审计师是信息风险的分摊者

【摘要】我为你提供范文其它会计审计论文:内部审计参与风险管理中的职责和作用，大家可以结合自身的实际情况写出论文。 内部审计参与风险管理不仅为内部审计自身提供了发展契机，而且作为企业内的一种独立、客观的保证和咨询活动，内部审计是公司治理必要和有价值的组成部分，能够在风险管理中发挥独特的作用，无论内部审计还是风险管理都能在这一过程中提高效率、创造价值。 一、内部审计评估内部环境 董事会各委员会之间持续的交流和联系;在公司层面和分支机构、小组层面分配治理责任和活动;阐明横向及纵向的监督事项;持续可靠的、有效的信息流动可以上达董事会各职能委员会;对包括但不限于治理，道德规范和监督政策的总体政策进行清楚地描述和沟通。只有组织存在一个经过仔细考虑的结构良好的治理环境，公司治理的流程和程序才能有效。公司的治理结构和政策应当反映组织的法律、经营和报告体系及其组成部分，而且必须在各治理事项间清楚地分配责任。在结构和政策方面，内部审计部门可以努力证实组织是否真正拥有这样一个公司范围的十分完整的治理、风险和合规环境，并评价其有效性，以帮助董事会和高级管理层。如果企业没有完整的治理方法，内部审计可以帮助其建立。另外，内部审计还可以帮助促进与其治理目标、活动及发现有关的信息在治理结构的各要素之间(如各委员会)持续和无障碍的交流。要实现上述目标，内部审计首先评价董事会、执行委员会及其章程的结构，以保证组织具有改善公司治理的恰当政策。这些政策应当一方面保证董事会具有实质上的独立，而不仅仅是名义上的独立;另一方面为组织的其他部分建立一个良好的道德规范和公司治理。内部审计在公司尚未建立风险管理的过程中，应积极向管理层提出建立风险管理过程的相关建议。如果公司尚未建立风险管理过程，内部审计人员应该提请管理层注意这种情况，并同时提出建立风险管理过程的相关建议。内部审计人员长期立足于本企业的具体岗位，比较熟悉公司的业务并能够随时深入到生产经营的全过程去了解掌握具体情况，通过周密详细的审前调查，收集到大量的第一手资料，从中发现存在风险的隐患问题，并对其构建以内部审计为基础的全面风险管理体系进行风险分析，从而制定出全面且符合实际的审计工作计划，提高工作效率。并了解了企业风险管理内部环境中公司治理结构的情况。 二、内部审计评估目标设定的合理性 企业的管理层和董事会决定企业的目标、实现目标的战略、商业模式以及实施战略的经营流程。核心及辅助的经营流程与组织的供应商、员工、资本提供者、内部审计参与风险管理相关问题研究客户及竞争者共同促进了战略的实施。除了决定这些外，管理层和董事会还要决定为实现其目标愿意接受多大的风险。对于某些组织而言，因为有较高的预期收益，管理层和董事或为组织本身，或为其他相关目标，愿意承担相当大的风险;对于另外一些组织，管理层和董事则不愿意承担过多风险。这种对风险的态度可称为“风险偏好”。战略及经营计划中隐含的整体组织风险为风险管理其他六个要素的运行提供了一个总体框架。这些目标及风险偏好为企业风险管理提供了总体标准。内部审计人员就是要系统地将组织战略和商业模式与对其实现构成威胁的风险联系起来，评估组织的战略目标、经营目标、财务目标、各个部门的目标的合理性。 三、内部审计评价风险事件识别的充分性 COSO概述的风险管理方法是以识别可能威胁组织目标实现的风险事件为基础的。事件识别以环境为基础，并需要针对可能的风险详细描绘所处的环境。内部审计人员针对现有内外环境(寿命周期、经验战略等)与经营过程，采用各种分析方法独立地推断所有潜在的重大风险，为评价企业是否合理制定风险管理策略与决定风险方案提供充分根据。风险事件的识别就是要将比可容忍风险更加严重的次要风险从主要风险中分离出来，并提供数据以有助于风险的评价和处理。我们把所有潜在的重大风险定义为风险征兆，风险征兆是风险因素与风险事故的结合，而这种结合可能形成风险损失的各种现实迹象。内部审计人员利用寿命周期分析法，SWOT分析法，KSF分析法，DCCS法，盈亏临界点分析法，财务、会计、统计指标分析法等捕捉风险征兆。 四、内部审计评价风险评估的合理性 经过风险事件的识别后，必须对风险事件量值(货币损失或事件发生可能性带来的负面影响程度)以及给定量值时不利事件发生的概率予以计量，为确定风险管理战略、政策与程序提供更为科学的依据;重要的是，对于以前风险战略决策、政策与程序通过与实际业务的结合的评价，可以检查其设计是否合理、适当，执行是否有效，尤其是要找出需要修正、完善之处;对于实行风险预警机制的企业，经过风险评估后，能进行合适的预警;对于己经变成现实的风险，需要对风险的处理进行评价，以便检查控制执行的差异，找出原因，明确责任。 五、内部审计评价风险反应措施的恰当性 在风险管理战略方针和策略指导下，风险反应措施有规避、控制与抑制、接受、转移四种，每种措施的实施都经过了风险与收益的权衡。企业风险管理框架中的风险反应将风险划分为三种风险收益类别。一些风险的风险收益关系在现有的量值和概率水平下是可接受的，这类风险可以完全接受。另外一些风险的量值或概率非常大，以至于不能接受且无法经济有效地加以抑制，因而超出了组织的风险容忍度，必须通过放弃有关计划从而避免受风险的影响，或通过在源头上预防风险来消除这类风险。还有一些风险是企业经常遇见的，风险收益的权衡可接受，但如果管理层不采取一定的行动，则不可接受。一些风险可以通过保险、套期保值、衍生工具转移给别人，或通过合营、联盟和定价手段来分摊。内部审计人员判断风险管理措施是否恰当，最好结合对管理层风险偏好判断来进行：第一，欲避免某种风险也许不可能;第二，采用规避风险方法最经济，以使内部审计参与风险管理相关问题研究收益小于控制成本;第三，避免一项风险可能产生另外新的风险。对于风险控制与抑制的评价，内部审计人员需要对内部控制设计的健全性、执行的有效性进行测试而评价。对风险转移措施的评价应当考虑各种风险转移形式的优缺点。如果企业采用风险接受措施，内部审计人员则可根据三个条件来判断企业管理层采用的.合理性：处理风险的成本大于承担风险所付出的代价;估计某种风险可能发生的重大损失本身可以安全承担;不可能转移于他人的风险或不可能防止的损失。 六、内部审计评价控制活动的科学性和合理性 许多风险可以通过经营过程的规划来控制，这些规划限制或减少所面临风险的可能性或量值。许多对交易和资产保护控制的内部控制程序或控制活动都是企业风险控制活动的例子。内部控制的时间一般应该针对总体和具体控制而言，因而分为一般(总体)控制和具体(应用)控制。总体控制从控制环境角度对组织业务进行总的控制;而具体控制则针对具体的程序和活动。如对采购业务进行控制，总体控制在设计时将这项业务分为招标、核定供应商名单一览表、对采购发票与合同一一核对、验收入库等具体活动，要求各活动间职责分离，而通过招标选择供应商只针对购货这一业务，这就是具体控制。内部审计人员应该从如下方面评价控制活动的科学性、合理性：一是审查相关交易过程的控制措施。好的内部控制的设计必须保证每项交易都备有证明文件，保证拒绝非法的交易，保证所有合法的交易能够被正确地处理。二是总体控制与具体控制。总体控制的缺乏会使具体控制失效。设计具体控制时，必须同时考虑相关的风险、报告的风险和发生的频率。三是多重控制。为防止一项控制措施不能发现和纠正错误的可能性，应设计多重控制。这里包括授权、职务分离、凭证、接触、实物清查等几个方面同时或交替的控制设计。四是对成本与效益原则的考虑。内部控制的设计应该遵从成本与效益原则，即将缺乏控制导致的损失与建立和实施控制的成本相比较，在寻求内部控制的独立性、有效性的同时，力求简洁与低耗。 七、内部审计评估信息与沟通的有效性 作为一个充满了生命迹象的有机体，组织的生存与发展牵涉到它的“健康”问题。影响组织健康的因素是多种多样的，而对于当前大多数企业而言，沟通机制的缺乏或低效率是影响组织健康的重要因素。有研究表明，组织内部存在着沟通的位差效应，即领导层的信息一般只有20%-25%被下级知道并正确理解，从下到上反馈的信息更是不超过10%;而平位论文内部审计参与风险管理相关问题研究交流的效率则可以达到90%以上。组织中的信息不通畅、员工的情感或情绪问题得不到合理宣泄和回应，天长日久就会沉淀淤积，导致组织有效运行障碍和日后组织病变。因此，有效的沟通机制可谓是企业的安全阀，当企业内部不利于组织的能量达到一定程度时，它能以适当的通道来释放这些能量。从而始终保持组织运行中的动态平衡。在一个组织中最重要的是：高层管理者的战略、目标意图能否自由、迅速、通畅地传递给下级，并且下级是否能充分理解上级的意思表达，并将意见充分反映到上级。而管理层对员工意见的获取和采纳程度，以及组织是否有多种沟通道都成为内部审计人员关注的焦点。企业内部有多个主体都需要获得风险评估和风险管理过程的相关、可靠的信息。管理层想要获取信息，并可靠地告知他人，以证明自己正在履行受托经济责任和法律责任。管理层也希望员工能够适当获取其所面临风险的信息，并将日常经营中出现的例外事项告知管理层。履行监督职责的审计委员会及外部董事通过确认风险得到恰当管理而得到安慰，他们也可以利用内部审计部门的确认报告作为其已经履行职责的证据。在一个组织中最重要的是：高层管理者的战略、目标意图能否自由、迅速、通畅地传递给下级，并且下级是否能充分理解上级的意思表达，并将意见充分反映到上级。而管理层对员工意见的获取和采纳程度，以及组织是否有多种沟通道都成为内部审计人员关注的焦点。企业内部有多个主体都需要获得风险评估和风险管理过程的相关、可靠的信息。管理层想要获取信息，并可靠地告知他人，以证明自己正在履行受托经济责任和法律责任。管理层也希望员工能够适当获取其所面临风险的信息，并将日常经营中出现的例外事项告知管理层。履行监督职责的审计委员会及外部董事通过确认风险得到恰当管理而得到安慰，他们也可以利用内部审计部门的确认报告作为其已经履行职责的证据。除了那些直接负责规划和实施企业风险管理的人外，其他人也有兴趣获知风险和风险管理的信息。供应商、消费者及员工都希望获得关于组织的风险及风险管理过程的确认信息。另外，投资者和债权人、潜在投资者及负责管理企业的管理机构也都想获得确认信息，作为减少意外信息及资产损失的一种方式。上述所有主体都对风险及风险降低的过程感兴趣，并且都想得到高质量的风险管理正在发挥作用的确认信息。但是他们的具体需求不同。因而，内部审计验证信息的准确可靠性时需要予以权衡，要评价信息能否被适当主体获取。 八、内部审计评估风险监控的有效性 内部审计对风险管理的监控实际上就是判定高级管理层的风险管理业绩的优劣，在这个过程中，内部审计人员要对风险评估过程进行再次评估，并为企业的风险管理提出改进建议，实现其增值功能。通常，风险监控是对意外情况和情况变化的持续监控，IIA的最新分析工具-分解(decom Positfon)在风险监控方面有很好的作用，并且非常适合管理会计师用于风险评估，以及内部审计人员在监控风险时运用。分解方法将经营计量系统记录的业绩与计划和预算中的预期业绩以及同一时期的竞争者进行比较，是监控风险环境变化的一种有效方式。与预期值的差异可以按其原因或“起源”按内部审计参与风险管理相关问题研究来解释，或者用风险分析中所指出的、环境或经营条件的变化超出了限度来加以解释。对原因进行相关、及时地计量和剖析便于管理层及时做出反应，也能更好发挥内部审计咨询方面的增值功能。 内部审计参与风险管理是内部审计的最新发展方向，其不仅为内部审计自身的发展提供了契机，而且有利于企业在市场竞争中处于优势地位，这是一个双赢的结局。随着企业经营环境的越来越复杂，风险管理技术会不断发展，同时内部审计本身和相应的审计技术也会向前发展，而内部审计参与风险管理的研究将来会有更广阔的前景。同时随着实践的发展，希望有更多的实务工作者加入研究的行列，不仅能丰富这方面的理论研究，更能提高研究结论的可行性。 总结：其它会计审计论文:内部审计参与风险管理中的职责和作用到这里就全部结束了。

审计动因的三种假说中视角最独特的是存在。

审计动因是指审计产生、存在与发展的动力和原因。主要的审计动因理论包括信息理论、代理理论、受托责任理论、保险理论、冲突理论等。审计的结果可以使信息更加可靠，减少出现于管理当局和投资者之间潜在信息不对称，使市场更具效率。

审计是企业中的股东与债权人、管理当局之间，为了减少代理关系下的代理成本，监督委托代理双方签订一系列契约条款实施的外部独立第三方，具有良好声誉的独立审计师在审计工作中既代表委托人的利益，也代表代理人的利益。

审计因受托责任的产生而产生，并伴随着受托责任的发展而发展，当受托责任关系确定后，客观上就存在授权委托人对受托人实行监督的需要。审计是一项独立的经济监督活动。

审计是降低风险的活动，即审计是一个把财务报表使用者的信息风险降低到社会可接受的风险水平之下的过程，甚至认为审计是分担风险的一项服务。审计是风险的分担。

审计存在的根本原因在于人跟人之间存在的利害，因为财务报表的提供者和使用者之间、使用者和使用者之间的利益并不一致，这种实际或潜在的利害冲突导致财务报表存在不实报道的可能性，而审计是协调冲突的活动。

审计动因权力分散的结果：

随着社会环境的改变，组织规模的不断扩大，无论是由财产所有者还是由少数管理人员直接控制组织的全部经营管理工作都变得越来越不现实，这时就出现了权力的分散。

就政府审计而言，不论社会制度如何，财产所有者都需要对财产管理者，即政府行政部门的管理活动进行监督；就内部审计而言，由于决策权和其他管理权部分下放，有些部门或分支机构要实行独立经营。

就独立审计而言，由于公司所有者——股东不参与管理，管理权交由公司管理部门如董事会等执行，公司所有者同样需要聘请独立的审计师对管理部门的管理活动予以监督。所以，权力的分散是审计产生的原因之一。

信息系统审计和控制协会是什么组织？ 信息系统审计和控制协会（The Information System Audit and Control Asociation,ISACA)成立于1969年，是一个总部设在美国的芝加哥、拥有20000多名会员的跨国界、跨行业的专业机构，其前身为EDP审计师联合会。ISACA目前在世界上100多个国家设有160多个分会，其职责包括：（1）组织制定相关领域专业标准，其设定的标准目前被作为世界范围内IT审计、控制的指导方针；（2）提供IS审计、控制、安全领域内国际上承认的认证项目，如信息系统审计师资格认证；（3）研究关键的管理和技术主题的专业发展项目；（4）提供包含最新的研究、案例学习、信息知识入门等在内的专业出版物；（5）指导会员专业的活动和操行的职业道德准则。ISACA是目前唯一有权授予国际信息系统审计师资格的组织。 信息系统审计师（Certified Information System Auditor,CISA)，通常简称为IT审计师，是指获得信息系统审计和控制协会颁发的CISA资格证书的专业人士。他们既通晓信息系统的软件、硬件、开发、运营、维护、管理和安全，又熟悉经济管理的核心要义，能够利用规范和先进的审计技术，对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造的专业人士。由信息系统审计和控制协会颁发的信息系统审计师资格，现已成为国际信息系统审计、控制与安全专业领域公认的职业资格，也是国际信息系统领域唯一的一种职业资格。 信息系统审计师具体要做哪些工作？1．信息系统审计师首先要关注信息安全。采用各种方法来测试系统的安全性，并对来自内部和外部的安全隐患提出相应对策。2．信息系统审计师还要关注信息系统的稳定性。会提出一系列对策保证客户信息系统的万无一失。1．软件供应商，特别是经济管理类的集成软件供应商。他们需要信息系统审计师参与产品设计、规划和检测，对客户现有信息系统进行评价，提出改造设想。目前全球所有重要的ERP和CRM产品供应商都聘请大量信息系统审计师。2．管理咨询机构。20世纪90年代以后，国际管理咨询的重点已经逐步发展成为客户提供一揽子解决方案，其中信息系统的配置是解决方案获得成功的基础。因此，目前国际知名的管理咨询机构中，有50％以上的员工熟悉信息技术，其中20％拥有信息系统审计师资格。3．会计师事务所。会计师事务所也是信息系统审计师最早的落脚点。目前国际会计公司超过30％的收入来自于风险管理部门，而该部门最主要的工作就是监控客户的信息系统风险和运营风险，并为客户提供ERP或CRM的安装、维护和培训。另外，目前会计师事务所中传统财务报表审计也越来越离不开信息系统审计师。因为没有他们的工作，评估内部控制风险和企业固有风险都将成为一句空话。因此，目前的国际会计公司中，最年轻的合伙人或经理往往都是信息系统审计师。4．跨国公司。跨国公司作为信息系统最集中的用户，为参与信息化建设的过程，并时刻保持对分支机构的信息监控，急需大量信息系统审计师。还有一种最新迹象表明，跨国公司内部审计部门也在大量招聘信息系统审计师，以加强内部监督和牵制。5．大型国有企业和上市公司。这些机构往往有雄厚的财力来实现管理的信息化、保证生产经营的稳定性，他们对信息系统审计师的要求和跨国公司类似。