近年来,因经营违规所引发法律红线问题频繁发生,导致企业出现崩盘,引发企业破产,也带来了较为恶劣的社会影响。在企业发展过程中,一旦产生了合规风险,就容易导致千里之堤溃于蚁穴。内部审计工作具有全面性、高效性和覆盖性特征,在企业内部管理工作中展现出提升合规风险防控能力、加强企业内部控制的作用和价值,为促进企业高质量发展带来了不可或缺的核心力量。随着经济进入高质量发展阶段,企业面临着产品创新以及经营模式改变所带来的风险。因此,内部审计需要通过技术创新来提高审计效率,聚焦企业内部核心风险,扩展审计覆盖面。数据审计和智能审计是未来的发展方向,能够帮助企业应对新经济下的挑战。
合规审计的内涵与构成要素
在企业的内部审计工作中,合规审计是其中的重点组成要素。但在我国现行学术领域中,有观点认为合规审计并不是企业在合规管理体系中的内容。从本质上来说,合规审计可归属于企业内部控制范畴,是企业在合规管理体系建设过程中的基本要素。
企业合规审计作为一种独立、客观的确认和咨询活动,是企业合规管理体系的重要组成部分。它通过审查和评价企业的业务活动、内部控制和风险管理的适当性和有效性,促进企业完善治理、增加价值和实现目标。在构建企业合规管理体系的过程中,合规审计具有以下几个基本构成要素。
审计独立性。企业合规审计要求具备独立性,以确保审计结果的客观性和公正性。独立性不仅体现在审计部门的组织架构上,而且要求审计人员在执行审计任务时,能够独立于被审计部门和利益相关方。
审计目标。企业合规审计旨在实现对企业合规管理体系的评估和监督,确保企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。
审计内容。企业合规审计的内容包括对企业合规管理的各个方面进行评估,如企业合规政策、合规流程、合规培训、合规风险防范等。随着经济进入高质量发展阶段,产品创新和经营模式的改变给企业带来了新的风险。
企业合规审计中存在的短板
合规意识不强。在当前的企业环境中,合规意识的深度和广度会直接影响企业内部控制的有效性。从实际来看,企业中普遍缺乏足够的合规文化培育。这一现状导致员工对合规政策的理解不足,使合规教育成为形式化的过程,而并非实质性改进;从企业治理结构来看,缺乏明确的合规职责分配,使合规监督成为一种挑战,而非内嵌于企业运营的日常实践。审计作为一种监督手段,在合规发展中的作用不应被忽视。依靠科学有效的审计活动,可以明确合规框架的漏洞,进而推动制度的完善。然而,若审计本身缺乏针对性的合规审核策略,其效力便会大打折扣。因此,企业强化合规意识的普及具有必要性。在实际发展运营进程中,要设置专门的合规部门或聘请合规官,确保合规政策能够得到顺利执行。企业应该从高层做起,树立合规意识,形成全员参与的合规文化。
合规体系不完善。首先,缺乏完善的合规体系说明企业在制定和实施合规政策、程序以及控制措施方面存在较多漏洞。这些漏洞除了体现在政策的制定阶段外,还体现在实施和监督阶段的不连贯性。例如,企业可能在制定合规政策过程中涵盖了广泛的风险领域,却未能配备相应的资源和技术支持来确保这些政策执行的有效性。其次,合规体系的不完善同样体现在缺乏定期的合规风险评估。企业往往未能建立起一套有效的风险识别、评估流程。这一现状会导致合规风险无法得到系统地管理。再次,合规体系的不完善还体现在缺乏动态更新的合规框架。随着外部法律、规章及市场环境的变化,企业的合规体系应持续更新,从而不断适应新的合规要求。基于审计角度来看,有效的合规审计应包括对企业合规体系的全面评估,检查合规政策的覆盖面、控制措施的有效性及其执行的一致性。审计还应高度关注合规培训和文化建设,确保所有层级的员工都能够理解并执行合规要求。
一些企业虽然建立了合规管理体系,但是体系不够完善,缺乏有效的运行机制,难以对企业各环节进行全方位的监控和管理。合规发展会产生较高的成本投入,包括人力、物力和财力,导致这些企业在合规方面投入不足。许多企业会定期进行内部控制管理培训和规章制度宣传,但由于缺乏有效的辅助工具,使得合规规则在实际工作中难以得到有效执行。
审计手段滞后。随着科技的发展,企业的运营方式和管理手段不断创新,但审计手段有时候跟不上企业发展的步伐,导致审计结果不能真实反映企业的合规状况。审计手段的滞后性是当前阶段企业实现合规发展进程中需要重点关注的问题。其主要表现在以下几个方面。首先,审计活动的反应速度不足以跟上企业运营的变化。在快速变化的市场环境中,传统的审计周期通常无法提供实时的监控。这会导致合规问题不断积累,以及潜在风险暴露。其次,审计方法的更新换代速度往往落后于企业业务创新的步伐。随着新技术和新业务模式的涌现,传统的审计工具可能不再适应新的合规需求。例如,对于涉及大数据分析、云计算等现代技术的业务活动,需要审计方法具备相应的技术支持能力。这样才能够有效地评估与之相关的合规风险。再次,审计报告的编制和反馈流程往往表现出滞后性。从发现问题到报告问题,再到采取行动,这一连串流程时间延迟可能导致合规措施无法及时实施。这便会对整个企业的风险管理效率产生直接性影响。在这种情况下,企业需要采取更加积极的策略,比如引入持续审计监控系统。这种系统可以实时监控关键业务流程以及合规关键点,从而为实时的风险管理创造有利条件。
外部监管不足。这一方面的不足首先体现为监管机构的资源和技术能力有限。这将会限制实际监督活动开展的广度与深度。例如,合规监管通常需要大量的数据分析搭配跨部门的协调,而监管机构可能缺乏进行这些复杂任务所需的专业技术。其次,监管政策与法规本身可能存在滞后性,无法及时反映市场与技术的发展情况。这种滞后会在减弱法规适应性的同时,使企业在面对快速变化的市场环境时难以准确判断法律要求。例如,在金融科技快速发展的背景下,传统的金融监管框架可能无法有效覆盖新兴的服务,从而留下合规空白。再次,监管机构的执行力不足同样是外部监管不足的一个表现。这是因为监管机构的权力不足,或是受到政治与经济利益的影响,导致监管行动执行不彻底。在这种情况下,即使存在明确的法规要求,企业也可能因为监管的弱执行而忽视其合规义务。对于以上问题,企业应积极采取主动策略,加强内部合规体系的建设,不单一依赖外部监管来推动合规进程。
筑牢合规“防火墙”可以从四方面入手
一要明确工作范围。企业合规工作涉及企业的所有层次、所有方面。其内容也随着企业的实际情况而发展,实施的范围也在逐步扩大。企业要确立自身实力与经营界限,才能使企业的资源得到最大程度地发挥。这两个部门的责任都不能代替规划、程序等其他的管理责任,而要以这些责任为起点。所以有必要将两者结合起来,以提升内部控制的效能与效益,并在合作中吸取其领域的方法与知识,以促进两者的创新。二者之间存在着一定的协同作用,但二者所承担的管理责任不能混为一谈。
二要强调专业胜任能力。基于职业能力的内审和遵章者在企业中的各元素之间的交流,能够推动这两种协作方式的推广和提升,形成更加开放和透明的管理体系。内审机构了解内控的需要及其运作方式,并通过咨询服务,协助法规遵循。法规遵循功能包括制定内部监督制度,处理和公布对股票价格有影响的信息,以及内部监督措施,确定内部控制审核的次数;在评价内部监督制度有效性时,由主管提出诸如指导方针之类的资料。
三要确保内部人员连续性。员工的离职行为会对企业的管理环境产生重大影响,企业的员工忠诚度也会降低。其中一个显著的迹象就是人事变动频繁,出错和违反规定的可能性随之增大。例如,中信证券在内部培训过程中,一直把这两类人员的素质不断提高作为一个重要的考虑因素。这两个方面的优势在于,人力资本整合和交叉培训促进员工个体发展、分享软件体系以获取合规与内审证据。合规部门的职责是制定企业的规章制度,进行相应的交流与训练,并根据企业的需要,适时增加或减少外部法规的变化,为员工进行针对性的培训。
四要加强审计整改和审计结果的有效运用。这一方面,主要是改善企业合规风险的控制和防范能力。通过内部审计工作,及时发现问题,做好审计建议的整改跟踪及落实,实现对审计成果的有效运用,展现出审计成果具有的延伸作用,打破企业在内部审计工作中的阻碍,形成逻辑闭环管理体系,让审计工作可以延伸到企业的“最后一公里”,改善企业的合规风险防控能力。企业需要将审计整改工作作为建立健全企业内部控制管理体系、优化企业生产管理流程、促进企业合规经营、防范企业合规风险的核心措施。针对审计中发现的问题,企业要做好整改跟踪和审查核实,对其问题做好责任追究工作,加强对审计结果的合理运用,体现出审计结果治病、防病的作用。同时,需要将审计结果实现和原有追责管理机制有效融合,让审计工作可以“长牙”。通过问责一个部门,警醒企业,强化内部管理,完善制度体系的建设水平,始终坚守企业经营的底线,避免出现合规风险,改善企业的风险控制能力。
在企业的内部监督管理体系中,合规审计是其中的主要手段,也是重要力量。其本身具有高度的权威性和严谨性,对于提高企业的合规风险控制能力、促进企业制度得以顺利落实,有着非常重要的现实意义。企业需要加强对制度建设和执行规范的审计,改善整体的制度建设水平,针对企业的核心业务活动和重点环节做好审计工作,形成更为全面的合规风险控制及防范机制,同时加强对审计成果的合理运用,巩固企业合规风险控制管理能力,让合规审计可以成为企业发展过程中不可或缺的中坚力量。
(作者单位:京能置业股份有限公司)
来源 | 《国企》杂志6月上半月刊
