小型企业防止欺诈和错误所需的内部控制
员工盗窃约占美国企业破产原因的 33%,而小企业受到的打击最为严重。根据注册舞弊审查师协会(Association of Certified Fraud Examiners)的数据,员工人数少于 100 人的组织在每起欺诈案件中的损失中位数高于员工人数超过 10,000 人的公司。原因很直接:小企业通常缺乏大型组织习以为常的内部控制。
好消息是,你不需要一个庞大的合规部门来保护你的业务。少数执行良好的内部控制可以显著降低欺诈风险,及早发现会计错误,并让你确信你的财务记录反映了真实情况。
什么是内部控制?
内部控制是企业为保护资产、确保财务报告准确并提高运营效率而制定的政策、程序和系统。你可以将它们视为制衡机制,既能让诚实的人保持诚实,也能在错误演变成昂贵的问题之前及时发现。
主要有两种类型:
- 预防性控制:在错误和欺诈发生前将其阻止(例如要求超过一定金额的支票必须有两个签名)
- 察觉性控制:在问题发生后将其识别出来(例如通过每月的银行对账来发现差异)
一个强大的内部控制系统需要这两种类型协同工作。
基础:职责分离
对于任何企业来说,最重要的单一内部控制就是职责分离。这意味着不应由一个人完整控制整个财务交易的始末。
以下是实际操作中的具体表现:
- 签发支票的人不应该是核对银行对账单的人
- 批准供应商发票的员工不应该是将其录入会计系统的人
- 处理收款的人不应同时负责在应收账款中进行记录
在小团队中,完美的职责分离并不总是可行。如果你只有两三个人处理财务,请考虑这些变通方案:
- 业主审查:业务所有者每月亲自审查银行对账单、已兑付支票和信用卡账单
- 轮换:定期在员工之间轮换财务职责
- 外部监督:聘请兼职簿记员或会计师进行独立于日常工作人员的每月审查
现金与付款控制
现金是任何企业中最脆弱的资产。强大的现金控制包括:
实物现金管理
- 将现金存放在访问受限的加锁保险箱中
- 清点现金抽屉时要求两人在场
- 为所有现金交易开具连续编号的收据
- 在每班结束时核对收银机与收据
支票控制
- 使用预先编号的支票,并记录每个支票号码,包括作废支票
- 对超过设定阈值(通常为 1,000 美元或 5,000 美元)的支票要求双人签名
- 严禁签署空白支票
- 将未使用的空白支票存放在加锁位置
- 收到支票后立即进行限制性背书(“仅限存款”)
电子支付控制
- 为 ACH 和电汇设置审批工作流
- 为公司信用卡和借记卡设置交易限额
- 每月审查信用卡账单,将每笔支出与收据或发票进行核对
- 立即注销离职员工的支付权限
应付账款控制
供应商付款是小企业最容易发生欺诈的领域之一。虚假供应商计划——员工创建虚假供应商并将款项转给自己——在�职业欺诈案件中占很大比例。
通过以下控制措施保护自己:
- 验证新供应商:在将其加入系统前,要求提供 W-9 表格,核实其营业地址,并确认其与任何员工均无关联
- 实施采购订单(PO):针对超过设定金额的支出使用采购订单
- 付款前进行三方核对:核对采购订单、收货单(确认货物已送达)和供应商发票
- 发票审批:所有发票在付款前必须经过管理层批准
- 审查供应商主文件:每季度检查是否存在重复供应商、与员工共用地址的供应商或仅有邮政信箱地址的供应商
银行对账
每月银行对账是现有的最强大的察觉性控制手段之一。它也是最常被忽视的手段之一。
以下是如何有效进行对账:
- 每月进行对账,在收到银行对账单后的几天内完成
- 指派非日常交易处理人员负责对账工作
- 调查所有差异:立即调查,不要直接核销无法解释的差额
- 审查未兑付支票:任何超过 90 天未兑付的支票都应进行调查
- 检查未经授权的交易:寻找陌生的收款人、整数金额或异常模式
- 由第二人审查并在完成的对账单上签字确认
同样的流程也应适用于信用卡账单、备用金以及任何其他财务账户。
访问控制与信息��安全
在日益数字化的世界中,控制谁可以访问你的财务系统,与控制谁可以接触现金柜台同样重要。
会计软件安全
- 分配独立的用户账户——切勿共享登录凭据
- 设置基于角色的权限,使员工仅能访问其所需的信息
- 使用强且唯一的密码,并启用双重身份验证
- 设置带有密码保护的结账日期,防止更改前期数据
- 定期审查审计追踪,以发现异常的分录或更改
文档安全
- 将财务数据自动备份到安全的异地或云端位置
- 加密敏感财务文档
- 制定符合税务要求的文档保留政策
- 在保留期结束后,销毁(而非仅仅删除)敏感文档
费用与报销控制
员工费用报销报告是错误和欺诈的常见来源。清晰的费用政策可以消除歧义,并使滥用行为更容易被发现。
你的政策应该:
- 通过特定类别定义什么是可报销费用
- 按类别设置支出限额(餐饮、差旅、办公用品等)
- 要求所有超过最低阈值(通常为 25 美元)的费用提供原始收据
- 规定在设定的时间范围内提交(例如 30 天内)
- 在报销前要求经理批准
- 标记重复金额、整数金额或刚好低于审批阈值的费用
监控与审查
只有有人主动监控,控制措施才能发挥作用。将这些审查流程纳入你的日常工作中:
每月审查
- 调节所有银行和信用卡账户
- 将实际支出与预算进行比较,并调查重大偏差
- 审查应收账款账龄,以及早发现收款问题
- 验证所有手动日记账分录均具有证明文件和批准
每季度审查
- 审计供应商主文件是否存在异常
- 进行实物库存盘点并与记录进行核对
- 审查会计软件中的用户访问权限
- 随着业务增长,评估你的控制措施是否仍然充足
年度审查
- ��聘请外部会计师或簿记员进行独立审查
- 更新内部控制政策以反映业务变化
- 核实所有要求的税务表格(如 1099s, W-2s)已准确申报
- 测试你的备份和灾难恢复程序
建立问责文化
最有效的内部控制是那些得到责任制文化支持的控制,在这种文化中,问责是常态而非例外。
- 以身作则:如果老板忽视控制,员工也会效仿
- 记录一切:书面政策和程序可消除歧义
- 持续培训:每位接触资金或财务数据的员工都应了解控制措施存在的原因以及如何遵守
- 鼓励报告:为员工建立清晰、安全的渠道,以便他们报告疑虑而无需担心遭到报复
- 应对违规:当控制措施被绕过时,应立即处理。执法不一会破坏整个系统
控制弱点的常见预警信号
注意这些可能暗示你的控制措施需要加强的危险信号:
- 员工从不休假或坚持要求独自处理所有事务
- 供应商投诉付款逾期或缺失,而这与你的记录不符
- 预算支出与实际支出之间存在无法解释的偏差
- 银行对账差异被反复“注销”而非解决
- 交易文档缺失或不完��整
- 收入或现金流不符合你对业务预期的模式
任何这些信号都值得对你的流程进行更深入的审视。
开始行动:实用清单
如果你的业务目前几乎没有或完全没有内部控制,请不要尝试一次性实施所有措施。从以下高影响力的步骤开始:
- 将银行对账从日常簿记中分离出来(本周内)
- 对超过阈值的付款要求双重批准(本周内)
- 在会计软件中设置具有适当权限的独立用户账户(本月内)
- 制定书面的费用报销政策(本月内)
- 安排每月财务审查及偏差分析(持续进行)
- 核实你的供应商名单并移除任何不活跃或可疑的分录(本季度)
- 聘请外部审查人员进行年度财务体检(今年内)
你实施的每一步都会降低欺诈和错误的风险。即使是不完善的控制也远比没有控制要好。
保持财务记录透明且安全
强大的内部控制始于整洁、有序的财务记录。Beancount.io 提供纯文本会计,为你提供每笔财务交易的完整、受版本控制的审计追踪——没有黑箱,没有隐藏的更改。通过你完全掌控的透明记录,发现差异和维持问责制将变得轻而易举。免费开始使用,在财务诚信的基础上建立你的业务。
