舞弊對差錯:同一個數字,兩副心腸
貫穿本級台階,你只問了一個問題:這些數字可信嗎?你認識了內部控制與COSO框架、外部審計、重大性,以及查核意見。這一整套機器之所以存在,正是為了抵禦兩種落在紙面上可能一模一樣、骨子裡卻截然不同的威脅。其一是差錯——一個誠實的、無意的失誤。有人把一張 5,000 的發票手滑錄成了 50,000、套用了去年的稅率,或是把兩位數字顛倒了。其二是舞弊——一樁「蓄意」的欺騙,明知故犯,為利而為。要害的分別,不在那個錯誤數字本身,而在它背後那顆心。意圖,正是把一個疲憊的記帳員與一個竊賊區分開來的東西。
審計師與會計師把舞弊分成兩大類。其一是資產侵佔——赤裸裸的盜竊。員工從收銀機裡揩油、付錢給一個其實是自己表親的假供應商,或是虛報報銷單。這類舞弊相對公司而言通常金額不大,且傷害的是公司本身。第二類對外部人士的危害則大得多:財務報告舞弊,即管理層蓄意虛報財務報表,讓生意顯得比實情更健康。在這裡,公司不是受害者,而是兇器——那個謊言,是衝著投資者、放貸人與公眾去的。資產盜竊掏的是公司的腰包;財務報表舞弊,掏的是你的。
舞弊三角:壓力、機會、合理化
為什麼循規蹈矩、原本守法的普通人,會去舞弊?犯罪學家唐納德·克雷西給出的答案如此經久不衰,如今已是每一本審計教科書的標配:[[fraud-triangle|舞弊三角]]。它說,舞弊往往需要三樣東西同時具備,像三條邊合攏成一個形狀。第一條邊是壓力(有時稱作誘因或動機)——一樁當事人覺得無法啟齒、也無法以誠實方式解決的難題:壓頂的個人債務、賭癮、病親的帳單,或者對一位高管而言,那要命中盈利目標、撐住股價、掙得獎金的無休止壓力。壓力,是「為什麼」:那啃噬人心的、被感知到的需求。
第二條邊是機會——一條既能下手、又不會被逮住的路。這是組織真正能夠控制的一條邊。哪裡的內部控制孱弱,哪裡的機會就滋長:當一個人既開支票又核對銀行帳戶,當無人複核會計分錄,當一位高級經理可以隨心所欲地凌駕於制度之上。這恰恰是本級台階前文那些控制存在的緣由。職責分離改變不了任何人的壓力或良心——它只是堵上那個缺口,使得要得逞一樁舞弊,得有兩個人合謀,而非一個人單獨行事。機會,是「怎麼做」。
第三條邊最具人性:合理化——當事人講給自己聽的那個故事,好讓這樁行為顯得可以接受,而非犯罪。「我只是借一下;下個月就放回去。」「公司給我的錢本來就少——我不過是拿走我應得的。」「這行裡人人都在粉飾數字;我們只是把一時的下滑抹平罷了。」幾乎沒有人把自己當作騙子,於是心靈便從誠實的自我形象,向不誠實的行為,架起一座橋。合理化,是「良心親手寫下的那張許可條」。當三條邊都合攏——一份真切的壓力、一個實在的缺口,以及一個能讓良心安靜下來的故事——普通人便有了行非凡之惡的能力。
FRAUD
/ \
PRESSURE OPPORTUNITY
(the felt need) (the weak control)
\ /
RATIONALIZATION
(the story that excuses it)
Controls attack OPPORTUNITY -- the one side an organization
can engineer away. Pressure and rationalization live inside
the person, where ethics, tone, and culture do the real work.帳是怎麼做假的:那些經典的財務報表舞弊
財務報表舞弊幾乎總有一個目的:讓利潤與淨值顯得比實情更大。根本性的手法只有寥寥數招,而每一招誠實的那一面,你在前面的台階裡早已懂得——舞弊,不過是把同樣這些槓桿不誠實地拉動罷了。迄今為止最常見的一招,是收入虛增:記錄根本沒發生的銷售,或是把真實的銷售記得太早。回想收入那級台階:收入認列要求一項真實的履約義務得到履行——貨已發出、服務已交付。舞弊打破了這條規則。一家公司在十二月就給一批要到二月才發的貨記了一筆銷售,或者乾脆憑空捏造一個客戶,又或者發出客戶從未訂購的貨、下一季度再悄悄退回。每一筆假銷售,都同時抬高收入與利潤,而謊言層層累積。
與之鏡像的一招,是負債與費用低估:把公司欠下的東西藏起來,讓債務與費用都顯得更小、利潤顯得更大。一家公司也許乾脆不記錄它已經收到的帳單、把尋常費用資本化為彷彿長期資產(這正是世通醜聞的核心,日常成本被擱到資產負債表上,而非衝擊損益表),或是悄悄略去一筆已知的義務。充分披露原則要求真實的義務——包括諸如一樁未決訴訟這樣的或有負債——都須報告出來。舞弊把它們藏進陰影。高估資產,不過是同一個謊言從另一頭講:聲稱已經腐爛的存貨依然完好,或拒絕把永遠收不回的應收帳款沖減,好讓壞帳準備蓄意地過小。
請留意貫穿這一切的一縷暗線:其中每一招,都是對一條你早已認識為「誠實」默認值的原則的違反。穩健原則說,存疑之時,不可高估收益或資產——舞弊恰好反其道而行,把每一處判斷都朝著更美好的圖景傾斜。單單一處激進的估計,是一次判斷的取捨;可一連串估計都朝同一個樂觀方向彎折,年復一年,那便是舞弊的指紋。這正是為何分析師盯的是管理層選擇的「方向」與「一致性」,而非僅僅某一個數字。一處樂觀的估計,也許是誠實的。一連十處樂觀的估計,每一處都美化利潤,便是一份用會計寫就的供狀。
查核能查出什麼——又查不出什麼
這裡有個值得直截了當地糾正的誤解:外部審計「並非」保證報表毫無舞弊,它也從不如此宣稱。查核給出的只是合理保證,而非絕對保證——保證報表不存在「重大」錯報,無論錯報源於差錯還是舞弊。兩處誠實的局限造成了這道縫隙。其一,重大性:查核人員有意不去追查細小的金額,所以一樁被壓在重大性門檻之下的舞弊,按設計就可能溜過去。其二,查核人員以「抽樣」方式查證——他們無法把數以百萬計的交易逐筆重查一遍,於是抽取一部分、據以推斷。因此,一份無保留的查核意見說的是「這些數字在所有重大方面均允當表達」,而非「我們已親自核對每一筆分錄,並證明此處絕無舞弊」。
舞弊之所以比差錯更難查出,還有一層更深的緣由,它觸及二者的本性。差錯是被動的——它就坐在那裡等人發現,一份審慎的抽樣很可能撞見它。舞弊則是「主動而隱蔽」的:舞弊者預料到查核,偽造佐證文件、教唆員工如何應答,並把整個手腳恰恰藏在查核人員最不可能去看的地方。最糟的是串通舞弊——兩人或多人合謀——因為它擊潰了職責分離,而那項控制本就假定他們會彼此牽制。還有管理層凌駕,即高層領導徑直下令更改帳目、或入下屬無人敢質疑的分錄,它幾乎能刺穿任何控制,因為操控這些控制的人,正是行舞弊之人。
誰來負責——以及撐起這一切的職業道德
有一處責任的劃分,被誤解得如此頻繁,值得明明白白地講出來。防範與查出舞弊是管理層的職責,而非查核人員的。管理層經營公司;管理層設計並運行內部控制;管理層編製報表並在上面簽字。查核人員的工作,則是那個更窄的、獨立的角色——對那些報表是否允當表達形成一項意見。查核人員是查驗者,而非掌勺人——他嚐一口這道菜、加以評判,但菜不是他做的,管理層往鍋裡放了什麼,也不由他負責。這正是為何同一家事務所不能既替客戶記帳、又查核它:一個審查自己工作的查核人員,會喪失那份令其意見具有價值的獨立性。
當控制失靈、懷疑動搖,最後一道防線,是最簡單也最古老的:[[accounting-ethics|職業道德]]。每一位會計師都在一部準則之下行事——在美國,對一位註冊會計師而言,那是美國註冊會計師協會職業行為守則,世界各地另有各自的姊妹準則——建立在正直、客觀、獨立、應有的審慎與保密這樣的支柱之上。這些並非裝飾。整座經查核的財務報告大廈,全賴公眾能夠信任:會計師服務的是公眾利益,而不僅僅是那個付了費的客戶。一項控制可以被凌駕,一次抽樣可以錯過舞弊,可一個僅僅拒絕在一份虛假報表上簽字的人,便能將謊言當場攔下——這恰恰就是為何舞弊往往始於向那個人施加的、要他屈從的壓力。
有時,壓力在一個組織內部勝出,真相得見天日的唯一途徑,便是舉報——一名內部人士,揭發他所目睹的不當行為。揭穿安然與世通的,正是內部舉報人,而非外部查核人員,這一教訓重塑了法律。你在本級台階前文認識的薩班斯-奧克斯利法案,不僅強制經理人對其控制作出認證;它還為舉報舞弊的員工提供了法律保護,好讓做對的事,不必讓一個人賠上他的職業生涯。舉報,是炮火之下的職業道德——當公眾的信任與個人的忠誠或安逸終於相撞時,選擇前者。
- 把行為與意圖分開:一個錯誤數字,若是誠實且無意的便是差錯,若是蓄意且為利的便是舞弊。
- 尋找舞弊三角的三條邊——壓力、機會、合理化——並記住控制只能縮小機會這一條。
- 盯住估計的方向:一處樂觀的判斷也許是誠實的,可一種始終美化利潤的一致傾斜,便是一個警訊。
- 記住這一劃分:管理層防範並查出舞弊;查核人員只是以合理而非絕對的保證,對報表發表意見。