据注册舞弊审核师协会(ACFE)出具的《2012年各国在职人员舞弊和滥用职权报告》估测,全球的企业和组织中,内部舞弊带来的开支高达3.5万亿元,占总收入的5%。然而我们都知道,内部舞弊问题仅仅是问题的一个方面。 在这个瞬息万变的时代,舞弊的手段变化非常迅速。如今,在监管不力的环境下,一个高明的舞弊者仅使用一台智能手机,眨眼之间就能将大量的资金转移到境外。ACFE指出,一般的舞弊者在其行为被揭发之前,能够将16万美元从公司转出,而这笔资金几乎不可能被追回。 随着舞弊手段的不断变化,舞弊侦测技术也随之高速发展,例如,已经出现了实时交易监控器用来监测之前不易被察觉的异常情况。加强信息收集手段(如开通专线等)和健全内部审计职能也被证明是有效的舞弊监测方式。然而公司对抗舞弊的第一道防线绝不应该是这些侦查手段,防患于未然才是最好的选择。 “对付舞弊就如同应对疾病一样,预防比治疗更加重要”,已故犯罪学家唐纳德·R.克雷西这样认为。他提出的舞弊三因素理论:动机、机会、自我合理化(现被普遍称为“舞弊三角”)得到了普遍认可。一个组织能够通过合理的风险评估和管控来压缩这个三角中“机会”生存的空间。 我曾经担任过联邦某部门的检察长一职,我的职责就是阻止和查处所在部门的舞弊行为。我很幸运能有机会带领一群优秀的审计人员和犯罪调查员开展工作。回顾过去,我对我们觉察和调查舞弊案件的能力感到满意。然而我一直认为,从舞弊活动实际发生的情况看,采取更有效的预防手段对于阻止舞弊更有价值。 国际内部审计师协会发布的《国际内部审计专业实务框架》中的实务指南“内部审计和舞弊”提出了舞弊风险和控制评估的五个步骤。 1.发现相关的舞弊风险因素。这一步包括调阅文档,了解过去组织内部舞弊和涉嫌舞弊的行为以及遭受欺诈的案例,评估同类组织相关的舞弊案,对比本组织和竞争对手之间过去几年内在这方面的绩效指标。 2.识别潜在的舞弊手段,并根据风险的大小为其排序。导致舞弊机会有哪些?在何种程度的压力下管理层会选择无视内部管控?如果管理层无法达到企业目标会出现哪些后果。 3.列出现有的可有效管控潜在舞弊的手段,并发现其中的不足。已有的实体层面的反舞弊管控手段或制度,如检举专线的设置、检举保护政策、董事会监督、持续监控的结果、行为规范、与公司舞弊风险容忍度相关的管理层对话的基调等,在这一步中都是非常重要的被考量因素。需要明确考虑管理层不顾舞弊监控的行为的风险,以及评估控制这种风险的利弊。 4.测试预防和发现舞弊手段的实际操作有效性。内部审计在评估内部控制的实际操作有效性时扮演着一个重要角色。内部审计人员不仅要考虑内部控制方面,还要通过阶段性的内部控制测试来评估内部控制的有效性。 5.对舞弊风险评估进行报告和存档。企业需要对识别和评估舞弊风险的进程进行存档。在各个重要商业领域的舞弊风险评估中最可能需要被存档的关键内容有:有可能出现的舞弊类型、与流动和可出售资产的可获得性相关的舞弊固有风险、企业氛围和人员流转率、舞弊和因舞弊遭受损失的历史或其他具体的商业指标;现有的反舞弊实施项目、舞弊监控和预防控制;组织中各反舞弊控制手段的潜在不足,如职责分工方面;重大舞弊案发生的可能性;发生舞弊案的商业影响。 和以往一样,这只是对这个问题探讨的开端。最近出版的《索耶内部审计手册》第六版第三卷对舞弊、道德和人为风险提出了卓越的见解。你所在的组织在舞弊风险管理方面做得如何?请与我们分享你的最佳实务。