07
有效舞弊防范措施
舞弊意识测试——问题7
贵组织目前采用哪些反舞弊控制措施和技术来防范舞弊的发生?
测试中的这个问题要求学员思考自己所在组织所采用的具体反舞弊防范控制措施。这是一个展示他们所制定的良好实践的机会。但我不得不说,这个问题的回答几乎总是不尽如人意。有时,回答确实非常糟糕。
在讨论开始时,学员们写下的答案几乎总是提到企业中一些众所周知的防范控制措施:职责分离、授权限额、管理层审查和访问控制。这些答案绝非错误——它们所提到的控制措施都在打击舞弊中发挥着重要作用。但尽管如此,这些答案还是令人失望。这些都是通用控制措施,适用于多种广泛的业务目的,并非专门针对舞弊。如果在场的组织仅依靠这些控制措施来防范舞弊,那么它们很可能会面临相当大的风险。
此外,在我看来,这些答案是对该问题的常规且近乎标准化的回应。因此,它们证实了我早些时候提到的一点,即舞弊这一风险往往没有得到应有的详细分析和评估。当然,我的课程学员对可帮助董事和经理应对这些威胁的各种具体反舞弊控制措施的了解甚少。他们似乎认为,通用控制措施已足以应对舞弊风险。这是一种危险的假设。
只有当我稍微追问学员,鼓励他们说得更具体一些时,我才开始发现,至少有一部分学员知道一些可用于降低舞弊风险的具体措施。讨论中发现,所提到的一些关键控制措施似乎是特定行业专用的,并未被各类组织广泛采用。董事和经理需要了解那些在实践中被证明有效的反舞弊控制措施,即便这些措施应用于其他行业,他们也可考虑在自己的业务中加以运用。讨论中提到的具体反舞弊控制措施如下:
强制休假。尤其是金融服务公司的学员,他们很清楚当组织要求员工(特别是高风险岗位的员工)不仅每年休完所有假期,而且每年必须连续休假至少10个工作日时,所能提供的额外保障。其他行业对这一控制措施的了解明显较少。
员工背景审查。员工背景审查常被提及作为一项控制措施,但在此我有一个重要的提醒。从讨论中我只能发现,企业对潜在新员工进行的审查,从反舞弊角度来看,很多都不够严格。我之所以这么说,是因为参加我课程的组织中,约有一半在招聘新员工时既不进行犯罪记录核查,也不进行信用参考核查。若要将舞弊风险降至最低,这两项是最重要的核查。从讨论中我得出的结论是,这些关键核查实际上主要局限于金融服务公司和其他受监管实体,并未在其他行业中使用。
审计委员会。在讨论中,审计委员会常被提及为一项反舞弊控制措施,主要是大型公司或公共部门的学员会提到。
内部审计。内部审计在这些详细讨论中也频繁出现。但在此我同样有一个重要的提醒。在我的课程中,我几乎没有发现有人(即便审计师也不例外)了解如何确定审计工作的重点,以使其真正聚焦于舞弊。
员工支持计划。学员时常会提到,组织制定计划为那些面临财务问题、染上酗酒或吸毒等恶习、或有其他可能影响工作表现的困难的员工提供支持,这一点很重要。这是一个重要且有洞察力的发现,表明他们结合舞弊三角理论关于舞弊者动机的研究结果,对行为的关键方面有很好的认识。
后面会对这些控制措施逐一进行更详细的探讨。
然而,这些讨论中最值得注意的一点是,那些真正重要的反舞弊控制措施——即那些在实践中被证明在减少损失方面最有效的措施——几乎从未被学员提及。他们似乎并不清楚哪些措施有效!在这一阶段,我总会向学员指出,令我惊讶的是,他们尤其没有提到以下三项控制措施。
培训计划。首先,我让学员思考培训的重要性。我最初发现,在随后的讨论中,没有人提到商业道德这一更广泛的背景。在舞弊语境下,他们似乎对道德培训计划的相关性知之甚少,甚至一无所知。当然,专门的舞弊意识培训是另一回事。尽管很少有人在回答这个问题时提到它,但从讨论中可以看出,许多学员都清楚其重要性——事实上,有些组织似乎已经在开展这类培训了!若要将舞弊威胁降至最低,提高整个组织的舞弊意识至关重要,而培训是实现这一点的关键。还有一点更令人惊讶的是,学员在参加测试时,本身就从这一控制措施中受益,却在回答中很少提及培训!最后我想说的是,多年来,我的学员对文化以及文化变革在防范舞弊中的重要性认识不足。我们会在后面关于道德的内容中进一步探讨这一点。
举报热线。接下来,我让学员思考舞弊举报渠道这一关键领域,通常称之为“举报热线”。这是最重要的反舞弊控制措施之一,但多年来,学员对举报这一概念的反应充其量只能说是褒贬不一。一个重要因素是地域差异。我接触过的美国人,无论是在美国本土的还是在其他地方参加课程的,总体上都清楚举报热线作为反舞弊控制措施的重要性,并且非常支持。其他地区的反应则没那么积极。以加勒比地区为例,我发现那里的学员对举报机制持怀疑和不信任态度。这无疑与我在那里工作过的地方(特立尼达和多巴哥以及巴哈马)本质上都是小型社会有关。在直布罗陀工作时,我也从学员那里得到了类似的反应,那里同样是一个小型社会。然而,最负面的反应几乎都来自英国和欧洲大陆的学员。这些学员中,许多人似乎不信任其组织实施的举报计划,而且大多数人认为这些计划根本不起作用!
突击审计。最后,没有任何学员在回答这个问题时提到过突击审计——ACFE协会一直将其与举报热线一同评为最有效的反舞弊措施。我认为这很值得关注。当然,学员们可能认为这更多是一种识别控制措施(或至少是一种遏制措施),而非防范措施,因此出于这个原因选择忽略它。这当然是有争议的,实际上我们会在下一章关于识别的内容中详细探讨突击审计,而非在本章关于防范的内容中。但我认为我的学员并非出于这个原因。相反,我认为这更多地反映了如今各组织在实践中很少使用突击审计(金融服务行业的组织除外)。这对所有董事和经理来说都是一个重要的启示——突击审计是打击舞弊的有效工具,但未被充分利用。
防范的关键方面——通用控制措施
这里首先要重申一个基本但重要的观点,即健全的内部控制系统是任何组织成功防范和遏制舞弊的必要前提。当然还有其他重要因素,例如针对管理人员和员工的适当薪酬和激励计划,但强有力的内部控制是有效的反舞弊框架的基本组成部分。
在研究特定的反舞弊控制措施之前,让我们先看看企业日常依赖的一些更广泛、更通用的控制措施。在探讨舞弊者用来隐瞒或以其他方式规避这些通用控制措施的主要方法之前,我们先讨论其中三种最有效的通用反舞弊控制措施。为了确保舞弊风险得到妥善管理,董事和经理需要确信这三种关键的通用控制措施正在高效且有效地发挥作用。
三种最重要的通用反舞弊控制措施是:职责分离;授权限额;以及对资产和记录的实物控制。
(a)职责分离
职责分离既是内部控制的一个关键概念,本身也是最重要的通用反舞弊控制措施,因为它对组织的制衡体系至关重要。会计师非常熟悉这一概念,传统上它意味着在每个业务流程中分离以下职责:资产保管;记录保存;授权;以及对账。理想情况下,在一个业务流程中,任何人都不应承担超过其中一项职责。小型企业由于员工数量少,往往难以做到这一点,但可以通过让独立的主管或经理参与流程来弥补。
职责分离概念背后的基本原则是,任何人在业务的任何领域都不应拥有绝对的自主权或不受约束的决策权。这一原则当然适用于日常业务交易。例如,考虑采购职能。在这里,任何一名员工都不应完全控制货物订购、从供应商处接收货物、货物的后续存储、货物付款、最终安排货物从仓库发运以及账目对账。如果一名经理或员工在采购周期的多个环节拥有自主权,那么发生盗窃和舞弊的可能性当然会非常高。
(b)权限委托与授权限额
组织广泛采用权限委托机制,以确保权力从高层(董事会)下放到负责日常运营的高级管理人员及其他人员手中。有效的权限委托需要确保运营高效流畅,同时具备强有力的控制框架和文化,这应能反映每个组织在期望和价值观方面的高层基调。为发挥作用,这些机制应满足三项要求:
涵盖组织当前参与(或预计未来参与)的所有活动范围;
赋予管理层做出其应做的运营决策的权力;
明确规定组织层级中各层级对预算内和预算外支出的最大权限水平。
(c)对资产、记录和信息的实物及计算机安全保护
就我们的目的而言,“安全” 一词可分为两个组成部分:实物安全和计算机(或信息)安全。
实物安全
从最广泛的意义上讲,实物安全可定义为保护建筑物、设备、人员、硬件和数据免受可能对组织造成严重损失和损害或对其人员造成伤害的情况和事件的影响。传统的实物安全措施多种多样,从显而易见的门锁,到集成了警报、闭路电视、门禁控制、警卫和中央监控设施的复杂楼宇安全系统。21世纪的到来也带来了新的风险。如今,反恐调查是实物安全系统的重要组成部分,近年来发生的多起恐怖暴行凸显了这一领域日益增加的威胁,必须严肃对待。此外,数据的大幅增长意味着对数据文件的存储和传输实施严格安全保护也至关重要。还有一个相关问题是有组织犯罪团伙窃取信息的威胁,无论是从公司窃取(意图从价格敏感材料中获利)还是从个人窃取(意图通过身份盗窃获利)。如今,我们所有人都需要采取的一项关键控制措施是购买碎纸机,并确保使用碎纸机彻底处理所有旧文件。
计算机安全
对专业人士而言,计算机安全和信息安全是不同的学科,但两者之间存在明显的联系。事实上,一台独立计算机的内容面临的风险很少,除非且直到这台计算机连接到网络中的其他计算机。如今,计算机网络(尤其是互联网)的使用当然无处不在。计算机安全大致包括三个方面:
保密性(或隐私性),即信息不应被未授权方访问;
完整性,即信息应受到保护,防止未授权的更改——计算机黑客攻击显然存在损害数据库完整性的风险;
认证,即用户确系其声称的身份。
特定的舞弊防范控制措施
ACFE协会2008年《全球职务舞弊调查报告》的主要结论之一是:“反舞弊控制措施的实施似乎对组织面临的舞弊风险有可衡量的影响。”ACFE协会研究了多项特定的反舞弊控制措施,并根据组织在舞弊发生时是否已实施某项控制措施,统计了其调查中报告的舞弊案件的中位数损失。该协会得出结论:“在每一项对比中,实施控制措施的组织损失显著更低。”
ACFE协会2008年《全球职务舞弊调查报告》中有一个重要发现:与中位数损失减少幅度最大相关的两项控制措施,在接受调查的组织中却是使用最少的。该协会在报告的这一部分强调的两项关键控制措施是:第一,突击审计;第二,岗位轮换和/或强制休假。我们将在后面讨论突击审计,下文探讨岗位轮换和强制休假。
董事和经理需要了解现有的特定反舞弊控制措施,以及其中哪些在自身组织中可能被证明是最有效的。这些反舞弊控制措施旨在专门最大限度地减少实施舞弊和成功隐瞒舞弊的机会。管理舞弊风险既有防范控制措施,也有识别控制措施。防范控制措施侧重于防止舞弊发生的政策、程序、培训和沟通。另一方面,识别控制措施侧重于及时发现舞弊已经发生或正在发生的活动和计划。这些措施共同构成了应对舞弊威胁的丰富多样的选择,董事和经理可以从中挑选最适合自身组织和具体情况的方法。
本书将在不同章节探讨ACFE协会研究中包含的各项反舞弊控制措施(以及其他措施,如员工背景审查控制措施)。本章详细阐述六项关键的防范措施,并根据之前讨论的控制措施特征,将其分为“硬控制措施”和“软控制措施”,如下所示:
防范性硬控制措施 | 防范性软控制措施 |
员工背景审查程序 岗位轮换和/或强制休假 反舞弊政策 | 员工支持计划 舞弊意识培训计划 管理层对内部控制的审查 |
六项关键的舞弊防范控制措施
舞弊防范——三项硬控制措施
我们先来看看三项硬控制措施:员工背景审查、岗位轮换和/或强制休假,以及反舞弊政策。
(a) 员工背景审查
董事和经理需要设计适当的控制体系,为其业务提供合理保证,确保在选拔过程中能发现罪犯、罪犯同伙以及在简历和申请表中造假的人。实现这一目标的最佳方式是从风险角度出发。
招聘员工涉及多个不同方面和考量因素,在此不适合讨论整个面试过程,也不适合探讨健康检查、能力测试和心理评估等组成部分。我们关注的是背景审查和入职前筛查流程,这些流程旨在核实新员工的资质,并检查他们是否符合任何规定的入职先决条件。这些审查是基于申请人在简历以及填写公司可能用于要求特定信息的申请表时提供的信息进行的。在审查过程中,确定申请人是否隐瞒了重要信息或以其他方式歪曲自身情况,始终至关重要。
身份证件。这应相对简单(例如,通过护照和驾照核实)。根据我的经验,在这方面遇到的一个风险点是对移民身份的所谓“工作权”检查不到位。显然,随着人们越来越愿意且能够到世界各地寻找工作,必须进行这些检查。我自己遇到的这方面问题的例子来自航空业。
示例:在英国机场工作的移民。2005年,我作为团队一员在英国某机场参与一个价值评估项目,特别关注多项外包合同的效率。其中一项合同是机场运营公司将一个重大项目的人员配置外包给一家国际建筑咨询公司。我们利用合同条款中包含的 “审计权” 条款,花时间在该建筑公司的场所审查了相关文件。在工作过程中,我们对该项目人员配置的多个方面感到担忧,包括机场运营公司被收取了几名人员的工时费,但根据他们自己的工时表,这些人在发票所列日期并未实际在机场工作。然而,最令人震惊的是,关于该项目使用的多名工人,缺乏可用的文件记录。这些工人显然是临时工,受雇专门为该合同工作,我们发现文件中没有证据表明曾对这些工人中的任何一人进行过基本的身份检查。在这种情况下,存在非法移民在机场工作的高风险,我们的客户迅速采取了措施解决这一问题。
学历核实(通常仅核实最高学历)。这也是相当标准的审查,但有时要么完全不做,要么没有跟进到底。这可能会带来风险。首先,这些背景审查的主要目的之一是确保候选人确实具备该职位的最低标准,而学历显然是其中一部分。例如,如今企业通常要求最低学历标准为 “大学本科及以上”。如果不进行检查,申请人很容易谎称自己拥有学位,而实际上并未获得。更重要的是,高级管理人员不时会因在过往简历中虚假声称拥有一系列令人印象深刻的学历而被曝光。这可能给相关组织带来重大问题,尤其是在修复其信誉和声誉损害方面。洲际酒店集团的高级管理人员帕特里克・因巴德利的案例,就很好地说明了这里的风险。
示例:因巴德利先生与洲际酒店集团。2007年,因巴德利先生因在简历中虚假声称自己的学历,被迫辞去了洲际酒店集团高级管理人员一职,该职位年薪为30万英镑。当时,他即将被任命为董事会成员的消息已公布,但在为这个更高调的职位进行的筛查过程中,出现了不符之处。因巴德利先生曾虚假声称拥有三项学历:澳大利亚维多利亚大学的商科学士学位,以及美国康奈尔大学的理学学士学位和工商管理硕士学位。事实上,尽管他在20世纪80年代曾在这两所院校上课,但从未从其中任何一所毕业。该酒店集团的一位发言人当时对媒体的一番话,完美总结了此类案例中信任这一关键问题:“我们认为这是一件非常严重的事情。信任的基本基础已被破坏。他将不会获得任何补偿。”这个案例还凸显了员工背景审查的另一个问题。因巴德利先生是在2000年一次收购后加入该酒店集团的。他证明了自己是一位非常有能力且成功的酒店管理者,并于2003年晋升为集团亚太区董事总经理。然而,无论是在2000年还是2003年,洲际酒店集团都从未核查过因巴德利先生的简历。在类似这样的收购情况下,或者在考虑长期员工晋升至高级管理职位时,不进行此类审查的情况相当常见,这源于对风险的误解。虚假学历就像一颗定时炸弹,一旦引爆,将对相关个人和受影响的组织造成声誉损害。
专业资格或会员资格核实。这方面的问题与学历核实类似,但往往更为重要,因为在某些工作和职业中,技术能力对工作至关重要。例如,医生、工程师或律师等职位。在许多企业中,会计或相关资格通常被视为成为首席财务官的重要先决条件。然而,正如安然公司的法斯托先生和雷曼兄弟的卡兰女士(上文已讨论)的职业生涯所表明的那样,这种资格并非总是必需的——可以说,两人都存在资历不足却被过度提拔的情况。但关键在于,安然公司和雷曼兄弟都知道自己提拔的人缺乏某些专业资格。而当资格是伪造的时候,风险会严重得多,因为此时的风险暴露是未知的。因此,始终建议对专业资格进行基本核实,在某些行业和某些情况下,这一点至关重要。
就业推荐信核查。其目的是核实申请人的就业经历,并为经历中的任何空白提供有依据的解释。除了伪造学历外,申请人最常试图通过夸大职位头衔、谎报就业日期以及隐瞒因不诚实而被解雇的经历,在简历和申请表中提供的信息上误导潜在雇主。审查过程的这一部分绝非易事。大多数组织不仅只跟进候选人提名的人的品德推荐信,而且前雇主提供的推荐信往往简短、基础,往好了说也只是平淡无奇,因为他们担心被起诉。诸如 “Y女士于2010年3月1日至2011年6月30日在本公司工作” 这样的确认信息,并没有多大帮助。然而,尽可能严格地进行就业推荐信核查很重要,例如,通过拨打提供推荐信的人的办公室电话与其交谈,可能会获得更好的保证。当然,不进行此类核查可能会使组织面临重大风险。我清楚地记得波莉派克案中的如下例子。
示例:波莉派克公司与未跟进推荐信的后果。1991年1月,作为破产管理人对波莉派克公司事务初步审查的一部分,我被要求前往其位于英国伍尔弗汉普顿的拉塞尔・霍布斯子公司的办公地点。拉塞尔・霍布斯当时(现在依然)是英国领先的小型电器品牌,尤其以电水壶闻名。我一见到财务总监,并告诉他我是波莉派克公司的破产管理人,他就说他能猜到我来谈什么:“一定是关于我们信贷销售团队一名员工最近的舞弊案,这让我们损失了超过10万英镑。”事实上,这是我第一次听说这起舞弊案,所以我决定什么也不说,只是听他讲。显然,这名舞弊者是最近才加入公司的。他在简历中严重歪曲了自己的职业经历,隐瞒了自己最近因舞弊前雇主而被判入狱三年的事实。我问公司是否收到了推荐信并进行了跟进,却被告知当时人力资源部门压力很大,实际上并没有跟进所收到的推荐信。财务总监对此似乎并不特别在意,这让我有点惊讶,直到我了解到原因——公司对此类舞弊有保险,他指望从保险公司追回损失。然后我不得不告诉他,我非常怀疑保险公司在这种情况下会赔付。他们几乎肯定会以拉塞尔・霍布斯未跟进舞弊者的推荐信,对舞弊存在共同过失为由,要求解除保险合同。事实也确实如此,波莉派克公司的破产管理人从未从这起舞弊案中追回任何款项。
国际犯罪记录核查。将申请人的详细信息与犯罪记录数据库进行比对,是一项重要且相对现代的控制措施,组织应始终考虑对新员工进行此类核查。特别是,这种核查能在一定程度上防止犯罪团伙渗透(尽管犯罪分子越来越多地试图将那些有 “干净” 犯罪记录的同伙安插进企业)。此外,在舞弊风险管理的特定背景下,犯罪记录核查能在一定程度上确保不会在不知情的情况下雇佣已定罪的罪犯。这与金融罪犯尤其相关,因为正如我们在第3章中所看到的,这些人往往具有较高的再犯率。然而,董事和经理也需要意识到此类核查的局限性。首先,犯罪记录核查主要对那些比我们这里所考虑的更专业的岗位的申请人有益,特别是那些与儿童或弱势成年人有高度接触的岗位。其次,如果申请人在世界多个地方居住过,这项工作就不那么容易了,因为各国在犯罪定义、定罪的可靠性、数据质量等方面存在诸多差异。
信用参考查询。大致而言,信用参考查询包括检查申请人的财务历史,评估其管理个人财务的能力,并寻找财务压力的证据。在我看来,这是组织为将舞弊风险降至最低而能进行的最重要的员工背景审查控制措施。请记住,舞弊三角理论和其他关于舞弊者动机的行为研究表明,财务压力即使不是职业舞弊最重要的驱动因素,也是最重要的驱动因素之一。因此,信用参考查询是一种明智的控制措施,旨在与风险相匹配。然而,除了金融服务行业的公司外,我并不清楚有多少组织在使用这种控制措施,我认为这是一个错误。需要明确的是,查询应仅查看申请人的公开信息,并且从一开始就应向申请人明确说明,该查询是组织招聘过程的标准环节。如果申请人拒绝允许进行信用查询,那么当然不能进行查询。但是,组织有权从这种拒绝中得出结论。典型的信用参考查询包括:检查是否有财务压力的证据,如未偿还债务(例如英国的郡法院判决)、破产或资不抵债;交叉核对申请人当前和以前的地址;以及参考选民登记册信息。董事和经理需要了解这一重要控制措施,并应准备使用它。举一个最极端的例子,如果不进行信用参考查询可能会发生什么:1989年巴林银行雇佣尼克・利森时,管理层没有进行信用参考查询,因此未能发现利森当时隐瞒了一系列针对他的郡法院判决。
(a) 岗位轮换和强制休假
内部舞弊行为往往需要舞弊者几乎持续不断地日常关注和干预,才能不被发现。正因为如此,许多舞弊会在舞弊者生病或其他意外缺勤期间被揭露,这并不奇怪。岗位轮换和强制休假这两项控制措施能够让管理层利用这一特点。ACFE协会的研究表明,它们是所有反舞弊控制措施中使用最少但最有效的措施之一。在2008年《全球职务舞弊调查报告》的调查对象中,只有12%的组织实施了岗位轮换或强制休假政策。然而,这些控制措施的影响非常显著。实施这些控制措施的实体,其舞弊损失中位数为64,000美元,而缺乏类似程序的组织,这一数字为164,000美元。
岗位轮换
允许员工年复一年地从事同一工作会带来诸多风险:可能会产生厌倦和幻灭感;随着时间的推移,员工的工作积极性会下降,效率也会降低;并且/或者员工可能会单独或与同事串通(尤其是当他或她属于一个小型独立团队时,例如在传统的出纳办公室),产生舞弊或其他不利于工作的行为倾向。轮换工作职责能够让人精神焕发,缓解厌倦情绪,同时还能减少串通和舞弊活动的机会。如果定期进行岗位轮换,新接手并检查系统流程的人更有可能发现是否存在违规行为。例如,这在会计部门可能是一项特别有效的控制措施。
然而,管理者应该意识到,岗位轮换存在两个问题。第一,在员工数量有限的小型组织中难以实施。第二,如果一名员工随着时间的推移掌握了多个不同业务领域和流程的知识,实际上可能会让该员工更容易实施舞弊。当然,法国兴业银行案的调查人员认为,凯维埃尔先生在成为交易员之前曾在银行的后台部门工作过,这一经历为他的未授权交易提供了便利,因为他由此掌握了大量关于银行系统和控制措施的知识,也知道如何规避这些措施。
强制休假
休假,即远离工作压力的休闲时间,对我们所有人都很重要。雇佣合同中理所当然地包含了年度休假权利。这些权利的存在是有目的的,我们每个人都需要每年休完所有假期,才能在工作时发挥最佳状态。然而,有些员工选择不这样做。虽然这些人全身心投入工作,愿意放弃部分休假时间,这看起来似乎非常忠诚且值得称赞,但从长远来看,这对企业或相关员工都没有好处,管理层不应允许这种情况发生。
示例:奥尔斯特金融公司未能执行“两周规则”。2002年,尤金・路德维希撰写的、由海岬金融集团和瓦赫泰尔・利普顿・罗森・卡茨律师事务所提交的关于奥尔斯特金融公司外汇交易亏损的调查报告强调,拉斯纳克先生在休假期间仍能进行交易:
“美国的银行被要求制定一项指导方针,禁止交易员每年有两周时间进行交易,这是有充分理由的。让另一名员工接替即使是最受信任的银行员工的工作,也是一种揭露舞弊的机制。尽管拉斯纳克先生确实休了假,但“两周规则”的效力被削弱了,因为他被允许继续通过自己的电脑进行交易。他还在家里和夜间进行交易,但这些交易没有得到适当监控。控制漏洞在于未能核实这种非工作时间的交易。”
(c) 反舞弊政策声明
如今,许多组织没有单独的、独立的反舞弊政策。例如,在为ACFE协会2010年《全球职务舞弊调查报告》提供数据的组织中,只有不到40%的组织制定了反舞弊政策。根据我的经验,大多数组织选择将舞弊与贿赂、腐败、内幕交易、洗钱等其他不可接受的商业行为一并处理,通常在通用员工手册或行为准则中用几段文字涵盖。从我观察到的情况来看,这种方式在这些企业中很少能对员工产生重大影响。
我认为,缺少单独的反舞弊政策声明,与其说是一个错误,不如说是一个错失的机会。通过发布一份由董事长或首席执行官签署的独立反舞弊政策,组织能够以非常直接明了的方式表明其对舞弊的态度和立场。该政策表明高层对舞弊问题的重视,也能让组织清晰地展示其在舞弊防范、遏制和识别方面的决心。
反舞弊政策的要素
反舞弊政策包含多个重要要素。政策应:定义舞弊;为员工提供舞弊识别要点;强调反舞弊文化的重要性;明确责任(包括全面负责监督该政策的个人或部门);确立报告渠道;通过阐明参与舞弊的后果起到遏制作用。如果包含这些要素,将向员工和第三方清晰传递一个信息:舞弊是不可接受的,所有涉嫌舞弊的情况都会被严肃处理。该政策应由董事会签署,从而成为舞弊风险治理结构的一部分,表明组织高层全力支持对舞弊采取强硬立场。
应对方案
反舞弊政策还应包含舞弊应对方案,或许可作为政策文件本身的附录。舞弊应对方案是在涉嫌或发现舞弊时将遵循的流程大纲。其中一个重要组成部分是明确舞弊报告渠道,也就是说,政策应指明所有舞弊(无论是涉嫌的还是已确认的)必须上报的个人或部门。然后,政策将规定由谁进行调查,包括对获取证据的方法以及调查本身的开展方式的简要说明。
舞弊防范——三项软控制措施
现在我们来看看上面列出的三项软控制措施:员工支持计划、舞弊意识培训计划以及管理层对内部控制的审查。
(a) 员工支持计划
雇主制定支持计划,旨在帮助员工解决个人或工作相关问题,这被广泛认为是最佳实践(且日益普遍)。这类计划通常称为员工援助计划,旨在通过保密咨询为员工提供帮助,涉及的领域包括:毒品和酒精康复、赌博成瘾、家庭虐待、婚姻问题、心理健康问题、经济困难和压力等。
此类咨询可以消除让员工无法充分发挥潜力的干扰因素,也能让员工继续在公司工作,从而节省重新招聘等成本。此外,推行良好的支持计划向员工表明雇主重视他们。在防范舞弊方面,这一益处至关重要。我们在第3章中探讨的关于舞弊者动机的研究强烈表明,对工作不满、感觉自己不受重视或受到不公平对待的人,更有可能实施舞弊。此外,与成瘾行为(尤其是毒品和赌博)相关的问题会带来特定的舞弊风险,因为有此类成瘾行为的员工可能会持续需要金钱来满足瘾癖。
(b) 舞弊意识培训计划
当然,这项特定的控制措施深得我心!它应当是为所有管理人员和员工建立全面培训与发展体系这一总体承诺的一部分,从新员工入职培训开始,并持续进行。该培训计划自然应包含有关舞弊的教育内容。没有这种员工教育,我们在第1章中讨论的“人人都对舞弊防范和识别负责”这一目标就根本无法实现。
事实上,组织自身的人员,即员工,是其最重要的舞弊防范和识别资源。员工需要接受培训,了解舞弊究竟是什么、舞弊如何损害组织和员工自身,以及如何报告任何可疑活动。所有舞弊意识培训计划都应传递积极信息,且不应带有指责意味。这些计划应始终强调,任何形式的非法行为最终都会让组织中的每个人付出代价,包括经济损失、士气低落以及负面媒体评论导致的声誉损害。
马丁是英国一家大型零售银行的资深经理。在我们的采访中,他谈到了组织制定明确的反舞弊政策的重要性,而这一政策会通过意识培训计划得到巩固和强化。这是一种非常结构化的方法,如今许多大型组织都在采用。以下是马丁告诉我的内容:
目前,舞弊培训计划还没有类似的合规驱动因素。因此,实际上,舞弊培训可能会参差不齐——ACFE协会的调查中只有40%的公司开展这些计划,而且如前所述,我亲眼目睹近年来参加我的公开招生舞弊培训课程的人数有所下降。如果成本压力持续存在且缺乏监管或法律强制要求,导致未来反舞弊培训减少,那将令人失望。员工教育是防范和识别内部舞弊的基础。如果培训设计得当,成本不一定会高得令人望而却步。以下是一些关于舞弊意识培训的建议:
新员工入职培训中始终包含舞弊意识内容;
利用内部审计师作为顾问,提供具有成本效益的内部培训;
运用舞弊测试和实际案例(适当时可使用组织内部发生的事件),使培训尽可能有趣且切题;
若出于合规目的需要对员工进行培训(例如,反洗钱或《2010年反贿赂法》相关培训),可扩大培训主题范围,将舞弊风险也包含在内;
考虑使用其他和/或补充性技术来提高舞弊意识:计算机辅助培训包,将材料直接发送到个人的工作站或智能手机,以便以最省时的方式对员工进行培训;或网络研讨会,员工登录由培训提供商远程举办的简短(例如一小时)讲座和反馈环节。
总结—面向董事和经理的五个关键学习要点
在本章中,我们探讨了对组织防范舞弊最有效的内部控制措施。事实上,董事和经理可以使用的控制措施有很多,既有通用的,也有专门针对舞弊的。高级管理层需要决定哪种组合对其特定组织最有效。然而,重要的是要始终意识到,没有任何系统可以保证杜绝舞弊,因此我们还需要了解如何识别舞弊,这是下一章的主题。
在探讨舞弊识别之前,本章为董事和经理提供了一些关键经验教训。
认识到六项关键舞弊防范控制措施的重要性:员工背景审查、员工支持计划、岗位轮换和强制休假、舞弊意识培训、反舞弊政策声明以及管理层对内部控制的审查。
理解构成反舞弊框架基础的三项关键通用控制措施的重要性。它们是:职责分离;授权层级和审批限额的delegated;对资产、记录和信息的物理安全和计算机安全保护。
始终进行成本效益分析——有些控制措施在某些组织中比在其他组织中更适用。例如,职责分离是大型组织控制框架的重要组成部分,但在许多中小型公司中很可能不切实际。对于小型组织而言,管理层对整体业务(尤其是反舞弊控制措施的运行情况)进行可见且积极的审查,对于提供保障至关重要。
考虑采用 “五点舞弊防范方案”,作为一种适度且具成本效益的方式,增强企业的保障能力。
记住,不存在能够保证杜绝舞弊的控制体系。因此,为了构建最佳的反舞弊框架,始终需要将防范控制措施与识别控制措施相结合。
(中文)
说明
ACFE China 官网已上线本书籍中文版前7章,中国会员可在“行业报告”版块免费浏览及下载。鉴于书籍内容体量较大,目前已上线内容尚未完整,后续将分批次逐步更新补充。
*本文由ACFE China校对翻译,如需转载,请提前告知。
*本文内容和图片均源自网络,如侵权,请联系工作人员处理。
END
关注我们
关于ACFE
国际注册舞弊审查师协会(ACFE)成立于1985年,由Joseph T.Wells博士(CFE、CPA)创立,是目前世界上规模最大的反舞弊专业组织,也是反舞弊培训和教育的内容和考试提供方。ACFE与180多个国家的95,000多名会员一起,正在全球范围内努力减少职务舞弊,并持续提供更有效打击舞弊所需的培训和各种资源。
反舞弊培训的积极效果是深远的。显然,打击舞弊的最佳方法是教育任何参与打击舞弊的人如何有效的预防、发现和调查舞弊行为。ACFE通过教育、团结和支持全球反舞弊团体,以更有效地打击舞弊行为,减少了全球范围内的商业舞弊行为,激发了公众对行业诚信和客观的信心。
ACFE为会员提供专业认证的机会。国际注册舞弊审查师(CFE)证书是世界各国企业和政府机构的首选推案,它有力的证明持证者在有关舞弊防范和调查等方面具有的理论基础和实务背景。CFE是反舞弊专家,获得CFE资格表明他们在金融交易和舞弊计划、法律、调查和舞弊预防与威慑这四个关键领域具有专业水平。
ACFE的成员包括会计师、内部审计师、舞弊调查人员、执法人员、律师、商业领袖、风险/合规专业人士和教育工作者等,他们都可以获得专业培训、理论工具和实务资源。无论他们是专门从事舞弊防范或调查的专业人士,还是仅仅想获得更多反舞弊方面的知识和经验,ACFE都能帮助他们实现自己的目标。
关于ACFE China
ACFE China由ACFE中国区北京、上海、广州、深圳分会联合发起,是一家有温度、有内容 、多元化 、国际化的专业合规反舞弊组织。
ACFE China始终秉承“诚信铸就信心、合规创造价值”的理念,注重提高会员合规意识、舞弊防范和调查取证的专业知识和技能,增强“跨行业的专业信息交流和共享”的工作理念,更好的为企业和个人赋能,为广大合规反舞弊领域的同仁们创造更加专业、国际化的交流、共享平台。
鉴于国际注册舞弊审查师协会(ACFE)在国际专业服务领域的卓越声誉和行业影响力,2025年5月,ACFE北京分会获邀成为北京“全球高端专业服务机构平台”成员单位,共促首都经济金融高质量发展。
关于FCPAA协会
国际注册法务会计师协会(FCPAA)在美国注册成立,是法务会计领域中的权威专业机构,也是一个自我监管的非营利性机构,致力于促进法务会计行业的专业化、国际化。FCPAA成立以来为迎合全球法务会计的需求,开展各类相关学术交流活动及提供专业的法务会计咨询、教育、认证服务。
关于威普爱生教育
深圳市威普爱生教育咨询有限公司(简称“威普爱生”)是一家致力于国际高端职业教育培训与咨询服务的教育机构,秉承“基于职场需求的人才培训与服务”的朴实教育理念,帮助更多的国内专业人士拓展国际视野、提升专业技能、巩固职场竞争力。目前,威普爱生为国际注册舞弊审查师协会(ACFE)亚太中国区唯一指定授权培训供应商。
自公司成立以来,先后开设财务类、金融类、法律类、合规类、医疗类、护理类、IT管理与安全、国际学位等课程及服务,基本覆盖了各个领域的专业知识和职场需求。现阶段已和国内外知名专业联盟及协会达成战略合作授权,并与海内外高校建立合作招生和课程教学的紧密联系,为国内专业人士在简历优化、背景提升、职业进阶等方面提供了强有力的选择和保障。
点击下方 阅读原文获取ACFE考试评估资格
24小时贵宾咨询热线:400-969-7908
扫码关注公众号咨询
威普网校APP
学习由你“掌”握
iPhone/IPAD
威普网校APP
学习由你“掌”握
Android手机
版权所有: 深圳市威普爱生教育咨询有限公司 | 粤ICP备2020075194号
Copyright © 2025 WproEdu.Com Corporation, All Rights Reserved.
免责声明:本网站的部分内容来自于互联网,网站中所引用的相关公司LOGO、商标、版权归相关公司、法人及原作者所有
