郑石桥

【摘要】将金融审计基本理论贯通到金融合规审计，分析金融合规审计的各个基础性问题，进而提出一个基于经典审计理论的金融合规审计理论框架。该框架的主要内容包括：金融合规审计本质、金融合规审计需求、金融合规审计主体、金融合规审计客体、金融合规审计内容、金融合规审计目标、金融合规审计取证模式及其与审计意见类型的关系、金融合规审计结果及其应用。

【关键词】金融合规审计;金融经管责任;审计主题;金融业务信息;风险导向审计

【中图分类号】F239.44 【文献标识码】A 【文章编号】1004-0994（2019）07-0082-6

一、引言

根据审计主题的不同，将金融审计区分为金融报表审计、金融绩效审计、金融合规审计和金融制度审计四种主要类型，本文聚焦于金融合规审计。这里的金融合规是指金融单位（包括金融监管机构、金融机构及其内部单位，下同）在履行其金融经管责任时，要遵守相关法律法规。按法律法规的要求来履行金融经管责任是金融单位的基本履职要求。金融合规审计通过对金融单位业务活动和财务活动的鉴证、评价和监督，能有效地促进金融单位更好地遵守相关的法律法规，因此，金融合规审计成为重要的金融审计业务类型之一。

目前很少有专门研究金融合规审计的文献，但许多研究政府金融审计的文献涉及金融合规审计，有些研究金融稽核和反洗钱审计的文献也涉及金融合规审计。总体来说，关于金融合规审计的各个基础性问题，尚缺乏深入系统的研究，金融合规审计尚缺乏一个系统化的理论框架，本文拟致力于此。

二、文献综述

1.政府金融审计方面的文献。在金融审计实践中，由于政府金融审计重点关注金融机构各类活动的合规性，所以，政府金融审计很大程度上就是金融合规审计，许多研究政府金融审计的文献都与金融合规审计相关。就与金融合规审计相关的主题来说，主要是研究政府金融审计的组织方式和技术方法，组织方式方面主要是研究“五统一”，技术方法方面主要是研究信息化背景下的金融审计方式和技术方法。此外，还有少量文献研究政府金融审计中发现的金融机构违规问题类型和金融审计成果应用。

2.金融稽核方面的文献。金融稽核分为外部稽核和内部稽核。外部稽核是指中国人民银行原来作为唯一的金融监管机构，对各金融机构金融业务活动合规性的监督检查。不少文献研究了外部稽核的体制、内容、方法、存在的问题及应对策略。但随着中国人民银行职能的变化及金融分业监管体制的建立，中国人民银行对金融机构的外部稽核逐步取消，其他金融监管机构并未建立专门的稽核机构对其管辖的金融机构进行稽核，外部稽核作为一种金融监管手段逐步淡出。内部稽核是指中国人民银行及各商业银行内部建立的稽核机构对内部单位业务活动和财务活动合规性进行监督检查。一些文献研究了内部稽核的体制、内容、方法、存在的问题及解决办法。后来，中国人民银行的内部稽核改为内部审计，很多商业银行的内部稽核也转型为内部审计，内部稽核逐步被内部审计所取代。

3.反洗钱审计方面的文献。人们很容易将反洗钱审计与金融合规审计关联起来。一般来说，反洗钱审计有两个主要路径：一是制度路径，即对责任主体建立的反洗钱制度的有效性进行审计;二是交易路径，即对可疑的交易进行检查，以判断其是否为洗钱行为。制度路径的反洗钱审计的审计主题是制度，不属于金融合规审计。而交易路径的反洗钱审计，一方面可以作为验证反洗钱制度有效性的方式，仍然属于制度审计;另一方面可以直接作为反洗钱的措施，这种审计实质上已经不是审计，而是金融监管。因此，总体来说，反洗钱审计与金融合规审计关联不大。

综上可知，虽然不少文献涉及金融合规审计，但是关于金融合规审计的各个基础性问题尚缺乏深入系统的研究，总体来说，金融合规审计尚缺乏一个系统化的理论框架。

三、理论框架

本文的目的是将金融审计基本理论贯通到金融合规审计（这里的金融审计基本理论需要贯通审计的基础理论），进而提出一个基于经典审计理论的金融合规审计理论框架。为此，需要讨论以下几个金融合规审计的基础性问题：

（一）金融合规审计本质

金融合规审计本质关注什么是金融合规审计。金融合规审计属于金融审计业务类型之一，所以金融合规审计本质的认知要以金融审计本质为基础。一般认为，金融审计是以系统方法，从行为、信息和制度三个维度，对金融经管责任履行情况实施的独立鉴证、评价和监督，并将审计结果传递给利益相关者的金融治理制度安排。这里的金融经管责任就是图中所示的资源委托代理关系（股东与金融机构、政府与金融监管部门、金融机构总部与内部单位）中，代理人对委托人承担的资源使用和业务履行责任，一般将资源使用责任称为财务责任，将业务履行责任称为业务责任。不同的委托代理关系中，金融经管责任的具体内容不同。为了促使代理人更好地履行其金融经管责任，委托人会推动建立金融治理体系，金融审计是这个治理体系的组成部分，其作用路径是独立鉴证、评价和监督代理人的金融经管责任履行情况。

以上述金融審计的本质为基础，本文认为，金融合规审计本质是从行为维度对金融经管责任履行情况实施鉴证和监督，并将审计结果传递给利益相关者的金融治理制度安排。简单地说，金融合规审计就是对履行金融经管责任的财务行为和业务行为的独立鉴证和监督。上述金融合规审计本质的表述，有四个方面的核心内容：

1.金融合规审计从行为维度关注金融经管责任履行情况。一般来说，金融审计从信息、行为和制度三个维度来关注代理人金融经管责任的履行，具体到金融合规审计，则聚焦到行为维度来关注金融经管责任的履行。这里的行为包括使用资源的财务行为以及履行职责的业务行为，关注财务行为和业务行为的合规性是金融合规审计的主要任务。也正是因为这种审计只关注行为是否合规，所以才称为金融合规审计。

2.金融合规审计主要采用系统方法对行为实施鉴证和监督两种审计职能。金融合规审计如何关注金融单位的行为是否合规呢？其路径是采用系统方法对金融单位的行为进行独立的鉴证和监督。这里的鉴证是指采用系统方法认清金融单位履行金融经管责任的业务行为和财务行为的真实状况，以发现违规财务行为和违规业务行为;监督是指以鉴证为基础，对违规行为的责任主体进行责任追究。

3.金融合规审计结果要传递给利益相关者。金融合规审计不是为审计而审计，必须将审计结果传递给委托人等利益相关者，以便于其使用金融合规审计结果。传递金融合规审计结果的方式有多种，如审计报告、审计信息、审计结果公告等。

4.金融合规审计是金融治理制度的组成部分。在图中的资源委托代理关系中，代理人可能产生机会主义行为和次优问题，为此，委托人会推动建立针对代理人的金融治理体系，金融审计是其组成部分，作为金融审计业务类型之一的金融合规审计，当然也是金融治理体系的组成部分。既然如此，金融合规审计就必须在金融治理体系下认知自己的定位，注重与金融治理体系其他成员的协调和配合，例如金融合规审计与金融监管的协调。

（二）金融合规审计需求

金融合规审计需求关注为什么会出现金融合规审计，显然，要以金融审计需求为基础来分析金融合规审计需求。一般认为，在图中的资源委托代理关系中，代理人对委托人承担了金融经管责任，需要按委托人的意愿来履行金融经管责任。但是，由于委托人与代理人之间存在合约不完备、激励不相容和信息不对称，再加上环境不确定性因素，使得代理人有可能偏离委托人的期望，从而出现代理问题（也称为机会主义行为）。同时，由于代理人的有限理性，其在履行金融经管责任时可能会犯错误，从而出现次优问题。为了应对代理人在履行金融经管责任中可能出现的代理问题和次优问题，委托人会推动建立一整套的金融治理体系，金融审计就是其中之一。

在金融治理体系中，金融合规审计主要关注金融单位（代理人）的业务行为和财务行为是否符合相关的法律法规，因为按法律法规的要求从事业务活动和财务活动是委托人的意愿之一，金融单位作为代理人，在某些情形下，可能会偏离这种意愿，从而出现违规的财务行为和业务行为。并且，在信息不对称的情形下，委托人并不一定会知晓代理人的这种行为，从而需要一种独立的鉴证和监督机制，金融合规审计就是这种机制。可见，金融合规审计是应对金融单位可能出现的违规行为的一种治理机制。

（三）金融合规审计主体

审计主体主要关注谁来审计，同理，金融合规审计主体关注的是谁来实施金融合规审计，因此对其的分析要以金融审计主体为基础。一般来说，金融审计主体的选择是委托人的权力，在图中的资源委托代理关系中，非政府股东通常会委托民间审计组织对金融机构进行审计，政府股东通常会指定由政府审计机关对国有金融机构进行审计;政府通常会指定由政府审计机关对金融监管部门进行审计;金融机构总部通常会设立内部审计机构对内部单位进行审计;各种情形下，都可能出现审计业务外包。

金融审计主体的上述情形都适用于金融合规审计，金融合规审计主体有两个特殊的问题需要讨论：第一，政府金融合规审计业务能否外包;第二，金融监管部门是否是政府金融合规审计主体。关于政府金融合规审计业务外包，其基本原则还是独立性、审计成本和审计质量三个原则，即在具有独立性，能保障审计质量，且审计成本低于自行审计的前提下，金融合规审计业务可以外包。但是，目前有两个障碍：一是民间审计组织在金融合规审计方面不一定具有竞争优势，所以难以符合审计成本原则，并且难以保障审计质量;二是政府审计机关尚未制定金融合规审计准则，业务外包就没有相应的质量衡量依据。因此，现实中金融合规审计业务很少外包。

关于金融监管部门是否是政府金融合规审计主体，表面上金融监管部门非常重视检查金融机构业务经管活动是否符合法律法规，似乎与金融合规审计有相同的关注主题;但是，本文认为金融监管部门不是金融合规审计主体。原因如下：第一，金融合规审计是所有权监督，而金融监管是行政权监督，金融监管的客体包括所有的金融机构，而政府金融合规审计只能审计国有金融机构。如果金融监管部门将对国有金融机构的监管作为金融合规审计，而对非国有金融机构的监管不作为金融合规审计，则同样的金融监管行为，定性为不同的行为，这显然不符合逻辑。第二，金融合规审计要将审计结果传递给利益相关者，由利益相关者应用金融合规审计结果，而金融监管不需要将其监管结果传递给利益相关者，主要是自己应用金融监管结果。第三，金融合规审计要求保持独立性，而金融监管部门一方面是许多金融制度的制定者，另一方面又负责监督金融机构是否执行了这些制度。

（四）金融合规审计客体

金融合规审计客体关注的是审计谁，显然要以金融审计客体为基础来讨论金融合规审计客体。一般认为，在资源委托代理关系中，凡是承担经管责任的代理人，都是经管责任承担者，从而都是可能的审计客体，因此，金融机构、金融监管部门和金融机构内部单位都是可能的金融审计客体。

就金融合规审计来说，如果委托人关注的是代理人的财务行为和业务行为是否合规，则上述可能的金融审计客体都是金融合规审计客体。如果由于某些原因，代理人的财务行为和业务行为是否合规并不是委托人重点关注的内容，則上述可能的金融审计客体并不能成为金融合规审计客体。

金融合规审计客体还有一个需要讨论的问题：金融机构的客户是否可以作为金融合规审计客体？在审计实践中，一些审计机构在对金融机构进行审计时，并没有发现金融机构本身的业务行为和财务行为存在违规问题，但是发现了金融机构客户的违规问题。例如：对商业银行进行审计时，发现了银行客户的洗钱行为;对证券公司进行审计时，发现了证券公司客户的违规操作行为。这种审计事实上已经将金融机构的客户作为审计客体了。本文认为，如果是为了评价金融机构本身的职责履行情况，即使一定程度上涉及上述金融机构的客户是否存在违规行为，也是恰当的，因为保障客户合法从事金融活动也是金融机构的重要职责之一。但是，如果将延伸到金融机构的客户作为提升审计绩效的路径，这就偏离了金融审计的方向，因为金融合规审计是所有权监督，而非金融监管，检查金融从业者的业务合规性是金融监管部门的职责，而非审计机构的职责。特别是在金融机构的客户不是国有单位的情况下，这种延伸就更加超出了政府审计的范围。即使金融机构的客户是国有单位，也不应该作为对金融机构审计时的审计客体，需要以该客户作为审计客体另外立项进行审计。

（五）金融合规审计内容

金融合规审计内容关注究竟审计什么，仍然要以金融审计内容为基础进行讨论。一般来说，金融审计内容包括多个层级，其审计对象是金融经管责任，这种责任可以分解为信息、行为和制度三类审计主题，不同的审计主题形成不同的金融审计业务，通常包括金融财务审计、金融绩效审计、金融合规审计和金融制度审计。在实施金融审计的过程中，审计主题还要细分为审计标的，并确定其审计载体。

就金融合规审计来说，其审计对象是金融经管责任的行为维度，金融行为是其审计主题。这里的金融行为包括金融业务行为和金融财务行为，不同的金融单位，其业务行为和财务行为的具体内容不同，这些审计主题分别形成金融业务合规审计和金融财务合规审计，二者合并组成金融合规审计。在具体实施中，金融业务行为和金融财务行为都需要细化为相应的审计标的，并且，这些审计标的都要确定相应的审计载体，以作为审计证据的来源。

关于金融合规审计内容，需要讨论的一个重要问题是：金融政策落实情况是否可以作为金融合规审计的内容？本文认为，金融政策是各责任主体必须执行的，所以从本质上来说，金融政策也就是金融法规，是否落实金融政策，其实质类似于是否遵守金融法规。因此，审计特定的金融单位时，可以将金融政策落实情况作为金融合规审计的内容。但是，金融政策本身可以作为独立的审计客体，在这种情形下，对于金融政策除了关注其落实情形，还可以关注其资源投入和绩效。此时，金融资源投入的财务信息以及体现金融政策绩效的业务信息，也可以成为审计主题，但这种审计并不是金融合规审计，而是以金融政策为审计客体的综合性金融审计。

（六）金融合规审计目标

金融合规审计目标是人们希望通过金融合规审计得到的结果，其讨论仍然要以金融审计目标为基础。一般认为，金融审计目标可分为终极目标和直接目标，终极目标是委托人推动金融审计的目标，通常是抑制代理人履行金融经管责任的代理问题和次优问题;直接目标是金融审计机构的目标，通常是发现代理人履行金融经管责任过程中的代理问题和次优问题。

就金融合规审计来说，其终极目标当然是委托人的目标，委托人期望通过金融合规审计来抑制金融单位的代理问题和次优问题，具体来说，就是抑制金融单位的违规业务行为和违规财务行为。直接目标是审计机构的目标，审计机构希望通过金融合规审计来发现金融单位的代理问题和次优问题，具体来说，就是发现金融单位的违规业务行为和违规财务行为，可以归纳为合规性，包括业务合规性和财务合规性。直接目标是终极目标的基础，审计机构发现了金融单位的违规业务行为和违规财务行为，通过直接处理处罚和移送处理处罚的路径，以及委托人自身的审计结果应用，对金融单位发挥个别预防和一般预防作用，从而达到抑制金融单位业务违规和财务违规的终极目标。

关于金融合规审计目标，需要讨论的一个重要问题是：发现和抑制金融业务违规也是金融监管的重要目标，既然如此，政府金融合规审计目标能否作为金融监管目标的组成部分？本文认为，政府金融合规审计目标不能作为金融监管目标的组成部分。理由如下：第一，政府金融合规审计也是一种所有权监督，在这种审计中，发现和抑制金融单位的业务违规和财务违规，其目的是促进国有金融单位更好地履行其金融经管责任，而不是为了规范金融秩序。而金融监管机构发现和抑制金融单位的业务违规是为了维护金融秩序。第二，政府金融审计只能审计国有金融单位，不能审计非国有金融单位，如果将政府金融合规审计目标也作为金融监管目标的组成部分，这意味着所有制性质不同的金融单位，其金融监管目标的组成存在差异，这显然缺乏逻辑。

（七）金融合规审计取证模式及其与审计意见类型的关系

金融合规审计究竟如何开展呢？根据经典审计理论，怎么审计涉及审计取证模式、审计程序、審计技术和审计意见等内容，这里主要关注金融合规审计取证模式及其与审计意见类型的关系。

金融合规审计的审计主题是金融业务行为和金融财务行为，这些行为通常都有系统化的且能支撑原始记录的审计载体，所以，可以采取命题论证型取证模式，其具体实施模式是风险导向金融合规审计取证模式。这种取证模式确定的直接目标是金融业务行为合规性和金融财务行为合规性，将业务行为和财务行为细化为审计标的，在此基础上，将业务合规性目标细化到业务行为所分解的各个标的，确定各业务行为标的的具体审计目标，将财务合规性目标细化到财务行为所分解的各个标的，确定各财务行为标的的具体审计目标。与这种具体审计目标相一致，针对业务行为的合规性目标和针对财务行为的合规性目标就称为审计总目标。如果将审计总目标作为一个命题，则上述过程实质上是一个命题分解过程。接下来要做的事项是，获取各个审计标的审计证据，以验证该审计标的的各个审计具体目标，在此基础上，形成对业务行为和财务行为的论证结果，这就是审计意见。

一般来说，合规审计意见可以区分为合理保证和有限保证两种类型，金融合规审计意见也不例外。合理保证审计意见是对审计总体发表意见，而有限保证审计意见并不对审计总体发表意见，只是报告金融合规审计中的发现，也就是只报告发现的金融业务违规行为和金融财务违规行为。显然，不同类型的审计意见需要不同的审计证据来支持，从而需要不同的审计取证模式来匹配，命题论证型取证模式可以支持发表合理保证审计意见。

在金融审计实践中，有的审计机关提出了基于大数据时代的新型审计模式，即“总体分析、发现疑点、分散核查、系统研究。如果“总体分析、发现疑点”是基于金融审计目标的分解形成审计具体目标，进而进行数据分析，则其实质上就是风险导向金融审计取证模式，此时的“总体分析、发现疑点”就是金融合规风险评估，而“分散核查、系统研究”就是进一步的审计程序。当然，从金融审计实践来看，许多审计机关并不是基于金融审计目标的分解而进行的数据分析，所以，这种审计取证模式不是经典的风险导向金融审计取证模式，而是被简化了，属于数据分析取证模式，只支持发表有限保证审计意见。

（八）金融合规审计结果及其应用

审计结果一般是指实现直接审计目标而取得的结果，也称为审计成果，同理，金融合规审计结果是实现其直接审计目标而取得的结果。如前文所述，金融合规审计的直接目标可以归结为合规性，具体内容是发现金融单位的违规业务行为和违规财务行为。为了实现这个直接目标，金融合规审计机构会选择一定的审计取证模式，设计审计程序，获取审计证据。审计结果有三种类型：一是发现的违规业务行为和违规财务行为;二是基于审计证据，对审计总体合规情况做出的审计结论;三是关于改进金融单位的管理，以减少违规行为发生的建议。这三类审计结果通常都会体现在金融合规审计报告中。

对于上述审计结果，还可以有进一步的应用。就金融合规审计机构来说，一方面，在获得授权的情形下，可以公告金融合规审计结果;另一方面，在获得授权的情形下，可以对违规行为的责任者进行处理处罚，在没有授权的情形下，可以将审计结果移送金融监管等相关部门。就委托人来说，可以直接对违规行为的责任者进行处理处罚，还可以将审计结果用于自己的相关决策。其他利益相关者也可以将审计结果用于自己的相关决策。金融单位是金融合规审计结果最重要的应用者，一方面需要认真执行审计决定，另一方面需要采纳审计建议。

四、结论和启示

本文基于经典审计理论，分析了金融合规审计的各个基础性问题，提出了一个关于金融合规审计的理论框架。

就审计本质来说，金融合规审计是从行为维度对金融经管责任履行情况实施的鉴证和监督，并将审计结果传递给利益相关者的金融治理制度安排。简单地说，金融合规审计就是对履行金融经管责任的财务行为和业务行为的独立鉴证和监督。

就审计需求来说，金融合规审计是应对金融单位可能出现的业务违规行为和财务违规行为的一种治理机制，是金融治理体系的组成部分。

就审计主体来说，国有金融机构、金融监管部门的外部审计机构是政府审计机关，非国有金融机构的外部审计机构是民间审计组织，金融机构内部单位的审计机构是内部审计机构，各种情形下都可能出现审计业务外包。

就审计客体来说，如果委托人关注代理人的财务行为和业务行为是否合规，则金融经管责任的承担者都是可能的审计客体。金融机构的客户不宜作为金融合规审计客体。

就审计内容来说，金融合规审计的审计对象是金融经管责任的行为维度，行为是其審计主题，这些审计主题分别形成业务合规审计和财务合规审计，二者合并组成金融合规审计，在实践中业务行为和财务行为都要细化为相应的审计标的和审计载体。

就审计目标来说，终极目标是通过金融合规审计来抑制金融单位的违规业务行为和违规财务行为，直接目标是发现金融单位的违规业务行为和违规财务行为，可以归结为合规性。

就审计取证模式及审计意见类型来说，金融合规审计通常可以采取命题论证型取证模式，具体实施模式是风险导向金融合规审计取证模式，支持发表合理保证审计意见。“总体分析、发现疑点、分散核查、系统研究”这种审计模式属于数据分析取证模式，支持发表有限保证审计意见。

就审计结果及其应用来说，金融合规审计结果有三种类型：发现的违规业务行为和违规财务行为、审计结论、审计建议。金融单位、审计机构、委托人及利益相关者都是审计结果的应用者。

本文的研究启示为：一方面，虽然金融合规审计有其自身的特征，但是经典审计理论及以其为基础的金融审计基本理论完全能够贯通到金融合规审计，所以，金融合规审计制度的构建仍然需要遵守审计的基本理论。另一方面，金融合规审计本身是一个系统，各个基础性问题是这个系统的构成要素，这些构成要素之间相互关联，所以，构建金融合规审计制度，需要系统考虑金融合规审计的各个基础性问题，不能断章取义。