文 献 综 述 COSO委员会在2004年发布了《企业风险管理#8212;整合框架》。

该框架对风险管理的定义表述是：风险管理是一个过程，它由公司董事会、管理层以及其他员工执行，适用于公司战略的制定和整个公司范围，用来识别可能对公司产生影响的潜在事项，并将风险控制在企业可以承受的水平以内，为公司目标的实现提供合理保证。

这些目标包括四类：战略目标、运营目标、报告目标、合规目。

该框架文件把风险管理的要素分为八个：内部环境、目标制定、事件识别、风险评估、风险反应、控制活动、信息与沟通、监督。

经过近年来的发展，内部审计正在逐渐承担起风险管理的职能，尤其是在当今因为经济全球化带来的风险全球化的背景下，许多世界知名跨国集团，内部审计的风险管理职能正在广度和深度上得到有效的发挥。

在公司治理结构中，内部审计代替股东对经营者实施监控，是是公司的监督者，；在公司治理机制中，内部审计又是这个机制运行控制中不可替代的重要环节。

风险管理的首要环节是对风险的识别，而内部审计正是以风险敏感性为起点开展工作，由此可见，基于ERM的公司治理和内部审计之间的复杂关系亟待理清。

一、公司治理概述 1.公司治理相关概念 严晖（2005）在《公司治理、公司管理与内部控制》一文中认为2004年COSO委员会正式发布的企业风险管理框架（ERM）是对内部控制理论一个飞跃性的提升。

为此她从公司治理内涵入手，以广义公司治理所基于的利益相关者理论为基础，对公司治理与公司管理的关系、内部控制演变过程与公司管理的关系等进行了研究。

最终的结论是，ERM能提高公司治理效率，实施有效公司管理，实现公司治理和公司管理的有机整合。