Beancount.io LogoBeancount.io

三人分工:预防小微企业职务侵占

阅读需 1 分钟Mike ThriftMike Thrift
三人分工:预防小微企业职务侵占

这是一个会让每个小企业主都感到不安的数字:员工人数少于 100 人的公司,典型的欺诈损失中位数为 141,000 美元。这并非极端案例,而是中位数——这意味着一半的小企业欺诈案件损失更高。而且,实施欺诈的人很少是陌生人。他们往往是为你服务多年的、备受信赖的簿记员,或是“处理所有琐事”的办公室经理,亦或是那个清楚所有财务细节的员工。

针对这种风险,教科书给出的答案是职责分离:绝不让一个人全程控制一笔交易。但教科书通常假设你有一个完整的财务部门。而你只有三名员工,也许只有两名,也许只有你、一名兼职簿记员和一个负责接电话的助理。

所以,真正的问题是:当你确实无法将每项任务交给不同的人时,你该如何建立能够切实防止偷窃的内部控制?答案不是“放弃”,而是“审慎规划”。本指南将向你展示如何操作。

为什么小企业最容易成为目标

欺诈研究人员一致发现,小型组织遭受的损失不成比例。虽然损失的中位数与大公司相当,但小企业能用来吸收这些损失的收入却只是杯水车薪。141,000 美元的损失对大公司来说可能只是四舍五入的误差,但对于年营业额 200 万美元的企业来说,这可能意味着发不出工资甚至关门倒闭。

原因并非小企业的员工更不诚实,而是因为机会。小公司的反欺诈控制措施较少,投入资金也有限,且拥有一种让监督显得带有侮辱性的“信任文化”。在这种环境下滋生的欺诈手段往往平凡无奇:账单欺诈(支付虚假或虚增的账单)、支票和付款篡改、虚报费用报销,以及在现金入账前进行截留。这些都不需要高深的技术,只需要一个人既能执行任务,又能将其掩盖。

最后这句话正是核心所在。欺诈需要“实施行为”和“隐瞒行为”并存。职责分离的作用,就是确保有能力实施行为的人,不是那个能够隐瞒行为的人。

你需要分离的四项职能

在划分职责之前,你需要了解划分的内容。会计师将每笔财务交易分解为四项职能,目标是让这些职能由不同的人掌握。

授权审批 (Authorization) 是批准交易的发生——签署采购订单、批准新供应商、同意退款。

资产保管 (Custody) 是对资产本身的物理或数字控制——处理现金、保管已签名的支票、掌握银行账户密码、管理库存。

账务记录 (Recordkeeping) 是将交易录入账簿——过账发票、记录付款、编制日记账分录。

核对与对账 (Reconciliation) 是将记录与独立来源进行对比——在月末将会计分类账与银行对账单进行匹配。

原理很简单:对于同一笔交易,任何人都不能控制上述职能中的一项以上。当职能被拆分时,在一个环节中产生的错误或盗窃,会被另一个执行交叉核对职能的人发现。记录虚假付款的簿记员不能同时是核对银行对账单的人,因为对账会暴露那笔付款。

危险组合是可以预见的。任何同时拥有资产保管和账务记录权限的人都可以窃取资产并抹除证据。任何拥有授权审批和资产保管权限的人都可以批准给自己付款并领取。任何拥有授权审批和账务记录权限的人都可以批准虚构的交易并将其埋没在账目中。如果你唯一的簿记员既写支票、录入账目,又核对账户,那么此人就掌握了所有四项职能。这不仅是控制缺陷,而是根本没有任何控制。

三人规模下的“职责分离”具体操作

经典的教科书式拆分需要四到五个人。你没有这么多人。因此,你应该分离那些最关键的职能,并接受其余职能需要通过不同类型的控制来完成。好消息是,哪怕是一次彻底的拆分也能堵死最危险的漏洞。

小企业中最重要的单一分离是资产保管与账务记录。如果接触资金的人不是记录资金的人,你就一次性消除了最常见的资产侵占手段。在实践中:

  • 簿记员记录交易,但不拥有银行账户的签字权,也不处理现金存款。
  • 老板(或第二名员工)签署支票、批准付款流程,并掌握银行登录权限。
  • 负责拆邮件和登记进账支票的人,不能是将客户付款过账到分类账的人。

第二项重点是保持核对的独立性。银行对账是对所有工作的总检查。如果由未创建记录的人诚实地完成,几乎没有任何诡计能瞒过一个月。因此,老板——而不是簿记员——应该接收银行对账单,并亲自进行核对或逐行审查。这个每月只需一小时的习惯,能发现支票篡改、虚假付款和不明转账。

一个可行的三人模式通常是这样的:老板负责授权审批(批准供应商、付款和工资变动)和核对。簿记员负责账务记录。第二名员工——或老板本人——负责现金和支票的资产保管。请注意,老板出现了两次。这没关系。老板同时负责授权和核对,远比簿记员同时负责保管和记录要安全得多,因为授权加上核对并不允许你在正常工作过程中同时进行盗窃和掩盖。

补偿性控制:真正的工具箱

当你无法实现职责分离时,就需要进行补偿。补偿性控制并不阻止某人执行某项任务,而是让任何不当行为极有可能被察觉。对于小企业来说,这些不是备选方案,而是核心手段。

业主亲自审阅未开封的银行对账单。 让银行将对账单邮寄到你家,或者在其他人登录之前亲自登录。花二十分钟扫描每一张支票图像和每一笔电子付款。寻找你不认识的收款人、整数金额、发给员工的款项,以及任何刚好低于审批阈值的支出。欺诈调查反复发现,业主层级的监督是少数能持续减少小公司损失的控制措施之一。

超过阈值的双重审批。 要求两人审批超过设定金额的任何付款。根据你的现金流选择阈值——许多小企业使用 1,000 美元,初创公司通常更低。大多数会计和账单支付软件都允许你自动执行此操作,因此无法跳过。

外部会计审阅。 外部会计师或兼职财务主管进行的每月或每季度审阅是一种强有力的补偿性控制,恰恰是因为此人没有隐瞒任何事情的利益关系。他们可以审阅对账表,扫描供应商名单的新增内容,并抽查几笔交易。这往往是小企业在预防欺诈方面花得最值的钱。

强制休假和交叉培训。 当作恶者不在岗位而其他人接手其工作时,许多欺诈行为就会败露。要求你的簿记员连续休假一周,并让其他人代班。欺诈依赖于持续的控制;强制性的中断会打破这种控制。

限制主数据。 添加新供应商、更改供应商银行详情或设置新员工的能力本身就是一种授权形式。锁死权限。令人惊讶的计费欺诈往往只是欺诈者创建了一个看起来很真实的供应商。添加供应商应需要非付款人员的签字确认。

系统强制审计线索。 使用能记录谁输入、编辑或删除了每笔交易的软件,并使该日志不可更改。当每个人都知道他们的行为会永久记录在自己名下时,欺诈的心理博弈就改变了。掩饰变得更加困难,而这正是问题的关键。

实用入门清单

你不需要在本周重新设计整个业务流程。从这里开始:

  1. 列出分工。 写下每个人接触到的四项职能。圈出任何同时负责资产保管和记录保存的人——这是你首先要解决的火警。
  2. 如果簿记员也负责录入交易,请收回其银行登录权限。 业主应掌握银行凭证。
  3. 认领银行对账单。 从下个月开始,你要先看到它,并在任何人对账之前进行审阅。
  4. 设置双重审批阈值并在软件中启用。
  5. 将供应商和薪资设置锁定在业主审批之后。
  6. 安排外部审阅——即使是按季度的也很有意义。
  7. 为负责账目的人在日历上安排一次真正的休假。

这些都不需要增员。它们需要你意识到信任与验证并非对立面——验证你最信任的员工是对他们的一种礼貌,因为这既能保护你免受损失,也能保护他们免受怀疑。

从第一天起保持财务井井有条

强大的内部控制依赖于完整、带有时间戳且难以悄悄修改的记录。这正是你的记账系统发挥作用的地方:如果你的账目是一个只有一个人能看懂的黑匣子,那么任何补偿性控制都无法窥见其内部。Beancount.io 提供透明且版本控制的纯文本会计——每一次更改都会被追踪,每一条分录都清晰易读,完整的历史记录可供你信任的任何人审计。这使得独立审阅、对账和审计线索在小团队中更容易执行。免费开始使用并了解为什么开发者和财务专业人士正在转向纯文本会计。


来源:ACFE Occupational Fraud 2024: A Report to the NationsImproving Internal Controls in Departments with Limited Segregation of Duties — LutzSegregation of Duties — Hyperproof