Довірена бухгалтерка з 16-річним стажем роботи. Штамп із підписом, залишений у шухляді її столу. Сто п'ятдесят чотири чеки, виписані на власне ім'я протягом десятиліття. На той час, коли власник схаменувся, зникло понад 200 000 доларів — а разом із ними й будь-які реальні шанси на їх повернення.
Ця історія не є винятком. У звіті Асоціації сертифікованих спеціалістів із розслідування розкрадань (ACFE) «Report to the Nations» за 2024 рік зазначено, що організації з кількістю працівників менше ніж 100 осіб зазнають медіанних збитків у розмірі 141 000 доларів США на кожен випадок шахрайства — це найвищий показник серед усіх категорій компаній за розміром. Типова схема діє протягом 12 місяців, перш ніж хтось її помітить, вимиваючи приблизно 9 900 доларів США щомісяця. І найпоширеніша причина, чому малий бізнес страждає більше, ніж великий? Відсутність внутрішнього контролю — а саме той факт, що одна людина виконує всю фінансову роботу, бо «ми занадто малі, щоб розділяти обов'язки».
Ви не занадто малі. Вам просто потрібен інший план дій, ніж той, який би склав контролер компанії з Fortune 500. Ось цей план.
Що насправді означає розподіл обов'язків
Якщо відкинути аудиторський жаргон, розподіл обов'язків (SoD) — це одна проста ідея: жодна людина не повинна мати змоги вчинити фінансове порушення, а потім приховати його. У цьому полягає вся суть. Кожне інше правило, засіб контролю чи процедура випливають із цього єдиного принципу.
Аудитори поділяють фінансову роботу будь-якого бізнесу на чотири функції. Щоб ускладнити шахрайство та суттєві помилки, ці чотири функції за можливості мають бути розподілені між різними людьми:
| Функція | Що вона охоплює | Приклад |
|---|---|---|
| Затвердження | Схвалення того, що операція має відбутися | Підписання рахунку-фактури постачальника, затвердження виплати зарплати, схвалення повернення коштів |
| Зберігання | Фізичний або цифровий контроль над самим активом | Зберігання чекової книжки, право підпису, володіння корпоративною кредитною карткою |
| Реєстрація | Внесення транзакції в облікові книги | Внесення рахунків до системи обліку, запис депозитів, нарахування заробітної плати |
| Звірка | Перевірка того, що записи відповідають незалежним доказам | Звірка банківської виписки з головною книгою, порівняння виписки по кредитній картці з квитанціями |
Бухгалтер, який зафіксував транзакцію, не повинен її звіряти. Людина, яка зберігає чекову книжку, не повинна затверджувати рахунки. Власник, який підписує чеки, не повинен проводити звірку банківського рахунку самотужки. Кожна функція потребує окремого нагляду.
У компанії зі штатом у 50 осіб розділити ці чотири функції просто. У компанії з трьох осіб це здається неможливим — і саме на цьому етапі більшість власників здаються і просто передають усе «бухгалтеру, якому вони довіряють». Саме з цього сценарію починається майже кожне дослідження випадків розкрадання коштів.
Чому «я їм довіряю» — це не засіб контролю
Майже кожен задокументований випадок розкрадання коштів бухгалтером починається з однієї фрази: власник повністю довіряв зловмиснику. Підрядник з Огайо довіряв Деборі Холл протягом 16 років. Будівельна компанія довіряла своєму бухгалтеру, поки той не підробив 18 чеків на загальну суму понад 44 000 доларів. Офіс-менеджеру компанії з опалення та охолодження Анджелі Купер довіряли настільки, що їй довірили штамп із підписом власника; вона використала його, щоб підробити понад 100 чеків і привласнити 158 658 доларів.
Довіра — це не засіб контролю. Довіра створює можливість — умови, за яких шахрайство може статися і залишитися непоміченим. Засоби контролю — це те, що усуває цю можливість. Мета створення системи внутрішнього контролю у вашому малому бізнесі не в тому, щоб звинуватити співробітників, а в тому, щоб навіть ідеально чесний бухгалтер мав структурну сітку безпеки на випадок ненавмисних помилок, а будь-якому зловмиснику довелося б шукати спільника, перш ніж він зможе вкрасти хоч цент.
Інакше кажучи: якщо ваш єдиний захист від шестизначних збитків — це ваша оцінка чийогось характеру, у вас немає захисту. У вас є лише надія.
Реальність для трьох осіб
Давайте перейдемо до конкретики. Припустимо, у вашому бізнесі є:
- Ви (власник)
- Бухгалтер (штатний або позаштатний, в офісі або віддалено)
- Операційний або офіс-менеджер (один універсальний співробітник)
Ви не можете дозволити собі фінансового контролера. Ви не можете дозволити собі окремого клерка з кредиторської заборгованості, клерка з дебіторської заборгованості та скарбника. Ось що ви можете зробити — і цього достатньо, щоб суттєво знизити ризик шахрайства.
Крок 1: Окресліть ваші потоки транзакцій
Візьміть аркуш паперу і запишіть життєвий цикл кожного основного грошового потоку:
- Грошові надходження — Як надходять гроші? Хто відкриває пошту / обробляє платежі / вносить депозити / робить звірку?
- Виплати — Як гроші витрачаються? Хто затверджує рахунки / підписує чеки або ініціює ACH-платежі / реєструє оплату / робить звірку?
- Заробітна плата — Хто додає та видаляє співробітників / затверджує робочі години / нараховує зарплату / звіряє з головною книгою?
- Інвентар або інші активи — Хто має фізичний доступ / реєструє рух / проводить інвентаризацію та звірку?
Для кожного кроку запишіть ім'я відповідальної особи. Якщо те саме ім'я з'являється в колонках затвердження, зберігання, реєстрації та звірки в будь-якому рядку — це тривожний сигнал SoD.
Крок 2: Зробіть усі можливі розумні розподіли обов'язків
Навіть із трьома працівниками зазвичай можна впровадити найважливіші розподіли:
- Власник підписує всі чеки понад певний низький поріг (наприклад, $500). Бухгалтер готує чеки, але ніколи їх не підписує і ніколи не має права підпису. Бухгалтеру ніколи не повинно бути дозволено підписувати чеки. Взагалі.
- Власник — а не бухгалтер — затверджує нових постачальників до того, як їм може бути здійснено будь-яку оплату. Шахрайство з фіктивними постачальниками — це найпростіша схема у світі, і цей єдиний захід контролю знищує її.
- Офіс-менеджер відкриває пошту і ставить на кожному вхідному чеку штамп «Тільки для депозиту», перш ніж передати його бухгалтеру. Бухгалтер реєструє надходження, але ніколи не має фізичного доступу до них до того, як на них буде нанесено обмежувальний напис (індосамент).
- Бухгалтер реєструє операції; власник здійснює звірку банківського рахунку (докладніше про те, як це робити правильно, за хвилину).
- Власник затверджує нарахування заробітної плати кожного циклу — за кожним прізвищем, за кожним доларом — перед тим, як кошти будуть перераховані. Схеми з «мертвими душами» (phantom employees) миттєво зупиняються власником, який може подивитися у відомість нарахування зарплати та впізнати кожного працівника.
Це не ідеальний розподіл обов'язків. Але цього достатньо, щоб для успіху більшості шахрайських схем знадобилася змова — а як тільки двом людям потрібно домовлятися між собою, ваш ризик різко падає.
Крок 3: Використовуйте компенсуючі засоби контролю в усіх інших випадках
Компенсуючий засіб контролю — це те, що аудитори називають будь-яким етапом перевірки, який ви додаєте, коли повний розподіл обов'язків є нереальним. Вони не такі сильні, як справжній розподіл, але в сукупності вони начувано ефективні. Основні з них для малого бізнесу:
- Перегляд банківської виписки власником перед проведенням звірки. Це найефективніший захід контролю в усьому цьому списку. Зробіть так, щоб банк щомісяця надсилав виписку поштою (або електронною поштою у форматі PDF) безпосередньо власнику. Власник відкриває її, шукає незнайомих одержувачів платежів, незвичайні перекази або суми, що не відповідають звичній структурі, а потім передає її для звірки. Ініціали та дата на виписці = перевірено.
- Щомісячна банківська звірка, перевірена та підписана власником. Навіть якщо її виконує бухгалтер, власник перевіряє готову звірку та ставить підпис внизу. Подивіться на непред’явлені чеки: чи є серед них прострочені? Подивіться на депозити в дорозі: чи дійсно вони зараховуються наступного місяця?
- Обов'язкові щорічні відпустки тривалістю щонайменше один тиждень поспіль для кожного, хто має доступ до бухгалтерії, під час яких хтось інший виконує їхню роботу. Переважна більшість тривалих схем розкрадання розкривається в той момент, коли друга людина відкриває книги обліку. Багато випадків шахрайства з боку бухгалтерів було виявлено саме тому, що зловмисника змусили взяти відпустку.
- Раптові вибіркові перевірки. Періодично беріть випадкову вибірку виплат за тиждень і відстежуйте кожну з них до рахунку-фактури, документа про затвердження та запису в системі. Вам не потрібно робити це часто — навіть раз на квартал цілком достатньо — але сам факт того, що це може статися, є стримуючим фактором.
- Канал для викривачів / повідомлень про порушення. Це звучить занадто офіційно, але це не обов'язково так. Повідомте своїх співробітників у письмовій формі, що вони можуть повідомляти про проблеми безпосередньо вам (або вашому CPA) без побоювання помсти. Повідомлення — це спосіб виявлення 43% усіх випадків посадового шахрайства — це втричі частіше, ніж будь-який інший метод виявлення. Ваші співробітники бачать те, чого не бачите ви.
Крок 4: Захистіть систему, а не лише людей
Навіть з обмеженим штатом ваше бухгалтерське програмне забезпечення, банківський портал і система нарахування зарплати дають вам величезні переваги, якщо ви правильно їх налаштуєте:
- Окремі логіни для кожної особи. Ніяких спільних облікових даних. Ніколи. Якщо щось піде не так, ви повинні знати, який саме користувач це зробив.
- Дозволи на основі ролей у бухгалтерській системі. Вашому бухгалтеру не потрібні права на видалення операцій, анулювання чеків після того, як вони пройшли звірку, зміну банківських реквізитів постачальників або зміну плану рахунків. Більшість сучасних систем дозволяють вимкнути кожну з цих функцій.
- Увімкнені та перевірені журнали аудиту. Якщо ваше програмне забезпечення веде журнал змін, навчіться його читати. Періодично переглядайте видалення, виправлення в минулих періодах та зміни в основних даних постачальників.
- Подвійна авторизація банківського рівня для ACH та банківських переказів понад певний поріг. Більшість банківських порталів для бізнесу підтримують це. Користуйтеся цим. Бухгалтер ініціює; власник підтверджує випуск коштів.
- Система «Positive pay» (або як би вона не називалася у вашому банку) для розрахункового рахунку. Ви завантажуєте список виданих вами чеків; банк відмовляється приймати будь-що, чого немає в списку. Це майже повністю ліквідує шахрайство з підробкою чеків і часто є безкоштовною послугою для бізнес-рахунків.
Крок 5: Залучіть зовнішнього фахівця на неповний робочий день
Якщо ви не можете повністю розділити обов'язки всередині компанії, запозичте цей розподіл ззовні. Варіанти, які зазвичай доступні навіть для малого бізнесу:
- Стороння бухгалтерська фірма, яка виконує роботу, поки ви займаєтеся затвердженнями та переглядом звірок.
- Фракційний фінансовий директор (CFO) або зовнішній бухгалтер, який переглядає щомісячну фінансову звітність, вибірково тестує операції та виступає в ролі незалежного контролера.
- Щорічний огляд (на один рівень простіше за аудит) від CPA, який часто виявляє слабкі місця в системі контролю задовго до того, як вони призведуть до збитків.
Аутсорсинг однієї з чотирьох функцій часто дешевший, ніж найм ще одного працівника, і забезпечує набагато сильніший контроль, ніж будь-що, що ви могли б побудувати всередині компанії з трьома людьми.
Практичний приклад: Посилення контролю за виплатами готівки
Давайте розглянемо один повний процес — оплату рахунків — щоб конкретизувати це на прикладі компанії з трьох осіб.
До посилення контролю:
Бухгалтер отримує рахунки-фактури, вносить їх до системи обліку, друкує чеки, підписує їх штампом підпису власника, надсилає їх поштою та звіряє банківський рахунок наприкінці місяця.
Це всі чотири функції в одних руках, плюс володіння штампом підпису. Це класична схема для шахрайства.
Після посилення контролю:
- Офіс-менеджер (або бухгалтер) отримує рахунки та вносить їх у систему як рахунки до оплати, але не може їх оплатити.
- Власник щотижня переглядає неоплачені рахунки, звіряє кожен із них із підтверджувальною документацією та відзначає схвалені до оплати.
- Бухгалтер формує платіжний реєстр тільки для схвалених рахунків (чеки та/або ACH).
- Власник особисто підписує кожен чек. Штамп підпису знищено.
- Платежі ACH вимагають від власника входу в банківський портал і випуску файлу, підготовленого бухгалтером.
- Банківська виписка надсилається (поштою або електронною поштою) безпосередньо власнику, який відкриває її, переглядає, візує і тільки потім передає бухгалтеру для звірки.
- Завершена звірка повертається власнику, який переглядає та підписує титульний аркуш.
Ви перейшли від однієї особи, що контролює кожен крок, до процесу, де крадіжка долара вимагатиме або (а) підробки підпису власника на чеку (це виявляє послуга «positive pay»), або (б) переконання власника активно схвалити фіктивний рахунок (це виявляє перевірка підтверджувальних документів), або (в) залучення спільника. Ризик шахрайства не зникає зовсім — ніщо не зникає — але він перетворюється з «тривіально простого» на «насправді складний і такий, що, швидше за все, буде викритий».
Як якісний бухгалтерський облік робить усе це можливим
Кожен захід контролю, наведений вище, залежить від однієї негласної передумови: ваша бухгалтерія має бути настільки чистою, щоб аномалії впадали в очі. Якщо ваша головна книга — це хаос із неправильно закодованих транзакцій, звалених докупи категорій та нерозподілених записів «Запитати мого бухгалтера», то у власника, який переглядає банківську виписку, немає бази для порівняння. Дивні платежі губляться в шумі.
Надійний, добре організований бухгалтерський облік — це те, що перетворює ці заходи контролю з імітації на захист. Звірки допомагають виявити шахрайство лише тоді, коли вони справді сходяться до копійки. Перевірки постачальників працюють лише тоді, коли постачальники вносяться послідовно. Виявлення закономірностей працює лише тоді, коли в даних є реальна закономірність.
Облік у текстовому форматі (plain-text accounting) з контролем версій тут особливо ефективний, оскільки кожна зміна фіксується в історії базового файлу. Ви можете бачити, що саме змінилося, коли і ким — вбудований аудиторський слід без купівлі корпоративної GRC-платформи. Це структурна перевага для малого бізнесу, який справді не може собі дозволити контролера або аудиторський відділ.
Квартальний чек-лист внутрішнього контролю
Роздрукуйте це. Приклейте всередині шафи для документів. Проходьте по ньому кожні три місяці.
- Пройдіть повний шлях однієї транзакції в кожному основному циклі (надходження, виплати, нарахування зарплати) і переконайтеся, що вона відповідає вашому задокументованому процесу.
- Візьміть звірку банківського рахунку за останній місяць і підтвердьте, що банківська виписка збігається з кінцевим сальдо в головній книзі без нез'ясованих позицій для звірки старіше 60 днів.
- Перегляньте основний список постачальників. Розслідуйте появу будь-яких постачальників, доданих у минулому кварталі, яких ви не впізнаєте. Порівняйте адреси постачальників з адресами співробітників.
- Перегляньте відомість нарахування заробітної плати за один цикл. Ви повинні впізнавати кожне ім'я. Розслідуйте появу будь-якого нового співробітника або зміну ставки.
- Перевірте журнал аудиту системи обліку на наявність видалених або анульованих транзакцій. Розслідуйте будь-які зміни в закритих періодах.
- Підтвердьте, що всі за обліковими даними використали принаймні необхідні дні відпустки за останній квартал.
- Підтвердьте, що право підпису на банківських рахунках усе ще належить тим особам, кому ви планували.
- Візьміть виписки по кредитних картках і переконайтеся, що кожна операція має задокументовану ділову мету та квитанцію.
Двадцять-тридцять хвилин чотири рази на рік. Бухгалтер у Plant Nutrition Services реалізовувала свою схему, поки власник не помер. Не дозволяйте моменту викриття залежати від удачі.
Коли послабити контроль, а коли посилити
Внутрішній контроль — це не про параною, це про відповідність контролю ризику. Кілька порад щодо калібрування:
- Посилюйте, коли обсяг готівки зростає, коли ви наймаєте нового бухгалтера, після будь-якої ледь уникненої помилки, коли ви залучаєте зовнішніх інвесторів, коли ви починаєте працювати з довірчими фондами третіх осіб (наприклад, депозити клієнтів, аванси) або коли ви виявляєте, що не можете пояснити статтю у банківській виписці.
- Послаблюйте (трохи), коли заходи контролю спричиняють реальні операційні труднощі та у вас є надійний компенсаційний захід в іншому місці. Кожен контроль має свою ціну; мета — мінімальний набір, що забезпечує адекватне покриття.
- Ніколи не послаблюйте повноваження щодо підписання чеків, схвалення постачальників або попередній перегляд банківських виписок власником. Ці три елементи є опорними стінами всієї структури.
Тримайте свої фінанси в порядку з першого дня
Сильний внутрішній контроль працює лише на базі чистого, добре організованого обліку. Якщо ви не можете довіряти цифрам, ви не можете довіряти звіркам — і вся система контролю руйнується. Beancount.io пропонує облік у текстовому форматі, який забезпечує повну прозорість та повну історію версій кожної зміни у вашому реєстрі — той самий вбудований аудиторський слід, для якого малим підприємствам зазвичай доводиться купувати дороге програмне забезпечення. Почніть безкоштовно і дізнайтеся, чому розробники та фінансові фахівці переходять на plain-text accounting — а також ознайомтеся з нашими хостинговими дашбордами Fava для миттєвої візуалізації ваших книг.
Найдешевший внутрішній контроль, який ви коли-небудь створите, — це дисципліна ведення чистих книг, що перевіряються другою парою очей. Найдорожчий — це судовий позов, який ви подасте через три роки, сподіваючись повернути десять копійок з кожного вкраденого долара.