← Volver al blog

Héctor Matías

Cómo usar IA para detectar errores de facturación, gastos duplicados y fraude interno en tu empresa sin montar un departamento de control ni pagar una auditoría forense

IAControl internoFinanzasFraudeEmpresas

Tu controller te enseña en septiembre un hallazgo incómodo. Una de las gestoras de compras lleva once meses pagando dos veces la misma factura de un proveedor recurrente, una vez al recibirla por correo electrónico y otra cuando el propio proveedor la sube al portal de facturación. El proveedor, honesto, ha ido devolviendo el dinero de las duplicidades cada trimestre como abono en factura, pero el sistema contable nunca cruzó los abonos con las duplicidades originales y la persona responsable nunca lo notó. Total acumulado en once meses: veintisiete mil euros que la empresa ha tenido inmovilizados sin que nadie lo viera. Y este es solo el primer hallazgo. En la auditoría interna que sigue aparecen otros cuatro: dos contratos con servicios que se siguen pagando seis meses después de cancelados, una serie de gastos de representación que pasan filtros por estar siempre por debajo del umbral de aprobación pero todos del mismo empleado y siempre el mismo viernes, una proveedora nueva dada de alta con datos sospechosamente similares a un empleado de compras y tres facturas con concepto genérico que ninguna persona del equipo recuerda haber autorizado.


En empresas medianas con facturación entre tres y cincuenta millones de euros, el coste agregado entre errores contables no detectados, pagos duplicados, gastos fuera de política y fraude interno silencioso se sitúa típicamente entre el uno y el tres por ciento de la facturación anual. Para una empresa de quince millones, eso son entre ciento cincuenta y cuatrocientos cincuenta mil euros al año perdidos por la rendija. No es que tu equipo financiero sea negligente. Es que les estás pidiendo que revisen veinte mil apuntes contables, cuatro mil facturas de proveedor, mil ochocientas notas de gasto, doscientas conciliaciones bancarias y cien altas de proveedor con tres personas y un ERP cuyo módulo de control interno nadie ha configurado seriamente desde la implantación. Físicamente no llegan, y los huecos los pagan los socios sin saberlo.


Te voy a explicar por qué tu control interno actual deja pasar cada mes una cantidad relevante de errores y posibles fraudes que ni siquiera entran en los KPIs, qué tipos concretos de anomalías puede detectar un sistema con IA bien montado sobre los datos que ya tienes en el ERP y el banco, y cómo montar un proceso operativo en pyme que entregue al CFO una lista priorizada de incidencias cada semana, no un informe defensivo anual que confirma que en general todo está razonablemente bien.

Por qué tu control interno actual deja pasar las anomalías que más caras salen

No es un problema de honestidad del equipo ni de calidad del ERP. Es un problema estructural de cómo se hace control interno en empresas medianas, y se repite en casi cualquier pyme española que no haya pasado por una crisis grave de fraude.


Punto uno: el control interno se hace por muestreo y por umbrales, no por análisis del cien por cien. El equipo financiero revisa con detalle las facturas grandes, las que pasan de cierto umbral o las que vienen de proveedores nuevos. Todo lo que cae por debajo del radar de umbral, todo lo que viene de proveedores históricos y todo lo que tiene apariencia rutinaria pasa al pago sin segunda mirada, que es exactamente el comportamiento que aprende cualquier persona que quiera saltarse el sistema desde dentro o cualquier proveedor que quiera colar una factura indebida.


Punto dos: las anomalías que de verdad importan no son individuales, son patrones. Una factura sospechosa aislada se detecta. Una serie de facturas pequeñas, todas del mismo proveedor, todas el último viernes del mes, todas justo por debajo del umbral de aprobación del responsable directo y todas con concepto idéntico, no se detecta nunca con el método tradicional porque cada una por separado es trivial. El patrón solo aparece cruzando la totalidad del histórico, y ese cruce no lo hace nadie sin sistema.


Punto tres: las conciliaciones bancarias y los abonos no se cruzan con las facturas originales más allá de los primeros sesenta días. Si un proveedor te abona una duplicidad cuatro meses después de cobrarla, ese abono entra contra una factura nueva o se contabiliza como crédito general, pero no necesariamente cierra el círculo con la duplicidad original. El error queda contablemente compensado a futuro, pero la duplicidad original permanece en el sistema como pago válido, y nadie va a auditar contra qué se compensó cada abono recibido si todo cuadra en saldo.


Punto cuatro: el alta de proveedores y empleados se hace con verificación documental ligera y casi nunca se cruza con bases de datos cruzadas. Un proveedor nuevo da de alta su IBAN, su CIF y su dirección, y entra al maestro de proveedores con la documentación aprobada. Casi nadie cruza ese IBAN con los IBANs de los empleados activos, con los de proveedores ya dados de baja, con los CIFs de empresas vinculadas o con las direcciones de otros proveedores en la base. Si el IBAN del nuevo proveedor coincide con el de un empleado del departamento de compras, ese cruce no salta en ningún sitio.

Las seis palancas que la IA hace operativas en control interno de pyme

La diferencia entre control interno tradicional y control interno con IA no es revisar las mismas facturas más rápido. Es cruzar la totalidad del histórico transaccional para detectar patrones que el ojo humano no puede ver porque están distribuidos en miles de operaciones.


Palanca uno: análisis del cien por cien de las facturas recibidas con detección de duplicidades inteligentes. La IA compara cada factura nueva contra el histórico completo del proveedor y de otros proveedores, no solo por número de factura o importe exacto, sino por importe próximo, concepto similar, fechas próximas y combinaciones que indican duplicidad encubierta. Detecta el caso del proveedor que reenvía la misma factura cambiando un dígito del número, el caso de dos facturas con conceptos ligeramente reescritos por el mismo importe en la misma semana y el caso de la factura subida al portal después de haber sido pagada manualmente por correo electrónico. La detección manual de estos casos requeriría revisar cada factura contra todo el histórico, lo que en pyme no se hace nunca.


Palanca dos: detección automática de gastos fuera de política y de patrones sospechosos de notas de gasto. La IA cruza cada nota de gasto con la política interna (categorías, umbrales, días laborables, ubicaciones autorizadas), pero además detecta patrones: gastos sistemáticos siempre por debajo del umbral de aprobación, gastos siempre los viernes, gastos en proveedores cuyo NIF coincide con familiares del empleado, gastos en hoteles los días que el calendario corporativo indica reunión interna en oficina. Cada gasto por separado pasa el filtro tradicional; el patrón solo se detecta cruzando la totalidad de notas del empleado contra calendario y políticas, y la IA lo hace en segundos.


Palanca tres: cruce sistemático entre maestro de proveedores y maestro de empleados con detección de coincidencias. La IA cruza IBANs, CIFs, NIFs, direcciones postales, teléfonos, dominios de correo y nombres de proveedores contra los datos de empleados activos, ex empleados, familiares declarados y empresas vinculadas conocidas. Cualquier coincidencia o quasi-coincidencia (mismo IBAN, dirección a una calle de distancia, apellidos coincidentes en distinto orden) se marca como hallazgo de revisión obligatoria. Este cruce, hecho a mano sobre cinco mil proveedores y cien empleados, es imposible; con IA es rutina semanal.


Palanca cuatro: detección de contratos zombi y servicios pagados sin uso real. La IA cruza pagos recurrentes con uso real del servicio cuando esa información existe en la empresa: licencias de software con logs de uso, servicios profesionales con horas reportadas en sistema, suscripciones a herramientas con accesos en el último trimestre. Cuando un servicio se sigue pagando mes a mes pero su uso ha caído a cero hace seis meses, la IA lo marca como candidato a cancelación. En empresas medianas, el ahorro típico de cerrar contratos zombi detectados se sitúa entre el cero coma cinco y el uno coma cinco por ciento del gasto total recurrente, y nadie lo detecta sin sistema porque la factura sigue siendo razonable y el proveedor sigue siendo conocido.


Palanca cinco: reconciliación bancaria asistida con cierre del círculo entre abonos y facturas originales. La IA cruza los apuntes bancarios con las facturas, los abonos recibidos y los pagos emitidos, y marca cualquier abono recibido que no tenga trazabilidad clara a una factura específica de origen. Cuando un proveedor abona cuatro mil euros sin concepto explícito, el sistema pregunta a qué duplicidad o sobrepago corresponde, y bloquea el cierre de esa partida hasta que se identifique. Este nivel de trazabilidad cierra la grieta por la que se han escapado pagos duplicados durante meses en muchas pymes.


Palanca seis: generación de un informe semanal de excepciones priorizado por impacto económico estimado. La IA toma todas las anomalías detectadas (duplicidades, patrones sospechosos, coincidencias proveedor-empleado, contratos zombi, abonos sin trazar, gastos fuera de política), les asigna un nivel de riesgo y un impacto económico estimado, y entrega al CFO una lista de quince a treinta líneas priorizadas para revisar. El CFO deja de leer informes de control interno trimestrales de ciento cincuenta páginas y empieza a operar con una bandeja de entrada semanal de quince incidencias accionables, cada una con la traza documental que las justifica.


La novedad no es ninguna palanca por separado. La novedad es aplicarlas en paralelo sobre la totalidad del histórico transaccional y de forma continua, semana a semana, sin contratar un equipo de auditoría interna ni una firma externa cada vez que el CFO tiene un mal presentimiento.

Cómo montar el sistema en pyme sin convertirlo en proyecto

No hace falta una herramienta GRC corporativa, ni un departamento de auditoría interna, ni un proyecto de seis meses. Tres fases, equipo financiero existente con apoyo técnico, integración mínima con el ERP y el banco que ya tienes.


Fase uno, semanas uno a tres: consolidación del histórico y definición de las reglas críticas. Reunir los últimos dieciocho a veinticuatro meses de facturas de proveedor, notas de gasto, conciliaciones bancarias, altas de proveedor y políticas internas de gasto. Definir con el CFO las quince o veinte reglas críticas que el sistema debe vigilar (umbrales, patrones, coincidencias relevantes para tu sector y tu estructura). El error más caro que cometen las pymes es saltar directamente a contratar una herramienta sin haber definido qué excepciones de verdad importan en su operación, lo que entrega un volumen ingestionable de falsos positivos y mata el proyecto en seis semanas.


Fase dos, semanas cuatro a siete: piloto sobre un subconjunto del histórico y validación con el equipo financiero. Aplicar el sistema sobre los últimos doce meses cerrados, generar el primer informe de excepciones y revisarlo con el responsable financiero y con el controller. Validar uno a uno los primeros treinta hallazgos: cuáles son falso positivo, cuáles son error real, cuáles son sospecha sin confirmar, cuáles requieren acción inmediata. Esta validación inicial es la que afina el sistema y lo convierte en algo que el equipo financiero usa de verdad, no en otro informe automatizado que nadie revisa. Si en los primeros treinta hallazgos aparecen tres errores materiales recuperables, el proyecto justifica su coste antes de oficializarse.


Fase tres, semanas ocho a diez: operación continua e integración con el cierre mensual. Activar el ciclo semanal de detección y revisión, integrar el informe de excepciones en el cierre contable mensual y asignar a una persona del equipo financiero como responsable operativa del sistema (diez a quince por ciento de su tiempo). A partir de aquí, el control interno deja de ser un ejercicio defensivo anual y se convierte en una operación rutinaria que cierra el círculo cada mes, con histórico acumulado que el comité de auditoría puede revisar cuando lo necesite.


Inversión total realista entre quince mil y sesenta mil euros el primer año, según volumen transaccional, complejidad del maestro de proveedores y nivel de integración con ERP y banco. Para una empresa con facturación de quince millones de euros y un coste oculto estimado entre ciento cincuenta y cuatrocientos cincuenta mil euros al año por errores y fraude no detectado, recuperar incluso solo un veinte por ciento de ese coste paga el sistema entero varias veces el primer año.

Los errores que matan el proyecto antes de cerrar el primer trimestre

Error uno: comunicar el proyecto como caza de fraudes en lugar de como mejora del proceso financiero. Si el equipo entiende que el objetivo del sistema es atrapar al ladrón interno, las personas honestas (que son la mayoría) lo van a vivir como un acto de desconfianza, van a colaborar mal con la fase de validación y van a sabotear los falsos positivos clasificándolos sin criterio. El proyecto debe presentarse como herramienta que protege al equipo financiero de errores materiales que les estallan en el cierre, y al consejo de administración de descubrir agujeros que nadie había detectado a tiempo. El efecto antifraude es consecuencia, no narrativa principal.


Error dos: no tener un protocolo claro para los hallazgos sensibles antes de empezar. Si el sistema detecta una coincidencia entre el IBAN de un proveedor y el de un empleado del área de compras, ¿quién lo recibe, quién lo investiga, qué se le comunica al empleado y en qué plazo, con qué cobertura legal? Estas preguntas tienen que estar resueltas antes del primer hallazgo, porque si no el primer caso real se gestiona con improvisación y daña personas, pruebas y procedimientos a la vez. Acordar el protocolo con dirección y, en su caso, con asesoría laboral antes de arrancar el piloto.


Error tres: medir el sistema solo por número de hallazgos detectados y no por importe recuperado o riesgo cubierto. Es fácil presumir de un sistema que detecta cuatrocientas excepciones al mes. La métrica que importa es cuántos errores materiales se han identificado y resuelto, cuánto dinero se ha recuperado o se ha dejado de gastar, y cuántos riesgos relevantes se han cerrado. Sin esta métrica, el sistema se convierte en otra fuente de alertas que el equipo aprende a ignorar después de tres meses.


Error cuatro: no revisar las reglas cada trimestre cuando cambia el negocio. La empresa cambia de ERP, abre línea internacional, incorpora un nuevo tipo de proveedor o cambia su política de gastos de representación. Si las reglas no se recalibran, en seis meses el sistema entrega falsos positivos en patrones que ya son normales y deja pasar nuevos patrones de riesgo que aún no están modelados. Asignar la revisión trimestral a la persona responsable del sistema con espacio bloqueado en calendario.

El ROI con tus números

Imagina una empresa con facturación anual de quince millones de euros, mil ochocientas facturas de proveedor al mes, doscientas notas de gasto y un maestro con cuatro mil quinientos proveedores activos, de los cuales unos mil doscientos son recurrentes. Equipo financiero de cuatro personas, controller, un director financiero que dedica una tarde a la semana a revisar incidencias y un ERP estándar con módulos de control interno básicamente sin configurar.


Antes del sistema: control por muestreo, dos cierres anuales de auditoría externa que confirman que las cuentas son razonablemente fiables y que detectan los hallazgos materiales obvios, pero pasan por encima de las anomalías distribuidas. Coste oculto estimado entre uno y tres por ciento de la facturación, es decir entre ciento cincuenta y cuatrocientos cincuenta mil euros al año entre duplicidades, sobrepagos, contratos zombi, gastos fuera de política y, en algunos años, episodios de fraude interno de bajo importe pero acumulativos.


Tras seis meses de sistema bien aplicado: detección y recuperación documentada de entre treinta y ochenta mil euros en duplicidades históricas pendientes de los últimos dos años, identificación y cancelación de contratos zombi por importe anualizado entre veinte y cuarenta mil euros, cierre de cinco a diez incidencias materiales de notas de gasto fuera de política y revisión documentada de dos o tres casos sensibles de coincidencia proveedor-empleado con resolución limpia. Recuperación neta el primer año entre ochenta y doscientos mil euros, además de una mejora estructural en el cierre mensual y una reducción del riesgo de descubrir un agujero grande con seis o doce meses de retraso.


La inversión total del primer año está entre quince mil y sesenta mil euros. Payback dentro del primer año con margen amplio, beneficio recurrente desde el segundo y efecto compuesto a medida que el sistema acumula histórico y aprende los patrones específicos de tu operación.


Y este cálculo no incluye el efecto secundario más relevante: la conversación con el comité de auditoría y con el consejo de administración cambia de “el equipo financiero hace lo que puede con los recursos que tiene” a “tenemos visibilidad sobre el cien por cien de las operaciones y un sistema continuo que prioriza cada semana las quince excepciones que importan”. Esa diferencia, en cualquier proceso de financiación, venta de empresa o entrada de socio profesional, se traduce directamente en valoración y en confianza del inversor.

Cierre

Asumir que tu equipo financiero detecta a tiempo los errores y posibles fraudes que importan es una decisión por defecto que casi todas las pymes toman porque nunca han cuantificado el coste real del agujero. La cuenta no es entre “tener control interno” y “no tenerlo”; es entre el coste de un sistema continuo que cuesta entre quince y sesenta mil euros al año y el coste esperado de los errores, duplicidades y posibles fraudes no detectados, que en pyme media se sitúa entre el uno y el tres por ciento de la facturación.


La IA aplicada a control interno no es privilegio de grandes corporaciones con auditoría interna ni necesita herramienta GRC corporativa. Es una capa operativa que se monta sobre el ERP y el banco que ya tienes en diez semanas, con perímetro acotado a las quince o veinte reglas que de verdad importan en tu operación y con el equipo financiero existente como dueño del proceso. Consolida el histórico, define las reglas, valida el piloto sobre doce meses cerrados y entrega al CFO una bandeja de excepciones priorizadas cada semana.


Mientras tu competencia siga descubriendo el pago duplicado en la auditoría del año siguiente, los contratos zombi cuando el responsable se va y el patrón sospechoso de gastos solo si alguien lo reporta, tu empresa va a estar cerrando cada mes con la totalidad de las operaciones revisadas, con los abonos cuadrados contra sus duplicidades originales y con un comité de dirección que opera sobre números limpios. Esa diferencia no se ve en el cuadro de mando del mes, pero al final del año marca la distancia entre una empresa que gestiona su dinero y otra que confía en que nadie le esté tocando los bolsillos.