2022年12月7日，甘肅平涼，民警為老年人開展反電信網絡詐騙宣傳。IC 圖

最近接受一家公司的邀請，就財務操作流程如何合規和風險把控方面進行了一次交流。原因是公司出現過這樣的一種情況：有人冒充領導打電話給財務，讓他轉幾百萬到某個賬戶，然后財務真的就直接轉了，后果很嚴重。

這其實并不是個案。前兩年有一家上市公司也發生了類似的場景，并發布重大事項公告對事情的原委進行了說明，核心內容是財務主管人員遭遇電信詐騙，導致公司銀行賬戶內的298萬元人民幣通過網絡被盜取。

根據公開信息，這個事情的發生除了騙子之外，還涉及公司內部的三個人：一是公司綜合管理部的職員楊某，二是公司的財務負責人鄧某，三是出納員詹某。

調查顯示，楊某收到了一份署名為公司總經理張某的郵件，要求他建立一個內部工作群，把財務負責人拉到群里。楊某可能是“太年輕又單純”，在不辨真偽的情況下，真的按照其指示拉了一個群，還把鄧某拉入新建的群。群中只有三個人：楊某、鄧某和（假冒的）張某。

張某在群中開始對鄧某說，今天有一筆保證金大概98萬元要打過來，你查一下工行的基本戶收到沒有。鄧某在核查之后回答說：工行尚未有收賬記錄。

張某接著說：你聯系一下徐某，他的電話156********，問他合同保證金打了沒有，如果沒有打就暫時不要打，讓他等我修改好合同后再打保證金。

鄧某按照指示，聯系了“徐某”（估計就是騙子或者“連襠模子”），然后告知張某，“已經聯系過了，徐炳洪說十分鐘前已將款劃入你個人賬戶”。

張某回應：“我在開會沒有留意，款項我已經收到，他已經打入到我的私人賬戶了。你現在再聯系一下徐總，我需要修改合同，先把保證金退給他，等合同修改后再重新打款，你安排從公司賬上將98萬元退回去，我會議結束后再補匯到公司賬上?！苯又?，張某把徐某的賬號發給了鄧某。

鄧某完全沒有意識到這是個騙局，也沒有任何甄別判斷的意識，“在未經公司領導審批，未執行財務付款流程”的情況下，同出納員詹某一同經網上銀行劃出公司的銀行資金98萬元。

看到第一筆資金如此輕易到手，騙子估計心中樂開了花。

既然這么好騙，那就再來一次。于是十幾分鐘后，張某又發了一段信息：“徐總可能沒有和他的會計溝通清楚，他的會計以為合同已經簽訂成功了，又把尾款打給我了。這樣吧，你再安排一下從公司把款項退回去，明天我將298萬一起退回公司。合同還沒有簽，要給對方一個好印象……”。

鄧某又傻傻地打了200萬過去，此時的他還沒有意識到被騙。直到當天晚上，楊某看到了聊天記錄，開始懷疑碰到了騙子，于是打電話給鄧某，鄧某也意識到可能其中有問題，再打電話給公司的張總核實，發現真的被騙了。

這件事情發生之后，會計上做賬非常簡單，比如資金已經沒了，對應的要有相關責任人（主要是楊、鄧、詹三人）承擔20%比例的賠償，剩余80%的差額計入壞賬準備或管理費用，另外對相關直接責任人采取了調離崗位和撤職的處理。

有人說騙子真聰明，知道假冒領導來行騙，還能一再得手。但從專業的角度看，是公司內部控制出了問題。

早在美國安然、世通丑聞爆發之后，當時的美國總統布什就簽署了著名的《薩班斯·奧克斯利法案》。該法案一共有11章80條，其中至關重要的條款之一是404條款，即要求上市公司建立健全財務報告內部控制，以合理保證財務報告的真實、可靠、完整。

因為我國也有很多公司在美國上市，于是在財政部的牽頭下，我國監管部門在2008年也發布了《企業內部控制基本規范》，此后又出臺了很多的配套制度，對上市公司內部控制建設提出了明確的要求。

就前述案例而言，相關事實表明上市公司還是有內部控制規定的，比如有總經理“張某”的要求、財務負責人鄧某的審批、出納員詹某的付款，這叫“職責分工”，是內部控制的核心要求。

但與此同時，案例中也有很多內部控制方面的缺陷。比如付款環節，首先要有付款理由，是采購，還是報銷，或者是借款？采購要有合格供應商名錄、招投標程序、采購合同、驗收報告、發票等等；報銷、借款，也要有合格的憑證和規定的程序等等。如果涉及大額的資金支付，可能還要走“三重一大”的決策程序，甚至還有預算的管控要求等等。

一個未經證實的“張某”，通過口頭要求，就能夠輕松把公司298萬元的資金轉出去，違反了“領導審批”“財務付款流程”兩個要求。換句話說，張某要付錢，理論上是不能夠由張某來審批的；財務要付款，是要有原始憑證和規范流程的。騙子能得手，說明公司的內部控制要求流于形式。“合同保證金”，那合同編號多少、合同內容是什么、收款條件、打賬的賬號和名稱等，都應該是財務關注的點，怎么可能把“公司”的款打到“個人”的賬戶上？這是不符合賬戶管理要求的！理論上，合同是格式條款，通常還要經過法務的審核，怎么可能出現公、私不分這樣低級的錯誤條款？！

再比如說，公司是先收款再打回去款項的，那么客戶是新客戶還是老客戶，公司數據庫里有無該客戶的信息？新客戶有無信用評估報告，合同編號多少，客戶付款條件、期限安排、金額比例是怎樣約定的？客戶在短短半個小時不到的時間，分兩筆把合同價款打到個人賬戶上，其經濟合理性如何？合同簽署的程序、收到款項的開票程序、產品或勞務提供的要求等都是常規的審核點，而鄧某居然一個問題都不問，要不說明他缺乏必要的專業知識，就是他對領導有一種盲從的心態。

內部控制的關鍵在“過程”，公司要努力做到“過程留痕”，誰發起的業務，經過誰的審批，有沒有符合規定條件的表單及簽字，能否通過信息系統予以固化，都是這個“過程”中的構成要素。

對案例公司而言，轉的資金近300萬，負責“看門”的財務人員，首先要問的問題是轉不轉，有沒有實質性的經濟業務予以支撐？其次是能不能轉，有沒有得到恰當的授權，是否符合公司的財務制度？還要問，如果轉賬的話，有哪些憑證要求，應該怎么操作？比如要不要經過雙重復核，資金流、物流、信息流是不是匹配，有沒有合同，合同是否符合格式要求，是否經過法務的審核，有沒有合同的臺賬和編號等等。

央視有檔欄目叫《今日說法》，曾經播出一個財務總監監守自盜的案件。疫情期間，南京一家公司的CFO詹某在大年三十的下午趕到公司，砸開柜子拿到了付款所需的三個U盾，把公司賬上的1900萬元轉到了自己的賬上。在春節期間，詹某還向董事長拜年、請示工作、上報預算資料等等。等到春節過后回到單位，董事長才發現賬上的錢沒了，再找詹某，發現他已經失蹤了。公司后來通過報警，費盡千辛萬苦把詹某捉拿歸案，節目上董事長很感慨，說“遇到這種人，你怎么防也防不住”。

按董事長的說法，這個詹某非常專業，到公司后，給董事長提供的第一份報告，就是加強公司的內部控制，比如資金的支付審批從兩級變成三級，比如幫助董事長解決了建設工程中的法務問題、幫助同事解決了電腦操作上的IT問題，平時對人也非常友善，處事很低調。說他監守自盜，上自董事長、下至普通員工，都沒有人相信。“周公恐懼流言日，王莽謙恭未篡時”，只能說騙子偽裝的本事高。

但真的防不住嗎？U盾的密碼有3個，分別由3人保管，CFO即使拿到3個U盾，沒有密碼也是不可能把錢轉出去的。他是怎么拿到密碼的？負責保管U盾的歸口責任人是否有保密意識？公司賬上資金被轉出去了1900萬，居然要到春節后付款時才發現，公司是否應該開通賬上余額變動短信提醒功能，是否運用技術手段實現每日余額上報及對賬？

案件披露的信息證實，詹某的文憑、學歷、注冊會計師證書、身份證等都是偽造的，公司的人力資源部門是否對關鍵崗位的員工進行背景調查，是否經過相應的學歷學位驗證等？這些事實表明，如果公司對人員招聘、財務日常管理的內部控制做到位，完全是可能防得住的。

當然，各個公司所處的行業、環境不同，業務千差萬別，文化、管理風格各異，制度基礎也不一樣，但從本質上看，面臨的風險卻有相似之處。在電視劇《理想之城》中，總經濟師徐知平曾說，“我干了一輩子風控，經手過無數案例，得出的結論，最大的風險來自人”。無論是第一個案例中的“張某”，還是第二個案例中的“詹某”，都是位高權重之人，如何把他們的權力關在籠子里，也許是內部控制需要重點考慮的問題。用確定的規則來約束權力，凡事有制度、流程、表單，過程中的關鍵人員比如財務能勤勉盡責，相信騙子得手的概率會大大降低。

（本文為澎湃商學院獨家專欄“會計江湖”系列之三十七，作者袁敏為上海國家會計學院教授，會計學博士，研究方向：內部控制、資信評級等，出版有《資信評級的功能檢驗與質量控制研究》《企業內部控制規范與案例》等著作。）