发布，发布了《企业风险管理总体框架》（ERM框架），在内部控制的基础上扩大了企业风险管理。

2006年，国有资产监督管理委员会根据ERM框架发布了《中央企业综合风险管理指南》。中国五矿、宝钢集团、中国海油（以下简称三个试点区）于2008年开始实施综合风险管理，2011年完成试点工作，2012年总结风险控制实施案例，选为国有资产监督管理委员会《企业综合风险管理指导手册》。本文将在这些案例的基础上，通过理论分析，探讨内部审计如何在风险控制的实施中发挥积极作用。

内部审计参与风险管理的动机

1.内部审计和风险管理的作用与目标相似

IIA将内部审计职能定位为“增加价值，改善组织运作，协助组织实现目标”。也就是说，内部审计具有升值的特点，升值的方法是改进组织运作，最终目标是帮助企业实现目标（部分子目标）。COSOERM框架对企业风险管理的定位是为实现经营效率和质量、财务报表稳定性和法规遵守提供合理保障。也就是说，企业风险管理也具有升值的特点，体现在经营效率和质量上，最终目标是合理保证企业目标（部分子目标）的实现。风险控制不仅可以通过调整、转移、分散等风险应对方式合理减少损失，还可以通过管理机会风险（与纯损失风险相对应）直接为企业增加价值。例如，三个试点区中国五矿通过识别关键风险因素，建立风险量化模型，管理大宗商品价格波动风险，直接增加价值。简而言之，内部审计和风险控制通过提高运营效率和质量来增加价值，尽管升值方式不同，与企业目标密切相关，帮助或合理确保企业目标的实现。

2.内部审计是风险控制的重要组成部分

COSO风险管理的ERM框架由八个要素组成，主要包括内部环境、目标设置、事件识别、风险评估、风险对策、控制活动、信息与沟通和监管。第八个要素“监管”不仅包括业务部门对风险的自我评估，还包括风险管理部门对风险管理工作的全面检查，还包括内部审计部门对风险管理工作的再检查，即对风险管理工作进行独立客观的评估和确定，并提供咨询。风险控制作为一种管理职责和一种管理过程，具有“决策”―执行―监督”和“计划”―执行―检查―行动”（PDCA）等待常见管理周期的属性。只有充分参与内部审计，发挥监督作用，这些管理周期才能形成管理闭环，不断优化和改进。

3.风险控制是内部审计的监督对象

IIA对内部审计的定义表明，内部审计的对象是“风险控制、控制和治理”。我国《内部审计准则》强调了内部控制和风险控制的两个核心概念。国家审计署修订的《内部审计工作条例》描述了内部审计的基本职责，即“审查单位和单位内部控制制度的健全有效性和风险控制”。从工作实践的角度来看，风险控制应该是内部审计的监督对象。

杨英杰（2011）经过理论研究，认为“内部审计不仅是内部控制的重要组成部分，也是风险控制的重要组成部分”。一些学者认为内部控制和风险控制是内部一致性的，谢志华（2007）认为“内部控制是规避风险，规避风险是风险控制”，丁友刚和胡兴国（2007）也认为“内部控制本质上是公司内部风险控制机制”。从理论研究的角度来看，风险控制也是内部审计的监督对象。

思考和启发

综上所述，内部审计和风险管理的作用与目标相似。内部审计是风险控制的重要组成部分，风险控制是内部审计的监督对象，内部审计具有参与风险管理的内在动机。内部审计可以在风险控制实施过程中发挥咨询作用，通过加强风险导向，扩大升值作用，甚至审计风险控制。

为了在风险控制中发挥更大的作用，内部审计也受到以下因素的限制，必须尽快进行研究和优化：一是2006年浙江省内部审计协会调查显示，我国内部审计机构独立性差，审计方法落后，审计主要是事后审计，审计只占事先审计的一小部分；二是中国上市公司和国有企业内部人员控制现象突出，中国内部审计准则不要求内部审计干预公司治理领域，影响内部审计职能的充分发挥；三是2004年江苏省内部审计协会调查结果显示，我国内部审计人员知识结构不合理，财务背景多，一线管理背景少，对信息技术和计算机技术不熟悉；第四，风险控制是一种新的管理工具，需要新的概念、方法和工具，给内部审计带来影响和挑战。