针对Bybit薪酬事件,我们需要思考何种财务管理理念?

对Bybit薪酬事件,需要思考何种财务管理理念?

事件回顾与分析:Bybit发薪负责人滥用职权事件

作者:TaxDAO

吴说区块链在7月28日报道了《离奇案件全文: Bybit发薪负责人大量盗取USDT 新加坡法院详解加密货币财产属性》这一事件,引起业内不少讨论。本文将从财管角度进行分析与总结。

事件概要

加密交易所Bybit起诉负责公司内支付工资的Ho女士滥用职权,将大量USDT转移到她秘密拥有和控制的地址。新加坡高等法院普通庭7月25日维持判决Ho女士立即向Bybit支付所有转移的款项与利息。

事件细节分析

  1. ByBit寻求对第一被告,名为Ho女士的判决。对她的指控是,她违反了她的雇佣合同,滥用了她的职务,将一些USDT转移到了她秘密拥有和控制的地址,以及一些法币转移到了她自己的银行账户。ByBit要求退还相同的或可追溯的收益,或支付等价值的金额。

    细节分析:

    1. Ho一人完全控制薪酬有关加密货币账户和法币账户,无多级授权;
    2. 资金控制流程存在较大漏洞(与账户有关的内控缺失即使只损失1美元也是较大漏洞)。
  2. 作为她的职责的一部分,Ho女士维护了一份微软Excel表格,该表格记录了每个月应支付给ByBit员工的现金和加密货币支付(分别为“法币Excel文件”和“加密货币Excel文件”)。ByBit的员工可以并且确实经常通过向Ho女士传达新的地址来更改他们指定的地址,然后Ho女士会更新加密货币Excel文件。只有Ho女士能够更新加密货币Excel文件,并且只有她能访问这些文件,除了每个月需要将加密货币Excel文件提交给她的直接上级Casandra Teo审批。

    细节分析:

    1. 发薪地址的收集流程较为随意,可以随意修改,没有留痕;
    2. 发薪地址的审核不仅是形式上的,而且审核资料是单一来源,没有办法确认接收地址是否真实或者被造假。
  3. 2022年9月7日, ByBit发现在2022年5月31日至8月31日之间发生了八笔不寻常的加密货币支付(“异常交易”),涉及向四个地址(我将其简单地称为地址1、2、3和4)转入大量的USDT。总共转移了4,209,720个USDT(“加密资产”)。异常交易被编入一个Excel电子表格(“对账Excel文件”),Ho女士被指派负责解释这些差异。Ho女士最初将异常交易归咎于无意的错误或技术错误,并提出计算需要从ByBit的员工那里收回的金额。

    细节分析:

    1. Bybit内部应该有对账过程,但时间相对滞后,可能与业务量较多中后台支持无法跟上的原因有关;
    2. 事后补坑的成本远远大于事前规划的成本。
  4. ByBit还发现Ho女士在2022年5月导致117,238.46美元(“法币资产”)被支付入她的个人银行账户。无可争议的是, Ho女士无权得到法币。

    细节分析:

    1. 法币账户也沦陷,百思不得其解,法币发薪这样传统的工作,不管是流程还是工具案例应该数不胜数;
    2. 即使出于薪资保密的原因需要交由HR进行支付和授权(部分工作脱离财务控制),但是基本的工资表制作、银行支付动作和授权三者也需要分离。

适用于Web3的财管理念

Web3经过多年发展除了涌现不少商业巨头,也在吸引越来越多Web2的人才进入,结合最近两年监管和合规环境的演变,必要的财管思路和手段需要引起越来越多的Web3公司重视。

  1. 保护加密&法币账户的安全:隔离风险,分离基础信息收集节点、操作节点和授权节点,并且在每一个节点验证不同来源的同一信息,避免信息源只有一处并无法对比溯源。

  2. 财务核验机制:如定期对账、记账,同样的验证不同来源的同一信息,避免信息源只有一处并无法对比溯源,频率不应超过一个月。核验机制保证了”业务闭环”,即事项的发生和是否发生的正确和在轨相互验证。

  3. 会计记录-包括加密货币:完整有效的会计记录以及可回溯的证据链将大大降低内控失效的风险,并且利用会计记录进行经营管理和应对外部合规义务(FTX的崩溃与其混乱的会计记录也存在一定关系)。

  4. 内控的必要性:重要的是要有经营管理和内控的Sense,如果能配合内化了内控、会计、税务大量实操经验的优秀自动化管理软件,可以最大化保证你的加密事业行稳致远。

综上所述,通过对Bybit发薪负责人滥用职权事件的分析,我们可以看到在Web3时代,财务管理的重要性更加凸显。采取适用于Web3的财管理念,保护账户安全、建立财务核验机制、做好会计记录和加强内控,将有助于确保加密事业的稳健发展。