28、内部调查结果呈现与向执法部门汇报策略

内部调查结果呈现与向执法部门汇报策略

内部调查结果呈现

在内部调查中，呈现调查结果是一项极具挑战性的任务。以CFO将收购及其他交易引向个人和亲信获利的案例为例，在向审计委员会展示结果时，大部分演示幻灯片都包含实际证据的图片，文字叙述仅用于解释证据之间的关联。口头叙述也局限于进一步的解释说明和回答审计委员会成员的问题，且回答完全基于证据中的事实，不掺杂个人观点、感受或怀疑。这样做的目的是让审计委员会成员在不受干预的情况下处理证据，自行得出结论，调查者仅作为传递准确信息的信使和值得信赖的顾问。

然而，向管理层呈现内部调查结果往往困难重重。这主要是因为管理层通常对负面调查结果存在抵触情绪，毕竟不当行为发生在他们的管理期间，甚至他们可能也牵涉其中。而且，没有人愿意相信同事或朋友是罪犯，因为他们觉得这会对自己的品格产生负面影响。管理层和同事通常需要经历悲伤的五个阶段，才会愿意客观地处理证据，所以要给他们足够的空间去经历这个过程。

以下是一些关于内部调查结果呈现的常见问题及应对思路：
1. 为何向管理层呈现内部调查结果困难 ：管理层可能因自身责任和潜在牵连而抵触负面结果。
2. 人们得知同事可能犯罪时的反应及原因 ：通常不愿相信，因为担心影响自身品格。
3. 悲伤的五个阶段 ：否认、愤怒、讨价还价、沮丧和接受。
4. 人们如何度过这些阶段 ：需要时间和空间，自行处理情绪和思考。
5. 是否应引导他们度过五个阶段 ：可以给予一定的支持和理解，但不要过度干预。
6. 向管理层呈现坏消息调查结果的最佳方式 ：保持客观，让证据说话，给予他们处理信息的空间。
7. 如何避开管理层的初始负面反应 ：提前做好沟通，强调事实依据，避免引起不必要的情绪反应。
8. 人们担任董事会成员的原因 ：通常是因为喜欢公司及其管理层。
9. 审计委员会成员对负面调查结果的初始反应及原因 ：可能震惊、怀疑，因为不愿相信公司存在问题。
10. 向董事会成员呈现调查结果的最佳方式 ：成为值得信赖的顾问，让证据直接与他们对话，让他们自行处理证据并得出结论。

如果调查发现了“cookie jar”收益操纵计划，在向审计委员会呈现时，应展示相关的电子邮件、日记账分录以及反映虚假分录跟踪和对“cookie jar”金额影响的文件。当管理层询问证据的含义时，应基于事实进行回答，不提供个人观点。若管理层要求隐瞒调查结果，调查者应坚守职业道德，拒绝这一不合理要求。因为一旦同意隐瞒，可能会导致更严重的后果，如公司声誉受损、法律风险增加等。

向执法部门呈现调查结果

FBI局长Christopher Wray在演讲中阐述了FBI应对网络威胁的策略。多年来，FBI一直在与网络威胁作斗争，从20世纪90年代中期开展高科技犯罪工作，到2002年成立网络部门。FBI不仅关注国家行为体的网络破坏活动，如起诉为中国国家安全部工作的黑客、指控俄罗斯情报官员发动的网络攻击，还聚焦网络犯罪分子带来的威胁，如勒索软件造成的严重破坏。

为了应对不断演变的网络威胁，FBI制定了新的网络战略。其目标是对网络空间中的不良行为者施加风险和后果，让黑客和罪犯更难造成伤害。这一战略的核心是利用FBI独特的权力、世界级的能力和持久的合作伙伴关系，为更广泛的网络社区服务。通过改变犯罪分子和国家行为体的成本效益计算，让他们意识到攻击美国网络、窃取财产和危及关键基础设施将面临风险。

FBI在应对网络威胁时高度重视合作伙伴关系。以下是一些具体的合作举措和作用：
|合作机构|合作方式及作用|
| ---- | ---- |
|国家网络调查联合特遣部队（NCIJTF）|由FBI领导，包括30多个来自情报界和执法部门的共址机构，加强了美国网络战略的核心作用，协调多机构行动打击重大网络威胁。|
|国家网络取证与培训联盟|与行业、学术界和金融部门的合作伙伴共址，促进政府与私营部门之间以及私营部门内部的信息共享。|
|国家国防网络联盟|为国防工业提供网络安全协作平台，FBI和国防承包商实时共享情报。|
|FBI外地办事处|特工与当地公司和大学建立关系，提前提供威胁情报，帮助他们做好防御准备。|

通过这些合作，FBI能够更好地共享信息，帮助合作伙伴应对网络威胁。例如，调查信息可帮助财政部切断犯罪分子与全球金融系统的联系，协助全球执法伙伴扣押恶意基础设施、逮捕罪犯，为私营部门网络防御者提供技术指标以保护公司。同时，FBI也努力满足合作伙伴的需求，如在不透露敏感信息来源的情况下，尽可能提供有用的预警和帮助。

在实际行动中，FBI与国际合作伙伴共同打击网络犯罪。例如，在过去36小时内，FBI与国际伙伴协调破坏了庞大的Emotet犯罪僵尸网络，通过中断服务器控制链，使其管理员难以重新控制。此外，FBI还针对国家支持的经济间谍活动采取行动，如起诉APT 41黑客组织成员，与国内外伙伴合作逮捕共犯、扣押账户和服务器，并向合作伙伴提供技术信息以检测和减轻恶意活动。在俄罗斯相关的网络威胁方面，FBI与NSA合作揭露了俄罗斯军事情报部门开发的复杂恶意软件，并发布报告警告相关方，对俄罗斯造成了实际损失。

FBI还通过统一协调小组对SolarWinds事件进行持续调查，集中精力识别更多受害者、收集和分析证据，并与政府和私营部门合作伙伴共享结果，以支持运营、情报分析和网络防御。

FBI致力于根据合作伙伴的需求调整工作方式。通过倾听合作伙伴的意见和建议，FBI在信息共享、与公司合作的方式以及与外国同行的协作等方面做出了改进。未来，FBI希望进一步加强与合作伙伴的关系，建立双向信息流动机制，不断提升应对网络威胁的能力。正如前国防部长Mattis对海军陆战队的评价，FBI希望成为合作伙伴眼中“最好的伙伴”。

总之，无论是内部调查结果的呈现还是向执法部门汇报，都需要遵循客观、专业的原则，充分考虑相关方的反应和需求，通过有效的沟通和合作来解决问题，维护各方的利益和安全。

内部调查结果呈现与向执法部门汇报策略（下半部分）

内部调查呈现的深入探讨

在内部调查结果呈现过程中，我们还可以进一步分析一些关键要点。首先，关于管理层和同事经历的悲伤五个阶段，这是一个普遍的心理过程，理解这一点有助于调查者更好地应对他们的反应。

• 否认阶段 ：当首次得知调查结果时，管理层和同事可能会直接否认事实。他们可能会认为调查存在错误，或者证据被误解。调查者在这个阶段需要保持耐心，用清晰、客观的方式再次展示证据，让他们逐渐接受现实。
• 愤怒阶段 ：随着否认心理的减弱，他们可能会进入愤怒阶段。他们可能会对调查者、被调查对象或者整个调查过程感到愤怒。调查者要避免与他们发生冲突，倾听他们的不满，强调调查的公正性和客观性。
• 讨价还价阶段 ：在这个阶段，他们可能会试图寻找妥协的办法，比如提出减轻处罚或者隐瞒部分事实的建议。调查者必须坚守原则，明确告知他们这种行为是不可接受的，调查结果必须如实呈现。
• 沮丧阶段 ：意识到无法改变调查结果后，他们可能会陷入沮丧。调查者可以给予一定的情感支持，同时强调解决问题的重要性，鼓励他们积极面对。
• 接受阶段 ：最后，他们会逐渐接受调查结果。此时，调查者可以与他们一起探讨如何采取措施来解决问题，防止类似事件再次发生。

以下是一个简单的流程图，展示了人们经历悲伤五个阶段的过程：

graph LR
    A[否认] --> B[愤怒]
    B --> C[讨价还价]
    C --> D[沮丧]
    D --> E[接受]

另外，在向董事会成员呈现调查结果时，调查者要成为他们的信任顾问。这意味着不仅要提供准确的证据，还要在沟通中展现出专业和可靠的形象。例如，提前了解董事会成员的关注点和需求，准备详细的报告和解答方案。在呈现过程中，要注意语言表达的清晰性和逻辑性，避免使用过于专业或复杂的术语。

向执法部门呈现结果的策略优化

FBI在应对网络威胁时，其合作伙伴关系的建立和信息共享机制有许多值得深入分析的地方。

在信息共享方面，虽然FBI努力与合作伙伴进行双向信息流动，但仍然存在一些挑战。比如，由于信息的敏感性，有时无法完全共享所有调查信息。为了更好地解决这个问题，可以采取以下措施：
1. 分级信息共享 ：将信息分为不同的级别，根据合作伙伴的需求和权限，提供相应级别的信息。例如，对于一些基础的威胁情报，可以广泛共享；而对于涉及敏感来源或核心调查细节的信息，则严格限制共享范围。
2. 建立信任机制 ：通过长期的合作和良好的沟通，建立与合作伙伴之间的信任。在信任的基础上，逐渐扩大信息共享的范围。例如，定期向合作伙伴反馈信息共享的效果，让他们看到信息共享带来的实际好处。
3. 技术手段保障 ：利用先进的技术手段，确保信息共享的安全性。例如，采用加密技术保护敏感信息，防止信息泄露。

在与不同合作伙伴的合作中，也有各自的特点和重点。
|合作伙伴类型|合作重点|
| ---- | ---- |
|政府机构|加强协调与合作，共同制定和执行网络安全政策，共享情报资源，打击跨国网络犯罪。|
|私营部门|提供威胁情报，帮助企业做好防御准备；同时，从企业获取有用的信息，共同应对网络威胁。|
|学术界|开展研究合作，培养网络安全人才，共同探索新的网络安全技术和策略。|

在实际行动中，FBI的一些成功案例可以为我们提供借鉴。例如，在打击Emotet犯罪僵尸网络的行动中，FBI与国际伙伴的协调合作是关键。整个行动过程可以总结为以下步骤：
1. 情报收集 ：FBI通过自身的调查和合作伙伴的信息共享，收集Emotet犯罪僵尸网络的相关情报，包括服务器位置、攻击模式等。
2. 制定计划 ：根据收集到的情报，与国际伙伴共同制定打击计划，确定行动的目标和步骤。
3. 实施打击 ：按照计划，利用技术手段中断服务器控制链，使僵尸网络管理员难以重新控制。
4. 后续跟进 ：打击行动后，持续监测僵尸网络的动态，防止其死灰复燃，并与合作伙伴共享后续信息。

在应对国家支持的经济间谍活动时，如针对APT 41黑客组织的行动，FBI采取了多管齐下的策略。除了与国内外伙伴合作进行逮捕和扣押行动外，还通过发布技术信息，帮助合作伙伴检测和减轻恶意活动。这种综合的应对方式可以有效地遏制网络威胁的扩散。

总结与展望

无论是内部调查结果的呈现还是向执法部门汇报，都需要我们不断地学习和改进。在内部调查中，要充分理解管理层和同事的心理反应，采取合适的沟通策略，确保调查结果得到客观、公正的处理。在与执法部门合作时，要注重建立良好的合作伙伴关系，优化信息共享机制，提高应对网络威胁的能力。

未来，随着网络技术的不断发展，网络威胁也将变得更加复杂和多样化。我们需要不断地适应新的形势，加强各方之间的合作与沟通。例如，随着人工智能和物联网技术的广泛应用，网络安全面临着新的挑战。我们需要探索新的技术手段和策略，共同应对这些挑战。同时，要加强网络安全意识的普及，提高全社会对网络安全的重视程度。

总之，通过不断地总结经验、优化策略，我们可以更好地应对内部调查和网络威胁带来的挑战，保障企业和社会的安全与稳定。让我们共同努力，构建一个更加安全、可靠的网络环境。