商业舞弊风险的管理

Scott Raso

德勤中国

企业风险管理服务

数据分析服务领导合伙人

本文部分节选了美国注册会计师指南中的《管理舞弊的商业风险：实用指南》的内容。

舞弊是旨在欺骗他人，导致受害者遭受损失和/或使行为人获益的任何有意的作为或不作为。 ^[1]

所有的组织都面临舞弊风险。重大的舞弊行为会导致整个组织的垮台、巨大的投资损失、重大的法律费用、关键人员的监禁并且会侵蚀资本市场的信心。高管们舞弊行为的曝光会对世界各地组织的声誉、品牌以及形象造成负面的影响。诸如美国1977年《反海外腐败法》（简称FCPA）、1997年《经济合作与发展组织反贿赂公约》、2002年美国《萨班斯-奥克利法案》、2005年美国联邦《量刑指南》以及世界各地其他相似的法例，都增加了管理层对舞弊风险管理的责任。对于最近的企业丑闻的反应使得公众和利益相关者希望组织采取“对舞弊零容忍”的态度。良好的治理原则要求组织的董事会或等效的监督机构，要确保组织中整体的高道德行为，而不考虑其作为公共、私人、政府部门或者非营利性组织中的地位、其相对大小或者其所处行业。董事会的作用是至关重要的，因为历史上大部分的重大舞弊都是由高级管理人员与其他员工勾结而施行的。企业内部对于舞弊案件的警惕处理会发送给公众、利益相关者以及监管机构一个关于董事会和管理层对于舞弊风险管理的态度以及本组织舞弊风险承受能力的明确信号。除了董事会之外，组织各级的人员——包括每一级别的管理人员、工作人员、企业内部审计人员，以及组织外部的审计人员——都有处理舞弊风险的责任。特别地，他们被期望于解释组织是如何应对加剧的监管要求，以及公众和利益相关者的审查；组织中哪种舞弊风险管理的程序已经到位；它是如何识别舞弊风险的；它采取了哪些行动来更好地防止舞弊，或者至少更早地发现舞弊；以及调查舞弊和采取整改行动的过程。

这篇文章将讨论我们如何可以帮助董事会、高管以及内部审计人员在其组织内打击舞弊行为的方法。笔者将探讨一些关键要素和资源以供组织用于初次建立一个有效的舞弊风险管理程序。然而，我们需要了解每个组织的具体需求来对重点进行评估从而基于组织的大小和情况来对其进行舞弊风险管理。

如上所述，舞弊是旨在欺骗他人，导致受害者遭受损失和/或使行为人获益的任何有意的作为或不作为。无论文化、种族、宗教或其他因素如何，某些人都会有动机去舞弊。最近的研究^[2]发现，舞弊发生的主要原因是“不计一切代价满足目标的压力”（81%的受访者）和“以权谋私”（72%）。此外，许多受访者为其错误行径寻找理由称，“他们不认为他们进行舞弊行为”（40%）。

组织只有通过勤勉不懈的努力才能保护自身免于重大舞弊行为的影响。主动建立一种能有效地管理组织舞弊风险的环境，其关键原则包括：

·原则1：舞弊风险管理程序应该作为组织管理结构的一部分存在，包括传达了董事会和高级管理层对于舞弊风险管理期望的书面政策。

·原则2：组织应定期对舞弊风险暴露程度进行评估以确定需要应对的特定潜在预谋或者项目。

·原则3：建立预防技术，以避免潜在关键舞弊事件，在可能的情况下，减轻这些事件对组织带来的可能影响。

·原则4：建立检测技术，以在预防措施失效或者风险发生时揭露舞弊事件。

·原则5：在潜在舞弊中应采用报告环节，并且协调地采用调查与纠正措施，以帮助确保潜在的舞弊能得到适当和及时的解决。

以上每个原则的注意事项的摘要如下：

原则1：舞弊风险管理

组织的利益相关者明确提出了对于有道德的组织行为的期望。与此同时，全球的监管者提高了向那些参与舞弊行为的组织与个人所征收的罚金。组织应当对这种期望有所回应。有效的管理流程是进行舞弊风险管理的基础。缺乏有效的企业治理将会严重削弱任何舞弊风险管理计划。组织上层的总体基调设置了该组织对待其风险容忍的标准。

董事会应确保其本身的治理做法为舞弊风险管理定调，并实施对诸如员工、客户、供应商和第三方对于未达标准的实例进行报告这种道德行为的鼓励政策。董事会监测本组织舞弊风险管理的有效性应成为常规项目放在其工作议程上。以此为目的，董事会应委任一名高管负责协调舞弊风险管理，并向董事会进行报告。

大多数组织有某种形式的书面的政策和程序来管理舞弊风险。然而，只有极个别的针对这些活动编制了一种简明扼要的汇总以帮助其对于流程进行测试。这就是我们所指的“舞弊风险管理程序”。

虽然每个组织在考量采取何种正式文档时，需要考虑到组织的大小和复杂性，但在舞弊风险管理程序中应包含以下元素：

·角色和职责

·承诺

·舞弊认知

·证实过程

·冲突披露

·舞弊风险评估

·报告程序和举报人保护

·调查过程

·纠正行动

·质量保证

·持续监督

原则2：舞弊风险评估

要有效地保护组织本身及其利益相关者免受舞弊的影响，一个组织应了解直接或间接作用于组织的舞弊风险与特定风险。应定期执行和更新适应于本组织规模、复杂程度、所处产业和组织目标的结构性舞弊风险评估程序。可与组织的总体风险评估集成或独立作为执行评估的，应当至少包含风险识别、风险可能性和意义的评估，以及风险回应。

舞弊风险识别可能包括从监管机构（例如证券监督管理委员会）、业内人士（例如法律社团）、重要法规制订机构（例如特雷德韦委员会的发起组织委员会（COSO））和专业组织（例如内部审计师协会（IIA）、美国注册会计师协会（AICPA）、美国注册舞弊检查师协会（ACFE）、加拿大特许会计师协会（CICA）、特许公认会计师公会（ACCA）、国际会计师联合会（IFAC）及其他）获取的外部信息。舞弊风险识别的内部来源包括在组织内部与广泛活动的人事代表的访谈和头脑风暴，复核举报投诉内容以及执行分析程序。

有效的舞弊风险识别过程包括促使舞弊的动机、压力和机会的评估。员工激励计划和他们所基于的衡量标准可以为最有可能发生舞弊的地方提供一个概观。舞弊风险评估应当考虑到潜在的管理失控，以及那些管理较弱或缺乏职责分离的地方。

信息时代创造巨大利润的速度、功能以及简便程度，都增加了组织暴露于舞弊的机会。因此，任何舞弊风险评估都应当考虑访问和凌驾于系统控制的风险，以及内部和外部对于数据完整性的威胁、系统安全、窃取财务信息和敏感的商业信息。

评估每个潜在舞弊风险的可能性及其意义是一个主观的过程，不但要考虑到货币的意义，而且也应当考虑到对组织的财务报告、运营和声誉，以及法律法规合规要求的意义。舞弊风险的初步评估应该考虑当缺失风险应对的控制活动时所产生的特定舞弊相关的固有风险。^[3]

个别组织有着不同的风险容忍度。舞弊风险可以通过建立技术和控制来减少风险，接受风险——对实际暴露的风险进行监测——或设计长效的或特定的舞弊评估程序来处理个别舞弊风险。一个组织应当努力建立结构性的方法而不是采用毫无计划的方法。组织从实施舞弊风险评估计划中所获取的好处应当大于其付出。基于组织形式，管理层和董事会的成员应确保其组织有适当的控制组合，意识到他们的监管职责，他们对于公司可持续性的职责，以及他们对于利益相关者作为受托人所扮演的角色。管理者有责任制订并实施处理舞弊风险的管理，同时确保称职和客观的个体有效执行控制。

原则3：舞弊预防和原则4：舞弊侦测

舞弊预防与舞弊侦测息息相关，但有不同的概念。预防包括通过政策、程序、培训及沟通来防止舞弊发生，而侦测着重于通过事件和技术及时发现已经发生或正在发生的舞弊。

尽管预防技术无法确保舞弊不会发生，但是它们是降低舞弊风险的第一道防线。预防的关键之一就是促进从董事会到整个组织自上而下地对于舞弊风险管理计划的认识，包括可能发生的舞弊类型。

同时，对于有效检测性控制的到位认识是对舞弊强有力的遏制方法之一。检测性控制与预防性控制相结合，通过展示预防性控制按照预期工作，通过舞弊确实发生时确定舞弊，以此提高舞弊风险管理计划的成效。尽管检测性控制能提供证据证明舞弊已经发生或正在发生，但不是为了防止舞弊。

每个组织都易受舞弊行为影响，但不是所有舞弊都能得到预防，或者以成本低收效大的方法去预防。与其预防某个舞弊预谋，还不如以更高效低成本的方式去设计控制以检测舞弊。组织同时考虑舞弊预防与舞弊侦测是非常重要的。

原则5：调查与纠正措施

没有一个内部控制系统能够为反舞弊提供绝对的保证。因此，董事会要确保组织制定了对涉及潜在舞弊的违规和指控实例的提示、主管和保密审查、调查和决议的系统。董事会还应该定义其在调查过程中的角色。当要尽量减少被诉讼对名誉造成的伤害时，组织可以通过建立和预案调查以及纠正措施，来提高其降低损失的机会。

董事会和组织应当建立一个指控评估的进程。被分配调查的个人应当具有必要的权威和技能，以评估这一指控，并确定适当的做法。这一进程应包括记录所有的舞弊指控的追踪或案例管理系统。很显然，董事会应当积极参与到涉及高管的有关指控中。

如果下一步行动认为要进行适当的进一步调查，董事会应确保本组织有适当和有效的流程对案件进行调查，并保证其机密性。采取一贯性的流程执行调查可以帮助组织减轻损失及管理与调查相关的风险。根据董事会批准的政策，调查小组应当向合适的一方，如高级管理人员、董事、法律顾问和监督机构报告调查结果。公开披露还应告知执法、监管机构、投资者、股东、媒体或其他人。

如果某些操作要求在调查开始前需要完成保全证据、保持信心或减轻损失，那些负责做此类决定的人员应该保证这些操作有充足的基础。当需要对计算机信息进行访问时，应当由受过计算机文件保护培训的专业人士来操作。采取的行动要与情况相适应，对于所有员工一视同仁（包括高级管理层），并在与人力资源部门和相关负责人协商后才能采取行动。在进行调查前强烈建议咨询法律顾问，这也是采取惩罚、民事或刑事行动前的关键。作为良好的治理，管理层和董事会应当确保上述措施落实到位。

总之，在组织中妥善处理舞弊风险，需要以上所述的原则以确保：

·合适的舞弊风险管理监督和期望的存在（管理）——原则1；

·舞弊曝光的确认与评估（风险评估）——原则2；

·适当的进程与程序来管理这些曝光（预防与检测）——原则3和原则4；

·舞弊指控得到及时处理，并采取适当的纠正措施——原则5。

【注释】

[1] 这段舞弊的定义遵循并改编自美国注册会计师协会指南《管理商业舞弊风险：实用指南》。舞弊行为还有许多其他定义。

[2] 2007监督系统对公司舞弊报，www.oversightsystems.com。

[3] 固有风险是指在采取任何风险应对的内部控制活动前，所存在的风险。