好书推荐 | 中文版系列之（八）舞弊识别

舞弊存在于所有商业领域，其识别方式多种多样。你认为发现舞弊最常见的方式是什么？

舞弊具有隐蔽性。实施舞弊的人往往是在组织中工作多年、熟悉组织制度和流程的人，就像我在上文描述的案例中那样。因此，识别舞弊并非易事。本章将探讨关键的识别措施，即那些在实践中被证明最能成功揭露舞弊行为的控制手段和技术。  

不过，在本章开头，我们先来回顾舞弊风险管理框架中最未被充分利用的部分——遏制。遏制指的是通过制裁威胁来改变行为。舞弊遏制的一个核心概念是“被识别的可能性”。根据这一概念，如果一个人在考虑实施舞弊时，认为自己会被抓住、起诉并入狱，那么他就不太可能付诸行动。我们会讨论一些所有组织都可采用但在实践中却不常被采用的遏制措施。部分原因是人们对此缺乏了解，另一部分原因则是高级管理层未能克服对变革的抵制。例如，突击审计或随机抽查已被证明能产生显著效果，但运营经理们并不喜欢。在常规审计或管理层审查中讨论舞弊风险，也是表明组织重视舞弊问题的有效方式。但问题在于，人们认为舞弊是个敏感话题，提起它可能会冒犯他人。因此，内部审计人员或管理人员往往根本不会提及这个话题。  

接下来，我们将探讨舞弊识别。在之前中讨论的一些通用控制措施和防范控制措施，经过专门调整后可用于识别舞弊活动。这些措施包括：对账、独立审查、实地检查和存货盘点、差异分析以及审计。此外，还有三项极其重要的识别控制措施，若管理层希望有信心确保组织内的舞弊能被迅速揭露，这三项措施必不可少。本章将详细探讨每一项措施：突击审计、举报热线以及数据挖掘软件的使用。这些控制措施绝非万能灵药，即便组织同时采用这三项措施，舞弊识别仍会面临困难。然而，当它们与上述遏制措施结合使用时，将能为董事和经理提供合理保证，确保组织内若发生舞弊，能尽快被发现。

在企业的任何领域，识别控制措施的主要目的都是缩短风险暴露期——即从问题首次出现、组织开始遇到麻烦，到发现问题之间的时间。舞弊也是如此。不幸的是，有证据表明，舞弊风险暴露期可能长得令人担忧。职务舞弊行为通常要持续数年才会被发现，这说明主要的反舞弊识别控制措施要么普及率不高，要么效果不如董事和经理所期望的那样好。约翰・拉斯纳克在爱尔兰联合银行实施舞弊长达五年才被发现，而伯尼・麦道夫的庞氏骗局在2008年底败露前，已持续了十多年。ACFE协会在2008年《全球职务舞弊调查报告》中指出，其研究的美国企业中，典型的舞弊从开始到被受害企业发现，平均持续两年。在2010年的报告中，这一时间缩短至18个月，但此次ACFE协会研究的是全球范围内的职务舞弊，而非仅美国。

舞弊识别是指识别组织内部实际存在或潜在的舞弊。它是组织反舞弊战略的关键组成部分，依赖于实施适当的制度和程序来发现舞弊的早期预警信号。有效的舞弊识别不仅能缩短风险暴露期，还能在发现新的和过往的舞弊时增强遏制因素。显然，这能节省资金，并起到保护组织及其员工、客户和所有者的作用。

有效的舞弊识别需要结合多种技术：包括主动和被动措施，以及人工和自动化控制。下面我们详细探讨三项最重要的识别措施：突击审计、舞弊报告机制（举报计划）以及数据挖掘与分析工作。但需要注意的是，本书其他章节讨论的许多措施也是健全的识别战略的一部分。持续的舞弊风险评估是一项至关重要（且常被低估）的主动舞弊识别措施。员工培训和意识计划在这方面也很重要。本书主要从防范控制的角度探讨这些计划，但显然，它们还应包括对管理层和员工的教育，教他们如何识别常见舞弊的预警信号，以及在发现或怀疑舞弊时应遵循的程序。此外，管理层和内部审计对制度、流程和控制的审查，也会完善舞弊识别框架。

三项关键的舞弊识别措施

现在，我们详细看看被证明在舞弊识别方面最有效的三项措施：突击审计、举报热线（举报人计划）以及数据挖掘。

(a) 突击审计

大多数审计，无论是本书前面讨论的传统外部审计或内部审计，还是质量控制审计或合规审计，都提前进行了周密的计划和安排。这使审计人员和被审计单位或部门的管理层能够为审计访问做好充分准备，确保所有必要的文件都已备齐，且可能需要回答审计人员问题的人员都在现场。因此，提前安排有助于确保审计以最高效的方式完成。

首先，考虑被审计方的立场。所有单位都理所当然地关注提高运营效率。管理人员希望提前知道审计访问的时间，以便整理和准备所有必要的文件资料，也能据此安排日程，确保在审计问题出现时，有合适的人员提供协助和应对。这在小型组织中尤为重要。

商界普遍认为，只有在少数情况下，为了保证审计效果，才需要加入突击的元素。现金是最主要的领域，无论是对备用金的随机抽查、对保险箱内现金的全面清点，还是（例如在赌场中）对某一特定时间点企业内现金的盘点。存货水平是另一个不时需要进行突击盘点的领域。

然而，与这种不受欢迎的情况相对的是一个简单的事实：突击审计是一种由来已久的遏制和识别舞弊的技术。ACFE协会的研究证实了这一点，始终将其列为最有效的反舞弊控制措施之一，尽管其使用率不高。举个例子，设想两个假设场景，都涉及大型制造公司采购部门的经理史密斯先生。史密斯先生有实施舞弊的动机。其所在部门每年都会接受外部审计师和内部审计团队的审计访问。在第一个场景中，史密斯先生面临的是非常典型的情况：内部和外部审计都提前六个月计划好了。这些审计会在多大程度上遏制他实施计划中的舞弊呢？很可能他根本不会在意。他会非常有信心 “掌控” 局面，控制审计团队能看到什么、不能看到什么。因此，史密斯先生对被识别的感知度较低。再看第二个场景：尽管外部审计的时间是提前计划好的，但史密斯先生知道，内部审计部门有能力进行突击审计，且仅提前24小时通知。他还知道，内部审计师去年在公司各个部门开展了多次这样的突击审计，今年已经开展了两次。这种情况会让他担心吗？几乎可以肯定会。如果他所在的部门被选中进行突击审计（未来某个时候很可能会发生），他几乎无法控制整个过程，他所实施的任何不当行为都很可能被发现。这种情况下，情况完全不同，因为史密斯先生对被识别的感知度可能较高。这可能会带来完全不同的结果：在第二个场景中，史密斯先生很可能决定不实施计划中的舞弊，而在第一个场景中，他很可能会实施，因为没有什么能阻止他，甚至不能让他在做决定时犹豫一下。

在监管层面，突击审计或许看似可取，但同样普遍不受被审计组织的欢迎。他们明显担心，如果没有机会在审计前进行内部审查，那么在合规性的书面证明方面得分可能会较低。

然而，媒体时常会曝光一些组织存在极其恶劣的做法和低下的标准，而这些组织此前在完全依赖预先通知的检查中却一直获得高分。预先安排的检查的核心问题在于缺乏严格性，近年来英国有许多丑闻案例可以佐证这一点，尤其是在医疗和社会关怀领域。值得注意的是，为回应近期的相关担忧，英国教育、儿童服务和技能标准局（Ofsted）将对其检查制度进行重大改革。2011年7月，该局宣布计划未来对儿童社会关怀服务进行无通知检查。地方政府的儿童社会关怀服务将接受为期两周的现场无通知检查，这与现行流程形成鲜明对比——现行流程中，地方议会会提前两周收到检查通知。这一新的检查框架将于2012年5月生效。

重申一下，ACFE协会的研究表明，突击审计是所有反舞弊控制措施中最有效但使用率最低的措施之一。因此，尽管不受欢迎，但所有希望改进自身舞弊遏制和识别机制的董事和经理都应考虑调整审计框架，至少纳入突击审计的可能性。

(b) 举报热线

举报人是指通过工作了解到组织内部存在违法行为或危险活动后，就此类不当行为提出担忧的人。这种担忧既可以向内部（组织内有权位的人）披露，也可以向外部的公共机构披露。

举报热线在美国的政府机构中已使用数十年，而近年来，它被视为有助于防范和识别企业不当行为的重要潜在工具，如今被广泛认为是治理最佳实践的重要组成部分。在美国，《萨班斯 - 奥克斯利法案》要求审计委员会建立程序，供员工以保密和/或匿名方式提交对可疑会计或审计行为的担忧。在英国，《公司治理准则》要求审计委员会 “审查相关安排，确保公司员工能以保密方式就财务报告或其他方面可能存在的不当行为提出担忧”；同时，“畅所欲言” 机制是官方指南中提及的适当程序之一，商业组织可借助该机制为自己辩护，驳斥依据《2010 年反贿赂法》第 7 条 “企业犯罪” 条款提出的 “未能防范贿赂” 指控。

因此，举报是一种预警系统，能提醒组织注意内部可能存在的各类非法、腐败或危险行为，包括舞弊，也涵盖健康与安全、环境破坏、玩忽职守（如医院或学校中）以及不当销售养老金或个人贷款等方面的问题。

关键是，该系统应允许员工向其直属经理以外的人进行保密举报。理论上，若组织制定了体现这一原则的完善举报政策，员工若有任何担忧，可能会首先向雇主提出，而非向外部公共机构反映。英国公共生活标准委员会（常被称为诺兰委员会）在 1996 年的第二次报告中探讨了举报问题。诺兰勋爵领导的委员会建议雇主引入内部举报程序，让员工能就工作中的不当行为提出担忧。该委员会所指的 “举报” 是在组织内部以保密方式提出与组织相关的问题或担忧，而非带有贬义的 “泄露信息” 或 “搬弄是非”。报告指出，有效的举报系统应包括：

明确声明组织重视不当行为，并指明哪些事项被视为不当行为；尊重提出担忧的员工的保密意愿，允许其绕过直线管理层提出担忧；对提出虚假恶意指控者予以处罚；说明必要时向组织外部提出担忧的正当方式。（诺兰委员会，《第二次报告》，1996年）

举报应与投诉或申诉区分开来。在投诉或申诉中，提交报告的员工自身直接受到影响，希望通过调查获得补救或公正对待。因此，组织应制定不同且独立的程序，处理有关欺凌、性骚扰或其他不当职场行为的指控。

举报是识别舞弊最重要的方式。这是ACFE协会自 2002年首次汇总研究数据以来，在《全球职务舞弊调查报告》中得出的最显著且一致的结论之一。重申一下核心发现：ACFE协会在 2010年《全球职务舞弊调查报告》中指出，“在我们的研究中，通过举报发现的舞弊数量是其他任何方式的三倍”。

在我看来，任何举报机制若要成为有效的反舞弊控制措施，都应具备以下多项核心特征。

• 举报政策：任何举报政策都需要强调两个关键点。第一，组织需将举报置于恰当的语境中，明确其是一项积极措施，有助于组织始终诚信经营。许多员工可能对“举报他人”这一术语和概念心存抵触——没人愿意认为自己是“告密者”。因此，必须明确该政策是维护组织诚信的关键要素，适用于违法行为和腐败行为，旨在提高透明度，并为组织打击所有可能损害其运营和声誉的违法行为提供支持。第二，需清晰说明政策的目的是确保所有员工都能放心地提出任何真正担忧的问题，无需害怕遭到报复，同时知晓这些问题会被认真对待并得到妥善调查。  

• 举报政策的适用范围：政策当然应适用于组织内的所有董事、经理和员工。最佳实践表明，其范围应扩展至所有为组织提供服务或代表组织履行职责的人员（例如，代理人、经纪人、顾问、承包商等），以及组织的客户和供应商。ACFE协会的研究明确指出了这种包容性做法的优势。该协会在2010年《全球职务舞弊调查报告》中指出：“客户、供应商、竞争对手和熟人（即非公司内部人员）提供的舞弊举报至少占34%，这表明舞弊报告政策和计划不仅应向员工宣传，还应向客户、供应商和其他外部利益相关者宣传。”  

• 举报义务：根据举报政策，经理和员工通常有义务在相关事件发生后，尽快按照组织的举报渠道（见下文）报告违法或腐败行为，包括实际发生的事件和疑似事件。根据我的经验，许多组织内的员工对“举报疑似行为”这一要求感到不适。大多数员工实际上都希望在披露前能有确凿证据！但实际上，即便对于受过训练的调查人员而言，在舞弊和腐败等领域获取证据也往往极为困难。所有组织都应明确，即使员工不确定，他们出于善意提出的任何担忧都值得重视。员工的义务是举报疑似行为，随后这些行为会得到妥善调查。此外，应始终能够通过拨打专用电话号码（“热线”一词即暗示此意）口头举报，或通过网络平台书面举报。  

• 举报渠道：组织应设立多种备选举报渠道以方便披露。如前所述，员工可能不愿向直属经理倾诉担忧，因为经理本人可能就是问题的根源。因此，举报渠道应指向组织内其他处于高级别且值得信赖的人员——例如，道德官、内部审计主管或公司秘书。在特殊情况下，也可联系董事长或首席执行官。此外，有些员工可能一开始就不愿与组织内部任何人沟通，因此，设立外部联系点会有所帮助。例如，在英国，许多组织会采用“职场公众关注”（一家举报慈善机构）的支持服务5。如果员工不确定是否该举报、如何举报，或需要保密建议，可通过电话或电子邮件联系该机构。

• 保密性和/或匿名性：举报热线应兼顾保密举报和匿名举报。不过，二者存在重要区别。成功的举报计划的一个核心特征是，人们确信自己提出的担忧会被保密——也就是说，他们的身份（例如，仅道德官和调查人员知晓）不会被公开。这与匿名举报不同，匿名举报中，举报人仅提出担忧，但隐瞒所有个人身份信息。对匿名举报的跟进和调查要困难得多，因为在初步举报后，无法获取更多信息。举报政策应明确，尽管会考虑匿名举报，但组织无法保证对所有匿名指控都进行调查。如果调查人员无法获取足够信息，或无法确定举报是否出于善意，可能就无法开展适当调查。举报人最好披露身份，这样组织才能采取措施保护其隐私。最后，所有举报人都应对自己提出的担忧、担忧的性质以及涉及人员的身份保密。  

• 对“善意”举报人的保护：所有希望建立有效举报机制的组织都必须强调，任何根据政策善意举报事件的人，都将受到保护，不会被解雇或遭受任何形式的纪律处分、报复或刁难。任何经理或员工都不得利用职权阻止此类举报。此处的“善意”应理解为，相关员工有合理理由相信所提供的信息是真实的。这与恶意、非善意或出于个人利益的举报形成对比。这种情况在实践中有时会发生，需要认识到举报并非万能药——它可能被“非善意”举报人滥用，以泄私愤或谋取私利。应强调，非善意举报人不会受到保护，还会受到纪律处分。  

• 提高认知度：显而易见，要让举报热线发挥作用，人们首先需要知道它的存在。有时，组织在宣传这一控制措施和提高其认知度方面做得很少。这一错误可通过一些简单流程相对容易地避免。除了让员工收到政策文本外，还应在入职培训中介绍举报热线，之后通过布告栏、屏幕保护程序等定期提醒。此外，还应开展专门培训，说明流程实际操作方式，并解答员工可能存在的任何疑问或担忧。若要充分发挥该控制措施的效益，还应向组织外部宣传举报热线。

• 调查：举报热线要保持可信度，一个基本要点是所有披露都能得到跟进和妥善调查。调查的一般原则在此适用——下一章将详细讨论。最重要的是，所有组织都应致力于对披露内容进行全面、公正、及时且保密的调查。调查的时长、性质和范围取决于披露内容的主题。有时，通过内部审查即可解决问题；若指控涉及重大舞弊、腐败或其他违法行为，则可能需要由第三方法务会计师等开展全面调查。接收举报的人员通常会决定是否调查，并安排、协调和监督调查过程。在特殊情况下，有些问题可能无法完全通过内部处理，此时可能需要在调查期间或之后通知外部机构并让其介入。最后，必须明确，除确保调查程序有效外，举报中涉及的任何个人的基本权利都将得到尊重，包括获得公平听证的权利。  

• 结果报告：负责监督举报热线的人员（如道德官）有责任报告各项调查的进展。报告通常应提交给审计委员会，也可提交给其他合适的管理委员会。

(c) 数据挖掘与数据分析技术

在现代企业中发现舞弊，往往就像在大海捞针一样困难。实际上，这是一个非常贴切的比喻。“大海”指的是组织多年来积累的庞大信息数据仓库，而“针”则是隐藏在海量信息中的极少数舞弊交易。数据挖掘为专职舞弊调查人员、审计人员或经理提供了找到这根“针”的方法。

数据挖掘是从不同角度分析大型数据集，以发现新的或隐藏的模式与关系，然后将其汇总为有用信息的过程。实际上，它是更广泛的“数据库知识发现”过程的一部分，该过程融合了收集、存储、提取、分析和报告等环节，用于高效管理现代社会中无处不在的海量数据。数据挖掘是这一过程中的分析环节，即从大型关系型数据库的众多字段中寻找相关性或模式的过程。

“数据挖掘”是一个相对较新的术语，于20世纪90年代出现。然而，从数据中手动提取模式的做法已有数百年历史，而现代数据挖掘技术则源于多年来统计学、人工智能和机器学习这三个相关领域的发展。世界各地的企业和政府使用数据挖掘技术已有多年。例如，企业利用高性能计算机筛选大量超市扫描数据并分析市场研究报告；保险业也运用数据挖掘打击犯罪，通过识别同一个人多次参与不同理赔（无论是作为司机、乘客还是证人）的情况，揭露舞弊性理赔。

在具体探讨与舞弊相关的数据挖掘技术之前，有必要先明确其所处的背景。数据挖掘是众多基于计算机的审计工具（计算机辅助审计技术）之一，这类工具以软件形式存在，能够对数据进行审计。对于大型现代组织而言，要以令人满意的标准且具成本效益的方式开展审计，计算机辅助审计技术的使用至关重要。其作用是实现高效的自动化数据审计，从而提高审计人员个人及审计职能的整体效率。计算机辅助审计技术包括多种类型的软件，旨在为不同类型的审计提供支持，例如：电子表格、统计抽样、数据库以及实时测试程序等。计算机辅助审计技术的一个关键特点（尤其是在考虑舞弊等领域时）是其能够审计数据和交易，特别是数据的完整性。

计算机辅助审计技术的强大之处在于，它们能以定制化的方式分析大量数据。使用者可以查询所审查群体中的全部交易，而不必仅依赖随机抽样。试想对一家拥有10,000名员工的大公司的费用报销进行审计，该公司每年的费用报销单数量很容易超过100,000份，审计人员若采用传统的实质性审查方式，根本不可能对所有报销单进行100%审计。然而，若使用计算机辅助审计技术，就可以按照设定的标准对100%的交易进行审查。这在揭露舞弊时极为重要，因为舞弊交易（如果存在的话）数量可能极少，难以通过传统方法选取的审计样本被发现。

数据挖掘是组织可采用的最重要的主动舞弊识别程序之一，得到了ACFE协会（ACFE）、国际内部审计师协会（IIA）和国际注册会计师协会（AICPA）的推荐。原因很简单：它是一种强大、高效且具成本效益的方法，能够增强对舞弊风险的把握，为董事和经理提供合理保证，确保组织内的任何舞弊都能被揭露。需要注意的是，数据挖掘并非万能药——舞弊仍然难以识别，但数据挖掘确实增加了识别舞弊的可能性。董事和经理应将数据挖掘纳入其流程，因为这是对舞弊威胁的适度回应，且该技术被公认为最佳实践。

数据挖掘利用技术识别大量交易中的异常、趋势和风险指标，其结果可用于识别人员、组织和事件之间的关系。它能够评估大型数据库内部以及不同大型数据库之间的无数种关系。由于数据挖掘能识别并突出显示数据中的异常，因此它是识别资产侵吞和虚假财务报告的非常有用的技术。当然，识别出的异常几乎都需要进一步由人工调查！

主动舞弊审计与传统审计的关键区别在于样本选择。传统审计旨在从所审查的总体交易中随机选取样本，使总体中的每个项目都有同等被选中的机会，然后对该样本进行审计测试。

舞弊审计则与此相反，其目标是有针对性地选择样本，使其包含总体中风险最高或最可疑的交易，这样做的一大优势是能让审计人员将时间和精力集中在最关键的地方。具体做法是使用数据挖掘软件创建“舞弊过滤器”，以突出显示异常项目、模式或匹配项。需要明确的是，数据挖掘审查突出显示的项目列表并非舞弊交易列表，而是异常或可疑项目列表，审计人员需要对这些项目进行审查，以了解列表中每笔交易的事实和背景。列表中的某些项目可能有合理的业务解释，有些可能是错误导致的，但有些则很可能是舞弊的结果。

尽管数据挖掘通常与审计或调查活动相关，但各级管理层经过适当培训后也可使用，以增强其分析数据和识别舞弊的能力。使用数据挖掘软件能让管理层：识别人员、组织和事件之间隐藏的关系；识别可疑交易；发现并纠正错误；评估内部控制的有效性；监控舞弊威胁和漏洞；尤其是能够对成千上万甚至数百万笔交易进行考量和分析。

总结——面向董事和经理的五个关键学习要点

本章详细回顾了董事和经理可采用的最重要、最有效的舞弊遏制和识别控制措施。与分析舞弊防范控制措施一样，管理层需要选择最适合组织具体情况和需求的、恰当且适度的措施。

舞弊风险管理框架中还有一个部分有待探讨，即调查，这将在下一章中阐述。在探讨如何以最佳方式调查舞弊之前，本章中有几个关键学习要点值得董事和经理重申如下：  

• 理解“被识别感知”这一概念的重要性，并准备好采取果断措施增强这种感知。确保控制措施健全且得到执行，让那些正考虑实施舞弊的人因担心被抓、被起诉和入狱而放弃这一念头。

• 举报热线是针对舞弊、贿赂和其他腐败商业行为的一项非常重要的识别控制措施。仔细评估其是否适合你的组织。如果适合，不仅要确保组织中设有这一控制措施，还要确保其有效运作。这需要对举报流程进行定期、独立的审查（由内部审计或其他部门进行）。  

• 鼓励内部审计部门在其年度审计计划中纳入少量突击审计。当突击审计开展时，要为审计人员提供支持，因为受影响的业务和服务部门可能并不欢迎这类审计。然而，突击审计是打击舞弊的有效工具。确保你的组织不会忽视这一措施。

• 致力于让审计人员和/或管理层使用数据挖掘软件。

• 了解两项实用的舞弊风险措施：临界点聚类分析作为一种简单但有效的舞弊识别技术的重要性，以及监控异常突出者活动的必要性。许多舞弊者试图通过处理略低于授权阈值的交易来滥用财务权限限制。因此，无论是利用数据挖掘软件还是手动审查，都要确保在这些领域进行定期检查。任何取得异常出色（或异常糟糕）业绩的个人或部门都应被重点标记，由管理层进行审查，以确认数据的准确性并了解其原因。