摘 要:企业合规的源起是对监管的回应。作为监管的重要手段,合规审计应运而生。目前,企业合规审计在学术研究和适用过程中存在基础理论框架不完整、相关法律法规缺位、审计主体单一等法治困境。为此,本文从法学视角,基于经典审计理论,探析完善合规审计的法律体系、形成国家审计、内部审计和社会审计协同、丰富企业合规审计结果运用的法治保障路径。
关键字:企业合规;合规审计;审计法
一、引言
企业合规的源起是对监管的回应。绝大部分企业在没有外部压力的情况下不会主动进行自我合规监管,因为追求利润最大化才是企业的第一要义。简而言之,只有外部的强制力才会迫使企业做正确的事情。
随着合规概念的泛化和审计的发展,合规审计在适用过程中出现诸多问题,合规审计是合规学和审计学的交叉,现有的文献多试图仅从审计学的视域来定义合规审计,始终无法打通合规与审计之间的壁垒使之成为一个融贯的理论。究其原因,是忽略了合规与审计的关系。想要阐明合规审计的本质,就必须跳出经典审计理论的桎梏,先厘清合规和审计的关系,需要建构一个全新的企业合规审计的理论框架,以解决一些基础性问题,为企业合规审计法治提供保障。
二、企业合规审计的框架
(一)企业合规审计的本质
企业合规审计的本质,即什么是企业合规审计。企业合规,是指企业为有效防范、识别、应对可能发生的合规风险所建立的一整套公司治理体系。从合规审计的字面意思来看,审计是一项技术抓手,而合规则是标准和核心。要从审计的角度对形式和程序做出规定,例如,“谁来进行审计”“对谁进行审计”等;亦要从合规的角度对内容和实体进行解释,例如,“为什么要进行审计”“希望通过审计得到什么结果”“审计哪些内容”等。
(二)企业合规审计的需求
1.企业发展的需求。根据经典审计理论,结合审计需求,可得企业合规审计是治理代理人在履行其企业类经管责任时的财务违规行为和业务违规行为的需求。随着对合规的理解越来越深刻,企业有了“合规创造价值”的认识。事前的合规审计是在企业无违法犯罪行为的情况下,对企业合规管理体系建设的有效性进行审计,可以有效地帮助企业控制经营合规风险,切割责任,实现企业的可持续发展。事后的合规审计是在企业涉案时,作为合规整改和合规验收的一项技术抓手,对企业的刑事合规整改情况进行审计,帮助排查犯罪因子,实现企业的去犯罪化。
2.国家治理的需求。企业合规审计是保证国有资产安全,保障社会经济平稳高效运行的需求。同时,对涉及国家安全的企业进行合规审计也是安全体系和能力现代化的应有之义。特斯拉和滴滴事件后,互联网信息办公室加强了对数据合规的监管,并在《个人信息保护法》第54和64条,对个人信息保护的合规审计制度做出专门规定。
(三)企业合规审计的主体
1.审计机关。国家审计是监督体系的重要组成部分,由宪法明文规定,具有最高权威性和强制性。企业合规审计作为一种研究型审计,在探索之初最需要审计机关作为审计主体,被审计单位必须无条件配合,以保障合规审计的顺利进行。同时,为其他审计主体开展合规审计提供借鉴和经验。同时根据《审计法》第32条规定,审计机关应当对被审计单位的内部审计工作进行业务指导和监督。
2.内审部门。随着我国经济的迅猛发展,审计的事项越来越多,考虑到审计资源的稀缺性,仅仅依靠审计机关无法做到对企业进行深入的合规审计。企业的内审的部门必然要承担起自我监管的责任,成为合规审计的审计主体。每个企业的合规各有其特性,往往企业的内审部门是最能了解企业的合规风险点,也最熟悉企业的业务流程,其出具的合规审计报告更具有针对性。
3.其他专业机构。并非所有企业都有能力和资源去做合规审计,律师事务所和会计师事务所等专业机构,当然成为第三种合规审计的主体。专业机构具有极强的专业知识和能力,会实时更新最新的法律规定和审计技术方法,同时作为第三方,其出具的合规审计报告更具有专业性和客观性。
(四)企业合规审计的客体
国务院公布《中央企业合规管理办法》(以下简称《办法》)等文件,对企业依法合规经营提出更高要求,各国有企业推进企业合规管理体系建设工作。
首先,审计法规定了企业合规审计的必要性。《审计法》规定,审计机关应当对国有企业进行审计,特别是对国有资产进行审计监督。国有企业作为国有资产的代表,其经营活动必须符合法律、法规和政策的要求。审计法规中规定了国有企业应该进行审计,这是对国有企业的一种监督和保障。
其次,因为长臂管辖和政治经济因素,保护国有资产安全的需要。国有企业通常具有比民营企业更高的社会责任和公共利益,是重要的经济支柱。在全球化经济时代,长臂管辖的理念逐渐兴起,对社会责任的要求也越来越高。企业合规审计可以帮助国有企业遵守国内外的法律法规和规范制度,防范风险,保护国有资产安全和国家安全。
(五)企业合规审计的目标
审计目标,即人们希望通过审计得到的结果。企业审计目标区分为审计终极目标和审计直接目标。企业审计终极目标是各类委托人希望通过各类企业审计得到的结果,具体内容就是抑制代理人在履行企业类经管责任中的代理问题和次优问题,促使其更好地履行企业类经管责任。鉴证、评价和监督代理人在履行企业类经管责任中的代理问题和次优问题,就成为审计机构的目标,也称为审计直接目标。
企业合规审计的终极目标不仅是保证国有资产的安全有效,更是保证国家安全。审计的“全面覆盖”,真正做到应审尽审,加强审计监督、改革审计管理体制,不断赋予审计工作新的内涵。让这把“利器”为促进令行禁止、维护经济安全、推动全面深化改革、促进依法治国、推进廉政建设等作出了重要贡献。审计服务于国家治理的路径不再拘囿于单一的经济责任监督,而是从多个维度上体现出服务于国家治理的时代价值。
(六)企业合规审计的内容
1.合规体系。合规体系的完整性和科学性,包括但不限于合规机构设置、合规职责配置、风险及应对、持续改进、合规文化、信息化建设等。企业合规每一步每一环都不是孤立的,而是一个统一的有机整体,就像是生物的免疫系统,从而帮助企业从各领域、全方面构建有效的合规体系。有针对性和可适用性的合规计划是企业合规的前提和基础。通过对企业合规计划的审计,不仅可以了解企业未来合规管理体系建设的一个发展方向,还可以了解企业对于企业合规管理的态度。故对合规计划的审计应作为合规审计内容的核心和审计重点。
2.合规体系的保障制度。对合规体系的运行情况,实际效果比保障、比纸面的合规计划更重要。例如,边界管控、访问控制、安全检测、安全审计、评估检测、应急演练、响应、处置、通知、网络安全保护等机制。企业合规的生命力不在于计划的涉及,而在于实施和保障,上述一系列制度机制从程序保障层面,为企业合规管理体系的建设保驾护航。各个国家指标、地方指标、国际标准、政策性文件均强调制度保障的重要性。故而,对合规体系保障制度的审计结果是企业合规管理体系有效性和可持续的重要指标,与合规计划同等重要。
三、企业合规审计的法治困境
(一)企业合规审计未形成完整的理论框架
理论框架是制度构造和学术研究的前提和基础,包括但不限于对基本概念、关系和规律的抽象表达和系统性阐述。在构造合规审计这一制度时,没有完整的理论框架,难以解决遇到的问题和矛盾,更无法总结科学的原则和准则。
合规审计属于合规学和审计学的交叉范畴,以致合规审计无法在法学和审计学形成一致的理论框架。例如,企业合规审计就是对履行企业类经管责任的财务行为和业务行为的独立鉴证与监督。而现在的企业合规审计,不再囿于行为维度,更是涵盖了信息和制度维度。故而后续的理论研究难以深入推进,且相关文献内容较少,迟迟未能形成完整的理论框架。这限制了后续的理论研究和制度构造,审计立法工作难以开展,审计工作也难以法制化、规范化。
(二)企业合规审计相关法律缺位
合规审计的相关法律或无明确规定,或规定不够完善。《审计法》有第27条这一兜底性条款,但未有单独的法律条文对合规审计做出规定。《个人信息保护法》第54条和第64条,对个人信息保护的合规审计做出了明文规定。但是,企业合规审计没有一个直接的顶层法律,也没有形成一个完整的法律体系。于审计机关和司法机关而言,需要通过法律的赋予其监督并将其作为一项技术抓手的权利;于企业和专业机构而言,需要明确的法律来进行规范的、有效的审计。
(三)企业合规审计的审计主体单一
政府审计人力资源紧张,面临巨额审计成本;社会审计独立性易受损害,审计质量难以保证;内部审计独立性缺失,人员资质参差不齐等。审计资源的稀缺性、审计人员的专业性,以及《审计法》暂无法律条文对合规审计做出专门规定,致使审计机关并未能作为合规审计的主体。由于合规管理体系建设的政策和监管要求,合规审计的主体目前更多是企业和律师事务所、会计师事务所等专业机构,审计主体单一。首先,内部审计和社会审计很难完全独立于被审计企业,会导致合规审计程序的规范性和审计报告的真实性、权威性不足。其次,因为其对政策法规的理解和执行天然弱于审计机关,对合规管理体系建设的有效性标准把握不足,审计结论准确性不足。
四、企业合规审计的法治保障
(一)完善企业合规审计的法律体系
法律层面,《审计法》应新增单独的法律条文,以立法创设的形式将企业合规审计正式纳入审计法律体系,并对《个人信息保护法》等已经对合规审计做出规定的部门法的相关条文进行解释。
行政法规及部门规章层面,《中华人民共和国审计法实施条例》《中华人民共和国国家审计准则》《审计署关于内部审计工作的规定》等应对企业合规审计做出具体的规定,强调各级行政单位、事业单位的内部审计工作应接受审计机关的业务指导和监督。《企业合规管理办法》已经对企业合规管理体系建设做出规定,但对合规管理体系的有效性评价缺少监督手段,故应明确以企业合规为技术抓手同时做出具体规定,进一步完善企业合规审计制度。
(二)形成国家审计、内部审计和社会审计协同审计
国家审计、内部审计与社会审计各审计主体通过审计协同,明确并放大自己在企业合规审计中起到的作用。
国家审计在审计协同中处于主导地位,从法律法规和具体审计业务实施角度对内部审计和社会审计进行监督和指导,以确保其企业合规审计的有效性。内部审计发挥控制作用。企业合规审计最初的应用,就是企业内控部门对自己合规管理体系进行有效性评价,且企业合规管理体系建设的主体主要是企业,其完成的审计更具有真实性,但需要在审计机关的监督下保障其内控的有效性。相比于审计机关和内部审计来说,社会审计主要履行鉴证责任。协同审计还可以实现企业合规有效性标准的统一,以减轻企业的压力。同时有效的统筹审计资源,共享审计结果,避免审计资源的重复和浪费。
(三)丰富企业合规审计结果的运用
审计结果的运用是企业合规审计的重中之重,一方面,应将企业合规审计的结果作为决策的参考。于企业自身,对企业的合规建设情况及合规风险状况进行审计,审计结论可以作为合规管理体系建设有效性的评价标准之一。审计发现、审计信息、审计建议可以作为后续整改的参考。于检察机关,对涉案企业的合规整改情况审计,审计结论作为合规整改验收是否通过的参考,进而做出是否不起诉的决定。于企业评价协会,运用统一的手段对企业的合规管理体系的建设情况、合规制度政策、管理组织完善程度等指标进行全面审查,审计结论作为对企业认证评级的参考。
另一方面,应将企业合规审计的结果作为法律抗辩的依据。法律抗辩是指企业的其他行为涉嫌犯罪的时候,具备充分性、适当性的“预防程序”,即已经存在的内部合规机制可以成为企业出罪的抗辩理由。企业进行法律抗辩需要满足两个条件:首先,企业应向执法机关提供已制定的合规计划,并证明这些标准得到有效执行;其次,企业需要证明对于产生的问题,其无过错、已尽全力且无法避免。若企业合规审计结论证明企业已建成有效的合规管理体系或完成合规整改,且对审计发现和审计信息中存在的问题,参考审计建议进行整改,则企业合规审计结果可以作为涉案企业法律抗辩的依据。
(文 / 赵一纬)
(作者简介:赵一纬,南京审计大学,研究生在读,研究方向:企业合规、合规审计。)
参考文献
[1]梁涛.美国企业合规制度的构建:国家监管、强制性监管和自我激励.政治与法律,2022(7).
[2]陈瑞华.企业合规的基本问题.中国法律评论,2020(1).
[3]郑石桥.企业合规审计:一个理论框架.会计之友,2019(9).
[4]陈瑞华.企业合规基本理论(第三版).北京.法律出版社,2022.
- 本文固定链接: http://www.dlqsyzz.com/8352.html
- 转载请注明: 《大陆桥视野》 于 发表
