企业风险管理体系的合规性审计探究

潘红英

[摘 要]随着国际与国内市场竞争的多元化，风险管理对企业的生存发展越来越重要，如何开展企业风险管理体系合规性审计，帮助企业提升风险管理效益与有效性，目前国内审计行业仍未见广泛的研究与应用案例。文章尝试对如何开展企业风险管理体系合规性审计提供思路，为企业风险管理体系的发展提供方向性建议，并通过案例对其应用进行探讨。

[关键词]合规（性）审计;全面风险管理体系;合规风险;合规审计标准

[DOI]10.13939/j.cnki.zgsc.2020.05.135

2017年5月23日习近平总书记在中央全面深化改革领导小组第三十五次会议上曾强调“加强企业海外经营行为合规制度建设”，2018年7月13日国务院国有资产监督管理委员会下发第37号令《中央企业违规经营投资责任追究实施办法（试行））》，2018年11月9日国务院国有资产监督管理委员会下发《中央企业合规管理指引》，由此可见，国家对于企业建立合规管理体系和防范风险的重视程度大大加强，越来越多的企业注重强化合规管理防范合规风险。

2008年12月，西门子公司因违反美国《反海外腐败法》被处罚金16亿美元;2011年，我国财政部门在最后两个月的预算支出超过3.5万亿，这笔预算支出虽然没有违背预算法的规定，但是年底突击花完预算剩余的钱，会导致第二年的预算基数更大，如何对年底突击花钱的合规性审计的审计依据与审计标准的选择非常关键与重要;2017年3月，中兴通讯违反美国出口管制规定而被处8.9亿美元的刑事和民事罚金，这一事件成了中国企业强化合规的里程碑。以上三个合规案例说明合规风险不仅存在于外国企业，也存在于中国本地企业，强化合规管理防范合规风险已经成为越来越多全球型包括中国本土的企业管理创新的重要内容。

市场竞争多元化和大数据信息科技的发展，风险管理对企业的生存与发展越来越重要，不少企业管理层已构建的风险管理体系是否合规、是否与本企业的发展相匹配、是否有效运行，未来风险管理体系应朝哪个方向发展和如何优化配置风险管理资源，开展全面风险管理体系的合规审计，将会为这些困惑指明方向。

本文采用国内Y公司的全面风险管理体系的合规性审计为案例，尝试对如何开展企业风险管理体系合规性审计提供思路，并为企业风险管理体系的发展提供方向性建议与应用探讨。

1 合规审计与风险管理体系的定义

合规审计就是对特定行为是否符合既定标准的审计，也称为合法性审计或合规性审计。

本文所论述的风险管理体系除了COSO风险管理框架列示的八大核心要素（内部环境、目标特定、事件识别、风险评估、风险应对、控制活动、信息与沟通、监督）外，还包括风险管理“三道防线”、风险管理文化、风险管理信息系统及绩效考核体系等支撑性要素。风险管理的三大防線：第一道防线为董事会、管理层、业务部门;第二道防线为董事会下属风险管理委员会、风险管理职能机构;第三道防线为董事会下属审计委员会、内部审计职能机构。

2 对企业风险管理体系进行合规性审计的目的

2.1 有助于企业管理体系再造

通过评估被审计单位现行的风险管理体系是否与合规管理体系接轨，确认被审计单位风险管理体系的整体合规性水平，通过风险管理体系、内部控制体系和合规管理体系的协同与整合，完成企业管理体系的再造与提升。

2.2 有助于企业化解合规风险

通过识别与评估风险管理体系中合规风险，被审计单位可以实施对合规风险的应对与控制，有效制定并执行合规管理工作计划。所谓合规风险是指企业因未能遵循法律、监管规定、规则、自律性组织制定的有关准则，而可能遭受法律制裁、监管处罚、重大财务损失或声誉损失的风险。合规风险是企业面临的一项非传统的核心风险，一个企业一旦涉及严重违规，往往一朝覆亡。

2.3 有助于企业文化和合规制度体系的重构与建设

企业经过长年培育和积淀形成的一种看不见摸不着的行为规范，构成了企业文化活动的重要组成部分。以合规制度而言，任何合规制度都不可能十全十美，合规制度体系如何建立与完善非常关键，或者即使当时制度完善了，然而随着时间的迁移，企业经营环境的变化也会使原先制度体系出现新的问题。拥有良好合规文化的企业，其员工不仅不钻企业制度的漏洞，而且还帮助企业堵漏洞，从而抵御严峻的合规风险。因此，加强风险管理体系的合规审计，有助于企业的合规制度体系的重构，形成良好的合规文化。

2.4 有助于企业成功走出国门

随着我国企业“走出去”，遭遇合规风险的案例也越来越多。有的银行在国外涉及洗钱而被查处，有的企业涉及行贿而被调查，有的企业因为违反出口管制规定而被罚款，有的企业因为违反“世界银行采购指南”而被世界银行处罚。推进“一带一路”倡议，需要有大批的中国企业参与。但是“一带一路”沿线数十个国家中不少法制环境不佳，中国企业面临大量合规风险。在这种情况下，中国企业只能通过强化合规管理体系来防范合规风险，从而成功走向世界。走向世界的中国企业不仅给世界带去资金、技术、产品和服务，也将给世界带去合规企业的新风貌和合规的竞争规则。

3 确定审计范围及审计对象

为了加强审计的逻辑性与可视性，审计组成员根据审计范围，设计了“风险管理体系合规定性评价模型”，将审计对象划分为三级维度，并与合规定性评价结果有机结合。本文借鉴专家意见、风险管理的实践和大数据分析结果，在“风险管理体系合规定性评价模型”中设置了8个一级维度，以及合理合规、不合理但合规、合理但不合规、不合理不合规4个合规定性评价模型;在一级维度的基础上，进一步设置了33个二级维度，涉及56项三级具体审计对象，详见表1。

4 实施对风险管理体系合规审计的步骤

4.1 审核并确定合规审计标准即合规制度体系

Y公司的合规管理制度分为以下三个层次搭建：合规纲领准则、合规管理规范、合规管理工具和程序。

第一，合规纲领准则。企业合规纲领主要指公司的行为准则，适用于全体企业成员，借鉴巴斯夫集团经验，《行为准则》主要包括以下15项内容：人权、劳工和社会标准; 环境保护;企业社会责任;反托拉斯法（竞争者间的协议、纵向协议、滥用市场支配地位）;反腐败;礼品和招待;信息保护和内幕交易法;数据隐私保护;进出口;公司及业务伙伴资产保护;禁止洗钱;与政府机构和政府官员打交道;商业行为中的廉洁自律;有关质量标准;与竞争者和商业伙伴以及与外国政府和客户打交道时行为应对等。

第二，合规管理规范。合规管理规范不仅体现强制法律法规的要求，而且体现非强制性的国际相关準则、行业标准及商业道德标准，可以适用于全体员工或特定业务单位。内容包括但不限以下27项合规问题的一系列制度：商业行为的举报、商业行为举报的处理、违规行为、健康与安全、酒精及药物和烟草的管理、就业平等、人身骚扰、个人信息及隐私、与政府合作、与社区协作、政治捐献及政治活动、环境与管理、行贿与贿赂、利益冲突、礼物与冲突、出差、竞争与反垄断、商业合作伙伴合规管理、聘用第三方、贸易管理、保护公司财产、记录和报告的准确性、信息系统、内部交易、外部沟通、知识产权等。

第三，合规管理工具和程序。合规管理工具和程序是对前两类的补充和提升，并为员工提供评估具体合规问题的参考和工具，将相应的合规政策以不同的形式按要求和标准融入到企业280项现有的业务流程中去，在企业已有流程或标准基础上，新增了37项合规制度。合规政策告诉员工什么是应该做的、什么是不该做的或企业禁止做的，标准操作流程则告诉员工具体该怎么去做、标准是什么、由谁来决定等。

4.2 评估并分析合规风险

审计组成员进行合规风险的识别与评估，分析影响合规目标的不确定性，旨在尽早识别企业潜在的违反法律或法规（内部和外部）的行为，以避免公司或部门目标无法达成。审计组对Y公司采取四步法进行合规风险分析，具体如下。

第一，了解企业本身。审计人员应考虑企业整个价值链，识别企业内外潜在的风险（外部环境和内部环境），包括：所在地相关风险、行业相关风险、经营模式相关风险、销售结构相关风险、销售模式相关风险、业务活动相关风险、组织机构相关风险等。

第二，明确合规目标。建立、完善企业内部规章制度流程要求，为所有的雇员提供透明且明确的指导;建立、完善合规控制制度;通过有效的培训和沟通推广合规文化;预防高风险领域的合规风险，如销售、市场营销、研发、采购;降低管理层违规失职的风险;通过实施有效的合规管理体系使雇员和企业合规经营从而免受处罚。

第三，识别合规风险。审计人员识别风险的手段有自上而下（问卷调查/访谈）和自下而上（研讨会），识别潜在和业务流程源风险。通过从整个价值链着手，识别企业内部风险源和外部风险源，其中内源包括定期风控流程运营风险管理、合规组织内部信息交流、定期季度讨论会（法务部、集团内审计部）、与各部门交流信息实施合规面谈、未来源头分析、审计报告或咨询、帮助信息;外源包括委托外部咨询服务、监测公共舆论（问题管理）、专业刊物或进一步培训课程等、专业工作组、法律、法规监管。

第四，评估已识别的风险和风险排序。通过以上手段实施源分析后，确定Y企业重点合规风险领域涉及刑法、反托拉斯法、劳动法、税法等，具体重点领域包括数据保护、行贿、组织机构或结构、环保、受贿、礼品/捐赠、IT安全、反垄断/垄断、赞助、工作安全、利益冲突、洗钱12个领域22项重点合规风险，再进一步对风险的发生的概率与可能造成的损害进行分析后，得出2项发生的概率与可能造成的损害都很高的风险为反垄断/垄断、行贿，其次是利益冲突和不遵守具体规范，这4项排序最靠前。

4.3 与合规审计标准对标确定风险管理体系合规水平

本文Y公司已对风险管理体系进行了合理性测试：Y公司收集全球或国内上市公司或非上市公司的优秀风险管理数据，并对应280项详细评价规则，将风险管理体系等级能力水平分为起步、初级、确立、高阶与领先实践5个能力水平等级，最后得出的合理性对标结果为51项合理，5项低于平均水平即为不合理。

在Y公司已确定全面风险管理体系56项具体审计对象的合理性对标结果的基础上，审计组按照合理合规、不合理但合规、合理但不合规、不合理不合规4个合规审计定性评价模型的思路，审计人员进一步依据合规审计标准对以上56项具体审计对象进行合规水平测试，本文在Y公司已合理性测试的基础上，进一步依据37项合规制度和280项内部合规流程或标准，对56项具体审计对象进行了合规审计，以下简单说明如何用数据说明Y公司的全面风险管理体系的合规水平，详见表2。

4.4 提出审计定性成果及形成合规审计结果

通过审计，可确认Y公司风险管理体系整体合规合理，但以下七个具体方面评价后存在不合理或不合规，建议Y公司尽力填补这些短板，使各领域与各方面趋于合理合规，详见表3。4.5 合规审计成果的应用与整改

通过开展风险管理体系的合规性审计，审计人员在合规审计评价成果的基础上，运用审计通报、审计专题报告、审计要情报告、审计信息简报的方式向企业的管理层提出审计意见，并后续实施审计整改跟踪和审计整改联动机制，并适当采取合规举报机制。

通过对全面风险管理体系的合理合规性审计后，可采用协同法将风险管理体系、内部控制体系和合规管理体系结合在一起，将合规管理体系嵌入到企业风险管理体系的“三道防线”和风险管理文化、风险管理信息系统及绩效考核体系中，进一步优化架构再造，合理有效地配置有限资源，使企业的风险防控更客观更准确，从而提高企业管理层进行决策的质量。笔者在此基础上，建议对于企业的重点领域与部门，甚至覆盖到分子公司，可以实施风险管理审计、数据分析式合规审计及其专项管理审计，从而实现风险管理的有效防控与价值提升。

参考文献：

[1]刘蓓蓓，欧颖君，徐慧萍.基于双标分析法的风险管理体系合理性审计[J].中国内部审计，2018（11）.

[2]王志乐.企业合规管理操作指南[M].北京：中国法制出版社，2017.

[3]郑石桥.合规审计[M].北京：中国人民大学出版社，2018.