fraud-risk-assessment

name: fraud-risk-assessment description: "舞弊风险评估：舞弊三角理论、红旗信号、反舞弊控制，ACFE舞弊树及常见舞弊类型"

舞弊风险评估

When To Use

• 企业需要建立或完善反舞弊管理体系
• 并购前对目标公司的舞弊风险排查
• 内部举报或异常信号触发的专项评估
• 年度舞弊风险评估（COSO/SOX合规要求）
• 管理层或股东对财务数据真实性的质疑

Tools

• ACFE舞弊树（Fraud Tree）分类工具
• 舞弊风险评估问卷
• 红旗信号检查清单
• 数据分析工具（Benford定律、异常交易检测）
• 内控缺陷评估矩阵

Framework

Fraud Triangle（舞弊三角理论）

由Donald Cressey提出，舞弊行为的发生需要三个条件同时存在：

1. Pressure（压力/动机）

   • 财务压力：个人债务、生活方式超出收入
   • 经营业绩压力：业绩目标、股价压力、融资条件
   • 行业压力：竞争激烈、利润下滑
   • 制度压力：监管处罚、合同违约

2. Opportunity（机会）

   • 内控缺陷：职责分离不足、审批流程缺失
   • 监督薄弱：管理层凌驾、审计缺位
   • 复杂交易：关联交易、跨境交易、特殊目的实体
   • 信息不对称：管理层掌握信息远超股东/审计师

3. Rationalization（合理化）

   • "我是在借，不是在偷"
   • "公司欠我的"
   • "大家都这么做"
   • "只是暂时的，等有钱了就还"

ACFE Fraud Tree — 舞弊分类

Category 1: Asset Misappropriation（资产侵占）

• Cash Misappropriation
  • Skimming（收入截留）
  • Larceny（盗窃现金）
  • Fraudulent Disbursements（虚假支付）
    • Billing Schemes（虚假供应商）
    • Payroll Schemes（虚假员工）
    • Expense Reimbursement（虚假报销）
    • Check Tampering（支票篡改）
• Non-Cash Misappropriation
  • Inventory/Asset Theft
  • Misuse of Assets

Category 2: Corruption（腐败）

• Conflicts of Interest（利益冲突）
• Bribery（行贿/受贿）
• Illegal Gratuities（非法馈赠）
• Economic Extortion（经济勒索）

Category 3: Financial Statement Fraud（财务报表舞弊）

• Fictitious Revenues（虚假收入）
• Timing Differences（提前/推迟确认）
• Concealed Liabilities（隐瞒负债）
• Improper Disclosures（不当披露）
• Improper Asset Valuation（不当资产估值）

Red Flags（红旗信号）

个人层面：

• 生活方式明显超出收入水平
• 不愿休假或交接工作
• 与供应商/客户关系异常密切
• 财务困难的迹象
• 控制欲强，拒绝他人介入

组织层面：

• 管理层频繁凌驾于内控之上
• 关联交易异常频繁
• 会计估计频繁大幅调整
• 审计师更换频繁
• 组织架构过于复杂

交易层面：

• 临近期末的大额异常交易
• 无商业实质的交易
• 付款对象为个人账户或新设公司
• 缺少完整单据的交易
• 与业绩目标高度吻合的交易

Workflow

1. 舞弊风险识别
   ├─ 行业特定风险（参考ACFE行业报告）
   ├─ 组织层面风险（治理、文化、内控）
   ├─ 业务流程风险（收入、采购、资产、财务报告）
   ├─ 账户/交易层面风险
   └─ 历史舞弊事件回顾

2. 风险评估
   ├─ 可能性评估（1-5）
   ├─ 影响程度评估（1-5）
   ├─ 风险等级矩阵
   ├─ 现有控制措施评估
   └─ 剩余风险评估

3. 红旗信号分析
   ├─ 个人行为红旗
   ├─ 组织行为红旗
   ├─ 交易行为红旗
   ├─ 数据分析异常
   └─ 举报线索评估

4. 控制评估
   ├─ 预防性控制（职责分离、审批、授权）
   ├─ 检测性控制（审计、对账、分析）
   ├─ 举报机制（举报热线、保护政策）
   └─ 控制缺陷识别

5. 应对建议
   ├─ 高风险领域专项治理
   ├─ 控制措施加强
   ├─ 监控机制优化
   └─ 文化建设建议

Output Format

# 舞弊风险评估报告

## 一、评估范围与方法
| 项目 | 内容 |
|------|------|
| 评估范围 | |
| 评估期间 | |
| 评估方法 | |
| 评估团队 | |

## 二、舞弊风险识别
| 风险编号 | 风险类别 | 风险描述 | 涉及科目/流程 | 压力 | 机会 | 合理化 |
|----------|----------|----------|---------------|------|------|--------|
| FR-001 | 资产侵占 | | | | | |
| FR-002 | 腐败 | | | | | |
| FR-003 | 财务报表舞弊 | | | | | |

## 三、红旗信号清单
| 红旗编号 | 类别 | 信号描述 | 关注程度 | 建议行动 |
|----------|------|----------|----------|----------|
| RF-001 | 个人 | | 高/中/低 | |
| RF-002 | 组织 | | 高/中/低 | |
| RF-003 | 交易 | | 高/中/低 | |

## 四、风险评估矩阵
| 风险编号 | 可能性(1-5) | 影响(1-5) | 风险评分 | 风险等级 | 现有控制 | 控制有效性 | 剩余风险 |
|----------|-------------|-----------|----------|----------|----------|------------|----------|
| FR-001 | | | | | | | |
| FR-002 | | | | | | | |

## 五、控制措施评估
| 流程 | 预防性控制 | 检测性控制 | 缺陷描述 | 改进建议 |
|------|------------|------------|----------|----------|
| 收入 | | | | |
| 采购 | | | | |
| 资产 | | | | |
| 财务报告 | | | | |

## 六、应对建议
| 优先级 | 建议措施 | 责任部门 | 完成时间 |
|--------|----------|----------|----------|
| P0 | | | |
| P1 | | | |
| P2 | | | |

## 七、举报机制评估
| 维度 | 现状 | 建议 |
|------|------|------|
| 举报渠道 | | |
| 保密保护 | | |
| 调查流程 | | |
| 反馈机制 | | |

Diagnostic Questions

1. 企业是否发生过已知的舞弊事件？性质和规模如何？
2. 现有内控制度的完善程度？是否有SOX/COSO合规要求？
3. 管理层对舞弊风险的态度和重视程度？
4. 是否有独立的内部审计部门？向谁汇报？
5. 是否有举报机制？举报量和处理情况如何？
6. 是否有关联方交易？规模和频率如何？

Verification

• 使用Benford定律对财务数据进行统计分析
• 核对银行对账单与账面记录的一致性
• 验证关联交易的商业实质和定价公允性
• 检查关键岗位的职责分离情况
• 评估举报机制的有效性和保密性

Saving

保存路径：/cases/{client}/fraud-risk/ 文件命名：fraud-risk-assessment-{company}-{date}.md 关联文件：红旗信号清单、数据分析结果、内控缺陷清单

Capability Upgrade

Mode Selection

• Quick: 输出舞弊红旗、重点账户和建议程序。
• Standard: 形成舞弊风险矩阵、控制绕过分析、数据测试和应对建议。
• Deep: 结合访谈、举报、异常交易、权限日志和历史缺陷，形成调查触发判断和治理层汇报材料。

Fraud Scenario Model

每个舞弊风险应按“动机/压力、机会、合理化、可观察红旗、可测试数据、控制缺口、应对程序”展开，而不是只列风险名称。

Quality Gates

• 舞弊风险与具体流程、账户或岗位绑定。
• 管理层凌驾控制风险单独评估。
• 红旗信号有证据来源和调查建议。
• 数据分析结果与访谈或底稿证据相互印证。
• 输出区分审计响应、内控整改和潜在调查升级。

Deliverable Catalog