Por: Equipo Auditool
"Necesito segregar funciones, pero María hace la facturación, la cobranza, los depósitos y la conciliación bancaria. Somos cinco personas en administración y no puedo contratar a nadie más." Si esta frase te suena familiar, este artículo es para ti.
Los libros de auditoría y control interno fueron escritos pensando en corporaciones con cientos de empleados. Hablan de segregar la autorización, el registro y la custodia como si fuera sencillo. Pero en una empresa de 10, 20 o incluso 50 empleados, la segregación ideal es matemáticamente imposible.
¿Significa que las PyMEs están condenadas a ser víctimas de fraude? Absolutamente no. Significa que necesitan un enfoque diferente: controles compensatorios diseñados para su realidad, no para el organigrama de una multinacional.
El dilema real de las PyMEs: Eficiencia vs. Control
Seamos honestos sobre lo que enfrentan las empresas pequeñas:
✗ El contador también maneja la chequera porque "es el único que entiende de números".
✗ El encargado de compras también recibe la mercancía porque "siempre ha sido así".
✗ El dueño firma todo sin revisar porque "confía en su gente".
✗ Una sola persona tiene acceso a todo en el sistema porque "es más práctico".
✗ No hay presupuesto para contratar personal adicional "solo para control".
Cada una de estas situaciones es una vulnerabilidad real. Pero también son realidades operativas que no puedes ignorar. La solución no es pretender que tienes recursos que no tienes; es diseñar controles que funcionen con los recursos que sí tienes.
⚠️ Dato crítico: Según la ACFE, las organizaciones con menos de 100 empleados sufren pérdidas por fraude proporcionalmente mayores que las grandes corporaciones. La pérdida mediana en pequeñas empresas es de 150,000 USD, suficiente para quebrar muchos negocios. La falta de controles es el factor contribuyente #1.
El principio fundamental: Si no puedes segregar, compensa
Un control compensatorio es una medida alternativa que reduce el riesgo cuando el control ideal no es factible. No elimina el riesgo completamente, pero lo mitiga a un nivel aceptable.
La lógica es simple: si una persona tiene que hacer dos funciones que deberían estar separadas, entonces alguien más debe revisar su trabajo, o el sistema debe generar alertas automáticas, o debe haber verificaciones sorpresa periódicas.
Los cinco tipos de controles compensatorios:
| Tipo de control | Cómo funciona | Ejemplo práctico |
|---|---|---|
| Supervisión directa | El dueño o gerente revisa personalmente transacciones clave | Revisar todos los cheques antes de firmar |
| Reconciliaciones independientes | Alguien diferente verifica que los registros cuadren | El dueño recibe el estado de cuenta bancario en su casa |
| Verificaciones sorpresa | Auditorías aleatorias sin aviso previo | Arqueos de caja sin programar |
| Controles automáticos del sistema | El software restringe o alerta sobre ciertas acciones | El sistema no permite pagar sin orden de compra |
| Rotación forzada | Cambiar temporalmente responsabilidades entre personas | Vacaciones obligatorias donde otro asume las funciones |
Soluciones prácticas por área de riesgo
Veamos las situaciones más comunes en PyMEs y los controles compensatorios específicos que puedes implementar sin contratar personal adicional.
🏦 Área 1: Tesorería y manejo de efectivo
Situación típica: La misma persona recibe pagos de clientes, hace los depósitos, registra en el sistema y concilia la cuenta bancaria.
Riesgo: Puede recibir dinero, no depositarlo, y ocultar el faltante en la conciliación.
Controles compensatorios:
✓ Estado de cuenta directo al dueño: El banco envía el estado de cuenta a una dirección o correo que solo el dueño puede acceder. El dueño revisa personalmente los depósitos antes de que el contador vea el documento.
✓ Depósitos intactos: Todo el efectivo recibido se deposita íntegro el mismo día. Los pagos de gastos se hacen por transferencia, nunca con el efectivo recibido.
✓ Recibos pre-numerados: Secuencia controlada de recibos donde los faltantes sean evidentes.
✓ Confirmación directa con clientes: Llamadas aleatorias a clientes para confirmar pagos realizados.
✓ Alertas bancarias al celular del dueño: Notificación instantánea de cada movimiento en la cuenta.
🛒 Área 2: Compras y pagos a proveedores
Situación típica: La misma persona selecciona proveedores, genera órdenes de compra, recibe mercancía, aprueba facturas y programa pagos.
Riesgo: Puede crear proveedores fantasma, inflar precios con proveedores cómplices, o aprobar pagos por mercancía nunca recibida.
Controles compensatorios:
✓ Separar recepción física: Alguien diferente (aunque sea el vigilante o almacenista) firma la recepción de mercancía. La factura no se paga sin esa firma.
✓ Verificación de proveedores nuevos: El dueño aprueba personalmente todo proveedor nuevo. Una llamada de verificación al teléfono publicado (no al de la factura) confirma existencia.
✓ Cotizaciones obligatorias: Mínimo tres cotizaciones para compras mayores a cierto monto. El dueño revisa que los precios sean razonables.
✓ Revisión del 100% de cheques: El dueño no firma ningún cheque sin ver la factura, la orden de compra y la nota de recepción. Los tres documentos deben coincidir.
✓ Pagos solo a cuentas bancarias verificadas: Prohibir pagos en efectivo a proveedores. Las transferencias dejan rastro.
👥 Área 3: Nómina y recursos humanos
Situación típica: La misma persona registra altas y bajas, calcula nómina, genera los pagos y mantiene los expedientes.
Riesgo: Puede crear empleados fantasma, pagar horas extras inexistentes, o mantener en nómina a personal que ya renunció.
Controles compensatorios:
✓ Verificación física periódica: El dueño o gerente hace recorridos sorpresa verificando que cada persona en nómina realmente trabaje ahí.
✓ Aprobación de altas por el dueño: Ningún empleado se añade a nómina sin que el dueño firme y haya visto físicamente a la persona.
✓ Nómina a cuentas bancarias personales: Eliminar pagos en efectivo. Cada empleado debe tener cuenta a su nombre.
✓ Comparativo mensual de nómina: El dueño recibe un reporte comparando la nómina de este mes vs. el anterior. Toda variación se explica.
✓ Firmas o biométrico de asistencia: Registro que no pueda ser manipulado por quien calcula la nómina.
📦 Área 4: Inventarios y almacén
Situación típica: El almacenista recibe mercancía, la custodia, la entrega y registra los movimientos.
Riesgo: Puede robar mercancía y ajustar los registros para ocultar el faltante.
Controles compensatorios:
✓ Conteos sorpresa: El dueño o alguien de confianza hace conteos físicos aleatorios sin aviso previo. No todo el inventario; artículos seleccionados al azar.
✓ Separar registro del sistema: El almacenista entrega documentos de entrada/salida; alguien más los captura en el sistema.
✓ Acceso restringido: Solo el almacenista entra al almacén. Las entregas se hacen en ventanilla con documento firmado por quien recibe.
✓ Análisis de merma: Seguimiento mensual del porcentaje de merma. Incrementos inexplicables disparan investigación.
✓ Cámaras de seguridad: Inversión relativamente baja con alto efecto disuasivo.
💰 Área 5: Ventas y cobranza
Situación típica: El vendedor también cobra y tiene autoridad para dar descuentos y crédito.
Riesgo: Puede cobrar y no reportar, dar descuentos excesivos a cambio de beneficios personales, o coludir con clientes.
Controles compensatorios:
✓ Envío de estados de cuenta desde administración: Los clientes reciben su estado de cuenta directamente, no a través del vendedor. Cualquier discrepancia se reportará.
✓ Límites de descuento en sistema: El sistema no permite descuentos mayores a cierto porcentaje sin aprobación de gerencia.
✓ Confirmación de saldos: Llamadas periódicas a clientes importantes confirmando su saldo. "Según nuestros registros usted nos debe X, ¿es correcto?"
✓ Análisis de márgenes por vendedor: Un vendedor con márgenes consistentemente menores puede estar dando descuentos indebidos.
✓ Depósito directo del cliente: Incentivar que los clientes depositen directamente a la cuenta bancaria en lugar de pagar al vendedor.
El rol insustituible del dueño o gerente general
En una empresa pequeña, la supervisión del dueño es el control compensatorio más poderoso. Pero solo funciona si el dueño realmente supervisa, no si solo firma.
Actividades que el dueño NUNCA debe delegar completamente:
1. Recibir el estado de cuenta bancario original y revisarlo antes que nadie.
2. Aprobar proveedores nuevos y verificar su existencia real.
3. Revisar cada cheque o transferencia antes de autorizar, con documentación soporte.
4. Firmar la nómina después de revisar el comparativo mensual.
5. Hacer recorridos sorpresa verificando operación, inventario y personal.
6. Mantener relación directa con clientes importantes para detectar anomalías en cobranza.
"En una PyME, la atención del dueño es el recurso más escaso. La clave es concentrar esa atención en los puntos donde el riesgo es mayor y la supervisión genera más impacto."
Checklist de implementación: 15 controles que puedes activar esta semana
Estos controles no requieren personal adicional, solo decisión de implementarlos:
| # | Control compensatorio | Costo | Impacto |
|---|---|---|---|
| 1 | Estado de cuenta bancario directo al dueño | 0 | ALTO |
| 2 | Alertas bancarias al celular del dueño | 0 | ALTO |
| 3 | Vacaciones obligatorias con cobertura cruzada | 0 | ALTO |
| 4 | Revisión de documentación antes de firmar cheques | 0 | ALTO |
| 5 | Depósitos bancarios intactos el mismo día | 0 | ALTO |
| 6 | Aprobación personal de proveedores nuevos | 0 | ALTO |
| 7 | Recorridos sorpresa de verificación | 0 | MEDIO |
| 8 | Comparativo mensual de nómina revisado por dueño | 0 | MEDIO |
| 9 | Llamadas de confirmación a clientes sobre saldos | 0 | MEDIO |
| 10 | Conteos físicos sorpresa de inventario | 0 | MEDIO |
| 11 | Nómina pagada solo a cuentas bancarias personales | 0 | MEDIO |
| 12 | Recibos y facturas pre-numerados | Bajo | MEDIO |
| 13 | Arqueos de caja sorpresa | 0 | MEDIO |
| 14 | Límites de autorización configurados en sistema | 0 | MEDIO |
| 15 | Cámaras de seguridad en áreas sensibles | Bajo | MEDIO |
Lo que NO funciona: Errores comunes en PyMEs
✗ Confiar ciegamente en "la persona de confianza": El 58% de los fraudes ocupacionales son cometidos por empleados con más de 5 años en la empresa. La confianza no es un control.
✗ Firmar sin revisar: Si el dueño firma 50 cheques sin ver documentación, la firma no es un control; es un sello de goma.
✗ Controles que nadie verifica: Una política de tres cotizaciones no sirve si nadie confirma que realmente se obtuvieron.
✗ Asumir que el sistema previene todo: El software ayuda, pero un empleado con acceso total puede manipular cualquier sistema.
✗ Esperar a crecer para implementar controles: Los hábitos de control se construyen desde pequeño. Implementar controles en una empresa que nunca los tuvo es mucho más difícil.
Reflexión final: Controles diseñados para tu realidad
La segregación de funciones ideal es un lujo que las PyMEs no pueden permitirse. Pero eso no significa que estén indefensas. Los controles compensatorios —supervisión directa, reconciliaciones independientes, verificaciones sorpresa, controles automáticos y rotación forzada— pueden reducir el riesgo de fraude a niveles manejables sin requerir personal adicional.
La clave está en ser honesto sobre tus vulnerabilidades y diseñar controles que funcionen con los recursos que tienes, no con los que desearías tener.
Recuerda: en una empresa pequeña, la atención del dueño es el control más poderoso. Úsala estratégicamente en los puntos de mayor riesgo. No puedes supervisar todo, pero puedes supervisar lo que importa.
El fraude en PyMEs no es inevitable. Es el resultado de oportunidades que pudieron cerrarse con controles simples que nadie implementó. Hoy tienes 15 controles que puedes activar esta semana. La pregunta es: ¿lo harás?
"Si no puedes segregar, compensa. Si no puedes contratar, supervisa. Si no puedes revisar todo, revisa lo importante. Siempre hay una forma de reducir el riesgo."
🎯 Competencia desarrollada: Diseño e implementación de controles compensatorios para entornos con recursos limitados, evaluación de riesgos en PyMEs y priorización de supervisión gerencial en áreas críticas.
Y luego Agregar a la pantalla de inicio.
Escribir un comentario