在网络犯罪的威胁下，企业是否严阵以待

www.pwccn.comwww.pwchk.com在网络犯罪的威胁下， 企业是否严阵以待？普华永道2016年全球经济犯罪调查—中国大陆及港澳地区专刊 目录1前言2全球情况3地区情况4港澳地区企业网络安全：是否奏效？缺乏合规人才导致反洗钱行动进程受阻8中国大陆改变是合规界的唯一常态企业仍面临“内在危险”12普华永道结语中国大陆合规面临的新挑战13本次调查的方法论和统计数据摘要14联系方式 前言我们很荣幸为您呈现普华永道2016年全球经济犯罪调查（以下简称“本次调查”）中国大陆及港澳地区专刊（以下简称“本刊”）。我们每两年进行一次全球经济犯罪调查。本次调查收集了来自115个国家和地区的6,300多名受访者所经历的企业经济犯罪及他们采取的应对措施。而本刊展示了近200名工作、生活在这些地区的高层管理人员的在线调查反馈，也是我们连续第二次特别针对中国大陆及港澳地区具体情况编纂的专刊。本刊从年份、司法管辖区和主题事项多个维度对结果进行了统计比较，使其成为相关领域最为全面的分析之一。过去两年有多大的变化？有哪些问题依然存在？与前几年情况相仿，挪用（或盗用）资产作为一种最容易被侦察、也因此最为广泛报道的犯罪形式，仍被受访者列为中国大陆及港澳地区最普遍经历的经济犯罪形式。然而，其他经济犯罪类型的演变趋势和环境的变化与发展同样会对企业造成不良影响，尤其对那些合规和／或IT部门尚未准备好应对日益变化局势的企业而言。除挪用资产外，港澳地区受访者反映最多的是网络犯罪及洗钱行为，以及企业如何有效 应对相关挑战。正如过去24个月里媒体常报道的，由于香港（及全球）监管机构实施的反洗钱（Anti-Money Laundering，简 称“AML”）执 法 行 动，网络犯罪及洗钱行为在技术型金融中心香港、及重要的博彩中心澳门尤为受到关注，同时也是普华永道2016年全球经济犯罪调查重点关注问题。相较而言，中国大陆受访者则着重关注贿赂与腐败。由于习近平主席领导的反腐倡廉行动进入第四个年头且势头未减，这两种形式的犯罪一直未曾远离公众视线。此外，因为采购舞弊一直困扰着中国大陆企业，本刊也特别关注了与采购舞弊有关的发现。本次调查结果的大部分发现与我们从行业获得的反馈相印证，与我们在实践中得出的第一手经验相符合。为了帮助读者更好地理解本次调查的相关发现，在下文的详细阐述中，我们试图解读事件的背景、描述基于切身体验观察到的事项、并针对所发现的问题提供切实可行的建议。董家俊（John Donker）中国大陆及香港法务会计主管合伙人1普华永道2016年全球经济犯罪调查 — 中国大陆及港澳地区专刊中国大陆澳门香港 普华永道2经济犯罪案件类型201620140 1020304050607080挪用资产网络犯罪贿赂和腐败采购舞弊会计舞弊人力资源舞弊洗钱11%知识产权侵权内部交易税收舞弊6%房屋贷款舞弊竞争法/反垄断法间谍活动其他11%6%69%64%32%24%27%24%23%29%22%18%15%12%7%8%7%4%7%6%5%4%3%2%14%11%面临风险的行业金融服务业政府/国家部门零售与消费品交通运输和物流业通讯业制造业工程和建筑业汽车行业制药与生命科学业酒店及休闲业化学制品行业科技行业专业服务行业航空航天与国防事务娱乐及媒体行业保险业能源，公用事业及矿业48%19%44%43%42%38%37%37%37%33%32%30%29%29%29%23%20%全球经济犯罪比率36%全球情况32%24%64%挪用资产网络犯罪贿赂和腐败2016年最常见的经济犯罪类型前三名 3普华永道2016年全球经济犯罪调查 — 中国大陆及港澳地区专刊舞弊类型： 0%10%20%30%40%50%60%70%80%挪用资产贿赂和腐败网络犯罪采购舞弊会计舞弊人力资源舞弊洗钱其他房屋贷款舞弊知识产权侵权税收舞弊内部交易间谍活动竞争法/反垄断法全球亚太地区中国大陆港澳地区中国大陆地区港澳地区35%的中国大陆受访者表示不清楚过去24个月内其所属企业开展舞弊风险评估的频率。港澳地区的主要问题集中在网络犯罪和洗钱。63%的经历过经济犯罪的中国大陆受访者表示他们所经受的最严重的损失来自于 “内部作案者”。50%经历过经济犯罪的港澳地区受访者表示曾遭遇网络犯罪。38%的中国大陆受访者称他们认为他们的公司将在未来的24个月中经历贿赂和腐败，高于美国的14%和金砖五国的平均比例35%。43%的港澳地区受访者表示在遵守当地反洗钱／反恐融资的要求方面，雇 佣有经验的员工是一个严峻的挑战。22%的中国大陆受访者称他们在过去的24个月中曾经被要求进行贿赂。36%的受访者认为他们所在的公司已经败给了行贿的竞争对手。24%的港澳地区受访者（2014年为11%）表示他们的公司因遭遇网络犯罪受到的损失已超过了5万美金。在经历过采购舞弊的中国大陆受访者中，100%的受访者表示采购舞弊发生在供应商选择的过程中，而80%的受访者表示发生在与供应商签署合同的过程中。14%的港澳地区受访者认为信誉损失是网络犯罪带来的最严重的影响。过去24个月内经历过经济犯罪的中国大陆受访者中仅有13%表示曾遭遇网络犯罪。这个比例相较于2014年的22%有所降低。32%的港澳地区受访者称系统生成的误报是其面临的重大挑战。地区情况亮点聚焦28%的中国大陆受访者（2 014年为27%）以及21%的 港 澳 地区受访者（2 014年为16%）表 示 ，他 们 曾 经经历过经济犯罪。这个比例远低于亚太地区3 0 %(2 014年为32%）和全球36%（2 014年为37%）的结果。 普华永道4x52014 to 2015网络袭击 值得注意的是，该地区的网络攻击及网络威胁事件数量却在持续上升。在2016年调查中，50%经历过经济犯罪的受访者表示曾遭遇网络犯罪，这一比例较2 014年的37%有所上升，且高于全球32%的平均水平。在这些受访者中，超过76%的受访者反映企业曾遭遇网络服务中断的问题并影响到其客户，其中超过三分之二的受访者认为类似事件对企业品牌声誉造成了不良影响甚至极为严重的负面影响。港澳地区企业网络安全：是否奏效？1 普华永道全球信息安全状况调查（GSISS调查）每年进行一次，2016年有来自127个国家超过10,000多名高层管理人员参与了调查。“50%经历过经济犯罪的受访者表示曾遭遇网络 犯罪，这一比例较2014年的37%有所上升”受访者因受到网络攻击而造成网络服务中断并影响客户76% 在作为全球金融中心的香港以及博彩中心的澳门，商务人士所遇到的挑战与在中国大陆遇 到的截然不同。整 体而 言，在2016年的调查中，21%的港澳地区受访者表示在过去两年中自己所属企业经历过经济犯罪，该比例较2 014年的16%有所上升。然而，有趣的是，这个统计数据远低于全球36%的平均水平。这不禁令人质疑港澳地区企业在侦察经济犯罪方面的有效性。Infographic - 014 column: 87.8mm (w)香港和澳门201416%201621%全球201437%201636%经历过经济犯罪的受访者比率调查发现企业对网络犯罪威胁的意识有所增强。超过一半（51%）的 港 澳地区受访者表 示 ，他 们 察 觉 到 过 去24个月内网络犯罪呈上升趋势，这一比例较2 014年的39%有所上 升，与 全 球53%的 平 均 水平 相 近 。普 华 永 道2016年全 球信息安 全状况调查（下文简称“GSISS调查”）1 收集了港澳地区及中国大陆330名受访者意见，调查结果表明2015年香港及中国大陆企业遭遇的安全事件（指威胁到企业计算机安全某些方面的事件）较2 014年大幅增 长 了 四 倍（ 注 ：“ 安 全 事 件 ” 仅 指 受 到 了 网 络 攻 击 ，而 并 非 一定出现安 全漏 洞）。 5普华永道2016年全球经济犯罪调查 — 中国大陆及港澳地区专刊为保障网络安全需要进一步采取的措施应急响应系统监控定期安全审查问责制“40%的港澳地区受访 者 表 示，其 董 事 会成员并未要求或并不认为有必要了解其企业的控制措施的完善程度是否足以应对网络安全事件”金融及银行机构对网络犯罪而言是具有高价值的重点攻击对象，正因如此这些机构通常走在网络安全建设的前沿并拥有较为先进的保护措施。但是，在已有网络安全机制的基础上，这些机构还需采取更多的措施以优化现有制度流程，比如设立问责制、定期审核安全控制措施、设立系统监控及事件应急机制。鉴于此，香港金融管理局（Hong Kong Monetary Authority,简称“HKMA”）于2015年9月发布了一 份指导文件，指出金融机构应采取更为全面的措施加强对IT系 统 安 全 的 保 护，包 括 要 重 新 复 核 其 网 络 风 险 管理程序、定期更新事件应急策略、并提供专业技术支持以应对任何全局性的网络安全事件。尽管经多方努力，许多受访者已开始意识到网络安全问题，但本次调查结果反映出香港的企业界人士对于网络犯罪的防范意识仍有待提高，如是否知悉网络犯罪对企业的影响，是否知道如何应对网络犯罪等。曾经历过网络犯罪的受访者中有五分之一表示并不清楚网络犯罪对其企业造成的经济影响；40%的 港 澳 地区受 访者 表 示，其 董 事 会 未要求或不认为有必要了解其企业的控制措施的完善程度是否足以应对网络安全事件。此 外，根 据GSISS调查的结果（该调查中75%的港澳地区及中国大陆的受访者有IT相关背 景），46%的受访者表示其董事会成员并未积极参与企业的整体网络安全战略。这是否意味着高级管理人员并非总是就网络安全设定合适的“高层基调”，抑或是绝大多数的董事会成员仍认为网络安全问题最好交由IT或者技术部门处理？或者高层领导者仍未充分理解网络犯罪的风险？关于企业控制措施的完善程度是否足以应对网络安全事件，董事会希望多久了解一次？ 每月5%每季度13%每年12%董事会没考虑这问题9%其他5%不知道26%董事会没这需求31% 普华永道6似乎受访者普遍认为其所属企业在应对网络犯罪方面已经做好了万全准备。在本次调查中，近 一半（49%）的港澳地区受访者表示，其所属企业在未来24个月内不大可能发生网络犯罪事件。此外，53%的受访者表示其企业内部和外部均缺乏训练有素的应急人员以解 决 技 术 漏 洞 ；而 仅 有38%的受访者回应其所属企业设有事件应急预案。或许，最大的问题在于企业对网络威胁的真正来源缺乏认知。在本次调查中，62%的港澳地区受访者认 为，若 未来24个月内 发 生 任 何 网 络 安 全 事 件，很可能 源自企 业 外 部 。相 反，仅1%的受访者认为未来24个月内面临的网络安全威 胁可能由内部原因导致。然而，GSISS调查结果表示，50%的报道事件与企业内部 有关 ，涉及 到 现任 或 前任员工 。鉴于大规模窃取消费者个人信息和信用卡信息对企业造成的危害不亚于直接的经济损失（可能由于公众对其 的 关 注 度 更 甚），港 澳 地 区 企 业可 能 需 付出更 多 努力，以评 估 并 维 护他 们 的 重 要 信息资产，确 保已 形成事件应急预案并落到实处。从短期来看，企业应首先确保有一个人手充裕、训练有素的信息安全团队以应对网络攻击 事 件，同时 加 强 工作 场所 的 安 全 意 识，然 后再 考虑 是 否应 采 取 新 的IT安全解决方案来解决安全问题－这在工作流程及程序中广泛存在的问题可被识别时尤为重要。从长远来看，企业应当为高级管理层提供以数据分析为基础的网络安全报告，这将有助于提高工作场所的安全意识，同时提升企业整体的安全状况和氛围。“从长 远 来 看，为高 级管理层提供以数据分析为基础的网络安全报告，将 有 助 于 提 高 工作场 所 的 安 全 意 识 ，同 时强化企业整体的安全状况和文化”外部人员 62%网络安全威胁从何而来？ 7普华永道2016年全球经济犯罪调查 — 中国大陆及港澳地区专刊缺乏合