企業風險管理體系的合規性審計探究

潘紅英

[摘 要]隨著國際與國內市場競爭的多元化，風險管理對企業的生存發展越來越重要，如何開展企業風險管理體系合規性審計，幫助企業提升風險管理效益與有效性，目前國內審計行業仍未見廣泛的研究與應用案例。文章嘗試對如何開展企業風險管理體系合規性審計提供思路，為企業風險管理體系的發展提供方向性建議，并通過案例對其應用進行探討。

[關鍵詞]合規（性）審計;全面風險管理體系;合規風險;合規審計標準

[DOI]10.13939/j.cnki.zgsc.2020.05.135

2017年5月23日習近平總書記在中央全面深化改革領導小組第三十五次會議上曾強調“加強企業海外經營行為合規制度建設”，2018年7月13日國務院國有資產監督管理委員會下發第37號令《中央企業違規經營投資責任追究實施辦法（試行））》，2018年11月9日國務院國有資產監督管理委員會下發《中央企業合規管理指引》，由此可見，國家對于企業建立合規管理體系和防范風險的重視程度大大加強，越來越多的企業注重強化合規管理防范合規風險。

2008年12月，西門子公司因違反美國《反海外腐敗法》被處罰金16億美元;2011年，我國財政部門在最后兩個月的預算支出超過3.5萬億，這筆預算支出雖然沒有違背預算法的規定，但是年底突擊花完預算剩余的錢，會導致第二年的預算基數更大，如何對年底突擊花錢的合規性審計的審計依據與審計標準的選擇非常關鍵與重要;2017年3月，中興通訊違反美國出口管制規定而被處8.9億美元的刑事和民事罰金，這一事件成了中國企業強化合規的里程碑。以上三個合規案例說明合規風險不僅存在于外國企業，也存在于中國本地企業，強化合規管理防范合規風險已經成為越來越多全球型包括中國本土的企業管理創新的重要內容。

市場競爭多元化和大數據信息科技的發展，風險管理對企業的生存與發展越來越重要，不少企業管理層已構建的風險管理體系是否合規、是否與本企業的發展相匹配、是否有效運行，未來風險管理體系應朝哪個方向發展和如何優化配置風險管理資源，開展全面風險管理體系的合規審計，將會為這些困惑指明方向。

本文采用國內Y公司的全面風險管理體系的合規性審計為案例，嘗試對如何開展企業風險管理體系合規性審計提供思路，并為企業風險管理體系的發展提供方向性建議與應用探討。

1 合規審計與風險管理體系的定義

合規審計就是對特定行為是否符合既定標準的審計，也稱為合法性審計或合規性審計。

本文所論述的風險管理體系除了COSO風險管理框架列示的八大核心要素（內部環境、目標特定、事件識別、風險評估、風險應對、控制活動、信息與溝通、監督）外，還包括風險管理“三道防線”、風險管理文化、風險管理信息系統及績效考核體系等支撐性要素。風險管理的三大防線：第一道防線為董事會、管理層、業務部門;第二道防線為董事會下屬風險管理委員會、風險管理職能機構;第三道防線為董事會下屬審計委員會、內部審計職能機構。

2 對企業風險管理體系進行合規性審計的目的

2.1 有助于企業管理體系再造

通過評估被審計單位現行的風險管理體系是否與合規管理體系接軌，確認被審計單位風險管理體系的整體合規性水平，通過風險管理體系、內部控制體系和合規管理體系的協同與整合，完成企業管理體系的再造與提升。

2.2 有助于企業化解合規風險

通過識別與評估風險管理體系中合規風險，被審計單位可以實施對合規風險的應對與控制，有效制定并執行合規管理工作計劃。所謂合規風險是指企業因未能遵循法律、監管規定、規則、自律性組織制定的有關準則，而可能遭受法律制裁、監管處罰、重大財務損失或聲譽損失的風險。合規風險是企業面臨的一項非傳統的核心風險，一個企業一旦涉及嚴重違規，往往一朝覆亡。

2.3 有助于企業文化和合規制度體系的重構與建設

企業經過長年培育和積淀形成的一種看不見摸不著的行為規范，構成了企業文化活動的重要組成部分。以合規制度而言，任何合規制度都不可能十全十美，合規制度體系如何建立與完善非常關鍵，或者即使當時制度完善了，然而隨著時間的遷移，企業經營環境的變化也會使原先制度體系出現新的問題。擁有良好合規文化的企業，其員工不僅不鉆企業制度的漏洞，而且還幫助企業堵漏洞，從而抵御嚴峻的合規風險。因此，加強風險管理體系的合規審計，有助于企業的合規制度體系的重構，形成良好的合規文化。

2.4 有助于企業成功走出國門

隨著我國企業“走出去”，遭遇合規風險的案例也越來越多。有的銀行在國外涉及洗錢而被查處，有的企業涉及行賄而被調查，有的企業因為違反出口管制規定而被罰款，有的企業因為違反“世界銀行采購指南”而被世界銀行處罰。推進“一帶一路”倡議，需要有大批的中國企業參與。但是“一帶一路”沿線數十個國家中不少法制環境不佳，中國企業面臨大量合規風險。在這種情況下，中國企業只能通過強化合規管理體系來防范合規風險，從而成功走向世界。走向世界的中國企業不僅給世界帶去資金、技術、產品和服務，也將給世界帶去合規企業的新風貌和合規的競爭規則。

3 確定審計范圍及審計對象

為了加強審計的邏輯性與可視性，審計組成員根據審計范圍，設計了“風險管理體系合規定性評價模型”，將審計對象劃分為三級維度，并與合規定性評價結果有機結合。本文借鑒專家意見、風險管理的實踐和大數據分析結果，在“風險管理體系合規定性評價模型”中設置了8個一級維度，以及合理合規、不合理但合規、合理但不合規、不合理不合規4個合規定性評價模型;在一級維度的基礎上，進一步設置了33個二級維度，涉及56項三級具體審計對象，詳見表1。

4 實施對風險管理體系合規審計的步驟

4.1 審核并確定合規審計標準即合規制度體系

Y公司的合規管理制度分為以下三個層次搭建：合規綱領準則、合規管理規范、合規管理工具和程序。

第一，合規綱領準則。企業合規綱領主要指公司的行為準則，適用于全體企業成員，借鑒巴斯夫集團經驗，《行為準則》主要包括以下15項內容：人權、勞工和社會標準; 環境保護;企業社會責任;反托拉斯法（競爭者間的協議、縱向協議、濫用市場支配地位）;反腐敗;禮品和招待;信息保護和內幕交易法;數據隱私保護;進出口;公司及業務伙伴資產保護;禁止洗錢;與政府機構和政府官員打交道;商業行為中的廉潔自律;有關質量標準;與競爭者和商業伙伴以及與外國政府和客戶打交道時行為應對等。

第二，合規管理規范。合規管理規范不僅體現強制法律法規的要求，而且體現非強制性的國際相關準則、行業標準及商業道德標準，可以適用于全體員工或特定業務單位。內容包括但不限以下27項合規問題的一系列制度：商業行為的舉報、商業行為舉報的處理、違規行為、健康與安全、酒精及藥物和煙草的管理、就業平等、人身騷擾、個人信息及隱私、與政府合作、與社區協作、政治捐獻及政治活動、環境與管理、行賄與賄賂、利益沖突、禮物與沖突、出差、競爭與反壟斷、商業合作伙伴合規管理、聘用第三方、貿易管理、保護公司財產、記錄和報告的準確性、信息系統、內部交易、外部溝通、知識產權等。

第三，合規管理工具和程序。合規管理工具和程序是對前兩類的補充和提升，并為員工提供評估具體合規問題的參考和工具，將相應的合規政策以不同的形式按要求和標準融入到企業280項現有的業務流程中去，在企業已有流程或標準基礎上，新增了37項合規制度。合規政策告訴員工什么是應該做的、什么是不該做的或企業禁止做的，標準操作流程則告訴員工具體該怎么去做、標準是什么、由誰來決定等。

4.2 評估并分析合規風險

審計組成員進行合規風險的識別與評估，分析影響合規目標的不確定性，旨在盡早識別企業潛在的違反法律或法規（內部和外部）的行為，以避免公司或部門目標無法達成。審計組對Y公司采取四步法進行合規風險分析，具體如下。

第一，了解企業本身。審計人員應考慮企業整個價值鏈，識別企業內外潛在的風險（外部環境和內部環境），包括：所在地相關風險、行業相關風險、經營模式相關風險、銷售結構相關風險、銷售模式相關風險、業務活動相關風險、組織機構相關風險等。

第二，明確合規目標。建立、完善企業內部規章制度流程要求，為所有的雇員提供透明且明確的指導;建立、完善合規控制制度;通過有效的培訓和溝通推廣合規文化;預防高風險領域的合規風險，如銷售、市場營銷、研發、采購;降低管理層違規失職的風險;通過實施有效的合規管理體系使雇員和企業合規經營從而免受處罰。

第三，識別合規風險。審計人員識別風險的手段有自上而下（問卷調查/訪談）和自下而上（研討會），識別潛在和業務流程源風險。通過從整個價值鏈著手，識別企業內部風險源和外部風險源，其中內源包括定期風控流程運營風險管理、合規組織內部信息交流、定期季度討論會（法務部、集團內審計部）、與各部門交流信息實施合規面談、未來源頭分析、審計報告或咨詢、幫助信息;外源包括委托外部咨詢服務、監測公共輿論（問題管理）、專業刊物或進一步培訓課程等、專業工作組、法律、法規監管。

第四，評估已識別的風險和風險排序。通過以上手段實施源分析后，確定Y企業重點合規風險領域涉及刑法、反托拉斯法、勞動法、稅法等，具體重點領域包括數據保護、行賄、組織機構或結構、環保、受賄、禮品/捐贈、IT安全、反壟斷/壟斷、贊助、工作安全、利益沖突、洗錢12個領域22項重點合規風險，再進一步對風險的發生的概率與可能造成的損害進行分析后，得出2項發生的概率與可能造成的損害都很高的風險為反壟斷/壟斷、行賄，其次是利益沖突和不遵守具體規范，這4項排序最靠前。

4.3 與合規審計標準對標確定風險管理體系合規水平

本文Y公司已對風險管理體系進行了合理性測試：Y公司收集全球或國內上市公司或非上市公司的優秀風險管理數據，并對應280項詳細評價規則，將風險管理體系等級能力水平分為起步、初級、確立、高階與領先實踐5個能力水平等級，最后得出的合理性對標結果為51項合理，5項低于平均水平即為不合理。

在Y公司已確定全面風險管理體系56項具體審計對象的合理性對標結果的基礎上，審計組按照合理合規、不合理但合規、合理但不合規、不合理不合規4個合規審計定性評價模型的思路，審計人員進一步依據合規審計標準對以上56項具體審計對象進行合規水平測試，本文在Y公司已合理性測試的基礎上，進一步依據37項合規制度和280項內部合規流程或標準，對56項具體審計對象進行了合規審計，以下簡單說明如何用數據說明Y公司的全面風險管理體系的合規水平，詳見表2。

4.4 提出審計定性成果及形成合規審計結果

通過審計，可確認Y公司風險管理體系整體合規合理，但以下七個具體方面評價后存在不合理或不合規，建議Y公司盡力填補這些短板，使各領域與各方面趨于合理合規，詳見表3。4.5 合規審計成果的應用與整改

通過開展風險管理體系的合規性審計，審計人員在合規審計評價成果的基礎上，運用審計通報、審計專題報告、審計要情報告、審計信息簡報的方式向企業的管理層提出審計意見，并后續實施審計整改跟蹤和審計整改聯動機制，并適當采取合規舉報機制。

通過對全面風險管理體系的合理合規性審計后，可采用協同法將風險管理體系、內部控制體系和合規管理體系結合在一起，將合規管理體系嵌入到企業風險管理體系的“三道防線”和風險管理文化、風險管理信息系統及績效考核體系中，進一步優化架構再造，合理有效地配置有限資源，使企業的風險防控更客觀更準確，從而提高企業管理層進行決策的質量。筆者在此基礎上，建議對于企業的重點領域與部門，甚至覆蓋到分子公司，可以實施風險管理審計、數據分析式合規審計及其專項管理審計，從而實現風險管理的有效防控與價值提升。

參考文獻：

[1]劉蓓蓓，歐穎君，徐慧萍.基于雙標分析法的風險管理體系合理性審計[J].中國內部審計，2018（11）.

[2]王志樂.企業合規管理操作指南[M].北京：中國法制出版社，2017.

[3]鄭石橋.合規審計[M].北京：中國人民大學出版社，2018.