| 作者：Kevin Lai

| 来源：Kevin诚信舞弊合规连线

关于作者

Kevin Lai曾经在欧美500强公司担任过十几年的总法律顾问/法务总监/法律顾问，负责法务、合规、反舞弊事宜。Kevin Lai现专注于帮大公司解决内部舞弊欺诈问题。性格上爱折腾，乐分享，喜交友，心坦诚。

 王宝强的苦楚 

大多数的公司CEO和法务合规内审内控官们都曾经或多或少的曾经处理过员工涉嫌舞弊的案件：涉及报销、市场促销费用、经销商、供应商、不当竞争、偷窃商业秘密等五花八门的案件。涉案员工的作案手法从傻呆笨到高大上全有，创新能力让人叹为观止。

只能说，不是公司太笨，只是国人太聪明。

在舞弊者面前，公司跟可怜的王宝强差不多：相信培养员工却遭背叛，明知道有integrity问题却还被法院判非法解雇，赔钱不说，有时被判恢复原职，遭受经济和精神的双重羞辱；最后的救命稻草公安那里却吃闭门羹，就算鳞毛凤角，公安抓了人关进监狱，可是又怎么样，舞弊案件还是层出不穷，没有尽头。

我关系非常好无话不说的一个老外老板曾经问我，“Kevin,我没有恶意，我很喜欢中国，很喜欢中国美食，喜欢中国朋友。但是是不是中国人没有诚信？我们国家虽然也发舞弊案件，包括高级政客，但是我没有发现像中国这样多、密、不分底线、不分层级；而且最终舞弊者还得意洋洋，获益狂多”。

因此，我这几年在思考，到底问题的根源在哪里，有解决之道吗？如有，解决之道在哪里？如没，国人难道就是“无诚信”三字贴满额头？在国外旅行时，这种感觉特别强烈。

舞弊定量公式

我的这个定量公式不是我个人完全自己造出来的，当然考虑了前辈们的研究结果，具体上有很多异同，这里不展开。

和舞弊有关的经典理论有舞弊动因理论：冰山理论、会计舞弊三角论、GONE理论、会计舞弊因子理论等。做内审内控的同事应该会很清楚，法务合规的同事们则可百度一下就可以自己了解。没时间看我的论述也可以，但需要有些耐心。

舞弊首先需要的是机会，可以利用并实现的漏洞。这不言自明。

这里情况很多，管理不善(control weakness)，职责不分(segregation of duties)，违背职责监守自盗，相互勾结等。

大家在工作中有无数经验学识可以分享。我只是捡几个重要的点俯瞰视角说说。

 控制系统的起点 

相信内审内控法务合规官们做了很多很熟悉的就是设立并检查流程、制度、政策、SOP（标准实践）、建立系统等，这些“系统、工具”除了其正常业务目的，如安排生产销售记录财务做账外，通常起了公司管理的“控制系统”的作用。

不要狭义的理解“控制系统”：“控制系统”可以是IT系统（SAP, Oracle 等），也可以不是IT系统，比如公司发布的审批流程、授权规定等，可以是成文的，也可以是不成文的，可以是正式的，也可以不是正式的，比如日常工作的分配、实践和习惯做法。甚至公司的“组织结构”，“报表”，“汇报关系”“部门分工”本身也是“控制系统”的一部分，法务合规内审内控官们的工作也就是属于这类。

最小的公司，比如只有一个老板的小餐饮店，老板身兼采购、销售、生产、售后服务、财务（出纳会计一肩挑）等所有功能，这是不需要“控制系统”的，虽然可能也有收银机，老板娘可以回去查账。

如果把小餐饮店扩大，开始招了伙计，这时不需要正式成文的“控制系统”，可能伙计负责炒菜上菜洗碗，老板负责收钱采购，但是这时候已经有了最简单的“控制系统”，这就是不严密的职责分工：老板负责钱和采购，伙计负责服务。或者找自己亲戚来做采购，老婆做财务，这样也形成了另外一个“控制系统”。

大家可以把这个模型慢慢扩展下去，如果小餐饮店变成了餐饮集团，这时候就需要更多的人，服务更多的客户，更多的区域，更多的业务类型等，除了内部的问题外，外部的问题（供应商、客户、政府等stakeholders）也复杂起来。除了战略、业务模式和执行外，关于人财物的“控制系统”也复杂起来。

跨国公司今天如此复杂的业务和“控制系统”实际也就是因为全球化业务才复杂起来的，看回去几百年前跟也跟一个人的“小餐饮店”差不多。

原始的起点并没有这么复杂。

这套庞大的科层结构系统帮助跨国公司在全球扩展，相当有效。但是，大家不要想当然地认为这套系统就是最好的，特别是从一直在很大的外资工作但是转到了民企和国企的同事，很容易立刻有冲动把在大外企的做法引进民企国企去，或者把一个大外企的做法引进到一个小外企。

很多法务合规内审内控官们刚从外资到民营，总是会水土不服，主要惊诧于民营管理的简陋，因此，总是不由自主的就想把过去的“先进控制和管理系统、经验”引进民企国企，有些很有必要，很多根本就是扯淡。

大家还是需要挑战一下自己的知识结构，做之前想想这是必须的吗？适合吗？过去的想法有没有错误等等？现在大的民企国企，可以发展到今天的规模和成就，可以付的起大家比较高的工钱，总是有某些成功的因素。深刻的理解这些成功的因素，然后做更多的事情去实实在在帮助公司取得更大的成功。这样，或许可以真的得到老板和同事的支持和欣赏。当然，继续享受外企的“幸福”生活未尝不可。

作为打工仔，我们是职业经理人，当然需要去证明自己的价值，但是不假思索，马腿套驴嘴，这不是个好的做法。凡事还是需要多想想为什么，三思而后行。

 控制系统很重要 

流程、制度、政策、SOP、规定、通知、流程改善、精益、系统等各种工具都是为了更加精细化的管理，对减少舞弊机会提高业绩还是有好处的。很多内审内控的同事主要都是从process audit/ process control 的角度来看是否有controlweakness，法务合规官们则花无数时间在事前审批“避免风险”。

这非常重要，没有漏洞就没有舞弊机会。也确实帮公司避免或者减少了风险。

但任何管理“控制系统”

都不可能是完美的

1.公司的第一要务是做生意，不是“控制系统”。控制过多的生意通常起不来，因为没有风险就没有利润。

2.“控制系统”太强的公司通常“控制点”就成为公司运营的堵塞点。

3.任何看起来“完美”的系统都会被破解，特别是国内。国人太聪明，太会钻漏洞，我见过国人钻漏洞的方法千奇百怪，百花齐放，创新精神、手法、行动能力绝对超一流，钻漏洞的方法从简单粗暴到高科技创新全有，实用性极强，成本很低。有心舞弊的，只要挖空心思盯准“完美”系统的一点，总还是有机会的，而防御的人（如内审内控法务合规官们）设计系统要考虑全局，难免会有疏漏，想破系统的人只要定准一点就可以了，因此，通常系统比较高级的，舞弊人员的作案手法也会比较高级，“道高一寸，魔高一尺”。

4.任何的“控制系统”的设计很重要的前提和基石是职责分离（segregation of duties），因此，最简单的破解方法就是相互勾结，一勾结，系统的控制也就名存实亡。因此，大家会观察到很多的窝案高发。

5.所有的“控制系统”从纸面到每个员工的行为之间有很大的距离。做法务合规内审内控的这些专业人士包括我以前经常就是把规定流程统一邮件发到所有人，最多就再做做培训，然后就结束了。这种做法有很多危害。

但这种纸面做法很有市场

1. 方便做规定的人也方便将来推卸责任。你看规定我已经做了，别人不执行那是他们的错。

2.没人手，预算不足。除了少数豪门公司外，大部分同事都是这种状态。

3. 没经验、没时间、少麻烦：做一线的违规审计调查取证处理具体的违规案件是个很耗时间很烦很累的活。在办公室里做做事前审批虽然加班很多事情很烦，但是总比事后出事处理起来简单。

而且，因为矩阵管理以及职业经理人心态等原因，这种纸面做法还是在很多公司普遍存在。

都是同道中人，这很能理解。如果是为了应付监管机关，不一定赞成但理解。如果是为了真诚的管理和关心公司前途的目的，那就要小心了。

因为高标准、低执行的流程制度是毒药，有些就是丹顶红。

1.过高的标准在实践中完全无法执行，或者搞无数的例外，然后审批的人天天在忙着批这些例外，或者反正大家都不把规定当回事，所以也不把审批的人当回事。

2.“逼良为娼”，欺负“乖孩子”。乖孩子可能还会尊重一下规矩和法务合规内审的人，所以乖乖的来走流程审批等等，但是他就suffer了。反而那些不守规矩的人没事，反正没人查，就算查到了也不能怎么样，因为有一万个理由来说明这个“高标准”的不合理和为什么不执行的合理性。或者等哪天查出来后，老早到另外一家公司打工了。

3.桌面上一片祥和，但把违规的行为全部逼到桌子底下了。这是另外一种“欺骗真理的舞弊”。

很多人会说，我也没办法，总部规定法律规定避免风险之类的。

不会没办法，办法是人想出来的。

我的建议很简单

改变过去的思维定式，重新制定规则

1.降低“流程、控制和事先审批”这类“控制系统”的标准：把各种法律、控制、流程等限制分为“红线”“黄线”“绿线”，并公开和管理团队讨论决定。红线不能踩，绿线不要找我，黄线中都是有风险的，可以做，但是会有代价，我可以帮忙想办法是否可以把黄线的事情变为绿线但是可以达到同一业务目的，弄了好半天，没办法就是没办法，中国政府的规定很多是为了当官的乌纱帽制定的。宁愿低标准但认真执行，也不要高标准但没有人睬。这个过程会很痛苦，需要智慧和勇气。

2.不要担心红线的标准划的太低，有少数人踩了天也不会塌下来，反而标准太高了谁都不遵守天才会塌下来。

首先，你自己的天塌了，因为谁都不把你当回事，你是其他所有人的对立面，这份工就白打了，一点position power都没，将来加薪升职好处都没你的份；第二，出点问题所有人才会真正重视，这是最好的教训，你的工作才会顺水平川。

另外，公司的天塌了。因为公司里的人眼睛开始都转向内部，大量的时间精力都是在解决内部冲突，内部自己搞自己，慢慢地就忘了外部竞争是怎么回事，客户是怎么回事，家大业大还能多折腾几年，可是现在时代不同了，说不定明天就轰然倒下。

最最重要的是过于“完美”的控制系统，会压制人的ownership（责任感）和敬业度。

没有人会愿意在一个控制气氛浓烈的公司工作，就算为了生存所迫（大家都有老婆儿子家庭要养）先工作了，敬业度也会是大问题，而人的ownership和敬业度才是所有生意的基石。

举个简单的例子，在一个审批流程很繁琐的公司里，做个事情都要协调无数人，要得到无数人的审批同意，很多人多碰几次壁就会想算了，能不办就不办，能少办就少半，反正办成了也没有多大功劳，或者就算有功劳，被其他部门投诉，贡献不成反而惹了一身骚，何必呢。

很多人无所事事的公司里，最容易找点事来做的就是看看有没有可以捞点钱，让自己的腰包鼓鼓，毕竟再苦不能苦腰包，再和别人过不去也不能和钱过不去。现在的国内，除了王健林先生，“可以经常做点5个亿的小投资”，谁会嫌自己的钱太多呢，而且负面情绪是很容易传染相互看样的。

本来是为了提高和改善控制，减少舞弊犯错机会的控制系统，最后反而提高了舞弊者的利益（动机），相互看样，降低了突破“道德底线”的难度。

没有人会是天生坏人就只是想舞弊的，想舞弊的人突破自己道德底线是有相当难度的需要时间的（所以新员工马上舞弊的很少），因此，减少定量公式中“机会”的措施，有可能是造成定量公式中“利益（动机），“榜样”，“道德”这三个因素问题大幅度攀升的罪魁祸首，如果随着时间的推移，这些负面被固化，形成这个公司的“习惯”，那就基本意味着这个公司完了（大家应该都很理解改变“习惯”的困难和难度），最终垮掉只是时间和运气问题。

“控制系统”设立改善的“致命陷阱”

外资企业特别是大的公司，因为总部统一管理的原因，加上家大业大有钱，是很愿意从业务需要的角度论证各种控制系统的引进改良的必要，以及付大价钱请各种高大上的consultants孜孜不倦地投资建立各种各样的“控制系统”。相信大家工作中会参加无数这类的会议。

这些“控制系统”刚开始很多是蛮有成效的（否则投资决策很难通过），但可能是业务变化、管理层变化的原因，也可能是舞弊的原因，慢慢的也变得千疮百孔，支离破碎，然后投资修补建立改善更多的系统，然后开始蛮有成效，然后继续慢慢的也变得千疮百孔，支离破碎。

原因很简单，所有的“控制系统”有本身自我路径依赖的倾向，固化现有的做法。有些“控制系统”更改很容易，有些就很难。

如果大家在一个管理措施及其完善，看起来都很完美的公司工作不要沾沾自喜，这些公司管理很完善，工作环境很人性化，待遇也很舒服，但是某些公司很可能是处于“死亡陷阱”之中。

举个例子，很多跨国公司矩阵管理（垂直汇报、双重汇报）是最重要的的“控制系统”的一部分。

这个矩阵管理当然对做法务合规内审内控的人来讲很舒服，因为法务合规内审内控的人经常是说一不二的，业务的同事也起码要对法务合规内审内控的人恭恭敬敬。但是如果跳出法务合规内审内控的位置，从第三方俯瞰的角度，很多这类的公司实际上是“碎片化”管理，在管理上已经是属于接近“死亡线”。

为什么我说有些公司是“碎片化”管理，处于“死亡线”呢？

举个例子，我见过有个在中国每年数百亿美元销售额的跨国大公司，全球和中国业务非常非常大，但中国区的CEO只是个超级销售总监而已，从汇报线上看，财务人事法务合规质量控制这类功能一般都是垂直汇报的不说，研发功能一般放国外，放国内的话也一般是垂直报告，订单中心客服生产采购物流这些功能也是每个都垂直汇报的，甚至和销售直接相关的经销商管理，marketing也是垂直汇报的，因此，中国区CEO从权力上只管了销售队伍（一线的销售人员，然后主管，经理，总监等等），在多数跨国公司中，汇报线就决定了谁是你的老板，谁决定你的工资、绩效、奖金、晋升、培训、职业前景等。因此，虽然其他部门还是会很尊重中国区CEO，因为毕竟是大老板，但在日常工作中，如事情的轻重缓急，做完事情的评价并不掌握在CEO手里，CEO只能运用自己的影响力去影响其他汇报线的peer，其他汇报线也有自己5000km外总部的老板，他们的agenda和观点可能和CEO并不同，因此，CEO在事情上需要协调冲突管理不同关系的能力就需要非常非常强，弱一点，这个公司基本就是群龙无首，大家都混日子。在CEO这个层级都这样，下面到中层和底层的就更不用说了，做成个事情要“跑断腿，说破嘴”，最终也慢慢变成混日子，当然，有的团队的老板能力强一些，做事的就多一些，能力弱一些的，那个团队的老板自己也在混日子。上行下效，最后就蔚蓝成风了。

就算是中国CEO掌握实权的，也要看这个CEO的能力用心（很多来个2-3年就要离开了，因此，短期业绩是最重要的）。

麻烦的是，当公司业务不行的时候，很多公司的第一反应是加强内部沟通，“控制系统”有问题，所以加强沟通，加强控制，优化流程系统等一系列关注内部事情的动作就出来，然后淡忘了外部客户的需求和竞争环境，就算有些人想改变，但是要推动这么大的系统改变也很难。

同理，中国业务越不好的公司，就越容易产生国外总部以及中国总部加强“控制系统”，越容易形成“碎片化”管理的公司，然后路径自我加强。这简直是跨国公司的标准动作。

这种公司因为在历史积累，进入门槛，品牌市场产品等有先发优势，竞争对手还在成长中，没有起来，所以今天仍然很舒服，但是随着时间的推移，强大的竞争对手起来后，如果再加上外部环境转变运气不好，这类公司垮掉的速度比谁多快。

再额外拓展开，多聊一会儿，我听到很多关于这类死亡案件后，听到的很多关于营商环境差，竞争对手太下流过份我们有节操之类，这确实可能是原因之一。

但是，一个公司的死亡就像人的死亡一样，除了天灾等外来事故外，死亡的原因主要就是内部，而内部的舞弊就是其中一大原因。

以前利润好，the profit covers the shit。

但是等到竞争激烈，业务不景气，公司下滑，人人都想在船沉之前捞一把，墙倒众人推，再好的公司也淌不住，离死亡也就一步之遥。不信大家查查，最近几年有多少的跨国公司在中国的业务垮掉。Nokia，百事可乐，KFC，GE lighting等被卖掉的故事如果抛开一些纯粹业务的事情，大概都是这类路数。

总结一下

首先，非常明白大家都不容易。分享的那么多，能帮助多少，也就只能看看大家各自所处的位置、老板、公司、行业等等，自己领悟自己看自己掌握尺度，且行且珍惜。同行多分享交流多抱团取暖。

其次，法务合规内审内控的同事们在看舞弊问题的时候，要综合的去看，要小心控制自己的“流程控制风险”冲动，这是药，但不是万能药，吃多了同一种药，副作用很大，我自己个人观点，大公司要吃的是泻药，小公司可以根据情况看，做些补药。

最后，法务合规内审内控官们需要走出自己的舒适区，走出唯“流程控制风险”论，走出法务合规内审内控区看更多的业务，走出外企看看民企国企创业，看看更广阔的领域和天地。毕竟，提高自己的综合实力水平，选择掌握在自己手里，在哪里都可以吃的香。这个世界没有完美的东西，每个选择都必然带着代价，需要自己去衡量。