作者:法务新哥
新哥最近发现,虽然股市持续低迷,但是A股上市公司的公告却是越来越有意思了。之前有上市公司以1元钱价格转让设计院的公告,现在就有上市公司遭遇电信诈骗的公告。上市公司的公告宛如商界“故事会”,让广大股民在炒股之时还能消遣娱乐一番。
那么,这个“电信诈骗”又是怎么回事呢?我们可以从海普瑞的公告中了解一二。
1月14日晚间,海普瑞(002399.SZ,09989.HK)发布《关于子公司重要事项的公告》称,全资子公司Techdow Pharma Italy S.R.L.(以下简称“天道意大利”)近期遭遇犯罪团伙电信诈骗,涉案金额约1170余万欧元。按最新汇率计算,涉案金额超过人民币9000万元。
该公告引起了监管部门的关注。2024 年1月18日,深圳证券交易所发出了《 关于对深圳市海普瑞药业集团股份有限公司的问询函 》(以下简称“《问询函》”),要求海普瑞就被诈骗过程进行详细说明。
根据海普瑞对《问询函》的回复,犯罪分子通过伪造公司高管、外部律师及审计师邮箱等方式向意大利子公司总经理发送邮件,并以公司正在进行一项高度机密的并购为由设下骗局,使得意大利子公司总经理误认为该事项属实并按照犯罪分子的要求避开公司内部资金支付流程,累计向其打款1170余万欧元。
本以为缅北电诈团伙被铲除后,电信诈骗的案件就会大幅减少。没想到人家是东方不亮西方亮,跑到欧洲去“开辟第二战场”,而且骗的还是大家认为管理较为规范的上市公司。海普瑞这下让诈骗团伙喜提春节大红包,可以过一个“肥”年了。
对于这种利用电子邮件骗取款项的案例,新哥以前也听说过。十几年前,有一家设备制造企业的公司邮件系统被人“黑”了。犯罪分子用公司的官方邮箱给一家欧洲的客户发送电子邮件,要求对方将之前已发货的备件价款直接打到香港一家公司的银行账户上。这家欧洲客户之前一直是通过电子邮件下备件订单、接收发货信息,以为中国公司是要他们委托付款。再加上欧洲跟中国又有时差,金额也不大,只有十几万元人民币,因此欧洲客户就直接打款到香港的银行账户了。中国公司是在催款时才发现的,此时报案也为时已晚。大家都知道,香港那边“皮包公司”特别多。即便能追查到银行开户信息和公司股东,也不一定能找到犯罪分子。
不过,欧洲客户是“善意第三人”,不算上当。中国公司相当于被“盗”了,在主观上没打算违规操作。只能说犯罪分子的网络技术太“高超”,利用网络漏洞黑了中国公司的官方邮箱。这与海普瑞被骗案中的“伪造邮箱”还不一样。
网上有人怀疑海普瑞的“电信诈骗”是不是自编自导,个人认为这不可能。毕竟海普瑞因为这个“电信诈骗”事件,半个月时间内,A股市值就已经缩水了30亿元。为了这不到1亿元人民币,犯不着这样哈。
俗话说得好,“苍蝇不叮无缝的蛋”。海普瑞这次上当受骗,与其内部管理不规范有着直接关系。就这件事,新哥与长期搞内控、审计工作的朋友聊过。他认为海普瑞内部这种“避开公司内部资金支付流程”,绝对不是第一次了。正是因为以前有过这种先例,其意大利子公司的总经理才会这么容易轻信。别看这是一家上市大公司,一样存在合规管理上的重大漏洞。
这不禁让人想起在安全管理界非常经典的“海恩法则”。根据这一法则,每一起严重事故的背后,必然有29次轻微事故和300起未遂先兆以及1000起事故隐患。
在《问询函》中,监管机构也要求海普瑞“请你公司结合本次“电信诈骗”事项,进一步自查资金支付以及子公司管理内部控制制度的执行情况,相关内部控制是否能够有效实施,公司董事、监事和高级管理人员在资金支付环节的责任履行情况,是否存在未能勤勉尽责的情形。”
海普瑞在公告的回复如下:
公司目前现行有效的包括《子公司管理制度》、《全球账户管理流程及余额报送机制》、《应付账款管理流程》等制度及流程,其中明确了相关资金支付环节的审批流程与权限。本次事件中,意大利子公司总经理遭受诈骗,在误以为公司收购事项属实并得到了管理层的授权后,按照犯罪分子以保证机密为由的要求,刻意避开公司内部资金支付流程,向其进行了打款。
目前未发现公司董事、监事和高级管理人员在资金支付环节存在未能勤勉尽责的情形。公司已成立独立第三方调查小组,来针对本次事件进行独立核查并出具报告。专项调查组由公司独立董事领导,并委托国际领先的法证调查团队在知名国际性律师事务所的协同配合下开展调查工作。
说实话,看到这样的答复,我感到非常困惑。既然有明确的“资金支付环节的审批流程与权限”,那么,“刻意避开公司内部资金支付流程”算怎么回事呢?难道还算“勤勉尽责”吗?我也很期待海普瑞后续的公告,看看调查工作报告是如何分析定性。
“前事不忘,后事之师”。身为专业人士,在“吃瓜”之余,我们有必要引以为鉴,审视我们各自所在的企业是否存在类似的问题,能否经得住这种外来的诈骗考验。
海普瑞这起“电信诈骗”案例再一次证明,企业合规管理是确保企业经营活动合法、合规的重要环节,尤其在当今全球化经营环境下,面临的风险更加复杂多变。从海普瑞子公司遭遇电信诈骗的事件来看,至少有以下几个方面值得高度重视和加强:
一、内部控制和审批流程
海普瑞意大利子公司的总经理能够轻易地绕过正常的企业内部资金支付流程,表明企业在内部控制方面存在漏洞。即便其内部已经建章立制,但是在执行过程中仍有“翻墙”空间。
二、安全意识
企业员工,包括高级管理人员对敏感信息和交易的保护意识不够强烈,未能有效识别并防范诈骗。企业需要加强员工的合规与安全意识培训,定期进行反诈骗教育,确保员工能够识别并防止潜在的诈骗行为。
三、信息核实机制
在涉及重大决策和财务支付时,没有建立有效的信息核实机制来验证交易本身和交易对方的真实性。
企业应建立一套完善的验证程序,包括定期更新高级管理人员和关键合作伙伴的信息以及使用官方渠道(包括企业内部和外部的)验证信息真实性。
四、应急响应机制
在发现诈骗行为后,企业可能缺乏有效的应急响应机制来迅速处理问题并减少损失。
企业应制定应急响应计划,建立快速反应团队,一旦发生诈骗或其他安全事件,能够迅速采取措施降低损失。建议参考平时的消防演练,适时开展诈骗应急响应演练。很多企业平时对反诈的培训、宣传比较多,但是对这种万一被骗后的演练却很少。
结语
海普瑞的“瓜”,着实给我们提了一个醒。不管是大公司还是小公司,也不管是否上市,都或多或少存在着合规管理风险。合规管理不是空喊口号。如果我们不重视合规管理,一旦被人利用合规管理上的漏洞,就会给我们带来无法挽回的巨额损失。