合規性審計
出自 MBA智库百科(https://wiki.mbalib.com/)
合規性審計(Compliance Audit)
目錄 |
合規性審計是指註冊會計師確定被審計單位是否遵循了特定的法律、法規、程式或規則,或者是否遵守將影響經營或報告的合同的要求。比如招標程式的合規性審計,土建工程的合規性審計,物資採購過程的合規性審計等。合規性審計是確定某一組織是否遵從了監管方針的一種綜合性評述。
合規性審計的目的在於揭露和查處被審計單位的違法、違規行為,促使其經濟活動符合國家法律、法規、方針政策及內部控制制度等要求的審計。
合規性審計是內部審計實施的審計類型之一,可以作為單獨的審計過程,也可能是財務審計或運營審計的一部分。
合規性審計可以由管理層發起,也可以由法律或法規要求進行。
在合規性審計中,審計人員應確定公司是否遵循了現行法律和法規以及專業和行業標準或合同責任的要求,即被審計單位是否遵循了特定的程式、規則或條例。例如,確定會計人員是否遵循了財務主管規定的手續,檢查工資率是否符合工資法規定的最低限額,或者審查與銀行簽訂的合同,以確信被審計單位遵守了法定要求。
對審計人員來講,進行合規性審計的第一步是確定管理層是否有一個識別現行政策、程式、標準、法律以及法規的制度;然後,審計人員應評估控制是否得到了恰當的應用或遵循;最後,該審計應得到公司是否合規的結論
合規性審計的結果通常報送被審計單位管理層或外部特定使用者。
嚴格而言,合規性審計內容廣泛多樣,具體取決於某一組織的性質是公有還是私有公司;該公司處理的數據類型以及它是否傳送或存儲了敏感財務數據。舉例而言,SOX(薩班斯法案)規定任何電子通信必須進行備份並有合理的災難恢復體系作為保障。保存或傳送如個人健康信息這樣的電子醫療記錄的醫療服務提供商必須遵守美國醫治保險攜帶和責任法案(HIPAA)。傳送信用卡數據的金融服務公司必須遵守PCI DSS標準。獨立核算、安全或IT顧問需對合規準備的優點及全面性做出評價。無論在哪種情況下,被審計的組織都必須通過提供審計跟蹤記錄(審計跟蹤記錄通過由事件日誌記錄管理軟體的數據生成)表明自己符合相關規定。
審計過程中,合規性審計員通常會向首席信息官(CIO)、首席技術官(CTO)和IT管理人員詢問一系列尖銳問題。這些問題可能包括:添加了什麼樣的用戶、何時添加了這些用戶、哪些用戶離開了公司、用戶信息是否已經撤銷以及什麼樣的IT管理人員已經能夠進入關鍵系統。IT管理者可以通過使用事件日誌管理工具以及健全的變更管理軟體在IT系統內實現跟蹤、文件審核和控制功能。GRC(治理、風險管理和法規遵從)軟體類型的不斷增加使得首席信息官可以方便地向審計人員和首席執行官展示某組織遵從法規,不會不受高額處罰或製裁。
