企业合规审计刍议.pdfVIP

企业合规审计刍议 ⽂ |郭青红 汇业律师事务所 合伙⼈ 合规审计是企业合规管理体系的构成要素之⼀，属于企业内部控制审计，独⽴于合规管理。 合规审计的内容、程序、⽅法等与企业合规管理评估趋同，但合规管理评估是合规组织的⾃我评价与纠错，合规审计是 独⽴第三⽅的评价和监督。 ⼀、企业合规审计，属于企业内部审计范畴 企业合规审计是企业内部审计部门对作为企业内部控制核⼼内容的企业合规管理的适当性和有效性进⾏的内部审计。 1、根据《企业内部控制基本规范》（我国财政部、证监会、审计署、银监会、保监会2008 年5⽉22⽇）第三条，企业 内部控制是由企业董事会、监事会、经理层和全体员⼯实施的、旨在实现控制⽬标的过程。内部控制的⽬标是合理保证 企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提⾼经营效率和效果，促进企业实现发展战略。 因此，企业合规管理是企业内部控制⾸要的、核⼼的内容。 2、按照 《中国内部审计准则》（中国内部审计协会2013 年8⽉20⽇）第⼆条，内部审计是⼀种独⽴、客观的确认和咨 询活动，它通过运⽤系统、规范的⽅法，审查和评价组织的业务活动、内部控制和风险管理的适当性和有效性，以促进 组织完善治理、增加价值和实现⽬标。 按照 《中央企业内部审计管理暂⾏办法》（我国国资委2004 年8⽉30⽇）第三条，企业内部审计是指企业内部审计机构 依据国家有关法律法规、财务会计制度和企业内部管理规定，对本企业及⼦企业（单位 ）财务收⽀、财务预算、财务决 算、资产质量、经营绩效，以及建设项⽬或者有关经济活动的真实性、合法性和效益性进⾏监督和评价⼯作。 因此，企业合规管理是企业内部审计的核⼼内容，企业内部控制审计包括对企业合规管理的审计，即合规审计。 ⼆、企业合规审计是企业合规管理体系的基本构成要素 内部审计独⽴于合规管理。合规审计属于企业内部控制审计的组成部分。因此，有观点认为合规审计不应是企业合规管 理体系的构成要素。 但是，我们认为，企业合规审计既属于企业内部控制范畴，也是企业合规管理体系的重要的、基本的构成要素。这⼀点 已被有关企业合规管理的国际组织的标准、指南以及我国国家标准、指引和办法所确认。列⽰如下： 三、企业合规审计与企业合规管理 （⼀）企业合规风险的三道防线 企业合规风险的三道防线，在巴塞尔银⾏监管委员会《合规与银⾏内部合规部门》中已初见雏形，要求合规部门应与审 计部门分离，以确保合规部门的各项⼯作受到独⽴的复查。 我国国资委2016 年6⽉6⽇《中央企业全⾯风险管理指引》第⼗条对风险管理三道防线提出了明确指引，要求具备条件 的企业可建⽴风险管理三道防线，即各有关职能部门和业务单位为第⼀道防线；风险管理职能部门和董事会下设的风险 管理委员会为第⼆道防线； 内部审计部门和董事会下设的审计委员会为第三道防线。 我国保监会《保险公司合规管理办法》第⼆⼗条⾄第⼆⼗三条对保险公司合规风险的三道防线做了具体规定，要求保险 公司应当建⽴三道防线的合规管理框架，确保三道防线各司其职、协调配合，有效参与合规管理，形成合规管理合⼒。 1、第⼀道防线 （第⼆⼗⼀条）：各部门和分⽀机构 保险公司各部门和分⽀机构履⾏合规管理的第⼀道防线职责，对其职责范围内的合规管理负有直接和第⼀位的责任。要 求保险公司各部门和分⽀机构主动进⾏⽇常的合规管控，定期进⾏合规⾃查，并向合规管理部门或者合规岗位提供合规 求保险公司各部门和分⽀机构主动进⾏⽇常的合规管控，定期进⾏合规⾃查，并向合规管理部门或者合规岗位提供合规 风险信息或者风险点，⽀持并配合合规管理部门或者合规岗位的合规风险监测和评估。 2、第⼆道防线（第⼆⼗⼆条）：合规管理部门和合规岗位 保险公司合规管理部门和合规岗位履⾏合规管理的第⼆道防线职责。合规管理部门和合规岗位应当履⾏合规管理职责， 向公司各部门和分⽀机构的业务活动提供合规⽀持，组织、协调、监督各部门和分⽀机构开展合规管理各项⼯作。 3、第三道防线（第⼆⼗三条）：内部审计部门 保险公司内部审计部门履⾏合规管理的第三道防线职责，定期对公司的合规管理情况进⾏独⽴审计。 （⼆）合规管理与内部审计分属相互独⽴的部门 有关企业合规管理的国际组织标准、指南以及我国国家标准、办法和指引都规定，合规管理与内部审计属于两个相互独 ⽴的部门。 1、分属合规风险的两道防线 如上所述，企业合规管理与内部审计分属企业合规风险的第⼆道防线与第三道防线，共同为企业合规风险的防控发挥作 ⽤。 2、合规管理与内部审计属于两个不同管理职能部门 合规管理负责合规管理体系的建设、运⾏和保障，是企业内部控制的核⼼组成部