一个人要能从他人那里拿走金钱或者其他有价值的东西，只有三种途径。第一是使用武力或威胁使用武力，这叫持械抢 劫、行凶抢 劫或者敲诈勒索。第二是秘密行动，比如汽车盗窃、商店行窃和入户行窃。第三种途径最具破坏力，它不仅导致价值损失，而且给人造成心灵伤害，它就是对信任的背叛。

 　　所有的欺诈都是对信任的虐 待，不论是家庭成员间的信任，还是朋友间、商业伙伴间或者一家公司实体或机构的信任。

 　　《布莱克法律大词典》（Black’s Law Dictionary）把“欺诈”定义为：“所有各种各样的、人类智能所能设计的手段，一个人通过这些手段以虚伪建议或者压制真相的方式获取针对另一个人的优势。这些手段包括突袭、狡诈、伪装以及欺骗他人的一切不公方法。”

　　这个定义涵盖所有形式的欺诈，但职业欺诈具有特殊的风险，因为它是员工偷窃雇主的行为。作为欺诈领域一个真正具有远见且坚定的领导者，韦尔斯（Joe Wells）把职业欺诈定义为“通过有目的地滥用雇主组织的资源或资产，利用个人岗位的便利中饱私囊”。

 　　职业欺诈是一种组织风险，而且也许是十分重要的一种风险。但是一般而言，这种风险意味着什么呢？它意味着，当我们大多聚焦于外部风险（坏人在做坏事）时，大量风险披着员工的外衣溜进了公司。这些未必就是企图偷窃的人，但他们仍然具有相当严重的危险性。懒惰的、冷漠的、不满足的、图谋报复的或者光是工作过度的员工，都能以各种方式导致组织风险的飙升，这些方式包括消极怠工、迟报数据、报告不准确数据或者不履行所承诺的义务——从确保食品加工设备完全清洗干净，到保证阀门完全关闭。

 　　许多时候，我们发现了风险，而且决心采取措施加以处理，但是日常业务的压力妨碍了这件事，于是不得不考虑处理的成本。过了一阵子，似乎没有糟糕的事情发生，我们也开始习惯于与风险共处。

　　这种行为可以使风险倍增。以下举措有助于企业避免这种行为。

　　启动人力资源全面审计

 　　通常，员工会尽力实现他们的业绩指标，即使这意味着有些许欺骗。公司里富有进取精神的销售队伍就是例子之一。

 　　销售人员所取得的销售业绩应该由数据录入人员录入到公司的销售监控系统里。然而，在这个系统下，正是这些低级别的文员成为主要的控制点，以确保各种控制销售业绩如何取得和记录的规则得到履行。

 　　销售人员通常都善于说服他人，他们找到那些支持其销售的数据录入人员，解释说他们理解数据录入人员工作量过大，接着说他们熟悉那个系统，并且表示只要得到密码，他们就能自己输入这些数据，而且经常是在他们去做销售的路上录入。他们解释说，这样大家都好过，因为在现有系统下，他们必须先记录数据，然后再把它发给数据录入人员，这些人员常常又不得不重新录入这些数据，那样就使工作量增加了一倍。

 　　大多数销售数据录入人员都乐于这么做，因为这大大削减了其工作量。这样的事情一旦发生，销售数据完整性的控制点在很大程度上就消失了，大量错误或不一致的销售业绩被记录，从而让销售人员达到销售目标，赚取奖金。

 　　当你在公司里发现一个问题，往往会扯出相关的其他问题。销售数据一旦被详细检查，你就会发现同样的销售数据被记到两个甚至三个人头上，而且有些销售数据还多次被记到同一个人头上。

 　　怎么会这样呢？这样的事情之所以发生，是因为销售人员比公司更了解这个销售监控系统。他们一旦直接进入销售数据录入系统，就能略微操纵销售数据，以便多次记录同一销售数据或者和他们的朋友分享销售数据，使同样的数据记到每个人头上。

 　　这个例子的寓意是，人们一旦有业绩指标，就会想方设法在规则的范围内去达到这些指标。如果规则挡道，有些人就会绕道而行。他们的办法有两个，首先是通过说服他人或借助人脉来规避控制点，其次是比公司更了解销售监控系统。

 　　因此，全面审计应该从人力资源开始，仔细检查员工的业绩和公司的薪酬计划。这往往可以在很大程度上解释公司各部门所呈交的数据。糟糕的或扭曲的数据既可能是“小”错误引起的，也可能是有人故意操纵。

　　意识到期末操纵

 　　“期末”指的是进行销售额、销售收入及利润计算和结账的周期性时段。通常地，这些会计指标是每个季度计算一次，然后在财年年末再次计算。“期末”往往给每个人都带来压力——管理层在注视着你，董事会在注视着你，金融分析师在注视着你，股东和投资者也在注视着你。负责销售且为公司创收的人处于所有人的监视之下。期末“调整”的问题，就像会计一样古老；有很多人屈服于期末财务成果报告中的诱惑。并且，如果你知道诱惑是什么，你就能注意到他们“美化”数据的花样。

　　这可能包括：

　　延长期限。这种伎俩包括：把下一期前几天实现的销售拉回到本期来计算。

 　　最后时刻的货运销售。这些货物实际上是在本期的最后一天发出的，常常是半夜时分。它们往往必须调整到下一期来计算。

 　　超量发货或者发错产品。公司因此而“记录”这些销售业绩，并确认收入，但是却把客户抱怨和退货的处理拖入下一期。

 　　收入管理。某些期的业绩会好过其他期。如果你已经实现当期的业绩目标，就有一些技巧让你把超额收入“囤积”起来，用于业绩可能不太成功的下一期。这也被称为“收入平滑化”。

　　警惕糟糕的基线

 　　你也许已经“继承”或习惯于一些糟糕的数据，以至于它们在你眼里并不那么与众不同。

 　　有那么一家公司，它的工资结算员通过捏造一两个“虚幻的员工”放到工资账簿上来偷窃雇主的钱，而且一干就超过了15年。你想想这是什么情形？这个工资结算员拥有中饱私囊的技巧，而且可能永远不会被抓住，倘若不是在短时间内把虚幻员工的工资提高到三倍的话。这次劳动成本的突然跃升，引起了公司的注意，并导致了随后的调查。如果此人维持偷盗的正常水平，就永远不会被发现，因为公司已经认定其劳动成本“正常”，因为它的数目是稳定的。

　　采取零容忍政策

 　　零容忍计划的口号往往既深刻又富有戏剧性：我们将不会容忍一切不当行为，违者将受到严厉制裁。这听起来不错，也是广泛接受的立场，如果你愿意支持它的话。但是，这些计划存在一个主要问题——无一例外都是强制执行，且需要更多支持资源——这可能就是痛苦之源

 　　一致性问题常常是不当解雇的讨论话题。人们往往倾向于把制裁和员工的本质及他的历史表现挂起钩来。因此，如果一个工龄长且被认为是“好人”的员工违规，那么他受到的处罚，可能比一个工龄短并且不受欢迎的员工更轻。

 　　这个例子的寓意是：如果你准备好实施零容忍政策，不允许任何“法外施恩”的情况存在，并且愿意投入资源去全面调查有没有人违反这个政策，那么它就是一个好东西。否则，就会产生意想不到的风险，因为员工并不确定你真正的意思是什么，以及你对你所发布的信息有多当真。

　　了解你的系统

　　工资和支出是公司资金流出的管道，因此也是各种各样的问题出没之处。

　　我有一个客户是使用机器来提供工资服务的。因此，每逢发工资，公司就有一个会计文员把员工名单和相应的工资数据输入到这个机器里，其他的事情就不用管了。但是有一天，上海画册设计这个文员注意到这个系统有一个异乎寻常的特性：它会把人名字段中的标点符号当作人名看待。因此，一个句号就是一个人名。没过多久，该文员就找到方法在每次付薪期间为自己多开工资支票。

 　　我遇到的另一个工资系统是一个支票现货支付系统。它不仅接受人名和相关数据作为开出支票的依据，而且从公司的支票存货中开出支票（支票存货应该得到贴身保护，但实际上不是）。该系统有一个特性，即它每次打印一系列支票，都会在开始和结束时打印一张空白支票，和公司支票完全一样。没过多久，有些人就使用这些空白支票去中饱私囊。

　　要命的是，经理们对各种计算机系统古怪之处的了解，比不上天天使用这些系统的人。这正是风险所在。

　　审视基本原则

 　　我很少看到复杂而又奇异的风险问题。通常来说，风险问题归根结底都是一些基本原则问题。其中最常见的两个问题是：没能分清责任以及内部审计不足。

 　　“分清责任”的原则，特别是涉及金钱的时候，经常被违背。比如大家共享密码，开支票的人也负责制作银行往来调节表，销售人员录入他们自己的订单数据，做采购的人同时又负责收货等等。违背这项原则可能是导致欺诈风险的最常见原因。而且，之所以会发生这种事情，是因为人们太忙或者懒惰，还有就是公司企图节省人事成本。不论原因是什么，它带来的风险可不小。

 　　内部审计是直接监督背后的第二道防线，但往往非常脆弱。内部审计人员通常都工作过度，晋升机会也少得可怜。有时，工作还会把他们置于与同事对立的局面。虽然公司通常都会有一个年度审计计划，不过这样的计划几乎不允许他们把时间花在对潜在问题的深度探索上。并且，他们从IT或管理信息系统得到的分析支持微乎其微，也没有得到多少侦测欺诈或其他形式的风险的培训。此外，很多公司把内部审计作为管理人才发展的项目，导致很少有人在在内部审计的岗位上呆足够长的时间，从而获得大量实战经验。

 　　多年以来，笔者一直作为培训团队的一员，向内外部审计人员提供指导。我总是努力强调一件事：你不必“击败”审计，你所需要做的一切，就是比审计“活”得更长久。审计计划，不论是内部的还是外部的，都比较复杂且耗费时间。人们总是期望审计人员在一定时间内审计完一定领域里的一定工作。中断是不受欢迎的。但这并不意味着审计师要忽视一些异乎寻常的东西，相反，他可能被迫针对一些陈旧、紊乱、不完整的数据等等来展开工作。审计师会记录下这些细节，下次会对之进行重新推敲，但是下一次可能是一年或更长时间之后。

　　原文经许可，摘自 Joseph W. Koletar所著的 Rethinking Risk: How Companies Sabotage Themselves and What They Must Do Differently一书，作者 2011年登记版权。该书由位于纽约的美国国际管理协会（American Management Association, International）旗下机构 AMACOM出版。宇文明译。

　　联系位于新加坡的 McGraw-Hill教育（亚洲）公司，可以获得该书英文版。

　　作者 Joseph W. Koletar曾任安永（ Ernst & Young LLP）和德勤（ Deloitte & Touche LLP）公司欺诈与调查业务部门的执行董事、负责人和总监。

　　本中文版由世界经理人（www.ceconline.com）组织翻译并编辑。