一、案例：

1、案例背景：

2021年11月至2023年，某知名啤酒企业合作科技公司员工李某，利用职务便利盗取企业营销账户资金650万元。

2、作案手段：

根据披露的作案手段，主要为：

（1）权限滥用
李某负责生成中奖二维码，虽无资金管理权限，但通过系统漏洞间接操控营销活动对应的银行账户。通过修改后台数据，修改中奖电子二维码，并自扫自领奖金后转回个人账户。

（2）隐蔽操作

①补足安全线：每逢节假日（如“五一”），李某在账户余额低于安全线（如30万元）时自己掏钱主动充值至安全值，节后再将资金扫出，避免问题暴露；

②虚构报销理由：以“公司需报销出差费用”为由，要求亲友协助扫中奖二维码取得款项后转账，掩盖资金流向。

（3）规避监控
利用对系统机制的熟悉，李某长期伪造操作记录，制造合规假象，使内部审计未能及时发现异常。

二、内控管理启示

（一）我们从内控角度看这个案例，我们先分析案例中中奖二维码的生成、资金管控、兑奖流程，见下图：

从上述流程图中，我们通过识别，可以看到存在以下风险：

（1）科技公司的信息系统开发、日常运营风险

该项业务严重依赖信息系统，从电子二维码的生成、提交及打码制作，到后期消费者兑奖，都依赖该电子二维码，如出现电子二维码未按中奖比例要求生产错误、授权不当导致泄漏、人为篡改等，可能导致该流程出现无法挽回的情况。

从该案例中，“李某利用制作中奖二维码的职务便利，从2021年11月起，使用系统权限偷偷修改后台的中奖二维码”，也显示该风险未设置防范措施而造成的危害，信息系统操作授权不当、系统漏洞未及时处理等因素是导致舞弊发生的根本原因。

（2）资金管理

通过流程图我们发现，营销账户资金监控、资金支付等方面缺乏必要的监管措施，如营销账户资金监控方面，资金的支付未建立必要的系统监管预警机制，导致多次支付同一账户这一异常的兑奖情况未能被及时发现。

在案例中，也是导致出现“李某甚至拉上亲朋好友帮忙，每天像打卡一样疯狂扫码领奖”情况原因所在。

同时啤酒公司未建立资金预算监控及定期资金安全检查机制，未定期对营销资金支付情况与销售情况的匹配性及合理性进行监控分析，未定期检查营销资金的使用情况。

案例中“啤酒公司有专门的财务总监，他负责监管账户，他发现这个账户正常来说有预存款50万元左右，他发现账户的金额总是很少，就是10万元、20万元，因为正常的活动不可能消耗这么大的钱”，资金异常情况长期发生才引起该公司财务总监的警觉，导致损失扩大。

资金管理失控是此次舞弊事件发生的主要原因。

（3）信息传递管理不畅

通过流程图我们可以发现，资金监管公司与啤酒公司无法直接沟通，需要通过科技公司代为传递资金信息。

案例中“那边的监管公司也会提醒他说账户的钱不到安全线了，然后说你联系一下供应商，他一听，然后他自己就会往里补钱补到安全线。过了“五一”，安全线没问题了，他再通过扫码方式再把这钱再扫出来”，信息传递管理不畅给舞弊隐蔽性带来了便利，账户的异常情况不能及时暴露。

（二）其他内控问题

（1）不相容岗位未进行分离

该案例中，李某主要工作职责为“对接5个大区的二维码生成，实际上他工作的职责不包括管理账户”，但“因公司的人比较少或这方面考量不是特别多，间接的他实际上是对活动的账户也有监管。又能间接操控营销”，按舞弊三要素理论中的三要素“压力、机会和自我合理化”，公司因不相容岗位未有效分离，该员工既能操纵中奖情况，同时又能控制营销银行账户的变动以避免发生预警情况，给予该员工舞弊的机会。

（2）内部监督检查机制严重缺失

啤酒公司方面未建立定期对账及经营管理检查机制，案例中“一年多的时间，直到啤酒企业对账时发现奖金的中奖率高得离谱，才发现奖金池竟被掏空了650万元”，作为在竞争非常充分行业环境中，未定期对营销效果、营销费用花费情况进行对账、总结和效果评价。

同时其内部审计部门未对相关大额营销费用（仅该员工挪用金额就达650万）进行定期的分析和检查，尤其是营销费用对销售的支持和效果未进行定期的检查，及必要的穿透核查（中奖率异常问题），也说明其内部审计部门相关的内部监督方向存在缺失。

三、内控建议

1、所谓“工欲善其事，必先利其器”，随着信息化、数字化在企业管理中的普遍应用，如何将日常的内控管理嵌入信息系统中，企业应在系统开发、日常运营阶段深入思考信息系统管理，避免出现授权不当、系统漏洞等问题，导致企业出现各类损失。

2、公司应形成良好的内控、合规文化，案例中，该舞弊人员将挪用的资金大部分用于“日常挥霍和网络游戏当中”，而企业直属管理人员竟无察觉，说明该企业对内控管理并无深入认识，也未组织员工进行定期的反舞弊、合规学习，以对各类违规、舞弊事项进行预防，同时应建立举报与容错机制，开通匿名举报通道，承诺对有效线索给予奖励，建立“首报免责”制度，鼓励员工主动暴露操作失误。

3、企业应完善内控管理，特别是关键岗位轮岗、不相容岗位分离、资金管理、内部监督等方面，构建完善的内控管理体系，并建立内控合规考核指标纳入部门及员工绩效考核指标，为企业的正常运行保驾护航。