Un comptable de confiança amb 16 anys en el càrrec. Un segell de signatura guardat al calaix del seu escriptori. Cent cinquanta-quatre xecs autoescrits durant una dècada. Quan el propietari se'n va adonar, havien volat més de 200.000 $ — i també qualsevol possibilitat real de recuperació.
Aquesta història no és un cas aïllat. L'Informe a les Nacions 2024 de l'Associació d'Examinadors de Frau Certificats (ACFE) va trobar que les organitzacions amb menys de 100 empleats pateixen una pèrdua mitjana de 141.000 cada mes que passa. I el motiu principal pel qual les petites empreses reben cops més forts que les grans? La manca de controls interns — especialment el fet que una sola persona realitzi tota la feina financera perquè "som massa petits per dividir-la".
No sou massa petits. Només necessiteu un pla diferent del que dibuixaria un interventor d'una empresa Fortune 500. Aquest és el pla.
Què significa realment la segregació de funcions
Si eliminem el llenguatge d'auditoria, la segregació de funcions (SoD) és una idea única i tossuda: cap persona ha de ser capaç de cometre una falta financera i després ocultar-la. Aquest és tot l'objectiu. Tota la resta de regles, controls i procediments neixen d'aquest principi.
Els auditors divideixen la feina financera de qualsevol empresa en quatre funcions. Perquè el frau i els errors materials siguin difícils d'executar, aquestes quatre s'haurien de repartir entre diferents persones sempre que sigui possible:
| Funció | Què inclou | Exemple |
|---|---|---|
| Autorització | Aprovar que s'ha de produir una transacció | Signar una factura de proveïdor, aprovar la nòmina, aprovar un reemborsament |
| Custòdia | Control físic o digital de l'actiu mateix | Tenir el talonari de xecs, tenir autoritat de signatura, posseir la targeta de crèdit de l'empresa |
| Registre | Introduir la transacció als llibres | Contabilitzar factures al sistema comptable, registrar dipòsits, executar la nòmina |
| Conciliació | Verificar que els registres coincideixen amb proves independents | Conciliar l'extracte bancari amb el llibre major, fer coincidir l'extracte de la targeta amb els rebuts |
El comptable que ha registrat la transacció no l'hauria de conciliar també. La persona que té el talonari de xecs no hauria d'aprovar també les factures. El propietari que signa els xecs no hauria de conciliar també el compte bancari de manera aïllada. Cada funció rep un conjunt d'ulls diferents.
En una empresa de 50 persones, separar aquestes quatre funcions és senzill. En una empresa de tres persones, sembla impossible — i aquí és on la majoria dels propietaris es rendeixen i simplement ho entreguen tot al "comptable de confiança". Que és exactament com comencen gairebé tots els estudis de casos de malversació de fons.
Per què "Confio en ells" no és un control
Gairebé tots els casos reportats de malversació per part de comptables comparteixen la mateixa frase inicial: el propietari confiava plenament en el perpetrador. El contractista d'Ohio confiava en Deborah Hall — durant 16 anys. L'empresa de construcció confiava en el seu comptable durant 18 xecs fraudulents que sumaven més de 44.000 .
La confiança no és un control. La confiança és el que crea l'oportunitat — les condicions en què el frau pot ocórrer i passar desapercebut. Els controls són els que eliminen aquesta oportunitat. El propòsit de construir controls interns a la vostra petita empresa no és acusar els vostres empleats; és assegurar-se que fins i tot un comptable perfectament honest tingui una xarxa de seguretat estructural que detecti errors honestos, i que qualsevol mal actor necessiti reclutar un coconspirador abans de poder robar un cèntim.
Dit d'una altra manera: si la vostra única protecció contra una pèrdua de sis xifres és la vostra interpretació del caràcter de algú, no teniu una protecció. Teniu una esperança.
La realitat de les tres persones
Anem a fets concrets. Suposem que la vostra empresa té:
- Vostè (el propietari)
- Un comptable (a temps complet o parcial, intern o extern)
- Un gerent d'operacions o d'oficina (un empleat d'ús general)
No us podeu permetre un interventor. No us podeu permetre un empleat de comptes a pagar, un de comptes a cobrar i un tresorer separats. Això és el que podeu fer — i és suficient per reduir dràsticament el risc de frau.
Pas 1: Esquematitza els teus fluxos de transaccions
Agafeu un full de paper i anoteu el cicle de vida de cada flux important de diners:
- Entrades de caixa — Com entren els diners? Qui obre el correu / processa els pagaments / registra els dipòsits / concilia?
- Desemborsaments — Com surten els diners? Qui aprova les factures / signa els xecs o inicia les transferències ACH / registra el pagament / concilia?
- Nòmina — Qui afegeix i elimina empleats / aprova les hores / executa la nòmina / concilia amb el llibre major?
- Inventari o altres actius — Qui té accés físic / registra els moviments / compta i concilia?
Per a cada pas, escriviu el nom de la persona que el realitza. Si el mateix nom apareix a l'autorització, custòdia, registre i conciliació en qualsevol fila, teniu una alerta de SoD.
Pas 2: Feu totes les divisions raonables que pugueu
Fins i tot amb tres persones, normalment es poden dur a terme les divisions més importants:
- El propietari signa tots els xecs per sobre d'un llindar baix (per exemple, 500 $). El comptable prepara els xecs, però mai els signa i mai té autoritat de signatura. El comptable mai hauria de tenir permís per signar xecs. Mai.
- El propietari —no el comptable— aprova els nous proveïdors abans que se'ls pugui emetre cap pagament. El frau de proveïdors ficticis és l'esquema més fàcil del món per executar, i aquest únic control l'elimina.
- L'administrador de l'oficina obre el correu i segella cada xec entrant amb "Només per a dipòsit" abans d'entregar-lo. El comptable registra els ingressos però mai en té la custòdia física abans que estiguin endossats de forma restrictiva.
- El comptable registra les transaccions; el propietari concilia el compte bancari (més endavant s'explica com fer-ho correctament).
- El propietari aprova la nòmina a cada cicle —nom per nom, import per import— abans que es transmeti. Els esquemes d'empleats fantasma s'aturen en sec per un propietari que pot mirar el registre de nòmines i reconèixer cada cara.
Això no és una segregació perfecta. Però és suficient per requerir col·lusió perquè la majoria dels esquemes de frau tinguin èxit —i en el moment en què dues persones han de conspirar, el vostre risc cau dràsticament.
Pas 3: Utilitzeu controls compensatoris a tota la resta
Un control compensatori és el que els auditors anomenen qualsevol pas de revisió que afegiu quan la separació total no és realista. No són tan forts com una segregació real, però apilats junts són sorprenentment efectius. Els principals per a una petita empresa:
- Revisió per part del propietari de l'estat del compte bancari abans que es faci la conciliació. Aquest és el control amb més impacte de tota aquesta llista. Feu que el banc enviï per correu (o enviï un PDF directament) al propietari cada mes. El propietari l'obre, busca beneficiaris desconeguts, transferències inusuals o imports que no encaixin amb el patró, i després l'entrega per a la conciliació. Inicials i data a l'estat de compte = fet.
- Conciliació bancària mensual revisada i signada pel propietari. Fins i tot si el comptable la realitza, el propietari revisa la conciliació completada i signa a la part inferior. Mireu els xecs pendents: n'hi ha algun de caducat? Mireu els dipòsits en trànsit: realment es liquiden el mes següent?
- Vacances anuals obligatòries d'almenys una setmana consecutiva per a qualsevol persona que toqui els llibres, durant les quals una altra persona cobreixi el seu treball. La gran majoria dels esquemes de malversació de llarga durada es descobreixen en el moment en què una segona persona obre els llibres. Molts fraus de comptables s'han descobert específicament perquè el perpetrador es va veure obligat a agafar-se temps lliure.
- Controls rutinaris sorpresa. Periòdicament, agafeu els desemborsaments d'una setmana a l'atzar i rastregeu cadascun fins a una factura, una aprovació i un assentament registrat. No cal fer-ho sovint —fins i tot trimestralment és suficient—, però el fet que pugui passar és un element dissuasiu.
- Un canal de denúncies / informació. Això sona corporatiu, però no ho ha de ser. Digueu als vostres empleats per escrit que poden informar de preocupacions directament a vós (o al vostre comptable extern) sense represàlies. Les denúncies són la manera com es descobreix el 43% de tot el frau ocupacional —més de tres vegades qualsevol altre mètode de detecció. Els vostres empleats veuen coses que vós no veieu.
Pas 4: Bloquegeu el sistema, no només les persones
Fins i tot amb personal limitat, el vostre programari de comptabilitat, el portal bancari i el sistema de nòmines us donen un gran avantatge si els configureu bé:
- Inicis de sessió d'usuari separats per a cada persona. Sense credencials compartides. Mai. Si alguna cosa va malament, heu de saber quin usuari ho ha fet.
- Permisos basats en rols al sistema comptable. El vostre comptable no necessita permís per suprimir transaccions, anul·lar xecs després que s'hagin liquidat, canviar els detalls del compte bancari del proveïdor o alterar el pla de comptes. La majoria dels sistemes moderns permeten desactivar cadascuna d'aquestes opcions.
- Registres d'auditoria activats i revisats. Si el vostre programari manté un registre de canvis, apreneu a llegir-lo. Mireu periòdicament les supressions, les edicions de períodes històrics i els canvis en les dades mestres dels proveïdors.
- Autorització dual de nivell bancari per a ACH i transferències per sobre d'un llindar. La majoria de portals bancaris per a empreses ho admeten. Utilitzeu-ho. El comptable ho inicia; el propietari ho autoritza.
- Pagament positiu (o com l'anomeni el vostre banc) al compte corrent. Carregueu la llista de xecs que heu emès; el banc es nega a liquidar qualsevol cosa que no estigui a la llista. Això elimina gairebé per complet el frau per manipulació de xecs i sovint és gratuït amb un compte d'empresa.
Pas 5: Porteu algú extern a temps parcial
Si no podeu dividir les funcions completament dins de l'empresa, demaneu prestat la segregació de fora de l'empresa. Opcions que solen ser assequibles fins i tot per a petites empreses:
- Una empresa de comptabilitat a temps parcial que s'encarregui de la feina, mentre vós feu les aprovacions i la revisió de la conciliació.
- Un director financer (CFO) extern o un comptable extern que revisi els estats financers mensuals, faci proves de mostra de les transaccions i serveixi discretament com un segon parell d'ulls.
- Una revisió anual (un pas més lleuger que una auditoria) per part d'un censor jurat de comptes (CPA), que sovint fa aflorar febleses de control molt abans que es converteixin en pèrdues.
Subcontractar una de les quatre funcions sovint és més barat que contractar un altre empleat i proporciona un control molt més fort que qualsevol cosa que podríeu construir internament amb tres persones.
Un exemple pràctic: Reforçar els desemborsaments de caixa
Repassem un procés complet —el pagament de factures— per concretar-ho en una empresa de tres persones.
Abans del reforç:
El comptable rep les factures, les introdueix al sistema comptable, imprimeix els xecs, els signa amb el segell de signatura del propietari, els envia per correu i concilia el compte bancari al final del mes.
Són les quatre funcions en unes soles mans, a més de la custòdia del segell de signatura. Aquesta és la configuració clàssica per al frau.
Després del reforç:
- El gestor de l'oficina (o el comptable) rep les factures i les introdueix com a deutes al sistema, però no pot pagar-les.
- El propietari revisa setmanalment les factures pendents de pagament, comparant cadascuna amb la documentació justificativa, i marca les que s'aproven per al pagament.
- El comptable genera el llistat de pagaments només per a les factures aprovades (xecs i/o transferències ACH).
- El propietari signa físicament cada xec. El segell de signatura es destrueix.
- Els pagaments ACH requereixen que el propietari entri al portal bancari i alliberi el fitxer que el comptable ha preparat.
- L'extracte bancari s'envia (per correu postal o electrònic) directament al propietari, que l'obre, el revisa, hi posa les inicials i llavors el lliura al comptable per a la conciliació.
- La conciliació completada torna al propietari, que revisa i signa el full de resum.
Has passat d'una sola persona que controla cada pas a un procés on robar un dòlar requeriria o bé (a) falsificar la signatura del propietari en un xec (el servei de "positive pay" detectaria això) o bé (b) aconseguir que el propietari aprovi activament una factura fraudulenta (la revisió de la documentació justificativa detectaria això) o bé (c) reclutar un còmplice. El risc de frau no arriba a zero —res ho fa—, però passa de ser "trivialment fàcil" a ser "realment difícil i amb probabilitats de ser descobert".
Com una bona comptabilitat fa possible tot això
Cada control anterior depèn d'un requisit previ silenciós: els teus llibres han d'estar prou nets perquè les anomalies destaquin. Si el teu llibre major és un desordre de transaccions mal codificades, categories agrupades i entrades sense classificar de tipus "Pregunta al meu comptable", el propietari que revisa l'extracte bancari no tindrà cap base de referència per comparar. Els pagaments estranys s'amaguen en el soroll.
Una comptabilitat sòlida i ben organitzada és el que converteix aquests controls de teatre en protecció. Les conciliacions només detecten el frau quan realment concilien fins a l'últim cèntim. Les revisions de proveïdors només funcionen quan els proveïdors s'introdueixen de manera coherent. La detecció de patrons només funciona quan hi ha un patró real a les dades.
La comptabilitat en text pla i amb control de versions és especialment potent aquí, perquè cada canvi queda registrat en l'historial del fitxer subjacent. Pots veure exactament què ha canviat, quan i qui ho ha fet —una pista d'auditoria integrada sense haver de comprar una plataforma GRC empresarial. Aquest és un avantatge estructural per a les petites empreses que realment no es poden permetre un interventor o un departament d'auditoria.
Una llista de comprovació trimestral de controls interns
Imprimeix això. Enganxa-ho dins d'un arxivador. Treballa-hi cada tres mesos.
- Revisa una transacció completa en cada cicle principal (ingressos, desemborsaments, nòmines) i verifica que hagi seguit el procés documentat.
- Agafa la conciliació bancària del mes més recent i confirma que l'extracte bancari coincideix amb el saldo final del llibre major sense partides de conciliació inexplicables de més de 60 dies d'antiguitat.
- Revisa la llista mestre de proveïdors. Investiga qualsevol proveïdor afegit en l'últim trimestre que no reconeguis. Compara les adreces dels proveïdors amb les adreces dels empleats.
- Revisa el registre de nòmines d'un cicle. Reconeix cada nom. Investiga qualsevol empleat nou o canvi de tarifa.
- Comprova el registre d'auditoria del sistema comptable per veure si hi ha transaccions eliminades o anul·lades. Investiga les que estiguin en períodes tancats.
- Confirma que tothom que consta als llibres ha agafat almenys els dies de vacances obligatoris en l'últim trimestre.
- Confirma que l'autoritat de signatura als comptes bancaris encara coincideix amb qui tu vols.
- Agafa els extractes de les targetes de crèdit i verifica que cada càrrec tingui un propòsit comercial documentat i un rebut.
Vint o trenta minuts, quatre cops l'any. El comptable de Plant Nutrition Services va mantenir el seu esquema fins que el propietari va morir. No deixis que el moment de la detecció sigui qüestió de sort.
Quan relaxar-se — i quan reforçar-se encara més
Els controls interns no van de paranoia; van d'ajustar el control al risc. Alguns consells de calibratge:
- Reforça quan el volum d'efectiu augmenti, quan contractis un nou comptable, després de qualsevol ensurt, quan acceptis inversors externs, quan comencis a gestionar fons de tercers (ex. dipòsits de clients, bestretes) o quan descobreixis que realment no pots explicar una partida de l'extracte bancari.
- Relaxa (lleugerament) quan els controls estiguin causant un autèntic maldecap operatiu i tinguis un control compensatori robust en un altre lloc. Cada control té un cost; l'objectiu és el conjunt mínim que et doni una cobertura adequada.
- Mai relaxis l'autoritat de signatura de xecs, l'aprovació de proveïdors o la revisió prèvia de l'extracte bancari. Aquests tres són els murs de càrrega de tota l'estructura.
Mantingues les teves finances organitzades des del primer dia
Uns controls interns forts només funcionen sobre uns llibres nets i ben organitzats. Si no pots confiar en els números, no pots confiar en les conciliacions — i tot el sistema de control s'ensorra. Beancount.io ofereix comptabilitat en text pla que et proporciona una transparència total i un historial de versions complet de cada canvi al teu llibre, el tipus de pista d'auditoria integrada per la qual les petites empreses normalment han de comprar programari car. Comença de franc i mira per què els desenvolupadors i professionals de les finances s'estan passant a la comptabilitat en text pla — i dona un cop d'ull als nostres quadres de comandament Fava allotjats per obtenir visualitzacions instantànies sobre els teus llibres.
El control intern més barat que construiràs mai és la disciplina d'uns llibres nets revisats per un segon parell d'ulls. El més car és la demanda que presentes tres anys més tard, amb l'esperança de recuperar deu cèntims per cada dòlar perdut.