Ето едно число, което трябва да накара всеки собственик на малък бизнес да се почувства некомфортно: типичната измама в компания с по-малко от 100 служители струва 141 000 долара. Това не е извънреден случай в най-лошия сценарий. Това е медианата — половината от случаите на измами в малкия бизнес струват повече. А хората, които ги извършват, рядко са непознати. Те са довереният счетоводител, който е с вас от години, офис мениджърът, който „се занимава с всички тези неща“, онзи единствен служител, който знае къде се намира всичко.
Учебникарският отговор на този риск е разделението на задълженията: никога не позволявайте на един човек да контролира трансакция от началото до края. Учебникът също така предполага, че имате финансов отдел. Вие имате трима служители. Може би двама. Може би сте вие, счетоводител на непълно работно време и хлапе, което вдига телефона.
И така, истинският въпрос е: Как да изградите контроли, които действително предотвратяват кражби, когато искрено не можете да дадете всяка задача на различен човек? Отговорът не е „предайте се“. Той е „бъдете целенасочени“. Това ръководство ще ви покаже как.
Защо малките предприятия са най-лесните мишени
Изследователите на измами последователно установяват, че по-малките организации страдат непропорционално много. Те понасят същата медианна загуба като много по-големите компании, но разполагат с малка част от приходите, за да я абсорбират. Загуба от 141 000 долара може да бъде грешка от закръгляне за корпорация. За бизнес с оборот от 2 милиона долара годишно, това може да бъде разликата между изплащането на заплати и затварянето.
Причината не е, че служителите в малкия бизнес са по-нечестни. Причината е възможността. Малките компании имат по-малко контроли срещу измами, по-малки бюджети за инвестиране в тях и култура на доверие, при която надзорът се възприема като обиден. Схемите, които процъфтяват в тази среда, са банални: измами с фактуриране (плащане на фалшиви или завишени фактури), подправяне на чекове и плащания, завишени разходи за възстановяване и отклоняване на пари в брой, преди изобщо да попаднат в счетоводните книги. Нито едно от тези действия не изисква изтънченост. Изисква се само един човек да може да извърши задачата и същевременно да я скрие.
Тази последна фраза е в основата на цялата концепция. За измамата са нужни както самото действие, така и прикриването му. Разделението на задълженията работи, като гарантира, че лицето, което би могло да извърши деянието, не е същото лице, което би могло да го скрие.
Четирите функции, които се опитвате да разделите
Преди да можете да разпределите задълженията, трябва да знаете какво точно разделяте. Счетоводителите разделят всяка финансова трансакция на четири функции, като целта е те да се държат от различни хора.
Одобряване е потвърждаването, че дадена трансакция трябва да се случи — подписване на поръчка за покупка, одобряване на нов доставчик, разрешаване на възстановяване на сума.
Съхранение е физическият или дигитален контрол върху самия актив — боравене с пари в брой, съхраняване на подписани чекове, притежаване на паролата за банковата сметка, контролиране на инвентара.
Отчитане е въвеждането на трансакцията в книгите — осчетоводяване на фактурата, записване на плащането, извършване на счетоводната операция.
Равнение е сравняването на записите с независим източник — съпоставяне на счетоводната книга с банковото извлечение в края на месеца.
Принципът е прост: нито едно лице не трябва да контролира повече от една от тези функции за една и съща трансакция. Когато функциите са разделени, грешка или кражба, създадена в една функция, бива уловена от друго лице, изпълняващо функция за кръстосана проверка. Счетоводителят, който записва фалшиво плащане, не може да бъде и лицето, което прави банковото равнение, защото равнението би разкрило плащането.
Опасните комбинации са предвидими. Всеки, който има едновременно съхранение и отчитане, може да открадне актив и да изтрие доказателствата. Всеки с одобряване и съхранение може да одобри плащане към себе си и след това да го получи. Всеки с одобряване и отчитане може да одобри фиктивна трансакция и да я погребе в книгите. Ако вашият единствен счетоводител пише чекове, въвежда ги и изравнява сметката, този човек държи и четирите функции. Това не е слабост в контрола. Това е пълна липса на контрол.
Как всъщност изглежда „разделението“ при трима души
Класическото учебникарско разделение изисква четирима или петима души. Вие не разполагате с тях. Затова разделяте функциите, които можете, и приемате, че останалите ще се нуждаят от различен вид контрол. Добрата новина е, че дори едно чисто разделяне затваря най-опасните врати.
Най-важното разделение в малкия бизнес е съхранение спрямо отчитане. Ако лицето, което се докосва до парите, не е лицето, което записва парите, вие елиминирате най-честата схема за присвояване на активи с един ход. На практика:
- Счетоводителят записва трансакциите, но няма право на подпис върху банковата сметка и не борави с парични депозити.
- Собственикът (или втори служител) подписва чековете, одобрява плащанията и разполага с данните за вход в банката.
- Този, който отваря пощата и описва входящите чекове, не е лицето, което отразява плащанията от клиенти в счетоводната книга.
Вторият приоритет е поддържането на независимо равнение. Банковото равнение е основната проверка на всичко. Ако се извършва честно от някой, който не е създал записите, почти нито една схема не оцелява повече от месец. Така че собственикът — а не счетоводителят — трябва да получава банковото извлечение и или сам да извършва равнението, или да го преглежда ред по ред. Този единствен навик, който отнема един час месечно, улавя подправяне на чекове, фиктивни плащания и необясними преводи.
Работещ модел с трима души често изглежда така. Собственикът държи одобряването (одобряване на доставчици, плащания и промени в заплатите) и равнението. Счетоводителят отговаря за отчитането. Втори служител — или отново собственикът — отговаря за съхранението на пари в брой и чекове. Забележете, че собственикът се появява два пъти. Това е нормално. Появата на собственика в одобряването и равнението е далеч по-малко опасна от появата на счетоводителя в съхранението и отчитането, защото одобряването плюс равнението не позволява едновременно да откраднете и да скриете следите си в нормалния работен процес.
Компенсиращи контроли: Истинският инструментариум
Когато не можете да разделите дадена функция, вие компенсирате. Компенсиращите контроли не пречат на един човек да изпълнява задача — те правят изключително вероятно всяко нарушение да бъде забелязано. За малкия бизнес това не е резервен вариант. Те са основното събитие.
Преглед на банковото извлечение от собственика, в запечатан вид. Поискайте банковото извлечение да бъде изпратено на домашния ви адрес или влезте в системата сами, преди някой друг да го направи. Отделете двадесет минути, за да прегледате всяко изображение на чек и всяко електронно плащане. Търсете получатели, които не разпознавате, кръгли суми, плащания към служители и всичко, което е точно под прага за одобрение. Проучванията на измамите многократно установяват, че надзорът на ниво собственик е един от малкото контроли, които последователно намаляват загубите в малките компании.
Двойно одобрение над определен праг. Изисквайте двама души да одобряват всяко плащане над определена сума. Изберете праг въз основа на вашия паричен поток — много малки предприятия използват 1000 долара, стартъпите често задават по-нисък. Повечето софтуери за счетоводство и плащане на сметки ви позволяват да наложите това автоматично, така че да не може да бъде пропуснато.
Преглед от външен счетоводител. Месечният или тримесечният преглед от външен счетоводител или почасов финансов контрольор е мощен компенсиращ контрол именно защото този човек няма интерес да крие нищо. Те могат да прегледат равнението, да проверят списъка с доставчици за нови попълнения и да направят извадка от няколко транзакции. Това често са най-добре похарчените пари за предотвратяване на измами в малкия бизнес.
Задължителни отпуски и взаимно обучение. Много измами се разкриват, когато извършителят отсъства и някой друг поеме неговата работа. Изисквайте от вашия счетоводител да вземе една непрекъсната седмица отпуск и накарайте някой друг да покрие ролята му. Измамите зависят от непрекъснатия контрол; принудителното прекъсване го разрушава.
Ограничени основни данни. Възможността за добавяне на нов доставчик, промяна на банковите детайли на доставчик или създаване на нов служител е отделна форма на оторизация. Ограничете я. Изненадващо голяма част от измамите с плащания са чрез реално изглеждащ доставчик, който измамникът е създал. Добавянето на доставчик трябва да изисква одобрение от някой, който не е лицето, извършващо плащанията към доставчици.
Системно наложени одитни пътеки. Използвайте софтуер, който записва кой е въвел, редактирал или изтрил всяка транзакция, и направете този лог непроменим. Когато всеки знае, че действията му се записват за постоянно под неговото име, логиката на измамата се променя. Укриването става много по-трудно, а това е половината от уравнението.
Практичен списък за начало
Не е необходимо да реорганизирате цялата си дейност още тази седмица. Започнете оттук:
- Направете списък кой какво прави. Запишете всеки човек и до коя от четирите функции се докосва. Оградете всеки, който съвместява попечителството над активи и воденето на записи — това е „пожарът“, който трябва да изгасите първо.
- Отнемете достъпа до онлайн банкирането от вашия счетоводител, ако той също така въвежда транзакции. Собственикът запазва контрола над банковите идентификационни данни.
- Изисквайте банковото извлечение първи. От следващия месец вие го виждате пръв и го преглеждате, преди някой друг да направи равнението.
- Задайте праг за двойно одобрение и го активирайте във вашия софтуер.
- Ограничете създаването на доставчици и ведомости за заплати зад одобрението на собственика.
- Планирайте външен преглед — дори тримесечният е от голямо значение.
- Планирайте истинска ваканция в календара за този, който води счетоводството.
Никое от тези не изисква наемане на нови хора. Те изискват решение, че доверието и проверката не са противоположности — и че проверката на вашия най-доверен служител е жест на уважение към него, защото го предпазва от подозрения толкова, колкото предпазва и вас от загуба.
Поддържайте финансите си организирани от първия ден
Силните вътрешни контроли зависят от записи, които са пълни, с отбелязан час и трудни за скрита промяна. Именно тук вашата счетоводна система е от значение: ако книгите ви са черна кутия, която само един човек разбира, никой компенсиращ контрол не може да види какво има вътре. Beancount.io предоставя счетоводство в обикновен текстов формат (plain-text accounting), което е прозрачно и с контролирани версии — всяка промяна се проследява, всеки запис е четим, а пълната история е достъпна за одит от всеки, на когото се доверите. Това прави независимия преглед, равнението и одитните пътеки значително по-лесни за прилагане в малък екип. Започнете безплатно и вижте защо разработчиците и финансовите професионалисти преминават към plain-text accounting.
Източници: ACFE Occupational Fraud 2024: A Report to the Nations; Improving Internal Controls in Departments with Limited Segregation of Duties — Lutz; Segregation of Duties — Hyperproof.