合规审计101:类型、规则和过程

遵从性审计是一种独立的评估，以确保组织遵守外部法律、规则和法规或内部指导方针，如公司规章制度、控制、政策和程序。合规性审计也可以确定一个组织是否遵守了一项协议，例如一个实体是否接受了政府或其他资助。尽管大多数人都熟悉财务审计，比如通过萨班斯-奥克斯利法案(SOX)对上市公司进行的审计，或者通过美国国税局(IRS)对个人或企业进行的税务审计，但合规审计并不仅仅是财务审计。审计也可以审查IT和其他安全问题遵守人力资源法规，质量管理体系等。法规遵循是GRC三脚架上的一条腿，GRC代表治理、风险和法规遵循。

遵从性很重要，原因有很多。除了指明专业标准的级别，如ISO 9000、ISO 14000和其他指导方针，不遵守监管指导方针可能会受到制裁和处罚。对不遵守联邦法规(如萨班斯-奥克斯利法案)的处罚是通过《联邦量刑指导法案》(federal Sentencing Guidelines Act)规定的，并根据计算最近的违法行为并确定组织是否雇佣了一名合规官向组织传达监管需求的公式来应用罚款。

董事会也经常负责运营，需要看到审计报告。如果监管机构确实进行了调查，那么合规程序的证据就很重要，可以证明该组织有控制和其他机制，可以发现缺陷甚至非法活动。

根据具体情况，审计可能由内部审计员、注册会计师、第三方审计员或政府审计员等雇员进行。在许多情况下，审计员可能会寻求外部专家(如律师)的专家意见。

审核提供改进或纠正措施的建议，并防止未来的缺陷或不符合。审核审核有效性，以确定符合和不符合流程的数量。审计还有助于组织遵守频繁变化的联邦法规。此外，审计识别组织内部不合规的风险领域，并将这些评估报告给管理层和适当的监管实体(如适用)。

本质上，合规性审计询问您是否正在执行您所承诺的操作。

遵从性审计衡量一个组织遵守规章制度、标准、甚至内部细则和行为准则的程度。审计的一部分还可以审查组织内部控制的有效性。不同的部门可能使用多种类型的审计。例如，会计可能使用内部、法规遵循和操作审计。不同级别的政府可能要求审计。

• 内部审计:尽管有些人将遵从性审计和内部审计的概念混为一谈(通常使用来自内部审计团队的人员)，但这两种类型的审计代表不同的方法。内部审计确保组织遵循流程、程序和指导方针——换句话说，它自己的内部控制。这种类型的审计还保证这些控制预防和发现错误或非法行为。另一方面，遵从性审计确保组织履行外部义务，如规则和条例、协议或标准。内部审计可以是操作的、IT的、财务的或监管的，但是使用适合于主题领域的正式审计方法进行。监管机构无法获得内部审计，而且往往不对外公布，尽管有时会公布社会合规审计结果，作为公司品牌重塑的一部分。内部审计可以在外部合规性审计之前进行，以确保组织遵循标准。
• 合规审计:合规审计不同于内部审计，因为它们是面向外部的，确保公司遵守规章制度或行为准则。然而，理想情况下，内部和遵从性审计功能共享相同的语言(甚至软件)，以确保审查是全面的。
• 操作审计:业务审计确定不同部门和活动的效率和效果，以及这些领域的运作是否与组织的使命和意图一致。

审计不是监控

审计和持续监控不是一回事。审计是独立的经验，类似于项目，通常由无私的局外人进行。监视是一项持续的工作，以确保控制准确地指导过程。监督也是管理层的责任。

谁负责审计?

内部审计通常由员工进行。较大的组织可能会保留一个完整的部门来管理内部审计。然而，为了保持客观性，审计师必须与被审计的领域或部门没有直接联系。内部审核员或审核经理有明确的责任将控制的变化或缺陷通知管理层，并建议改进控制和过程的措施。尽管如此，内部审计师并不负责监督内部或外部的合规性。一些人认为，内部审计职位不需要特殊的培训。审计员也可以雇佣专家，比如大学教授，来审查实践。

对于法规遵循审计，特别是大型组织可能支持由法规遵循经理领导的整个法规遵循部门，以确保遵守代码、标准和法规。事实上，由于联邦法规的数量已经超过了可以监督合规的政府审计人员的数量，内部合规官员的数量也在增加。合规人员了解相关的法律、法规和内部行为规范和细则。他们也可能有足够的主题领域知识，例如机械或环境工程，以进行操作审计。有金融背景的人会专注于会计事务。

仅在美国，就有多种基于标准和法规的自愿和强制审计。美国的财务审计受普遍接受的审计标准(砷化镓)，为准备及进行审核提供指引。《政府审计准则》适用于政府机构的审计，也适用于接受政府资金的承包商的项目和活动。这些标准也适用于接受政府资助的非营利组织和非政府组织。审计评价标准也可能根据公司是上市公司还是私营公司而变化。通常情况下，联邦机构以热线和网站的形式提供合规支持，帮助组织在监管迷宫中穿行。

以下是美国可能采用的审计标准和准则中的一些:

• 对政府实体和接受政府财政援助的机构进行审计时的合规性审计考虑(AU 801):本指南规定了接受政府资助的政府实体和组织财务状况合规审计的定义、管理角色和要求。它们由上市公司会计监督委员会(PCAOB)发布和管理。
• 萨班斯-奥克斯利法案:SOX法规遵从性审计要求对财务记录、财务和运营控制进行特定的审计。除了工资和财务部门，IT部门也要接受特殊的审计，以确保对电子通信的灾难恢复控制，适当的变更管理工具，以及完整的审计跟踪。
• 社会责任:社会遵守和可持续性行为准则界定了雇员的工作权利、健康和安全权利以及环境可持续性标准。审核确认供应链中的供应商和设施遵守指导方针。不符合规定可能会引发制裁，包括失去品牌业务。
• 医疗保险携带与责任法案(HIPAA):HIPAA合规性审计检查组织是否遵循了医疗保健中保护个人数据的标准。处理个人医疗保健信息(PHI)的组织必须确保数据的物理、电子和程序安全性。
• 支付卡行业数据安全标准(PCI DSS)PCI DSS是一组标准，企业必须实现这些标准才能获得存储、处理或传输电子支付的认证。如果您的组织每年处理超过600万笔信用卡交易，则必须进行年度审计，以确保网络、系统和流程能够及时保护敏感信息并发现违规行为。
• 人力资源:欧宝体育app官方888尽管存在各种类型的人力资源审计，但法律遵从性审计验证实体是否遵守联邦、州和地方的就业法律和法规。公司特别关注的领域包括对非豁免工作的错误分类和不充分的人事档案。
• 工资:工资合规性审计决定雇主是否遵守集体谈判协议。
• 美国国税局:美国国税局审计个人、公司和非营利性实体，以确保缴纳所得税。国税局称他们的审计工作为检查，因为他们遵循税法而不是普遍接受的会计原则。
• 州和地方税:州和地方审计员可以审查企业和个人的记录，以核实州和地方税收，如所得税和销售税，已经缴纳。
• 金融业监管局(FINRA):FINRA不是一个政府机构，但它与证券交易委员会(SEC)合作。FINRA规定了金融、经纪、证券和投资公司的年度审计。该实体检查许可证、广告和日常活动，以验证贸易实践是公平的。审计结果不佳的后果可能包括罚款、停职或吊销律师资格。
• - spam的行为:这是一项联邦法律，由联邦贸易委员会(FTC)实施，管理大量邮件和商业电子信息，以消除冒犯、烦人或误导的商业电子邮件。该法律适用于商业企业，也适用于非营利组织。商业电子邮件发送者可能想要审计他们的系统的退出效率和审计供应商。
• 职业健康与安全法:职业健康与安全管理局为包括办公室工作人员在内的大多数工人实施工作场所健康和安全标准，并将其延伸到制造业、建筑、私人教育和救灾等领域。OSHA的审计确保工作场所是卫生和无害的。
• 环境保护局(EPA):环保署与州、部落和其他联邦当局合作，促进遵守环境法律。环境完整性不仅通过检查和测试来确保，还通过健全的自我监测和自我报告机制来确保。
• 美国证券交易委员会:证券交易委员会对证券顾问等金融机构进行审计，以确保投资者充分了解投资情况，并确保客户受到公平对待。
• 医疗保险和医疗补助服务中心(CMS)(前身为医疗保健融资管理局):CMS是联邦卫生与公众服务部下属的一个机构。它监督医疗保险的资金，并与各州合作管理医疗补助。定期对设施进行审计，以确保资金的正确使用和跟踪。
• ISO 14001:ISO 14000系列和可认证标准14001于1996年由国际标准组织制定，是国际设计的指导方针，供企业通过减少浪费和更有效地使用供应品来限制对环境的影响。认证是自愿的，但需要初始审核和定期维护审核。
• 社会责任:社会合规标准的核心是贯穿公司供应链的可持续劳动和环境实践。标准可以在法律法规、公司起草的行为准则或不同行业达成一致的政策中加以规定。品牌经常要求进行社会合规审计，但由供应商支付和发起。
• ssae:审计业务标准认证声明管理金融服务组织(如数据中心、isp和其他可能存储、处理或传输敏感数据的实体)的控制报告。

ISO 9001:国际公认的质量管理标准ISO 9001认证是自愿的，但需要初始审核和定期维护审核。

根据审计的类型，一个公司的许多部门都可能受到审计，从财务到工资到生产到IT到销售。ob欧宝娱乐app手机下载审核员可以在整个层级中面试员工。但是，特别强调的是管理人员。例如，AU 801要求管理层负责理解遵从性要求，确保适当的控制保持遵从性，定期检查以证明遵从性得到满足，然后实施纠正措施以减轻缺陷或不符合。通过SOX合规审计，首席执行官和首席财务官必须证明控制的完整性和财务报告的准确性。PCI遵从性审计可能会访问cio、cto和IT管理员，以确定如何跟踪用户，并审查来自IT事件日志和变更管理软件的审计跟踪。

尽管标准化的重量、计量和惯例的规定可以追溯到中世纪的手工艺和商人行会，但法规和合规主要是在工业时代发展起来的。政府、专业团体和社会福利组织寻求加强对商业行为的监督和控制。内部审计是始于20世纪70年代的第一项创新，当时企业寻求确保自身业务的完整性。除了iso9000等自愿认证标准，上个世纪还出现了政府监管机构的崛起。例如，除了多个联邦机构自己进行审计外，监察长办公室在每个联邦部门都有一个分处。

遵从性似乎会给组织带来一种困境，无论他们是否遵从，他们都要承担惩罚的责任。在监管审核中发现的缺陷可能会被处以罚款。然而，任何没有在审计中发现的缺陷仍然可能使组织面临第三方诉讼。在自我审计和自我报告中发现的缺陷仍然会受到严重的处罚。

审计员可以单独工作，也可以与其他职能部门合作，如人力资源、IT、法律和安全。欧宝体育app官方888审核员必须有权查看记录。此外，审计问卷和正式面谈提供了组织情况的更丰富的图景。根据审计的范围，可以使用统计抽样或判断抽样。统计抽样提供了一个现有的一致性和异常值模型。判断性测试可能不允许泛化到更广泛的样本，但不符合项和异常值的类型和数量可能表明风险区域。

无论审计是内部的还是合规的，管理层都必须明白，他们最终有责任建立内部控制并确保合规。一般来说，大多数来源都同意，所有级别的管理都有责任制定适当的政策和程序，并对其进行监测，以核实遵守情况。

以下是合规审计的步骤:

1. 组织联系审计员。审核员和组织决定审核员的专业知识是否适合。
2. 审计公司向公司或律师发送一份建议，说明合规审计应该调用客户-律师特权的情况。
3. 在初步会议上，审核员描述审核的准则和要求。审核员可以提供审核清单，以便客户准备。
4. 对于小型组织，审核员可能通过电话工作。组织完成审计问卷并向审核员提供所需的文件。审核员可以在现场查看文件，巡视工作空间，研究基础设施和安全功能，并与管理层和员工面谈。
5. 报告应该在相对较短的时间内提交。在对设施进行社会合规审计的情况下，周转可能会在第二天就完成。在最后的会议上，审核员提出并讨论报告，并提出解决任何风险领域的建议。无论是否在监管期限内工作，组织通常都应该在120天内纠正任何缺陷，以确保他们完成纠正措施，而不是简单地把它们搁置到下一次审计。然而，审计公司通常也提供后续支持，以帮助组织纠正任何风险或缺陷。审核员然后核实是否达到了要求。

医疗保健组织被要求遵守严格的安全措施并遵守HIPAA指南，这意味着遵从性审计是非常必要的，以确保企业遵守外部规则、法规、策略和过程，同时还要准确跟踪机密信息(如受保护的健康信息(PHI))是如何存储和保护的。

HIPAA法规要求医疗保健组织实施合规性审计程序，以建立针对利益冲突程序的行动计划、相关组织之间的赔偿协议和联邦索赔监测。法规遵循性审计在组织的所有成员之间建立了一条清晰的沟通线，并确保法规指导方针的可见性以及组织遵守这些指导方针的情况。

由于医疗保健公司必须始终保持遵从性，并定期审计其流程和指导方针的遵守情况，因此它们需要一个工具来帮助它们跟踪所有政策和流程，为审查提供关键信息，并确保业务的完整性不会受到威胁。

Smartsheet是一个工作执行平台，它使医疗保健公司能够改进审计流程、管理外部规则和监管信息，并在一个集中位置跟踪和存储历史记录，同时满足或超过HIPAA的所有监管要求。简化报告，将所有必要的信息组织在一个集中的位置，并汇总遵从性报告以增加可见性。

有兴趣了解Smartsheet如何帮助您最大化您的努力吗?发现用于医疗保健的智能表格．

在许多行业中使用，包括软件开发，遵从性测试是一种非功能测试，执行该测试是为了确保某些东西满足交付的指定标准和需求。

在审计中，遵从性测试确认控制及其应用的存在。实质性测试核实控制的完整性和平衡会计报表等文件的实际准确性。

几乎每一个行业都可能受到审计。因此，存在许多不同类型的审核员:

• 来自会计师事务所的外部审计师
• 具有法律背景的监管审计师
• 技术合规审核员检查工厂的安全问题
• 具有制造和生产经验的质量保证审核员ob欧宝娱乐app手机下载
• 州、地方、市政和监管审计员
• 各种美国政府监管审计员

审核员需要有足够扎实的审计背景来审查法律、法规和指导方针，尽管他们可能会聘请律师或其他主题专家的帮助，特别是在法规指导方针或政策不确定的情况下。另一方面，审计员必须具备沟通技巧，向公司各级员工阐明法律和政策的相关性。

一般来说，除了领域培训之外，审核员必须至少拥有学士学位。为了职业发展，他们应该获得硕士学位。例如，公共会计事务所可能需要财务会计准则委员会和财务会计准则报表(SFAS)的知识进行财务审计。许多领域的审核员可能会发现拥有运筹学、统计分析、审计、质量管理和一般咨询方面的技能很有用。

合规审核员通过不同的组织获得专业改进和支持，每个组织通常针对某一专业。以下是与合规审计相关的主要证书和专业组织:

• 企业合规与道德协会:这个非营利组织提供个人会员，通过培训、会议和认证帮助法规遵循专业人员跟上时代。自愿认证包括认证医疗保健合规性(CHC)、认证医疗保健隐私合规性(CHPC)、认证医疗保健研究合规性(CHRC)、认证医疗保健合规性研究员(CHC- f)、认证合规与伦理专业人员(CCEP)、国际合规与伦理专业人员(CCEP- i)和认证合规与伦理专业人员(CCEP- f)。
• 美国特许公共会计师协会:该组织协助一般会计的专业发展，并提供税务合规性审计的指南和检查清单。
• 卫生保健合规协会:HCCA为一系列受监管的医疗保健实体的合规审核员提供专业发展和网络。
• 全国合规专业人员协会(NSCP):这是金融行业(包括证券业)合规专业人员的专业协会。如果成功完成，它将提供注册证券合规专业人员(CSCP)认证尤蒂卡学院12个月在线证券合规课程。

根据PayScale.com的数据，美国合规审计师的工资中位数约为5.5万美元。入门级工资最低可达3万美元。科学和医学领域的管理合规职位每年可获得超过10万美元的报酬。

以下是合规性审计的一些基本方面的定义。有关会计审计定义的详细列表，请参见PCAOB文件非盟801．

• 适用的合规要求:这些是遵从遵从性审核的遵从性需求。
• 审计证据:审计员在规定的审计中必须报告的信息。这包括在审核期间收集的细节，这些细节使审核员能够合理地形成对被审核的文件、过程和过程的意见。
• 审计风险:这是一种风险，即审计员将对实体的合规性和所审查的文件发表不适当的审计意见。
• 控制风险:这指的是一个组织的内部控制可能没有发现或防止遵从性缺陷。
• 应有的专业关怀:这涉及到审计师努力收集适当的审计证据，以证明财务报表不存在重大错报。
• 公认会计准则(GAAP):美国最常用的报告财务报表交易的会计准则。
• 公认审计准则(GAAS):这是一项美国标准，用于计划、实施和跟踪遵从性审计。
• 政府审计准则:这些是专门针对美国政府的财务审计、认证业务和性能审计的指导方针。它们也被称为黄皮书或普遍接受的政府审计标准(GAGAS)。
• 持续经营:当一家企业可以合理地预期继续经营至少12个月时，它就被认为是持续经营。
• 委托人:授予人是指为政府项目提供资金的机构。
• 内部控制:客户用于防止或发现错误的操作标准
• 直通实体:这是一个从授予人或其他地方获得资金的组织，并将这些资金的全部或部分提供给另一个组织来管理政府项目。
• 管理断言:财务报表是一个组织的管理层就财务文件所作的说明。
• 重要性:重要性是指财务报告的某一方面相对于其他财务问题的重要性。
• 客观性:这是指在进行审计时，对客户或他们的合规情况没有任何先入之见。
• 抽样:这是指用于表示整体的数据或记录的一个重要子集。

通过设计一个灵活的平台来满足团队的需求，并根据这些需求的变化进行调整，使你的员工能够超越这些需求。

Smartsheet平台可以方便地在任何地方计划、捕获、管理和报告工作，帮助您的团队更有效地完成更多工作。报告关键指标，并在工作发生时通过滚动报告、仪表板和自动工作流来获得实时可视性，以保持团队的联系和消息灵通。

当团队清楚要完成的工作时，没有人知道在同样的时间内他们能多完成多少。今天就可以免费试用Smartsheet。

Smartsheet在网站上提供的任何文章、模板或信息仅供参考。虽然我们努力保持信息的最新和正确，但我们不就网站或网站上包含的信息、文章、模板或相关图形的完整性、准确性、可靠性、适用性或可用性作出任何形式的明示或暗示的陈述或保证。因此，您对此类信息的任何依赖都将严格由您自己承担风险。