The Impact of Enterprise Risk Management on the Internal Audit Function

The Impact of Enterprise Risk Management on the Internal Audit Function 
Mark S. Beasley 
Professor of Accounting and Director of the Enterprise Risk Management Initiative 
North Carolina State University 
Box 8113 
Raleigh, NC 27695­8113 
(919) 515­6064 
(919) 515­4446 (FAX) 
Mark_Beasley@ncsu.edu 
Richard Clune 
Assistant Professor 
Kennesaw State University 
Department of Accounting 
1000 Chastain Road 
Kennesaw, GA 30144­5591 
(770) 423­6514 
(770) 499­3420 (FAX) 
Richard_Clune@kennesaw.edu 
Dana R. Hermanson 
Dinos Eminent Scholar Chair of Private Enterprise 
Kennesaw State University 
Department of Accounting 
1000 Chastain Road 
Kennesaw, GA 30144­5591 
(770) 423­6077 
(770) 499­3420 (FAX) 
Dana_Hermanson@kennesaw.edu 
February 2006 
Acknowledgements: We gratefully acknowledge the financial support of the Institute of 
Internal Auditors (IIA) Research Foundation and the assistance of Don Sparks of the IIA. 
We appreciate helpful suggestions from Joe Carcello, Todd DeZoort, Paul Walker, and 
workshop participants at North Carolina State University.

---

The Impact of Enterprise Risk Management on the Internal Audit Function 
Abstract 
This exploratory study provides evidence about factors associated with the overall 
impact of enterprise risk management (ERM) on the internal audit function’s activities. 
Based on responses from 122 organizations in several countries, we find that ERM has 
the greatest impact on internal audit’s activities when (a) the organization’s ERM process 
is more completely in place, (b) the CFO and audit committee have called for greater 
internal audit activity related to ERM, (c) the chief audit executive’s (CAE) tenure is 
longer, (d) the organization is in the banking industry or is an educational institution, and 
(e) the internal audit function has provided more ERM leadership. We offer implications 
and future research directions. 
Key Words: Enterprise risk management, Internal audit, Corporate governance, Risk, 
Control, Chief audit executive, Chief financial officer, Audit committee, Banking, 
Education
1 

---

The Impact of Enterprise Risk Management on the Internal Audit Function 
Enterprise risk management (ERM) has received unprecedented international 
attention in recent years. In response to growing expectations for effective risk 
management across the entire enterprise, many leading organizations are abandoning 
their traditional approach to managing risks by silos, where risks areas are managed in 
isolation from one another, and are adopting an enterprise risk management approach 
(Lam, 2000; Liebenberg and Hoyt, 2003). Thus, in many organizations, “risk 
management” is transforming into ERM. 
One of the issues surrounding ERM is the role of internal auditors in ERM 
processes. Because internal audit professional standards take a risk­based approach, the 
internal audit function has a significant interest in the enterprise’s risk management 
process, as it affects internal audit’s professional responsibilities (IASB, 2004). Despite 
internal audit’s natural interest in ERM, there is debate as to the role of the internal audit 
function in ERM. In fact, the internal audit profession recently issued a call for research 
about the role of the internal audit function in ERM in its 2003 Research Opportunities in 
Internal Auditing (IIARF, 2003), and the Institute of Internal Auditors (2004) has issued 
guidance on internal audit’s proper role in ERM. Two recent studies (Beasley et al., 
2005a; Gramling and Myers, 2006) have examined internal audit’s role in ERM at a 
micro­level (i.e., what specific ERM­related role does internal audit play?), but no study 
has examined the overall impact of ERM on internal audit’s activities (i.e., in which 
situations does ERM alter internal audit’s focus and workload to the greatest extent?). 
To add to our understanding of the relation between ERM and internal audit, this 
study empirically examines the overall impact of ERM adoption on the internal audit
1 

---

function’s activities. We find that the impact of ERM on internal audit is affected by the 
organization’s stage of ERM development, the extent of explicit calls for internal audit’s 
involvement in ERM from other governance participants, the tenure of the organization’s 
chief audit executive (CAE), the organization’s industry, and internal audit’s ERM 
leadership efforts. We believe that these results will provide useful insights for academics 
and others interested in the relation between ERM and internal audit. 
The next section provides a brief overview of recent developments in the ERM 
paradigm, followed by separate sections containing background information leading to 
our expectations, our research methodology, and our results and conclusions. 
ERM DEVELOPMENTS 
The lack of a widely­accepted ERM conceptual framework led the Committee of 
Sponsoring Organizations of the Treadway Commission (COSO), widely known for its 
Internal Control­Integrated Framework (COSO, 1992), to initiate an effort to develop 
common terminology and an accepted framework for ERM. In September 2004, COSO 
(2004) issued Enterprise Risk Management ­ Integrated Framework, that provides a 
model of the ERM process and defines ERM as: 
[A] process, effected by an entity’s board of directors, management and other 
personnel, applied in strategy setting and across the enterprise, designed to 
identify potential events that may affect the entity, and manage risk to be within 
its risk appetite, to provide reasonable assurance regarding the achievement of 
entity objectives. 
The extent of internal audit involvement in ERM is receiving attention and is the 
focus of recent controversy (Banham, 2004; IIA, 2004). The COSO ERM framework
2 

---

calls on the internal audit function to “assist management and the board of directors or 
audit committee by examining, evaluating, reporting on and recommending 
improvements to the adequacy and effectiveness of the entity’s enterprise risk 
management” (COSO, 2004, 88). Some argue that enterprise risk management should be 
managed by traditional risk overseers from management disciplines such as finance or 
insurance, and that the role of the internal audit function in ERM should be limited to the 
last component in COSO’s ERM framework – monitoring. 
Others believe the internal audit function plays a vital role in overseeing all eight 
components of the ERM Framework, given internal audit’s natural focus on risks and 
controls. Thus, there is no precise method or “silver bullet” for the role of internal audit 
in ERM (Walker et al., 2002). In fact, the controversy led The Institute of Internal 
Auditors (IIA) in the United Kingdom and Ireland to issue a position statement 
addressing specific ways internal audit should and should not be involved in ERM to 
maintain its objectivity and independence. 
The U.K. and Ireland position eventually was embraced as an IIA global position 
statement issued in September 2004 (IIA, 2004). The position statement asserts that 
“organizations should fully understand that management remains responsible for risk 
management. Internal audit should provide advice and challenge or support 
management’s decisions on risk, as opposed to making risk management decisions” (IIA, 
2004, 2). The IIA’s position allows for numerous types of internal audit activities related 
to ERM. This allows for extensive variation in internal audit involvement in ERM.
3 

---

RESEARCH MOTIVATION 
Two studies published by the IIA Research Foundation offer initial insight into 
the role of the internal audit function in ERM. First, Tillinghast­Towers Perrin (2001) 
performed a survey in 2000 of approximately 130 executives, including both internal 
audit and other management executives, and found that internal audit was involved in 
ERM committees / working teams in 32 percent of the responding organizations. While 
this survey provides some initial descriptive information about internal audit’s 
involvement in ERM, the primary focus is on ERM deployments, with only minimal 
focus on internal audit’s involvement. 
Second, Walker et al. (2002) provide descriptive information about the role of 
internal auditing in ERM processes at five leading companies (FirstEnergy Corporation, 
General Motors, Unocal, Wal­Mart, and Canada­Post Corporation). The study identifies 
the major foundational elements in an ERM implementation and highlights the role 
internal auditors have played in these five organizations on a case­by­case basis. The 
authors find that the internal audit function is heavily involved in ERM in each company, 
but in different ways. Across these five companies, the internal audit function “assisted in 
identifying risks, facilitated risk workshops, integrated and aggregated information from 
the workshops, helped develop ERM processes, and generated risk reports” (Walker et 
al., 2002, 16). The authors also note that the chief audit executive plays a significant 
ERM leadership role in each company – including such roles as spearheading the ERM 
effort, being the “ERM process owner,” and being given the role of “risk champion” 
(Walker et al., 2002, 13).
4 

---

In addition, two more recent papers provide specific insight into ERM and 
internal audit developments. 1  First, Beasley et al. (2005a) present descriptive statistics on 
the adoption of ERM by global organizations and on the specific role of internal audit in 
ERM. The authors find that 48 percent of surveyed organizations have complete or partial 
ERM frameworks in place. They also find evidence of close interaction between internal 
audit and the Chief Risk Officer, as well as evidence of internal audit focus on 
coordinating ERM efforts among various parties, assisting with risk identification, 
suggesting control activities, and monitoring the ERM process. 
Second, Gramling and Myers (2006) examine internal audit’s specific role in 
ERM for conformity with the appropriate internal audit role identified by the IIA (2004). 
They find that internal audit involvement in areas the IIA deemed “core” activities for 
internal audit is moderate, involvement in areas the IIA deemed “legitimate with 
safeguards” is limited / moderate, and involvement in areas the IIA deemed inappropriate 
is limited. Overall, internal audit’s ERM­related activities at many organizations appear 
fairly consistent with the IIA guidelines. 
Research Expectations 
In contrast to Beasley et al. (2005a) and Gramling and Myers (2006), which focus 
on specific elements of internal audit activity in ERM, the present study uses multivariate 
regression to explore factors associated with the overall impact of ERM on the internal 
audit function. In other words, in which situations does ERM alter internal audit’s focus 
and workload to the greatest extent? In this study, we examine the relation between 
various organizational characteristics and the impact of ERM on the internal audit 
function for a sample of organizations around the world.
5 

---

Stage of ERM Development. We address the entity’s stage of ERM development 
and its relation to the impact of ERM on the internal audit function. Logically, we expect 
that organizations farther down the path toward complete ERM adoption will have placed 
greater ERM­related responsibilities on their internal auditors. For example, more 
extensive ERM processes may require greater monitoring by internal audit. 
ERM­Related Demands. We address the role of ERM­related demands placed 
on the internal audit function by the audit committee and senior management. Most 
proponents of ERM argue that the board of directors and senior management must fully 
embrace ERM for ERM to be effective. Walker et al. (2002) note that an ERM initiative 
cannot succeed without strong support in the organization from senior management, and 
Beasley et al. (2005b) find management support to be associated with the extent of ERM 
implementation. Kleffner et al. (2003) find that the board of directors is becoming more 
involved in risk management activities, and the board’s influence is related to ERM 
adoption. We expect audit committee and top management demands for internal audit 
involvement in ERM to increase internal audit’s ERM­related activities. 
CAE Tenure. Given the importance of the chief audit executive in directing 
internal audit’s activities and the leadership role of the chief audit executive in ERM (see 
Walker et al., 2002), we examine whether the CAE’s tenure is associated with internal 
audit’s role in ERM. It is possible that chief audit executives with longer tenure (i.e., 
more formal or informal status and influence) are more likely to lead the internal audit 
function into significant ERM­related roles. Conversely, it is possible that chief audit 
executives with longer tenure may be more “set in their ways” and may not embrace
6 

---

involvement in a new initiative such as ERM. Thus, we do not offer a directional 
expectation. 
Organization Size. We examine whether organizational size is associated with 
the impact of ERM on internal audit. As an organization’s size increases, the scope of 
events threatening an enterprise is likely to differ in nature, timing, and extent. Colquitt et 
al. (1999) find that large firms are more likely to adopt integrated risk management 
processes than smaller firms, and Beasley et al. (2005b) find more extensive ERM 
implementation in larger organizations. We expect that larger entities also are more likely 
to have a more extensive internal audit presence (Carcello et al., 2005), which may allow 
for greater internal audit involvement in ERM. 
Industry. We examine whether industry is associated with the impact of ERM on 
internal audit. Beasley et al. (2005b) find more extensive ERM implementation in the 
banking, education, and insurance industries. Financial institutions face significant 
regulation and financial reporting risks (e.g., Beasley et al., 1999). Banks (regulated 
industries) also are more likely to have an internal audit function (Wallace and 
Kreutzfeldt, 1991) and to invest more heavily in the internal audit function (Carcello et 
al., 2005). Banks have been leaders in ERM adoption due to the emphasis on risk 
management in global regulation (Basel II, 2004) as a way to reduce a bank’s minimum 
capital requirements. In fact, the U.S. Federal Reserve Board has recently announced 
expectations for expanded ERM processes in U.S. financial institutions (Bies, 2004). 
Given these factors, we expect ERM to have a greater impact on internal audit in the 
banking industry.
7 

---

Educational institutions also face significant regulation and have been strongly 
encouraged to adopt ERM. The higher education community is not unlike the business 
world regarding risks it faces, and institution­wide risk management makes good business 
sense for institutions of higher learning (Whitfield, 2004). Furthermore, a call for ERM in 
higher education notes that internal audit is best positioned to champion such institution­ 
wide initiatives if staffed with knowledgeable personnel (Whitfield, 2004). As a result, 
we test whether ERM has a greater impact on internal audit in the education industry. 2 
Leadership in ERM. Walker et al. (2002) find that the chief audit executive and 
the internal audit function typically play a leadership role in ERM. We expect greater 
ERM leadership by internal audit to translate into a greater ERM impact on the internal 
audit function (i.e., by taking the initial lead on ERM, internal audit ultimately becomes 
much more involved in ERM once it is in place). 
METHOD 
Survey 
To gather information on the impact of ERM on internal audit, we developed a 
survey to be administered to chief audit executives (Beasley et al., 2005a, 2005b). The 
survey provided the COSO definition of ERM and was consistent with the elements of 
ERM identified by COSO. The survey was pre­tested by five academics and four 
practitioners, and appropriate revisions were made. The survey also benefited from input 
provided by an IIA official who converted the survey into an online format and 
accumulated the survey responses. The survey was relatively lengthy, which allowed us 
to gather a great deal of information about the organization’s ERM efforts, as well as
8 

---