Beancount.io LogoBeancount.io

Разделение обязанностей при наличии трех сотрудников: предотвращение хищений в малом бизнесе

8 мин чтенияMike ThriftMike Thrift
Разделение обязанностей при наличии трех сотрудников: предотвращение хищений в малом бизнесе

Вот цифра, которая должна заставить любого владельца малого бизнеса почувствовать себя неуютно: типичное мошенничество в компании с числом сотрудников менее 100 человек обходится в 141 000 долларов. Это не исключительный худший случай. Это медиана — половина случаев мошенничества в малом бизнесе обходится дороже. И люди, совершающие это, редко бывают посторонними. Это доверенный бухгалтер, который проработал у вас годы, офис-менеджер, который «занимается всеми этими делами», тот самый сотрудник, который знает, где что лежит.

Классический ответ на этот риск — разделение обязанностей: никогда не позволяйте одному человеку контролировать транзакцию от начала до конца. Учебник также предполагает, что у вас есть финансовый отдел. А у вас три сотрудника. Может быть, два. Может быть, это вы, приходящий бухгалтер и парень на телефоне.

Итак, вот настоящий вопрос. Как выстроить систему контроля, которая действительно предотвращает кражи, когда вы искренне не можете поручить каждую задачу отдельному человеку? Ответ — не «сдаться». Ответ — «действовать обдуманно». Это руководство покажет вам, как это сделать.

Почему малый бизнес — самая легкая мишень

Исследователи мошенничества постоянно обнаруживают, что небольшие организации страдают непропорционально сильно. Они несут такие же медианные убытки, как и гораздо более крупные компании, но имеют лишь малую часть выручки, чтобы их поглотить. Убыток в размере 141 000 долларов может быть ошибкой округления для корпорации. Для бизнеса с оборотом в 2 миллиона долларов в год это может стать разницей между выплатой зарплаты и закрытием.

Причина не в том, что сотрудники малого бизнеса более нечестны. Причина в возможности. У небольших компаний меньше средств защиты от мошенничества, меньше бюджетов для инвестиций в них и культура доверия, при которой надзор кажется оскорбительным. Схемы, процветающие в такой среде, обыденны: мошенничество со счетами (оплата поддельных или завышенных инвойсов), махинации с чеками и платежами, завышенные возмещения расходов и присвоение наличных еще до того, как они попадут в отчетность. Ничто из этого не требует изощренности. Требуется только, чтобы один человек мог выполнить задачу и одновременно скрыть её.

Последняя фраза — это суть всей концепции. Для мошенничества нужны и действие, и сокрытие. Разделение обязанностей работает за счет того, что человек, который может совершить действие, не является тем же человеком, который может его скрыть.

Четыре функции, которые необходимо разделить

Прежде чем разделять обязанности, нужно понять, что именно вы разделяете. Бухгалтеры разбивают каждую финансовую операцию на четыре функции, и цель состоит в том, чтобы они находились в разных руках.

Утверждение — это подтверждение того, что транзакция должна состояться: подписание заказа на закупку, утверждение нового поставщика, одобрение возврата средств.

Распоряжение — это физический или цифровой контроль над самим активом: работа с наличными, хранение подписанных чеков, наличие пароля от банковского счета, контроль товарных запасов.

Ведение учета — это занесение транзакции в книги: проведение счета, регистрация платежа, создание журнальной записи.

Сверка — это сравнение записей с независимым источником: сопоставление бухгалтерской книги с банковской выпиской в конце месяца.

Принцип прост: ни один человек не должен контролировать более одной из этих функций для одной и той же транзакции. Когда функции разделены, ошибка или кража, совершенная в рамках одной функции, обнаруживается другим человеком, выполняющим функцию перекрестной проверки. Бухгалтер, регистрирующий фиктивный платеж, не может быть тем же лицом, которое проводит сверку банковской выписки, потому что сверка выявит этот платеж.

Опасные комбинации предсказуемы. Любой, кто обладает полномочиями как по распоряжению, так и по ведению учета, может украсть актив и стереть доказательства. Любой, кто имеет полномочия по утверждению и распоряжению, может одобрить платеж самому себе, а затем получить его. Любой, кто отвечает за утверждение и ведение учета, может одобрить фиктивную транзакцию и «похоронить» её в книгах. Если ваш единственный бухгалтер выписывает чеки, вносит их в базу и сверяет счета, этот человек объединяет все четыре функции. Это не просто слабая система контроля. Это полное отсутствие контроля.

Как на практике выглядит «разделение» при штате в три человека

Классическое разделение из учебников требует четырех или пяти человек. У вас их нет. Поэтому вы разделяете те функции, которые можете, и признаете, что для остальных потребуется другой тип контроля. Хорошая новость в том, что даже одно четкое разделение закрывает самые опасные двери.

Самое важное разделение в малом бизнесе — это распоряжение против ведения учета. Если человек, который касается денег, не является тем же человеком, который их фиксирует, вы одним движением устраняете самую распространенную схему незаконного присвоения активов. На практике:

  • Бухгалтер фиксирует транзакции, но не имеет права подписи на банковском счете и не занимается внесением наличных на счет.
  • Владелец (или второй сотрудник) подписывает чеки, утверждает реестр платежей и владеет доступами к онлайн-банку.
  • Тот, кто открывает почту и регистрирует входящие чеки, не является тем же лицом, которое разносит платежи клиентов в учетной книге.

Вторым приоритетом является независимая сверка. Сверка банковских выписок — это главная проверка всего. Если она проводится честно кем-то, кто не создавал записи, почти ни одна схема не проживет дольше месяца. Поэтому владелец — а не бухгалтер — должен получать банковскую выписку и либо сам проводить сверку, либо проверять её построчно. Эта единственная привычка, которая отнимает час в месяц, выявляет махинации с чеками, фиктивные платежи и необъяснимые переводы.

Рабочая модель для трех человек часто выглядит так. Владелец берет на себя утверждение (одобрение поставщиков, платежей и изменений в зарплате) и сверку. Бухгалтер отвечает за ведение учета. Второй сотрудник — или снова владелец — осуществляет распоряжение наличными и чеками. Заметьте, что владелец появляется дважды. Это нормально. Участие владельца в утверждении и сверке гораздо менее опасно, чем участие бухгалтера в распоряжении и ведении учета, так как сочетание утверждения и сверки не позволяет одновременно совершить кражу и скрыть её в ходе обычной работы.

Компенсирующие контроли: Реальный инструментарий

Когда вы не можете разделить функции, вы компенсируете это. Компенсирующие контроли не мешают одному человеку выполнять задачу — они делают вероятность того, что правонарушение будет замечено, чрезвычайно высокой. Для малого бизнеса это не запасной вариант. Это основное средство контроля.

Проверка банковских выписок владельцем лично. Требуйте, чтобы банковские выписки приходили на ваш домашний адрес, или заходите в онлайн-банк самостоятельно раньше всех остальных. Уделите двадцать минут на просмотр каждого изображения чека и каждого электронного платежа. Ищите получателей, которых вы не узнаете, круглые суммы, выплаты сотрудникам и любые платежи чуть ниже порога одобрения. Исследования мошенничества неоднократно показывают, что надзор на уровне владельца — один из немногих видов контроля, который стабильно снижает убытки в малых компаниях.

Двойное одобрение платежей выше порога. Требуйте, чтобы два человека одобряли любой платеж на сумму, превышающую установленный лимит. Выберите порог исходя из вашего денежного потока — многие малые предприятия используют 1 000 долларов, стартапы часто устанавливают более низкую планку. Большинство программ для бухгалтерского учета и оплаты счетов позволяют настроить это автоматически, чтобы процесс нельзя было пропустить.

Проверка внешним бухгалтером. Ежемесячный или ежеквартальный обзор внешним бухгалтером или приглашенным финансовым контролером является мощным компенсирующим контролем именно потому, что этот человек не заинтересован в сокрытии чего-либо. Он может проверить сверку, изучить список поставщиков на предмет новых добавлений и выборочно проверить несколько транзакций. Зачастую это лучший доллар, который малый бизнес тратит на предотвращение мошенничества.

Обязательные отпуска и перекрестное обучение. Многие схемы мошенничества раскрываются, когда злоумышленник отсутствует, а его работу берет на себя кто-то другой. Потребуйте, чтобы ваш бухгалтер ушел в непрерывный недельный отпуск, и поручите другому сотруднику выполнять его функции. Мошенничество зависит от непрерывного контроля; принудительный перерыв разрушает эту цепочку.

Ограничение доступа к основным данным. Возможность добавить нового поставщика, изменить банковские реквизиты контрагента или оформить нового сотрудника сама по себе является формой авторизации. Ограничьте этот доступ. Удивительное количество махинаций со счетами — это просто создание мошенником поставщика, который выглядит как настоящий. Добавление контрагента должно требовать подписи лица, не занимающегося выплатами.

Системные журналы аудита. Используйте программное обеспечение, которое регистрирует, кто ввел, отредактировал или удалил каждую транзакцию, и сделайте этот журнал неизменяемым. Когда все знают, что их действия навсегда записываются под их именем, логика совершения мошенничества меняется. Сокрытие становится гораздо более сложной задачей, а это половина успеха.

Практический контрольный список для начала

Вам не нужно перестраивать всю операционную деятельность на этой неделе. Начните с этого:

  1. Составьте список того, кто что делает. Запишите каждого сотрудника и то, к каким из четырех функций он имеет отношение. Отметьте каждого, кто совмещает хранение активов и ведение учета — это ваш «пожар», который нужно потушить первым.
  2. Заберите доступ к онлайн-банку у вашего бухгалтера, если он также вносит транзакции в систему. Владелец должен сохранять единоличный доступ к банковским учетным данным.
  3. Возьмите под контроль банковские выписки. Со следующего месяца просматривайте их первыми, прежде чем кто-либо приступит к сверке.
  4. Установите порог двойного одобрения и активируйте эту функцию в своем ПО.
  5. Заблокируйте создание поставщиков и начисление зарплаты без одобрения владельца.
  6. Запланируйте внешнюю проверку — даже раз в квартал это имеет большое значение.
  7. Запланируйте реальный отпуск в календаре для того, кто ведет бухгалтерию.

Ни одно из этих действий не требует найма новых людей. Они требуют решения о том, что доверие и проверка не являются противоположностями, и что проверка самого надежного сотрудника — это проявление вежливости по отношению к нему, поскольку это защищает его от подозрений так же, как защищает вас от убытков.

Держите свои финансы в порядке с первого дня

Сильные внутренние контроли depend на записях, которые являются полными, имеют метки времени и трудно поддаются незаметному изменению. Именно здесь важна ваша система бухгалтерского учета: если ваши книги — это «черный ящик», который понимает только один человек, ни один компенсирующий контроль не сможет заглянуть внутрь. Beancount.io предлагает plain-text accounting, который прозрачен и поддерживает контроль версий — каждое изменение отслеживается, каждая запись читаема, а вся история доступна для аудита любому, кому вы доверяете проверку. Это делает независимую проверку, сверку и отслеживание журналов аудита значительно проще в небольшой команде. Начните бесплатно и узнайте, почему разработчики и финансовые специалисты переходят на plain-text accounting.


Источники: ACFE Occupational Fraud 2024: A Report to the Nations; Improving Internal Controls in Departments with Limited Segregation of Duties — Lutz; Segregation of Duties — Hyperproof.