1. 引言
(一) 研究背景与问题的提出
进入21世纪第三个十年,以数据驱动和资本助推为特征的商业模式迅速崛起,在书写商业增长奇迹的同时,也因其高速扩张的特性对企业内部控制体系提出了前所未有的挑战。内部控制作为公司治理的基石和风险防范的防火墙,其有效性直接关系到企业的经营状况甚至生死存亡。然而,近年来发生的财务舞弊事件,暴露出部分高速扩张的企业的内部控制有严重的弊端。
其中,瑞幸咖啡财务造假案是一个极具代表性的案例。瑞幸咖啡试图通过编制完美的商业故事和全数据化的商业模式成为中国咖啡界的“独角兽”。然而,烧钱式的商业模式最终促使该公司出现财务造假行为[1]。这家曾被誉为“全球最快IPO”的明星企业,通过虚构商品券销售、虚增交易额等方式,累计虚增营业收入高达人民币22亿元。此案不仅导致其从纳斯达克退市,引发了中美资本市场的巨大震荡,更深刻地揭示了一个核心问题:在一个拥有先进数字系统、备受资本瞩目的现代企业中,其内部控制体系为何会系统性失效?为何会发生如此重大的舞弊行为?
(二) 研究切入点与核心问题
基于上述背景,本研究决定从小切口深入,深入剖析瑞幸咖啡财务造假暴露出的内控缺陷。瑞幸想要获得外部融资,就要拥有“美观”的收入和利润,给股东、投资者、银行以信心,这促使瑞幸利用夸大单价和销量的手段虚增收入[2]。这表明其“销售与收款”这一核心业务循环的内部控制出现了重大漏洞,因此,本文聚焦于销售与收款循环中的关键控制活动,尤其是客户身份真实性验证、销售交易记录存在性以及收入确认准确性这三个环环相扣的控制节点。
本研究旨在通过深入剖析瑞幸咖啡公开的权威调查文件与监管处罚决定,回答以下核心问题:在瑞幸咖啡的具体业务情境中,销售与收款循环的内部控制活动是如何在操作层面上失效的?这些具体的操作失效点,又如何折射并根植于公司更深层次的控制环境与监督缺陷之中?通过对这一点的深挖,本研究希望能够由点及面,揭示高速成长企业内控形式化的内在逻辑与风险传导路径。
(三) 研究意义
本研究不研究一个完整的舞弊案例,而是聚焦于一个具体的业务流程控制点,旨在丰富和完善关于新兴业态企业内部控制失效的情境化研究。本研究试图在经典内部控制框架与具体的、动态的舞弊行为之间建立更精细的连接,为理解“控制活动”在实务中的有效与失效条件提供一个真实具体的参考。
(四) 研究方法与案例选择
本研究采用单案例分析法。选择瑞幸咖啡作为研究案例,源于其具备极端性和启示性的典型特征:舞弊规模大、手段直接和与数字化关联紧密。这些特征使其成为观察内控在激进增长战略下失效过程的极佳样本。研究数据全部来源于可公开获取的一手权威资料,包括美国证券交易委员会的起诉书、中国证监会的行政处罚决定书以及浑水公司发布的独立做空调查报告,确保了证据的客观性和可靠性。
(五) 文献综述与研究缺口
围绕瑞幸咖啡事件及企业销售环节内控问题,现有研究已从多个角度展开,但多数文献集中于分析其商业模式缺陷、公司治理失败、法律与监管启示,以及审计师责任。这些研究为本案例提供了丰富的背景,但对瑞幸咖啡事件研究不够具体和深刻。这些论文一方面停留在对瑞幸事件的宏观分析,没有细化至业务流程的具体控制节点;另一方面,关于销售和收款环节的内控研究又较少地和重大舞弊案例紧密结合。具体而言,缺乏一项研究,能够系统地运用COSO框架和销售循环控制理论,以公开的权威处罚与调查证据为材料,还原其销售与收款内部控制活动是如何在实践中被绕过的,并深入阐释这种操作层面的失效与舞弊三角动因、公司整体控制环境之间的内在联系。
本文正是致力于填补这一缺口。通过将经典内控理论与一个极端案例相结合,旨在分析销售与收款控制活动在实践中如何失效的,从而连接起内部控制理论框架与真实的舞弊行为之间的桥梁。
2. 案例背景概述
(一) 瑞幸财务舞弊事件回顾
瑞幸咖啡成立于2017年,以其颠覆性的姿态闯入中国咖啡市场。公司以“从咖啡开始,让瑞幸成为人们日常生活的一部分”为愿景,于2019年5月17日,在纳斯达克上市,创下全球最快IPO纪录;至2019年底,宣称直营门店数量超过4500家,在门店数量上超越星巴克,成为中国最大的连锁咖啡品牌。2020年1月31日,浑水公司发布做空报告,其雇佣了大量人力进行的实地监控和收集的25,843张客户小票,指控瑞幸从2019年第三季度开始系统性虚构门店销售额和商品销售量。同年2月3日,瑞幸咖啡否认浑水公司所有指控。4月5日,瑞幸咖啡自爆财务造假。6月27日,瑞幸咖啡发表声明,将于月29日暂停上市,并且做好退市准备。12月17日,瑞幸咖啡公司宣布接受美国证券交易委员会的一项永久性禁止令,缴纳了1.8亿美元罚金,并与美国证监会达成了和解协议。至此,瑞幸咖啡财务舞弊事件终于告一段落[3]。
(二) 有关虚增销售收入的舞弊手段简述
根据SEC的起诉书、中国证监会处罚决定书及浑水公司报告,瑞幸咖啡在销售与收款循环中舞弊的核心是“系统性虚增销售收入”。瑞幸咖啡通过公司的IT系统,人为调高线上订单的实际销售件数和商品净售价。瑞幸咖啡首先减少了外卖的数量,将大多数单量安排在易操作的门店,2019年送货单数量占比逐季下降,取第一季度与第四季度相比,每笔订单商品数从1.38直降到1.14,见图1。再将取餐码不按顺序排列即跳号的方式来增加门店每日销售订单数量,对于店均销售量,其2019年第三、四季度至少分别虚增了69%、88%。同时2019年第三季度其他产品收入占比6%,瑞幸通过虚增包括便餐、果汁、坚果、马克杯的售价进而虚增4倍收入,手段恶劣[4]。
Figure 1. Luckin Coffee’s items per order declines to 1.14
图1. 瑞幸单笔订单商品数下降至1.14
3. 销售与收款循环内部控制的具体失效表现
本章将依据COSO框架中“控制活动”要素的理论指引,并结合《企业内部控制应用指引第9号——销售业务》的具体要求,对瑞幸咖啡销售与收款循环的内部控制失效进行逐点的分析。瑞幸的舞弊核心在于虚构收入,这直接暴露了其从订单生成到收入确认全流程的关键控制活动形同虚设。以下所有分析均建立在SEC起诉书、浑水做空报告等公开权威证据之上。
(一) 销售与收款循环内部控制的关键节点
销售与收款循环影响企业的整体盈利能力,其目标是销售利润最大化和收款风险最小化[5]。针对瑞幸的线上线下融合模式,其关键内部控制节点至少应包括:
1) 销售订单的授权与生成:订单处理是企业销售环节的起点[6],确保所有订单,特别是大额或异常订单,经过适当授权,并在系统中留下不可篡改的轨迹。
2) 发货与单据核对:确保记录的收入有真实的商品交付或服务提供作为支持,并保有连续编号的交付凭证。
3) 发票开具与收入确认:确保收入在正确时点、以正确金额入账,并依赖与客户的对账等独立核对程序。
4) 职责分离:将客户开发、订单处理、发货、开票、记账及收款等职责分配给不同部门或人员。
5) 信息系统一般控制:确保支撑销售流程的IT系统本身安全、可靠,数据访问与修改权限得到严格管理。
(二) 控制活动的失效
1) 订单真实性验证和连续编号的失效
内控弊端:浑水报告通过线下调查并且检查线上提货码和线下提货数量核对,发现大量跳号订单,虚增销售量,导致销售收入的夸大。这表明瑞幸咖啡的订单系统缺乏有效的防篡改和连续性控制,允许订单被事后删除或插入,缺乏对系统日志与后台交易数据的独立、常态化稽核,无法发现订单数据与真实业务量之间的巨大差异,并且IT一般控制中的系统访问安全与程序变更管理可能也存在重大缺陷,使得舞弊人员能够操纵系统数据。
应有控制:在线上交易系统中,应设置连续编号检查以防止异常订单,如对同一账户在极短时间内大量下单、订单号不连续等异常进行预警或拦截。系统日志应被安全保管并定期审查。IT一般控制中的系统访问安全与程序变更管理需要严格限制,诸如进入IT系统需要授权认证等。
2) 价格与折扣管理控制失效
内控弊端:SEC指出,瑞幸咖啡通过将大量折扣订单在财务报表中按全价确认收入来虚增销售额。这表明促销系统与财务收入确认系统之间缺乏自动、准确的对接与核对,财务人员可能未获取真实的交易净额数据,或获取了但未予采用。并且公司没有建立有效的程序来监控大规模促销活动的财务影响,并确保会计处理符合准则。对异常高的有效价格缺乏敏感性分析和调查。
应有控制:销售价格与折扣政策应经过统一管理和授权,系统应能准确记录促销交易的原价、折扣与净额,并确保财务按净额确认收入。
3) 职责分离与内部监督失效
内控弊端:如此大规模的C端数据造假能够持续数月,表明瑞幸咖啡内部运营权力过于集中,COO及其团队可能同时掌控了门店运营、销售数据生成和向总部汇报的渠道,形成了不受制衡的权力区块。并且内部审计职能很可能缺位或失效,内部审计部门未能通过抽查门店、分析底层交易数据等常规手段,发现运营部门上报数据的严重不实。
应有控制:负责门店运营、数据录入的团队,与负责财务记录、内部审计的团队应严格分离。内部审计应定期独立检查门店运营数据与财务报告数据的一致性。同时要避免大股东操纵整个企业和维护独立董事的独立性,力争推进企业股权的多元化、多层次化[7]。
4. 原因探究:从“操作失效”到“系统失灵”
第三章的剖析清晰地表明,瑞幸咖啡在销售与收款环节的内部控制活动发生了系统性崩溃。然而,这些具体的、操作层面的失效,并非偶然或孤立的技术故障,而是植根于公司整体内部控制环境、风险管理哲学与监督文化的必然结果。本章将视野提升至COSO框架的系统层面,深入探究其控制活动失效背后的控制环境缺陷、风险评估缺位、信息沟通扭曲及监督机制失灵等深层原因,并运用舞弊三角理论进行整合解释,最终构建一个理解瑞幸内控全面失效的理论模型。
(一) 控制环境的根本性缺陷:文化、治理与管理层凌驾
1) “增长至上”的激进文化
公司的战略核心是“不计成本的扩张”,这演变为一种唯数据论的激进文化。门店数量、交易用户数、销售额等量化指标成为衡量成功的唯一标准,甚至与员工的绩效考核和激励强烈绑定。在这种文化压力下,真实的业务健康度、流程合规性与长期风险让位于快速的增长数据。道德价值观和诚信承诺在实践中被边缘化,因此促进了“未达目的不择手段”这一价值观的形成。
2) 形同虚设的公司治理结构与管理层凌驾
尽管公司设立了形式上完备的治理结构,但董事会特别是审计委员会,未能对管理层进行有效监督。对于COO刘剑所管辖的、涉及大量交易数据的运营部门,审计委员会未能保持应有的职业怀疑,也未建立有效机制来独立验证其汇报数据的真实性。SEC的调查指出,虚构交易是在部分高级管理人员的组织、指使下进行的。这典型地体现了管理层凌驾内部控制这一最重大的内控风险。当管理层为达到不切实际的业绩目标,直接策划并实施舞弊时,所有旨在约束普通员工的具体控制程序都变得苍白无力。
(二)风险评估缺失与舞弊动因分析
1) 风险评估流程的形式化
在增长压倒一切的背景下,瑞幸咖啡管理层和董事会沉浸于快速增长的泡沫中。他们未能清醒地认识到,在巨额资本压力、上市承诺和对赌协议带来的巨大业绩压力下,管理层和员工进行财务舞弊的风险已急剧升高。同时,基于浑水报告给出的关于瑞幸咖啡欺诈的五条铁证,说明瑞幸咖啡在采取相关定价、跳号、广告投入等措施时,并未对其采取措施进行风险评估,没有规避风险,更没有对风险进行分析[8]。
2) 基于舞弊三角理论的动因分析
Figure 2. Integration of motivations in the fraud triangle theory
图2. 舞弊三角理论动因整合
压力/动机:来自于资本市场对持续爆炸性增长的期待、前期巨额投资需要回报的压力以及管理层个人声誉与财富与公司股价的深度绑定。
机会:由薄弱的控制环境和失效的具体控制活动共同创造。管理层凌驾使得控制形同虚设,而具体的控制漏洞则提供了技术上的可操作性。
借口:激进的颠覆者叙事可能被扭曲为在特殊发展时期采用非常手段的借口;为了公司长远发展等的说辞,可能被用以粉饰舞弊行为的道德负罪感,见图2。
(三) 信息与沟通系统的扭曲
信息沟通在内部控制体系中也发挥着难以替代的作用,企业有了良好的控制环境和健全的风险评估体制,还需要有效的信息沟通,这样企业才能更好地发挥内部监督的作用,进而有效地“纠错”[9]。瑞幸咖啡存在以下的沟通系统问题:
1) 内部报告渠道的阻塞与失真
真实的一线运营数据在向上汇报的过程中,被参与舞弊的运营团队人为篡改。财务部门获取的交易数据不真实和原始,而是被篡改后的结果。内部信息传导链条被故意切断,使得负责监督的董事会、审计委员会以及内审部门无法获取赖以判断的真实信息。
2) 对外财务报告的蓄意错报
公司定期向公众和监管机构发布的财务报告,是内部虚假信息经过会计系统正式包装后的产物。整个沟通系统不是用于传递真实情况,而是用于维系一个精心编织的增长谎言。
(四) 内部监督的失灵
内部审计部门本应作为独立的监督力量,对包括销售流程在内的关键业务活动进行定期审计。然而,在瑞幸案例中,内部审计未能发现或报告如此大规模、系统性的销售数据造假。这要么是因为内审部门缺乏独立性、资源或专业能力,要么是其审计范围和方法未能触及核心风险,导致其监督职能完全失效。
(五) 整合性分析:一个系统性失效的理论模型
基于以上分析,我们可以构建一个解释瑞幸内控失效的整合模型。该模型揭示,失效是一个环环相扣的系统性过程,见图3。
Figure 3. Schematic diagram of the runaway model
图3. 失控模型图示
第一阶段:战略与文化驱动。资本驱动的极端增长战略,催生了增长至上的文化和不切实际的业绩目标,使得舞弊有了最初的压力源。
第二阶段:治理与控制环境弱化。创始人/管理层高度集权,导致董事会、审计委员会等治理机构内部制衡失效。这极大地削弱了整体控制环境,为管理层凌驾创造了机会。
第三阶段:具体控制活动被架空。在恶劣的控制环境和明确的舞弊意图下,销售与收款循环中各个关键控制点被设计得漏洞重重,从而使得虚构收入能够具体执行。
第四阶段:信息扭曲与监督失灵。失真的业务数据通过被阻塞的内部渠道上报,形成虚假的财务报告。失效的内部审计和外部审计未能及时发现这一系统性错报,最终导致风险全面爆发。
这一模型表明,瑞幸的悲剧并非某个控制环节的偶然失误,而是在特定战略导向下,从控制环境,到具体控制活动,再到监督反馈的整个内部控制体系系统性崩溃。这为类似高成长、高压力企业的内控风险提供了警示。
5. 结论、启示与展望
(一) 研究结论
本研究以瑞幸咖啡财务舞弊案为例,聚焦其销售与收款循环,揭示其内部控制的系统性失效,包括订单真实性验证、价格管理及职责分离等环节的失控。这种失效根植于扭曲的控制环境、缺失的风险评估、失真的信息沟通与失灵的监督机制,体现了从战略激进到具体舞弊行为的连锁反应过程,验证了内部控制五要素的系统性关联与整体失效路径。
(二) 管理启示与建议
1) 对企业内控建设的启示:销售与收款环节是企业利润的主要来源,随企业发展及经济业务频繁往来,其内部控制就显得尤为重要[10]。高速成长型企业需重视销售与收款环节的作用,建立有效的内部控制程序。实施与业务扩张同步的风险评估,识别舞弊压力;强化数字化运营中的基础控制,如系统日志不可篡改、业务与财务数据自动核对、职责严格分离;要加强中小股东的话语权,避免大股东联合形成内部人控制,让中小股东参与企业的一些决策[11]。
2) 对监管与资本市场的建议:监管应严格执行监督,关注非财务数据与财务数据的勾稽关系;强化对审计师等中介机构的督导,提升其对信息系统审计与管理层凌驾风险的警觉;完善内部举报人保护机制,发挥监督补充作用。
3) 对投资者的警示:投资决策应超越财务数字,综合评估公司治理、内控披露及管理层诚信;并运用第三方数据交叉验证企业业绩,保持独立判断。
(三) 研究局限与展望
本研究为单案例分析,结论的普适性需更多案例验证;依赖公开二手资料,对某些内部环节的分析深度有限;聚焦销售循环,未延伸至其他业务环节。未来研究可结合多案例比较或深入访谈,进一步探讨新兴企业内控失效的预防与修复机制。