一、企业合规涵义的嬗变 合规的应用领域不断延展,从会计领域的合规审计,到数据领域的合规审计,再到企业的合规审计。企业合规涵盖企业运营过程中所涉及的所有领域和问题,包括公司治理、劳动用工、市场交易、反垄断、财务税收、数据信息、社会责任等方面。至今,企业合规的外延还在不断扩展,社会领域、政府领域也开始使用“合规”一词,衍生出“行政合规”“个人合规”等概念。 1.金融会计领域的合规启用。“合规”一词最早出现在会计和金融领域。1985年美国反虚假财务报告委员会发布的《内部控制——整合框架》指出,通过内部控制制度保证财务报告符合法律法规的规定。这是早期的合规词汇的启用。安然有限公司、世界通信公司等上市公司曝出财务丑闻后,2002年美国出台监管法案《萨班斯一奥克斯莱法案》。该法案要求上市公司的董事会设置审计委员会,加强对财务报告的内部控制。2005年巴塞尔银行监管委员会发布的《合规与银行内部合规部门》指出,合规风险是指银行因未能遵循法律、监管规定、规则、自律性组织制定的有关准则以及适用于银行自身业务活动的行为准则,而可能遭受法律制裁或监管处罚、重大财务损失或声誉损失的风险。 我国对“合规”一词的使用也起源于金融会计领域。2006年我国出台的《商业银行合规风险管理指引》指出,合规指商业银行的经营活动与法律、规则和准则相一致。金融行业的抗风险能力较弱,金融风险对经济社会的影响较大,所以金融领域的合规显得尤为重要。商业银行旨在通过建立合规风险管理体系,实现对风险的识别和控制,防控信用风险、市场风险、操作风险等,确保风险的可控性(曹克正等,2022)。 2.数据信息领域的合规审计义务。2021年11月1日我国《个人信息保护法》正式实施。该法第五十四条创新性地提出个人信息处理者的合规审计义务,即信息处理者对其处理个人信息遵守法律、行政法规的情况进行合规审计,这是信息处理者需承担的一种强制性义务。此外,该法第六十四条还规定,如果存在较大风险或者发生个人信息安全事件时,履行个人信息保护职责的部门可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。实际上,该制度旨在督促信息处理者建立合规审计制度,采取合规措施降低个人信息可能面临的风险,保障信息安全(陈炎,2022)。欧盟《一般数据保护条例》对数据的合规审计作了详细规定。 2022年12月,中共中央、国务院《关于构建数据基础制度更好发挥数据要素作用的意见》提出,培育安全审计等第三方专业服务机构,鼓励企业创新内部数据合规管理体系。数据安全领域的合规审计对象是数据信息处于合法合规的安全保护状态,那么数据合规审计就是为实现该状态而对数据处理、流通的过程与结果进行独立鉴证和评价,并出具最终审计报告。当前我国数据安全方面的合规审计标准与业务还处在发展阶段,数据合规审计主要是由会计师事务所完成的监督活动。根据《个人信息保护法》《数据安全法》的规定,政府审计和内部审计也都应当承担此类数据安全合规审计责任。 3.企业合规的适用领域扩张。自2007年开始,美国严格执行《反海外腐败法》,并加大对部分大型跨国公司违规行为的执法力度。该法案推动了全球企业合规的发展。企业合规涵盖企业运营过程中各个业务和经营领域的合规运行,包括公司治理、合同管理、反贿赂、反垄断、劳动用工、知识产权、税务税收、网络与数据安全、广告、海外投资经营等。合规既要求企业内部建立完善的合规制度,降低运营风险,也要求企业降低违法违规风险。我国企业合规风险意识薄弱,企业合规体系尚处于建设阶段,合规审计制度存在明显不足。越来越多的企业开始意识到合规管理体系的重要性,主动由原来的事后性合规向事前性合规转变,加强企业的合规管理,以提升企业的整体竞争力。 实际上,“合规”已经是一个泛化的概念(李晓明,2022)。2017年出台的《合规管理体系指南(GB/T35770-2017)》与2018年出台的《中央企业合规管理指引(试行)》指出,合规是指中央企业及其员工的经营管理行为符合法律法规、监管规定、行业准则、企业章程、规章制度以及国际条约、规则等要求。因此,从本涵义上分析,合规中“规”的范畴比较广泛。一是企业外部性的“规”,包括宪法法律、行政法规、地方性法规、行政规章以及规范性文件,还有行业强制标准、有约束力的外部协议,以及国际条约和规则等。二是企业内部性的“规”,包括企业章程、各种规章制度、治理机制、运行机制等。三是企业社会性的“规”,主要包括企业社会责任、企业员工职业道德规范、商业惯例等。风险社会理念下市场主体面临复杂的市场风险和政策风险,如果企业存在不合规的情况,则可能遭受法律制裁、监管处罚、重大财产损失、声誉损失等风险。合规管理可以在一定程度上降低不必要的风险,从而减少企业损失。 二、企业合规视角下内部审计的现实挑战 目前,国内从合规角度研究企业内部审计的文献较少。针对内部审计、风险管理、内部控制之间关系的研究相对较多(朱宏博,2021)。对于内部审计的主要研究局限于传统经营性审计领域,而对合规领域的内部审计研究局限于银行金融领域(刘艳青,2021)。因此,随着企业合规适用领域的扩大,推进审计全覆盖制度需要从合规视角对企业内部审计进行反思。 1.内部审计标准的合规性扩展。内部审计实际上是一种内部监督,属于审计监督体系的重要组成部分。虽然我国还没有专门针对内部审计的法律,但是《审计法》《会计法》《审计法实施条例》等法律法规中有涉及内部审计的规定(陈希晖等,2021)。此外,中国内部审计协会发布了内部审计准则、内部审计实务指南等规范。《中国内部审计准则第1101号——内部审计基本准则》规定,内部审计是一种独立、客观的确认和咨询活动,它通过运用系统规范的方法,审查和评价组织的业务活动、内部控制与风险管理的适当性和有用性,以促进组织完善治理、增加价值和实现目标。内部审计实际上是对被审计事项予以鉴证,在此基础上进行评价并提出意见或建议。内部审计强调的不仅是查错纠弊,还包括咨询功能,具有功能溢出效应和增值效应。