2022年12月7日,甘肃平凉,民警为老年人开展反电信网络诈骗宣传。IC 图
最近接受一家公司的邀请,就财务操作流程如何合规和风险把控方面进行了一次交流。原因是公司出现过这样的一种情况:有人冒充领导打电话给财务,让他转几百万到某个账户,然后财务真的就直接转了,后果很严重。
这其实并不是个案。前两年有一家上市公司也发生了类似的场景,并发布重大事项公告对事情的原委进行了说明,核心内容是财务主管人员遭遇电信诈骗,导致公司银行账户内的298万元人民币通过网络被盗取。
根据公开信息,这个事情的发生除了骗子之外,还涉及公司内部的三个人:一是公司综合管理部的职员杨某,二是公司的财务负责人邓某,三是出纳员詹某。
调查显示,杨某收到了一份署名为公司总经理张某的邮件,要求他建立一个内部工作群,把财务负责人拉到群里。杨某可能是“太年轻又单纯”,在不辨真伪的情况下,真的按照其指示拉了一个群,还把邓某拉入新建的群。群中只有三个人:杨某、邓某和(假冒的)张某。
张某在群中开始对邓某说,今天有一笔保证金大概98万元要打过来,你查一下工行的基本户收到没有。邓某在核查之后回答说:工行尚未有收账记录。
张某接着说:你联系一下徐某,他的电话156********,问他合同保证金打了没有,如果没有打就暂时不要打,让他等我修改好合同后再打保证金。
邓某按照指示,联系了“徐某”(估计就是骗子或者“连裆模子”),然后告知张某,“已经联系过了,徐炳洪说十分钟前已将款划入你个人账户”。
张某回应:“我在开会没有留意,款项我已经收到,他已经打入到我的私人账户了。你现在再联系一下徐总,我需要修改合同,先把保证金退给他,等合同修改后再重新打款,你安排从公司账上将98万元退回去,我会议结束后再补汇到公司账上。”接着,张某把徐某的账号发给了邓某。
邓某完全没有意识到这是个骗局,也没有任何甄别判断的意识,“在未经公司领导审批,未执行财务付款流程”的情况下,同出纳员詹某一同经网上银行划出公司的银行资金98万元。
看到第一笔资金如此轻易到手,骗子估计心中乐开了花。
既然这么好骗,那就再来一次。于是十几分钟后,张某又发了一段信息:“徐总可能没有和他的会计沟通清楚,他的会计以为合同已经签订成功了,又把尾款打给我了。这样吧,你再安排一下从公司把款项退回去,明天我将298万一起退回公司。合同还没有签,要给对方一个好印象……”。
邓某又傻傻地打了200万过去,此时的他还没有意识到被骗。直到当天晚上,杨某看到了聊天记录,开始怀疑碰到了骗子,于是打电话给邓某,邓某也意识到可能其中有问题,再打电话给公司的张总核实,发现真的被骗了。
这件事情发生之后,会计上做账非常简单,比如资金已经没了,对应的要有相关责任人(主要是杨、邓、詹三人)承担20%比例的赔偿,剩余80%的差额计入坏账准备或管理费用,另外对相关直接责任人采取了调离岗位和撤职的处理。
有人说骗子真聪明,知道假冒领导来行骗,还能一再得手。但从专业的角度看,是公司内部控制出了问题。
早在美国安然、世通丑闻爆发之后,当时的美国总统布什就签署了著名的《萨班斯·奥克斯利法案》。该法案一共有11章80条,其中至关重要的条款之一是404条款,即要求上市公司建立健全财务报告内部控制,以合理保证财务报告的真实、可靠、完整。
因为我国也有很多公司在美国上市,于是在财政部的牵头下,我国监管部门在2008年也发布了《企业内部控制基本规范》,此后又出台了很多的配套制度,对上市公司内部控制建设提出了明确的要求。
就前述案例而言,相关事实表明上市公司还是有内部控制规定的,比如有总经理“张某”的要求、财务负责人邓某的审批、出纳员詹某的付款,这叫“职责分工”,是内部控制的核心要求。
但与此同时,案例中也有很多内部控制方面的缺陷。比如付款环节,首先要有付款理由,是采购,还是报销,或者是借款?采购要有合格供应商名录、招投标程序、采购合同、验收报告、发票等等;报销、借款,也要有合格的凭证和规定的程序等等。如果涉及大额的资金支付,可能还要走“三重一大”的决策程序,甚至还有预算的管控要求等等。
一个未经证实的“张某”,通过口头要求,就能够轻松把公司298万元的资金转出去,违反了“领导审批”“财务付款流程”两个要求。换句话说,张某要付钱,理论上是不能够由张某来审批的;财务要付款,是要有原始凭证和规范流程的。骗子能得手,说明公司的内部控制要求流于形式。“合同保证金”,那合同编号多少、合同内容是什么、收款条件、打账的账号和名称等,都应该是财务关注的点,怎么可能把“公司”的款打到“个人”的账户上?这是不符合账户管理要求的!理论上,合同是格式条款,通常还要经过法务的审核,怎么可能出现公、私不分这样低级的错误条款?!
再比如说,公司是先收款再打回去款项的,那么客户是新客户还是老客户,公司数据库里有无该客户的信息?新客户有无信用评估报告,合同编号多少,客户付款条件、期限安排、金额比例是怎样约定的?客户在短短半个小时不到的时间,分两笔把合同价款打到个人账户上,其经济合理性如何?合同签署的程序、收到款项的开票程序、产品或劳务提供的要求等都是常规的审核点,而邓某居然一个问题都不问,要不说明他缺乏必要的专业知识,就是他对领导有一种盲从的心态。
内部控制的关键在“过程”,公司要努力做到“过程留痕”,谁发起的业务,经过谁的审批,有没有符合规定条件的表单及签字,能否通过信息系统予以固化,都是这个“过程”中的构成要素。
对案例公司而言,转的资金近300万,负责“看门”的财务人员,首先要问的问题是转不转,有没有实质性的经济业务予以支撑?其次是能不能转,有没有得到恰当的授权,是否符合公司的财务制度?还要问,如果转账的话,有哪些凭证要求,应该怎么操作?比如要不要经过双重复核,资金流、物流、信息流是不是匹配,有没有合同,合同是否符合格式要求,是否经过法务的审核,有没有合同的台账和编号等等。
央视有档栏目叫《今日说法》,曾经播出一个财务总监监守自盗的案件。疫情期间,南京一家公司的CFO詹某在大年三十的下午赶到公司,砸开柜子拿到了付款所需的三个U盾,把公司账上的1900万元转到了自己的账上。在春节期间,詹某还向董事长拜年、请示工作、上报预算资料等等。等到春节过后回到单位,董事长才发现账上的钱没了,再找詹某,发现他已经失踪了。公司后来通过报警,费尽千辛万苦把詹某捉拿归案,节目上董事长很感慨,说“遇到这种人,你怎么防也防不住”。
按董事长的说法,这个詹某非常专业,到公司后,给董事长提供的第一份报告,就是加强公司的内部控制,比如资金的支付审批从两级变成三级,比如帮助董事长解决了建设工程中的法务问题、帮助同事解决了电脑操作上的IT问题,平时对人也非常友善,处事很低调。说他监守自盗,上自董事长、下至普通员工,都没有人相信。“周公恐惧流言日,王莽谦恭未篡时”,只能说骗子伪装的本事高。
但真的防不住吗?U盾的密码有3个,分别由3人保管,CFO即使拿到3个U盾,没有密码也是不可能把钱转出去的。他是怎么拿到密码的?负责保管U盾的归口责任人是否有保密意识?公司账上资金被转出去了1900万,居然要到春节后付款时才发现,公司是否应该开通账上余额变动短信提醒功能,是否运用技术手段实现每日余额上报及对账?
案件披露的信息证实,詹某的文凭、学历、注册会计师证书、身份证等都是伪造的,公司的人力资源部门是否对关键岗位的员工进行背景调查,是否经过相应的学历学位验证等?这些事实表明,如果公司对人员招聘、财务日常管理的内部控制做到位,完全是可能防得住的。
当然,各个公司所处的行业、环境不同,业务千差万别,文化、管理风格各异,制度基础也不一样,但从本质上看,面临的风险却有相似之处。在电视剧《理想之城》中,总经济师徐知平曾说,“我干了一辈子风控,经手过无数案例,得出的结论,最大的风险来自人”。无论是第一个案例中的“张某”,还是第二个案例中的“詹某”,都是位高权重之人,如何把他们的权力关在笼子里,也许是内部控制需要重点考虑的问题。用确定的规则来约束权力,凡事有制度、流程、表单,过程中的关键人员比如财务能勤勉尽责,相信骗子得手的概率会大大降低。
(本文为澎湃商学院独家专栏“会计江湖”系列之三十七,作者袁敏为上海国家会计学院教授,会计学博士,研究方向:内部控制、资信评级等,出版有《资信评级的功能检验与质量控制研究》《企业内部控制规范与案例》等著作。)