合规性审计(Compliance Audit)
目录 |
合规性审计是指注册会计师确定被审计单位是否遵循了特定的法律、法规、程序或规则,或者是否遵守将影响经营或报告的合同的要求。比如招标程序的合规性审计,土建工程的合规性审计,物资采购过程的合规性审计等。合规性审计是确定某一组织是否遵从了监管方针的一种综合性评述。
合规性审计的目的在于揭露和查处被审计单位的违法、违规行为,促使其经济活动符合国家法律、法规、方针政策及内部控制制度等要求的审计。
合规性审计是内部审计实施的审计类型之一,可以作为单独的审计过程,也可能是财务审计或运营审计的一部分。
合规性审计可以由管理层发起,也可以由法律或法规要求进行。
在合规性审计中,审计人员应确定公司是否遵循了现行法律和法规以及专业和行业标准或合同责任的要求,即被审计单位是否遵循了特定的程序、规则或条例。例如,确定会计人员是否遵循了财务主管规定的手续,检查工资率是否符合工资法规定的最低限额,或者审查与银行签订的合同,以确信被审计单位遵守了法定要求。
对审计人员来讲,进行合规性审计的第一步是确定管理层是否有一个识别现行政策、程序、标准、法律以及法规的制度;然后,审计人员应评估控制是否得到了恰当的应用或遵循;最后,该审计应得到公司是否合规的结论
合规性审计的结果通常报送被审计单位管理层或外部特定使用者。
严格而言,合规性审计内容广泛多样,具体取决于某一组织的性质是公有还是私有公司;该公司处理的数据类型以及它是否传送或存储了敏感财务数据。举例而言,SOX(萨班斯法案)规定任何电子通信必须进行备份并有合理的灾难恢复体系作为保障。保存或传送如个人健康信息这样的电子医疗记录的医疗服务提供商必须遵守美国医治保险携带和责任法案(HIPAA)。传送信用卡数据的金融服务公司必须遵守PCI DSS标准。独立核算、安全或IT顾问需对合规准备的优点及全面性做出评价。无论在哪种情况下,被审计的组织都必须通过提供审计跟踪记录(审计跟踪记录通过由事件日志记录管理软件的数据生成)表明自己符合相关规定。
审计过程中,合规性审计员通常会向首席信息官(CIO)、首席技术官(CTO)和IT管理人员询问一系列尖锐问题。这些问题可能包括:添加了什么样的用户、何时添加了这些用户、哪些用户离开了公司、用户信息是否已经撤销以及什么样的IT管理人员已经能够进入关键系统。IT管理者可以通过使用事件日志管理工具以及健全的变更管理软件在IT系统内实现跟踪、文件审核和控制功能。GRC(治理、风险管理和法规遵从)软件类型的不断增加使得首席信息官可以方便地向审计人员和首席执行官展示某组织遵从法规,不会不受高额处罚或制裁。