企业合规审计刍议
发布时间:2019-03-15
文 | 郭青红 汇业律师事务所 合伙人
合规审计是企业合规管理体系的构成要素之一,属于企业内部控制审计,独立于合规管理。
合规审计的内容、程序、方法等与企业合规管理评估趋同,但合规管理评估是合规组织的自我评价与纠错,合规审计是独立第三方的评价和监督。
一、企业合规审计,属于企业内部审计范畴
企业合规审计是企业内部审计部门对作为企业内部控制核心内容的企业合规管理的适当性和有效性进行的内部审计。
1、根据《企业内部控制基本规范》(我国财政部、证监会、审计署、银监会、保监会2008年5月22日)第三条,企业内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。
因此,企业合规管理是企业内部控制首要的、核心的内容。
2、按照《中国内部审计准则》(中国内部审计协会2013年8月20日)第二条,内部审计是一种独立、客观的确认和咨询活动,它通过运用系统、规范的方法,审查和评价组织的业务活动、内部控制和风险管理的适当性和有效性,以促进组织完善治理、增加价值和实现目标。
按照《中央企业内部审计管理暂行办法》(我国国资委2004年8月30日)第三条,企业内部审计是指企业内部审计机构依据国家有关法律法规、财务会计制度和企业内部管理规定,对本企业及子企业(单位)财务收支、财务预算、财务决算、资产质量、经营绩效,以及建设项目或者有关经济活动的真实性、合法性和效益性进行监督和评价工作。
因此,企业合规管理是企业内部审计的核心内容,企业内部控制审计包括对企业合规管理的审计,即合规审计。
二、企业合规审计是企业合规管理体系的基本构成要素
内部审计独立于合规管理。合规审计属于企业内部控制审计的组成部分。因此,有观点认为合规审计不应是企业合规管理体系的构成要素。
但是,我们认为,企业合规审计既属于企业内部控制范畴,也是企业合规管理体系的重要的、基本的构成要素。这一点已被有关企业合规管理的国际组织的标准、指南以及我国国家标准、指引和办法所确认。列示如下:
三、企业合规审计与企业合规管理
(一)企业合规风险的三道防线
企业合规风险的三道防线,在巴塞尔银行监管委员会《合规与银行内部合规部门》中已初见雏形,要求合规部门应与审计部门分离,以确保合规部门的各项工作受到独立的复查。
我国国资委2016年6月6日《中央企业全面风险管理指引》第十条对风险管理三道防线提出了明确指引,要求具备条件的企业可建立风险管理三道防线,即各有关职能部门和业务单位为第一道防线;风险管理职能部门和董事会下设的风险管理委员会为第二道防线;内部审计部门和董事会下设的审计委员会为第三道防线。
我国保监会《保险公司合规管理办法》第二十条至第二十三条对保险公司合规风险的三道防线做了具体规定,要求保险公司应当建立三道防线的合规管理框架,确保三道防线各司其职、协调配合,有效参与合规管理,形成合规管理合力。
1、第一道防线(第二十一条):各部门和分支机构
保险公司各部门和分支机构履行合规管理的第一道防线职责,对其职责范围内的合规管理负有直接和第一位的责任。要求保险公司各部门和分支机构主动进行日常的合规管控,定期进行合规自查,并向合规管理部门或者合规岗位提供合规风险信息或者风险点,支持并配合合规管理部门或者合规岗位的合规风险监测和评估。
2、第二道防线(第二十二条):合规管理部门和合规岗位
保险公司合规管理部门和合规岗位履行合规管理的第二道防线职责。合规管理部门和合规岗位应当履行合规管理职责,向公司各部门和分支机构的业务活动提供合规支持,组织、协调、监督各部门和分支机构开展合规管理各项工作。
3、第三道防线(第二十三条):内部审计部门
保险公司内部审计部门履行合规管理的第三道防线职责,定期对公司的合规管理情况进行独立审计。
(二)合规管理与内部审计分属相互独立的部门
有关企业合规管理的国际组织标准、指南以及我国国家标准、办法和指引都规定,合规管理与内部审计属于两个相互独立的部门。
1、分属合规风险的两道防线
如上所述,企业合规管理与内部审计分属企业合规风险的第二道防线与第三道防线,共同为企业合规风险的防控发挥作用。
2、合规管理与内部审计属于两个不同管理职能部门
合规管理负责合规管理体系的建设、运行和保障,是企业内部控制的核心组成部分。合规审计属于企业内部审计的重要组成部分。两者属于不同的管理职能部门。
3、合规管理与内部审计相互独立
巴塞尔银行监管委员会《合规与银行内部合规部门》原则8、我国银监会《商业银行合规风险管理指引》第二十二条、发改委等七部委《企业境外经营合规管理指引》第二十六条,都要求合规部门应与审计部门分离,以确保合规部门的各项工作受到独立的复查。
我国保监会《保险公司合规管理办法》将合规管理与合规审计分属合规风险防范的第二道防线和第三道防线加以规定。
我国国资委《中央企业合规管理指引(试行)》第十一条将企业内部审计部门确定为企业合规组织之一,但属于与合规管理相互独立的部门,要求监察、审计、法律、内控、风险管理、安全生产、质量环保等相关部门在职权范围内履行合规管理职责。
(三)合规管理是合规审计的对象
有关企业合规管理的国际组织的标准、指引以及我国国家标准、指引和办法都确定合规管理是合规审计的对象和范围。
巴塞尔银行监管委员会《合规与银行内部合规部门》原则8规定,合规部门应与审计部门分离,以确保合规部门的各项工作受到独立的复查。
我国银监会《商业银行合规风险管理指引》第二十二条规定,合规管理职能的履行情况应受到内部审计部门定期的独立评价。内部审计方案应包括合规管理职能适当性和有效性的审计评价,内部审计的风险评估方法应包括对合规风险的评估。
我国发改委等七部委《企业境外经营合规管理指引》第二十六条规定,企业审计部门应对企业合规管理的执行情况、合规管理体系的适当性和有效性等进行独立审计。
(四)企业内部审计的规章制度是合规审查的对象
有关企业合规管理的国际组织的标准、指南以及我国国家标准、办法和指引都规定,企业规章制度是企业合规审查的主要内容之一。有关企业内部审计的规章制度和流程,也是合规审查的对象。
(五)合规管理向内部审计提供专业支持
合规审计的重要依据是合规规范。合规管理部门在提供、理解和解释合规规范方面向内部审计部门提供专业支持。
(六)合规管理评估为合规审计奠定基础
企业合规管理评估是企业合规组织(主要是企业治理机构和企业合规管理部门)对企业合规管理体系的适当性、有效性和充分性进行自我评估。合规审计是对企业合规管理体系运行的适当性和有效性进行的内部审计。就合规组织而言,合规审计是来自外部的审查和监督,而合规管理评估是合规组织内部自我监督、纠错与持续改进的制度。
企业合规管理评估与合规审计除了分属不同部门的职责外,两者在工作程序、方法、内容等方面都趋于一致,是对合规管理体系的适当性、充分性和有效性进行评估或者审计。合规管理评估一般先于合规审计,并为合规审计奠定基础。
(七)合规管理与内部审计的协作联动
协同性原则是企业合规管理的基本原则之一,这同样反映在合规管理与内部审计方面。
1、统筹衔接
我国国资委《中央企业合规管理指引(试行)》第十条要求推动合规管理与法律风险防范、监察、审计、内控、风险管理等工作相统筹、相衔接,确保合规管理体系有效运行。
我国发改委等七部委《企业境外经营合规管理指引》第十二条对合规管理协调做了专门规定,第(二)款要求合规管理部门与其他监督部门分工协作,与其他具有合规管理职能的监督部门(如审计部门、监察部门等)应建立明确的合作和信息交流机制,加强协调配合,形成管理合力。
2、信息沟通
有关合规管理的国际组织标准、指南以及我国国家标准、办法和指引都要求,合规管理部门应与审计部门相互沟通信息:
(1)审计部门应该将与合规有关的任何审计情况和调查结果通报合规管理部门;
(2)合规管理部门也可以根据合规风险的监测情况主动向内部审计部门提出开展审计工作的建议。
四、合规审计原则
我国《中央企业内部审计管理暂行办法》(国资委国务院2004年8月30日)第十四条和《中国内部审计准则》(中国内部审计协会2013年8月20日)都规定了内部审计的独立性原则、客观性原则和公正性原则。这些原则同样适用于合规审计。
(一)独立原则
独立性是企业内部审计的首要和最基本的原则,要求企业内部审计部门独立开展内部审计,不受其他部门或个人干预。有关企业合规管理的国际组织标准、指南以及我国国家标准、办法和指引,我国《中央企业内部审计管理暂行办法》(国资委国务院2004年8月30日)和《中国内部审计准则》都确认了合规审计的独立性原则。
(二)客观原则
《中国内部审计准则》(中国内部审计协会2013年8月20日)第四章对审计的客观性做了专章规定,同样适用于合规审计。
1、企业内部审计人员实施内部审计业务时,应当实事求是,不得由于偏见、利益冲突而影响职业判断。
2、企业内部审计人员实施内部审计业务,应当采取步骤对客观性进行评估,识别可能影响客观性的因素,并采取措施保障内部审计的客观性。
3、当内部审计人员的客观性受到严重影响,且无法采取适当措施降低影响时,应停止实施有关业务,并及时向董事会或者最高管理层报告。
(三)公正原则
企业内部审计的公正性原则要求:
1、企业内部审计人员公正、不偏不倚地作出审计职业判断,出具客观、公正的审计报告,不得滥用职权,徇私舞弊,泄露秘密,玩忽职守。
2、企业内部审计人员与审计事项有利害关系的,应当回避。
这些规定同样适用于合规审计。
五、合规审计分类
(一)全面合规审计与专项合规审计
中国内部审计协会2013 年8 月20 日《第2201 号内部审计具体准则——内部控制审计》将内部控制审计从范围上划分为全面内部控制审计和专项内部控制审计。同样,合规审计可以划分为全面合规审计与专项合规审计。
1、全面合规审计是针对企业全面合规管理体系的建立和运行的适当性和有效性进行全面审计。
2、专项合规审计是针对企业合规管理体系的某个构成要素、某一业务领域或者某一业务部门(包括合规管理部门)的合规管理所进行的审计。
(二)定期合规审计、临时合规审计和后续合规审计
按照合规审计的频率,可以划分为定期、临时和后续合规审计
1、定期合规审计
定期合规审计主要是指年度合规审计,由企业内部审计部门按照年度审计计划开展年度合规审计。
2、临时合规审计
对某一突发合规风险事件,或者按照治理机构的指示,或者依照自我决定,企业内部审计部门可以进行临时合规审计。
3、后续合规审计
中国内部审计协会2014 年1 月1 日《第2107 号内部审计具体准则——后续审计》对后续审计做了专门规定,这同样适用于合规审计的后续审计。
后续审计是指内部审计机构为跟踪检查被审计单位针对审计发现的问题所采取的纠正措施及其改进效果,而进行的后续审查和评价活动。
六、企业合规审计的内容
全面合规审计的内容涵盖企业全面合规管理体系的建立和运行的适当性和有效性的全面审计,专项合规审计限于对企业合规管理体系的某个构成要素、某一业务领域或者某一业务部门(包括合规管理部门)的合规管理的适当性和有效性合规审计。
(一)审计合规管理的适当性
我国《企业境外经营合规管理指引》将适用性确立为企业合规管理的一项基本原则,要求确保企业合规管理的适当性。合规管理的适当性包括合规规范的适用性、兼顾成本和效率、可操作性和持续适用等。
1、合规规范的适用性
企业根据其经营所在国家和地区、经营范围、行业、产品等确定适用的外部合规规范,跟踪适用的外部合规规范的修改、补充以及新的适用的外部合规规范。
企业根据其经营范围、组织结构、业务规模的内部环境因素以及外部合规规范制定企业内部合规规范,并根据前述因素的变更等,调整、修改、补充企业内部合规规范并确保其适用性。
2、兼顾成本和效率
企业合规管理要根据企业的实际情况,在保障合规的前提下,节约成本,保证效率。
3、可操作性
企业合规管理体系,尤其是合规管理制度应当具有可操作性,切忌好高骛远,空中楼阁,没有实际操作性而成为鸡肋,从而影响企业合规的积极性和有效性。
4、持续适用
企业应随着内外部环境的变化持续调整和改进合规管理体系,保证其持续适用性。
(二)审计合规管理的有效性
合规管理的有效性在英文中称为“compliance management effectiveness”,是指合规管理体系得到有效运行,合规风险得到有效防范和应对,企业经营管理的稳健和安全性得到有效保障。
1、综合我国有关企业合规管理的国家标准、指引和办法的规定以及中国证券业协会《证券公司合规管理有效性评估指引》,合规管理的有效性表现在以下几个方面:
(1)企业治理机构的高级管理人员等(即企业领导)作出合规承诺,并作出合规表率,这是有效合规管理的前提;
(2)合规组织建设、合规管理人员配备情况,其履行合规管理职责情况;
(3)合规管理制度和流程的制定及运行状况;
(4)企业合规风险三道防线(业务部门、合规管理部门、审计部门)各司其职、协调配合,有效参与合规管理,形成合规管理合力是有效合规管理的保障;
(5)实施有效的合规风险管理,包括合规风险评估、应对、监测和预警以及持续改进;
(6)向企业所有员工提供有效的合规培训;
(7)建立全面有效的合规问责制度,明晰合规责任范围,细化违规惩处标准,严格认定和追究违规行为责任;
(8)建立有效的信息系统,是有效合规管理的工具保障。
2、参考中国证券业协会《证券公司合规管理有效性评估指引》,对合规管理评估的有效性进行审计,应涵盖三个方面的内容:
(1)合规管理环境审计,重点关注公司高层是否重视合规管理、合规文化建设是否到位、合规管理制度是否健全、合规管理的履职保障是否充分等。
(2)对合规管理职责履行情况进行审计,重点关注合规咨询、合规审查、合规检查、合规监测、合规培训、合规报告、监管沟通与配合、信息隔离墙管理、反洗钱等合规管理职能是否有效履行。
(3)对经营管理制度与机制建设与运行情况的审计,重点关注各项经营管理制度和操作流程是否健全,是否与外部法律、法规和准则相一致,是否能够根据外部法律、法规和准则的变化及时修订、完善;以及是否能够严格执行经营管理制度和操作流程,是否能够及时发现并纠正有章不循、违规操作等问题。
(三)认定合规管理缺陷
中国内部审计协会2013 年8 月20 日《第2201 号内部审计具体准则——内部控制审计》第五章对内部控制缺陷的认定做了具体规定,同样适用于合规审计。
1、设计缺陷和运行缺陷
准则第二十一条规定,合规管理缺陷包括设计缺陷和运行缺陷。内部审计人员应当根据合规审计结果,结合相关管理层的自我评估,综合分析后提出合规管理缺陷认定意见,按照规定的权限和程序进行审核后予以认定。
2、合规管理缺陷登记
准则第二十二条规定,内部审计人员应当根据获取的证据,对合规管理缺陷进行初步认定,并按照其性质和影响程度分为重大缺陷、重要缺陷和一般缺陷。
重大缺陷,是指一个或者多个控制缺陷的组合,可能导致企业严重偏离合规管理目标。
重要缺陷,是指一个或者多个合规管理缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍有可能导致企业偏离合规管理目标。
一般缺陷,是指除重大缺陷、重要缺陷之外的其他缺陷。重大缺陷、重要缺陷和一般缺陷的认定标准,由内部审计机构根据上述要求,结合本企业具体情况确定。
3、合规管理缺陷报告
准则第二十三条要求,内部审计人员应当编制合规管理缺陷认定汇总表,对缺陷及其成因、表现形式和影响程度进行综合分析和全面复核,提出认定意见,并以适当的形式向企业适当管理层报告。重大缺陷应当及时向企业董事会或者最高管理层报告。
七、企业合规审计的程序和方法
(一)企业合规审计程序
按照中国内部审计协会2013 年8 月20 日《第2201 号内部审计具体准则——内部控制审计》第十六条,合规审计主要包括下列程序:
1、编制项目审计方案;
2、组成审计小组;
3、实施现场审查;
4、认定合规管理缺陷;
5、汇总合规审计结果;
6、编制合规审计报告。
(二)企业合规审计方法
按照中国内部审计协会2013 年8 月20 日《第2201 号内部审计具体准则——内部控制审计》第十九条,企业合规审计的方法包括一下七个方面。与中国证券业协会《证券公司合规管理有效性评估指引》规定的合规管理评估方法相类似。
1、访谈;
2、问卷调查;
3、专题讨论;
4、穿行测试;
5、实地查验;
6、抽样测试;
7、比较分析等。
关于穿行测试,评估小组可以对具体业务处理流程开展穿行测试,检查与其相关的原始文件,并根据文件上的业务处理踪迹,追踪流程,对相关管理制度与操作流程的实际运行情况进行验证。
关于抽样测试, 评估小组可以根据合规审计所关注的重点,对业务与管理事项进行抽样分析,按照业务发生频率、重要性及合规风险的高低,从确定的抽样总体中抽取一定比例的样本,并对样本的符合性做出判断。
八、合规审计报告
中国内部审计协会2013 年8 月20 日《第2201 号内部审计具体准则——内部控制审计》第六章对内部控制审计报告进行了规定,同样适用于企业合规审计报告。
1、合规审计报告的内容
按照准则第二十四条,内部控制审计报告的内容,应当包括审计目标、依据、范围、程序与方法、内部控制缺陷认定及整改情况,以及内部控制设计和运行有效性的审计结论、意见、建议等相关内容。
2、合规审计报告报批
准则第二十五条规定,内部审计机构应当向企业适当管理层报告审计结果。一般情况下,全面审计报告应当报送企业董事会或者最高管理层。包含有重大缺陷认定的专项内部审计报告在报送企业适当管理层的同时,也应当报送董事会或者最高管理层。