Beancount.io LogoBeancount.io

Разделение обязанностей при наличии всего трех сотрудников: практическое руководство по внутреннему контролю для малого бизнеса

14 мин чтенияMike ThriftMike Thrift
Разделение обязанностей при наличии всего трех сотрудников: практическое руководство по внутреннему контролю для малого бизнеса

Доверенный бухгалтер с 16-летним стажем. Факсимиле подписи, оставленное в ящике стола. Сто пятьдесят четыре чека, выписанных на собственное имя в течение десяти лет. К тому времени, как владелец спохватился, более 200 000 долларов исчезли — как и любые реальные шансы на их возврат.

Эта история — не исключение. Согласно отчету Ассоциации сертифицированных специалистов по расследованию хищений (ACFE) «Report to the Nations» за 2024 год, организации со штатом менее 100 человек несут медианный убыток в размере 141 000 долларов США на один случай мошенничества — это самый высокий показатель среди всех категорий компаний. Типичная схема действует в течение 12 месяцев, прежде чем ее заметят, выкачивая примерно 9 900 долларов каждый месяц. И самая распространенная причина, по которой малый бизнес страдает сильнее крупного? Отсутствие внутреннего контроля — чаще всего это выражается в том, что один человек выполняет всю финансовую работу, потому что «мы слишком малы, чтобы разделять обязанности».

Вы не слишком малы. Вам просто нужен другой план, отличный от того, который составил бы контролер компании из списка Fortune 500. Перед вами именно такой план.

Что на самом деле означает разделение полномочий

Если отбросить аудиторский жаргон, разделение полномочий (SoD) — это одна простая и непреклонная идея: ни один человек не должен иметь возможности совершить финансовое нарушение, а затем скрыть его. В этом весь смысл. Любое другое правило, мера контроля или процедура вытекают из этого принципа.

Аудиторы делят финансовую работу любого бизнеса на четыре функции. Чтобы затруднить совершение мошенничества и существенных ошибок, эти четыре функции должны быть распределены между разными людьми везде, где это возможно:

ФункцияЧто она охватываетПример
СанкционированиеПодтверждение того, что транзакция должна состоятьсяВизирование счета поставщика, утверждение ведомости начисления зарплаты, одобрение возврата средств
ХранениеФизический или цифровой контроль над самим активомВладение чековой книжкой, право подписи, распоряжение корпоративной кредитной картой
УчетВнесение транзакции в учетные книгиРазнесение счетов в системе учета, регистрация депозитов, расчет заработной платы
СверкаПроверка соответствия записей независимым доказательствамСверка выписки из банка с главной книгой, сопоставление выписки по кредитной карте с чеками

Бухгалтер, зафиксировавший транзакцию, не должен проводить ее сверку. Человек, у которого находится чековая книжка, не должен утверждать счета. Владелец, подписывающий чеки, не должен сверять банковский счет в одиночку. За каждую функцию отвечает отдельный человек.

В компании из 50 человек разделение этих четырех функций не составляет труда. В компании из трех человек это кажется невозможным — и именно на этом этапе большинство владельцев сдаются и просто передают все «бухгалтеру, которому доверяют». Что является классическим началом почти любого кейса о хищениях.

Почему «Я им доверяю» — это не мера контроля

Почти каждое дело о хищении средств бухгалтером начинается с одной и той же фразы: владелец полностью доверял преступнику. Подрядчик из Огайо доверял Деборе Холл 16 лет. Строительная компания доверяла своему бухгалтеру, пока не было выписано 18 поддельных чеков на общую сумму более 44 000 долларов. Офис-менеджеру компании по отоплению и охлаждению Анжеле Купер доверяли настолько, что ей доверили факсимиле владельца; она использовала его для подделки более 100 чеков и присвоила 158 658 долларов.

Доверие — это не мера контроля. Доверие — это то, что создает возможность — условия, при которых мошенничество может произойти и остаться незамеченным. Меры контроля — это то, что устраняет эту возможность. Смысл выстраивания внутреннего контроля в малом бизнесе не в том, чтобы обвинять сотрудников; он в том, чтобы у даже идеально честного бухгалтера была структурная «сеть безопасности», фиксирующая случайные ошибки, а злоумышленнику пришлось бы искать сообщника, прежде чем он сможет украсть хоть цент.

Иначе говоря: если вашей единственной защитой от шестизначных убытков является ваше мнение о чьем-то характере, у вас нет защиты. У вас есть надежда.

Реальность бизнеса из трех человек

Давайте перейдем к конкретике. Предположим, в вашем бизнесе есть:

  • Вы (владелец)
  • Бухгалтер (штатный или приходящий, в офисе или удаленно)
  • Операционный или офис-менеджер (один сотрудник широкого профиля)

Вы не можете позволить себе контролера. Вы не можете позволить себе отдельных специалистов по кредиторской и дебиторской задолженности и казначея. Вот что вы можете сделать — и этого достаточно, чтобы резко снизить риск мошенничества.

Шаг 1: Опишите потоки транзакций

Возьмите лист бумаги и запишите жизненный цикл каждого основного денежного потока:

  1. Поступления денежных средств — Как приходят деньги? Кто вскрывает почту / обрабатывает платежи / вносит депозиты / проводит сверку?
  2. Выплаты — Как уходят деньги? Кто утверждает счета / подписывает чеки или инициирует ACH-переводы / записывает платеж / проводит сверку?
  3. Заработная плата — Кто добавляет и удаляет сотрудников / утверждает отработанные часы / начисляет зарплату / сверяет данные с главной книгой?
  4. Запасы или другие активы — Кто имеет физический доступ / фиксирует перемещения / проводит инвентаризацию и сверку?

Для каждого этапа запишите имя человека, который его выполняет. Если одно и то же имя появляется в строках санкционирования, хранения, учета и сверки в рамках одного процесса — это «красный флаг» разделения полномочий.

Шаг 2: Сделайте все возможные разделения обязанностей

Даже с тремя сотрудниками обычно можно реализовать самые важные разделения:

  • Владелец подписывает все чеки на суммы выше низкого порога (например, 500 долларов). Бухгалтер готовит чеки, но никогда не подписывает их и не имеет права подписи. Бухгалтеру никогда не должно быть разрешено подписывать чеки. Совсем никогда.
  • Владелец, а не бухгалтер, утверждает новых поставщиков, прежде чем им будет произведена какая-либо оплата. Мошенничество с фиктивными поставщиками — это самая простая схема в мире, и этот единственный контроль пресекает её на корню.
  • Офис-менеджер вскрывает почту и ставит на каждый входящий чек штамп «Только для депозита», прежде чем передать его дальше. Бухгалтер фиксирует поступления, но никогда не имеет физического доступа к чекам до того, как на них будет проставлена ограничительная надпись.
  • Бухгалтер записывает операции; владелец проводит сверку банковского счета (подробнее о том, как делать это правильно, чуть позже).
  • Владелец утверждает ведомость заработной платы в каждом цикле — имя за именем, доллар за долларом — перед её отправкой. Схемы с «мертвыми душами» (фиктивными сотрудниками) мгновенно пресекаются владельцем, который может просмотреть зарплатный реестр и узнать каждого сотрудника в лицо.

Это не идеальное разделение обязанностей. Но этого достаточно, чтобы для успеха большинства мошеннических схем потребовался сговор — а как только двум людям нужно вступить в сговор, ваш риск резко снижается.

Шаг 3: Используйте компенсирующие меры контроля во всех остальных случаях

Компенсирующая мера контроля — это то, что аудиторы называют любым этапом проверки, который вы добавляете, когда полное разделение обязанностей нереально. Они не так сильны, как истинное разделение, но в совокупности на удивление эффективны. Основные меры для малого бизнеса:

  • Проверка банковской выписки владельцем до проведения сверки. Это самый эффективный инструмент контроля во всем этом списке. Пусть банк ежемесячно присылает выписку (или отправляет PDF напрямую) владельцу. Владелец открывает её, ищет незнакомых получателей, необычные переводы или суммы, которые не вписываются в общую картину, и только потом передает её для сверки. Инициалы и дата на выписке = проверка выполнена.
  • Ежемесячная сверка банковского счета, проверенная и подписанная владельцем. Даже если сверку выполняет бухгалтер, владелец проверяет готовую сверку и расписывается внизу. Посмотрите на непредъявленные чеки: есть ли среди них просроченные? Посмотрите на депозиты в пути: действительно ли они зачисляются в следующем месяце?
  • Обязательные ежегодные отпуска продолжительностью не менее одной недели подряд для всех, кто имеет отношение к бухгалтерии, в течение которых кто-то другой выполняет их работу. Подавляющее большинство длительных схем хищения раскрываются в тот момент, когда второй человек открывает книги. Многие случаи мошенничества со стороны бухгалтеров были обнаружены именно потому, что виновника заставили взять отпуск.
  • Внезапные выборочные проверки. Периодически выбирайте случайные выплаты за неделю и прослеживайте каждую из них до счета-фактуры, утверждения и записи в системе. Вам не нужно делать это часто — достаточно даже раз в квартал — но сам факт того, что это может произойти, является сдерживающим фактором.
  • Канал для сообщений о нарушениях (горячая линия). Это звучит официально, но это не обязательно так. Сообщите своим сотрудникам в письменной форме, что они могут сообщать о проблемах напрямую вам (или вашему бухгалтеру CPA) без опасения преследований. 43% всех должностных мошенничеств выявляются благодаря сообщениям о нарушениях — это в три раза чаще, чем при любом другом методе обнаружения. Ваши сотрудники видят то, чего не видите вы.

Шаг 4: Защитите систему, а не только людей

Даже при ограниченном штате ваше программное обеспечение для учета, банковский портал и система расчета заработной платы дают вам огромные преимущества, если вы правильно их настроите:

  • Раздельные логины для каждого человека. Никаких общих учетных данных. Никогда. Если что-то пойдет не так, вы должны знать, какой пользователь это сделал.
  • Права доступа на основе ролей в системе учета. Вашему бухгалтеру не нужно разрешение на удаление транзакций, аннулирование чеков после их оплаты, изменение банковских реквизитов поставщиков или изменение плана счетов. Большинство современных систем позволяют отключить каждую из этих функций.
  • Включенные журналы аудита и их проверка. Если ваше ПО ведет журнал изменений, научитесь его читать. Периодически просматривайте удаления, правки в прошлых периодах и изменения в справочных данных поставщиков.
  • Двойная авторизация банковского уровня для ACH и банковских переводов выше определенного порога. Большинство банковских порталов для бизнеса поддерживают это. Используйте это. Бухгалтер инициирует; владелец подтверждает.
  • Система подтверждения чеков (Positive Pay) (или как бы ваш банк её ни называл) на расчетном счете. Вы загружаете список выписанных вами чеков; банк отказывается оплачивать все, чего нет в списке. Это почти полностью исключает мошенничество с подделкой чеков и часто предоставляется бесплатно для бизнес-счетов.

Шаг 5: Привлеките внешнего специалиста на частичную занятость

Если вы не можете полностью разделить обязанности внутри компании, «позаимствуйте» разделение извне. Варианты, которые обычно доступны даже малому бизнесу:

  • Сторонняя бухгалтерская фирма, которая выполняет работу, в то время как вы занимаетесь утверждениями и проверкой сверки.
  • Внешний финансовый директор (фракционный CFO) или бухгалтер со стороны, который проверяет ежемесячную финансовую отчетность, выборочно тестирует транзакции и незаметно служит вторым «паром глаз».
  • Ежегодная обзорная проверка (этап более легкий, чем полноценный аудит), проводимая сертифицированным бухгалтером (CPA), которая часто выявляет недостатки контроля задолго до того, как они превратятся в убытки.

Аутсорсинг одной из четырех функций часто обходится дешевле, чем найм еще одного сотрудника, и обеспечивает гораздо более строгий контроль, чем всё, что вы могли бы построить внутри компании с участием трех человек.

Практический пример: Усиление контроля за выплатами денежных средств

Давайте разберем один полный процесс — оплату счетов — на примере компании из трех человек, чтобы сделать это описание конкретным.

До усиления контроля:

Бухгалтер получает счета на оплату, вносит их в систему учета, печатает чеки, подписывает их штампом с подписью владельца, отправляет почтой и проводит сверку с банковской выпиской в конце месяца.

Все четыре функции сосредоточены в одних руках, плюс владение штампом подписи. Это классическая схема для совершения мошенничества.

После усиления контроля:

  1. Офис-менеджер (или бухгалтер) получает счета и вносит их в систему как счета к оплате, но не может производить по ним платежи.
  2. Владелец еженедельно просматривает неоплаченные счета, сверяет каждый из них с подтверждающей документацией и отмечает те, что одобрены к оплате.
  3. Бухгалтер формирует платежный реестр только для одобренных счетов (чеки и/или ACH).
  4. Владелец лично подписывает каждый чек. Штамп с подписью уничтожен.
  5. Платежи через ACH требуют, чтобы владелец вошел в банковский портал и подтвердил (выпустил) файл, подготовленный бухгалтером.
  6. Банковская выписка направляется по почте (или электронной почте) напрямую владельцу, который открывает ее, изучает, визирует и только затем передает бухгалтеру для сверки.
  7. Завершенная сверка возвращается владельцу, который проверяет и подписывает сопроводительный лист.

Вы перешли от ситуации, когда один человек контролирует каждый шаг, к процессу, в котором кража даже одного доллара потребует либо (а) подделки подписи владельца на чеке (система Positive Pay это выявит), либо (б) убеждения владельца активно одобрить фиктивный счет (проверка подтверждающих документов это выявит), либо (в) привлечения соучастника. Риск мошенничества не сводится к нулю — этого не бывает — но он меняется с «тривиально простого» на «действительно сложный и с высокой вероятностью обнаружения».

Как качественная бухгалтерия делает всё это возможным

Каждая из мер контроля, описанных выше, зависит от одного негласного условия: ваши книги должны быть достаточно чистыми, чтобы аномалии бросались в глаза. Если ваша главная книга (General Ledger) представляет собой хаос из неверно разнесенных транзакций, слитых воедино категорий и нераспределенных записей типа «Спросить моего бухгалтера», то у владельца, проверяющего банковскую выписку, нет базы для сравнения. Странные платежи теряются в информационном шуме.

Надежный, хорошо организованный бухгалтерский учет — это то, что превращает эти меры контроля из формальности в реальную защиту. Сверки помогают выявить мошенничество только тогда, когда они действительно сходятся до копейки. Проверка поставщиков работает только тогда, когда данные о них вносятся последовательно. Поиск закономерностей возможен только тогда, когда в данных есть реальная структура.

Бухгалтерский учет в текстовом формате (Plain-text accounting) с контролем версий здесь особенно эффективен, поскольку каждое изменение фиксируется в истории файла. Вы видите точно, что изменилось, когда и кем — это встроенный аудиторский след без необходимости покупать дорогостоящую GRC-платформу. Это структурное преимущество для малого бизнеса, который не может позволить себе отдельного контролера или отдел аудита.

Ежеквартальный контрольный список внутренних проверок

Распечатайте это. Приклейте на внутреннюю сторону шкафа для документов. Прорабатывайте этот список каждые три месяца.

  • Пройдите по одной полной транзакции в каждом основном цикле (поступления, выплаты, зарплата) и убедитесь, что она соответствовала вашему задокументированному процессу.
  • Проверьте сверку с банком за последний месяц и подтвердите, что остаток в выписке совпадает с конечным сальдо в главной книге (GL) без необъяснимых сверочных статей старше 60 дней.
  • Проверьте основной список поставщиков. Изучите всех поставщиков, добавленных в прошлом квартале, которых вы не узнаете. Сравните адреса поставщиков с адресами сотрудников.
  • Проверьте ведомость начисления заработной платы за один цикл. Убедитесь, что вам знакомо каждое имя. Расследуйте появление новых сотрудников или изменение ставок.
  • Проверьте журнал аудита системы учета на наличие удаленных или аннулированных транзакций. Проверьте любые изменения в закрытых периодах.
  • Убедитесь, что все сотрудники, числящиеся в штате, использовали как минимум свои обязательные дни отпуска в прошлом квартале.
  • Подтвердите, что право подписи на банковских счетах по-прежнему соответствует вашим намерениям.
  • Изучите выписки по кредитным картам и подтвердите, что каждый расход имеет задокументированную деловую цель и квитанцию.

Двадцать-тридцать минут, четыре раза в год. Бухгалтер в компании Plant Nutrition Services проворачивала свою схему до тех пор, пока владелец не умер. Не позволяйте моменту обнаружения проблемы зависеть от удачи.

Когда ослаблять, а когда усиливать контроль

Внутренний контроль — это не паранойя; это сопоставление мер контроля с уровнем риска. Несколько советов по калибровке:

  • Усиливайте контроль, когда растет объем наличности, при найме нового бухгалтера, после любого инцидента, при привлечении внешних инвесторов, при начале работы с доверительными фондами третьих лиц (например, депозиты клиентов) или когда вы понимаете, что не можете объяснить конкретную строку в банковской выписке.
  • Ослабляйте контроль (незначительно), если меры контроля вызывают серьезные операционные трудности и у вас есть надежный компенсирующий контроль в другом месте. Любой контроль имеет свою цену; цель — минимальный набор мер, обеспечивающий адекватное покрытие рисков.
  • Никогда не ослабляйте право подписи чеков, процесс одобрения поставщиков или принцип первичного ознакомления владельца с банковской выпиской. Эти три элемента — несущие стены всей конструкции.

Держите свои финансы в порядке с первого дня

Сильные меры внутреннего контроля работают только на базе чистого и хорошо организованного учета. Если вы не можете доверять цифрам, вы не можете доверять сверкам — и вся система контроля рушится. Beancount.io обеспечивает учет в текстовом формате, что дает вам полную прозрачность и историю версий каждого изменения в вашем гроссбухе. Это тот тип встроенного аудита, ради которого малому бизнесу обычно приходится покупать дорогое ПО. Начните бесплатно и узнайте, почему разработчики и финансовые специалисты переходят на Plain-text accounting — и ознакомьтесь с нашими хостинг-панелями Fava для мгновенной визуализации на основе ваших учетных записей.

Самый дешевый внутренний контроль, который вы когда-либо создадите, — это дисциплина ведения чистых книг, проверяемых вторым человеком. Самый дорогой — это судебный иск, который вы подадите три года спустя, надеясь вернуть десять копеек с каждого украденного рубля.