本文根据邵洋律师在「中国司法背景下企业的反舞弊内控风险体系构建与执行」分享内容整理而成

今天我主要通过一些具体环节的示例与大家分享舞弊行为可能会发生的几个重点领域。主要包含三个方面：第一个是与关联关系有关的利益输送的情况；第二个是企业在招投标过程当中可能会发生的一些串通投标的舞弊；第三部分是企业如何去保护自己的商业秘密。接下来，我们一一展开分析。

我们在实务中越来越多地发现，员工并不是直接去侵占企业的财产，往往会通过自己设立公司、亲朋好友名下的公司，将这些公司穿插在企业的业务流程环节当中来实行舞弊行为。比如说他作为一个中间的交易环节买进，然后再卖出给客户，从中赚取差价。

像这类舞弊的问题，一般来说或者说绝大部分的企业，可能会让员工去签署、披露他和供应商及经销商的关联关系。但是，我们也知道，这样的方法，绝大部分情况下，是不可能真正发现舞弊、杜绝舞弊的，因为坏人他不可能坦言存在利益输送。所以如果仅凭员工自己披露的话，可能很难发现舞弊。我这里给出三个可行的内控措施供大家参考：

1、供应商或经销商在入库之前，进行详尽的准入的审批及背景调查；

2、在供应商或经销商入库、与公司发生实际业务之后，定期进行关联关系排查，并反复更新情况。这样做的目的是防止，供应商、经销商在准入时因为他们进来的时候可能是他关联关系，我们并没有发现或者说没有，那么可能会发现他跟我们某些员工的一些舞弊的勾结，

3、对企业异常的交易数据及时进行分析。有一些关联关系极为隐蔽，不易发现，那么企业可以从交易数据异常入手。比如，我们曾在办案过程中发现某几个采购，在招商时总是选用固定的某几家供应商，从而展开调查。

串标、陪标、围标在实践中屡见不鲜，怎么去设计一个适合的内控体系来尽早发现其中的舞弊情况呢？

第一，现在有很多招投标，可能是通过邮件或者是纸质材料进行发送的。在这种情况下，我们可能会漏掉某些投标人的底层信息，包括是从哪个地方发出，或者说他如果是发送电子邮件的话，是通过什么IP进行发送的；是不是使用了代理等。如果说企业有一套比较成熟的招采系统或平台的话，我们可以在当中加入限制，或者说进行流程数据的基础工作。在每次招投标的过程中，我们都可以把所有的投标人的信息保留下来，那么可能单次的招投标是没什么问题的，但次数多了、时间跨度长了之后，我们能够进行整体性的审查、复查。

第二，有些企业也会利用软件对标书做查重，就像我们查重论文一样，去比对标书当中的文字，行文风格等等，这部分内容其实也可以纳入我们招标平台当中。首先，最好不要选用联网的，就是说我们不要把我们的投标信息“喂”给一些在线服务，如果我们能够部署到本地的话，是更有利于信息保护的；同时，也能预防商业秘密的泄露。再者，我们可以对电子文档的投标文件进行分析，尤其是word文档，我们可以分析源数据。源数据是什么样的概念？它包括了文件的创建者、文件的修改者、编辑时间等，这三项是大家比较熟悉的，如果一份文档的总编辑时间较短，那么就值得引起企业的重视。

这里再介绍一个word文档的特性：现在新的是docx结尾，带x的这个文件，有一个叫rsid的属性，如果把文档的后缀改为zip或者rar，它就变成一个压缩包，再进行解压，会生成好几个文件夹，里面是每个word文件的源代码，也就是说每一次的编辑，从打开到关闭，都会随机生成一个8位的字符“告诉”我们有人正在编辑文档。这个编号的随机性是非常强的，重复的概率大概是1/43亿。这就意味着，如果我们现在有100份标书，我们把每份标书所有的rsid都提取出来，理论上应该是不可能重复的。如果有重复的话，只能说明一个问题，就是某份特定标书是从另一份特定标书的原始的文档当中进行改编或编辑的，这两份文档是有同源性的。

商业秘密这一部分也是我们舞弊行为高发的一个环节。企业当中有一些员工会去窃取我们的商业秘密，可能包括一些核心的代码图纸，可能会包括一些客户的信息，客户名单，也可能包括一些企业战略的发展的计划一些定价等等，他们可能会窃取这些信息来跳槽或是转卖，实现自己营利等目的。那么我们如何通过内控的手段去事前预防，事后调查，到底是谁侵犯了我们的商业秘密。这里面分为两块：

第一，从制度上和文本上，企业要有意识地将特定信息“变”成商业秘密。我们知道，商业秘密在法条上有几个构成要件：不为公众所知悉、具有商业价值、权利人采取了相应的保密措施。由此，企业需要通过前置文本设计对商业秘密进行保护，例如，对商业信息进行定位定级，设置访问权限等。

第二，通过技术手段阻止员工外泄商业秘密。现在市面上数据保护的软件比较多，也相对成熟，其中有一个功能叫做透明加密，它的原理是：在装有客户端的电脑里，是能够正常编辑使用某些文档的，一旦你把它这个文档发送到外网，或者说没有装这些监控的客户端的一些软件的电脑上的话，其他人是没有办法打开，或者说打开之后也会出现乱码。

不过，我想提醒大家，现在新兴科技发展非常快速，科技虽然能够帮助我们去识别一些舞弊行为，阻止一些数据泄密的情况发生，或者说在发生后可以实现回溯，但最终要落脚到谁来使用技术的问题上。我们现在发现非常多的企业，把这些权限归口到IT部门，因为IT人员会使用技术，所以他们来决定哪些员工的电脑上安装。但我们认为，一个比较健全的内控体系，应该是由内控部门或者说审计、合规部门来主导，成为内控体系的“大脑”，来决定相关技术的应用，包括软件后台怎么管理、日志保存几年、怎么保存、员工如何分组区别化管理，这些东西其实IT只能作为“手”和“脚”。

说了这么多技术手段，回过头来想，我们能够做这些分析、比对的基础，离不开企业有一个健全的内控制度。因此，企业如果能在前期内控设计上予以重视，无论对预防舞弊发生还是舞弊发生后的应对、调查都会更有利。

本文转至微信公众号：星瀚微法苑  版权归原作者所有，如有不妥之处请联系处理