議題觀點
淺談企業舞弊偵防
勤業眾信風險管理諮詢 (股) 公司 / 曾韵執行副總經理、劉婉蓉協理
壹、前言
職場舞弊的本質與徵兆是不分國界與產業,所有的組織都可能面臨舞弊風險。近期受害企業的規模從跨國集團公司到國內中小企業皆有,無論是一般大眾或其利害關係人都希望企業對舞弊採取「零容忍」的態度。
然而許多企業抱持著員工舞弊事件絕不可能發生在我們公司的心態,相信自己公司的內控制度設計完善,且執行確實的,但哪一家舞弊案件爆發的企業欠缺內控管理規章制度?管理當局又是憑藉著什麼,給予他足夠的自信來認定公司內控活動皆有效施行?
這篇文章將討論企業打擊舞弊行為的方法一些方法,並探討一些關鍵要素和資源以供企業用於建立一個有效的舞弊偵防機制。
貳、建立一套完整的反舞弊機制
我們將舞弊偵防分成三個面向,包括,一、從根本降低舞弊發生機率的「事前預防」,二、攔截漏網之魚的「事中偵測」,以及三、當發現犯罪正在進行時的「事後因應」,以下將從這三個面向為讀者說明一套完整的反舞弊機制。
一、從根本降低舞弊發生機率
(一) 提升全體人員舞弊防範意識
從「舞弊三角論」來看,構成舞弊犯罪的成因,包含:
1. 壓力 (Pressure):舞弊者的行為動機。
2. 機會 (Opportunities):能在不被發現或免於懲罰的前提下進行舞弊的時機。
3. 自我合理化 (Rationalization):舞弊者對於舞弊行為的解釋,使其可與自身的行為準則、道德觀念吻合。
前述要件中,「機會」可透過風險評估與控制活動進行管理,但控制的執行效果,可能牽涉人的判斷;而「壓力」,則需仰賴同事間是否能注意潛在舞弊者的生活、情緒、環境發生變化,並且有意識的關懷與回報;而關於「自我合理化」的層面,大多是因員工不明白從事該行為後,對個人以及企業的影響真正的影響,又或者公司對於誠信的價值觀、文化等未能傳達與影響員工。因此,企業必須透過各類政策、訓練、活動等,提升全員舞弊防範意識。增加人員對於舞弊發生成因、常見跡象、可能導致的不利情況、法律責任、企業的行為標準等,方能讓員工得以辨識與防阻舞弊行為,並且降低因壓力而從事不當行為的可能性。
(二) 導入舞弊風險評估與控制活動
前述舞弊三角中的「機會」要素,是舞弊三角中,企業最能主動掌握的舞弊風險因子。惟舞弊行為會以「蓄意欺瞞」前提進行。因此,未以防阻舞弊為前提所設計的內部控制,是無法降低風險的。因此,為了有效率地對企業流程診斷舞弊風險點,並施予適當的控制,必須注意以下的重點:
1. 評估現行流程,確認資訊可能被偽造而不易察覺的環節
舞弊的發生節點,常出現於該職務有能力偽造資訊而不會被察覺,且該偽造行為可獲取不當利益或其他好處之情況。而成功的資訊偽造,可能源自流程中缺乏檢核機制、覆核者未執行有效檢查或比對、缺乏系統控制、或是以商業慣例為名,掩蓋不正確的資訊等。因此,企業可從企業內控八大循環、或企業的營運流程開始,了解運作的全貌、權責規劃等;注意資訊可能被偽造的節點,找出潛在的舞弊可能情況。
2.考量管理階層逾越控制的情況
由於舞弊風險常見的來源,是管理階層未遵循要求而實施了不當的行為,過程中可能一併對下屬施壓,形成共謀性舞弊情況。因此,在評估舞弊風險與情境時,必須注意管理階層逾越控制的可能性,並設下偵測性控制活動,評估是否有效防止風險的發生。
3.尋找紅旗 (Red Flags) 並進行監測
紅旗號誌,代表了可能有問題或有危險的跡象,例如出現利益衝突的情況、多個供應商登記地址皆相同,或者是人員生活習慣的改變等。在流程檢視確認可能弱點後,除進行改善以外,必須於流程設下監控點,以觀察問題開始的跡象,以進行防阻。
二、攔截漏網之魚
(一) 建立「有效」的企業舉報管道
依照舞弊稽核師協會 (Association of Certified Fraud Examiners, ACFE) 的統計,近半數舞弊案件的揭發是經由檢舉發現的,且其中超過半數來自員工檢舉。台灣近年來所發現的舞弊也同樣印證「舉報」的重要性。近期的很多案件的被披露,即屬最好例證。
目前舞弊偵防的最佳實務,已有越來越多企業開始思考導入舉報機制。由於舞弊係以人為故意為基礎,所以除了自律外,透過「人」的相互監督制衡,是現今公認最為有效與成本最低的偵測手法,然而我們更在意的不只是有管道可受理不當行為,更再意其管道的「有效性」,因此該管道設計之方式,將一定程度的影響其偵測的效果。若期望設置後內部人員能有效運用,並降低過程中產生之負面效果,可從利害關係人之類型與期望、舉報管道的友善程度及安全與保密的被信任程度等面向來進行考量。
以法令法規面觀之,我國上市上櫃公司治理實務守則及誠信經營守則都要求上市櫃公司應訂定具體的檢舉制度,並建立檢舉人保護制度,金管會於12月5日也針對金融機構吹哨者制度建構及執行,規劃納入推動「金融控股公司及銀行業內部控制及稽核制度實施辦法」之法制化作業,並於12月7日邀集相關業者開會研商以建立金融機構檢舉制度。
舉報制度做為發掘企業內部不當行為最重要的來源,除了企業自行內建外,在國外許多知名企業是委外予獨立的第三方單位代為受理舉報案件,因具公信力的單位較易取得舉報者的信賴,使得舉報者具安全感,更願意挺身而出,國內已開始有企業率先採取委外機制。業界目前也有專業團隊協助企業內部自行建立舉報制度,也極具參考價值。無論是委外或是自行維運,最終目的皆為使其從日常運作的實踐中預防弊端有滋長的環境,賦予企業本身自我反省、自淨的機會,並達成真正發揮防弊的功效。
(二) 自動化舞弊風險數據分析
當企業發現一個舞弊風險時,第一個想法就是再設下一個更複雜的控制,例如請申請者提出更詳細的說明或流程需要經過更多層級的覆核,結果是讓認真工作的員工付出更多的時間,流程變得更複雜,但其舞弊防範效果往往不如預期。
既然傳統的內控無法遏止或發現這些高深的舞弊手法,例如共謀的問題,因此,越來越多企業開始想要利用數據分析方式協助企業提早發現潛在的異常。依據2016年內部稽核能力調查報告,發現電腦輔助稽核工具 (CAATs) 與資料分析工具是過去10年來最被關注的議題。不過這也讓我們感到擔心,因為代表了10年來內部稽核雖然致力於資料分析技術的提升,但事實上成果有限,否則不會每年都喊著「我們要資料分析」。
當然,資料類別與範圍的擴大、資料分析技術的升級、以及即早發現舞弊的期待,都再再讓舞弊風險數據分析變得更複雜與困難。傳統資料範疇大多限於企業內部結構化資料,但早已開始延伸到外部大量非結構化資料,如客戶、供應商或競爭者之財務報表、政府開放資料、甚至社群網路輿情等;傳統資料分析方式多半屬於固定規則,如採購日期早於請購日期之採購單、非調薪月份之調整紀錄等,不過因為面臨了不少挑戰,所以利用資料科學的分析技術,如分類、分群、迴歸、異常偵測等演算法,找出未知、複雜或大規模的舞弊事件,已經成為顯學。利害關係人與社會大眾對於企業舞弊偵防的期待越來越高,除了於舞弊事件發生後,盡速修補漏洞以外,還必須即早發現舞弊事件,以降低企業損失。
三、當發現犯罪正在進行時
(一) 內部舞弊調查與訴訟
企業遭遇內部舞弊事件之初,不論來自於各種管道所得之舉報或查知是否具體,或囿於影響層級、範圍,對於其指控或懷疑,往往無法於當下做出適當的判斷或處置,因此首要面對的課題即是否應立即啟動內部調查;對此,建議應先針對事件影響程度進行評估,例如:可能涉案的人員、層級、部門、金額、媒體的影響、公司是否會被主管機關裁罰或糾正等,與此同時應確立內部舞弊調查的目標,作為調查工作開展之基調。
調查的主要目的,在於發現真實、釐清真相。不論其目標是訴諸法律、內部懲處或是內部流程的改善,最重要的應於調查過程中保持公正客觀,並有其足夠的專業支持,才能在日新月異的舞弊手法中發現端倪。故企業決定啟動內部調查,成立專案調查團隊時,除了謹慎選任調查成員,考量受查對象及事件可能的利害關係人之外,更應考量調查團隊須具備多元能力,使團隊成員可綜合財會、資訊、法律及商業等領域,進行事證與資訊分析、證據評估、訴訟策略研擬。並於收集事證的過程中反覆確認證據是否足以支撐客觀事實認定,而非主觀人為認定,如此才可據此將可能的舞弊行為一一釐清並辨識犯罪事實,作出適當判斷與後續處置。
如企業以訴訟為前提進行調查,於研擬調查方向的過程中,除了應考量符合可能的法律構成要件,合法蒐證並確保證據之有效性,則是支持前述舞弊調查結果作為後續訴訟程序中之攻防重點。也因此數位鑑識於企業內部調查過程中,將成為數位化訴訟中最重要的一環,惟有充分且具備證據能力的證據資料,才能協助企業釐清事件、分析或舉證。
如企業受限於內部資源與成本,亦可借助鑑識會計專家於上述領域的專長,協助調查事件真相,出具專業鑑定 / 評估報告及專家鑑定 / 評估意見表示等,促使案件爭點能迅速歸納釐清,以期法院作出合理判決且兼顧訴訟經濟與審理之時效性。
最後,無論調查的結果如何,建議企業應秉持勿枉勿縱精神,向員工宣告正視舞弊事件的決心,才可避免企業在未來付出更高額的成本。
(二)數位鑑識的應用
現行企業的E化程度越來越高,例如員工作業不再只限於電腦,可能由平板手機等裝置取而代之,而企業內部的ERP系統從過去內部實體主機設置,到目前主流的虛擬機器架構,甚有完全移轉雲端環境作業者。但在舞弊事件發生後,不再是像傳統紙本的文書證據保存那麼簡單,如何進行這些複雜多樣化的數位證據蒐集,就必須仰賴數位鑑識的嚴謹作業,做好第一道證據保全的防線,以確保證據能力不被破壞,才能妥善協助後續數位鑑識分析作業以及鑑識會計的內容調查。
應用數位鑑識的第一步驟就是啟動證據保全,首先需要識別哪些是與事件相關的數位證據,在配合資訊環境實際情況下,利用專門設備進行現場的證據擷取與蒐集,如此才能以嚴謹程序保存證據並維持證據監管鏈。惟有充分且具備證據能力的證據資料,才能協助組織進行後續事件釐清分析或舉證自保。但這樣的過程,必須仰賴組織已有意識去強化自身的證據環境完備性,以調查角度確認相關資訊控制規範、軌跡資料內容的充分性、管控性與勾稽性是否足夠,否則再高端的技術設備都可能無用武之地。
應用數位鑑識的第二步驟則是進行數位鑑識分析,針對取得的多樣化數位證據,分析人員利用專業技術方式將保全後的證物,因應案情需求對檔案及資料進行內容分析篩選,並且在分析過程中同步維持證據能力,不破壞任何證據資料原貌。分析後取得具備證據價值的資料,除了可提供配合舞弊調查做進一步的鑑識會計分析外,也能就資訊系統中發現結果出具鑑定報告,對於存在事實進行詳細說明,以協助作為起訴資料的援引依據。對此,目前企業組織大多不具備自有資源可執行前述的證據保全或數位鑑識分析作業,如何適當的委外或投注資源於自有能量的養成,都是企業應思考的議題。
(三) 危機處理
當企業內部發生舞弊事件,經營管理層除指示進行舞弊調查、評估與決定訴訟策略,並擷取、保留相關證據之外,亦不可忽略將舞弊視為企業的「危機事件」進行應變與處理。除了已發生的舞弊事件內容與過程,一直到事發後經營層對外展現的態度,都是決定是否足以毀掉企業聲譽的關鍵點。
舞弊事件基於其內容的機密性、敏感性,有時甚至牽連甚廣,同時屬於重大性事件,因此在進行危機處理時,作法將可能於其他危機事件略有不同,以下將以數個面向,說明舞弊事件於危機處理時,應特別留意之事項:
1. 危機事件反應
企業內大多由公關部門規劃危機管理小組組織,並於符合情境條件時啟動。小組成員組成一般由總經理同意後,共同召開危機管理會議。若是針對舞弊事件的應變,需視事件涉及、未涉及的部門,以及配合案件調查階段,被允許知情人員,做為挑選小組成員之依據。而考量事件牽連的層級,危機管理小組中之最高階,更可能由總經理提升至董事會擔任,方合適做出各項裁決。
2. 危機應對策略
於危機管理會議中,應決定對於對外發言層級、對外說法及方向之定調,並經董事會核可。舞弊事件之應對策略,因配合調查可能無法透漏細節,惟企業同樣應以誠實的態度承擔責任,不應有謊報、欺瞞大眾之行為。
3. 利害關係人管理
與舞弊事件相關的利害關係人,除主管機關、地方政府之外,尚需與檢調單位密切合作,對外公告的內容皆需留意前述單位的要求;除此之外,持續與律師、鑑識技術專家保持溝通,跟進事件調查狀況,以確保對外公告內容之正確性及合適性。
參、結語
防患於未然。企業往往需要為其舞弊事件支付其龐大的代價,並致使其聲譽和信用受損。
無論是何種類型的舞弊偵防手法,做好公司治理的工作,絕對是降低舞弊對企業乃至於社會造成傷害的核心。但眼下的當務之急是固本培元,從基本的開始做起。只要能對舞弊的發生保持高度懷疑的假設,再搭配簡單但正確的分析,才能真正的做到「勿恃敵之不來,恃吾有以待之」的境界。
(本文已刊登於 2018.01 月旦會計實務研究 第1期 p.101-107)