Hier is een getal waar elke kleine ondernemer zich ongemakkelijk bij zou moeten voelen: de gemiddelde fraude bij een bedrijf met minder dan 100 werknemers kost $141.000. Dat is geen uitzonderlijk "worst-case" scenario. Het is de mediaan — in de helft van de fraudegevallen bij kleine bedrijven zijn de kosten hoger. En de mensen die het plegen zijn zelden vreemden. Het zijn de vertrouwde boekhouders die al jaren bij je zijn, de officemanager die "al die zaken regelt", de ene werknemer die weet waar alles ligt.
Het handboek-antwoord op dit risico is functiescheiding: laat nooit één persoon een transactie van begin tot eind controleren. Het handboek gaat er ook van uit dat je een financiële afdeling hebt. Je hebt drie werknemers. Misschien twee. Misschien ben jij het, een parttime boekhouder en een hulpkracht die de telefoon beantwoordt.
Dus hier is de echte vraag. Hoe bouw je controles in die diefstal daadwerkelijk voorkomen wanneer je simpelweg niet elke taak aan een ander persoon kunt geven? Het antwoord is niet "opgeven". Het is "doelgericht zijn". Deze gids laat je zien hoe.
Waarom kleine bedrijven de makkelijkste doelwitten zijn
Fraudeonderzoekers stellen consequent vast dat kleinere organisaties onevenredig hard worden getroffen. Ze krijgen te maken met hetzelfde mediane verlies als veel grotere bedrijven, maar ze hebben slechts een fractie van de omzet om dit op te vangen. Een verlies van $141.000 is voor een groot concern misschien een afrondingsfout. Voor een bedrijf met een jaaromzet van $2 miljoen kan het het verschil betekenen tussen het kunnen betalen van de salarissen en een faillissement.
De reden is niet dat werknemers van kleine bedrijven minder eerlijk zijn. Het is de gelegenheid. Kleine bedrijven hebben minder anti-fraudemaatregelen, kleinere budgetten om daarin te investeren en een cultuur van vertrouwen waardoor toezicht als een belediging voelt. De praktijken die in deze omgeving gedijen zijn alledaags: factuurfraude (het betalen van valse of opgeblazen facturen), geknoei met cheques en betalingen, overdreven onkostendeclaraties en het afromen van contant geld voordat het in de boeken terechtkomt. Niets hiervan vereist verfijning. Het vereist alleen dat één persoon een taak kan uitvoeren en deze tegelijkertijd kan verbergen.
Die laatste zinsnede bevat de essentie van het concept. Fraude heeft zowel de handeling als de verhulling nodig. Functiescheiding werkt door ervoor te zorgen dat de persoon die de handeling kan plegen, niet dezelfde persoon is die deze kan verbergen.
De vier functies die je probeert te scheiden
Voordat je taken kunt verdelen, moet je weten wat je verdeelt. Accountants verdelen elke financiële transactie in vier functies, en het doel is om deze in verschillende handen te houden.
Autorisatie is het goedkeuren dat een transactie plaatsvindt — het ondertekenen van een inkooporder, het goedkeuren van een nieuwe leverancier, het akkoord gaan met een terugbetaling.
Beheer is de fysieke of digitale controle over de activa zelf — het omgaan met contant geld, het in bezit hebben van ondertekende cheques, het hebben van het wachtwoord van de bankrekening, het beheren van de voorraad.
Vastlegging is het invoeren van de transactie in de boeken — het boeken van de factuur, het registreren van de betaling, het maken van de journaalpost.
Reconciliatie is het vergelijken van de administratie met een onafhankelijke bron — het matchen van het grootboek met het bankafschrift aan het einde van de maand.
Het principe is simpel: geen enkele persoon mag meer dan één van deze functies controleren voor dezelfde transactie. Wanneer functies gescheiden zijn, wordt een fout of diefstal die in de ene functie ontstaat, opgemerkt door een ander persoon die een controlerende functie uitvoert. De boekhouder die een valse betaling registreert, kan niet ook de persoon zijn die het bankafschrift aansluit, omdat de reconciliatie de betaling aan het licht zou brengen.
De gevaarlijke combinaties zijn voorspelbaar. Iedereen die zowel beheer als vastlegging heeft, kan een bezit stelen en het bewijs wissen. Iedereen met autorisatie en beheer kan een betaling aan zichzelf goedkeuren en deze vervolgens innen. Iedereen met autorisatie en vastlegging kan een fictieve transactie goedkeuren en deze in de boeken wegmoffelen. Als je enige boekhouder cheques uitschrijft, ze invoert en de rekening aansluit, heeft die persoon alle vier de functies in handen. Dat is geen zwakte in de beheersing. Dat is helemaal geen beheersing.
Hoe "scheiding" er in de praktijk uitziet met drie personen
De klassieke handboek-verdeling vereist vier of vijf personen. Die heb je niet. Dus scheid je de functies die je kunt en accepteer je dat voor de rest een ander soort controle nodig is. Het goede nieuws is dat zelfs één zuivere scheiding de gevaarlijkste deuren sluit.
De belangrijkste scheiding in een klein bedrijf is beheer versus vastlegging. Als de persoon die het geld aanraakt niet de persoon is die het geld registreert, heb je in één klap de meest voorkomende vorm van verduistering geëlimineerd. In de praktijk:
- De boekhouder registreert transacties, maar heeft geen tekenbevoegdheid voor de bankrekening en verzorgt geen contante stortingen.
- De eigenaar (of een tweede werknemer) ondertekent cheques, keurt de betalingsronde goed en beheert de bankinloggegevens.
- Degene die de post opent en binnenkomende cheques registreert, is niet de persoon die de klantbetalingen in het grootboek boekt.
De tweede prioriteit is het onafhankelijk houden van de reconciliatie. De bankreconciliatie is de ultieme controle op alles. Als dit eerlijk wordt gedaan door iemand die de administratie niet heeft bijgehouden, overleeft bijna geen enkele fraudeconstructie een maand. Daarom zou de eigenaar — niet de boekhouder — het bankafschrift moeten ontvangen en de reconciliatie zelf moeten uitvoeren of regel voor regel moeten controleren. Deze ene gewoonte, die een uur per maand kost, brengt geknoei met cheques, spookbetalingen en onverklaarbare overboekingen aan het licht.
Een werkbaar model voor drie personen ziet er vaak als volgt uit. De eigenaar heeft de autorisatie (het goedkeuren van leveranciers, betalingen en wijzigingen in de loonadministratie) en de reconciliatie. De boekhouder is verantwoordelijk voor de vastlegging. Een tweede werknemer — of opnieuw de eigenaar — heeft het beheer over contant geld en cheques. Merk op dat de eigenaar twee keer voorkomt. Dat is prima. Een eigenaar die autorisatie en reconciliatie combineert is veel minder gevaarlijk dan een boekhouder die beheer en vastlegging combineert, omdat autorisatie plus reconciliatie je niet in staat stelt om in de normale gang van zaken zowel te stelen als te verhullen.
Compenserende controles: De echte gereedschapskist
Wanneer u een functie niet kunt scheiden, compenseert u. Compenserende controles voorkomen niet dat één persoon een taak uitvoert — ze maken het overweldigend waarschijnlijk dat onregelmatigheden worden opgemerkt. Voor kleine bedrijven zijn dit geen noodoplossingen. Ze vormen de kern van de zaak.
Beoordeling van het bankafschrift door de eigenaar, ongeopend. Laat het bankafschrift naar uw huis sturen, of log zelf in voordat iemand anders dat doet. Besteed twintig minuten aan het scannen van elke afbeelding van een cheque en elke elektronische betaling. U zoekt naar ontvangers die u niet herkent, ronde bedragen, betalingen aan werknemers en alles wat net onder een goedkeuringsdrempel ligt. Uit fraudeonderzoeken blijkt herhaaldelijk dat toezicht op eigenaarsniveau een van de weinige controles is die consequent de verliezen bij kleine bedrijven verkleint.
Dubbele goedkeuring boven een drempelwaarde. Vereis dat twee personen elke betaling boven een vastgesteld bedrag goedkeuren. Kies een drempel op basis van uw cashflow — veel kleine bedrijven gebruiken € 1.000, startups gaan vaak lager. De meeste boekhoud- en betalingssoftware stelt u in staat dit automatisch af te dwingen, zodat het niet kan worden overgeslagen.
Beoordeling door een externe accountant. Een maandelijkse of driemaandelijkse beoordeling door een externe accountant of freelance controller is een krachtige compenserende controle, juist omdat die persoon geen belang heeft bij het verbergen van zaken. Zij kunnen de reconciliatie beoordelen, de leverancierslijst scannen op toevoegingen en een steekproef nemen van enkele transacties. Dit is vaak de best bestede euro voor fraudepreventie in een klein bedrijf.
Verplichte vakanties en cross-training. Veel fraudes komen aan het licht wanneer de dader afwezig is en iemand anders zijn werk aanraakt. Eis dat uw boekhouder een ononderbroken week vrij neemt en laat iemand anders de rol overnemen. Fraude is afhankelijk van continue controle; een gedwongen onderbreking doorbreekt dit.
Beperkte stamgegevens. De mogelijkheid om een nieuwe leverancier toe te voegen, bankgegevens van een leverancier te wijzigen of een nieuwe werknemer aan te maken, is een vorm van autorisatie op zich. Leg dit vast. Een verrassende hoeveelheid factuurfraude bestaat uit een echt lijkende leverancier die door de fraudeur is aangemaakt. Het toevoegen van een leverancier zou goedkeuring moeten vereisen van iemand anders dan de persoon die de leveranciers betaalt.
Door het systeem afgedwongen audit trails. Gebruik software die bijhoudt wie elke transactie heeft ingevoerd, bewerkt of verwijderd, en maak dat logboek onveranderbaar. Wanneer iedereen weet dat hun acties permanent onder hun naam worden vastgelegd, verandert de berekening van fraude. Verhulling wordt veel moeilijker, en dat is de helft van de vergelijking.
Een praktische checklist om te beginnen
U hoeft deze week niet uw hele bedrijfsvoering opnieuw in te richten. Begin hier:
- Maak een lijst van wie wat doet. Noteer elke persoon en welke van de vier functies zij aanraken. Omcirkel iedereen die zowel over de activa beschikt als de boekhouding doet — dat is de eerste brand die u moet blussen.
- Neem de bankgegevens af van uw boekhouder als deze ook transacties invoert. De eigenaar behoudt het beheer van de bankgegevens.
- Claim het bankafschrift. Vanaf volgende maand ziet u het als eerste en beoordeelt u het voordat iemand afstemt.
- Stel een drempelwaarde voor dubbele goedkeuring in en schakel dit in uw software in.
- Vergrendel de configuratie van leveranciers en loonadministratie achter goedkeuring door de eigenaar.
- Plan een externe beoordeling — zelfs per kwartaal is zinvol.
- Plan een echte vakantie in de agenda voor degene die de boeken bijhoudt.
Geen van deze acties vereist nieuw personeel. Ze vereisen de beslissing dat vertrouwen en verificatie geen tegenpolen zijn — en dat het verifiëren van uw meest vertrouwde werknemer een gunst aan hen is, omdat het hen net zozeer beschermt tegen verdenking als u tegen verlies.
Houd uw financiën georganiseerd vanaf dag één
Sterke interne controles zijn afhankelijk van gegevens die volledig zijn, voorzien zijn van een tijdstempel en moeilijk stilletjes te wijzigen zijn. Dat is precies waar uw boekhoudsysteem belangrijk is: als uw boeken een 'black box' zijn die slechts één persoon begrijpt, kan geen enkele compenserende controle daarin kijken. Beancount.io biedt plain-text accounting die transparant en versiebeheerd is — elke wijziging wordt bijgehouden, elke invoer is leesbaar en de volledige geschiedenis kan worden gecontroleerd door iedereen die u vertrouwt. Dat maakt onafhankelijke beoordeling, reconciliatie en audit trails aanzienlijk eenvoudiger af te dwingen in een klein team. Begin gratis en ontdek waarom ontwikkelaars en financiële professionals overstappen op plain-text accounting.
Bronnen: ACFE Occupational Fraud 2024: A Report to the Nations; Improving Internal Controls in Departments with Limited Segregation of Duties — Lutz; Segregation of Duties — Hyperproof.