“合规”即“符合规定”,其源自英文“Compliance”一词,acting according to certain accepted standards,即行为符合某些适用标准。
根据巴塞尔银行监管委员会公布的新巴塞尔资本协定中的(新巴塞尔协议)定义:合规管理不仅覆盖对于具有相应法律约束力文件的遵守,还包括更广义的对诚实守信和道德行为准则的规范管理。
国际标准化组织(ISO)在2021年4月14日发布了国际标准 ISO 37301《合规管理体系要求及使用指南》对“规”有新的定义:组织必须遵守的以及自愿遵守的文件。
可见广义的“合规”有三层含义:一是企业要在生产经营过程中要遵守法律法规,二是企业经营要遵循企业内部规章制度,三是企业员工要遵守良好的职业操守和道德规范等。
审计作为一种监督机制,企业可以分为内部审计和外部审计,我们这里主要是说外部审计,即注册会计师审计或社会审计。随着科学技术的发展,审计本身已由账项基础审计发展为风险导向审计,且企业对审计的需求也由单一财务报表审计向包含财务报表审计和内部控制审计的整合审计过度。
合规管理和独立审计都建立在现代企业制度基础之上,合规管理侧重于企业内部管理体系的构建,合规管理系统是一个框架,该框架集成了必要的结构、政策、流程和程序,以实现所需的合规结果,并采取措施防止,发现和应对不合规情况。
独立审计则是专业人士对企业财务报表是否不存在重大错报及内部控制有效性提供合理保证,是以第三方视角对企业合规管理体系运行状况及成果的监督。今天我们从审计角度看看企业如何进行合规管理。
独立审计中,专业人士通过相关程序了解企业及其环境,包括企业行业状况、法律环境与监管环境、企业性质、战略目标及经营风险等,并考虑企业现实综合因素以及各因素之间的相互关系,这对识别和评估企业重大错报风险尤为重要。
专业人士对行业状况、法律环境与监管环境以及其他外部因素了解的范围和程度会因企业所处行业、规模以及其他因素(如在市场中的地位)的不同而不同。
例如,对从事计算机硬件制造的企业,专业人士可能更关心市场和竞争以及技术进步的情况;对金融机构,专业人士可能更关心宏观经济走势以及货币、财政等方面的宏观经济政策;对化工等生产污染类行业,其更关心环保法规;而对新兴的互联网平台机构,则会更加关注其市场经营地位以及新会计准则的实施等。
企业合规除关注上述与审计有关的法律法规外,还会重点关注反垄断合规、反商业贿赂合规、人力资源合规、税务合规、知识产权合规、环保与能源合规以及网络安全合规等。每一项合规要求都是企业必须遵守的底线,不得逾越。
例如,2021年5月以来,国内A电商平台对平台内的经营者进行了强力合规整治行动,大批中国跨境电商卖家的平台账号、店铺被永久封禁。A平台的规则是很清晰的,即平台对所有评论违规行为都实行零容忍政策。
A平台封号事件可以带给我们的启示并不局限于跨境电商行业,这一事件揭示了合规的底线价值——合规可使企业抵御溃塌式风险带来的致命打击,合规是企业永续经营的“压舱石”。
如果企业对自身行业状况、法律环境与监管环境等环境做了充分的考量和论证,则企业实际生产经营过程中对要遵守的法律法规进行了确定,专业人士对此项的关注即构成企业合规管理的一种外部监督,企业遵守法律法规落实到位,专业人士在出具相关鉴定报告时会充分考虑。
企业内部控制的审计分为两个步骤,先是识别、了解企业自身是否设立了企业内部规章制度,然后是测试规章制度是否实际执行,是否真实有效。
2021年6月,最高人民检察院、司法部、财政部等八部委研究制定的《关于建立涉案企业合规第三方监督评估机制的指导意见(试行)》第十一条规定涉案企业提交的合规计划,主要围绕与企业涉嫌犯罪有密切联系的企业内部治理结构、规章制度、人员管理等方面存在的问题,制定可行的合规管理规范,构建有效的合规组织体系,健全合规风险防范报告机制,弥补企业制度建设和监督管理漏洞,防止再次发生相同或者类似的违法犯罪。具体包括:
1. 健全的企业制度
关于企业内部治理、规章制度、人员管理属于企业的制度建设,如股东会、董事会、监事会、经理层三会一层的职权职责,以及议事规则、协调机制,另外还包括公司的人事制度、经营管理制度等;
2. 可行的合规管理规范
也就是说合规制度有哪些,且制度是否可行,这就需要我们把公司的制度进行罗列出来,审查现有制度是否完备,有何缺漏;
3. 有效的合规组织体系
这里的体系指负责合规性建设的部门及专职人员的设置,及这些部门和人员是否可以按照合规制度的规定进行工作,相关制度配备是否完整;
4. 健全合规风险应对报告机制
合规制度建立了不等于没有了风险,企业经营是商业行为,是追求利益的过程,而利益永远都和风险相伴,所以风险不是规避的,而是有了风险应该如何有效的应对,所以风险应对机制是企业必备的合规制度;
5. 弥补企业制度建设和监督管理漏洞
合规建设是一个长期的过程,必须有弥补和改进制度的功能,发现问题解决问题,对合规制度进行不间断的迭代升级;
6. 复盘和惩戒功能
也就是防止再次发生相同或者类似的违法犯罪,要有对曾经犯过的错误进行复盘,找出问题,对违规者进行惩处,起到警示教育作用,避免在同一个地方栽跟头。
以上是《意见》列举的对企业审查的重点方面,但是企业合规制度远远不止以上六方面。
企业内部规章制度是企业为了合理保证对法律法规的遵守、财务报告的可靠性以及经营的效率和效果,由治理层、管理层和其他人员设计和执行的内部政策。
企业内部控制的目标旨在合理保证对法律法规的遵守、对规章制度的遵守以及保证企业经营的效率和效果。此目标与为实现目标而实施的企业内部控制之间存在直接关系,企业的目标与控制与企业合规、鉴定报告及企业生产经营有关。
如果与经营和合规目标相关的控制与专业人士实施相关程序时评价或使用的数据有关,那么这些控制将与审计与合规均密切相关。
专业人士了解企业内部控制时,应当评价规章制度及控制的设计,并要考虑其是否得到执行。评价规章制度及控制的设计,涉及该制度及控制单独或连同其他制度及控制是否能够有效防止或发现并纠正重大错报,制度及控制的执行是指某项制度及控制存在且企业正在使用。
内部规章制度与控制存在着固有局限性。在决策时人为判断可能出现错误和因人为失误而导致制度及控制失效,制度及控制可能由于两个或更多的人员串通或者管理层不当地凌驾于制度及控制之上而被规避。
此外,如果企业落实制度及控制的人员素质不能适应岗位,也会影响制度及控制功能的正常发挥。
内部规章制度与控制存在着固有局限性,专业人士在合规法律服务模式中创新“合规+IT”的新模式,让企业可以更加精准的识别不同岗位合规风险,专业合规律师针对风险报告,可以全面进行分析与评估,从程序到实体递进式制定企业合规整改方案和合规管理体系。
企业控制环境包括治理职能和管理职能,以及治理层和管理层对制度及控制重要性的态度、认识和措施。
具体来说,包括对诚信和道德价值观念的沟通与落实,对胜任能力的重视,治理层的参与程度,管理层的理念和经营风格,组织结构及职权与责任的分配,人力资源政策与实务。
其中,诚信和道德价值观念是企业控制环境重要组成部分,影响到重要业务流程制度及控制的设计和运行。制度及控制的有效性直接依赖于负责创建、管理和监控制度及控制的人员的诚信和道德价值观念。
企业是否存在道德行为规范,以及这些规范如何在企业内部得到沟通和落实,决定了是否产生诚信和道德行为。对诚信和道德价值观念的沟通和落实,既包括管理层如何处理不诚实、非法或不道德的行为,也包括在企业内部,通过行为规范以及高层管理人员的身体力行,对诚信和道德价值观念的营造和保持。
专业人士在了解和评估企业诚信和道德价值观念的沟通和落实时,主要考虑以下因素:
①企业是否有书面的行为规范并向所有员工传达;
②企业是否营造了企业合规文化并强调诚信和道德价值观念的重要性;
③管理层是否身体力行,高级管理人员是否起到表率作用;
④对违反有关政策和行为规范的情况,管理层是否采取适当的惩罚措施。
企业合规文化是为了保证单位成员能够自觉做到遵守法律法规及内部规章制度,在单位内部确立合规的理念、倡导合规风气、营造合规的氛围,形成一种良好的企业管理软环境。
当前风险导向审计以预防风险为目的,实行事前、事中、事后审计相结合。良好的企业合规文化能一定程度上克服制度及控制的局限性,专业人士在出具审计报告时会格外关注。
综上所述,独立审计与企业合规管理二者之间有着诸多相同点或相似点,二者从不同角度完善企业管理的有关机制。
企业要做到真正的合规经营,不仅要有良好的企业制度,还要有良好的企业内部合规文化,更要重视专业合规律师对企业的精准合规风险评估,前置企业合规风险,做到防患于未然。让合规管理成为企业高速发展的稳定器,不断创造新的品牌价值。
企业不知如何做合规管理?不如试试审计思维
作者:董留亮来源:iLaw合规

“合规”即“符合规定”,其源自英文“Compliance”一词,acting according to certain accepted standards,即行为符合某些适用标准。