好书推荐 | 中文版系列之(四)风险识别与应对
2025-07-24
04 风险
舞弊意识测试——问题4 内部舞弊中,女性实施的舞弊占比(按金额计算)为多少?
引言 对所有组织来说,风险管理一直都至关重要。然而,风险管理——如今用于识别、评估、排序、管理、缓解、沟通和报告风险的规范化流程——是一个相对较新的商业学科。举个示例,1990年我负责的最后一批审计客户中,没有一家使用“风险登记册”,这一点可能会让本书的一些年轻读者大为震惊。时代变化真大啊! 风险管理这一理念在20世纪稳步发展,源于战争、与天气相关的灾害、数学理论和商业需求等多方面因素的结合。基于概率而非运气或信念,对未来不确定性采取严谨方法的优势逐渐显现。1993年,通用电气资本公司的詹姆斯·林(James Lam)首次使用“首席风险官”这一头衔,描述一个涉及“管理所有风险方面”的职能。彼得·伯恩斯坦(Peter Bernstein)在其1996年出版的颇具影响力的著作《与天为敌:风险的非凡故事》2中,对这种态度的转变总结如下:“如果一切都是运气问题,那么风险管理就毫无意义。空谈运气会掩盖真相,因为它将事件与其原因割裂开来。”
舞弊者的分类 从多个方面来看,这是测试中最引人注目的问题。当然,由于聚焦性别(尽管是在舞弊背景下),这个问题总能激发极大的兴趣和热烈的讨论。当然,我故意这样措辞是为了吸引学员的注意力,但有时这会产生反效果,分散他们对我想传达的更重要信息的关注。例如,多年前,我在特立尼达和多巴哥的西班牙港为金融服务业商界领袖举办的一次会议上,就金融犯罪的多个方面发表演讲。演讲过程中,我决定冒险向听众提出这个问题,看看会有什么反应。结果,会场很快一片哗然——每个人都对此有自己的看法,都想发言。因此,讨论仅进行了几分钟,我就不得不自己回答这个问题,以中断讨论,继续我演讲的核心内容。然而,我原以为事情就此结束,却并非如此。当时特立尼达和多巴哥的媒体代表也出席了会议,第二天西班牙港的报纸就以“舞弊专家称男性比女性实施更多舞弊”为头条报道了整个会议! 实际上,这根本不是一个关于性别差异的问题——无论从道德、诚实还是行为层面来看都是如此。这是一个关于风险的问题。正确答案的关键在于问题中括号里的短语——“按金额计算”。我们稍后再回到这一点。 有些学员不愿意写下这个问题的答案,说他们以前从未想过这个问题,也不愿意随便猜测。对于大多数确实写下答案的学员来说,他们的答案大致可以分为以下三类: 50%。多年来,有相当一部分学员这样回答。这是一个合乎逻辑的答案,事实上,在我对舞弊风险的本质有更深入的了解之前,我自己很可能也会给出这个答案。正如我们稍后将看到的,所有研究都表明,在诚实以及对舞弊的态度方面,男性和女性之间几乎没有差异。然而,如今职场层级中,男性和女性之间仍然存在显著差异,最重要的是,组织中男性和女性担任高级职位的数量不同。如果我们按金额来衡量舞弊风险,那么结果在很大程度上受企业内部个人职位高低的影响。尽管有性别平等法,但一个简单的事实是,男性董事和高级管理人员的数量远多于女性。这对舞弊风险有非常重要的影响,尤其是因为那些基于舞弊金额的统计数据往往被不时登上头条的重大丑闻所严重扭曲。要实施高价值的舞弊,个人必须在组织中有这样的机会,而这几乎总是需要身居高位(或者在企业的重要部门拥有控制权和很大程度的自主权)。 60%(或更高)。少数学生会认为女性带来的舞弊风险更大。通常,这是因为他们有过组织内女性实施舞弊的真实经历,或者他们觉得大多数舞弊发生在会计、出纳或采购等部门,而他们可能注意到这些部门有很多女性工作。当然,女性确实有能力实施舞弊。然而,由于男性在企业中占据更多高级职位,女性实施高价值舞弊的机会往往受到限制。当机会出现时,女性也并不排斥实施舞弊,如下例所示(参加我在英国举办的培训课程的一些学员提到过): 示例:乔伊蒂·德-劳雷。3 1998年起,德-劳雷在伦敦的高盛投资银行和证券公司担任两位高级高管的私人助理:先是詹妮弗·摩西,后来是斯科特·米德。这两位高管薪酬都很高,尤其是米德先生,作为公司合伙人,1999年高盛上市时,他获得了约5000万美元的分红。这还不包括他每年数百万美元的年薪和奖金。米德先生显然非常成功,无疑也非常忙碌,所以日常银行业务通常都由德-劳雷处理。然而,2002年的一天,由于德-劳雷迟迟未能提供他急需的一些银行对账单,他决定自己去索要并查看。这很不寻常,并不符合他的日常习惯。可以想象,当米德先生查看银行对账单时,发现账户存在重大出入,他会有多惊讶——例如,有一笔超过200万英镑的转账从他的账户转到了一个名叫沙赫侯的人那里!经查询,发现这个人是德-劳雷的母亲,于是警方被叫来。调查发现,德-劳雷通过传真发送伪造和真实的签名来“授权”转账,从摩西女士那里偷走了超过100万英镑,从米德先生那里偷走了超过300万英镑。她之所以能做到这一点,是因为这两位高管信任她,并让她完全知晓自己的账户详情。他们太忙了,没有时间详细检查自己的财务状况,而且他们非常富有,显然没有注意到账户中少了大笔资金。德-劳雷将这些钱花在了汽车、珠宝、一艘摩托艇以及在塞浦路斯和英国的房产上。2004年4月,她因盗窃近450万英镑被判有罪,判处七年监禁。在审判中,法官称她是一个“谎言已融入其本性”的人。 10%-40%。我课程中学员的大多数答案反映出,他们认为按金额计算,女性实际实施的内部舞弊不到总数的一半。有些学员甚至给出了 “正确” 答案,即20%-30%。认为女性实施舞弊少于男性的原因多种多样。既有半开玩笑的观点,比如女性比男性更聪明,所以不会被抓到,或者女性能说服男性代其实施舞弊;也有基于观察的观点,比如学员在自己的组织中见过男性实施舞弊的案例,或者几乎所有登上新闻头条的重大企业舞弊案件,主要都是男性所为。 在继续之前,关于测试还有最后一点需要说明。该问题询问的是按金额计算的舞弊情况。如果我们转而看内部舞弊的实际案例数量,即不考虑损失规模和金额,每个舞弊案例都同等看待,那么男性和女性之间的差异就没那么明显了。国际注册舞弊审查师协会前几年的研究表明,大致比例为60:40,男性实施的舞弊仍多于女性。2010年《全球职务舞弊报告》的结果显示,这一差距有所扩大,三分之二的舞弊是由男性实施的。男性实施的舞弊多于女性,这并不奇怪——职场中男性的数量多于女性。舞弊统计数据只是当今公共和私营部门商业生活现实的一种反映。
风险管理入门 风险调查练习 多年来,我发现让参加我的舞弊课程的学员理解风险管理基础知识的最有效方法,是向他们提出一些简单的问题。然后,我会将他们的答案作为桥梁,专门讨论舞弊风险管理。我把这些称为“调查练习”。下面是我喜欢问的五个问题,以及学员最典型的回答。 1. 什么是风险? 这是一个相当直接的问题,但大多数人要么难以简洁地回答,要么回答得不尽如人意。我的大多数学员会说,风险是一种威胁,是可能出错的事情,是可能损害组织或其声誉的事件。人们经常会提到可能性,有时也会提到影响。但他们绝大多数关注的是负面风险。只有那些有风险管理部门工作经验的学员才会给出不同的回答。他们会从更平衡的角度出发,谈到通过利用机会以及将威胁降至最低来成功实现目标。 “结果的不确定性” 这一表述,是对 “什么是风险?” 这一问题最简洁的答案,也是展开风险讨论的最佳起点。在一个不确定的世界里,有两件事可能发生:在我们的个人生活和商业生活中,确实存在大量威胁,存在很多可能出错的事情;但同时也存在机会。现代风险管理就是要管理好这棵 “风险树” 的两个方面,以便组织能够有效应对带来不确定性的潜在未来事件。这意味着能够采取行动,降低负面结果的可能性,增加正面结果的可能性。 2. 如今,组织拥有全面且健全的风险管理体系被视为最佳实践。投资于有效的风险管理流程的主要原因是什么? 作为讨论这个问题的出发点,我想提醒学员们,风险管理是一个相对较新的商业领域,在20世纪90年代初,很少有组织拥有正式的风险管理流程。当然,这并不意味着大多数组织在1990年没有进行风险管理——要取得商业成功,始终都需要管理风险——只是当时的风险管理方式与如今不同,结构性更弱,也更少以证据为依据。 在围绕这个问题的讨论中,我期望得到两类主要答案。第一类与增值有关,第二类则源于合规实践。学员通常会很快想到第一个原因,即结构化的风险管理流程能让组织更有把握实现其业务目标。有了相应的流程和结构,管理人员和员工就更有可能以深思熟虑、有条不紊的方式识别、排序、管理和缓解风险,所有这些都能为其业务增添价值。有趣的是,当我问学员他们是否针对舞弊这一特定风险采取了这样的措施时,很少有人给出肯定的回答。这一不足以及纠正这一不足的益处,是本书反复出现的主题之一。 第二个原因对我的学员来说就不那么明显了。即风险管理结构、程序和报告提供了证据,证明董事会和高级管理层已履行其在风险管理方面的职责。我们已经看到,21世纪初的商业实践与上世纪末相比,一个重要区别是如今一切都必须以证据为基础。如果组织高层做出的判断最终被证明不是最优的,或者完全是错误的,那么相关管理人员要想为自己辩护,避免被指控玩忽职守,利益相关第三方(审计师、监管机构、法院等)就会要求提供决策过程的证据。 3. 贵组织中由谁负责管理风险? 这个问题的答案涉及重新审视之前中讨论的 “责任框架”。该框架被认为是管理舞弊风险的最佳方式:打击舞弊的最终责任由董事会承担,董事会将责任主要委托给直线经理,而整个结构的基础是组织中的每个人都清楚自己的职责。这也是总体管理风险的最佳框架。 除前面的讨论中提到的内容外,这里还有三点需要说明: 首先,一个简单的观察结果。我的大多数学员在回答这个问题时,不会在答题纸上画三角形,也不会提及责任框架,即便我通常是在他们完成舞弊意识测试后不到两小时提出这个问题!回想一下,测试的第 1 题问及谁负责防范和识别舞弊,而责任框架是该问题最有效的答案。但大多数员并没有参考这个答案,而是倾向于回到 “每个人” 这个回答上。当然,有时这会让我质疑自己的教学方法是否有效(或者说,我的学员是否足够专注!)。不过,大多数情况下,我认为这恰恰凸显了在当今现代商业中,这个答案是对责任相关问题的一种下意识反应。再次,当被问及舞弊意识测试中同样的补充问题时,学员们几乎没有信心认为自己组织中的大多数管理者和员工确实清楚自己在风险管理中的个人责任。这似乎是企业普遍存在的一个薄弱环节,即管理者的理论理解与商业生活的实际情况之间存在根本性脱节。如果没有对风险管理培训的明确且持续的投入,且主管和团队领导在日常工作中不断强化关键要点,那么就无法保证任何组织中存在风险意识文化。 其次,有相当一部分学员会指出指定人员(如首席风险官)或专业部门(如风险管理部)是其组织中负责管理风险的主体。虽然这看似是一个显而易见的正确答案,但实际上过于简单化,并且凸显了人们对企业内部风险管理专业人员角色的普遍误解。尤其是在近期金融危机期间多家银行和其他机构出现风险管理失误之后,风险管理专业人员越来越被视为能在该领域提供必要专业知识的人。如今,人们更认可风险管理者应在组织中拥有较高地位,且独立于业务部门。这是完全恰当的,当然,提高风险管理者的地位和独立性,未来将有助于提升组织内部控制和风险框架的可信度。然而,风险管理者本身并不会日常管理风险。首席风险官的职责主要是协调(确保风险政策、方法、控制措施和缓解行动在整个组织内得到执行)和报告(确保董事会、审计委员会和高级管理层及时收到有关风险管理的适当信息),而非亲自参与风险管理。实际上,风险管理的责任始终在于组织中各个层级、各个部门的管理者和员工。 第三,最近有一些来自金融服务行业的学员在回答这个问题时提到了所谓的 “三道防线” 模型。在该模型中,组织风险管理的第一道防线是业务线管理层——这与责任框架中的内容完全一致。第二道防线是风险管理职能部门,第三道防线是独立的审查和质疑流程,例如由内部审计部门提供的流程。尽管这并非新概念,但巴塞尔银行监管委员会在其2010年12月发布的咨询文件《操作风险管理和监管的良好做法》中强调了三道防线模型的重要性。7显然,这份文件给一些学员留下了深刻印象!在我看来,三道防线模型与责任框架完全一致,因为它只是聚焦于直线管理者这一组成部分,并深入探讨了该组成部分内的专业领域。 4. 风险如何衡量? 这个问题很直接。组织必须能够对自身面临的潜在风险进行优先级排序,以便将管理注意力和资源投向高优先级事项。为此,风险必须是可衡量的。多年来,我课程中的学员对这一领域有着较好的理解,绝大多数人都知道最常用的两个关键风险衡量指标:影响(或严重程度)和可能性(或频率)。影响是指某一事件若发生其严重程度的衡量标准;可能性是指某一事件在特定时间段内发生的概率。 企业中实际使用的风险衡量方法可以是定量的,也可以是定性的。特别是金融服务行业率先采用了量化方法,也就是说,将风险用实际美元金额来表示。20世纪90年代初,美国摩根大通银行的 “量化分析师” 在时任首席执行官丹尼斯・韦瑟斯通爵士(Sir Dennis Weatherstone)的领导下,开发了创新的风险模型——风险价值(VaR),该模型试图将风险用一个数字来表示。其他金融机构纷纷效仿,到20世纪90年代末,风险价值已成为风险模型的行业标准。许多其他业务领域更倾向于用定性方式表示风险,通常采用简单的、即便带有主观性的 “高、中、低” 风险分析。两种方法均可接受,具体取决于业务需求。就我们此处的目的而言,重要的是两种方法的目标是一致的:为企业提供风险衡量标准,使其能够制定相应的应对措施,为组织实现其企业目标提供合理保证。 5. 贵组织风险管理体系的关键组成部分是什么? 可想而知,我对这个问题得到了各种各样的回答。许多学员会提到风险意识培训计划,其他人会提到风险部门或风险报告流程,有些甚至会提到由董事会签署的风险管理战略、政策和指南文件。然而,对绝大多数人来说,其风险管理体系中最重要的组成部分是风险登记册。不过,风险登记册的使用尚未普及。有少数学生会表示,他们的组织不使用风险登记册系统,因此他们本人对其概念和内容都不熟悉。但这只是例外情况,我总会在白天的休息时间通过一个风险登记册的示例,向那些不熟悉该概念的人进行讲解。风险登记册是当今大多数风险管理系统中的关键文件,值得我们花点时间来探讨。 现代风险登记册有多种可能的格式,但基本上都是功能增强的Excel电子表格。许多风险登记册都带有 “交通灯” 标识,分别用红色、黄色和绿色代表高风险、中风险和低风险。这提供了一个共同的参考标准。最佳实践是让企业各部门的管理人员和员工 “拥有” 这些风险登记册。它们通常是在研讨会之后编制的,并应定期更新。因此,组织内部很可能会有一个风险登记册网络,每个主要的生产、销售和服务部门都负责各自的登记册。此外,还应有一份高级别的战略风险登记册,列出组织面临的最重大风险,由董事会负责并定期审查。这些登记册的设计旨在清晰地证明以下三点: 首先,电子表格的初始列用于识别组织面临的各种风险,并根据其影响和可能性得分进行衡量。这会得出一个固有(或总体)风险得分——即在组织实施任何控制和缓解程序以管理风险之前的风险衡量标准。 其次,沿着电子表格继续看,后面的列用于列出组织为管理风险而实施的控制措施和监控程序。这些控制措施和程序需要大致评估并分级为强效、中效或弱效。根据总体风险的大小以及针对该风险的控制措施和监控程序的效力(或其他情况),会得出一个剩余(或净)风险得分——即实施控制措施和程序后的风险衡量标准。这是关键的参考点。风险登记册的总体目标是确保组织在特定时间点所承担的风险是可接受的,也就是说,剩余风险得分在企业风险偏好范围内。风险登记册会突出显示高剩余风险领域,这些领域需要通过额外的控制措施和/或缓解程序来降低风险,使其处于企业风险偏好范围内。 第三,电子表格的最后几列用于列出降低不可接受的高剩余风险领域所需的任何行动计划,以及被委派负责实施这些计划的人员姓名和相关时间线。 风险登记册至关重要,因为它不仅能让企业各级管理人员管理风险,还能为风险管理过程提供证据——包括风险的识别与分析、控制措施的评估以及必要时的行动计划(含责任人和时间线)。
战略风险管理与“4Ts”方法 “4Ts”方法 在课程中与学员互动时,我喜欢采用一种名为“4Ts”的风险管理策略。这一策略,以及我们即将进行的练习,特别有助于展示业务中风险与控制措施之间的关键联系,同时让学员了解他们可采用的各种风险管理方案。“4Ts”方法提出,组织中的每一种风险暴露都可通过以下四种替代方法之一进行管理,每种方法均以字母“T”开头: 承受——接受风险;或 转移——让他人承担部分风险;或 终止——消除风险;或 处理——采取具有成本效益的内部措施降低风险。
战略风险管理与“4Ts”方法 “4Ts”方法——练习 向学员介绍“4Ts”方法后,我会在活动挂图上向他们展示图4.2所示的简单波士顿矩阵,该矩阵有四个象限,坐标轴分别代表风险的衡量指标——影响和可能性。作为解释,我会逐一描述矩阵中每个象限的情况:从左下角象限开始,这里是低可能性且低影响的事件;接着到右下角象限,这里是高可能性且低影响的事件;右上角象限是高可能性且高影响的事件;最后,左上角象限是低可能性且高影响的事件。 描述完矩阵后,我会让学员进行以下关于“4Ts”方法的练习。据我所知,这个练习是巩固(或提高)对风险与控制措施之间关键联系的认识的最佳方式。风险驱动控制措施,而非相反,这个练习完美地说明了这一点。它还能让学员清楚地看到,他们有多种不同的方法来管理风险。我通常只给学员很短的时间来做这个练习(两分钟就足够了),之后我会借助活动挂图,逐一讲解矩阵的每个象限。 练习:波士顿矩阵有四个象限,“4Ts”方法有四个“T”。每个“T”只属于矩阵中的一个象限。请将每个“T”放入正确的象限。 我极力推荐这个练习。如果有读者想亲自尝试,答案及相关讨论要点会在本章末尾列出。 图4.2 “4Ts”方法 
对舞弊采取基于风险的方法 舞弊风险的战略应对方法 再看本章前面用于讲解“4Ts”方法的波士顿矩阵,舞弊这一特定风险可以明确地放在该矩阵的两个不同位置:高可能性、低影响象限;以及低可能性、高影响象限。可以理解,这是两种截然不同的风险类型,应采用不同的方式进行管理。我们将在下面分别对其进行探讨。 作为高可能性、低影响风险的舞弊 首先,舞弊风险存在于高可能性、低影响象限。组织面临一系列特定的舞弊威胁,这些威胁本身并不构成高影响风险,但其总体影响可能具有腐蚀性。例如:提交虚假发票、虚报费用、截留现金、在工资单中加入虚构员工等。还有许多其他此类行为,它们在注册舞弊审查师协会(ACFE)的舞弊分类中被归为“资产侵吞”类别。在缺乏内部控制的情况下,这些风险发生的可能性很高。 组织应结合传统的通用控制措施和特定的反舞弊控制措施,将这些风险实际发生的可能性降低到可接受的水平。请注意,我并非主张在此消除舞弊,而是主张采取遏制和最小化的策略。当然,我希望消除所有舞弊,但经验告诉我这根本不可能,无法做到。没有任何控制体系或流程能够保证杜绝舞弊。此外,组织试图从业务中完全消除舞弊,在很多方面反而会产生反效果,因为这意味着要引 入层层官僚控制和侵入性的盘问。这种方法不仅成本高昂,最终还会扼杀价值创造,并损害客户、供应商和其他利益相关者的信任。 为说明这一点,我想举一个基于不同类型业务威胁的示例,尤其是零售商面临的入店行窃威胁。20世纪90年代末,我为英国一家大型零售商做咨询项目,办公地点设在其位于伦敦牛津街的主店。我受邀加入一个项目组,研究“损耗”导致的损失问题。零售商使用“损耗”一词来涵盖商店中各种日常损失,例如食品浪费和库存破损。然而,损耗中最主要的部分几乎总是入店行窃造成的损失。以下是我在该项目中的经历。 作为低可能性、高影响风险的舞弊 其次,舞弊风险存在于低可能性、高影响象限。这是另一种截然不同的风险类别,涉及企业所有者、高级管理人员或高支出部门负责人实施的、对组织造成严重损害的舞弊行为。注册舞弊审查师协会将这类情况归为两类:虚假财务报表和腐败。与资产侵吞相比,这类舞弊发生的可能性较低,但一旦发生,后果可能严重得多。这是典型的高影响、低可能性风险。
总结——董事和管理人员的五个关键学习要点 现代最佳实践是对舞弊及其他金融犯罪领域采取基于风险的方法。遗憾的是,企业组织中并非所有人都清楚这一表述在实际中的含义。本章试图为基于风险的方法提供简明指南,其中包括一些针对董事和管理人员在舞弊风险管理方面的重要要点。这些要点总结如下: 请记住,舞弊风险与组织中的资历和权力地位相关。尽管看似有违直觉,但企业的所有者、董事和高级管理人员是该企业面临的最大舞弊风险。 根据舞弊风险的类型采取双轨制方法:财务报表舞弊和腐败问题属于低可能性、高影响风险,需要采取规避策略;而资产侵吞计划则属于高可能性、低影响风险,应通过适当的控制措施将威胁控制在可接受水平。 确保你的保险策略充分且适当,不仅能为潜在的舞弊损失提供保障,还应与组织的整体业务战略保持一致。 理解在21世纪,有记录的风险管理流程的重要性。如果你的组织没有这样的流程,承诺投入必要的资金和时间,尽快建立一个与自身业务需求相匹配的风险管理系统——你的审计师应该能在这方面提供帮助。 确保制定、记录具体的舞弊风险评估,并定期更新。如有可能,将其扩展至与业务相关的其他金融犯罪领域,以便采用最有效的整体方法管理金融犯罪风险。
*本文由ACFE China校对翻译,如需转载,请提前告知。 *本文内容和图片均源自网络,如侵权,请联系工作人员处理。
