Beancount.io LogoBeancount.io

14.1万美元之殇:小企业如何在职业欺诈摧毁自己前发现它

阅读需 2 分钟Mike ThriftMike Thrift
14.1万美元之殇:小企业如何在职业欺诈摧毁自己前发现它

一位工作九年、深受信赖的簿记员在三年内侵占了 48.7 万美元,却始终未被察觉。一位兼职办公室经理通过应付账款虚构了 6.2 万美元的供应商发票。一位收银员每天从钱箱里偷拿 40 美元——一年近 1.5 万美元——直到一次客户投诉才让真相大白。

这些并非真实犯罪播客里的标题新闻,而是注册舞弊检查师协会(ACFE)所记录的典型职业舞弊案例。ACFE 每两年发布一次的《全球职业舞弊调查报告》(Report to the Nations)依然是全球最权威的内部舞弊研究。对于员工人数少于 100 人的受害小微企业,每起舞弊方案造成的损失中位数为 14.1 万美元。这些手段在中位时长达到约 12 个月后才被发现。而在许多案例中,犯罪者正是老板最信任的人。

如果你经营一家拥有 5 人、15 人或 50 人的企业,算账的方法非常残酷且简单:你承受不起任何此类舞弊方案,而且你几乎肯定没有专门的审计委员会来发现它们。你能做的是建立廉价、低摩擦成本的控制措施,让舞弊难以实施、易于察觉,且无法在心理上被合理化。本指南将介绍法务会计师实际使用的框架——舞弊三角、能产生实效的控制措施,以及非会计专业的老板在本季度可以采用的具体流程。

什么是“职业舞弊”

职业舞弊是指利用职权,通过滥用雇主的资源或资产来谋取个人私利。ACFE 将其归纳为三大类,记住它们非常有用,因为它们直接对应不同的控制措施:

  • 资产侵占 (Asset misappropriation) —— 窃取或滥用资产。包括截留现金、账单舞弊、虚构工资、虚报报销和库存盗窃。这是目前最常见的类别,在约 89% 的上报案例中都有出现。
  • 贪腐 (Corruption) —— 利用影响力谋取个人利益,如回扣、利益冲突和串通投标。大约一半的案件包含某种形式的贪腐元素。
  • 财务报表舞弊 (Financial statement fraud) —— 蓄意错报收入、费用或资产,使公司看起来经营状况更好(或偶尔更差)。这是最罕见但损失最惨重的类别,个案损失中位数可达数百万美元。

小微企业受资产侵占的影响最为严重,尤其是账单舞弊支票篡改报销舞弊截留现金。这些手段之所以未被发现,是因为它们在总账中看起来就像是普通交易。

舞弊三角:为什么诚实的人会变成小偷

20 世纪 50 年代初,社会学家唐纳德·克雷西(Donald Cressey)采访了近 200 名入狱的侵占者。他发现典型的职业舞弊者并非惯犯,而是原本各方面都很普通的员工,随着时间的推移滑向了盗窃。他的研究衍生出了如今标准的舞弊风险模型:舞弊三角,由压力、机会和合理化组成。

压力(或动机)

某种因素将员工从“动念头”推向了“付诸行动”。常见的压力包括:

  • 个人财务压力:医疗账单、离婚、房产资不抵债、赌债。
  • 生活方式压力:挥霍无度、成瘾、隐秘的第二家庭支出。
  • 工作压力:不切实际的销售定额、对裁员的恐惧、与员工无法合法达到的数字挂钩的奖金。

你通常无法消除压力,但你可以关注行为上的红旗警示。ACFE 的数据显示,生活方式显著超出其收入水平、拒绝休假或对特定供应商关系表现出异乎寻常的控制欲的员工,与显著更高的舞弊损失高度相关。一个拒绝休假的员工有时可能仅仅是勤奋,但更多时候,他们是害怕让同事接手工作一周后露出马脚。

机会

这是三角中老板真正可以控制的一环。当员工满足以下条件时,机会便产生了:

  • 能够接触资产(现金、支票、签名权、银行登录账号)。
  • 能够记录或隐藏涉及这些资产的交易。
  • 认为被发现的可能性很低。

剥离其中任何一项,机会就会坍塌。这就是内部控制的全部目的。

合理化

最后一环是舞弊者在内心编织的说辞。“公司欠我的——我三年没涨工资了。”“我只是借用一下,下个月就还。”“每个人都会在报销上弄虚作假。”高层强烈的道德基调——老板的亲力亲为、清晰的制度、对小违规的迅速处理——会让这种合理化变得更难。

更新的模型(如“舞弊钻石”加入了能力;“舞弊五边形”加入了傲慢和胜任力)完善了克雷西的观点,但并未改变运营层面的核心结论:你不能纯粹靠雇用“好人”来防止舞弊。你要通过构建工作结构,让好人永远不会受到诱惑,而让那些不那么好的人迅速被抓获。

为什么小微企业受害最深

三个结构性劣势使小型组织处于反舞弊的第一线:

  1. 职责高度集中。 在一个只有五个人的公司里,通常一个人负责开发票、存款、付款和记账。这相当于把舞弊三角(压力、机会、合理化)的三要素都集中在了一个岗位上。
  2. 基于信任的文化。 老板倾向于雇用熟人。会计是家里的朋友,办公室经理是长期追随者。信任在规模扩大时表现不佳——它适用于两个人,但不适用于每月二十万美元的资金支出。
  3. 有限的反舞弊投入。 ACFE(美国注册舞弊审查师协会)的一贯研究发现,小型组织实施的控制措施少于大型组织。他们不太可能拥有成文的行为准则、舞弊举报热线、突击审计计划或主动的数据监控。

结果是:小型组织遭受的舞弊损失在原始金额上几乎与全球中位值持平,但这些损失占收入的比重要大得多,而且往往关系到企业的生死存亡。对于一家拥有 50 名员工、利润率为 6% 的公司来说,14.1 万美元的损失相当于蒸发了超过 200 万美元的营业收入。

真正有效的控制措施

在数千个案例中,有三项控制措施在减少舞弊损失和缩短方案检测时间方面表现突出——通常能减少 50% 或更多。这些是小型企业可以进行的最高杠杆投资。

1. 突击现金盘点与突击审计

突击审计是原始的“不打招呼的现场检查”。对于小企业来说,这不需要注册会计师(CPA)——它只需要老板(或信任的第二人)在不发预告的情况下随机核实账目是否与现实相符。

在不预先通知的情况下需要核实的内容:

  • 收银机、保险库和小额现金箱中的库存现金。
  • 随机过道、货位或产品 SKU 的库存。
  • 随机抽取的日记账分录:随机抽取五笔付款,跟踪从发票到银行对账单的每一环。
  • 调取最近一周结算的所有支票——将收款人与供应商记录进行匹配,查看序列是否存在跳号。

重点不在于每次检查都要分毫不差,而在于让作恶者感到随时可能被发现。舞弊者依赖于规律性;而突击审计会打破这种规律。ACFE 的数据表明,拥有突击审计计划的组织,其损失中位值约为其他组织的一半,且检测出舞弊方案的速度快近一倍。

2. 管理层复核关键报告

大多数小企业舞弊都发生在老板从未关注过的地方:供应商主文件、客户核销日志、工资变动报告。在固定的时间段内进行每月 30 分钟的关键报告复核,会产生巨大的威慑压力。

建立一个循环的每月复核,涵盖:

  • 供应商的新增与变更。 过去 30 天内新增的任何供应商。现有供应商的银行账户、地址或名称的任何变更。这两者都是典型的虚假账单方案迹象。
  • 超过阈值的支出。 所有高于(例如)1,000 美元的付款——将每笔款项与发票和合同进行匹配。
  • 银行对账。 亲自打开银行对账单;不要只接受打印好的对账报告。查看实际结算的支票图像和汇出的电汇。
  • 工资变动。 新员工、离职人员、工资标准变动、工资代发账户变动。虚构员工是工资发放中的“账单方案”。
  • 客户贷项通知单和核销。 截留现金(Skimming)通常隐藏在被悄悄核销为“不可回收”的应收账款之后。

3. 主动数据监控

现代会计软件使这项工作的成本几乎为零。设置警报和异常报告,例如:

  • 来自同一供应商的重复发票号码。
  • 与员工地址匹配的供应商地址(这是空壳供应商方案的明显特征)。
  • 整数金额的日记账分录(真实的交易很少正好是 5,000.00 美元)。
  • 集中在周末或下班后的作废交易。
  • 向没有历史往来的供应商付款,或突然出现的业务量激增。

当你将总分类账视为数据集而不仅仅是报税的原始材料时,异常情况很快就会浮出水面。

三人办公室中的职责分离

教科书式的规则:将资产的授权记录保管分开。同一个人不应同时批准付款、开具支票或发起 ACH,以及核对银行账户。

在一个小型办公室里,这似乎不可能实现——但目标并不是完美的职责分离,而是消除最危险的组合。即使在最小的店里,以下三种组合也是极其危险的,必须被打破:

  1. 接收现金 + 记录现金收入。 开邮件或操作收银机的人不应是唯一负责将存款与账目进行核对的人。
  2. 设置供应商 + 批准其发票。 既能添加“Acme Consulting LLC”又能批准每月 3,500 美元发票的会计,实际上是在为自己建造一台私人取款机。
  3. 签发支票/发起付款 + 核对银行对账单。 负责将钱转出的人不能是唯一核对资金是否按预期到账的人。

如果你真的只有一名财务人员,补偿性控制就是老板的参与。老板(而非会计)应当:

  • 在其他人之前打开银行对账单(考虑设置一个单独的只读登录账号,或将纸质账单寄到老板家中)。
  • 在审核支持性发票后,亲手签署所有超过阈值的支票。
  • 直接接收所有银行、信用卡和工资单服务商的通知副本。
  • 亲自入库超过阈值的新供应商。

这些工作每周只需花费 15 分钟,却能打破最危险的舞弊组合。

机密举报渠道

举报是目前发现职业欺诈最常见的方式,约占所有被察觉方案的 43%。内部审计(约 14%)和管理层复核(13%)分列二、三位,但差距较大。举报之所以如此重要,是因为机密举报渠道的存在——哪怕只是一个由老板亲自监控的简单电子邮件别名——通过举报而非意外发现欺诈方案的可能性大约会翻倍。

对于小企业来说,“热线”并不一定意味着由供应商管理的电话系统。它可以是:

  • 专用电子邮箱(例如 [email protected]),仅限老板阅读。
  • 在休息室张贴告示,提供老板的手机号码以接收匿名短信。
  • 年度一对一面谈,老板在会上明确邀请员工指出任何“感觉不对劲”的情况。

无论采用何种渠道,有两条规则至关重要:信息必须在不经过嫌疑人手中的情况下送达老板,且举报必须有显而易见的后续行动——否则再也不会有人使用该渠道。

值得关注的行为红旗

ACFE 数据一致表明,犯罪分子在方案被发现前很久就会表现出行为迹象。与巨额损失关联度最强的四种迹象是:

  • 生活水平超出收入水平。 领着 4.8 万美元的薪水,却买了新车、第二套房或有昂贵的爱好。
  • 财务困难。 工资被扣押、抱怨没钱、请求预支工资。
  • 对供应商或客户有异常的控制权。 同一名员工总是处理某个特定账户,拒绝他人协助,用私号接听电话。
  • 拒绝休假。 欺诈方案需要不断维护。两周的缺席是长期欺诈败露最常见的原因——分录没人清理,对账单被别人打开,虚假供应商受到质疑。

这些都不能证明什么,但它们都足以证明你应该悄悄加强对该员工负责领域的月度复核。

20 人规模企业的 90 天反欺诈计划

如果你读到了这里,你不需要 200 页的 COSO 框架。你需要一份本季度可以完成的简短行动清单。

第 1–30 天:提高可见性

  • 让银行、信用卡和工资单回执直接发送给你,而不仅仅是给簿记员。
  • 调取供应商主表;复核过去 12 个月内新增的每一家供应商。标记任何没有网站、物理地址或合同的供应商。
  • 调取每位员工的地址清单;与供应商主表进行交叉对比。
  • 编写一份一页纸的行为准则,签字后发给每位员工,并张贴在休息室。

第 31–60 天:控制措施

  • 强制要求任何有簿记或现金处理职责的人员连续休假两周。
  • 建立机密举报渠道并公布。
  • 确定你每月要查看的三到四份管理层复核报告,并在每个月第一个周一的日历上预留 30 分钟。
  • 识别办公室内职责分离最差的组合并打破它——即使不完美。

第 61–90 天:突击检查

  • 进行一次不打招呼的突击审计。随机挑选一个收银台或供应商;验证实际情况是否与账目相符。
  • 进行一次主动的数据检查(重复的发票号码、整数金额的日记账分录、工资单与地址匹配)。
  • 安排在接下来 90 天内的随机日期进行下一次突击审计——并且不要告诉任何人。

你无法通过这些措施抓获所有欺诈,但你会抓获简单的欺诈,并威慑大部分潜在的欺诈行为。

构建说实话的簿记系统

大多数职业欺诈之所以能隐藏,是因为账目对老板来说是不透明的。供应商名称看起来很合理,日记账分录看起来很普通,而调节后的银行余额与上个月没人质疑的数字对得上。纯文本、版本控制的簿记翻转了这种不对称:每一条分录都是人类可读的,每一次更改都在你可以审计的 Git 历史记录中带有时间戳,而异常报告变成了单行查询,而不是一项专门的业务。

Beancount.io 默认提供这种透明度——纯文本会计、完全版本控制、支持 AI 且无厂商锁定。它本身不是一个防欺诈工具,但它是一个诚实的基座,使突击审计、管理层复核和数据监控能真正发挥作用。免费开始使用并让你的账目暴露在阳光下,让欺诈无处遁形。