Beancount.io LogoBeancount.io

Segregación de funciones con tres empleados: Cómo prevenir la malversación en pequeñas empresas

10 min de lecturaMike ThriftMike Thrift
Segregación de funciones con tres empleados: Cómo prevenir la malversación en pequeñas empresas

He aquí una cifra que debería inquietar a cualquier propietario de una pequeña empresa: el fraude típico en una compañía con menos de 100 empleados cuesta 141.000 dólares. Esa no es una cifra aislada del peor de los casos. Es la mediana: en la mitad de los casos de fraude en pequeñas empresas, el coste es superior. Y las personas que lo cometen rara vez son desconocidos. Son el contable de confianza que lleva años con usted, el gerente de oficina que "se encarga de todo eso", el empleado único que sabe dónde está cada cosa.

La respuesta de manual ante este riesgo es la segregación de funciones: nunca permita que una sola persona controle una transacción de principio a fin. El manual también asume que usted tiene un departamento de finanzas. Usted tiene tres empleados. Quizá dos. Tal vez sea usted, un contable a tiempo parcial y un chico que responde al teléfono.

Así que la verdadera pregunta es: ¿cómo se construyen controles que realmente prevengan el robo cuando sinceramente no se puede asignar cada tarea a una persona diferente? La respuesta no es "rendirse". Es "ser deliberado". Esta guía le muestra cómo hacerlo.

Por qué las pequeñas empresas son los objetivos más fáciles

Los investigadores de fraudes encuentran sistemáticamente que las organizaciones más pequeñas sufren de manera desproporcionada. Reciben el impacto de la misma pérdida mediana que las empresas mucho más grandes, pero cuentan con una fracción de los ingresos para absorberla. Una pérdida de 141.000 dólares podría ser un error de redondeo para una corporación. Para un negocio que factura 2 millones de dólares al año, puede ser la diferencia entre pagar la nómina y cerrar.

La razón no es que los empleados de las pequeñas empresas sean más deshonestos. Es la oportunidad. Las pequeñas empresas tienen menos controles antifraude, presupuestos más reducidos para invertir en ellos y una cultura de confianza que hace que la supervisión parezca un insulto. Los esquemas que prosperan en este entorno son triviales: fraude en la facturación (pago de facturas falsas o infladas), alteración de cheques y pagos, reembolsos de gastos inflados y sustracción de efectivo antes de que se registre en los libros. Ninguno de estos requiere sofisticación. Solo requieren que una persona pueda realizar una tarea y también ocultarla.

Esa última frase es el concepto fundamental. El fraude necesita tanto el acto como el ocultamiento. La segregación de funciones funciona asegurando que la persona que podría cometer el acto no sea la misma persona que podría ocultarlo.

Las cuatro funciones que debe intentar separar

Antes de poder dividir funciones, debe saber qué es lo que está dividiendo. Los contables dividen cada transacción financiera en cuatro funciones, y el objetivo es mantenerlas en manos diferentes.

La Autorización consiste en aprobar que se realice una transacción: firmar una orden de compra, autorizar a un nuevo proveedor, aprobar un reembolso.

La Custodia es el control físico o digital del activo en sí: manejar efectivo, guardar cheques firmados, tener la contraseña de la cuenta bancaria, controlar el inventario.

El Registro contable es introducir la transacción en los libros: contabilizar la factura, registrar el pago, realizar el asiento contable.

La Conciliación consiste en comparar los registros con una fuente independiente: cotejar el libro mayor de contabilidad con el extracto bancario al final del mes.

El principio es sencillo: ninguna persona debe controlar más de una de estas funciones para la misma transacción. Cuando las funciones se dividen, un error o robo creado en una función es detectado por una persona diferente que realiza una función de verificación cruzada. El contable que registra un pago falso no puede ser también la persona que concilia el extracto bancario, porque la conciliación dejaría el pago al descubierto.

Las combinaciones de peligro son predecibles. Cualquier persona que tenga tanto la custodia como el registro contable puede robar un activo y borrar la evidencia. Alguien con autorización y custodia puede aprobarse un pago a sí mismo y luego cobrarlo. Alguien con autorización y registro contable puede aprobar una transacción ficticia y ocultarla en los libros. Si su único contable emite cheques, los registra y concilia la cuenta, esa persona ostenta las cuatro funciones. Eso no es una debilidad de control. Es una ausencia total de control.

Cómo se ve realmente la "segregación" con tres personas

La división clásica de manual requiere cuatro o cinco personas. Usted no dispone de ellas. Por lo tanto, separe las funciones que pueda y acepte que el resto necesitará un tipo diferente de control. La buena noticia es que incluso una sola división clara cierra las puertas más peligrosas.

La separación más importante en una pequeña empresa es la custodia frente al registro contable. Si la persona que toca el dinero no es la persona que lo registra, habrá eliminado de un plumazo el esquema más común de malversación de activos. En la práctica:

  • El contable registra las transacciones pero no tiene autoridad de firma en la cuenta bancaria ni maneja depósitos de efectivo.
  • El propietario (o un segundo empleado) firma los cheques, aprueba la remesa de pagos y tiene la custodia de las claves del banco.
  • Quienquiera que abra el correo y registre los cheques entrantes no es la persona que contabiliza los pagos de los clientes en el libro mayor.

La segunda prioridad es mantener la conciliación independiente. La conciliación bancaria es el control maestro de todo. Si la realiza honestamente alguien que no creó los registros, casi ningún esquema sobrevive a un mes. Por lo tanto, el propietario —no el contable— debería recibir el extracto bancario y realizar la conciliación o revisarla línea por línea. Este único hábito, que cuesta una hora al mes, detecta la alteración de cheques, pagos fantasma y transferencias inexplicables.

Un modelo viable de tres personas suele ser así: el propietario mantiene la autorización (aprobación de proveedores, pagos y cambios en la nómina) y la conciliación. El contable se encarga del registro contable. Un segundo empleado —o el propietario nuevamente— mantiene la custodia del efectivo y los cheques. Observe que el propietario aparece dos veces. No hay problema. Que el propietario figure en autorización y conciliación es mucho menos peligroso que si el contable figurara en custodia y registro contable, porque la autorización más la conciliación no permite robar y ocultar al mismo tiempo en el curso normal del trabajo.

Controles compensatorios: El verdadero conjunto de herramientas

Cuando no se puede separar una función, se compensa. Los controles compensatorios no impiden que una persona realice una tarea; hacen que sea sumamente probable que cualquier irregularidad sea detectada. Para las pequeñas empresas, estos no son un plan de reserva. Son el evento principal.

Revisión del estado de cuenta bancario por el propietario, sin abrir. Solicite que el estado de cuenta se envíe por correo a su casa o inicie sesión usted mismo antes que cualquier otra persona. Dedique veinte minutos a revisar cada imagen de cheque y cada pago electrónico. Busque beneficiarios que no reconozca, números redondos, pagos a empleados y cualquier cosa que esté justo por debajo de un umbral de aprobación. Las encuestas sobre fraude revelan repetidamente que la supervisión a nivel del propietario es uno de los pocos controles que reduce consistentemente las pérdidas en las pequeñas empresas.

Doble aprobación por encima de un umbral. Requiera que dos personas aprueben cualquier pago que supere una cantidad establecida. Elija un umbral basado en su flujo de caja: muchas pequeñas empresas usan $1,000, las startups a menudo eligen una cifra menor. La mayoría de los softwares de contabilidad y de pago de facturas permiten aplicar esto automáticamente para que no se pueda omitir.

Revisión por un contador externo. Una revisión mensual o trimestral realizada por un contador externo o un controlador financiero externo es un control compensatorio poderoso precisamente porque esa persona no tiene interés en ocultar nada. Pueden revisar la conciliación, examinar la lista de proveedores para ver nuevas incorporaciones y realizar muestreos de transacciones. Este suele ser el dinero mejor invertido por una pequeña empresa en la prevención del fraude.

Vacaciones obligatorias y capacitación cruzada. Muchos fraudes se descubren cuando el perpetrador se ausenta y alguien más se encarga de su trabajo. Exija que su contable se tome una semana de vacaciones ininterrumpida y haga que otra persona cubra el puesto. Los fraudes dependen de un control continuo; una interrupción forzada lo rompe.

Datos maestros restringidos. La capacidad de añadir un nuevo proveedor, cambiar los datos bancarios de un proveedor o dar de alta a un nuevo empleado es su propia forma de autorización. Bloquéelo. Una cantidad sorprendente de fraudes en la facturación se basan simplemente en un proveedor de apariencia real que el defraudador creó. Añadir un proveedor debería requerir la aprobación de alguien que no sea la persona que paga a los proveedores.

Registros de auditoría impuestos por el sistema. Utilice software que registre quién introdujo, editó o eliminó cada transacción, y haga que ese registro sea inalterable. Cuando todos saben que sus acciones quedan registradas permanentemente bajo su nombre, el cálculo del fraude cambia. El ocultamiento se vuelve mucho más difícil, y esa es la mitad de la ecuación.

Una lista de verificación práctica para comenzar

No necesita rediseñar toda su operación esta semana. Empiece aquí:

  1. Enumere quién hace qué. Anote a cada persona y cuál de las cuatro funciones desempeña. Marque a cualquiera que tenga bajo su responsabilidad tanto la custodia como el registro contable: ese es el primer problema que debe resolver.
  2. Retire el acceso bancario a su contable si también introduce transacciones. El propietario mantiene la custodia de las credenciales bancarias.
  3. Reclame el estado de cuenta bancario. A partir del próximo mes, véalo usted primero y revíselo antes de que alguien realice la conciliación.
  4. Establezca un umbral de doble aprobación y actívelo en su software.
  5. Bloquee la creación de proveedores y de nóminas bajo la aprobación del propietario.
  6. Programe una revisión externa — incluso trimestralmente es significativo.
  7. Fije unas vacaciones reales en el calendario para quien lleve los libros.

Nada de esto requiere contrataciones. Requieren decidir que la confianza y la verificación no son opuestas, y que verificar a su empleado de mayor confianza es una cortesía hacia él, porque lo protege de sospechas tanto como lo protege a usted de pérdidas.

Mantenga sus finanzas organizadas desde el primer día

Los controles internos sólidos dependen de registros que sean completos, tengan marca de tiempo y sean difíciles de alterar silenciosamente. Ahí es exactamente donde su sistema de contabilidad importa: si sus libros son una caja negra que solo una persona entiende, ningún control compensatorio puede ver lo que hay dentro. Beancount.io ofrece contabilidad en texto plano que es transparente y con control de versiones: se rastrea cada cambio, cada entrada es legible y el historial completo puede ser auditado por cualquier persona en la que confíe para hacerlo. Eso hace que la revisión independiente, la conciliación y los registros de auditoría sean drásticamente más fáciles de implementar en un equipo pequeño. Comience gratis y vea por qué los desarrolladores y los profesionales de las finanzas se están pasando a la contabilidad en texto plano.


Fuentes: ACFE Occupational Fraud 2024: A Report to the Nations; Improving Internal Controls in Departments with Limited Segregation of Duties — Lutz; Segregation of Duties — Hyperproof.