従業員3名での職務分掌:小規模ビジネス向けの実用的な内部統制プレイブック

約2分Mike ThriftMike Thrift
従業員3名での職務分掌:小規模ビジネス向けの実用的な内部統制プレイブック

勤続16年の信頼できる記帳担当者。デスクの引き出しに残された署名スタンプ。10年間にわたって自分宛に振り出された154枚の小切手。オーナーが気づいた時には、20万ドル以上が消えており、回収できる見込みもほとんどありませんでした。

この話は決して特異な例ではありません。公認不正検査士協会(ACFE)の「2024年度版 職業不正に関する報告書(Report to the Nations)」によると、従業員100人未満の組織では、不正1件あたりの損失額の中央値が141,000ドルに達しており、これは全企業規模の中で最高額です。典型的な手口は、誰かが気づくまでに12ヶ月間続き、その間、毎月およそ9,900ドルが流出し続けます。そして、小規模企業が大規模企業よりも大きな打撃を受ける最も一般的な理由は、内部統制の欠如です。より端的に言えば、「規模が小さすぎて分担できない」という理由で、1人の人間がすべての財務業務を行っていることです。

あなたの会社は小さすぎるわけではありません。ただ、Fortune 500企業のコントローラーが描くような設計図とは異なるものが必要なだけです。これがその設計図です。

職務分掌の本当の意味

監査の専門用語を取り除けば、職務分掌(SoD)とは、たった一つの揺るぎない考え方に行き着きます。それは、**「いかなる個人も、財務上の不正を行い、それを隠蔽することができてはならない」**ということです。これがすべてです。他のすべてのルール、統制、手順はこの一つの原則から派生しています。

監査人は、企業の財務業務を4つの機能に分類します。不正や重大なミスを困難にするために、可能な限りこれら4つを別々の担当者に分けるべきです:

機能内容
承認(Authorization)取引の実行を認めること仕入先請求書への署名、給与の承認、返金の承認
保管(Custody)資産そのものを物理的またはデジタル的に管理すること小切手帳の保持、署名権限の所有、法人カードの所持
記録(Recording)取引を帳簿に入力すること会計システムへの請求書の計上、入金の記録、給与計算の実行
照合(Reconciliation)記録が外部の証憑と一致しているか確認すること銀行明細と総勘定元帳の照合、クレジットカード明細と領収書の照合

取引を記録した記帳担当者が、その照合も行うべきではありません。小切手帳を持っている人が、請求書の承認も行うべきではありません。小切手に署名するオーナーが、密室で銀行口座の照合も行うべきではありません。各機能に異なる「目」を入れる必要があります。

従業員50人の会社であれば、これら4つの機能を分けるのは簡単です。しかし、3人の会社では不可能に感じられます。そこで多くのオーナーは諦めてしまい、「信頼している記帳担当者」にすべてを任せてしまいます。これこそが、ほぼすべての横領事件のケーススタディが始まる設定なのです。

なぜ「信頼している」は統制にならないのか

報告されている記帳担当者による横領事件のほとんどすべてが、同じ一文で始まります。「オーナーは犯人を完全に信頼していた」。オハイオ州の請負業者はデボラ・ホールを16年間信頼していました。ある建設会社は、合計44,000ドルを超える18枚の不正な小切手が振り出される間、記帳担当者を信頼していました。冷暖房設備のオフィスマネージャー、アンジェラ・クーパーは、オーナーの署名スタンプを任されるほど信頼されていましたが、彼女はそのスタンプを使って100枚以上の小切手を偽造し、158,658ドルを懐に入れました。

信頼は統制ではありません。信頼とは、不正が起こり、発見されないままになる条件、つまり「機会」を生み出すものです。統制とは、その機会を取り除くものです。小規模企業において内部統制を構築する目的は、従業員を疑うことではありません。完全に誠実な記帳担当者であっても、単純なミスをカバーできる構造的なセーフティネットを確保すること、そして、悪意のある人物が盗みを働こうとするなら共犯者を募らなければならない状況にすることです。

言い換えれば、6桁(数十万ドル)の損失に対する唯一の防御策が、誰かの「人格」に対するあなたの評価であるなら、それは防御策ではありません。それは「願い」に過ぎないのです。

従業員3人の現実

具体的に考えてみましょう。あなたの会社に以下のメンバーがいるとします:

  • あなた(オーナー)
  • 記帳担当者(フルタイムまたはパートタイム、社内またはリモート)
  • オペレーション担当またはオフィスマネージャー(汎用的な業務を行う従業員1名)

コントローラー(財務責任者)を雇う余裕はないでしょう。買掛金担当、売掛金担当、財務担当を分ける余裕もありません。しかし、あなたにできることはあります。そして、それは不正リスクを劇的に減らすのに十分なものです。

ステップ1:取引フローをスケッチする

紙を取り出し、主な資金の流れのライフサイクルを書き出してみてください:

  1. 現金の入金 — お金はどのように入ってくるか? 郵便物の開封、支払処理、入金記録、照合は誰が行うか?
  2. 支出 — お金はどのように出ていくか? 請求書の承認、小切手の署名や振込の実行、支払記録、照合は誰が行うか?
  3. 給与計算 — 従業員の追加・削除、勤務時間の承認、給与計算の実行、総勘定元帳との照合は誰が行うか?
  4. 在庫またはその他の資産 — 物理的なアクセス権を持つのは誰か? 移動の記録、棚卸しと照合は誰が行うか?

各ステップについて、実行する人の名前を書き込みます。もし「承認」「保管」「記録」「照合」のいずれかの行に同じ名前が並んでいるなら、それは職務分掌におけるレッドフラッグ(危険信号)です。

ステップ 2:可能な限り合理的な職務分掌を行う

たとえ3人体制であっても、通常は最も重要な職務分掌(スプリット)を実行に移すことができます。

  • オーナーが低額の閾値(例えば500ドル)を超えるすべての小切手に署名する。記帳担当者は小切手を用意しますが、決して署名はせず、署名権限も持ちません。記帳担当者が小切手に署名することを許可してはいけません。決して。
  • 支払いが発行される前に、オーナー(記帳担当者ではなく)が新規取引先を承認する。架空取引先詐欺は世界で最も実行が容易なスキームですが、この単一の統制策だけでそれを防ぐことができます。
  • オフィスマネージャーが郵便物を開封し、すべての入金小切手に「預け入れ専用(For Deposit Only)」のスタンプを押してから引き渡す。記帳担当者は入金を記録しますが、制限付きの裏書がなされる前に現物を手にすることはありません。
  • 記帳担当者が取引を記録し、オーナーが銀行口座の照合(リコンシリエーション)を行う(これを行う適切な方法については、後ほど詳しく説明します)。
  • オーナーが毎サイクル、送信前に給与支払を承認する。一人ひとりの名前と金額を確認します。給与台帳を見て全員の顔が一致するオーナーがいれば、幽霊社員(架空従業員)スキームは完全に阻止されます。

これは完璧な職務分掌ではありません。しかし、ほとんどの不正スキームを成功させるために「共謀」が必要になるには十分な対策です。二人で共謀しなければならない状況になった瞬間、リスクは劇的に低下します。

ステップ 3:それ以外の場所では代替的統制を活用する

**代替的統制(compensating control)**とは、完全な職務分掌が現実的でない場合に、監査人が「後付け」で追加するレビュー手順のことです。これらは真の職務分掌ほど強力ではありませんが、積み重ねることで驚くほど効果を発揮します。小規模ビジネスにおける主な対策は以下の通りです。

  • 照合が行われる「前」にオーナーが銀行取引明細書を確認する。 これは、このリストの中で最も効果の高い統制策です。銀行からオーナーに毎月、明細書を郵送(またはPDFを直接メール)させるようにします。オーナーがそれを開封し、見慣れない支払先、異常な振込、またはパターンに合わない金額がないかスキャンしてから、照合作業のために引き渡します。明細書にイニシャルと日付を記入すれば完了です。
  • 毎月の銀行勘定照合をオーナーがレビューし、承認の署名をする。 記帳担当者が照合作業を行ったとしても、オーナーは完成した照合表を確認し、下部に署名します。未決済小切手の中に古いものはないか? 未達預金は実際に翌月決済されているか? を確認します。
  • 帳簿に触れる全員に対し、少なくとも1週間以上の連続した年次休暇を義務付ける。 その間は別の人がその業務をカバーします。長期にわたる横領スキームの大部分は、第二の人物が帳簿を開いた瞬間に露呈します。多くの記帳担当者による不正は、本人が強制的に休暇を取らされたことで発覚しています。
  • 抜き打ち検査。 定期的にランダムな1週間分の支出を抽出し、それぞれを請求書、承認、および記録された仕訳まで遡って確認します。これを頻繁に行う必要はありません。四半期に一度でも十分ですが、「検査が行われる可能性がある」という事実自体が抑止力になります。
  • 内部通報 / 報告チャネル。 企業的な響きがありますが、大げさなものである必要はありません。懸念事項があれば報復を恐れずにオーナー(または顧問会計士)に直接報告できることを、書面で従業員に伝えてください。職業上の不正の43%は通報によって発覚しており、これは他のどの検出方法よりも3倍以上の効果があります。従業員は、あなたが気づかないことを見ています。

ステップ 4:人だけでなくシステムをロックダウンする

限られたスタッフであっても、会計ソフトウェア、銀行ポータル、給与システムを適切に設定すれば、大きな力を発揮します。

  • 全員に個別のユーザーログインを割り当てる。 IDの共有は決して行わないでください。何らかの問題が発生した際、どのユーザーがそれを行ったかを知る必要があります。
  • 会計システムでのロールベースの権限設定。 記帳担当者には、取引の削除、決済後の小切手の無効化、取引先の銀行口座情報の変更、あるいは勘定科目表の変更を行う権限は必要ありません。ほとんどの現代的なシステムでは、これらを個別にオフにすることができます。
  • 監査ログを有効にし、確認する。 ソフトウェアに変更ログが記録されている場合は、その読み方を学びましょう。削除されたデータ、過去期間への編集、取引先マスタデータの変更などを定期的にざっと確認します。
  • 一定額以上のACH(口座振替)や電信送金に対する銀行レベルの二重承認。 ほとんどのビジネス用銀行ポータルはこの機能をサポートしています。これを利用してください。記帳担当者が開始し、オーナーが承認・実行します。
  • ポジティブ・ペイ(小切手照合サービス)の利用。 発行した小切手のリストをアップロードし、銀行はそのリストにない小切手の決済を拒否します。これにより小切手の偽造・改ざん詐欺をほぼ完全に根絶でき、ビジネス口座では無料で提供されていることも多いです。

ステップ 5:パートタイムの外部専門家を導入する

社内だけで完全に職務を分担できない場合は、社外から職務分掌を「借りて」きましょう。 小規模ビジネスでも通常手が届く選択肢は以下の通りです。

  • 業務全般を担当するパートタイムの記帳代行会社を利用し、オーナーは承認と照合のレビューに専念する。
  • 非常勤CFO(フラクショナルCFO)や外部の会計士を雇い、毎月の財務諸表のレビュー、取引のサンプリングテスト、そして「第二の目」としての役割を静かに果たしてもらう。
  • 公認会計士による年次レビュー(監査よりも一段階簡素なもの)を受ける。これにより、統制上の弱点が損失につながるずっと前に表面化することがよくあります。

4つの機能のうち1つをアウトソーシングすることは、多くの場合、新しい従業員を雇うよりも安価であり、3人のスタッフで内部的に構築できるものよりもはるかに強力な統制を提供します。

実例:現金支出の管理強化

3人規模の組織を例に、請求書の支払いという一連のプロセスを通じて、管理を強化する具体的な流れを見ていきましょう。

強化前:

記帳担当者が請求書を受け取り、会計システムに入力し、オーナーの署名印を押して小切手を印刷し、それを郵送し、月末に銀行口座の照合を行います。

これは、4つの機能すべてが1人の手に委ねられているだけでなく、署名印の管理まで含まれています。これは教科書通りの不正の温床です。

強化後:

  1. オフィス責任者(または記帳担当者)が請求書を受け取り、システムに未払金として入力しますが、支払いを実行することはできません
  2. オーナーは週に一度、未払の請求書を確認し、それぞれの内容を証憑書類と照らし合わせて確認し、承認済みのマークを付けます。
  3. 記帳担当者は、承認された請求書のみを対象に支払い処理(小切手または振込)を生成します。
  4. オーナーがすべての小切手に自筆で署名します。 署名印は廃棄します。
  5. 銀行振込(ACH等)の場合、オーナーが銀行ポータルにログインし、記帳担当者が作成したファイルを**承認(リリース)**する必要があります。
  6. 銀行取引明細書はオーナー宛に直接郵送(またはメール送信)されます。オーナーはそれを開封・確認し、イニシャルを記入した後で、照合のために記帳担当者に渡します。
  7. 完了した照合結果はオーナーに戻され、オーナーが表紙を確認して署名します。

これにより、1人が全工程をコントロールする体制から、1ドルを盗むために「(a) 小切手のオーナー署名を偽造する(ポジティブ・ペイなどの照合サービスで捕捉可能)」「(b) 不正な請求書をオーナーに承認させる(証憑確認で捕捉可能)」「(c) 共謀者を作る」のいずれかが必要なプロセスへと変わりました。不正のリスクがゼロになることはありませんが、「極めて容易」な状態から「非常に困難で、発覚する可能性が高い」状態になります。

正確な記帳がこれらすべてを可能にする

上記のすべての統制には、ある暗黙の前提条件があります。それは、**「異常が目立つほど帳簿が整理されていること」**です。もし総勘定元帳が、誤った勘定科目の割り当て、ひとまとめにされたカテゴリー、未分類の「会計士に確認」項目などで散らかっていたら、オーナーが銀行明細をチェックしても比較対象となる基準がありません。不審な支払いはノイズの中に紛れてしまいます。

正確で整理された記帳こそが、これらの統制を「単なる儀式」から「保護手段」へと変えます。残高照合が不正をキャッチできるのは、それが1円単位で一致しているときだけです。仕入先のレビューが機能するのは、仕入先が一貫性を持って入力されているときだけです。パターンの発見ができるのは、データの中に本物のパターンが存在するときだけです。

プレーンテキストによるバージョン管理された会計は、ここで特に威力を発揮します。すべての変更がファイル履歴に記録されるからです。いつ、誰が、何を変更したかを正確に把握でき、高価な企業向けGRCプラットフォームを購入することなく、監査証跡が組み込まれた状態になります。これは、財務責任者や監査部門を置く余裕のない中小企業にとって、構造的な強みとなります。

四半期ごとの内部統制チェックリスト

これを印刷し、ファイルキャビネットの内側に貼り付けて、3ヶ月ごとに実行してください。

  • 主要なサイクル(入金、支出、給与)ごとに1つの取引を追跡し、文書化されたプロセスに従っているか確認する。
  • 直近1ヶ月分の銀行勘定調整表を取り出し、銀行明細が総勘定元帳の期末残高と一致していること、および60日以上経過した不明な調整項目がないことを確認する。
  • 仕入先マスタリストを確認する。直近の四半期に追加された見覚えのない仕入先を調査する。仕入先の住所と従業員の住所を照合する。
  • 1回分の給与台帳を確認する。全員の名前を把握しているか。新規採用者や給与率の変更を調査する。
  • 会計システムの監査ログで、削除または取り消された取引を確認する。締切済みの期間における操作を調査する。
  • 帳簿上の全員が、直近の四半期に最低限必要な休暇を取得したか確認する。
  • 銀行口座の署名権限が、現在も意図通りであることを確認する。
  • クレジットカードの明細を取り出し、各支出に業務上の目的と領収書があることを確認する。

年に4回、20分から30分。Plant Nutrition Servicesの記帳担当者は、オーナーが亡くなるまで不正を続けました。発覚のタイミングを運任せにしてはいけません。

管理を緩めるとき、さらに強化するとき

内部統制は被害妄想ではありません。リスクに統制を合わせることです。調整のヒント:

  • 強化すべき時:現金の取扱量が増えたとき、新しい記帳担当者を雇ったとき、ヒヤリハットがあったとき、外部投資家を受け入れたとき、第三者の信託資金(顧客の預かり金や着手金など)を扱い始めたとき、または銀行明細の項目が説明できないことに気づいたとき。
  • 緩めてもよい時(わずかに):統制が実務上の大きな支障となっており、かつ他に強力な代替統制があるとき。すべての統制にはコストがかかります。目標は、適切なカバー範囲を提供する最小限のセットを構築することです。
  • 決して緩めてはいけないもの:小切手の署名権限、仕入先の承認、銀行明細の先行確認。これら3つは、構造全体の耐力壁です。

初日から財務を整理された状態に保つ

強力な内部統制は、正確で整理された帳簿があって初めて機能します。数字を信頼できなければ、照合も信頼できず、統制システム全体が崩壊します。Beancount.io は、完全な透明性とすべての変更履歴を備えたプレーンテキスト会計を提供します。これは、通常なら中小企業が高価なソフトウェアを購入して得られるような監査証跡です。無料で始めることで、なぜ開発者や財務のプロがプレーンテキスト会計に切り替えているのかを体験してください。また、帳簿を即座に視覚化できるホスト型 Fava ダッシュボードもぜひご確認ください。

これまでで最も安価な内部統制は、第三者の目によってレビューされる清潔な帳簿を維持するという規律です。最も高くつくのは、3年後にようやく提訴し、被害額の10分の1も回収できないことを悟ることです。