思路 |企业反舞弊机制的建立

企业开展经营活动，面临着多变的经营环境和各种不确定因素。企业因其行业、规模、地域、市场、经营模式、发展阶段的不同，面对风险也不尽相同。不过，企业内部和外部人员开展职务欺诈行为，给企业和股东带来损失的情形，也就是舞弊风险，普遍适用于任何企业。换句话说，舞弊有可能在任何企业发生、给任何企业带来损失。而建立一个反舞弊机制，要求企业做三方面的事情：建立基础、了解风险和漏洞、以及制定和实施方案。

1、建立基础

建立基础，是指在企业整体层面上，建立符合反舞弊要求的文化、政策、人员和架构，这是任何企业实施反舞弊的首要和必经的步骤。

（1）高层态度：和企业的任何其他事务一样，反舞弊首先要得到企业最高层（董事会、CEO等）的支持。最高层是企业反舞弊机制的最终责任人，他们应该以实际行动（会议、发言、公告、文件签署等），正式而持续地向企业全体人员表态。

（2）行为规范和反舞弊政策：为了让所有人清楚理解企业的反舞弊期望，一个最行之有效的办法是，以书面的方式传达到每一个管理人员和员工。大型企业通常都有一份数十页的《商业道德规范》或政策，中小规模的企业，可以根据企业实际状况，以简化但实用的态度制定类似的政策制度。

（3）人员和架构：企业中每一个人，都在反舞弊机制中要承担一定的责任。企业也需要专门的人员去组织、督促各方履行自己的责任；这些人员应该有适当的反舞弊专业知识。在跨国企业的实践中，组织和督促者通常是直接向董事会汇报的总律师顾问和/或首席合规官，及其下属的法务和合规人员。中国本土企业可以按企业规模、架构的不同，设置符合企业实际的类似岗位，一个共通的原则是，鉴于舞弊事务的敏感性，这一岗位应直接向企业最高层，例如董事会和CEO汇报工作。

（4）培训：有两个目的，一是传达知识，包括反舞弊的知识、法律法规和公司政策要求；二是培养企业人员反舞弊的意识和公司文化。培训包括入职培训和定期培训。培训一般面向全体员工，重点关注管理层和关键岗位员工。

（5）汇报程序：检举是最为有效的发现舞弊的手段，有40% 以上的舞弊，是通过检举所发现的。任何公司都应建立面向全员举报途径(网页、邮箱或电话热线)，鼓励实名举报，允许匿名举报，并保护举报人。举报的事项应由专人接收，独立向董事会等最高层汇报。对于有充分线索的检举事项，按照规定的程序获取授权、组织资源展开调查，采取弥补措施，并考虑报公安机关。事后，应总结原因，对有漏洞的制度、架构和流程进行整改。

（6）内部审计：约有14% 的舞弊，是内审发现的，仅次于检举。内审工作中考虑反舞弊的因素，有两重的作用，一是及早发现，二是起到威慑作用。

2、了解风险和漏洞

上面提及，任何企业都面临舞弊的风险，不过，每个企业的行业和业务各不相同，舞弊风险所在的领域是有区别的。一家有大量原辅料采购的产品制造企业，容易发生采购人员收受贿赂的风险；一家致力于基础设施建设的工程公司，容易发生销售部门向评标人行贿的风险；而一家有大量现金收入和消费品的超市，更容易发生偷窃资产的情况。因此，需要根据本企业的实际情况，找出本企业在哪些环节容易出问题，以有的放矢地应对。

分如下四步完成：

（1）识别风险：找出有可能发生在本企业的舞弊事件，包括会在什么业务环节发生、涉及什么部门和岗位，舞弊的手段具体是怎样的；在实践中，通常由专门的组织者，召集企业主要管理人员和关键员工，通过访谈、调查表、讨论会等发表意见，并将收集的信息整理为潜在舞弊事件清单。

舞弊模式分类

侵占资产：包括盗用现金和存款、截留收款、虚报支出等侵占现金类资产；也包括对贵重设备、原料、和产品的非法占用和偷窃。

腐败：受贿通常来自供应商，行贿通常流向客户和政府，隐蔽的行贿会通过代理、经销商、壳公司等第三方完成。向政府和公立机构行贿的行为，比普通商业贿赂有更严重的法律后果。外资企业或拟赴国外上市的中资企业，同时受中国法律和美国反海外腐败法等外国法律管辖。利益冲突，常见例子包括企业人员在外开公司与雇主竞争，以及非公允的关联方交易。

欺诈声明：报表舞弊指持有公司实际控制权的高级管理人员或者大股东，通过捏造财务报表和公告信息，故意误导投资者。雇员伪造学历和经历，供应商伪造资质等属于捏造非财务类文档。

（2）评估风险：以总结出的事件清单为基础，评价这些事件发生的可能性，以及一旦发生，对公司的影响程度，并按风险高低对事件排序。

（3）了解管理漏洞：管理漏洞是指企业管理现状不足以防范舞弊发生的情况。很少有企业是完全没有现成管理措施的，例如绝大多数便利店都会装摄像头，绝大多数企业都不允许销售人员经手客户付款。了解漏洞，也就是对识别出的潜在舞弊事件逐一考察管理现状，判断现状是否已经能满足反舞弊的要求。

（4）应对：对于较高风险的潜在舞弊事件，均拟定应对策略，策略主要是为了弥补漏洞所需的行动规划、及预计所需的人员、时间和其他资源。注意对于目前不存在管理漏洞的风险，也有策略：企业应确保当前管理现状的持续有效——正如便利店每天都要确保其摄像头工作正常。

3、制定和实施方案

所有的应对策略，均应得到高层批准和授权，并获得相应资源。其后组织者应责成有关人员按照策略下的规划，制定具体行动方案和时间表，在获得批准后予以实施。具体方案通常涉及管理方法、业务政策和流程、职责岗位、系统的变更。

END