查看原文
其他

合规季 | 合规审计在企业合规管理中的应用研究

向飞 许诺 泰和泰律师 2023-08-25

/ 引言 /


合规审计(Compliance Audit)在企业确保合规管理的过程中扮演着重要的角色。它帮助企业识别风险、改进控制措施、营造合规文化,并为企业提供合规保障和信任基础。合规审计的内容、程序、方法等与企业合规管理评估趋同,但合规管理评估是合规组织的自我评价与纠错,合规审计是独立第三方的评价和监督。随着企业合规管理体系建设的推进,聘请第三方进行合规审计成为必不可少的环节。本文旨在讨论合规审计在企业合规管理中的具体应用。


一、合规审计的概念和目标


合规审计是指由第三方对企业的合规管理体系、合规控制措施和合规流程进行独立的、系统性的评估和审查,以确定其完整性、合规性、有效性及发现潜在合规风险,并提供改进建议的过程。


合规审计的目标主要包括以下几个方面:


第一,评估特定业务板块的合规性。外部服务机构,通过合规审计旨在评估企业相应的审计业务范围的合规性,即企业在法律法规、行业标准、内部规章制度等方面是否符合要求。通过审计的方法和标准,对企业的合规情况进行全面、客观的评估,发现潜在的合规问题和风险。


第二,发现合规风险。通常而言,企业开展合规审计的另一个目标是发现特定领域或项目中是否存在的合规风险和违规行为。审计过程中,审计人员通过收集和分析数据、文件、记录等,识别潜在的合规风险点,包括违反法律法规、违背道德准则、存在数据安全隐患等。


第三,评估合规控制措施的有效性。合规审计通过审查企业的内部控制制度、流程和政策,审计人员确定控制措施的设计是否合理、执行是否到位,着重评估企业的合规控制措施的有效性。基于特定业务领域的管理合规风险的控制效果,发现控制措施的薄弱环节,确定提升有效性的方法和途径。


第四,提供改进建议。合规审计的目标之一是为企业提供改进建议,以帮助企业改进合规管理和控制措施。审计人员根据发现的合规问题和风险,提出具体的改进意见和建议,包括优化合规流程、加强内部控制、加强培训和意识提升等方面。


第五,确保合规性证明。合规审计还旨在为企业提供合规性证明。审计过程中,审计人员将收集的证据和评估结果整理成合规审计报告,向内外部利益相关方证明企业的合规水平和控制有效性,提高企业的声誉和信任度。


二、合规审计发展历程及其重要性


合规审计的发展历程可以追溯到20世纪中叶。财务审计主要关注确保财务报表的准确性和可靠性,然而并不能完整地反映企业的发展前景以及帮助人们判断企业的可持续性。随着组织规模和复杂性的增长,政府和监管机构开始意识到有必要确保组织内部合规遵循法律、法规和道德标准。从而进一步需要扩大审计范围,包括对适用法律和法规的合规性进行审计。尤其21世纪初的安然和WorldCom等知名公司丑闻爆发后,人们更加认识到财务审计本身并未反映企业的全貌。这些丑闻导致了美国《萨班斯-奥克斯法案》(Sarbanes-OxleyAct,SOX)等立法的出台,要求更强的内部控制、透明度和问责制。合规审计因为组织希望恢复信任并展示其对道德行为的承诺而受到重视。然而此阶段的合规审计仍然作为财务审计的衍生,审计人员主要还是由会计师担任。


随着业务全球化和跨境交易的增加,监管要求显著扩大。金融、医疗保健、制药和能源等行业受到复杂的法规体系的约束。政府和监管机构开始颁布法律和法规,以保护公众利益,预防欺诈行为,并确保公平的商业行为。这导致了对能够评估合规性的审计程序的进一步需求。随着风险管理实践发展,企业意识到合规、法律和运营风险之间的相互关系。合规审计开始融入风险评估方法,以应对更为复杂的监管环境,识别违规风险,并减轻潜在的处罚或声誉损失。这一变化,使审计人员需要有更强的风险识别能力和合规风险的处置能力,开始拓展到会计师以外的人员。


伴随合规管理体系的发展,如ISO37301合规管理体系国际认证标准的建立,合规审计成为整体合规框架的重要组成部分。如今,合规审计重点变为鉴证相关行为是否符合既定标准(法律法规、企业内规等),并将这这鉴证结果传递给利益相关者。律师在合规审计中发挥的作用越来越明显。合规审计在越来越多的领域发挥着重要作用。


首先,合规审计通过对企业合规管理体系的评估和审查,能够发现潜在的合规风险和违规行为。其次,一些企业通过主动的合规审计,可以及早发现控制措施的不足之处,并提供改进建议,采取必要的纠正措施,以加强合规控制措施的实施和监督。再次,通过合规审计,企业能够根据法律法规的变化、行业标准的更新和市场环境的变动等及时调整合规策略,采取必要的预防措施,降低合规风险的发生和对企业的影响。最后,合规审计为企业提供了独立的、客观的合规评估和证明,增加了对内外部利益相关方的信任和认可。合规审计报告可以作为企业合规水平和风险管理能力的证明材料,向监管机构、股东和投资者等提供合规保障。


三、律师在合规审计中发挥的作用


由于律师的法律专业知识和经验,能够提供关键的法律指导和支持,确保企业在合规审计中遵守适用的法律法规,以及行业和地区的合规要求。律师在合规审计中的主导作用越来越明显。


第一,律师能够对复杂的法律法规进行解释和咨询,帮助企业理解适用的法律要求和合规标准。他们能够解释法律条文、解释文件和指南,以确保企业理解并遵守相关规定。


第二,律师能够识别和评估合规风险,并提供相应的法律建议和对策。他们通过分析法律风险、行业趋势和先例案例,帮助企业识别可能存在的合规风险,并提供预防和管理措施。而不单纯是对法律条文的机械解释。


第三,律师可以参与内部控制审查,评估企业的合规控制措施的设计和有效性。他们能够审查和评估合规政策、流程和文件,确保其符合法律要求,并提供改进建议。


第四,律师可以参与合规培训和教育计划,提供法律培训和意见,帮助员工理解和遵守法律法规。他们能够提供具体的案例分析和实际操作指导,加强员工的合规意识和培训效果。


第五,律师能够提供法律意见和指导,协助企业解决合规问题和处理合规纠纷。他们可以代表企业参与谈判、调解和诉讼程序,保护企业的权益并确保合规性。


第六,律师可以参与合规报告和证明的编制,确保合规审计报告的准确性和可靠性。他们可以审查相关的法律文件、合规记录和证据,并提供法律意见,以支持合规性证明的有效性。


总之,律师在合规审计中发挥着重要的角色,他们通过提供法律咨询、评估合规风险、审查合规政策和流程、协助合规培训、解决合规问题和提供合规性证明等方面的支持,帮助企业确保合规性,并降低合规风险。他们的专业知识和法律背景为企业提供了有力的法律支持,保护企业的利益和声誉。


四、合规审计的计划编制模式


作为合规管理的重要工具,企业往往会确定特定主题作为某次合规设计的重点,为此开展工作首先就要编制合规审计计划。以下是合规审计的通常工作计划应当包含的内容:


1.确定审计目标和范围:明确审计的目标和范围,例如审计特定的合规领域(如数据保护、劳工权益、反贿赂等),或审计整个企业的合规管理体系。


2.收集相关信息:收集企业的合规政策、规程、流程和文件等资料,了解企业的合规管理框架和实际运作情况。


3.制定审计计划:根据审计目标和范围,制定详细的审计计划,包括审计的时间安排、资源需求、审计方法和技术工具等。


4.进行初步风险评估:对企业的合规风险进行初步评估,识别潜在的风险点和问题领域,确定重点审计对象和关注点。


5.实施现场审计:执行实际的合规审计工作,包括与相关人员访谈、查阅文件和记录、观察实际操作等,以收集证据和了解合规管理的实际情况。


6.进行数据分析:对收集到的数据和信息进行分析,识别异常模式、趋势和关联性,发现潜在的合规问题和风险。


7.验证合规控制措施:评估企业的合规控制措施是否有效,并与相关法规、政策和最佳实践进行对比,确定合规性与风险管理的差距。


8.提出改进建议:根据审计结果和发现的问题,提出具体的改进建议,包括制定或修订合规政策、加强内部控制措施、提供培训和意识提升等建议措施。


9.编写审计报告:根据审计结果和改进建议,编写详尽的审计报告,包括问题描述、风险评估、建议措施和推荐优先级等内容,并附上相关证据和数据支持。


10.沟通和反馈:与企业管理层和相关部门进行沟通,解释审计结果和建议,并提供支持和解答问题的反馈。


11.监督和跟踪:监督企业在改进合规管理方面的实施情况,跟踪改进措施的执行和效果,并提供必要的支持和指导。


请注意,实际的合规审计工作计划会根据企业的需求、行业特点和合规要求的差异而有所不同。因此,在制定工作计划时,需要充分了解企业的具体情况,并结合相关法规和最佳实践进行调整和完善。


五、合规审计在不同合规管理方面的应用


合规审计在企业合规管理中具有广泛的应用。它涵盖了合规风险评估、内部控制和风险监测、合规培训与意识提升、数据保护与隐私合规以及合规性证明与报告等多个方面。通过合规审计,企业能够更好地管理合规风险。


第一,合规风险评估合规审计在企业合规管理中的一个重要应用是进行合规风险评估。通过审计的方法和工具,可以识别潜在的合规风险,并评估其对企业的影响和潜在的损失。合规审计帮助企业确定关键合规风险,进而制定相应的合规策略和控制措施,以减轻风险和确保合规性。例如,在某家制造企业进行合规审计时,发现其供应链中存在劳工权益保护不完善的问题。基于审计结果,企业制定了更严格的供应商合规政策,要求供应商遵守劳工权益相关法规,并进行监督与改进。


第二,内部控制与风险监测内部控制是企业合规管理的核心组成部分。合规审计通过评估企业的内部控制措施的设计和有效性,帮助企业识别潜在的合规风险,并提供改进建议。合规审计还可以监测合规控制措施的执行情况,确保其有效运作,减少违规行为的发生。


第三,合规培训与意识提升合规培训和意识提升是企业确保员工理解合规要求并遵守合规政策的关键环节。合规审计可以评估企业的合规培训计划和培训效果,检查培训的覆盖范围和内容是否足够全面和实用。此外,合规审计可以通过评估企业的合规意识提升活动,确保员工对合规重要性的认识和理解,并鼓励他们积极参与合规实践。


第四,数据保护与隐私合规随着数据保护和隐私法规的不断加强,企业面临着更严格的要求。合规审计在数据保护和隐私合规方面发挥着重要作用。它可以评估企业的数据保护措施是否符合相关法规和标准,包括数据收集、存储、处理和共享等方面。合规审计还可以帮助企业发现数据泄露和违规使用的风险,并提供改进措施以确保数据的安全和合规性。例如,在某家科技公司进行合规审计时,发现其数据存储和处理方式存在不符合隐私法规的情况。审计团队提出了改进建议,包括加强数据加密和访问权限管理,以确保数据保护合规性。


第五,合规性证明与报告合规审计提供了企业合规性证明和报告的重要依据。审计过程中收集的证据和评估结果可以形成合规审计报告,向内外部利益相关方证明企业的合规水平。这些报告通常包括合规性问题的概述、发现的风险和问题、建议的改进措施以及合规管理的有效性评价。合规性证明和报告的透明度和准确性有助于提升企业的声誉和信任度。



作者简介


向飞 合伙人


业务领域:企业合规管理、私募基金、企业投融资


许诺 律师


业务领域:企业合规管理、私募基金、企业投融资



合规季文章推荐

ARTICAL


合规季 | 我所助力中石化某下属企业开展安全领域专项合规管理体系建设

2023-07-12

合规季 | 军工单位涉密人员管理措施合规性分析

2023-07-11

合规季 | 泰和泰全国合规法律中心月刊(2023年6月)

2023-07-07

合规季 | 涉俄制裁背景下的LNG进口风险与合规应对

2023-07-05


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存