در ادامه عددی آورده شده است که باید هر صاحب کسبوکار کوچکی را نگران کند: هزینهی کلاهبرداری معمولی در شرکتی با کمتر از ۱۰۰ کارمند، ۱۴۱,۰۰۰ دلار است. این یک مورد استثنائی در بدترین حالت نیست؛ بلکه میانه (median) است — نیمی از موارد کلاهبرداری در کسبوکارهای کوچک هزینهای بیش از این دارند. و افرادی که مرتکب آن میشوند به ندرت غریبه هستند. آنها حسابداران مورد اعتمادی هستند که سالها با شما بودهاند، مدیر دفتری که «همهی کارها را انجام میدهد»، یا کارمندی که میداند هر چیزی کجاست.
پاسخ کتابهای درسی به این ریسک، تفکیک وظایف (Segregation of Duties) است: هرگز اجازه ندهید یک نفر کنترل یک تراکنش را از ابتدا تا انتها در دست داشته باشد. کتابهای درسی همچنین فرض میکنند که شما یک دپارتمان مالی دارید. اما شما سه کارمند دارید. شاید هم دو نفر. شاید هم فقط خودتان هستید، یک حسابدار پارهوقت و جوانی که به تلفنها پاسخ میدهد.
بنابراین سوال واقعی این است: چگونه کنترلهایی ایجاد کنید که واقعاً از سرقت جلوگیری کنند، در حالی که واقعاً نمیتوانید هر وظیفه را به فرد متفاوتی بسپارید؟ پاسخ «تسلیم شدن» نیست، بلکه «آگاهانه عمل کردن» است. این راهنما به شما نشان میدهد که چگونه.
چرا کسبوکارهای کوچک آسانترین اهداف هستند
محققان حوزه کلاهبرداری همواره دریافتهاند که سازمانهای کوچکتر به طور نامتناسبی آسیب میبینند. آنها با همان میانه ضرر شرکتهای بسیار بزرگتر مواجه میشوند، اما تنها بخشی از درآمد آنها را برای جذب این ضرر در اختیار دارند. خسارت ۱۴۱,۰۰۰ دلاری ممکن است برای یک شرکت بزرگ تنها یک خطای گرد کردن باشد، اما برای کسبوکاری با درآمد ۲ میلیون دلار در سال، میتواند به معنای تفاوت بین پرداخت حقوق کارکنان و تعطیلی کامل باشد.
دلیل این امر این نیست که کارکنان کسبوکارهای کوچک غیرقابلاعتمادتر هستند، بلکه وجود «فرصت» است. شرکتهای کوچک کنترلهای ضد کلاهبرداری کمتری دارند، بودجهی کمتری برای سرمایهگذاری روی آنها دارند و فرهنگ اعتمادی در آنها حاکم است که نظارت را نوعی توهین تلقی میکند. طرحهایی که در این محیط رشد میکنند پیشپاافتاده هستند: کلاهبرداری در صورتحساب (پرداخت فاکتورهای جعلی یا متورم)، دستکاری چک و پرداخت، هزینههای بازپرداختی ساختگی، و برداشت پول نقد (skimming) پیش از آنکه در دفاتر ثبت شود. هیچکدام از اینها به پیچیدگی نیاز ندارند؛ تنها به این نیاز دارند که یک نفر بتواند کاری را انجام دهد و همزمان آن را مخفی کند.
عبارت آخر کل مفهوم است. کلاهبرداری هم به «عمل» و هم به «پنهانکاری» نیاز دارد. تفکیک وظایف با اطمینان از اینکه فردی که میتواند مرتکب عمل شود، همان فردی نیست که میتواند آن را مخفی کند، کار میکند.
چهار وظیفهای که سعی در جداسازی آنها دارید
قبل از اینکه بتوانید وظایف را تقسیم کنید، باید بدانید چه چیزی را تقسیم میکنید. حسابداران هر تراکنش مالی را به چهار وظیفه تقسیم میکنند و هدف این است که آنها را در دست افراد مختلف نگه دارید.
تأیید (Authorization): تأیید اینکه یک تراکنش باید انجام شود — امضای سفارش خرید، تأیید یک تأمینکننده جدید، یا اجازه بازپرداخت وجه.
حضانت (Custody): کنترل فیزیکی یا دیجیتالی خودِ دارایی — جابجایی پول نقد، نگه داشتن چکهای امضا شده، داشتن رمز عبور حساب بانکی، یا کنترل موجودی کالا.
ثبت سوابق (Recordkeeping): وارد کردن تراکنش در دفاتر — ثبت فاکتور، ثبت پرداخت، یا ثبت سند حسابداری.
تطبیق/مغایرتگیری (Reconciliation): مقایسه سوابق با یک منبع مستقل — مطابقت دادن دفتر کل حسابداری با صورتحساب بانکی در پایان ماه.
اصل ساده است: هیچ فردی نباید برای یک تراکنش واحد، کنترل بیش از یکی از این وظایف را داشته باشد. وقتی وظایف تقسیم میشوند، خطا یا سرقتی که در یک وظیفه ایجاد شده، توسط فرد دیگری که وظیفه کنترل متقابل را انجام میدهد، کشف میشود. حسابداری که یک پرداخت جعلی را ثبت میکند، نمیتواند همان کسی باشد که صورتحساب بانکی را مغایرتگیری میکند، زیرا مغایرتگیری آن پرداخت را فاش میکند.
ترکیبهای خطرناک قابل پیشبینی هستند. هر کسی که هم حضانت و ثبت سوابق را بر عده داشته باشد، میتواند دارایی را سرقت کرده و شواهد را پاک کند. هر کسی که تأیید و حضانت داشته باشد، میتواند پرداختی را به نفع خود تأیید کرده و سپس آن را دریافت کند. هر کسی که تأیید و ثبت سوابق داشته باشد، میتواند یک تراکنش ساختگی را تأیید کرده و آن را در دفاتر پنهان کند. اگر حسابدار شما چک مینویسد، آنها را ثبت میکند و حساب را مغایرتگیری میکند، آن فرد هر چهار وظیفه را در اختیار دارد. این یک ضعف در کنترل نیست؛ بلکه به معنای نبود هیچگونه کنترلی است.
«تفکیک» در عمل با سه نفر چگونه است
تفکیک کلاسیک در کتابهای درسی به چهار یا پنج نفر نیاز دارد. شما آنها را ندارید. بنابراین وظایفی را که میتوانید جدا میکنید و میپذیرید که بقیه به نوع متفاوتی از کنترل نیاز دارند. خبر خوب این است که حتی یک جداسازی شفاف، خطرناکترین درها را میبندد.
مهمترین جداسازی در یک کسبوکارهای کوچک، حضانت در مقابل ثبت سوابق است. اگر کسی که با پول سر و کار دارد، همان کسی نباشد که پول را ثبت میکند، شما با یک حرکت، رایجترین طرح سوءاستفاده از دارایی را حذف کردهاید. در عمل:
- حسابدار تراکنشها را ثبت میکند اما حق امضا در حساب بانکی را ندارد و به سپردههای نقدی دست نمیزند.
- مالک (یا کارمند دوم) چکها را امضا میکند، لیست پرداختها را تأیید میکند و دسترسی به پنل بانکی را در اختیار دارد.
- هر کسی که نامهها را باز میکند و چکهای دریافتی را ثبت میکند، نباید همان کسی باشد که پرداختهای مشتریان را در دفتر کل ثبت میکند.
اولویت دوم مستقل نگه داشتن تطبیق/مغایرتگیری است. مغایرتگیری بانکی چک نهایی برای همه چیز است. اگر این کار به طور صادقانه توسط کسی انجام شود که سوابق را ایجاد نکرده است، تقریباً هیچ نقشهای بیش از یک ماه دوام نمیآورد. بنابراین مالک — و نه حسابدار — باید صورتحساب بانکی را دریافت کند و یا خود مغایرتگیری را انجام دهد یا آن را خط به خط بررسی کند. این عادت ساده که یک ساعت در ماه زمان میبرد، جلوی دستکاری چک، پرداختهای کاذب، و انتقالهای توجیهنشده را میگیرد.
یک مدل کارآمد برای سه نفر اغلب به این صورت است. مالک وظایف تأیید (تأیید تأمینکنندگان، پرداختها و تغییرات حقوق و دستمزد) و تطبیق/مغایرتگیری را بر عهده دارد. حسابدار وظیفه ثبت سوابق را انجام میدهد. کارمند دوم — یا مجدداً مالک — حضانت پول نقد و چکها را بر عهده دارد. توجه داشته باشید که مالک دو بار ظاهر شده است. این اشکالی ندارد. حضور مالک در بخش تأیید و تطبیق بسیار کمخطرتر از حضور حسابدار در بخش حضانت و ثبت سوابق است، زیرا ترکیب تأیید و تطبیق به شما اجازه نمیدهد که در روند عادی کار، هم سرقت کنید و هم آن را مخفی نمایید.
کنترلهای جبرانی: مجموعه ابزار واقعی
وقتی نمیتوانید یک وظیفه را تفکیک کنید، باید آن را جبران کنید. کنترلهای جبرانی مانع از انجام یک کار توسط یک فرد نمیشوند — بلکه احتمال دیده شدن تخلف را بهشدت افزایش میدهند. برای کسبوکارهای کوچک، اینها صرفاً یک راهکار جایگزین نیستند، بلکه ابزار اصلی محسوب میشوند.
بررسی صورتحساب بانکی بازنشده توسط مالک. صورتحساب بانکی را به آدرس منزل خود دریافت کنید یا قبل از هر کس دیگری، شخصاً وارد حساب شوید. بیست دقیقه زمان بگذارید و تصویر هر چک و هر پرداخت الکترونیکی را اسکن کنید. به دنبال دریافتکنندگانی بگردید که نمیشناسید، مبالغ رُند، پرداخت به کارمندان، و هر چیزی که دقیقاً زیر آستانه تایید قرار دارد. بررسیهای مربوط به کلاهبرداری بارها نشان دادهاند که نظارت در سطح مالک یکی از معدود کنترلهایی است که بهطور مداوم خسارات را در شرکتهای کوچک کاهش میدهد.
تایید دوگانه برای مبالغ بالاتر از آستانه. برای هر پرداختی بالاتر از یک مبلغ مشخص، تایید دو نفر را الزامی کنید. این آستانه را بر اساس جریان نقدی خود انتخاب کنید — بسیاری از کسبوکارهای کوچک از ۱,۰۰۰ دلار استفاده میکنند و استارتاپها اغلب مبالغ کمتری را تعیین میکنند. بیشتر نرمافزارهای حسابداری و پرداخت صورتحساب به شما اجازه میدهند این مورد را بهصورت خودکار اعمال کنید تا نتوان آن را نادیده گرفت.
بررسی حسابدار خارجی. بررسی ماهانه یا فصلی توسط یک حسابدار خارجی یا یک کنترلر پارهوقت (Fractional Controller) یک کنترل جبرانی قدرتمند است، دقیقاً به این دلیل که آن شخص هیچ نفعی در پنهانکاری ندارد. آنها میتوانند مغایرتگیریها را بررسی کنند، لیست فروشندگان را برای موارد جدید اسکن کنند و چند تراکنش را بهصورت نمونه بررسی نمایند. این اغلب بهترین هزینهای است که یک کسبوکار کوچک برای پیشگیری از کلاهبرداری انجام میدهد.
مرخصیهای اجباری و آموزش متقاطع. بسیاری از کلاهبرداریها زمانی برملا میشوند که مرتکب در محل کار حضور ندارد و شخص دیگری به کارهای او رسیدگی میکند. کتابدار یا دفتردار خود را ملزم کنید که یک هفته مرخصی بدون وقفه بگیرد و شخص دیگری وظایف او را پوشش دهد. کلاهبرداریها به کنترل مداوم بستگی دارند؛ یک وقفه اجباری این زنجیره را میشکند.
محدود کردن دادههای پایه (Master Data). توانایی افزودن یک فروشنده جدید، تغییر جزئیات بانکی فروشنده یا تعریف یک کارمند جدید، خود نوعی مجوز دسترسی است. آن را محدود کنید. حجم شگفتانگیزی از کلاهبرداریهای صورتحساب صرفاً از طریق یک فروشنده با ظاهر واقعی انجام میشود که توسط فرد کلاهبردار ایجاد شده است. افزودن فروشنده باید مستلزم تایید نهایی کسی باشد که خودش پرداختها را انجام نمیدهد.
ردپای حسابرسی اعمال شده توسط سیستم. از نرمافزاری استفاده کنید که ثبت کند چه کسی هر تراکنش را وارد، ویرایش یا حذف کرده است و آن گزارش را غیرقابل تغییر (Unalterable) کنید. وقتی همه بدانند که اقداماتشان بهطور دائمی تحت نام خودشان ثبت میشود، محاسبات کلاهبرداری تغییر میکند. پنهانکاری بسیار دشوارتر میشود و این نیمی از معادله است.
یک چکلیست کاربردی برای شروع
لازم نیست همین هفته کل عملیات خود را بازطراحی کنید. از اینجا شروع کنید:
۱. لیستی از اینکه چه کسی چه کاری انجام میدهد تهیه کنید. نام هر فرد و اینکه با کدام یک از چهار وظیفه درگیر است را بنویسید. دور هر کسی که همزمان مسئولیت «تصدی اموال» و «ثبت سوابق» را دارد خط بکشید — این اولین آتش است که باید خاموش کنید. ۲. دسترسی بانکی را از کتابدار/دفتردار خود بگیرید اگر او تراکنشها را هم وارد میکند. مالک باید اعتبارنامههای بانکی را در اختیار داشته باشد. ۳. مدیریت صورتحساب بانکی را بر عهده بگیرید. از ماه آینده، شما اولین کسی باشید که آن را میبینید و قبل از مغایرتگیری توسط هر فرد دیگری، آن را بررسی کنید. ۴. یک آستانه برای تایید دوگانه تعیین کنید و آن را در نرمافزار خود فعال کنید. ۵. فرآیند تعریف فروشنده و حقوق و دستمزد را قفل کنید تا منوط به تایید مالک باشد. ۶. یک بررسی خارجی برنامهریزی کنید — حتی بررسی فصلی هم معنای زیادی دارد. ۷. یک مرخصی واقعی در تقویم قرار دهید برای هر کسی که دفاتر مالی را در اختیار دارد.
هیچکدام از اینها نیازی به استخدام نیروی جدید ندارد. اینها مستلزم این تصمیم هستند که «اعتماد» و «تایید» متضاد یکدیگر نیستند — و تایید کردن مورد اعتمادترین کارمندتان در واقع نوعی احترام به اوست، زیرا همانقدر که از شما در برابر ضرر محافظت میکند، از او نیز در برابر سوءظن محافظت مینماید.
امور مالی خود را از روز اول سازماندهی کنید
کنترلهای داخلی قوی به سوابقی بستگی دارد که کامل، دارای برچسب زمانی و بهسختی قابل تغییر مخفیانه باشند. دقیقاً به همین دلیل است که سیستم دفترداری شما اهمیت دارد: اگر دفاتر شما یک جعبه سیاه باشند که فقط یک نفر از آن سر در میآورد، هیچ کنترل جبرانی نمیتواند داخل آن را ببیند. Beancount.io حسابداری متنسادهای را ارائه میدهد که شفاف و تحت کنترل نسخه (Version-controlled) است — هر تغییر ردیابی میشود، هر ورودی خوانا است و کل تاریخچه توسط هر کسی که به او اعتماد دارید، قابل بازرسی است. این امر باعث میشود بررسیهای مستقل، مغایرتگیری و ردپای حسابرسی در یک تیم کوچک بسیار راحتتر اجرا شود. بهصورت رایگان شروع کنید و ببینید چرا توسعهدهندگان و متخصصان مالی به حسابداری متنساده روی میآورند.
منابع: ACFE Occupational Fraud 2024: A Report to the Nations؛ Improving Internal Controls in Departments with Limited Segregation of Duties — Lutz؛ Segregation of Duties — Hyperproof.