企业反舞弊机制建设探讨.doc

1、企业反舞弊机制建设探讨2014-10-29 中华网财经来源：21cn 生活2014 年 10 月企业反舞弊机制建设探讨张立 甫瀚咨询联席董事企业开展经营活动，面临着多变的经营环境和各种不确定因素。企业因其行业、规模、地域、市场、经营模式、发展阶段的不同，面对风险也不尽相同。不过，企业内部和外部人员开展职务欺诈行为，给企业和股东带来损失的情形，也就是舞弊风险，普遍适用于任何企业。换句话说，舞弊有可能在任何企业发生、给任何企业带来损失。美国注册舞弊审查师协会自 1996 年开始对职务舞弊案例开展调研，历年发布的报告指出，一般企业每年因为舞弊而导致的损失占企业收入额的 5%。而除了直接经济损失，受损

2、的还有无形的公众形象和市场声誉，以及客户、商业合作伙伴、资本市场的投资者、以及监管机构对企业的信心。有一类轻视舞弊风险的观点，在部分管理者或股东中较为常见，这类观点认为，在自己的企业中，虽然不排除发生舞弊的可能性，但这个可能性比较小。理由是：企业过往从未发生过舞弊事件，或者，企业运行已经比较规范，又或是对主要管理人员和员工的个人信任。持上述观点的管理者和股东，在企业发现任何实际舞弊或疑似事件以前，往往不会专门针对舞弊采取行动和投入资源。我们如何看待这类观点的合理性？先看两个案例和统计事实：在 2013 年沸沸扬扬的葛兰素史克事件中，据记者报道，葛兰素史克共享财务服务中心总监表示，公司内部的财务

3、管理“非常严格”，“如果要向外人行贿，账面上肯定是过不去的”，“我们公司正常的请客、送礼，单人标准不得超过 300 元，审核得很严。” 但事实表明该报销制度几乎没有约束作用。受环境影响和利益驱使，中国的销售人员利用公司在会议费支出上的控制漏洞，利用壳公司套取企业现金，以开展行贿或中饱私囊。美国 Brigham Young 大学的研究者开展过一项统计研究，这项研究试图知道，那些舞弊人员，作为一个群体有什么特征？结论是：和一般人群相比，白领犯罪人员并无特别之处，在罪行暴露前，他们中的绝大部分人，是同事眼中的普通人甚至好员工。下图是该研究中的一项统计数据：舞弊者案发前给予同事的印象上述事实的启示是：

4、无论是看似运行规范的企业、还是对员工的个人信任，都不足以确保舞弊不会发生。这一论断出于以下两个理由：首先，对于缺乏反舞弊意识的企业，各部门在制定制度和流程时，未必会考虑、或比较全面地考虑企业面临的舞弊风险。因此，企业的制度虽然足以满足业务操作的需要，但未必能满足管理特定风险的需要。舞弊者在贪婪和压力驱动下，在执行时也会设法规避、甚至无视原本有效的制度设计。此外，随着业务、架构、人员的变化，制度也可能变得无法符合实际需要。其次，在任何的舞弊事件被发现之前，企业几乎不可能从员工过往表现来判断舞弊发生的可能性。而当东窗事发时，企业已经遭受巨大损失。据舞弊审查师协会的案例统计，舞弊带给企业直接损失的中

5、位数是 14 万美元（对于亚洲国家，中位数近 20 万美元），超过两成的案例导致 100 万美元以上的直接损失。值得注意的是，在过往舞弊案例中，绝少有舞弊人员会在事发之前主动停手，他们一方面要依赖舞弊，维持其既有地位、生活水平和不良嗜好，另一方面要拆东补西、采取手段掩盖其舞弊行为。绝大多数情况是舞弊愈演愈烈，金额从小到大，当企业发现舞弊时，“亡羊补牢”往往也为时已晚。注册舞弊审查师协会的统计显示，舞弊案例中，从舞弊开始到事发，通常持续一至三年，有将近一半的企业，最后无法挽回任何损失。因此，无论过往是否有舞弊事件实际发生，企业均应采取主动，防患于未然或防微杜渐，才是管理舞弊的上策。下文将简要地阐

6、述企业应如何去建立一个实用的反舞弊机制。建立一个反舞弊机制，要求企业做三方面的事情：建立基础、了解风险和漏洞、以及制定和实施方案。一、建立基础建立基础，是指在企业整体层面上，建立符合反舞弊要求的文化、政策、人员和架构，这是任何企业实施反舞弊的首要和必经的步骤。高层态度：和企业的任何其他事务一样，反舞弊首先要得到企业最高层（董事会、CEO 等）的支持。最高层是企业反舞弊机制的最终责任人，他们应该以实际行动（会议、发言、公告、文件签署等），正式而持续地向企业全体人员表态。行为规范和反舞弊政策：为了让所有人清楚理解企业的反舞弊期望，一个最行之有效的办法是，以书面的方式传达到每一个管理人员和员工。大型

7、企业通常都有一份数十页的商业道德规范或政策，中小规模的企业，可以根据企业实际状况，以简化但实用的态度制定类似的政策制度。人员和架构：企业中每一个人，都在反舞弊机制中要承担一定的责任。企业也需要专门的人员去组织、督促各方履行自己的责任；这些人员应该有适当的反舞弊专业知识。在跨国企业的实践中，组织和督促者通常是直接向董事会汇报的总律师顾问和/或首席合规官，及其下属的法务和合规人员。中国本土企业可以按企业规模、架构的不同，设置符合企业实际的类似岗位，一个共通的原则是，鉴于舞弊事务的敏感性，这一岗位应直接向企业最高层，例如董事会和 CEO 汇报工作。培训有两个目的，一是传达知识，包括反舞弊的知识、法律

8、法规和公司政策要求；二是培养企业人员反舞弊的意识和公司文化。培训包括入职培训和定期培训。培训一般面向全体员工，重点关注管理层和关键岗位员工。汇报程序，检举是最为有效的发现舞弊的手段，有 40% 以上的舞弊，是通过检举所发现的。任何公司都应建立面向全员举报途径(网页、邮箱或电话热线)，鼓励实名举报，允许匿名举报，并保护举报人。举报的事项应由专人接收，独立向董事会等最高层汇报。对于有充分线索的检举事项，按照规定的程序获取授权、组织资源展开调查，采取弥补措施，并考虑报公安机关。事后，应总结原因，对有漏洞的制度、架构和流程进行整改。内部审计，约有 14% 的舞弊，是内审发现的，仅次于检举。内审工作中考

9、虑反舞弊的因素，有两重的作用，一是及早发现，二是起到威慑作用。二、了解风险和漏洞上面提及，任何企业都面临舞弊的风险，不过，每个企业的行业和业务各不相同，舞弊风险所在的领域是有区别的。一家有大量原辅料采购的产品制造企业，容易发生采购人员收受贿赂的风险；一家致力于基础设施建设的工程公司，容易发生销售部门向评标人行贿的风险；而一家有大量现金收入和消费品的超市，更容易发生偷窃资产的情况。因此，需要根据本企业的实际情况，找出本企业在哪些环节容易出问题，以有的放矢地应对。分如下四步完成：1)识别风险：找出有可能发生在本企业的舞弊事件，包括会在什么业务环节发生、涉及什么部门和岗位，舞弊的手段具体是怎样的；在

10、实践中，通常由专门的组织者，召集企业主要管理人员和关键员工，通过访谈、调查表、讨论会等发表意见，并将收集的信息整理为潜在舞弊事件清单。这里介绍一个用于考虑潜在舞弊事件的框架；事实上，过往不同时期、不同地区的舞弊案例，都具有一定的共性，据此可以归纳出舞弊模式的分类。几乎任何的舞弊事件个案，都属于下述舞弊模式分类中的一项或多项：舞弊模式分类侵占资产：包括盗用现金和存款、截留收款、虚报支出等侵占现金类资产；也包括对贵重设备、原料、和产品的非法占用和偷窃。腐败：受贿通常来自供应商，行贿通常流向客户和政府，隐蔽的行贿会通过代理、经销商、壳公司等第三方完成。向政府和公立机构行贿的行为，比普通商业贿赂有更严

11、重的法律后果。外资企业或拟赴国外上市的中资企业，同时受中国法律和美国反海外腐败法等外国法律管辖。利益冲突，常见例子包括企业人员在外开公司与雇主竞争，以及非公允的关联方交易。欺诈声明：报表舞弊指持有公司实际控制权的高级管理人员或者大股东，通过捏造财务报表和公告信息，故意误导投资者。雇员伪造学历和经历，供应商伪造资质等属于捏造非财务类文档。企业可以将上述分类作为出发点，以全面地考虑各方面的可能性。当然，企业最后整理出的舞弊事件，仍应该是结合企业自身的运营和管理现状得出的成果。2)评估风险：以总结出的事件清单为基础，评价这些事件发生的可能性，以及一旦发生，对公司的影响程度，并按风险高低对事件排序。3

12、)了解管理漏洞：管理漏洞是指企业管理现状不足以防范舞弊发生的情况。很少有企业是完全没有现成管理措施的，例如绝大多数便利店都会装摄像头，绝大多数企业都不允许销售人员经手客户付款。了解漏洞，也就是对识别出的潜在舞弊事件逐一考察管理现状，判断现状是否已经能满足反舞弊的要求。4)应对：对于较高风险的潜在舞弊事件，均拟定应对策略，策略主要是为了弥补漏洞所需的行动规划、及预计所需的人员、时间和其他资源。注意对于目前不存在管理漏洞的风险，也有策略：企业应确保当前管理现状的持续有效正如便利店每天都要确保其摄像头工作正常。上述工作应每年持续开展。鉴于文档和人员经验的积累，次年的工作量通常会显著少于首年。每当公司

13、业务、经营模式、人员和组织架构、系统有大的变化调整时，应特别关注风险和漏洞的相应变化。三、制定和实施方案所有的应对策略，均应得到高层批准和授权，并获得相应资源。其后组织者应责成有关人员按照策略下的规划，制定具体行动方案和时间表，在获得批准后予以实施。具体方案通常涉及管理方法、业务政策和流程、职责岗位、系统的变更。为了卓有成效地开展上述三方面工作，企业要注意以下几个方面：首先是注重实效，召开会议、编制政策、修订流程都不只是纸面文章，而是要为企业和人员带来意识、知识、和工作程序的变化；其次，反舞弊工作要尽可能和日常工作结合，反舞弊方案通常包含对企业日常制度和操作流程的串联和修订，而不是建立独立的制度；第三，有长期的意识，企业的反舞弊机制从无到有，可以在一两年的时间内完成；但企业的外部环境和内部组织在不断变化，企业必须定期检讨风险和漏洞，确保管理持续有效。