2015年12月10日，深圳能源财务李某被冒充公司高层骗走3505万元。

办案民警介绍，诈骗团伙专门利用QQ在网上实施诈骗，先盗取事主的QQ号和密码，但不急于马上实施诈骗，而是在后台长期监控你跟别人的聊天。“从中获取你的联系人信息，掌握你的聊天语言、习惯等。”办案民警说，“他们盗取了某公司财务李某的QQ号以后，发现其联系人中有公司高层，并了解到公司刚好有一个项目要进行投资。”

监控了一段时间后，诈骗团伙重新注册了一个QQ号，盗用了公司高层的头像和QQ名称，然后再重新加李某为好友，声称QQ号被盗了，开始冒充公司的高层与李某聊天。“头像和名字跟老总一模一样，只是QQ号不一样，一般人看不出来。”

案发当天，李某刚好在香港，通讯不方便。该团伙便用“公司高层”的QQ号要求李某立刻打一笔投标的保证金过来。

“要得很急，要求在一个小时之内打过来，过后再补办手续。”办案民警介绍。李某见是公司领导，深信不疑，马上打电话按照要求把3505万元转到嫌疑人提供的账户上。

转账之后，过了一天，李某回到公司上班，碰见领导一问，才知道被骗。此时，离案发已经过去了24个小时。

事后深圳能源公告称，案件发生后，公司及时发现并积极配合公安部门全力破案，同时全面核查内控情况和案件成因，公司有严格的财务管理制度，但该名财务管理人员受骗后未遵守资金支付审批流程，违规直接向下属下达付款指令，是造成本次案件的主要原因。

新闻来源：证券时报网

一个模仿的QQ就能轻易骗走一个上市公司3500多万，这种难以令人相信的事情却真实的发生了。除了需要提高自己QQ、微信等账号的防护意识，防止被不法分子盗用之外，在公司的内部控制方面也存在着漏洞，老板一句话，财务竟然就能轻易的将3500多万汇出，那么问题可能出在哪些环节？以下将逐一进行分析：

付款流程一直是企业内部控制中一个最重要的流程之一，该流程如果存在漏洞，那么企业资金的流出将无法得到保障。在《企业内部控制应用指引》中有明确的要求：企业应当完善付款流程，明确付款审核人的责任和权力，严格审核采购预算、合同、相关单据凭证、审批程序等相关内容，审核无误后按照合同规定及时办理付款。再看本案例，整个付款流程没有任何的申请、审核、审批的过程，仅仅单凭“高层”的一句话，财务管理人员就派人就把钱付了出去。并且值得注意的是，这里安排付款的还不是企业的高层，甚至可能连部门经理都算不上，只是一个财务管理人员就能决定如此大额的付款事宜，而出纳在未见任何领导亲笔签字的情况下居然毫无风险防范意识的按照领导要求进行打款，可见不仅付款的审核流程缺失，连岗位职责的划分也是十分模糊的。换一句话说，如果该财务人员因其他压力想挪用公款，只需要求下属将款打向他指定的账户即可。用一个网络流行词语来说，那就是“细思极恐”。

除了付款流程的缺失，从授权审批的角度来说，该企业的控制也是较为薄弱的。对于如此大额资金的使用，还是一个紧急事项，只是QQ上简单的聊天就代表授权了？这其中必然存在着巨大的风险。案例中的李某是不幸被骗，试想如果真的有意为之，只需要PS几张聊天记录就能轻易骗到公司上千万的钱款，这其中蕴含的巨大风险真是让人不寒而栗。

事发之后，深圳能源公告称：公司有严格的财务管理制度，但该名财务管理人员受骗后未遵守资金支付审批流程，违规直接向下属下达付款指令，是造成本次案件的主要原因。从公告来看，只是提及财务管理人员个人未遵守资金支付审批流程，但细细想来并非如此。资金支付的整个动作并非只有该财务管理人员一人在负责，还涉及实质上进行付款的出纳，此外从管理角度来说，这么大额的资金支付起码应该告知其部门领导。如果部门领导或出纳能够按照制度中的要求来执行，提醒一下李某，说不定这个钱也就付不出去了。但是出纳却在没有看到付款申请单的情况下，只是简单的听了直属领导的要求，就这么把钱汇了出去。在案例中还提到一个细节，犯罪分子花了很长的时间来学习和模仿“高层”的聊天语言和习惯，可以推测这位“高层”原本可能就有“补流程”的习惯甚至有直接在QQ上要求该财务进行付款的先例，才使得犯罪分子有隙可乘，加上企业在应急处理的体系上较为薄弱，员工风险防范意识的欠缺，最终导致了事件的发生。由此，该上市公司虽然声称资金支付流程存在严格的财务管理制度，但通过这个案例可见该资金支付程序或未纳入其所谓“严格的财务管理制度”，或只是流于纸面，并未真正意义上做到“严格”。

因此，关于上述三方面的问题，我们给出如下建议：

一、建立真正意义上完善的资金支付程序

对于资金支付流程，公司不仅只是要在制度中明确付款流程由谁发起、由谁审核审批，有谁执行支付动作，还应该要明确发起时需要填写的单据、随后的附件，不同事项按金额、事项重要性不同区分不同的审批程序，不同岗位对应审核与审批的内容（即明确各自应承担的责任），以及如果涉及紧急情况需要审核或审批该如何处理等。

二、系统梳理和构建授权体系

公司可对所有需支付的常规事项进行系统梳理，做出一张详细的《资金支付权限指引表》，一方面要保证与制度内容的一致性，另一方面要将该表发至各领导及业务部门并进行培训。如果公司条件允许的话，建议将该梳理后的事项及对应的审批流程固化进OA或ERP系统，如此可以避免绕开审批事项的发生。在这里特别提醒，很多公司特别容易忽视这一点，即未在制度或培训中明确不同岗位在资金支付流程中的审核内容与职责。

此外，还应该对特殊或临时性授权进行明确规定，包括特殊授权以及临时性授权发生的特定场景、授权表单、授权程序、授权人与被授权人的职责界定等，对于授权需要做好事后的检查与评估工作，尽量避免事后补流程的情况发生。

三、加强监督检查的力度，确保制度的有效落地

对于上市公司而言，按照监管要求必须设有审计部，且每年度都需要开展至少一次的内控自我评价工作，资金流程必然属于需要重点检查的范围。因此，公司进行内控体系建设，不能仅仅只是建有一套纸质的制度或手册，而需要通过培训与检查确保制度能够得到有效的运行和落地。

Copyright©2014-2016 风控在线

该素材文章为风控在线微信公众号原创内容，为风控在线版权所有，如需转载，请注明转载自风控在线微信公众号。如未注明内容出处，我们将联系微信官方进行处理，谢谢！