Friday, September 23, 2011

企業需要詐騙風險管理 (作者: 李家輝)



世界在變,但最少有一件事沒有變,便是相似的詐騙手法重覆再現。本月中,歐洲最大投資銀行瑞銀(UBS)爆出倫敦交易員阿多博利(Kweku Adoboli)涉嫌違規交易,令瑞銀損失了約20億美元(約156億港元)。大家是否似曾相識?這正正便是霸菱及法興事件的翻版。


1995年,英國霸菱銀行的新加坡辦事處交易員利森(Nick Leeson),分別在新加坡及東京的股市交易所作出大量日本日經指數的期權及期指的沽空合約交易,結果時不利兮,日本發生神戶大地震引發的股市動盪,令霸菱最終輸掉了14億美元(約109億港元)。


2008年,法國興業銀行交易員凱爾維埃(Jerome Kerviel)所進行的非法交易,便令法興損失49億歐羅(約560億港元)。


提升風險管理程序


相似手法重現江湖,並為社會及經濟帶來相當嚴重的損失。十六年前的事便如發一場夢,今天夢境再來,又是似曾相識。大膽說句,十六年來在防範詐騙方面好像沒有什麼進步!那我們應該如何應對?


一般企業所採用的風險管理程序,都是從分辨風險因素開始,然後根據其性質、嚴重程度/後果及發生的可能性,評估該風險存在的量度,再設置及實行相應的內部控制(內控),以降低風險。當然對該內控的監控及其效果之評估,亦是包含在風險管理程序中。


但這類風險管理程序多是從經營角度看,不一定能分辨詐騙風險。皆因詐騙風險的特性較為不同,而且詐騙者有心瞞騙或有計劃進行詐騙,便更難發現。


根據美國特許詐騙審查師學會(ACFE)2010年的環球詐騙調查指出,一般詐騙計劃可運作中位數十八個月才被發現,而財務報表詐騙更可運作長達中位數二十七個月才被發現。


所以,要管理詐騙風險,必先要做到「知彼知己」。即先認識詐騙,然後再鞏固自身的防禦系統,才可減低詐騙發生的可能性。


詐騙的形成,通常都是因為詐騙風險的存在,而這些風險都是由一定的風險因素所引起,詐騙風險因素一共分為三種:利益/壓力、機會,以及態度/理性化,它們在詐騙科目裏稱為「詐騙三角」。


最常見的因素是由於利益或壓力所造成,例如工資跟盈利掛鈎,員工或管理層可能因此刻意調整盈利以讓自己收入增加;又例如上市公司,倘若業績不理想時,為求達到目標或向股東交待,管理層也可能刻意調整盈利。


要詐騙成功,必不可少的是「機會」,例如不如理想效果的內控系統及管理層的監管漏洞,往往令詐騙者得逞。沒有恰當的分工便是一個好例子。在霸菱案中的利森,同時掌管後勤及前線服務,內部監管非常鬆散,於是虛假賬目及陳述,以及一些被視為垃圾的資料便能成功向倫敦總行取得巨額資金,以掩飾其違規所帶來的投資損失,直至不可救藥的地步為止。


至於態度及理性化,便是詐騙者的心魔讓犯案變得理所當然。像一些員工因為公司刻薄,最後從公司拿取他們認為是應得的,又或覺得詐騙是充滿挑戰性的,以及「我不做,其他人也會做」的心態,而理性化了事件。相信犯罪心理學能更清晰解構罪犯的心態。


若能知曉這「詐騙三角」及一般詐騙者的手法,對於發現詐騙有莫大的幫助。所以針對性的培訓是必須的,這便能提升管理層及員工對詐騙的警覺性。


實施反詐騙內控程序


今時今日,單靠一般內控環境及系統是不足以完全防範詐騙。所以企業需要有策略性及有效的反詐騙內控程序。


根據ACFE的調查,大部分發現詐騙都是來自告密。要有效防範及偵查詐騙,一個詐騙通報機制是必須的,例如保密及匿名的熱線,並鼓勵員工告發有懷疑的活動。現實結果是詐騙通報機制能大大減低詐騙所帶來的中位數損失。


除此之外,員工支持計劃、突擊審計及員工詐騙培訓,更加能夠將詐騙所帶來的中位數損失減少超過50%。所以,企業若能實施以上反詐騙內控程序,對防範及偵查詐騙有莫大的幫助,而每每內部審計亦在其中擔當重要的角色。


有趣的是,根據ACFE的調查所得,最普遍的財務審計與減低詐騙所帶來的中位數損失關係最小。可是,企業似乎太過倚賴財務審計去偵查詐騙。無容置疑,財務審計對偵查詐騙有一定的作用,而且在審計準則上亦有關注到詐騙方面,但由於審計程序不是專用來針對詐騙,所以企業亦不應單靠此作為詐騙偵查的唯一方法。


實施反詐騙內控程序,是當今防範及偵查詐騙較為有效的方法。除此之外,定期以清單型式檢查企業詐騙防範措施的有效性,亦不失為防範於未然的好方法。

No comments: