企業(yè)風險管理體系的合規(guī)性審計探究

潘紅英

[摘 要]隨著國際與國內市場競爭的多元化，風險管理對企業(yè)的生存發(fā)展越來越重要，如何開展企業(yè)風險管理體系合規(guī)性審計，幫助企業(yè)提升風險管理效益與有效性，目前國內審計行業(yè)仍未見廣泛的研究與應用案例。文章嘗試對如何開展企業(yè)風險管理體系合規(guī)性審計提供思路，為企業(yè)風險管理體系的發(fā)展提供方向性建議，并通過案例對其應用進行探討。

[關鍵詞]合規(guī)（性）審計;全面風險管理體系;合規(guī)風險;合規(guī)審計標準

[DOI]10.13939/j.cnki.zgsc.2020.05.135

2017年5月23日習近平總書記在中央全面深化改革領導小組第三十五次會議上曾強調“加強企業(yè)海外經(jīng)營行為合規(guī)制度建設”，2018年7月13日國務院國有資產(chǎn)監(jiān)督管理委員會下發(fā)第37號令《中央企業(yè)違規(guī)經(jīng)營投資責任追究實施辦法（試行））》，2018年11月9日國務院國有資產(chǎn)監(jiān)督管理委員會下發(fā)《中央企業(yè)合規(guī)管理指引》，由此可見，國家對于企業(yè)建立合規(guī)管理體系和防范風險的重視程度大大加強，越來越多的企業(yè)注重強化合規(guī)管理防范合規(guī)風險。

2008年12月，西門子公司因違反美國《反海外腐敗法》被處罰金16億美元;2011年，我國財政部門在最后兩個月的預算支出超過3.5萬億，這筆預算支出雖然沒有違背預算法的規(guī)定，但是年底突擊花完預算剩余的錢，會導致第二年的預算基數(shù)更大，如何對年底突擊花錢的合規(guī)性審計的審計依據(jù)與審計標準的選擇非常關鍵與重要;2017年3月，中興通訊違反美國出口管制規(guī)定而被處8.9億美元的刑事和民事罰金，這一事件成了中國企業(yè)強化合規(guī)的里程碑。以上三個合規(guī)案例說明合規(guī)風險不僅存在于外國企業(yè)，也存在于中國本地企業(yè)，強化合規(guī)管理防范合規(guī)風險已經(jīng)成為越來越多全球型包括中國本土的企業(yè)管理創(chuàng)新的重要內容。

市場競爭多元化和大數(shù)據(jù)信息科技的發(fā)展，風險管理對企業(yè)的生存與發(fā)展越來越重要，不少企業(yè)管理層已構建的風險管理體系是否合規(guī)、是否與本企業(yè)的發(fā)展相匹配、是否有效運行，未來風險管理體系應朝哪個方向發(fā)展和如何優(yōu)化配置風險管理資源，開展全面風險管理體系的合規(guī)審計，將會為這些困惑指明方向。

本文采用國內Y公司的全面風險管理體系的合規(guī)性審計為案例，嘗試對如何開展企業(yè)風險管理體系合規(guī)性審計提供思路，并為企業(yè)風險管理體系的發(fā)展提供方向性建議與應用探討。

1 合規(guī)審計與風險管理體系的定義

合規(guī)審計就是對特定行為是否符合既定標準的審計，也稱為合法性審計或合規(guī)性審計。

本文所論述的風險管理體系除了COSO風險管理框架列示的八大核心要素（內部環(huán)境、目標特定、事件識別、風險評估、風險應對、控制活動、信息與溝通、監(jiān)督）外，還包括風險管理“三道防線”、風險管理文化、風險管理信息系統(tǒng)及績效考核體系等支撐性要素。風險管理的三大防線：第一道防線為董事會、管理層、業(yè)務部門;第二道防線為董事會下屬風險管理委員會、風險管理職能機構;第三道防線為董事會下屬審計委員會、內部審計職能機構。

2 對企業(yè)風險管理體系進行合規(guī)性審計的目的

2.1 有助于企業(yè)管理體系再造

通過評估被審計單位現(xiàn)行的風險管理體系是否與合規(guī)管理體系接軌，確認被審計單位風險管理體系的整體合規(guī)性水平，通過風險管理體系、內部控制體系和合規(guī)管理體系的協(xié)同與整合，完成企業(yè)管理體系的再造與提升。

2.2 有助于企業(yè)化解合規(guī)風險

通過識別與評估風險管理體系中合規(guī)風險，被審計單位可以實施對合規(guī)風險的應對與控制，有效制定并執(zhí)行合規(guī)管理工作計劃。所謂合規(guī)風險是指企業(yè)因未能遵循法律、監(jiān)管規(guī)定、規(guī)則、自律性組織制定的有關準則，而可能遭受法律制裁、監(jiān)管處罰、重大財務損失或聲譽損失的風險。合規(guī)風險是企業(yè)面臨的一項非傳統(tǒng)的核心風險，一個企業(yè)一旦涉及嚴重違規(guī)，往往一朝覆亡。

2.3 有助于企業(yè)文化和合規(guī)制度體系的重構與建設

企業(yè)經(jīng)過長年培育和積淀形成的一種看不見摸不著的行為規(guī)范，構成了企業(yè)文化活動的重要組成部分。以合規(guī)制度而言，任何合規(guī)制度都不可能十全十美，合規(guī)制度體系如何建立與完善非常關鍵，或者即使當時制度完善了，然而隨著時間的遷移，企業(yè)經(jīng)營環(huán)境的變化也會使原先制度體系出現(xiàn)新的問題。擁有良好合規(guī)文化的企業(yè)，其員工不僅不鉆企業(yè)制度的漏洞，而且還幫助企業(yè)堵漏洞，從而抵御嚴峻的合規(guī)風險。因此，加強風險管理體系的合規(guī)審計，有助于企業(yè)的合規(guī)制度體系的重構，形成良好的合規(guī)文化。

2.4 有助于企業(yè)成功走出國門

隨著我國企業(yè)“走出去”，遭遇合規(guī)風險的案例也越來越多。有的銀行在國外涉及洗錢而被查處，有的企業(yè)涉及行賄而被調查，有的企業(yè)因為違反出口管制規(guī)定而被罰款，有的企業(yè)因為違反“世界銀行采購指南”而被世界銀行處罰。推進“一帶一路”倡議，需要有大批的中國企業(yè)參與。但是“一帶一路”沿線數(shù)十個國家中不少法制環(huán)境不佳，中國企業(yè)面臨大量合規(guī)風險。在這種情況下，中國企業(yè)只能通過強化合規(guī)管理體系來防范合規(guī)風險，從而成功走向世界。走向世界的中國企業(yè)不僅給世界帶去資金、技術、產(chǎn)品和服務，也將給世界帶去合規(guī)企業(yè)的新風貌和合規(guī)的競爭規(guī)則。

3 確定審計范圍及審計對象

為了加強審計的邏輯性與可視性，審計組成員根據(jù)審計范圍，設計了“風險管理體系合規(guī)定性評價模型”，將審計對象劃分為三級維度，并與合規(guī)定性評價結果有機結合。本文借鑒專家意見、風險管理的實踐和大數(shù)據(jù)分析結果，在“風險管理體系合規(guī)定性評價模型”中設置了8個一級維度，以及合理合規(guī)、不合理但合規(guī)、合理但不合規(guī)、不合理不合規(guī)4個合規(guī)定性評價模型;在一級維度的基礎上，進一步設置了33個二級維度，涉及56項三級具體審計對象，詳見表1。

4 實施對風險管理體系合規(guī)審計的步驟

4.1 審核并確定合規(guī)審計標準即合規(guī)制度體系

Y公司的合規(guī)管理制度分為以下三個層次搭建：合規(guī)綱領準則、合規(guī)管理規(guī)范、合規(guī)管理工具和程序。

第一，合規(guī)綱領準則。企業(yè)合規(guī)綱領主要指公司的行為準則，適用于全體企業(yè)成員，借鑒巴斯夫集團經(jīng)驗，《行為準則》主要包括以下15項內容：人權、勞工和社會標準; 環(huán)境保護;企業(yè)社會責任;反托拉斯法（競爭者間的協(xié)議、縱向協(xié)議、濫用市場支配地位）;反腐敗;禮品和招待;信息保護和內幕交易法;數(shù)據(jù)隱私保護;進出口;公司及業(yè)務伙伴資產(chǎn)保護;禁止洗錢;與政府機構和政府官員打交道;商業(yè)行為中的廉潔自律;有關質量標準;與競爭者和商業(yè)伙伴以及與外國政府和客戶打交道時行為應對等。

第二，合規(guī)管理規(guī)范。合規(guī)管理規(guī)范不僅體現(xiàn)強制法律法規(guī)的要求，而且體現(xiàn)非強制性的國際相關準則、行業(yè)標準及商業(yè)道德標準，可以適用于全體員工或特定業(yè)務單位。內容包括但不限以下27項合規(guī)問題的一系列制度：商業(yè)行為的舉報、商業(yè)行為舉報的處理、違規(guī)行為、健康與安全、酒精及藥物和煙草的管理、就業(yè)平等、人身騷擾、個人信息及隱私、與政府合作、與社區(qū)協(xié)作、政治捐獻及政治活動、環(huán)境與管理、行賄與賄賂、利益沖突、禮物與沖突、出差、競爭與反壟斷、商業(yè)合作伙伴合規(guī)管理、聘用第三方、貿易管理、保護公司財產(chǎn)、記錄和報告的準確性、信息系統(tǒng)、內部交易、外部溝通、知識產(chǎn)權等。

第三，合規(guī)管理工具和程序。合規(guī)管理工具和程序是對前兩類的補充和提升，并為員工提供評估具體合規(guī)問題的參考和工具，將相應的合規(guī)政策以不同的形式按要求和標準融入到企業(yè)280項現(xiàn)有的業(yè)務流程中去，在企業(yè)已有流程或標準基礎上，新增了37項合規(guī)制度。合規(guī)政策告訴員工什么是應該做的、什么是不該做的或企業(yè)禁止做的，標準操作流程則告訴員工具體該怎么去做、標準是什么、由誰來決定等。

4.2 評估并分析合規(guī)風險

審計組成員進行合規(guī)風險的識別與評估，分析影響合規(guī)目標的不確定性，旨在盡早識別企業(yè)潛在的違反法律或法規(guī)（內部和外部）的行為，以避免公司或部門目標無法達成。審計組對Y公司采取四步法進行合規(guī)風險分析，具體如下。

第一，了解企業(yè)本身。審計人員應考慮企業(yè)整個價值鏈，識別企業(yè)內外潛在的風險（外部環(huán)境和內部環(huán)境），包括：所在地相關風險、行業(yè)相關風險、經(jīng)營模式相關風險、銷售結構相關風險、銷售模式相關風險、業(yè)務活動相關風險、組織機構相關風險等。

第二，明確合規(guī)目標。建立、完善企業(yè)內部規(guī)章制度流程要求，為所有的雇員提供透明且明確的指導;建立、完善合規(guī)控制制度;通過有效的培訓和溝通推廣合規(guī)文化;預防高風險領域的合規(guī)風險，如銷售、市場營銷、研發(fā)、采購;降低管理層違規(guī)失職的風險;通過實施有效的合規(guī)管理體系使雇員和企業(yè)合規(guī)經(jīng)營從而免受處罰。

第三，識別合規(guī)風險。審計人員識別風險的手段有自上而下（問卷調查/訪談）和自下而上（研討會），識別潛在和業(yè)務流程源風險。通過從整個價值鏈著手，識別企業(yè)內部風險源和外部風險源，其中內源包括定期風控流程運營風險管理、合規(guī)組織內部信息交流、定期季度討論會（法務部、集團內審計部）、與各部門交流信息實施合規(guī)面談、未來源頭分析、審計報告或咨詢、幫助信息;外源包括委托外部咨詢服務、監(jiān)測公共輿論（問題管理）、專業(yè)刊物或進一步培訓課程等、專業(yè)工作組、法律、法規(guī)監(jiān)管。

第四，評估已識別的風險和風險排序。通過以上手段實施源分析后，確定Y企業(yè)重點合規(guī)風險領域涉及刑法、反托拉斯法、勞動法、稅法等，具體重點領域包括數(shù)據(jù)保護、行賄、組織機構或結構、環(huán)保、受賄、禮品/捐贈、IT安全、反壟斷/壟斷、贊助、工作安全、利益沖突、洗錢12個領域22項重點合規(guī)風險，再進一步對風險的發(fā)生的概率與可能造成的損害進行分析后，得出2項發(fā)生的概率與可能造成的損害都很高的風險為反壟斷/壟斷、行賄，其次是利益沖突和不遵守具體規(guī)范，這4項排序最靠前。

4.3 與合規(guī)審計標準對標確定風險管理體系合規(guī)水平

本文Y公司已對風險管理體系進行了合理性測試：Y公司收集全球或國內上市公司或非上市公司的優(yōu)秀風險管理數(shù)據(jù)，并對應280項詳細評價規(guī)則，將風險管理體系等級能力水平分為起步、初級、確立、高階與領先實踐5個能力水平等級，最后得出的合理性對標結果為51項合理，5項低于平均水平即為不合理。

在Y公司已確定全面風險管理體系56項具體審計對象的合理性對標結果的基礎上，審計組按照合理合規(guī)、不合理但合規(guī)、合理但不合規(guī)、不合理不合規(guī)4個合規(guī)審計定性評價模型的思路，審計人員進一步依據(jù)合規(guī)審計標準對以上56項具體審計對象進行合規(guī)水平測試，本文在Y公司已合理性測試的基礎上，進一步依據(jù)37項合規(guī)制度和280項內部合規(guī)流程或標準，對56項具體審計對象進行了合規(guī)審計，以下簡單說明如何用數(shù)據(jù)說明Y公司的全面風險管理體系的合規(guī)水平，詳見表2。

4.4 提出審計定性成果及形成合規(guī)審計結果

通過審計，可確認Y公司風險管理體系整體合規(guī)合理，但以下七個具體方面評價后存在不合理或不合規(guī)，建議Y公司盡力填補這些短板，使各領域與各方面趨于合理合規(guī)，詳見表3。4.5 合規(guī)審計成果的應用與整改

通過開展風險管理體系的合規(guī)性審計，審計人員在合規(guī)審計評價成果的基礎上，運用審計通報、審計專題報告、審計要情報告、審計信息簡報的方式向企業(yè)的管理層提出審計意見，并后續(xù)實施審計整改跟蹤和審計整改聯(lián)動機制，并適當采取合規(guī)舉報機制。

通過對全面風險管理體系的合理合規(guī)性審計后，可采用協(xié)同法將風險管理體系、內部控制體系和合規(guī)管理體系結合在一起，將合規(guī)管理體系嵌入到企業(yè)風險管理體系的“三道防線”和風險管理文化、風險管理信息系統(tǒng)及績效考核體系中，進一步優(yōu)化架構再造，合理有效地配置有限資源，使企業(yè)的風險防控更客觀更準確，從而提高企業(yè)管理層進行決策的質量。筆者在此基礎上，建議對于企業(yè)的重點領域與部門，甚至覆蓋到分子公司，可以實施風險管理審計、數(shù)據(jù)分析式合規(guī)審計及其專項管理審計，從而實現(xiàn)風險管理的有效防控與價值提升。

參考文獻：

[1]劉蓓蓓，歐穎君，徐慧萍.基于雙標分析法的風險管理體系合理性審計[J].中國內部審計，2018（11）.

[2]王志樂.企業(yè)合規(guī)管理操作指南[M].北京：中國法制出版社，2017.

[3]鄭石橋.合規(guī)審計[M].北京：中國人民大學出版社，2018.