Beancount.io LogoBeancount.io

Funktionstrennung bei nur drei Mitarbeitern: Ein praktischer Leitfaden für interne Kontrollen in kleinen Unternehmen

14 Minuten LesezeitMike ThriftMike Thrift
Funktionstrennung bei nur drei Mitarbeitern: Ein praktischer Leitfaden für interne Kontrollen in kleinen Unternehmen

Eine vertrauenswürdige Buchhalterin mit 16 Dienstjahren. Ein Unterschriftenstempel, der in ihrer Schreibtischschublade vergessen wurde. Einhundertvierundfünfzig Schecks, die sie über ein Jahrzehnt hinweg an sich selbst ausstellte. Bis der Eigentümer es bemerkte, waren mehr als 200.000 $ weg – und damit auch jede realistische Chance auf eine Rückerstattung.

Diese Geschichte ist kein Einzelfall. Der „2024 Report to the Nations“ der Association of Certified Fraud Examiners stellte fest, dass Organisationen mit weniger als 100 Mitarbeitern einen mittleren Verlust von 141.000 proBetrugsfallerleidenderho¨chsteWertallerUnternehmensgro¨ßenklassen.DastypischeSystemla¨uft12Monatelang,bevoresjemandbemerkt,undverbrauchtdabeimonatlichetwa9.900pro Betrugsfall** erleiden – der höchste Wert aller Unternehmensgrößenklassen. Das typische System läuft **12 Monate** lang, bevor es jemand bemerkt, und verbraucht dabei monatlich etwa **9.900. Und der häufigste Grund, warum kleine Unternehmen härter getroffen werden als große? Ein Mangel an internen Kontrollen – vor allem die Tatsache, dass eine Person die gesamte Finanzarbeit erledigt, weil man „zu klein sei, um sie aufzuteilen“.

Sie sind nicht zu klein. Sie benötigen lediglich einen anderen Plan als den, den ein Controller eines Fortune-500-Unternehmens entwerfen würde. Dies ist dieser Plan.

Was Funktionstrennung eigentlich bedeutet

Befreit man den Begriff vom Revisions-Jargon, ist die Funktionstrennung (Segregation of Duties, SoD) eine einzige, hartnäckige Idee: Keine Person sollte in der Lage sein, ein finanzielles Fehlverhalten zu begehen und es anschließend zu vertuschen. Das ist der Kern der Sache. Jede andere Regel, Kontrolle und Prozedur leitet sich von diesem einen Prinzip ab.

Prüfer unterteilen die Finanzarbeit eines jeden Unternehmens in vier Funktionen. Um Betrug und wesentliche Fehler zu erschweren, sollten diese vier Funktionen nach Möglichkeit auf verschiedene Personen aufgeteilt werden:

FunktionUmfangBeispiel
AutorisierungGenehmigung einer TransaktionAbzeichnung einer Lieferantenrechnung, Genehmigung der Gehaltsabrechnung, Freigabe einer Rückerstattung
VerwahrungPhysische oder digitale Kontrolle über den VermögenswertFühren des Scheckhefts, Unterschriftsberechtigung, Besitz der Firmenkreditkarte
ErfassungBuchung der Transaktion in die BücherEinbuchen von Rechnungen ins Buchhaltungssystem, Erfassen von Einzahlungen, Durchführen der Gehaltsabrechnung
AbstimmungÜberprüfung der Übereinstimmung von Aufzeichnungen mit unabhängigen BelegenAbgleich des Kontoauszugs mit dem Hauptbuch, Abgleich der Kreditkartenabrechnung mit den Belegen

Der Buchhalter, der die Transaktion erfasst hat, sollte sie nicht auch abstimmen. Die Person, die das Scheckheft verwahrt, sollte die Rechnungen nicht auch genehmigen. Der Eigentümer, der Schecks unterschreibt, sollte das Bankkonto nicht isoliert abstimmen. Jede Funktion wird von einem anderen Augenpaar kontrolliert.

In einem Unternehmen mit 50 Mitarbeitern ist die Trennung dieser vier Funktionen unkompliziert. In einem Drei-Personen-Unternehmen fühlt es sich unmöglich an – und genau hier geben die meisten Eigentümer auf und überlassen alles „dem Buchhalter, dem sie vertrauen“. Dies ist exakt der Ausgangspunkt fast jeder Fallstudie über Unterschlagung.

Warum „Ich vertraue ihnen“ keine Kontrolle ist

Fast jeder gemeldete Fall von Unterschlagung durch Buchhalter beginnt mit demselben Satz: Der Eigentümer vertraute dem Täter vollkommen. Der Bauunternehmer in Ohio vertraute Deborah Hall – 16 Jahre lang. Das Bauunternehmen vertraute seinem Buchhalter trotz 18 gefälschter Schecks im Gesamtwert von über 44.000 .DerBu¨roleiterineinesHeizungsundKlimabetriebs,AngelaCooper,wurdesoweitvertraut,dassihrderUnterschriftenstempeldesEigentu¨mersanvertrautwurde;sienutzteihn,ummehrals100Scheckszufa¨lschenund158.658. Der Büroleiterin eines Heizungs- und Klimabetriebs, Angela Cooper, wurde so weit vertraut, dass ihr der Unterschriftenstempel des Eigentümers anvertraut wurde; sie nutzte ihn, um mehr als 100 Schecks zu fälschen und 158.658 in die eigene Tasche zu stecken.

Vertrauen ist keine Kontrolle. Vertrauen schafft die Gelegenheit – die Bedingungen, unter denen Betrug geschehen und unentdeckt bleiben kann. Kontrollen sind das, was diese Gelegenheit beseitigt. Der Zweck der Einführung interner Kontrollen in Ihrem kleinen Unternehmen besteht nicht darin, Ihre Mitarbeiter zu beschuldigen; es geht darum sicherzustellen, dass selbst ein absolut ehrlicher Buchhalter ein strukturelles Sicherheitsnetz hat, das ehrliche Fehler abfängt, und dass jeder böswillige Akteur einen Mitverschwörer rekrutieren müsste, bevor er auch nur einen Cent stehlen kann.

Anders ausgedrückt: Wenn Ihr einziger Schutz vor einem sechsstelligen Verlust Ihre Einschätzung des Charakters von jemandem ist, haben Sie keinen Schutz. Sie haben eine Hoffnung.

Die Drei-Personen-Realität

Werden wir konkret. Angenommen, Ihr Unternehmen besteht aus:

  • Ihnen (dem Eigentümer)
  • Einem Buchhalter (Vollzeit oder Teilzeit, intern oder extern)
  • Einem Betriebs- oder Büroleiter (ein Allrounder)

Sie können sich keinen Controller leisten. Sie können sich keine separaten Kreditoren- und Debitorenbuchhalter und keinen Schatzmeister leisten. Hier ist, was Sie tun können – und es reicht aus, um das Betrugsrisiko drastisch zu senken.

Schritt 1: Skizzieren Sie Ihre Transaktionsflüsse

Nehmen Sie ein Blatt Papier und schreiben Sie den Lebenszyklus jedes wichtigen Geldflusses auf:

  1. Zahlungseingänge – Wie kommt das Geld herein? Wer öffnet die Post / verarbeitet Zahlungen / bucht Einzahlungen / gleicht ab?
  2. Auszahlungen – Wie geht das Geld hinaus? Wer genehmigt Rechnungen / unterschreibt Schecks oder veranlasst Überweisungen / erfasst die Zahlung / gleicht ab?
  3. Gehaltsabrechnung – Wer fügt Mitarbeiter hinzu oder entfernt sie / genehmigt Arbeitsstunden / führt die Abrechnung durch / gleicht mit dem Hauptbuch ab?
  4. Lagerbestand oder andere Vermögenswerte – Wer hat physischen Zugriff / erfasst Bewegungen / zählt und gleicht ab?

Schreiben Sie für jeden Schritt den Namen der Person auf, die ihn ausführt. Wenn derselbe Name in einer Zeile bei Autorisierung, Verwahrung, Erfassung und Abstimmung erscheint, haben Sie ein Warnsignal für die Funktionstrennung.

Schritt 2: Nehmen Sie jede sinnvolle Funktionstrennung vor

Selbst mit nur drei Personen lassen sich in der Regel die wichtigsten Trennungen umsetzen:

  • Der Eigentümer unterzeichnet alle Schecks oberhalb eines niedrigen Schwellenwerts (z. B. 500 $). Der Buchhalter bereitet die Schecks vor, unterzeichnet sie jedoch nie und hat keine Zeichnungsberechtigung. Dem Buchhalter sollte es niemals gestattet sein, Schecks zu unterzeichnen. Unter keinen Umständen.
  • Der Eigentümer – nicht der Buchhalter – genehmigt neue Kreditoren, bevor Zahlungen an diese geleistet werden können. Betrug durch fiktive Lieferanten ist eines der am einfachsten umzusetzenden Schemata; diese eine Kontrollmaßnahme unterbindet es sofort.
  • Der Büroleiter öffnet die Post und versieht jeden eingehenden Scheck mit dem Stempel „Nur zur Verrechnung“, bevor er ihn weitergibt. Der Buchhalter erfasst die Zahlungseingänge, hat sie aber nie physisch in seinem Besitz, bevor sie mit einem einschränkenden Indossament versehen wurden.
  • Der Buchhalter erfasst die Transaktionen; der Eigentümer stimmt das Bankkonto ab (mehr dazu, wie man dies korrekt durchführt, in Kürze).
  • Der Eigentümer genehmigt die Lohn- und Gehaltsabrechnung in jedem Zyklus – Name für Name, Betrag für Betrag – bevor sie übermittelt wird. Betrugsfälle durch „Geistermitarbeiter“ werden durch einen Eigentümer gestoppt, der das Lohnregister prüft und jedes Gesicht erkennt.

Das ist keine perfekte Funktionstrennung. Aber es reicht aus, um Kollusion (Absprache) erforderlich zu machen, damit die meisten Betrugsmaschen Erfolg haben – und in dem Moment, in dem sich zwei Personen verschwören müssen, sinkt Ihr Risiko dramatisch.

Schritt 3: Nutzen Sie überall sonst kompensatorische Kontrollen

Eine kompensatorische Kontrolle ist das, was Wirtschaftsprüfer jeden Prüfungsschritt nennen, den man hinzufügt, wenn eine vollständige Trennung unrealistisch ist. Sie sind nicht so stark wie eine echte Funktionstrennung, aber in Kombination überraschend effektiv. Die wichtigsten für ein kleines Unternehmen sind:

  • Prüfung des Kontoauszugs durch den Eigentümer, bevor die Abstimmung erfolgt. Dies ist die wirkungsvollste Einzelmaßnahme auf dieser gesamten Liste. Lassen Sie die Bank den Kontoauszug jeden Monat per Post (oder als PDF direkt per E-Mail) an den Eigentümer senden. Der Eigentümer öffnet ihn, sucht nach unbekannten Zahlungsempfängern, ungewöhnlichen Überweisungen oder Beträgen, die nicht ins Muster passen, und gibt ihn erst dann zur Abstimmung weiter. Handzeichen und Datum auf dem Auszug = erledigt.
  • Monatliche Bankabstimmung, die vom Eigentümer geprüft und abgezeichnet wird. Selbst wenn der Buchhalter sie durchführt, prüft der Eigentümer die fertige Abstimmung und unterschreibt am Ende. Achten Sie auf offene Schecks: Gibt es veraltete Posten? Achten Sie auf unterwegs befindliche Einzahlungen: Werden diese im nächsten Monat tatsächlich gutgeschrieben?
  • Verpflichtender Jahresurlaub von mindestens einer zusammenhängenden Woche für jeden, der mit der Buchführung zu tun hat, wobei währenddessen eine andere Person die Arbeit übernimmt. Die überwiegende Mehrheit langjähriger Veruntreuungsschemata fliegt in dem Moment auf, in dem eine zweite Person die Bücher öffnet. Viele Buchhalter-Betrügereien wurden speziell deshalb entdeckt, weil der Täter gezwungen war, Urlaub zu nehmen.
  • Unangekündigte Stichproben. Ziehen Sie regelmäßig die Auszahlungen einer zufälligen Woche heraus und verfolgen Sie jede einzelne bis zur Rechnung, zur Genehmigung und zum gebuchten Eintrag zurück. Das müssen Sie nicht oft tun – vierteljährlich reicht völlig aus –, aber die Tatsache, dass es passieren könnte, wirkt abschreckend.
  • Ein Hinweisgebersystem / Meldekanal. Das klingt nach Konzernstruktur, muss es aber nicht sein. Teilen Sie Ihren Mitarbeitern schriftlich mit, dass sie Bedenken direkt an Sie (oder Ihren Steuerberater) melden können, ohne Repressalien befürchten zu müssen. 43 % aller Fälle von Wirtschaftskriminalität am Arbeitsplatz werden durch Hinweise aufgedeckt – mehr als dreimal so viele wie durch jede andere Aufdeckungsmethode. Ihre Mitarbeiter sehen Dinge, die Sie nicht sehen.

Schritt 4: Sichern Sie das System ab, nicht nur die Personen

Selbst bei begrenztem Personal bieten Ihnen Ihre Buchhaltungssoftware, Ihr Bankportal und Ihr Lohnabrechnungssystem enorme Hebelwirkung, wenn Sie sie gut konfigurieren:

  • Eigene Benutzer-Logins für jede Person. Keine gemeinsam genutzten Zugangsdaten. Niemals. Wenn etwas schiefgeht, müssen Sie wissen, welcher Benutzer es war.
  • Rollenbasierte Berechtigungen im Buchhaltungssystem. Ihr Buchhalter benötigt keine Berechtigung, um Transaktionen zu löschen, Schecks nach deren Einlösung für ungültig zu erklären, Bankverbindungen von Lieferanten zu ändern oder den Kontenplan zu modifizieren. Die meisten modernen Systeme erlauben es, diese Funktionen einzeln zu deaktivieren.
  • Audit-Logs aktivieren und prüfen. Wenn Ihre Software ein Änderungsprotokoll führt, lernen Sie, wie man es liest. Werfen Sie regelmäßig einen Blick auf Löschungen, Bearbeitungen in abgeschlossenen Perioden und Änderungen an Kreditorenstammdaten.
  • Bankseitige Doppelautorisierung für Überweisungen oberhalb eines Schwellenwerts. Die meisten Business-Banking-Portale unterstützen dies. Nutzen Sie es. Der Buchhalter initiiert; der Eigentümer gibt frei.
  • Positive Pay (oder wie auch immer Ihre Bank es nennt) für das Girokonto. Sie laden eine Liste der von Ihnen ausgestellten Schecks hoch; die Bank weigert sich, alles einzulösen, was nicht auf der Liste steht. Dies unterbindet Scheckfälschungsbetrug fast vollständig und ist bei Geschäftskonten oft kostenlos.

Schritt 5: Holen Sie sich einen externen Teilzeit-Experten

Wenn Sie die Aufgaben intern nicht vollständig trennen können, „leihen“ Sie sich die Funktionstrennung von außerhalb des Unternehmens. Optionen, die meist auch für kleine Unternehmen erschwinglich sind:

  • Eine externe Buchhaltungsfirma, die die Arbeit erledigt, während Sie die Genehmigungen und die Prüfung der Abstimmungen übernehmen.
  • Ein Interims-CFO oder externer Buchhalter, der die monatlichen Finanzberichte prüft, Transaktionen stichprobenartig testet und diskret als „zweites Augenpaar“ fungiert.
  • Eine jährliche prüferische Durchsicht (Review – eine Stufe unter einer Vollprüfung) durch einen Steuerberater oder Wirtschaftsprüfer, die Kontrollschwächen oft aufdeckt, lange bevor sie zu Verlusten führen.

Das Outsourcing einer der vier Funktionen ist oft günstiger als die Einstellung eines weiteren Mitarbeiters und bietet eine wesentlich stärkere Kontrolle als alles, was Sie intern mit drei Personen aufbauen könnten.

Ein Praxisbeispiel: Verschärfung der Zahlungsausgänge

Lassen Sie uns einen vollständigen Prozess – das Bezahlen von Rechnungen – durchspielen, um dies für einen Drei-Personen-Betrieb konkret zu machen.

Vor der Verschärfung:

Der Buchhalter erhält Rechnungen, erfasst sie im Buchhaltungssystem, druckt Schecks, versieht sie mit dem Unterschriftenstempel des Inhabers, versendet sie und gleicht das Bankkonto am Monatsende ab.

Das sind alle vier Funktionen in einer Hand, plus die Verfügungsgewalt über den Unterschriftenstempel. Dies ist das Lehrbuchbeispiel für ein Betrugsszenario.

Nach der Verschärfung:

  1. Der Büroleiter (oder der Buchhalter) nimmt Rechnungen entgegen und erfasst sie als Verbindlichkeiten im System, kann diese aber nicht bezahlen.
  2. Der Inhaber ruft wöchentlich die unbezahlten Rechnungen auf, prüft jede einzelne gegen die Belegunterlagen und markiert diejenigen, die zur Zahlung freigegeben sind.
  3. Der Buchhalter erstellt den Zahlungslauf nur für genehmigte Rechnungen (Schecks und/oder Überweisungen).
  4. Der Inhaber unterschreibt jeden Scheck physisch. Der Unterschriftenstempel wird vernichtet.
  5. Elektronische Zahlungen (ACH/Überweisungen) erfordern, dass sich der Inhaber im Bankportal einloggt und die vom Buchhalter vorbereitete Datei freigibt.
  6. Der Kontoauszug wird direkt an den Inhaber geschickt (per Post oder E-Mail), der ihn öffnet, prüft, abzeichnet und dann dem Buchhalter zur Abstimmung übergibt.
  7. Die abgeschlossene Abstimmung geht zurück an den Inhaber, der das Deckblatt prüft und unterschreibt.

Sie sind von einer Person, die jeden Schritt kontrolliert, zu einem Prozess übergegangen, bei dem ein Diebstahl entweder (a) das Fälschen der Unterschrift des Inhabers auf einem Scheck (Positive Pay fängt dies ab), (b) das aktive Überzeugen des Inhabers, eine betrügerische Rechnung zu genehmigen (die Prüfung der Belegunterlagen fängt dies ab) oder (c) die Rekrutierung eines Mitverschwörers erfordern würde. Das Betrugsrisiko sinkt nicht auf Null – das tut es nie –, aber es wandelt sich von „trivial einfach“ zu „tatsächlich schwierig und wahrscheinlich entdeckt zu werden“.

Wie eine gute Buchführung all dies ermöglicht

Jede der oben genannten Kontrollen hängt von einer stillen Voraussetzung ab: Ihre Bücher müssen so sauber sein, dass Anomalien auffallen. Wenn Ihr Hauptbuch ein Chaos aus falsch kontierten Transaktionen, zusammengefassten Kategorien und nicht kategorisierten Einträgen wie „Rücksprache Steuerberater“ ist, dann hat der Inhaber, der den Kontoauszug prüft, keine Vergleichsbasis. Seltsame Zahlungen verstecken sich im Rauschen.

Solide, gut organisierte Buchführung macht aus diesen Kontrollen erst einen wirksamen Schutz statt bloßem Theater. Abstimmungen decken Betrug nur dann auf, wenn sie tatsächlich auf den Cent genau mit dem Saldo übereinstimmen. Kreditorenprüfungen funktionieren nur, wenn Kreditoren konsistent erfasst werden. Das Erkennen von Mustern funktioniert nur, wenn die Daten ein echtes Muster aufweisen.

Plain-Text-Buchhaltung mit Versionsverwaltung ist hier besonders leistungsstark, da jede Änderung in der zugrunde liegenden Dateihistorie protokolliert wird. Sie können genau sehen, was wann und von wem geändert wurde – ein integrierter Prüfpfad (Audit-Trail), ohne dass Sie eine Enterprise-GRC-Plattform kaufen müssen. Das ist ein struktureller Vorteil für kleine Unternehmen, die sich schlicht keinen Controller oder keine Revisionsabteilung leisten können.

Eine vierteljährliche Checkliste für interne Kontrollen

Drucken Sie dies aus. Kleben Sie es in einen Aktenschrank. Arbeiten Sie es alle drei Monate durch.

  • Gehen Sie eine vollständige Transaktion in jedem Hauptzyklus (Zahlungseingänge, Zahlungsausgänge, Lohnabrechnung) durch und verifizieren Sie, dass der dokumentierte Prozess eingehalten wurde.
  • Prüfen Sie die Bankabstimmung des letzten Monats und bestätigen Sie, dass der Kontoauszug mit dem Endsaldo des Hauptbuchs übereinstimmt, ohne ungeklärte Abstimmungsposten, die älter als 60 Tage sind.
  • Überprüfen Sie die Kreditorenstammliste. Untersuchen Sie alle im letzten Quartal hinzugefügten Kreditoren, die Sie nicht kennen. Vergleichen Sie Kreditorenadressen mit Mitarbeiteradressen.
  • Überprüfen Sie das Lohnjournal für einen Zyklus. Erkennen Sie jeden Namen wieder. Untersuchen Sie jeden neuen Mitarbeiter oder jede Gehaltsänderung.
  • Überprüfen Sie das Prüfprotokoll des Buchhaltungssystems auf gelöschte oder stornierte Transaktionen. Untersuchen Sie alle Vorgänge in bereits abgeschlossenen Perioden.
  • Bestätigen Sie, dass jeder, der in der Buchhaltung tätig ist, im letzten Quartal mindestens seinen vorgeschriebenen Urlaub genommen hat.
  • Bestätigen Sie, dass die Zeichnungsberechtigung für Bankkonten noch immer Ihren Absichten entspricht.
  • Prüfen Sie die Kreditkartenabrechnungen und verifizieren Sie, dass für jede Belastung ein dokumentierter geschäftlicher Zweck und ein Beleg vorliegen.

Zwanzig bis dreißig Minuten, viermal im Jahr. Die Buchhalterin bei Plant Nutrition Services betrieb ihr System so lange, bis der Eigentümer starb. Lassen Sie den Zeitpunkt der Entdeckung nicht vom Glück abhängen.

Wann man lockern sollte – und wann eine weitere Verschärfung nötig ist

Interne Kontrollen haben nichts mit Paranoia zu tun; es geht darum, die Kontrolle an das Risiko anzupassen. Einige Tipps zur Kalibrierung:

  • Verschärfen Sie die Kontrollen, wenn das Bargeldvolumen steigt, wenn Sie einen neuen Buchhalter einstellen, nach jedem Beinahe-Zwischenfall, wenn Sie externe Investoren aufnehmen, wenn Sie anfangen, Treuhandgelder Dritter zu verwalten (z. B. Kundeneinlagen, Einbehalte) oder wenn Sie feststellen, dass Sie einen Posten auf dem Kontoauszug nicht wirklich erklären können.
  • Lockern Sie (leicht), wenn Kontrollen echte operative Probleme verursachen und Sie an anderer Stelle eine robuste Ausgleichskontrolle haben. Jede Kontrolle verursacht Kosten; das Ziel ist der minimale Satz, der Ihnen eine angemessene Abdeckung bietet.
  • Lockern Sie niemals die Scheckunterschriftsberechtigung, die Kreditorengenehmigung oder die Erstprüfung der Kontoauszüge durch den Inhaber. Diese drei sind die tragenden Wände der gesamten Struktur.

Halten Sie Ihre Finanzen vom ersten Tag an organisiert

Starke interne Kontrollen funktionieren nur auf der Grundlage einer sauberen, gut organisierten Buchführung. Wenn Sie den Zahlen nicht trauen können, können Sie auch den Abstimmungen nicht trauen – und das gesamte Kontrollsystem bricht zusammen. Beancount.io bietet Plain-Text-Buchhaltung, die Ihnen vollständige Transparenz und eine lückenlose Versionshistorie jeder Änderung in Ihrem Hauptbuch ermöglicht – die Art von integriertem Prüfpfad, für die kleine Unternehmen normalerweise teure Software kaufen müssen. Starten Sie kostenlos und erfahren Sie, warum Entwickler und Finanzexperten auf Plain-Text-Buchhaltung umsteigen – und sehen Sie sich unsere gehosteten Fava-Dashboards für sofortige Visualisierungen auf Basis Ihrer Bücher an.

Die günstigste interne Kontrolle, die Sie jemals aufbauen werden, ist die Disziplin sauberer Bücher, die von einem zweiten Augenpaar geprüft werden. Die teuerste ist der Rechtsstreit, den Sie drei Jahre später führen, in der Hoffnung, zehn Cent pro verlorenem Dollar zurückzuerhalten.