好书推荐 | 中文版系列之（一）组织中的反舞弊责任

1. 谁负责防范和识别舞弊？

2. 什么是职务舞弊？有哪些具体行为，是否有共同特征？ 

3. 舞弊者是否有什么共同的特征，如是否女性占比会少？

4. 如何开展舞弊风险管理是有效的，而非流于形式？

5. 公司治理中各方的角色和职责是什么？

6. 在评估内部控制措施时应关注哪些关键问题？

7. 哪些反舞弊控制措施和技术能够有效防范舞弊发生？

8. 识别舞弊最常见的方式是什么？

9. 由谁负责开展舞弊调查以及如何展开调查工作？

10. 反舞弊如何植入到组织的企业文化中？

这些问题没有标准答案，却揭示了反舞弊的底层逻辑：它不是孤立的制度，而是渗透在组织文化中的风险意识。正如波利佩克案所警示的——再完美的商业神话，若缺乏对"职业怀疑精神"的坚守，终将在舞弊的侵蚀下崩塌。

对于企业反舞弊从业者而言，这些来自一线的实战思考，或许比任何理论都更具启发：舞弊风险管理的核心，从来不是"抓坏人"，而是让"想作恶者不敢为，能作恶者不能为"。

ACFE China会将本书进行全文翻译，并将精华部分分批次分享到本公众号及网站（acfechina），为中国区会员及广大反舞弊从业者以启发和学习。

引言

测试的第一个问题直接触及责任问题。参加过我课程的读者给出的答案，以及后续讨论中提出的观点，为我提供了一个良好指标，用以判断在特定日期参会人员所代表的各个组织中，舞弊预防、威慑和识别工作可能的有效程度。多年来的这些答案汇总后，能让我们深入了解当今商业组织中常见的若干对待舞弊的普遍态度，而这些态度可能导致日常实践中的漏洞。当然，针对该问题的答案会因当日读者的经验和背景构成不同而有所差异，但仍存在可从中得出结论的相似性和模式。以下按频率顺序列出我听到的最常重复的评论和讨论要点：

• “每个人”。大多数读者对该问题的回答仅写下一个词——“每个人”。如今，这是我在任何关于责任的讨论中得到的最普遍回应，不仅在专门讨论舞弊时如此，在更广泛的风险管理语境中也是如此。但情况并非一直如此：12年前我开始讲授舞弊课程时，大多数人会提名特定个人或部门，如“内部审计”“安全部门”“合规部门”，甚至是反洗钱报告官作为负责方。如今，人们更深刻地认识到让组织中每个人都参与反舞弊工作的力量和有效性。然而，“每个人”这个单字答案有时可能显得有些程式化、有些表面化，需要进一步检验（见下文）。此外，还需要以更严谨的方式探讨企业中责任归属的问题。

• “内部审计”。许多读者认为内部审计人员负有预防和识别舞弊的特定责任。有趣的是，几乎从未有人将外部审计作为答案。当然，最常给出“内部审计”这一答案的是那些本身就是内部审计人员的读者。在后续讨论中，他们的答案基于何种经验有时并不明确，因为大多数此类读者承认自己并未开展具体的反舞弊审计工作。许多人参与过已发生舞弊的调查，但这并非同一回事——那是被动工作，是对举报或其他途径暴露的特定情况作出回应，而非主动的舞弊预防和识别工作。在这一阶段必须强调，若内部审计人员要以舞弊调查人员的身份参与其中，要想有效履行该角色需具备两点：首先，他们需要接受一些量身定制的调查培训——关于证据规则、在压力下进行访谈时如何应对等；其次，他们需要使用现代审计工具，尤其是计算机辅助审计技术（CAATs）。遗憾的是，参加这些课程的大多数内部审计人员两者都不具备。审计人员（包括内部和外部）在反舞弊工作中的角色有时未被充分理解，且对传统审计方法的依赖往往无效，这一点将在本书后面详细讨论。

• “董事会”。尽管如今人们比20世纪90年代更清楚董事会在预防和识别舞弊方面的责任，但在讨论中，这一答案往往需要引导读者才会提出，这多少有些令人惊讶。简单的事实是，组织高层的人员（无论是董事、合伙人还是高级管理团队）最终要对每个企业运行的风险管理系统和内部控制负责。舞弊完全属于这一框架范畴，然而这一基本治理要点似乎并未被广泛理解。

• “管理层”。同样令人惊讶的是，这一答案并未被更频繁地给出。如今，管理层，尤其是部门负责人和直线经理，对管理企业风险负有主要责任。然而，读者往往需要被提示和提醒这一点，这让我质疑在实践中管理者是否足够“亲力亲为”地处理风险。如果不是，这是一个重大缺陷，尤其是在舞弊这样的领域。例如，若任何组织的采购主管对企业供应链和采购流程中的舞弊风险不甚了解，那将是非常危险的。 

• “风险经理”。将舞弊视为企业风险的认知在不断提升，但不幸的是，很少有读者似乎意识到现代风险管理的关键原则之一，即“风险下放至业务线”。换句话说，有效的风险管理由直线经理和部门负责人执行，而非指定的个人。在最近的金融危机之后，风险经理角色的重要性有所提升，当时金融服务领域对风险的低估尤其是导致许多大型机构要么倒闭（如雷曼兄弟）要么被迫寻求政府帮助（如苏格兰皇家银行）的因素之一。风险经理的角色是参与、影响、协调和报告，而非直接管理风险。若要有效管理风险，必须将日常风险管理下放给整个企业的管理者。

• “安全部门”。如今，这是一个罕见得多的答案，除非是来自金融服务和保险机构或公共部门的读者，这些组织通常会雇佣调查团队和专业人员，积极应对有组织犯罪团伙、福利欺诈者和其他外部舞弊威胁带来的风险。

围绕责任的问题从来没有对错答案，但我想说的是，我得到的大多数回答都是不完整的。事实上，我可以更进一步说，读者给出我认为是完整答案的情况确实非常罕见。我一直在寻找并试图将讨论引向的答案，是将上述三个答案结合起来：首先是董事会和高级管理团队；其次是管理者，尤其是部门负责人和直线经理；第三是每个人。

总结——董事和管理人员的五个关键学习要点

关于责任的这一章提供了总体框架，使董事和管理人员能够以有效和适度的方式应对舞弊威胁。在后面的章节中查看一些详细的控制措施和程序之前，值得稍作停顿，看看所吸取的关键教训。有五个关键学习要点如下：

• 记住责任框架和相关的三角形图表。所有风险和控制都可以纳入这个框架。管理风险的最终责任属于董事会和高级管理人员。这一责任下放给部门负责人和直线经理，他们实际上成为组织中与风险和控制相关的关键人物。为了使整个框架有效运作，其基础是每个人在开展工作时都意识到自己对风险和控制的个人责任。

• 定期开展舞弊风险评估（或风险分析）工作。如果要有效管理风险，就必须对风险进行评估和排序。如果不评估风险，就不可能设计出适度的控制措施来有效管理舞弊威胁。

• 确保为管理舞弊风险所做的一切都基于证据。这意味着舞弊风险评估必须有记录，所有政策、程序、培训计划等也必须存在并定期更新。

• 不要过度依赖传统的审计技术来预防和识别舞弊。要现实地看待外部审计工作的重点，并通过招聘专家、投资培训计划和/或现代识别工具来努力提高内部审计能力。

• 采取战略性的方法来解决这个问题。致力于实施舞弊风险管理计划，积极主动，将资源集中在预防和威慑领域。制定适当的识别措施，将暴露差距降至最低，并获得外部或内部的调查专业知识，以确保潜在的未来舞弊事件将得到适当和及时的处理。

风险管理与内部控制的联系

证据的重要性

审计在舞弊预防与识别中的角色

舞弊风险管理框架