聚焦法务会计:利用数据透视第三方风险,甄别舞弊
本文讨论的第三方是指与企业有或将要产生业务关系,但没有股权或雇佣关系的个人或组织,可能包括合作伙伴、供应商、总包商、经销分销商、广告商、中介机构、特许经营权使用方、客户等。
在强调以产业生态圈带动经济高质量发展的当下,甄别和管理与第三方相关的风险已成为企业整体风险管理的重要组成部分。企业投入大量资源推动外部规定内部化、风控流程数字化,但诸如围标串标、利益冲突、不当利益输送、融资性贸易等事件仍层出不穷。究其原因,此类事件通常涉及企业内外部人员勾结,往往通过规避企业内部控制实现,隐蔽性强,难以有效防范。
您的企业正在与哪些第三方产生开展哪一类的业务?您的 Know Your Customer (“KYC”,即了解客户) 流程是否满足风险甄别的要求?采购的服务是否都是必需且能为企业带来价值?哪些业务活动占用了主要的流动资金?本文试图讨论如何利用已有的第三方数据资源回答上述疑问,识别舞弊风险。
目前,较为成熟的企业在管理第三方风险时可能能够实现:
- 在引入第三方前,对其进行尽职调查,尤其针对供应商、经销商等风险较高的第三方
- 建立第三方数据库,或至少留存可供审阅和分析的电子版第三方名录
- 明确定义需要披露的第三方利益冲突范围,并将披露义务具体化为书面规定
尽管多数企业已具备了风险管理的数字化基础,但很少有企业能够有效利用风控数据,通过技术分析来回答舞弊相关的问题。以供应商管理为例,《普华永道2024年全球经济犯罪调研》1结表明明,仅有不足三成的受访企业利用数据分析来降低采购舞弊的风险。根据观察,部分企业在利用现有数据时存在以下挑战:
1. 企业内部数据板块间不连通,相关风险控制负责人相互独立,限制了可用数据的范围;
2. 利益冲突等风险事项主要依赖第三方主动披露;
3. 第三方信息核查通过手工执行,效率低、易出错,且存量第三方信息更新及筛查成本高;
4. 部分业务系统在搭建时未考虑后续数据分析诉求,数据质量参差不齐,不能满足交易层面的分析需求;
5. 尚未形成系统性、统一的风险甄别标准,难以判断风险评估结表是否有效并符合企业整体风险管理策略;
6. 仅评估或关注第三方的注册信息,未追溯至实际交易的情况。
为应对上述挑战,更加效利用数据分析技术提升舞弊防范的效率和效表,我们建议可从以下三方面入手:
一、第三方动态身份识别:消除数据壁垒,连同信息孤岛
- 从公开数据源批量抓取、更新第三方的注册信息、股权结构、各类财务和经营数据、负面舆情等,并录入第三方管理系统;
- 识别、整合企业内部各类与第三方相关的数据源,例如:员工信息、发票开票记录、订单记录、付款记录等;
- 联动内外部信息,交叉识别与第三方相关的风险信号,例如:员工未披露的利益冲突,不合规供应商“换壳”入库;投标候选人与中标人之间的潜在围串标组合。
- 定期更新上述信息,及时识别第三方经营状态的变化。
需注意的是,在执行以上对比分析的时候,应尽量使用模糊匹配,考虑非直接关联的情况,偏重业务信息而非注册信息的筛查。
二、360°风险画像:综合风险评估结表,分级、分类管理第三方
第三方的类型越多样,风险管理难度无疑也越高。例如,商业集会活动主办方一般需要对接众多品类的供应商,存续时间或长或短,规模从注册资本人民币几万到一两百万元不等,经营地点横跨各省市,社保登记员工人数可能低至五人以下或高达上百人,服务类型多样。如何初步甄别供应商风险、快速洞悉企业供应商风险敞口呢?
我们建议基于企业业务特性、第三方使用偏好等,设定一些可行的风险指标,以此为维度设定风险分值,对第三方进行多维度的综合风险打分,例如:
- 注册时间短、社保缴纳人数少、实缴资本低等因素可能提示第三方潜在为空壳公司;
- “第三方身份识别”流程提示第三方与公司人员存在潜在关联关系;
- 公开信息中第三方经营范围与拟为企业提供的服务类型不符,注册地址与第三方管理系统信息不符提示第三方拟提供的服务可能存在异常;
- 公开信息检索发现大量负面舆情或诉讼案件等提示与该第三方合作可能存在潜在风险。
综合上述指标统计每个第三方的风险得分情况,识别同品类风险得分高的第三方。对高风险第三方可在合约中考虑加入审计条款,或提高其应标门槛等;对中风险第三方加强交易中的动态监管;而对低风险第三方可依赖企业内部监察职能的监督。
最后,建议设置第三方终止合作红线标准,建立第三方黑名单机制或观察名单。
三、第三方风险监控:穿点成线,关注交易,贯穿始终
案例一:20x3年,公司X从公司Y采购了一批钢材,合同总价1.5亿元,公司X于当年陆续收货入库,公司Y开具了增值税发票,公司X随后按照合同约定付清了货款。20x4年,公司X收到税局关于该交易的问询,由于公司Y经营异常,未完成税务申报且拖欠大额税款,税局责成公司X说明该项交易的实质,识别是否存在税务合规风险。
以上案例提示企业,在经营环境不确定性日益凸显的当下,对第三方的风险监控应该贯穿业务生命周期始终,哪怕是有长期合作关系的业务伙伴。搭建风险甄别模型,利用技术手段建立动态监控,实施主动的风险警示推送十分有必要。
此外,第三方舞弊风险的甄别应落在交易层面,从实际业务数据出发。例如,某消费品公司Z依靠第三方渠道公司开展市场推广。为降本增效,识别和管理广告渠道商的相关风险,公司Z对线上、线下渠道商分别搭建了风险模型,将渠道商分为高风险和常规渠道商两类管理。对高风险的线上渠道商,公司K通过埋点等技术手段,对营销互动的效益进行量化分析;对于高风险的线下渠道商,公司K根据活动性质,抽样执行了飞行检查等事中监督的程序,以评估市场触达效表。每年终,公司Z将风险检查的结表纳入渠道商的服务绩效考核中,并对第三方渠道商的风险等级进行校准2。
结语:
现实情况下,没有一种风险模型能够普遍适用于不同行业和企业,为使模型尽可能贴合实际业务需求,需富有经验的专业人员基于交易审阅,对模型进行定期调整和优化。尽管技术手段能够识别多种潜在的风险事项,但数据能够提示的仅仅是风险指征,仍需进一步深入了解。
对于与第三方相关的潜在舞弊风险,防范应大于追查。反舞弊文化建设始终是舞弊风险管理的关键组成部分。设立举报热线并对收到的举报进行及时反馈,保留对第三方的审计权并切实开展审计,是反舞弊文化建设的重要手段。
注释
1 参考阅读:Address the pervasive challenges of economic crime: Global Economic Crime Survey 2024 ,
https://www.pwc.com/gx/en/services/forensics/economic-crime-survey.html
2 参考阅读:《聚焦法务会计:私域营销管理中的潜在风险与应对》
https://www.pwccn.com/zh/services/audit-and-assurance/risk-assurance/forensics/potential-risks-countermeasures-private-domain-marketing-management-aug2024.html
