舞弊对差错:同一个数字,两副心肠
贯穿本级台阶,你只问了一个问题:这些数字可信吗?你认识了内部控制与COSO框架、外部审计、重要性,以及审计意见。这一整套机器之所以存在,正是为了抵御两种落在纸面上可能一模一样、骨子里却截然不同的威胁。其一是差错——一个诚实的、无意的失误。有人把一张 5,000 的发票手滑录成了 50,000、套用了去年的税率,或是把两位数字颠倒了。其二是舞弊——一桩「蓄意」的欺骗,明知故犯,为利而为。要害的分别,不在那个错误数字本身,而在它背后那颗心。意图,正是把一个疲惫的记账员与一个窃贼区分开来的东西。
审计师与会计师把舞弊分成两大类。其一是资产侵占——赤裸裸的盗窃。员工从收银机里揩油、付钱给一个其实是自己表亲的假供应商,或是虚报报销单。这类舞弊相对公司而言通常金额不大,且伤害的是公司本身。第二类对外部人士的危害则大得多:财务报告舞弊,即管理层蓄意虚报财务报表,让生意显得比实情更健康。在这里,公司不是受害者,而是凶器——那个谎言,是冲着投资者、放贷人与公众去的。资产盗窃掏的是公司的腰包;财务报表舞弊,掏的是你的。
舞弊三角:压力、机会、合理化
为什么循规蹈矩、原本守法的普通人,会去舞弊?犯罪学家唐纳德·克雷西给出的答案如此经久不衰,如今已是每一本审计教科书的标配:[[fraud-triangle|舞弊三角]]。它说,舞弊往往需要三样东西同时具备,像三条边合拢成一个形状。第一条边是压力(有时称作诱因或动机)——一桩当事人觉得无法启齿、也无法以诚实方式解决的难题:压顶的个人债务、赌瘾、病亲的账单,或者对一位高管而言,那要命中盈利目标、撑住股价、挣得奖金的无休止压力。压力,是「为什么」:那啃噬人心的、被感知到的需求。
第二条边是机会——一条既能下手、又不会被逮住的路。这是组织真正能够控制的一条边。哪里的内部控制孱弱,哪里的机会就滋长:当一个人既开支票又核对银行账户,当无人复核会计分录,当一位高级经理可以随心所欲地凌驾于制度之上。这恰恰是本级台阶前文那些控制存在的缘由。职责分离改变不了任何人的压力或良心——它只是堵上那个缺口,使得要得逞一桩舞弊,得有两个人合谋,而非一个人单独行事。机会,是「怎么做」。
第三条边最具人性:合理化——当事人讲给自己听的那个故事,好让这桩行为显得可以接受,而非犯罪。「我只是借一下;下个月就放回去。」「公司给我的钱本来就少——我不过是拿走我应得的。」「这行里人人都在粉饰数字;我们只是把一时的下滑抹平罢了。」几乎没有人把自己当作骗子,于是心灵便从诚实的自我形象,向不诚实的行为,架起一座桥。合理化,是「良心亲手写下的那张许可条」。当三条边都合拢——一份真切的压力、一个实在的缺口,以及一个能让良心安静下来的故事——普通人便有了行非凡之恶的能力。
FRAUD
/ \
PRESSURE OPPORTUNITY
(the felt need) (the weak control)
\ /
RATIONALIZATION
(the story that excuses it)
Controls attack OPPORTUNITY -- the one side an organization
can engineer away. Pressure and rationalization live inside
the person, where ethics, tone, and culture do the real work.账是怎么做假的:那些经典的财务报表舞弊
财务报表舞弊几乎总有一个目的:让利润与净值显得比实情更大。根本性的手法只有寥寥数招,而每一招诚实的那一面,你在前面的台阶里早已懂得——舞弊,不过是把同样这些杠杆不诚实地拉动罢了。迄今为止最常见的一招,是收入虚增:记录根本没发生的销售,或是把真实的销售记得太早。回想收入那级台阶:收入确认要求一项真实的履约义务得到履行——货已发出、服务已交付。舞弊打破了这条规则。一家公司在十二月就给一批要到二月才发的货记了一笔销售,或者干脆凭空捏造一个客户,又或者发出客户从未订购的货、下一季度再悄悄退回。每一笔假销售,都同时抬高收入与利润,而谎言层层累积。
与之镜像的一招,是负债与费用低估:把公司欠下的东西藏起来,让债务与费用都显得更小、利润显得更大。一家公司也许干脆不记录它已经收到的账单、把寻常费用资本化为仿佛长期资产(这正是世通丑闻的核心,日常成本被搁到资产负债表上,而非冲击利润表),或是悄悄略去一笔已知的义务。充分披露原则要求真实的义务——包括诸如一桩未决诉讼这样的或有负债——都须报告出来。舞弊把它们藏进阴影。高估资产,不过是同一个谎言从另一头讲:声称已经腐烂的存货依然完好,或拒绝把永远收不回的应收账款冲减,好让坏账准备蓄意地过小。
请留意贯穿这一切的一缕暗线:其中每一招,都是对一条你早已认识为「诚实」默认值的原则的违反。稳健原则说,存疑之时,不可高估收益或资产——舞弊恰好反其道而行,把每一处判断都朝着更美好的图景倾斜。单单一处激进的估计,是一次判断的取舍;可一连串估计都朝同一个乐观方向弯折,年复一年,那便是舞弊的指纹。这正是为何分析师盯的是管理层选择的「方向」与「一致性」,而非仅仅某一个数字。一处乐观的估计,也许是诚实的。一连十处乐观的估计,每一处都美化利润,便是一份用会计写就的供状。
审计能查出什么——又查不出什么
这里有个值得直截了当地纠正的误解:外部审计「并非」保证报表毫无舞弊,它也从不如此宣称。审计给出的只是合理保证,而非绝对保证——保证报表不存在「重大」错报,无论错报源于差错还是舞弊。两处诚实的局限造成了这道缝隙。其一,重要性:审计师有意不去追查细小的金额,所以一桩被压在重要性门槛之下的舞弊,按设计就可能溜过去。其二,审计师以「抽样」方式查证——他们无法把数以百万计的交易逐笔重查一遍,于是抽取一部分、据以推断。因此,一份无保留的审计意见说的是「这些数字在所有重大方面均公允列报」,而非「我们已亲自核对每一笔分录,并证明此处绝无舞弊」。
舞弊之所以比差错更难查出,还有一层更深的缘由,它触及二者的本性。差错是被动的——它就坐在那里等人发现,一份审慎的抽样很可能撞见它。舞弊则是「主动而隐蔽」的:舞弊者预料到审计,伪造佐证文件、教唆员工如何应答,并把整个手脚恰恰藏在审计师最不可能去看的地方。最糟的是串通舞弊——两人或多人合谋——因为它击溃了职责分离,而那项控制本就假定他们会彼此牵制。还有管理层凌驾,即高层领导径直下令更改账目、或入下属无人敢质疑的分录,它几乎能刺穿任何控制,因为操控这些控制的人,正是行舞弊之人。
谁来负责——以及撑起这一切的职业道德
有一处责任的划分,被误解得如此频繁,值得明明白白地讲出来。防范与查出舞弊是管理层的职责,而非审计师的。管理层经营公司;管理层设计并运行内部控制;管理层编制报表并在上面签字。审计师的工作,则是那个更窄的、独立的角色——对那些报表是否公允列报形成一项意见。审计师是查验者,而非掌勺人——他尝一口这道菜、加以评判,但菜不是他做的,管理层往锅里放了什么,也不由他负责。这正是为何同一家事务所不能既替客户记账、又审计它:一个审查自己工作的审计师,会丧失那份令其意见具有价值的独立性。
当控制失灵、怀疑动摇,最后一道防线,是最简单也最古老的:[[accounting-ethics|职业道德]]。每一位会计师都在一部准则之下行事——在美国,对一位注册会计师而言,那是美国注册会计师协会职业行为守则,世界各地另有各自的姊妹准则——建立在正直、客观、独立、应有的审慎与保密这样的支柱之上。这些并非装饰。整座经审计的财务报告大厦,全赖公众能够信任:会计师服务的是公众利益,而不仅仅是那个付了费的客户。一项控制可以被凌驾,一次抽样可以错过舞弊,可一个仅仅拒绝在一份虚假报表上签字的人,便能将谎言当场拦下——这恰恰就是为何舞弊往往始于向那个人施加的、要他屈从的压力。
有时,压力在一个组织内部胜出,真相得见天日的唯一途径,便是举报——一名内部人士,揭发他所目睹的不当行为。揭穿安然与世通的,正是内部举报人,而非外部审计师,这一教训重塑了法律。你在本级台阶前文认识的萨班斯-奥克斯利法案,不仅强制经理人对其控制作出认证;它还为举报舞弊的员工提供了法律保护,好让做对的事,不必让一个人赔上他的职业生涯。举报,是炮火之下的职业道德——当公众的信任与个人的忠诚或安逸终于相撞时,选择前者。
- 把行为与意图分开:一个错误数字,若是诚实且无意的便是差错,若是蓄意且为利的便是舞弊。
- 寻找舞弊三角的三条边——压力、机会、合理化——并记住控制只能缩小机会这一条。
- 盯住估计的方向:一处乐观的判断也许是诚实的,可一种始终美化利润的一致倾斜,便是一个警讯。
- 记住这一划分:管理层防范并查出舞弊;审计师只是以合理而非绝对的保证,对报表发表意见。