Beancount.io LogoBeancount.io

Segregación de Funciones Cuando Solo Tienes Tres Empleados: Un Manual Práctico de Controles Internos para Pequeñas Empresas

16 min de lecturaMike ThriftMike Thrift
Segregación de Funciones Cuando Solo Tienes Tres Empleados: Un Manual Práctico de Controles Internos para Pequeñas Empresas

Una contable de confianza con 16 años en el puesto. Un sello de firma olvidado en el cajón de su escritorio. Ciento cincuenta y cuatro cheques emitidos a su nombre a lo largo de una década. Para cuando el propietario se dio cuenta, se habían esfumado más de 200.000 dólares, y con ellos, cualquier posibilidad real de recuperación.

Esa historia no es un caso aislado. El Informe a las Naciones 2024 de la Asociación de Examinadores de Fraude Certificados (ACFE) reveló que las organizaciones con menos de 100 empleados sufren una pérdida media de 141.000 porcasodefraude,laciframaˊsaltadecualquiercategorıˊadetaman~odeempresa.Elesquematıˊpicofuncionadurante12mesesantesdequealguienlonote,desangrandoaproximadamente9.900por caso de fraude**, la cifra más alta de cualquier categoría de tamaño de empresa. El esquema típico funciona durante **12 meses** antes de que alguien lo note, desangrando aproximadamente **9.900 cada mes que pasa. ¿Y la razón más común por la que las pequeñas empresas se ven más afectadas que las grandes? La falta de controles internos; más concretamente, una sola persona realizando todo el trabajo financiero porque "somos demasiado pequeños para dividirlo".

Usted no es demasiado pequeño. Solo necesita un plan maestro diferente al que diseñaría un contralor de una empresa Fortune 500. Este es ese plan.

Qué significa realmente la segregación de funciones

Si eliminamos la jerga de auditoría, la segregación de funciones (SoD, por sus siglas en inglés) es una idea única y persistente: nadie debería ser capaz de cometer una falta financiera y luego ocultarla. Ese es el punto fundamental. Todas las demás reglas, controles y procedimientos emanan de este principio único.

Los auditores dividen el trabajo financiero de cualquier empresa en cuatro funciones. Para que el fraude y los errores materiales sean difíciles de llevar a cabo, estas cuatro funciones deben dividirse entre diferentes personas siempre que sea posible:

FunciónQué abarcaEjemplo
AutorizaciónAprobar que una transacción deba ocurrirFirmar una factura de proveedor, aprobar la nómina, aprobar un reembolso
CustodiaControl físico o digital del activo en síTener la chequera, tener autoridad de firma, poseer la tarjeta de crédito de la empresa
RegistroIntroducir la transacción en los librosContabilizar facturas en el sistema contable, registrar depósitos, ejecutar la nómina
ConciliaciónVerificar que los registros coincidan con evidencia independienteConciliar el extracto bancario con el libro mayor, cotejar el extracto de la tarjeta de crédito con los recibos

El contable que registró la transacción no debería ser el mismo que la concilia. La persona que tiene la chequera no debería ser la misma que aprueba las facturas. El propietario que firma los cheques no debería conciliar la cuenta bancaria en aislamiento. Cada función requiere un par de ojos diferentes.

En una empresa de 50 personas, separar estas cuatro funciones es sencillo. En una empresa de tres personas, parece imposible, y ahí es donde la mayoría de los propietarios se rinden y simplemente le entregan todo al "contable en quien confían". Que es exactamente como comienza casi cada estudio de caso de malversación de fondos.

Por qué "Confío en ellos" no es un control

Casi todos los casos reportados de malversación por parte de contables comparten la misma frase inicial: el propietario confiaba plenamente en el perpetrador. El contratista de Ohio confió en Deborah Hall durante 16 años. La empresa de construcción confió en su contable a través de 18 cheques fraudulentos que sumaban más de 44.000 .Laadministradoradeoficinadecalefaccioˊnyrefrigeracioˊn,AngelaCooper,gozabadetantaconfianzaqueseleconfioˊelsellodefirmadelpropietario;lousoˊparafalsificarmaˊsde100chequesyembolsarse158.658. La administradora de oficina de calefacción y refrigeración, Angela Cooper, gozaba de tanta confianza que se le confió el sello de firma del propietario; lo usó para falsificar más de 100 cheques y embolsarse 158.658 .

La confianza no es un control. La confianza es lo que crea la oportunidad: las condiciones en las que el fraude puede ocurrir y pasar desapercibido. Los controles son lo que elimina esa oportunidad. El objetivo de crear controles internos en su pequeña empresa no es acusar a sus empleados; es asegurarse de que incluso un contable perfectamente honesto tenga una red de seguridad estructural que detecte errores involuntarios, y que cualquier actor malintencionado necesite reclutar a un cómplice antes de poder robar un centavo.

Dicho de otra manera: si su única protección contra una pérdida de seis cifras es su interpretación del carácter de alguien, no tiene una protección. Tiene una esperanza.

La realidad de las tres personas

Seamos concretos. Supongamos que su negocio cuenta con:

  • Usted (el propietario)
  • Un contable (a tiempo completo o parcial, interno o externo)
  • Un gerente de operaciones u oficina (un empleado de servicios generales)

No puede permitirse un contralor. No puede permitirse un empleado de cuentas por pagar, otro de cuentas por cobrar y un tesorero por separado. Esto es lo que puede hacer, y es suficiente para reducir drásticamente el riesgo de fraude.

Paso 1: Esboce sus flujos de transacciones

Saque una hoja de papel y escriba el ciclo de vida de cada flujo importante de dinero:

  1. Ingresos de efectivo: ¿Cómo entra el dinero? ¿Quién abre el correo, procesa los pagos, contabiliza los depósitos y concilia?
  2. Desembolsos: ¿Cómo sale el dinero? ¿Quién aprueba las facturas, firma los cheques o inicia las transferencias ACH, registra el pago y concilia?
  3. Nómina: ¿Quién añade y elimina empleados, aprueba las horas, ejecuta la nómina y concilia con el libro mayor?
  4. Inventario u otros activos: ¿Quién tiene acceso físico, registra los movimientos, realiza los conteos y concilia?

Para cada paso, escriba el nombre de la persona que lo realiza. Si el mismo nombre aparece en autorización, custodia, registro y conciliación en cualquier fila, tiene una señal de alerta de segregación de funciones.

Paso 2: Realice todas las segregaciones razonables que pueda

Incluso con solo tres personas, generalmente se pueden implementar las divisiones de funciones más importantes:

  • El propietario firma todos los cheques por encima de un umbral bajo (por ejemplo, 500 $). El contable prepara los cheques, pero nunca los firma ni tiene autoridad de firma. Al contable nunca se le debe permitir firmar cheques. Jamás.
  • El propietario, y no el contable, aprueba a los nuevos proveedores antes de que se les pueda emitir cualquier pago. El fraude de proveedores ficticios es el esquema más fácil de ejecutar en el mundo, y este único control lo elimina.
  • El gerente de oficina abre el correo y sella cada cheque entrante como "Solo para depósito" antes de entregarlo. El contable registra los ingresos, pero nunca tiene la custodia física antes de que hayan sido endosados de forma restrictiva.
  • El contable registra las transacciones; el propietario concilia la cuenta bancaria (más adelante explicaremos cómo hacerlo correctamente).
  • El propietario aprueba la nómina en cada ciclo —nombre por nombre, dólar por dólar— antes de que se transmita. Los esquemas de empleados fantasma son detenidos en seco por un propietario que puede mirar el registro de nómina y reconocer cada rostro.

No es una segregación perfecta. Pero es suficiente para requerir colusión para que la mayoría de los esquemas de fraude tengan éxito; y en el momento en que dos personas necesitan conspirar, su riesgo disminuye drásticamente.

Paso 3: Utilice controles compensatorios en todo lo demás

Un control compensatorio es lo que los auditores llaman a cualquier paso de revisión que se añade cuando la separación total de funciones no es realista. No son tan sólidos como una verdadera segregación, pero acumulados son sorprendentemente efectivos. Los principales para una pequeña empresa son:

  • Revisión del extracto bancario por parte del propietario antes de que se realice la conciliación. Este es el control de mayor impacto en toda esta lista. Haga que el banco envíe por correo (o envíe un PDF directamente por correo electrónico) al propietario cada mes. El propietario lo abre, busca beneficiarios desconocidos, transferencias inusuales o montos que no encajen con el patrón, y luego lo entrega para la conciliación. Iniciales y fecha en el extracto = hecho.
  • Conciliación bancaria mensual revisada y firmada por el propietario. Incluso si el contable la realiza, el propietario revisa la conciliación completada y firma al final. Observe los cheques en circulación: ¿hay alguno antiguo? Observe los depósitos en tránsito: ¿se liquidan realmente el mes siguiente?
  • Vacaciones anuales obligatorias de al menos una semana consecutiva para cualquier persona que maneje los libros, durante las cuales otra persona cubra su trabajo. La gran mayoría de los esquemas de malversación de larga duración se desmoronan en el momento en que una segunda persona abre los libros. Muchos fraudes de contables se han descubierto específicamente porque el perpetrador se vio obligado a tomarse un tiempo libre.
  • Comprobaciones aleatorias sorpresa. Periódicamente, tome los desembolsos de una semana al azar y rastree cada uno hasta su factura, su aprobación y su asiento registrado. No es necesario hacerlo a menudo —incluso trimestralmente es suficiente—, pero el hecho de que podría suceder es un elemento disuasorio.
  • Un canal de denuncias / sugerencias. Esto suena corporativo, pero no tiene por qué serlo. Informe a sus empleados por escrito que pueden comunicar sus inquietudes directamente a usted (o a su contador externo) sin represalias. Las denuncias son la forma en que se detecta el 43% de todo el fraude ocupacional, más de tres veces que cualquier otro método de detección. Sus empleados ven cosas que usted no ve.

Paso 4: Proteja el sistema, no solo a las personas

Incluso con personal limitado, su software de contabilidad, el portal bancario y el sistema de nómina le brindan una gran ventaja si los configura bien:

  • Inicios de sesión de usuario independientes para cada persona. Sin credenciales compartidas. Jamás. Si algo sale mal, necesita saber qué usuario lo hizo.
  • Permisos basados en roles en el sistema de contabilidad. Su contable no necesita permiso para eliminar transacciones, anular cheques después de que se hayan liquidado, cambiar los detalles de la cuenta bancaria del proveedor o alterar el plan de cuentas. La mayoría de los sistemas modernos permiten desactivar cada una de estas opciones.
  • Registros de auditoría (logs) activados y revisados. Si su software mantiene un registro de cambios, aprenda a leerlo. Periódicamente, eche un vistazo a las eliminaciones, ediciones de períodos históricos y cambios en los datos maestros de proveedores.
  • Autorización dual a nivel bancario para ACH y transferencias por encima de un umbral. La mayoría de los portales de banca para empresas lo admiten. Úselo. El contable inicia la operación; el propietario la libera.
  • Positive pay (pago positivo) (o como lo llame su banco) en la cuenta de cheques. Usted carga la lista de cheques que emitió; el banco se niega a liquidar cualquier cosa que no esté en la lista. Esto elimina casi por completo el fraude por alteración de cheques y suele ser gratuito con una cuenta comercial.

Paso 5: Traiga a un profesional externo a tiempo parcial

Si no puede dividir las funciones totalmente de forma interna, tome prestada la segregación de fuera de la empresa. Opciones que suelen ser asequibles incluso para pequeñas empresas:

  • Una firma de contabilidad externa que maneje el trabajo, mientras usted se encarga de las aprobaciones y la revisión de la conciliación.
  • Un CFO fraccional o un contador externo que revise los estados financieros mensuales, realice pruebas de transacciones de muestra y actúe discretamente como un segundo par de ojos.
  • Una revisión anual (un paso más ligero que una auditoría) realizada por un CPA, que a menudo detecta debilidades de control mucho antes de que se conviertan en pérdidas.

Externalizar una de las cuatro funciones suele ser más barato que contratar a otro empleado y proporciona un control mucho más sólido que cualquier cosa que pudiera construir internamente con tres personas.

Un ejemplo práctico: Refuerzo de los desembolsos de efectivo

Pasemos por un proceso completo —el pago de facturas— para concretar esto en un negocio de tres personas.

Antes del refuerzo:

El contable recibe las facturas, las ingresa en el sistema contable, imprime los cheques, los firma con el sello de firma del propietario, los envía por correo y concilia la cuenta bancaria al final del mes.

Esas son las cuatro funciones en un solo par de manos, además de la custodia del sello de firma. Esta es la configuración de fraude de libro de texto.

Después del refuerzo:

  1. El gerente de oficina (o el contable) recibe las facturas y las ingresa como facturas por pagar en el sistema, pero no puede pagarlas.
  2. El propietario revisa semanalmente las facturas pendientes, cotejando cada una con la documentación de respaldo, y marca las aprobadas para el pago.
  3. El contable genera el lote de pagos solo para las facturas aprobadas (cheques y/o ACH).
  4. El propietario firma físicamente cada cheque. El sello de firma se destruye.
  5. Los pagos ACH requieren que el propietario inicie sesión en el portal bancario y libere el archivo que el contable preparó.
  6. El extracto bancario se envía por correo (postal o electrónico) directamente al propietario, quien lo abre, lo revisa, lo rubrica y luego se lo entrega al contable para la conciliación.
  7. La conciliación completada vuelve al propietario, quien revisa y firma la hoja de portada.

Se pasó de una persona controlando cada paso a un proceso en el que robar un dólar requeriría (a) falsificar la firma del propietario en un cheque (el servicio de positive pay detecta esto), (b) lograr que el propietario apruebe activamente una factura fraudulenta (la revisión de la documentación de respaldo detecta esto) o (c) reclutar a un cómplice. El riesgo de fraude no llega a cero —nada lo hace—, pero pasa de ser "trivialmente fácil" a "realmente difícil y con altas probabilidades de ser descubierto".

Cómo la buena contabilidad hace que todo esto sea posible

Cada control anterior depende de un prerrequisito silencioso: sus libros deben estar lo suficientemente limpios como para que las anomalías resalten. Si su libro mayor es un caos de transacciones mal codificadas, categorías agrupadas al azar y entradas sin clasificar de "Consultar a mi contador", entonces el propietario que revisa el extracto bancario no tiene una línea base para comparar. Los pagos extraños se esconden en el ruido.

Una contabilidad sólida y bien organizada es lo que convierte estos controles de una simple puesta en escena en una protección real. Las conciliaciones solo detectan el fraude cuando realmente concilian hasta el último centavo. Las revisiones de proveedores solo funcionan cuando los proveedores se ingresan de manera consistente. La detección de patrones solo funciona cuando hay un patrón real en los datos.

La contabilidad en texto plano y con control de versiones es especialmente poderosa aquí, porque cada cambio se registra en el historial del archivo subyacente. Puede ver exactamente qué cambió, cuándo y por quién —un rastro de auditoría incorporado sin tener que comprar una plataforma GRC empresarial. Esa es una ventaja estructural para las pequeñas empresas que genuinamente no pueden permitirse un contralor o un departamento de auditoría.

Una lista de verificación trimestral de controles internos

Imprima esto. Péguelo dentro de un archivador. Revíselo cada tres meses.

  • Realice el seguimiento de una transacción completa en cada ciclo principal (ingresos, desembolsos, nómina) y verifique que siguió su proceso documentado.
  • Obtenga la conciliación bancaria del mes más reciente y confirme que el extracto bancario coincide con el saldo final del libro mayor, sin partidas conciliatorias inexplicables con más de 60 días de antigüedad.
  • Revise el listado maestro de proveedores. Investigue cualquier proveedor añadido en el último trimestre que no reconozca. Compare las direcciones de los proveedores con las direcciones de los empleados.
  • Revise el registro de nómina de un ciclo. Reconozca cada nombre. Investigue cualquier empleado nuevo o cambio de tarifa.
  • Verifique el registro de auditoría del sistema contable en busca de transacciones eliminadas o anuladas. Investigue cualquiera en periodos cerrados.
  • Confirme que todos los que figuran en los libros tomaron al menos sus días de vacaciones obligatorios en el último trimestre.
  • Confirme que la autoridad de firma en las cuentas bancarias todavía coincide con sus intenciones.
  • Revise los estados de cuenta de las tarjetas de crédito y verifique que cada cargo tenga un propósito comercial documentado y un recibo.

Veinte a treinta minutos, cuatro veces al año. La contable de Plant Nutrition Services mantuvo su esquema hasta que el propietario murió. No deje que el momento del hallazgo sea una cuestión de suerte.

Cuándo relajar los controles y cuándo reforzarlos más

Los controles internos no se tratan de paranoia; se trata de ajustar el control al riesgo. Algunos consejos de calibración:

  • Refuerce cuando el volumen de efectivo aumente, cuando contrate a un nuevo contable, después de cualquier incidente cercano, cuando acepte inversores externos, cuando comience a manejar fondos fiduciarios de terceros (por ejemplo, depósitos de clientes, retenciones) o cuando descubra que no puede explicar realmente una partida en el extracto bancario.
  • Relaje (ligeramente) cuando los controles estén causando un dolor operativo genuino y tenga un control compensatorio robusto en otro lugar. Cada control tiene un costo; el objetivo es el conjunto mínimo que le brinde una cobertura adecuada.
  • Nunca relaje la autoridad para firmar cheques, la aprobación de proveedores o la revisión previa del extracto bancario por parte del propietario. Estos tres son los muros de carga de toda la estructura.

Mantenga sus finanzas organizadas desde el primer día

Los controles internos fuertes solo funcionan sobre una base de libros limpios y bien organizados. Si no puede confiar en los números, no puede confiar en las conciliaciones, y todo el sistema de control colapsa. Beancount.io ofrece contabilidad en texto plano que le brinda total transparencia y un historial de versiones completo de cada cambio en su libro contable, el tipo de rastro de auditoría integrado por el que las pequeñas empresas normalmente tienen que comprar software costoso. Comience gratis y vea por qué los desarrolladores y profesionales de finanzas se están pasando a la contabilidad en texto plano —y consulte nuestros tableros de Fava alojados para obtener visualizaciones instantáneas sobre sus libros.

El control interno más barato que construirá jamás es la disciplina de unos libros limpios revisados por un segundo par de ojos. El más caro es la demanda que presentará tres años después, esperando recuperar diez centavos por cada dólar.