Доверен счетоводител с 16-годишен стаж. Печат с подпис, оставен в чекмеджето на бюрото ѝ. Сто петдесет и четири чека, написани на нейно име в продължение на десетилетие. Докато собственикът разбере, над 200 000 долара вече ги нямаше — както и всякакъв реалистичен шанс за възстановяването им.
Тази история не е изключение. Докладът до нациите за 2024 г. на Асоциацията на сертифицираните проверители на измами (ACFE) установи, че организациите с по-малко от 100 служители търпят медианна загуба от $141 000 на случай на измама — най-високата стойност от всички категории компании според размера им. Типичната схема продължава 12 месеца, преди някой да забележи, като източва около $9 900 всеки изминал месец. А най-честата причина малките фирми да бъдат удряни по-тежко от големите? Липсата на вътрешен контрол — по-точно, един човек, който върши цялата финансова работа, защото „сме твърде малки, за да я разделяме“.
Вие не сте твърде малки. Просто се нуждаете от различен план от този, който би начертал контрольор на компания от Fortune 500. Това е този план.
Какво всъщност означава разделение на задълженията
Ако премахнем одиторския жаргон, разделението на задълженията (SoD) е една-единствена, непоколебима идея: нито един човек не трябва да може да извърши финансова злоупотреба и след това да я скрие. Това е целият смисъл. Всяко друго правило, контрол и процедура произтича от този принцип.
Одиторите разделят финансовата работа на всеки бизнес на четири функции. За да бъде трудно извършването на измами и съществени грешки, тези четири функции трябва да бъдат разпределени между различни хора, когато е възможно:
| Функция | Какво обхваща | Пример |
|---|---|---|
| Оторизация | Одобряване на извършването на транзакция | Одобряване на фактура от доставчик, одобряване на ведомост за заплати, одобряване на възстановяване на средства |
| Попечителство | Физически или дигитален контрол върху самия актив | Съхранение на чековата книжка, право на подпис, притежание на фирмената кредитна карта |
| Записване | Въвеждане на транзакцията в счетоводните книги | Отразяване на сметки в счетоводната система, записване на депозити, обработка на заплати |
| Равнение | Проверка дали записите съвпадат с независими доказателства | Равнение на банковото извлечение с главната книга, съпоставяне на извлечението от кредитна карта с касовите бележки |
Счетоводителят, който е записал транзакцията, не трябва да бъде същият, който я равнява. Лицето, което държи чековата книжка, не трябва да бъде същото, което одобрява сметките. Собственикът, който подписва чековете, не трябва да равнява банковата сметка изолирано. Всяка функция се проверява от различен чифт очи.
В компания от 50 души разделянето на тези четири функции е лесно. В компания от трима души това изглежда невъзможно — и точно тук повечето собственици се отказват и просто предават всичко на „счетоводителя, на когото вярват“. Което е точно ситуацията, с която започва почти всяко проучване на случай на длъжностно присвояване.
Защо „Доверявам им се“ не е контролен механизъм
Почти всеки съобщен случай на присвояване от страна на счетоводител споделя едно и също начало: собственикът е имал пълно доверие на извършителя. Изпълнителят от Охайо е имал доверие на Дебора Хол — в продължение на 16 години. Строителната компания е имала доверие на своя счетоводител през 18 фалшиви чека на обща стойност над $44 000. Офис мениджърът на фирма за отопление и охлаждане Анджела Купър е била ползвана с такова доверие, че ѝ е бил поверен печатът с подписа на собственика; тя го е използвана, за да фалшифицира над 100 чека и да прибере $158 658.
Доверието не е контролен механизъм. Доверието е това, което създава възможността — условията, при които измамата може да се случи и да остане незабелязана. Контролните механизми са това, което премахва тази възможност. Целта на изграждането на вътрешен контрол във вашия малък бизнес не е да обвинявате служителите си; целта е да се уверите, че дори идеално честен счетоводител има структурна защитна мрежа, която улавя честни грешки, и че всеки злонамерен участник би трябвало да привлече съучастник, преди да може да открадне и стотинка.
Казано по друг начин: ако единствената ви защита от шестцифрена загуба е вашата преценка за нечий характер, вие нямате защита. Имате надежда.
Реалността при трима служители
Нека преминем към конкретика. Да приемем, че вашият бизнес има:
- Вас (собственика)
- Счетоводител (на пълен или непълен работен ден, вътрешен или външен)
- Оперативен или офис мениджър (един служител с общи функции)
Не можете да си позволите финансов контрольор. Не можете да си позволите отделен служител за задължения (AP), друг за вземания (AR) и ковчежник. Ето какво можете да направите — и то е достатъчно, за да намалите драстично риска от измами.
Стъпка 1: Скицирайте потоците на транзакциите си
Вземете лист хартия и запишете жизнения цикъл на всеки основен паричен поток:
- Парични постъпления — Как влизат парите? Кой отваря пощата / обработва плащанията / отразява депозитите / прави равнението?
- Плащания — Как излизат парите? Кой одобрява сметките / подписва чековете или инициира ACH / записва плащането / прави равнението?
- Заплати — Кой добавя и премахва служители / одобрява часовете / обработва заплатите / прави равнение с главната книга?
- Инвентар или други активи — Кой има физически достъп / записва движенията / брои и прави равнение?
За всяка стъпка напишете името на човека, който я извършва. Ако едно и също име се появява при оторизацията, попечителството, записването и равнението в който и да е ред, имате „червен флаг“ за SoD.
Стъпка 2: Направете всяко разумно разделение, което можете
Дори само с трима души, обикновено можете да постигнете най-важните разделения:
- Собственикът подписва всички чекове над определен нисък праг (например $500). Счетоводителят подготвя чековете, но никога не ги подписва и никога няма право на подпис. На счетоводителя никога не трябва да се разрешава да подписва чекове. Никога.
- Собственикът — а не счетоводителят — одобрява нови доставчици, преди да им бъде извършено каквото и да е плащане. Измамата с фиктивни доставчици е най-лесната схема за изпълнение в света и тази единствена контрола я елиминира.
- Офис мениджърът отваря пощата и подпечатва всеки входящ чек с „Само за депозит“, преди да го предаде. Счетоводителят записва приходите, но никога няма физически достъп до тях, преди да бъдат ограничено джиросани.
- Счетоводителят записва трансакциите; собственикът прави равнение на банковата сметка (повече за това как да го правите правилно след малко).
- Собственикът одобрява ведомостта за заплати всеки цикъл — име по име, лев по лев — преди тя да бъде изпратена. Схемите със „служители фантоми“ се спират веднага от собственик, който може да погледне регистъра на заплатите и да разпознае всяко лице.
Това не е перфектно разделение на отговорностите. Но е достатъчно, за да изисква съучастие за успяването на повечето схеми за измами — а в момента, в който двама души трябва да се наговорят, рискът ви спада драстично.
Стъпка 3: Използвайте компенсиращи контроли навсякъде другаде
Компенсираща контрола е това, което одиторите наричат всяка стъпка за преглед, която добавяте, когато пълното разделение не е реалистично. Те не са толкова силни, колкото истинското разделение на отговорностите, но събрани заедно са изненадващо ефективни. Основните за малкия бизнес са:
- Преглед на банковото извлечение от собственика преди да бъде извършено равнението. Това е контролата с най-голямо влияние в целия списък. Накарайте банката да изпраща по пощата (или директно по имейл като PDF) извлечението на собственика всеки месец. Собственикът го отваря, проверява за непознати получатели, необичайни преводи или суми, които не съответстват на обичайния модел, и едва тогава го предава за равнение. Инициали и дата върху извлечението = готово.
- Месечно банково равнение, прегледано и подписано от собственика. Дори ако счетоводителят го извършва, собственикът преглежда завършеното равнение и се подписва най-отдолу. Погледнете непокритите чекове: има ли остарели такива? Погледнете депозитите в движение: дали действително се изчистват през следващия месец?
- Задължителни годишни отпуски от поне една последователна седмица за всеки, който работи със счетоводството, през които някой друг поема работата му. По-голямата част от дългосрочните схеми за длъжностно присвояване се разкриват в момента, в който втори човек отвори книгите. Много счетоводни измами са разкрити именно защото извършителят е бил принуден да излезе в отпуск.
- Внезапни проверки на място. Периодично изтегляйте плащания за произволна седмица и проследявайте всяко от тях до фактура, одобрение и запис в системата. Не е необходимо да правите това често — дори веднъж на тримесечие е достатъчно — но самият факт, че това може да се случи, е възпиращ фактор.
- Канал за подаване на сигнали. Това звучи корпоративно, но не е задължително да бъде. Кажете на служителите си писмено, че могат да съобщават за притеснения директно на вас (или на вашия одитор) без страх от възмездие. Сигналите са начинът, по който се разкриват 43% от всички професионални измами — повече от три пъти спрямо всеки друг метод за откриване. Служителите ви виждат неща, които вие не виждате.
Стъпка 4: Заключете системата, а не само хората
Дори при ограничен персонал, вашият счетоводен софтуер, банков портал и система за заплати ви дават голямо предимство, ако ги конфигурирате добре:
- Отделни потребителски профили за всеки човек. Без споделени данни за достъп. Никога. Ако нещо се обърка, трябва да знаете кой потребител го е направил.
- Права за достъп на база роли в счетоводната система. Вашият счетоводител не се нуждае от разрешение да трие трансакции, да анулира чекове след тяхното осчетоводяване, да променя банковите данни на доставчици или да променя сметкоплана. Повечето модерни системи ви позволяват да изключите всяка от тези опции.
- Включени и преглеждани одитни дневници. Ако вашият софтуер поддържа журнал на промените, научете се как да го четете. Периодично преглеждайте изтриванията, корекциите в минали периоди и промените в основните данни на доставчиците.
- Банкова двойна оторизация за ACH и банкови преводи над определен праг. Повечето портали за бизнес банкиране поддържат това. Използвайте го. Счетоводителят инициира; собственикът освобождава плащането.
- Positive pay (или както и да го нарича вашата банка) за разплащателната сметка. Качвате списък с издадените от вас чекове; банката отказва да плати всичко, което не е в списъка. Това напълно елиминира измамите с подправяне на чекове и често е безплатно към бизнес сметката.
Стъпка 5: Привлечете външен сътрудник на непълно работно време
Ако не можете да разделите задълженията изцяло вътре в компанията, „заемете“ разделение на отговорностите отвън. Варианти, които обикновено са достъпни дори за малкия бизнес:
- Външна счетоводна фирма на непълно работно време, която се занимава с работата, докато вие извършвате одобренията и прегледа на равненията.
- Външен финансов директор (fractional CFO) или външен счетоводител, който преглежда месечните финансови отчети, тества извадки от трансакции и дискретно служи като втори чифт очи.
- Годишен преглед (една стъпка по-лек от одит) от дипломиран експерт-счетоводител, който често открива слаби места в контролите много преди те да се превърнат в загуби.
Аутсорсингът на една от четирите функции често е по-евтин от наемането на нов служител и осигурява много по-силна контрола от всичко, което бихте могли да изградите вътрешно с трима души.
Практически пример: Затягане на контрола върху паричните разходи
Нека преминем през един пълен процес — плащането на сметки — за да направим това конкретно в малка фирма от трима души.
Преди затягането:
Счетоводителят получава фактури, въвежда ги в счетоводната система, печата чекове, подпечатва ги с печата с подписа на собственика, изпраща ги по пощата и изравнява банковата сметка в края на месеца.
Това са четири функции в едни ръце, плюс владение на печата с подписа. Това е учебна постановка за измама.
След затягането:
- Офис мениджърът (или счетоводителят) получава фактури и ги въвежда като задължения в системата, но не може да ги плаща.
- Собственикът преглежда неплатените задължения ежеседмично, сверява всяко едно с придружаващата документация и маркира одобрените за плащане.
- Счетоводителят генерира плащанията само за одобрените задължения (чекове и/или ACH преводи).
- Собственикът подписва физически всеки чек. Печатът с подписа е унищожен.
- ACH плащанията изискват собственикът да влезе в банковия портал и да освободи файла, подготвен от счетоводителя.
- Банковото извлечение се изпраща (по поща или имейл) директно на собственика, който го отваря, преглежда, парафира и едва тогава го предава на счетоводителя за засичане.
- Завършеното засичане се връща на собственика, който преглежда и подписва придружителния лист.
Преминахте от един човек, контролиращ всяка стъпка, към процес, при който кражбата на един лев би изисквала или (а) фалшифициране на подписа на собственика върху чек (услугата Positive Pay улавя това), или (б) принуждаване на собственика активно да одобри фалшива фактура (прегледът на придружаващите документи улавя това), или (в) намиране на съучастник. Рискът от измама не става нула — нищо не е напълно сигурно — но той се променя от „тривиално лесен“ до „реално труден и вероятно да бъде разкрит“.
Как доброто счетоводство прави всичко това възможно
Всеки контрол по-горе зависи от една тиха предпоставка: вашите книги трябва да са достатъчно чисти, за да изпъкнат аномалиите. Ако вашата главна книга е бъркотия от грешно кодирани транзакции, слети категории и некатегоризирани записи тип „Попитай моя счетоводител“, тогава собственикът, преглеждащ банковото извлечение, няма база за сравнение. Странните плащания се скриват в шума.
Солидното, добре организирано счетоводство е това, което превръща тези контроли от театър в истинска защита. Засичанията улавят измами само когато действително се засичат до стотинка. Прегледите на доставчици работят само когато доставчиците се въвеждат последователно. Забелязването на модели работи само когато в данните има реален модел.
Счетоводството в текстов формат с контрол на версиите е особено мощно тук, защото всяка промяна се записва в историята на базовия файл. Можете да видите точно какво се е променило, кога и от кого — вградена одитна пътека, без да купувате корпоративна GRC платформа. Това е структурно предимство за малкия бизнес, който реално не може да си позволи контрольор или одитен отдел.
Тримесечен списък за вътрешен контрол
Разпечатайте това. Залепете го от вътрешната страна на шкаф с документи. Минавайте през него на всеки три месеца.
- Проследете една пълна транзакция във всеки основен цикъл (приходи, разходи, заплати) и потвърдете, че е следвала вашия документиран процес.
- Вземете последното месечно банково засичане и потвърдете, че банковото извлечение съвпада с крайното салдо по главната книга, без необяснени позиции по засичането, по-стари от 60 дни.
- Прегледайте главния списък с доставчици. Проучете всички доставчици, добавени през последното тримесечие, които не разпознавате. Сравнете адресите на доставчиците с адресите на служителите.
- Прегледайте ведомостта за заплати за един цикъл. Трябва да разпознавате всяко име. Проучете всеки нов служител или промяна в ставката.
- Проверете одитния лог на счетоводната система за изтрити или анулирани транзакции. Проучете всички такива в затворени периоди.
- Потвърдете, че всеки, който участва в счетоводството, е взел поне задължителните си дни отпуск през последното тримесечие.
- Потвърдете, че правото на подпис по банковите сметки все още съответства на вашите намерения.
- Вземете извлеченията от кредитните карти и потвърдете, че всяко плащане има документирана бизнес цел и касова бележка.
Двадесет до тридесет минути, четири пъти годишно. Счетоводителката в Plant Nutrition Services е изпълнявала схемата си, докато собственикът не починал. Не позволявайте моментът на разкриване да бъде функция на късмета.
Кога да отслабите контрола — и кога да го затегнете допълнително
Вътрешните контроли не са свързани с параноя; те са свързани с напасване на контрола към риска. Няколко съвета за калибриране:
- Затегнете, когато обемът на паричните потоци се увеличи, когато наемете нов счетоводител, след всяка ситуация „на косъм“, когато привлечете външни инвеститори, когато започнете да управлявате доверителни средства на трети страни (напр. депозити на клиенти, аванси) или когато откриете, че не можете реално да обясните дадена позиция в банковото извлечение.
- Разхлабете (леко), когато контролите причиняват реални оперативни затруднения и имате стабилен компенсиращ контрол на друго място. Всеки контрол има цена; целта е минималният набор, който ви осигурява адекватно покритие.
- Никога не разхлабвайте правото на подпис на чекове, одобрението на доставчици или първичния преглед на банковото извлечение от собственика. Тези три са носещите стени на цялата структура.
Поддържайте финансите си организирани от първия ден
Силните вътрешни контроли работят само върху чист, добре организиран набор от счетоводни книги. Ако не можете да се доверите на числата, не можете да се доверите на засичанията — и цялата система за контрол се срива. Beancount.io предоставя счетоводство в текстов формат, което ви дава пълна прозрачност и пълна история на версиите за всяка промяна във вашата главна книга — вид вградена одитна пътека, за която малките предприятия обикновено трябва да купуват скъп софтуер. Започнете безплатно и вижте защо разработчиците и финансовите специалисти преминават към счетоводство в текстов формат — и разгледайте нашите хоствани Fava табла за незабавни визуализации върху вашите книги.
Най-евтиният вътрешен контрол, който някога ще изградите, е дисциплината на чистите книги, преглеждани от втори чифт очи. Най-скъпият е делото, което ще заведете три години по-късно, надявайки се да възстановите десет стотинки на лев.