尽管1992年COSO的整体架构在提高人们对内部控制的认识程度、加强内部控制在公司治理中的作用方面发挥了重要的作用，但是没有将确定目标、战略规划、风险管理和纠错行动包括在内。自从其发布以来，遭受了持续的批评甚至否定。内部控制整体架构被普遍认为是用来减少外部审计职业风险，而非服务于管理者的、以企业会计财务控制为中心的财务报告质量控制框架，CoCo控制指南、MBNQA评价标准、IIA内部控制指南纷纷出台并在企业风险日益威胁企业生存的环境中得到越来越广泛的应用。COSO整体架构面临严峻的挑战，企业风险管理框架就是COSO应对这种挑战的产物[4].

　　ERM是一个包含四个目标、八个要素和四个层次的整合框架，四个目标、八个要素和四个层次相互交叉，和原来的ICIF相比，完全体现了管理者以企业风险管理为己任的理念。首先，ERM在目标方面增加了战略目标，将对企业的风险关注重点引向了重大的、根本性的战略问题；其次，在ICIF五要素的基础上增加了目标设定、事件识别和风险评估三个要素，与原来的风险评估要素一起构成了一个完整的风险管理的基本过程；最后，ERM强调将企业风险管理覆盖所有层次，包括业务单元、子公司、分支机构和公司的整体层次，而业务单元、子公司、分支机构和公司的整体层次正是公司治理和内部控制涉及的全部领域。可见，ERM是一个整合公司治理和内部控制的企业风险管理框架，它关注包括公司治理领域和内部控制环节的风险在内的一切风险，而公司治理领域和包括内部控制环节的风险在内的所有风险正是风险导向内部审计的对象。所以，企业风险管理框架就可以被视为风险导向内部审计的对象。

　　（二）企业风险管理框架为实践风险导向内部审计提供了现实指导

　　风险导向内部审计为企业在高风险环境中的内部审计提供了一种新的理念，但是这种新的理念并没有为内部审计人员实践风险导向内部审计提供一个可以据以操作的具体思路。内部审计想要实践风险导向内部审计，就必须根据一般的风险管理模式开发与维护内部审计的风险管理审计程序。这就产生了以下问题：第一，开发与维护内部审计的风险管理审计程序需消耗额外的内部审计资源；其次，内部审计开发出来的风险管理审计程序可能和企业内部既有的风险管理程序发生冲突，在缺少权威性的专业指导时得不到重视。ERM的出台为风险导向内部审计提供了权威的工作依据。根据ERM，风险导向内部审计的工作就可以有条不紊地分解为：针对组织特定目标（战略目标、报告目标、经营目标与合法性目标）、特定的管理层次（组织整体层面、分部、经营单元、子公司）实施各自的风险审计程序（内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通），内部审计无须在目标制定环节之外另外寻求其它的目标分类标准，无须为确定审计范围进行太多的思考，更无须为风险导向审计程序本身的设计投入更多的资源。

　　四、风险导向内部审计与风险导向外部审计的差异

　　在IIA倡导风险导向内部审计以前，外部审计就在实施风险导向外部审计。风险导向外部审计是指外部审计为了适应审计业务量巨大的增长，降低审计成本，高效利用审计资源的同时有效降低审计风险而开发的一种现代审计风险模式，它是对制度基础审计的高度深化与全面发展，正日益受到审计理论界的推崇和实务界的青睐。因此，探讨风险导向内部审计与风险导向外部审计两者的差异就成为风险导向内部审计的又一个基本的问题。

　　虽然风险导向内部审计与风险导向外部审计都高度重视对审计客体的风险评估，但是“风险导向”的内涵、目标和范围在内部审计和外部审计中是完全不一样的。

　　（一）两者的内涵不同。风险导向内部审计是以内部审计的主体组织的内部控制为基础、同时考虑公司治理在内的、以组织整体风险作为审计重点的一种审计。这里的风险突出的是审计对象的含义；而风险导向外部审计是指审计主体在进行审计程序时，首先评估企业的风险，然后依据风险评估的结果来确定审计的重点，从而决定审计资源的分配，进而确定余额测试和交易测试的内容。这里的风险导向实质是一种审计策略。

　　（二）两者的目标不同。风险导向内部审计的目标在于通过对风险评估来提出风险管理的对策，有效降低所在组织的风险，从而增加企业的价值，充分发挥内部审计的作用。而风险导向外部审计的目标则在于审计主体的利益最大化。这个目标通过以下方式实现：第一，提高审计效率。企业进行财务造假或进行虚假陈述，往往是在企业无法完成既定目标的领域、也就是企业的高风险领域发生的。而在低风险领域，企业没有相应的动机。因此外部审计可以首先识别出企业的高风险领域，进而集中审计资源进行重点、详细的审计，从而提高审计的效率。第二，降低审计风险。在不存在法律责任的情况下，审计风险并不会给审计主体带来利益上的伤害，但是现代资本市场中投资者和其它第三方经常以侵权或违约来对外部审计提起诉讼，使其承担巨额的损害赔偿责任，从而现实地影响到审计主体的利益。而风险导向审计的宗旨就是使审计风险处于严密的控制之下，有效地减少外部审计的法律责任，因而风险导向外部审计的目标就是通过提高审计效率、降低审计风险来服务于审计主体，以维护审计主体自身的利益。

　　（三）风险范围不同。作为审计的内容，风险导向内部审计中的风险是针对组织所有目标、所有管理层次的各种性质的全部风险，它可以理解为ERM中的关注全部风险，其中包括战略风险、报告风险、遵循风险和经营风险。而作为审计的策略，风险导向外部审计中的风险只是与企业报告的编制流程相关的、影响企业报表公允性的内部控制失效风险，它基本上等同于1992年ICIF关注的风险和ERM关注的部分风险———报告风险中的财务报告风险。

　　五、结论与现实启示

　　风险导向内部审计是内部审计在高风险社会产生的、为了应对职业危机而推出的一种全新的审计理念。IIA通过修改内部审计定义加速了它的发展并使其成为现代内部审计发展的一种必然趋势。我们还注意到，风险导向内部审计与传统的控制导向内部审计相比有其独特的业务范围、服务对象和审计内容；同时，IIA风险导向内部审计与COSO的企业风险管理框架之间存在着内在的联系，但却与风险导向外部审计存在着本质的区别。在国际范围内推行风险导向内部审计，就是要在传统内部审计的基础上积极拓展业务范围，提升服务的层次，变革审计内容，有效借鉴企业风险管理框架提供的思路，并严格将其与风险导向外部审计区别开来。

　　与国际内部审计的实践相比，我国的内部审计实践尚处于较初级的阶段，这表现在我国现行的内部审计准则没有要求内部审计涉足公司治理领域，从而对组织的风险管理活动进行评估与改善，而只要求对内部控制进行评价和监督。但是，我国目前在内部审计发展过程中，风险导向内部审计产生与发展的现实背景同样存在。因此，我国也应该逐步推行风险导向内部审计。在我国推行风险导向内部审计，可以考虑从控制领域开始，以识别和评估组织风险作为内部控制评价与监督的目标，而把内部控制评价和监督作为风险管理的手段。只有这样，我国内部审计才能为组织提供更多的增值服务，从而提高在组织中的地位，未雨绸缪，消除潜在的职业危机。