Ось цифра, яка повинна змусити кожного власника малого бізнесу почуватися ніяково: типове шахрайство в компанії з менш ніж 100 працівниками коштує 141 000 доларів. Це не найгірший випадок. Це медіана — половина випадків шахрайства в малому бізнесі коштує дорожче. І люди, які його вчиняють, рідко є чужинцями. Це довірений бухгалтер, який працює з вами роками, офіс-менеджер, який «займається всім цим», той самий працівник, який знає, де що лежить.
Підручникова відповідь на цей ризик — розподіл обов'язків: ніколи не дозволяйте одній особі контролювати транзакцію від початку до кінця. Підручник також припускає, що у вас є фінансовий відділ. У вас три працівники. Можливо, двоє. Можливо, це ви, приходить бухгалтер на неповний робочий день і дитина, яка відповідає на дзвінки.
Отже, справжнє питання ось у чому. Як побудувати систему контролю, яка реально запобігає крадіжкам, коли ви дійсно не можете передати кожне завдання іншій особі? Відповідь — не «здаватися». Відповідь — «діяти свідомо». Цей посібник покаже вам, як це зробити.
Чому малий бізнес є найлегшою мішенню
Дослідники шахрайства постійно виявляють, що невеликі організації страждають непропорційно більше. Вони зазнають тих самих медіанних збитків, що й набагато більші компанії, але мають лише частину доходу, щоб їх покрити. Збиток у 141 000 доларів може бути похибкою округлення для корпорації. Для бізнесу з річним оборотом у 2 мільйони доларів це може бути різницею між виплатою зарплати та закриттям.
Причина не в тому, що працівники малого бізнесу менш чесні. Це — можливість. Малі компанії мають менше інструментів протидії шахрайству, менші бюджети для інвестицій у них та культуру довіри, де нагляд сприймається як образа. Схеми, що процвітають у такому середовищі, банальні: шахрайство з рахунками (оплата фіктивних або завищених інвойсів), махінації з чеками та платежами, завищені відшкодування витрат і привласнення готівки ще до того, як вона потрапить в облік. Жодна з цих них не потребує витонченості. Вони вимагають лише того, щоб одна людина могла виконати завдання і при цьому приховати його.
Остання фраза і є всією концепцією. Шахрайство потребує як дії, так і приховування. Розподіл обов'язків працює так, щоб людина, яка може вчинити дію, не була тією ж особою, яка може її приховати.
Чотири функції, які ви намагаєтеся розділити
Перш ніж розділити обов'язки, потрібно знати, що саме ви ділите. Бухгалтери розбивають кожну фінансову операцію на чотири функції, і мета полягає в тому, щоб тримати їх у різних руках.
Затвердження — це схвалення того, що транзакція має відбутися: підписання замовлення на купівлю, затвердження нового постачальника, схвалення повернення коштів.
Зберігання — це фізичний або цифровий контроль над самим активом: робота з готівкою, зберігання підписаних чеків, наявність пароля від банківського рахунку, контроль запасів.
Ведення обліку — це внесення транзакції в книги: реєстрація інвойсу, запис платежу, здійснення журнального запису.
Звірка — це порівняння записів з незалежним джерелом: зіставлення бухгалтерського реєстру з банківською випискою наприкінці місяця.
Принцип простий: жодна людина не повинна контролювати більше ніж одну з цих функцій для однієї транзакції. Коли функції розділені, помилка або крадіжка, створена в одній функції, виявляється іншою особою, що виконує перехресну перевірку. Бухгалтер, який реєструє фейковий платіж, не може бути тією ж особою, яка робить звірку банківського рахунку, оскільки звірка викриє цей платіж.
Небезпечні комбінації передбачувані. Будь-хто, хто має одночасно зберігання і ведення обліку, може вкрасти актив і стерти докази. Будь-хто із затвердженням і зберіганням може схвалити платіж самому собі, а потім отримати його. Будь-хто із затвердженням і веденням обліку може схвалити фіктивну транзакцію і «поховати» її в книгах. Якщо ваш єдиний бухгалтер виписує чеки, вносить їх в облік і робить звірку рахунку, ця особа володіє всіма чотирма функціями. Це не слабкість контролю. Це повна відсутність контролю.
Як насправді виглядає «розподіл» з трьома людьми
Класичний підручниковий розподіл потребує чотирьох або п'яти осіб. У вас їх немає. Тож ви розділяєте ті функції, які можете, і погоджуєтеся на те, що для решти знадобиться інший вид контролю. Хороша новина полягає в тому, що навіть один чистий розподіл закриває найнебезпечніші двері.
Найважливішим розподілом у малому бізнесі є зберігання проти ведення обліку. Якщо людина, яка торкається грошей, не є тією ж особою, яка їх фіксує, ви одним махом усуваєте найпоширенішу схему привласнення активів. На практиці:
- Бухгалтер записує транзакції, але не має права підпису на банківському рахунку і не займається внесенням готівки на рахунок.
- Власник (або другий працівник) підписує чеки, затверджує чергу платежів і має доступ до банківського кабінету.
- Той, хто відкриває пошту і реєструє вхідні чеки, не є особою, яка вносить платежі клієнтів у реєстр.
Другим пріоритетом є незалежність звірки. Банківська звірка — це головна перевірка всього. Якщо вона проводиться чесно кимось, хто не створював записи, майже жодна схема не протримається більше місяця. Тому власник — а не бухгалтер — повинен отримувати банківську виписку і або сам проводити звірку, або перевіряти її рядок за рядком. Ця єдина звичка, яка коштує годину на місяць, виявляє махінації з чеками, приховані платежі та незрозумілі перекази.
Робоча модель для трьох осіб часто виглядає так. Власник відповідає за затвердження (схвалення постачальників, платежів та змін у зарплатній відомості) та звірку. Бухгалтер відповідає за ведення обліку. Другий працівник — або знову власник — відповідає за зберігання готівки та чеків. Зауважте, що власник згадується двічі. Це нормально. Участь власника у затвердженні та звірці набагато менш небезпечна, ніж участь бухгалтера у зберіганні та обліку, оскільки поєднання затвердження та звірки не дозволяє одночасно вкрасти та приховати крадіжку в процесі звичайної роботи.
Компенсаційні заходи контролю: Справжній інструментарій
Коли ви не можете розділити функції, ви застосовуєте компенсаційні заходи. Компенсаційні заходи контролю не заважають одній особі виконувати завдання — вони роблять надзвичайно ймовірним те, що порушення будуть помічені. Для малого бізнесу це не запасний варіант. Це основна лінія захисту.
Перегляд банківської виписки власником, нерозпечатаної. Нехай банківську виписку надсилають на вашу домашню адресу або ж заходьте в онлайн-банк самостійно раніше за всіх інших. Виділіть двадцять хвилин на перегляд кожного зображення чека та кожного електронного платежу. Ви шукаєте отримувачів, яких не впізнаєте, круглі суми, виплати працівникам та будь-що, що знаходиться трохи нижче порогу затвердження. Дослідження шахрайства неодноразово підтверджують, що нагляд на рівні власника є одним із небагатьох заходів контролю, які стабільно зменшують збитки в малих компаніях.
Подвійне затвердження понад певний поріг. Вимагайте, щоб будь-який платіж, що перевищує встановлену суму, затверджували двоє людей. Виберіть поріг на основі вашого грошового потоку — багато малих підприємств використовують $1,000, стартапи часто встановлюють нижчу межу. Більшість програм для бухгалтерського обліку та оплати рахунків дозволяють налаштувати це автоматично, щоб цей крок неможливо було пропустити.
Перевірка стороннім бухгалтером. Щомісячний або щоквартальний огляд зовнішнім бухгалтером або фракційним (залученим на частину часу) контролером є потужним компенсаційним заходом саме тому, що ця особа не зацікавлена нічого приховувати. Вони можуть перевірити звірку, проглянути список постачальників на предмет нових додавань і вибірково перевірити кілька транзакцій. Це часто найкраще витрачений долар малого бізнесу на запобігання шахрайству.
Обов’язкові відпустки та перехресне навчання. Багато шахрайств розкриваються, коли винуватець відсутній, а хтось інший береться за його роботу. Вимагайте, щоб ваш бухгалтер брав безперервну відпустку на тиждень, і нехай хтось інший виконує його обов'язки. Шахрайство залежить від безперервного контролю; примусова перерва руйнує цю схему.
Обмеження доступу до основних даних. Можливість додати нового постачальника, змінити банківські реквізити існуючого постачальника або створити нового співробітника є окремою формою повноважень. Обмежте це. Дивовижна кількість випадків шахрайства з рахунками — це просто створення шахраєм постачальника, який виглядає справжнім. Додавання постачальника повинно вимагати підпису від когось іншого, ніж особа, яка здійснює оплати.
Системні журнали аудиту. Використовуйте програмне забезпечення, яке фіксує, хто ввів, відредагував або видалив кожну транзакцію, і зробіть цей журнал незмінним. Коли всі знають, що їхні дії назавжди записані під їхнім ім'ям, логіка шахрайства змінюється. Приховування стає набагато складнішим, а це вже половина успіху.
Практичний контрольний список для початку
Вам не потрібно перебудовувати всю свою роботу за цей тиждень. Почніть з цього:
- Складіть список, хто що робить. Запишіть кожну людину та те, до якої з чотирьох функцій вона має відношення. Обведіть кожного, хто одночасно здійснює зберігання активів та веде облік — це ваша першочергова проблема.
- Заберіть доступ до банківського кабінету у вашого бухгалтера, якщо він також вносить транзакції. Власник зберігає контроль над банківськими доступами.
- Заберіть банківську виписку собі. Починаючи з наступного місяця, ви бачите її першим і переглядаєте до того, як хтось зробить звірку.
- Встановіть поріг подвійного затвердження і увімкніть його у своєму програмному забезпеченні.
- Заблокуйте створення постачальників і нарахування заробітної плати, зробивши їх можливими лише після затвердження власником.
- Заплануйте зовнішню перевірку — навіть щоквартальна перевірка має велике значення.
- Заплануйте справжню відпустку в календарі для того, хто веде облік.
Жоден із цих кроків не вимагає найму нових людей. Вони вимагають рішення, що довіра та перевірка не є протилежностями — і що перевірка вашого найнадійнішого співробітника є проявом ввічливості до нього, оскільки це захищає його від підозр так само як і вас від збитків.
Тримайте свої фінанси в порядку з першого дня
Надійний внутрішній контроль залежить від записів, які є повними, мають позначку часу та які важко непомітно змінити. Саме тут має значення ваша система обліку: якщо ваші книги — це «чорна скринька», яку розуміє лише одна людина, жоден компенсаційний захід не зможе побачити, що всередині. Beancount.io пропонує текстовий бухгалтерський облік (plain-text accounting), який є прозорим і має контроль версій — кожна зміна відстежується, кожен запис є зрозумілим, а повну історію може перевірити будь-хто, кому ви довіряєте. Це робить незалежну перевірку, звірку та журнали аудиту значно простішими для впровадження в невеликій команді. Почніть безкоштовно і дізнайтеся, чому розробники та фінансові фахівці переходять на текстовий бухгалтерський облік.
Джерела: ACFE Occupational Fraud 2024: A Report to the Nations; Improving Internal Controls in Departments with Limited Segregation of Duties — Lutz; Segregation of Duties — Hyperproof.