我们公司上周差点被假老板视频骗走 12 万 现在想改转账流程但不知道怎么弄合理

这类“假老板视频催款”事件后，小公司改转账流程的核心结论是：建立“多因子校验+职责分离+留痕”的标准流程，小额加快、大额从严，所有紧急款项一律不走“临时特批口令”，而是走可落地的替代路径(如先付小额占位、由法定渠道复核)。适用于20-50人、无专职IT的中小企业，能在不显著拖慢业务的前提下，把单点被冒充的风险降到可控。

小公司改“转账流程”的最低可行方案

• 分级限额与双人校验
  • ≤1万元：经办人+出纳双签即可，保留原票据。
  • 1-5万元：经办人+部门负责人+出纳三签，短信/IM内确认留痕。
  • ≥5万元或紧急款：必须走“双人以上独立渠道复核+书面指令”。
• 独立渠道复核的刚性要求
  • 复核对象：指令下达人+付款对应业务负责人(两人)。
  • 渠道要求：使用事先备案的“白名单号码/座机/加密企业IM”，且由两名不同复核人分别完成，不得同一人串联。
  • 复核内容要点：对方身份、合同/采购单号、收款账户户名与合同一致、金额与用途、变更原因。
• 职责分离与反滥用
  • 立项/采购、审批、制单、复核、出纳付款五步分权，关键步至少“两人不同岗”完成。
  • “老板口头/视频特批”不得直接替代审批与复核。确需加急，走“加急单”模板(见下)。
• 账户与收款方管理
  • 供应商账户“白名单”：开户行、户名、账号与合同一致，任何变更需“原渠道+书面章”双重确认。
  • 新增/变更收款账户：一律48小时冷静期，冷静期内最高先付不超过1万元小单保供。
• 留痕与可追溯
  • 标准化“付款指令单”和“复核记录表”电子留档；聊天截图、来电录音、来电号码比对表一并归档。
  • 网银或U盾操作全流程留痕：制单人、复核人、付款人及时间戳。

以上做法符合监管倡导的分级授权、职责分离与留痕原则，可参考银企支付安全的通行做法与监管倡议思路，遇诈骗线索可向公安部与96110咨询。

“假老板视频”场景的具体防线

• 视频/语音不作为唯一凭证
  • 视频、语音、头像都可被伪造；任何“只催转账、避开流程”的，自动提升到最高核验等级。
• “动作验证”和“口令”怎么用才不尴尬
  • 不建议日常随机暗号(维护成本高、易泄露)；可设“交易日一次性核验码”(见下)。
  • 动作验证可用，但仅作“弱信号”，例如要求对方展示当日纸质核验码或读出企业IM里当天生成的核验短句；要配合独立渠道复核，不能单独作为凭据。
• 手机号与IM“白名单”
  • 给每位关键决策人备案2-3个“对外发布且定期核验”的官方联络渠道；财务只接受白名单来源的指令。
  • 任何“临时新号/临时企业微信/临时邮箱”一律视作高风险。

可直接落地的流程与模板

• 加急付款三步法(≥5万元、含“老板催款”情形)
  1. 业务负责人提交“加急付款指令单”(含合同/PO/发票/收款账户与变更说明)；
  2. 财务A发起双人独立渠道复核：致电老板白名单号码核对要素；并同步联系业务上游负责人或法务核对合同与账户一致性；
  3. 财务B完成网银制单，出纳复核后付款。若资料不齐但确需保供，可走“先小后大”：先付≤1万元占位，24小时内补齐要件后付清。
• 当日一次性核验码(弱信号辅助)
  • 每天上午由行政在企业IM群内(仅核心管理与财务可见)发布6位核验码，当天对外紧急款指令，要求指令人“视频展示手写码+口述当日码”；同时仍需电话白名单复核与书面要素齐备。
• 付款复核记录表(要点)
  • 复核人姓名/岗位/渠道(座机/白名单手机号/企业IM)
  • 合同号/PO号/供应商户名与账号/金额/用途/变更原因
  • 对方回答的关键信息与时间戳
  • 截图与录音存档路径

安全与效率的取舍建议

• 用“金额分级+冷静期+先小后大”平衡速度与安全
  • 真紧急业务通常能接受先付小额锁货；骗子不愿意等48小时冷静期。
• 把“不礼貌”的核验前置为“制度化动作”
  • 在合同与供应商告知书中明确：涉及付款变更与加急，企业将进行电话复核与当日核验码确认。这是制度，不针对个人，减少尴尬与阻力。
• 培训与演练
  • 每季度10分钟桌面演练：“假老板催款”情景走流程；新人入职财务/采购第一天学习“红线清单”。

必备的红线与常见坑

• 红线
  • 任何人以任何理由要求“跳过审批/只走视频口头”，一律不付。
  • 不向“新账户”“个人账户”付款，除非完成变更核验与冷静期。
  • U盾/企业网银口令不得外借，不共享电脑自动登录。
• 常见坑
  • “对公户名只差一字/多空格”即是风险，必须与合同完全一致。
  • “截图的转账凭证”可伪造，需在网银对账中核验入账。
  • “公章照片/扫描章”不等于书面原件，对账户变更无效。

配套清单(一次配置，长期使用)

• 名单与渠道
  • 决策人白名单号码/座机/企业IM ID清单，季度复核一次。
  • 供应商账户白名单台账，变更留痕。
• 文档模板
  • 付款指令单、加急付款指令单、付款复核记录表、供应商告知书(含核验条款)。
• 技术与工具(无IT也可用)
  • 网银企业权限分权与双人复核开关；U盾分人保管。
  • 企业IM内的“只读群”发布当日核验码；手机录音与截图规范。
  • 来电显示校验：优先用通讯录白名单或座机回拨。

如遇已发生的可疑来电、可疑账号变更或款项异常，先暂停流程，通过白名单渠道复核；发现诈骗线索或资金受损，及时拨打96110或110，并向国家反诈中心咨询处置建议，涉及违法线索可同步向中央网信办举报中心提交线索。

本文为一般性合规与流程建议，具体制度应结合你公司业务与合同安排，由管理层审议通过；涉及法律责任边界与合同条款变更，建议再咨询本地律师或会计师。

哎我觉得你想太复杂了。与其纠结各种验证办法,不如从流程源头卡死。超过一定金额直接规定必须有书面授权,就算是老板也得发邮件或者用公司系统里的审批单,视频、微信都不算数。这样就算骗子把视频做得再逼真也没用,因为你根本不执行口头指示。

至于暗号、特定动作这些,我觉得确实有点多余。小公司二十来人天天见面,设暗号反而显得不信任。关键还是要打破"急就能绕流程"这个思路——真的紧急,老板也能抽空发个邮件或微信里说"等下查收审批单",这俩分钟耽误不了大事。你就坚守这条线,再闹心的事儿也得走,这样既安全又显得你专业。

我建议你们弄个简单暗号就行，每天换一句比如“今天项目进度多少”这种，只有对得上才转。视频里再逼真也问不出来，操作起来也不麻烦，小公司最实际。

超过5万电话确认是对的，但光打电话不够。我们公司后来加了一条：不管金额大小，只要老板在微信或视频里让转账，必须走OA审批，OA上老板得亲自用电脑点同意，不能是手机批的。这样就算视频是假的，OA系统他登不进去。另外视频里让老板比个随机手势，比如先握拳再比心，这不算不礼貌吧，谁家老板天天让财务比手势，但关键时刻能救命。

我之前也听过类似的事，视频里人像声音都对但其实是假的。你们现在最怕的就是声音也被伪造，所以超过一定金额直接打老板平时那个手机号确认，比微信视频靠谱多了。暗号可以不用天天搞，就大额转账前让老板发个特定 emoji 或者一句话就行，不会显得奇怪。

楼上说得在理,再补一个很关键的细节:你们现在没IT部门,那最好的办法就是双人复核不是电话复核,是面对面复核。超过5万,出纳填完单子必须拿纸质单子找另一个同事(比如你或者主管)当面签字,然后再由你打电话给老板确认。电话那头哪怕声音一样,只要对面不是老板本人,这个纸质签字环节就能卡住——骗子不可能同时控制你们公司三个人。至于暗号,别觉得怪,公司内部定个比如“今天食堂吃什么”这种随口问的就行,又不是中二接头暗号。另外视频要求做动作其实不冒犯,直接说“老板你手机没关美颜,晃一下脸”开玩笑的语气就行,真老板不会生气。