Beancount.io LogoBeancount.io

تفکیک وظایف با سه کارمند: جلوگیری از اختلاس در کسب‌وکارهای کوچک

زمان مطالعه 10 دقیقهMike ThriftMike Thrift
تفکیک وظایف با سه کارمند: جلوگیری از اختلاس در کسب‌وکارهای کوچک

در ادامه عددی آورده شده است که باید هر صاحب کسب‌وکار کوچکی را نگران کند: هزینه‌ی کلاهبرداری معمولی در شرکتی با کمتر از ۱۰۰ کارمند، ۱۴۱,۰۰۰ دلار است. این یک مورد استثنائی در بدترین حالت نیست؛ بلکه میانه (median) است — نیمی از موارد کلاهبرداری در کسب‌وکارهای کوچک هزینه‌ای بیش از این دارند. و افرادی که مرتکب آن می‌شوند به ندرت غریبه هستند. آن‌ها حسابداران مورد اعتمادی هستند که سال‌ها با شما بوده‌اند، مدیر دفتری که «همه‌ی کارها را انجام می‌دهد»، یا کارمندی که می‌داند هر چیزی کجاست.

پاسخ کتاب‌های درسی به این ریسک، تفکیک وظایف (Segregation of Duties) است: هرگز اجازه ندهید یک نفر کنترل یک تراکنش را از ابتدا تا انتها در دست داشته باشد. کتاب‌های درسی همچنین فرض می‌کنند که شما یک دپارتمان مالی دارید. اما شما سه کارمند دارید. شاید هم دو نفر. شاید هم فقط خودتان هستید، یک حسابدار پاره‌وقت و جوانی که به تلفن‌ها پاسخ می‌دهد.

بنابراین سوال واقعی این است: چگونه کنترل‌هایی ایجاد کنید که واقعاً از سرقت جلوگیری کنند، در حالی که واقعاً نمی‌توانید هر وظیفه را به فرد متفاوتی بسپارید؟ پاسخ «تسلیم شدن» نیست، بلکه «آگاهانه عمل کردن» است. این راهنما به شما نشان می‌دهد که چگونه.

چرا کسب‌وکارهای کوچک آسان‌ترین اهداف هستند

محققان حوزه کلاهبرداری همواره دریافته‌اند که سازمان‌های کوچک‌تر به طور نامتناسبی آسیب می‌بینند. آن‌ها با همان میانه ضرر شرکت‌های بسیار بزرگ‌تر مواجه می‌شوند، اما تنها بخشی از درآمد آن‌ها را برای جذب این ضرر در اختیار دارند. خسارت ۱۴۱,۰۰۰ دلاری ممکن است برای یک شرکت بزرگ تنها یک خطای گرد کردن باشد، اما برای کسب‌وکاری با درآمد ۲ میلیون دلار در سال، می‌تواند به معنای تفاوت بین پرداخت حقوق کارکنان و تعطیلی کامل باشد.

دلیل این امر این نیست که کارکنان کسب‌وکارهای کوچک غیرقابل‌اعتمادتر هستند، بلکه وجود «فرصت» است. شرکت‌های کوچک کنترل‌های ضد کلاهبرداری کمتری دارند، بودجه‌ی کمتری برای سرمایه‌گذاری روی آن‌ها دارند و فرهنگ اعتمادی در آن‌ها حاکم است که نظارت را نوعی توهین تلقی می‌کند. طرح‌هایی که در این محیط رشد می‌کنند پیش‌پا‌افتاده هستند: کلاهبرداری در صورت‌حساب (پرداخت فاکتورهای جعلی یا متورم)، دستکاری چک و پرداخت، هزینه‌های بازپرداختی ساختگی، و برداشت پول نقد (skimming) پیش از آنکه در دفاتر ثبت شود. هیچ‌کدام از این‌ها به پیچیدگی نیاز ندارند؛ تنها به این نیاز دارند که یک نفر بتواند کاری را انجام دهد و هم‌زمان آن را مخفی کند.

عبارت آخر کل مفهوم است. کلاهبرداری هم به «عمل» و هم به «پنهان‌کاری» نیاز دارد. تفکیک وظایف با اطمینان از اینکه فردی که می‌تواند مرتکب عمل شود، همان فردی نیست که می‌تواند آن را مخفی کند، کار می‌کند.

چهار وظیفه‌ای که سعی در جداسازی آن‌ها دارید

قبل از اینکه بتوانید وظایف را تقسیم کنید، باید بدانید چه چیزی را تقسیم می‌کنید. حسابداران هر تراکنش مالی را به چهار وظیفه تقسیم می‌کنند و هدف این است که آن‌ها را در دست افراد مختلف نگه دارید.

تأیید (Authorization): تأیید اینکه یک تراکنش باید انجام شود — امضای سفارش خرید، تأیید یک تأمین‌کننده جدید، یا اجازه بازپرداخت وجه.

حضانت (Custody): کنترل فیزیکی یا دیجیتالی خودِ دارایی — جابجایی پول نقد، نگه داشتن چک‌های امضا شده، داشتن رمز عبور حساب بانکی، یا کنترل موجودی کالا.

ثبت سوابق (Recordkeeping): وارد کردن تراکنش در دفاتر — ثبت فاکتور، ثبت پرداخت، یا ثبت سند حسابداری.

تطبیق/مغایرت‌گیری (Reconciliation): مقایسه سوابق با یک منبع مستقل — مطابقت دادن دفتر کل حسابداری با صورت‌حساب بانکی در پایان ماه.

اصل ساده است: هیچ فردی نباید برای یک تراکنش واحد، کنترل بیش از یکی از این وظایف را داشته باشد. وقتی وظایف تقسیم می‌شوند، خطا یا سرقتی که در یک وظیفه ایجاد شده، توسط فرد دیگری که وظیفه کنترل متقابل را انجام می‌دهد، کشف می‌شود. حسابداری که یک پرداخت جعلی را ثبت می‌کند، نمی‌تواند همان کسی باشد که صورت‌حساب بانکی را مغایرت‌گیری می‌کند، زیرا مغایرت‌گیری آن پرداخت را فاش می‌کند.

ترکیب‌های خطرناک قابل پیش‌بینی هستند. هر کسی که هم حضانت و ثبت سوابق را بر عده داشته باشد، می‌تواند دارایی را سرقت کرده و شواهد را پاک کند. هر کسی که تأیید و حضانت داشته باشد، می‌تواند پرداختی را به نفع خود تأیید کرده و سپس آن را دریافت کند. هر کسی که تأیید و ثبت سوابق داشته باشد، می‌تواند یک تراکنش ساختگی را تأیید کرده و آن را در دفاتر پنهان کند. اگر حسابدار شما چک می‌نویسد، آن‌ها را ثبت می‌کند و حساب را مغایرت‌گیری می‌کند، آن فرد هر چهار وظیفه را در اختیار دارد. این یک ضعف در کنترل نیست؛ بلکه به معنای نبود هیچ‌گونه کنترلی است.

«تفکیک» در عمل با سه نفر چگونه است

تفکیک کلاسیک در کتاب‌های درسی به چهار یا پنج نفر نیاز دارد. شما آن‌ها را ندارید. بنابراین وظایفی را که می‌توانید جدا می‌کنید و می‌پذیرید که بقیه به نوع متفاوتی از کنترل نیاز دارند. خبر خوب این است که حتی یک جداسازی شفاف، خطرناک‌ترین درها را می‌بندد.

مهم‌ترین جداسازی در یک کسب‌وکارهای کوچک، حضانت در مقابل ثبت سوابق است. اگر کسی که با پول سر و کار دارد، همان کسی نباشد که پول را ثبت می‌کند، شما با یک حرکت، رایج‌ترین طرح سوءاستفاده از دارایی را حذف کرده‌اید. در عمل:

  • حسابدار تراکنش‌ها را ثبت می‌کند اما حق امضا در حساب بانکی را ندارد و به سپرده‌های نقدی دست نمی‌زند.
  • مالک (یا کارمند دوم) چک‌ها را امضا می‌کند، لیست پرداخت‌ها را تأیید می‌کند و دسترسی به پنل بانکی را در اختیار دارد.
  • هر کسی که نامه‌ها را باز می‌کند و چک‌های دریافتی را ثبت می‌کند، نباید همان کسی باشد که پرداخت‌های مشتریان را در دفتر کل ثبت می‌کند.

اولویت دوم مستقل نگه داشتن تطبیق/مغایرت‌گیری است. مغایرت‌گیری بانکی چک نهایی برای همه چیز است. اگر این کار به طور صادقانه توسط کسی انجام شود که سوابق را ایجاد نکرده است، تقریباً هیچ نقشه‌ای بیش از یک ماه دوام نمی‌آورد. بنابراین مالک — و نه حسابدار — باید صورت‌حساب بانکی را دریافت کند و یا خود مغایرت‌گیری را انجام دهد یا آن را خط به خط بررسی کند. این عادت ساده که یک ساعت در ماه زمان می‌برد، جلوی دستکاری چک، پرداخت‌های کاذب، و انتقال‌های توجیه‌نشده را می‌گیرد.

یک مدل کارآمد برای سه نفر اغلب به این صورت است. مالک وظایف تأیید (تأیید تأمین‌کنندگان، پرداخت‌ها و تغییرات حقوق و دستمزد) و تطبیق/مغایرت‌گیری را بر عهده دارد. حسابدار وظیفه ثبت سوابق را انجام می‌دهد. کارمند دوم — یا مجدداً مالک — حضانت پول نقد و چک‌ها را بر عهده دارد. توجه داشته باشید که مالک دو بار ظاهر شده است. این اشکالی ندارد. حضور مالک در بخش تأیید و تطبیق بسیار کم‌خطرتر از حضور حسابدار در بخش حضانت و ثبت سوابق است، زیرا ترکیب تأیید و تطبیق به شما اجازه نمی‌دهد که در روند عادی کار، هم سرقت کنید و هم آن را مخفی نمایید.

کنترل‌های جبرانی: مجموعه ابزار واقعی

وقتی نمی‌توانید یک وظیفه را تفکیک کنید، باید آن را جبران کنید. کنترل‌های جبرانی مانع از انجام یک کار توسط یک فرد نمی‌شوند — بلکه احتمال دیده شدن تخلف را به‌شدت افزایش می‌دهند. برای کسب‌وکارهای کوچک، این‌ها صرفاً یک راهکار جایگزین نیستند، بلکه ابزار اصلی محسوب می‌شوند.

بررسی صورت‌حساب بانکی بازنشده توسط مالک. صورت‌حساب بانکی را به آدرس منزل خود دریافت کنید یا قبل از هر کس دیگری، شخصاً وارد حساب شوید. بیست دقیقه زمان بگذارید و تصویر هر چک و هر پرداخت الکترونیکی را اسکن کنید. به دنبال دریافت‌کنندگانی بگردید که نمی‌شناسید، مبالغ رُند، پرداخت به کارمندان، و هر چیزی که دقیقاً زیر آستانه تایید قرار دارد. بررسی‌های مربوط به کلاهبرداری بارها نشان داده‌اند که نظارت در سطح مالک یکی از معدود کنترل‌هایی است که به‌طور مداوم خسارات را در شرکت‌های کوچک کاهش می‌دهد.

تایید دوگانه برای مبالغ بالاتر از آستانه. برای هر پرداختی بالاتر از یک مبلغ مشخص، تایید دو نفر را الزامی کنید. این آستانه را بر اساس جریان نقدی خود انتخاب کنید — بسیاری از کسب‌وکارهای کوچک از ۱,۰۰۰ دلار استفاده می‌کنند و استارتاپ‌ها اغلب مبالغ کمتری را تعیین می‌کنند. بیشتر نرم‌افزارهای حسابداری و پرداخت صورت‌حساب به شما اجازه می‌دهند این مورد را به‌صورت خودکار اعمال کنید تا نتوان آن را نادیده گرفت.

بررسی حسابدار خارجی. بررسی ماهانه یا فصلی توسط یک حسابدار خارجی یا یک کنترلر پاره‌وقت (Fractional Controller) یک کنترل جبرانی قدرتمند است، دقیقاً به این دلیل که آن شخص هیچ نفعی در پنهان‌کاری ندارد. آن‌ها می‌توانند مغایرت‌گیری‌ها را بررسی کنند، لیست فروشندگان را برای موارد جدید اسکن کنند و چند تراکنش را به‌صورت نمونه بررسی نمایند. این اغلب بهترین هزینه‌ای است که یک کسب‌وکار کوچک برای پیشگیری از کلاهبرداری انجام می‌دهد.

مرخصی‌های اجباری و آموزش متقاطع. بسیاری از کلاهبرداری‌ها زمانی برملا می‌شوند که مرتکب در محل کار حضور ندارد و شخص دیگری به کارهای او رسیدگی می‌کند. کتابدار یا دفتردار خود را ملزم کنید که یک هفته مرخصی بدون وقفه بگیرد و شخص دیگری وظایف او را پوشش دهد. کلاهبرداری‌ها به کنترل مداوم بستگی دارند؛ یک وقفه اجباری این زنجیره را می‌شکند.

محدود کردن داده‌های پایه (Master Data). توانایی افزودن یک فروشنده جدید، تغییر جزئیات بانکی فروشنده یا تعریف یک کارمند جدید، خود نوعی مجوز دسترسی است. آن را محدود کنید. حجم شگفت‌انگیزی از کلاهبرداری‌های صورت‌حساب صرفاً از طریق یک فروشنده با ظاهر واقعی انجام می‌شود که توسط فرد کلاهبردار ایجاد شده است. افزودن فروشنده باید مستلزم تایید نهایی کسی باشد که خودش پرداخت‌ها را انجام نمی‌دهد.

ردپای حسابرسی اعمال شده توسط سیستم. از نرم‌افزاری استفاده کنید که ثبت کند چه کسی هر تراکنش را وارد، ویرایش یا حذف کرده است و آن گزارش را غیرقابل تغییر (Unalterable) کنید. وقتی همه بدانند که اقداماتشان به‌طور دائمی تحت نام خودشان ثبت می‌شود، محاسبات کلاهبرداری تغییر می‌کند. پنهان‌کاری بسیار دشوارتر می‌شود و این نیمی از معادله است.

یک چک‌لیست کاربردی برای شروع

لازم نیست همین هفته کل عملیات خود را بازطراحی کنید. از اینجا شروع کنید:

۱. لیستی از اینکه چه کسی چه کاری انجام می‌دهد تهیه کنید. نام هر فرد و اینکه با کدام یک از چهار وظیفه درگیر است را بنویسید. دور هر کسی که همزمان مسئولیت «تصدی اموال» و «ثبت سوابق» را دارد خط بکشید — این اولین آتش است که باید خاموش کنید. ۲. دسترسی بانکی را از کتابدار/دفتردار خود بگیرید اگر او تراکنش‌ها را هم وارد می‌کند. مالک باید اعتبارنامه‌های بانکی را در اختیار داشته باشد. ۳. مدیریت صورت‌حساب بانکی را بر عهده بگیرید. از ماه آینده، شما اولین کسی باشید که آن را می‌بینید و قبل از مغایرت‌گیری توسط هر فرد دیگری، آن را بررسی کنید. ۴. یک آستانه برای تایید دوگانه تعیین کنید و آن را در نرم‌افزار خود فعال کنید. ۵. فرآیند تعریف فروشنده و حقوق و دستمزد را قفل کنید تا منوط به تایید مالک باشد. ۶. یک بررسی خارجی برنامه‌ریزی کنید — حتی بررسی فصلی هم معنای زیادی دارد. ۷. یک مرخصی واقعی در تقویم قرار دهید برای هر کسی که دفاتر مالی را در اختیار دارد.

هیچ‌کدام از این‌ها نیازی به استخدام نیروی جدید ندارد. این‌ها مستلزم این تصمیم هستند که «اعتماد» و «تایید» متضاد یکدیگر نیستند — و تایید کردن مورد اعتمادترین کارمندتان در واقع نوعی احترام به اوست، زیرا همان‌قدر که از شما در برابر ضرر محافظت می‌کند، از او نیز در برابر سوءظن محافظت می‌نماید.

امور مالی خود را از روز اول سازماندهی کنید

کنترل‌های داخلی قوی به سوابقی بستگی دارد که کامل، دارای برچسب زمانی و به‌سختی قابل تغییر مخفیانه باشند. دقیقاً به همین دلیل است که سیستم دفترداری شما اهمیت دارد: اگر دفاتر شما یک جعبه سیاه باشند که فقط یک نفر از آن سر در می‌آورد، هیچ کنترل جبرانی نمی‌تواند داخل آن را ببیند. Beancount.io حسابداری متن‌ساده‌ای را ارائه می‌دهد که شفاف و تحت کنترل نسخه (Version-controlled) است — هر تغییر ردیابی می‌شود، هر ورودی خوانا است و کل تاریخچه توسط هر کسی که به او اعتماد دارید، قابل بازرسی است. این امر باعث می‌شود بررسی‌های مستقل، مغایرت‌گیری و ردپای حسابرسی در یک تیم کوچک بسیار راحت‌تر اجرا شود. به‌صورت رایگان شروع کنید و ببینید چرا توسعه‌دهندگان و متخصصان مالی به حسابداری متن‌ساده روی می‌آورند.


منابع: ACFE Occupational Fraud 2024: A Report to the Nations؛ Improving Internal Controls in Departments with Limited Segregation of Duties — Lutz؛ Segregation of Duties — Hyperproof.