这是怎么发生的?数十万甚至数百万美元失踪。一名长期受信任的员工会受到指控。没有人知道吗?没有人怀疑吗?这每天都在发生。全国大小企业、市政当局和非赢利组织都从内部受到欺诈活动的侵害。对财务和声誉的影响可能是毁灭性的,可能需要数年时间才能克服。在大多数案件中,行为人没有办法进行赔偿,受害者也无法完全恢复他们的损失。
欺诈一般被定义为“旨在获得经济或个人利益的错误或犯罪欺骗”。根据美国注册欺诈审核员协会(Association of Certified Fraud Examiners)发布的2012年《职业欺诈和滥用国家报告》(the Nations on Occupational Fraud and Abuse),据估计,企业每年因欺诈活动损失5%的收入,而欺诈计划在被发现之前的平均持续时间为18个月。该报告指出,典型的诈骗犯是年龄在31至45岁之间的男性(占报告案例的54%),在该组织工作了1至10年。损失往往会随着诈骗者的工作年限而增加。
欺诈预防从顶部的基调开始。管理层应制定和支持一个文化,在整个组织的各级都清楚,欺诈不会被宽容和怀疑,并将迅速和果断地调查和处理欺诈行为。书面,记录的反欺诈计划的发展是在顶部建立正色调的关键。该文件应包括政策和程序,其中管理层在最小化欺诈风险方面提出了其预期。沟通线应通过组织图表定义,并向各级人员传达,为员工提供明确的路径,以报告涉嫌欺诈。
还应实施行为准则,阐明预期的行为,并要求遵守既定的规则和程序。应要求员工每年以书面形式证明其对行为准则的理解和遵守情况。此外,应定期举办反欺诈培训项目,教育员工有关欺诈的问题,并加强组织的政策和程序。
应定期通过被称为欺诈风险评估的正式程序评估一个组织暴露于欺诈计划的风险。这种评估可以在内部进行;然而,使用训练有素的外部专家往往会提供更深入、更独立的分析。
首先,识别固有的欺诈风险。这是通过收集组织特有的欺诈风险信息来实现的,包括考虑所有类型的计划和方案、压力、动机和实施欺诈的机会。然后将确定的舞弊风险与现有的内部控制进行比较,以确定这些控制是否足够。
第二,评估内在欺诈风险的可能性和重要性。这是通过分析历史信息来完成的,包括已知的欺诈计划。它还包括与组织各级员工的面谈,以帮助识别以前未被管理层考虑到的欺诈风险。
第三,根据所识别的固有欺诈风险开发和实施控件。这始于提出对每个已确定的欺诈风险的答复,并应包括对建议控制的执行情况的成本效益分析。反欺诈行为应正式记录,包括所有参与者的角色和责任。应建立持续监控计划以测试对照的持续充分性。
通过预防技术到位,管理层应将注意力转向欺诈检测控制。检测控制可以提供预防控制正在运行的保证,并且可以在发生时识别欺诈。最有效的检测控制之一是实现独立热线。Hotlines通过电话和/或互联网提供24/7机密访问。他们可以向员工,客户,供应商和公众提供,以报告涉嫌欺诈活动。热线的成功是基于理解,呼叫者提供的信息将严格保密,员工不会面临其提供的信息的报酬,包括有关其上级的信息。其他检测控制包括使用数据挖掘和数据分析等技术,以识别可疑事务,员工,供应商或客户之间隐藏的关系以及监控漏洞。
应建立调查议定书,以便检测到欺诈时,可以以有效,有效的预先确定的方式处理。该议定书应包括确定指控的有效性,分类和分析问题和证据以及进行事实调查的过程。它还应明确概述从法律顾问或其他专业人员外面寻求建议的适当时间和必要性。
在一个组织中完全消除所有的欺诈风险是不可能的。欺诈风险的性质因商业类型、地点、行业和地理位置的不同而不同。一般来说,资源较少的小企业特别容易受到欺诈。任何预防和检测控制系统都不能绝对保证不会发生欺诈。欺诈行为是动态的。诈骗犯很有创造力,经常策划新的诈骗计划,并使用新技术来帮助他们犯罪。管理层应努力设计和实施具有成本效益的反欺诈方案,以满足组织的需要,并具有足够的灵活性,以跟上不断变化的欺诈情况。
请联系Rich Finkel,rfinkel@必威电子blumshapiro.com.有任何问题。