一个工作了 16 年的深受信赖的簿记员。一个留在她抽屉里的签名章。十年间她给自己开了 154 张支票。当老板察觉时,超过 20 万美元已经不知去向——而且任何实际追回的可能性也随之破灭。
这并不是个例。美国注册舞弊检查师协会(ACFE)《2024 年致股东全球舞弊报告》发现,员工人数少于 100 人的组织在每起欺诈案件中的损失中位数为 141,000 美元——在所有公司规模类别中最高。典型的方案在被人察觉前会运行 12 个月,每过去一个月大约会流失 9,900 美元。而小型企业比大型企业遭受更严重打击的最常见原因是什么?缺乏内部控制——最突出的是,一个人负责所有的财务工作,因为“我们规模太小,无法拆分职能”。
你的公司并不算太小。你只是需要一份不同于世界 500 强财务总监所制定的蓝图。这就是那份蓝图。
什么是职责分离的真正含义
剥开审计术语,职责分离(SoD)是一个单一且固执的理念:没有任何人能够实施财务错误行为并随后将其隐瞒。 这就是核心所在。所有其他规则、控制和程序都源于这一原则。
审计师将任何业务的财务工作分为四项职能。为了使欺诈和重大错误难以发生,应尽可能将这四项职能分配给不同的人:
| 职能 | 涵盖内容 | 示例 |
|---|---|---|
| 授权 (Authorization) | 批准交易应当发生 | 签核供应商发票、批准工资单、批准退款 |
| 保管 (Custody) | 对资产本身的物理或数字控制 | 持有支票簿、拥有签名权限、持有公司信用卡 |
| 记录 (Recording) | 将交易录入账簿 | 向会计系统提交账单、记录存款、运行工资核算 |
| 对账 (Reconciliation) | 验证记录与独立凭据是否一致 | 将银行对账单与总账核对、将信用卡账单与收据核对 |
记录交易的簿记员不应同时负责对账。持有支票簿的人不应同时批准账单。签署支票的老板不应在缺乏监督的情况下独自核对银行账户。每项职能都需要一套不同的眼睛。
在一家拥有 50 人的公司中,分离这四项职能非常直接。但在只有三人的公司中,这似乎是不可能的——这就是大多数老板放弃并把一切交给“他们信任的簿记员”的地方。而这恰恰是几乎每个挪用公款案例研究的开端。
为什么“我信任他们”不是一种控制
几乎每一个报道的簿记员挪用公款案都有相同的开场白:老板完全信任犯罪者。俄亥俄州的承包商信任 Deborah Hall 长达 16 年。一家建筑公司因 18 张伪造支票被其信任的簿记员骗取了超过 44,000 美元。暖通空调办公室经理 Angela Cooper 深受信任,甚至被托付了老板的签名章;她利用它伪造了 100 多张支票,将 158,658 美元据为己有。
信任不是一种控制。信任创造的是机会——即欺诈发生且不被发现的条件。控制则是消除这种机会的手段。在小型企业中建立内部控制的目的不是为了指责员工;而是为了确保即使是完全诚实的簿记员也有一张结构性的安全网来捕捉诚实的错误,并且任何坏分子在偷走一分钱之前都需要招募一名共犯。
换句话说:如果你对六位数损失的唯一防线是你对某人性格的解读,那么你根本没有防线。你拥有的只是希望。
三人规模的现实
让我们具体一点。假设你的公司有:
- 你(老板)
- 一名簿记员(全职或兼职,内部或远程)
- 一名运营或办公室经理(一名通用型员工)
你负担不起财务总监。你负担不起独立的应付账款文员、应收账款文员和财务主管。以下是你可以做的——这足以显著降低欺诈风险。
第一步:勾画你的交易流程
拿出一张纸,写下每项主要资金流向的生命周期:
- 现金收入 —— 资金如何进入?谁开启邮件/处理付款/提交存款/对账?
- 支出 —— 资金如何流出?谁批准账单/签署支票或发起 ACH 付款/记录付款/对账?
- 工资发放 —— 谁负责添加和移除员工/批准工时/运行工资核算/与总账核对?
- 库存或其他资产 —— 谁拥有物理访问权限/记录变动/盘点和核对?
对于每个步骤,写下负责人的名字。如果在任何一行中,同一个名字同时出现在授权、保管、记录 和 对账中,那么你就遇到了职责分离的预警信号。
步骤 2:尽可能进行所有合理的职责分离
即使只有三个人,你通常也能实现最重要的职责分离:
- 所有者签署所有超过低额度阈值(例如 500 美元)的支票。 簿记员准备支票,但绝不签署支票,也绝不拥有签名授权。绝不应允许簿记员签署支票。永远不。
- 在向新供应商付款之前,由所有者(而非簿记员)批准新供应商。 虚构供应商欺诈是世界上最容易实施的骗局,而这一项控制措施就能将其扼杀。
- 办公室经理拆阅邮件,并在移交前为每张收到的支票盖上“仅限存款”印章。 簿记员记录收款,但在支票经过限制性背书之前,绝不接触支票实物。
- 簿记员记录交易;所有者进行银行对账(稍后将详细介绍如何正确执行此操作)。
- 所有者在每个周期发放工资前批准工资单——逐名核对,逐元检查。如果所有者能查看工资登记簿并认出每一张面孔,虚构员工计划就会被彻底阻止。
这并不是完美的职责分离。但这足以让大多数欺诈计划必须通过串通才能成功——而一旦需要两人合谋,你的风险就会急剧下降。
步骤 3:在其他地方使用补偿性控制
补偿性控制是审计师对无法实现完全职责分离时所增加的复核步骤的称呼。它们不如真正的职责分离那么强效,但堆叠在一起时却出奇地有效。对于小企业来说,主要的控制措施包括:
- 在完成对账之前,由所有者复核银行对账单。 这是整份清单中效率最高的单一控制措施。让银行每月将纸质账单邮寄给所有者(或直接发送 PDF 邮件)。所有者打开账单,扫描不熟悉的收款人、异常的转账或不符合常规的金额,然后再交给簿记员进行对账。在对账单上签上姓名的缩写和日期即表示完成。
- 每月银行对账由所有者复核并签字确认。 即使是由簿记员执行对账,所有者也要复核完成后的对账表并在底部签字。检查未兑现支票:是否有长期未兑现的?检查在途存款:它们是否真的在下个月到账?
- 对任何接触账目的人员实行每年至少连续一周的强制性带薪休假,在此期间由他人接替其工作。绝大多数长期运行的贪污计划在第二个人接触账目时就会败露。许多簿记员欺诈案正是因为当事人被迫休假才被发现的。
- 突击抽查。 定期随机抽取一周的支出记录,并将每一笔记录追溯到原始发票、审批流程和记录分录。你不需要经常这样做——哪怕每季度一次也足够了——但“可能会发生抽查”这一事实本身就是一种震慑。
- 举报人/举报渠道。 这听起来很有公司化色彩,但不必如此。以书面形式告诉你的员工,他们可以直接向你(或你的注册会计师)反映疑虑而无需担心遭到报复。43% 的职务欺诈是通过举报发现的——这一比例是其他任何检测方法的三倍以上。你的员工能看到你看不见的事情。
步骤 4:锁定系统,而不仅仅是人员
即使员工人数有限,如果配置得当,你的会计软件、银行门户和工资系统也能为你提供巨大的杠杆:
- 为每个人设置独立的登录用户。 绝不共享凭据。如果出了问题,你需要知道是哪个用户操作的。
- 会计系统中基于角色的权限管理。 你的簿记员不需要删除交易、作废已兑现支票、更改供应商银行账户详情或修改会计科目表的权限。大多数现代系统都允许你关闭这些功能。
- 开启并复核审计日志。 如果你的软件保留变更日志,学习如何阅读它。定期查看删除操作、对历史期间的编辑以及对供应商主数据的更改。
- 针对超过阈值的 ACH 和电汇开启银行级双重授权。 大多数企业银行门户都支持此功能。利用它。由簿记员发起,所有者释放资金。
- 在支票账户上使用 Positive Pay(支票核对服务)(或你的银行对此的称呼)。你上传已签发支票的清单;银行拒绝兑付任何不在清单上的支票。这几乎完全杜绝了支票篡改欺诈,而且对于企业账户通常是免费的。
步骤 5:引入外部兼职人员
如果你无法在公司内部完全实现职责分离,可以从外部“借用”分离机制。 即使是小企业通常也能负担得起的方案:
- 聘请兼职簿记公司处理业务,而你负责审批和对账复核。
- 聘请兼职 CFO 或外部会计师,由其复核每月财务报表、抽样测试交易,并静默地充当“第二双眼睛”。
- 由注册会计师 (CPA) 进行年度审阅(比审计轻一个级别),这通常能在控制缺陷演变为损失之前将其发现。
将这四项职能之一外包通常比雇佣另一名员工更便宜,并且能提供比你在内部靠三个人构建的任何机制都更强大的控制力。
实际案例:加强款项支付控制
让我们通过一个完整的流程——支付账单——来具体了解在一个三人规模的公司中如何实施控制。
加强控制前:
簿记员接收发票,将其录入会计系统,打印支票,加盖老板的签名章,邮寄支票,并在月底核对银行账户。
这四项职能全部掌握在一个人手中,外加签名章的保管权。这是教科书式的舞弊温床。
加强控制后:
- 办公室经理(或簿记员)接收发票并将其作为账单录入系统,但无权支付。
- 老板每周查看未付账单,对照原始凭证逐一核对,并标记批准付款的项目。
- 簿记员仅针对已批准的账单生成付款批次(支票和/或 ACH)。
- 老板亲自签署每张支票。 签名章被销毁。
- ACH 付款需要老板登录银行门户并**释放(批准)**簿记员准备的文件。
- 银行对账单直接邮寄(或发送电子邮件)给老板,由老板亲自开启、查阅、签字确认,然后再交给簿记员进行对账。
- 完成的银行存款调节表交回给老板,由老板审阅并签署封面。
你从一个人控制每个步骤,转变为这样一个流程:挪用一美元要么需要 (a) 在支票上伪造老板签名(存款确认服务 Positive Pay 可以拦截此类行为),要么 (b) 让老板主动批准一张虚假发票(原始凭证核对可以拦截此类行为),或者 (c) 拉拢一个共谋者。舞弊风险不会降至零——任何手段都做不到——但它从“易如反掌”变成了“极难操作且极易被发现”。
优秀的簿记如何让这一切成为可能
上述每一项控制都依赖于一个沉默的前提:你的账目必须足够干净,才能让异常情况脱颖而出。 如果你的总分类账充斥着编码错误的交易、混杂在一起的类别以及未分类的“询问会计师(Ask My Accountant)”条目,那么老板在查阅银行对账单时就没有比较基准。异常的支付会隐藏在噪音中。
扎实、井然有序的簿记工作能将这些控制手段从花架子转变为真正的保护伞。只有当对账结果精确到分时,对账工作才能发现舞弊。只有当供应商录入规范一致时,供应商审核才有效。只有当数据中存在真实规律时,模式识别才起作用。
纯文本、版本控制的会计在这一领域尤为强大,因为每一处改动都会记录在底层的物理文件历史中。你可以清楚地看到谁在什么时候更改了什么——这无需购买企业级 GRC(治理、风险与合规)平台即可获得内置的审计追踪。对于那些确实雇不起财务总监或审计部门的小微企业来说,这是一种结构性优势。
季度内部控制检查清单
打印这份清单。把它贴在档案柜里。每三个月执行一次。
- 抽查每个主要循环(收款、付款、薪酬)中的一笔完整交易,核实其是否遵循了你记录的流程。
- 调取最近一个月的银行存款调节表,确认银行对账单与总账期末余额一致,且没有超过 60 天的未解释调节项目。
- 审查供应商主名单。调查过去一个季度添加的任何你不认识的供应商。将供应商地址与员工地址进行比对。
- 审查一个周期的薪酬登记表。确保认识名单上的每一个人。调查任何新入职员工或调薪情况。
- 检查会计系统的审计日志,查看是否有删除或作废的交易。调查任何发生在已关账期间的操作。
- 确认账面上的每位员工在过去一个季度都至少休了规定的带薪假。
- 确认银行账户的签名授权人仍符合你的意愿。
- 调取信用卡对账单,核实每笔费用都有记录在案的业务用途和收据。
每季度二十到三十分钟。Plant Nutrition Services 的那位簿记员直到老板去世才东窗事发。不要让发现舞弊的时机变成随机的运气。
何时放宽,何时进一步加强
内部控制并非源于偏执;而是为了让控制力度与风险相匹配。一些校准建议:
- 加强控制: 当现金流量增加时、当你聘用新簿记员时、发生任何险些出现的差错后、当你引入外部投资者时、当你开始处理第三方托管资金(如客户押金、预付款)时,或者当你发现自己无法解释银行对账单上的某个项目时。
- 放宽控制(略微): 当控制措施造成了真实的业务痛点,并且你在其他地方有强大的补偿性控制时。每项控制都有成本;目标是用最小的集合提供充足的覆盖。
- 永不放宽: 支票签署权、供应商审批或银行对账单先行审阅。这三项是整个结构的“承重墙”。
从第一天起保持财务井然有序
强大的内部控制只有建立在干净、有序的账目之上才能发挥作用。如果你无法信任数据,你就无法信任对账,整个控制系统就会崩溃。Beancount.io 提供纯文本会计,为你提供完全的透明度和账本每次更改的完整版本历史,这种内置的审计追踪通常是小企业必须购买昂贵软件才能获得的。免费开始使用,了解为什么开发人员和财务专业人士正转向纯文本会计——并查看我们的 托管 Fava 仪表板,在你的账目之上实现即时可视化。
你所能建立的最廉价的内部控制,就是由第二双眼睛审阅干净账目的纪律。而最昂贵的控制,则是你三年后提起的诉讼,希望能追回一成的损失。