每个小微企业都需要的内部财务控制

大多数小企业主在出问题之前——比如存款丢失、未经授权的支出，或者更糟的是发现有人已经挪用资金数月之久——都不会考虑内部财务控制。根据注册舞弊审核师协会 (ACFE) 的数据，组织每年因职务舞弊损失约 5% 的年收入，而员工人数少于 100 人的小企业遭受的中位损失最高。

好消息是？你不需要世界 500 强级别的合规部门来保护你的业务。少数实用且实施良好的控制措施可以显著降低舞弊、错误和财务管理不善的风险。以下是如何建立一套真正适用于小企业的制衡体系。

什么是内部财务控制？

内部财务控制是一个企业为保护其资产、确保财务报告准确以及提高运营效率而制定的政策、程序和惯例。可以把它们看作是确保企业财务状况处于正轨的护栏。

这些控制通常分为五类：

• 现金控制 —— 确保实物现金安全并防止损失
• 应付账款控制 —— 确保付款经过授权并支付给正确的对象
• 财务报告控制 —— 保持账目清晰准确
• 数据安全控制 —— 管理谁可以访问财务系统
• 人力资源控制 —— 建立围绕财务职责的员工政策

即使你的企业只有你和几名员工，拥有一套基本的控制框架也能防止代价高昂的错误，并为增长奠定基础。

金科玉律：职责分离

最重要的内部控制概念是职责分离（也称为职务分离）。其核心思想很简单：任何单个人都不应控制财务交易的所有环节。

必须分离三个关键职能：

1. 授权 —— 谁审批交易
2. 记账 —— 谁将其记录在账簿中
3. 保管 —— 谁处理实物资产（现金、支票、库存）

当一个人处理所有这三个环节时，舞弊或未被察觉的错误发生的机会就会倍增。例如，如果负责拆阅信件、记录进项款项和进行银行存款的员工同时也负责调节银行账单，他们可能会私吞支票并调整记录以掩盖事实。

当你的人手不足时

小企业往往难以实现职责分离，因为人手不够。如果你只有两三名员工，以下补偿性控制措施会有所帮助：

• 业主审核：企业主每月亲自查看所有银行对账单、已取消支票和信用卡账单——直接从银行获取，且未经他人拆封。
• 双重授权：对超过一定金额（如 1,000 美元或 5,000 美元）的支票要求双人签字。
• 外部监督：让外部会计师或簿记员定期审核交易和对账情况。
• 轮换职责：定期在员工之间轮换财务职责，这样就没有人会无限期地“拥有”某个流程。
• 强制休假：要求处理财务的员工休假。许多舞弊方案都是在别人临时接手工作时被发现的。

立即实施的关键控制措施

1. 由独立第三方进行银行对账

银行对账是将你的内部记录与银行对账单进行比较以确保一致的过程。这是最有效的舞弊检测工具之一。

最佳实践：应由负责记账或存款以外的人员进行对账。如果无法做到这一点，企业主应审核已完成的对账单，并寻找异常项目——例如支付给陌生收款人的支票、整数交易或无法解释的调整。

每月对所有账户进行对账，无一例外。这包括支票账户、储蓄账户、信用卡以及任何支付平台账户（如 PayPal 或 Stripe）。

2. 文件化的审批流程

每一笔重大支出都应遵循文件化的审批链。这并不意味着沉溺于文书工作，而是意味着对谁可以支出多少钱有明确的规定。

实施以下审批阈值：

• 500 美元以下：部门经理或指定员工可批准
• 500–5,000 美元：必须由业主或高级经理批准
• 5,000 美元以上：需要双重批准或董事会批准

所有采购订单、发票和报销申请在付款前都应与支持文件匹配。如果有人提交费用报告，要求提供收据。如果供应商发送发票，将其与原始采购订单和收货单进行匹配（即“三向匹配”）。

3. 预编号单据

使用预编号的支票、发票、采购订单和收据。这种简单的做法可以让你立刻发现单据是否遗失或被篡改。应调查序列中的缺漏。

许多现代会计系统通过顺序编号自动处理此操作，但请确保你确实在监控缺漏，而不仅仅是生成编号。

4. 金融资产的实物安全

锁好空白支票、备用金和任何包含敏感信息的财务文件。这包括：

• 将空白支票存放在锁定柜中，且仅限授权人员访问
• 维护备用金日志并进行突击盘点
• 保障保险箱或现金抽屉的访问安全
• 粉碎敏感财务文件，而不是简单地丢弃

这些看似显而易见，但 ACFE（美国舞弊审核师协会）一直报告称，资产挪用——特别是现金盗窃——占小企业欺诈案件的绝大多数。

5. 财务系统的访问控制

企业中的每个人并不都需要访问所有财务系统。实施基于角色的访问控制，使员工只能查看或修改与其职责相关的数据。

实际步骤包括：

• 会计软件使用个人登录凭据（严禁共享密码）
• 限制谁可以创建新供应商、修改付款信息或处理付款
• 设置审计日志，跟踪更改人及更改时间
• 每季度审查用户访问权限，并在离职后立即删除前员工的访问权限

6. 定期财务审查

企业主或值得信赖的经理应按固定时间表审查关键财务报告：

• 每周：现金头寸和应收账款账龄
• 每月：损益表、资产负债表、银行对账单和信用卡对账单
• 每季度：预算与实际对比、供应商支出分析和工资单审查
• 每年：由外部会计师进行全面的财务审计或审查

不要只看总额。要看细节。审查每一笔交易，对任何异常情况提出疑问，并将当前结果与前期进行比较。欺诈往往隐藏在趋势中——例如某一类别的支出逐渐增加，或者与经营活动不符的收入缓慢下降。

需要关注的预警信号

训练自己从财务数据中发现以下警示信号：

• 应付账款中出现不认识的供应商
• 同一个月内向同一供应商重复付款
• 整元交易（欺诈者通常窃取整数金额）
• 在没有明确商业理由的情况下，支出增长快于收入增长
• 员工的生活水平超出了显而易见的经济能力（这本身不能作为定论，但值得在背景下留意）
• 单据缺失或预编号序列中存在缺漏
• 抵制监督——一名员工坚持由自己处理所有事务，并阻止任何人审查其工作
• 异常的记账分录，特别是在报告期末附近

任何单一的信号可能都有合理的解释。但一系列的信号则需要调查。

建立问责文化

内部控制不仅是为了抓坏人。它们保护诚实的员工免受怀疑，确保财务数据的准确性以供决策，并增强投资者、贷款人和合作伙伴的信心。

制定一份书面财务政策手册，涵盖：

• 谁有权签署支票和批准支出
• 报销申请如何提交和批准
• 备用金如何管理
• 密码和系统访问政策
• 财务记录如何备份和保存
• 发现差异时如何处理

与每一位处理资金或财务数据的员工分享这份文件。每年进行审查和更新。

确立高层基调。 如果企业主为了方便而绕过控制——在没有单据的情况下向供应商付款、混合个人和业务开支、或者忽略对账差异——员工也会效仿。

应避免的常见错误

盲目信任。 在欺诈发生后最常听到的一句话是：“我从未想过他们会那样做。”信任你的员工，但要通过控制进行核实。控制保护每一个人。

实施了控制却又忽视它们。 无人遵守的控制比没有控制更糟糕——它会产生一种虚假的安全感。

使控制过于繁琐。 如果你的审批流程复杂到员工经常绕过它，那么控制需要简化，而不是被放弃。

未能适应。 随着业务的增长，你的控制也需要演进。适用于三名初创团队的模式不适用于三十人的公司。至少每年审查一次你的控制框架。

使用更好的工具简化财务监督

强大的内部控制始于清晰、有条理的财务记录。当你的账目混乱时，几乎不可能发现差异或验证控制是否有效。Beancount.io 提供纯文本会计服务，让你对每一笔交易拥有完全的透明度——版本受控、可审计，且无法被悄悄更改。免费开始使用，在你可以真正信赖的基础上建立你的财务控制。