3人の従業員による職務分掌:小規模企業における横領の防止

約1分Mike ThriftMike Thrift
3人の従業員による職務分掌:小規模企業における横領の防止

小規模企業のオーナーが不安を覚えるべき数字があります。従業員100人未満の企業における典型的な不正による損失額は、14万1,000ドルに達します。これは最悪のケースの例外値ではなく、中央値です。つまり、中小企業における不正事件の半分は、これ以上の損失を出しているのです。そして、それを実行するのは見ず知らずの他人であることは稀です。長年勤めている信頼できる記帳担当者や、「すべてを任せている」オフィス長、何がどこにあるかを熟知している一人の従業員なのです。

このリスクに対する教科書的な答えは「職務分掌(Segregation of Duties)」です。つまり、一つの取引の開始から完了までを、決して一人の人間にコントロールさせてはいけないということです。しかし、教科書はあなたに財務部門があることを前提としています。実際には、従業員は3人、あるいは2人かもしれません。あなたとパートタイムの記帳担当者、そして電話応対をする従業員だけということもあるでしょう。

そこで、本当の問いはこうなります。すべてを別々の人に任せることが物理的に不可能な状況で、どうすれば実際に盗難を防ぐ内部統制を構築できるのでしょうか? その答えは「諦める」ことではなく、「意図的になる」ことです。このガイドでは、その方法を解説します。

なぜ中小企業は最も狙われやすいのか

不正に関する調査では、小規模な組織ほど不釣り合いな被害を受けていることが一貫して示されています。大企業と同じ規模の中央値の損失を被りますが、それを吸収するための収益はごくわずかです。14万1,000ドルの損失は、大企業にとっては端数に過ぎないかもしれませんが、年商200万ドルの企業にとっては、給与の支払いか廃業かを分ける死活問題になり得ます。

その理由は、中小企業の従業員がより不誠実だからではありません。「機会」があるからです。中小企業は不正防止のための管理体制が少なく、投資予算も限られており、監視を侮辱と感じさせてしまう「信頼の文化」があります。このような環境で蔓延する手口は平凡なものです。請求詐欺(架空または水増しされた請求書の支払い)、小切手や支払いの改ざん、経費精算の水増し、そして帳簿に載る前の現金の抜き取り(スキミング)などです。これらに高度な技術は必要ありません。ただ、一人の人間が業務を行い、かつそれを隠蔽できることだけが必要なのです。

この「隠蔽」という言葉こそが、すべての核心です。不正には「実行」と「隠蔽」の両方が必要です。職務分掌は、実行可能な人間と隠蔽可能な人間を確実に分けることで機能します。

分離すべき4つの機能

職務を分ける前に、何を分けるべきかを知る必要があります。会計学では、すべての財務取引を4つの機能に分解します。目標は、これらを異なる担当者に持たせることです。

**承認(Authorization)**は、取引の実行を許可することです。購入依頼書へのサイン、新しいベンダーの承認、返金の許可などが含まれます。

**保管(Custody)**は、資産そのものを物理的またはデジタル的に管理することです。現金の取り扱い、署名済み小切手の保持、銀行口座のパスワード管理、在庫管理などがこれに当たります。

**記録(Recordkeeping)**は、取引を帳簿に入力することです。請求書の計上、支払いの記録、仕訳の作成などが含まれます。

**照合(Reconciliation)**は、記録を独立した情報源と比較することです。月末に会計帳簿と銀行残高証明書を照らし合わせる作業などがこれです。

原則は単純です。同一の取引において、一人の人間がこれらの機能を複数コントロールしてはいけません。機能が分離されていれば、ある機能で発生したミスや盗難は、クロスチェックを行う別の機能の担当者によって発見されます。架空の支払いを記録する記帳担当者が銀行照合も兼任していれば、照合によって支払いが露呈することはありません。

危険な組み合わせは予測可能です。「保管と記録」を兼ねる者は、資産を盗んでその証拠を消すことができます。「承認と保管」を兼ねる者は、自分への支払いを承認して受け取ることができます。「承認と記録」を兼ねる者は、架空の取引を承認して帳簿の奥深くに埋めることができます。もし、あなたの会社の記帳担当者が小切手を振り出し、それを入力し、さらに口座の照合まで行っているなら、その一人が4つの機能すべてを握っていることになります。それは管理体制の弱点どころか、管理体制が全く存在しないも同然です。

3人で実現する「分掌」の具体的な形

教科書的な分離には4、5人が必要ですが、あなたにはそれがいません。ですから、分離可能な機能を分け、残りは別の種類の管理(代替統制)が必要であることを受け入れましょう。良い知らせは、最も危険な経路を一つ遮断するだけでも、大きな効果があるということです。

中小企業において最も重要な分離は、保管と記録です。お金に触れる人と、お金を記録する人を分けることができれば、資産の不正流用という最も一般的な手口を一挙に排除できます。具体的には以下の通りです。

  • 記帳担当者は取引を記録するが、銀行口座の署名権限は持たず、現金の預け入れも行わない。
  • オーナー(または2人目の従業員)が小切手に署名し、支払い実行を承認し、銀行のログイン情報を管理する。
  • 郵便物を開封し、届いた小切手を記録する人は、顧客の支払いを元帳に転記する人とは別にすべきである。

二番目の優先事項は、照合の独立性を保つことです。銀行照合はすべてに対するマスターチェックです。記録を作成しなかった誰かによって誠実に行われれば、ほとんどの不正は1ヶ月も持ち堪えられません。したがって、記帳担当者ではなくオーナーが銀行の明細書を直接受け取り、自ら照合を行うか、あるいは一行ずつ内容を確認すべきです。月に1時間程度のこの習慣が、小切手の改ざん、幽霊支払い、説明のつかない送金を見つけ出します。

実行可能な3人体制モデルは、多くの場合このようになります。オーナーが承認(ベンダー、支払い、給与変更の承認)と照合を担います。記帳担当者が記録を担います。2人目の従業員(または再びオーナー)が現金と小切手の保管を担います。ここでオーナーが2回登場することに注目してください。これは問題ありません。オーナーが承認と照合を兼ねることは、記帳担当者が保管と記録を兼ねることに比べれば、はるかに危険性が低いです。なぜなら、承認と照合を兼ねていても、通常の業務フローの中で「盗難」と「隠蔽」の両方を行うことはできないからです。

補完的コントロール:真のツールキット

職務を分離できない場合は、補完(コンペンセート)します。補完的コントロールは、一人がタスクを実行するのを防ぐのではなく、不正が行われた場合にそれが発覚する可能性を圧倒的に高めるものです。小規模ビジネスにとって、これらは代替案ではありません。メインの対策です。

オーナーによる銀行取引明細書の確認(未開封の状態で)。 銀行取引明細書を自宅に郵送させるか、他の誰よりも先に自分でログインしてください。20分かけて、すべての小切手の画像と電子決済をスキャンします。認識のない支払先、端数のない金額、従業員への支払い、承認しきい値の直前の金額などがないかを確認します。不正調査では、オーナーレベルの監督が、小規模企業の損失を一貫して減少させる数少ないコントロールの一つであることが繰り返し示されています。

しきい値を超える場合の二重承認。 一定額を超える支払いには2人の承認を必須にします。キャッシュフローに基づいてしきい値を選んでください。多くの小規模ビジネスでは1,000ドルを使用し、スタートアップではさらに低く設定することもあります。ほとんどの会計・支払ソフトでは、これを自動的に強制できるため、スキップすることはできません。

外部の会計士によるレビュー。 外部の会計士や委託コントローラーによる月次または四半期ごとのレビューは、強力な補完的コントロールです。なぜなら、その人物には何かを隠す利害関係がないからです。彼らは照合状況を確認し、ベンダーリストへの追加をスキャンし、いくつかの取引をサンプリングできます。これは、小規模ビジネスが不正防止に投じる費用の中で、最も価値のある投資となることが多いです。

休暇の義務化とクロス・トレーニング。 多くの不正は、実行者が不在で、他の誰かがその業務に触れたときに発覚します。記帳担当者に連続した1週間の休暇を取らせ、別の担当者にその業務をカバーさせてください。不正は継続的なコントロールに依存しており、強制的な空白がそれを打ち砕きます。

マスターデータの制限。 新しい取引先(ベンダー)の追加、取引先の銀行口座情報の変更、新しい従業員の設定を行う権限は、それ自体が承認の一形態です。これを厳格に管理してください。請求詐欺の驚くべき量は、詐欺師が作成した「本物に見える取引先」によるものです。取引先の追加には、支払担当者ではない誰かからの承認を必要とすべきです。

システムによる監査証跡の強制。 すべての取引を入力、編集、削除した人物をログに記録し、そのログを変更不能にするソフトウェアを使用してください。自分の行動が名前とともに恒久的に記録されることを全員が知っていれば、不正の計算式が変わります。隠蔽がはるかに困難になり、それが不正対策の半分を占めます。

実践的なスタート用チェックリスト

今週中にすべての業務を再設計する必要はありません。ここから始めましょう。

  1. 誰が何をしているかリストアップする。 全員を書き出し、4つの機能のうちどれに触れているかを記入します。保管(資産の管理)と記録の両方を担当している人がいれば丸をつけます。それが最初に解決すべき火種です。
  2. 記帳担当者から銀行のログイン権限を取り上げる(取引入力も行っている場合)。オーナーが銀行の認証情報を保持します。
  3. 銀行取引明細書を確保する。 来月から、誰かが照合を行う前に、あなたが最初に確認します。
  4. 二重承認のしきい値を設定し、 ソフトウェアでその機能を有効にします。
  5. 取引先と給与の設定をオーナー承認制にする。
  6. 外部レビューの予定を立てる — 四半期に一度でも大きな意味があります。
  7. 帳簿担当者のカレンダーに実際の休暇を入れる。

これらはどれも、新たに人を雇う必要はありません。信頼と検証は相反するものではないと決断すること、そして最も信頼している従業員を検証することは、彼らへの礼儀であると理解することが重要です。なぜなら、それはあなたを損失から守るのと同様に、彼らを疑念から守ることにもなるからです。

初日から財務を整理しておく

強力な内部統制は、完全でタイムスタンプがあり、密かに変更することが困難な記録に依存します。そこで会計システムが重要になります。帳簿が一人しか理解できないブラックボックスであれば、どんな補完的コントロールもその中を見ることはできません。Beancount.io は、透明性が高くバージョン管理されたプレーンテキスト会計を提供します。すべての変更が追跡され、すべてのエントリが読み取り可能であり、信頼できる人なら誰でも全履歴を監査できます。これにより、小規模なチームでも独立したレビュー、照合、および監査証跡の実施が劇的に容易になります。無料で開始 して、なぜエンジニアや金融のプロフェッショナルがプレーンテキスト会計に切り替えているのかを確かめてください。


出典: ACFE Occupational Fraud 2024: A Report to the Nations; Improving Internal Controls in Departments with Limited Segregation of Duties — Lutz; Segregation of Duties — Hyperproof.