El controller de Andina entra a tu oficina pálido. El analista de cuentas por pagar ha cambiado los datos bancarios de un proveedor histórico hace 8 meses, redirigiendo $340K a una cuenta personal. Nadie revisó el cambio porque no había proceso. El responsable se enteró ayer cuando el proveedor real llamó preguntando por los pagos atrasados.
Esta es la historia que cada CFO mid-market eventualmente vive. Si tienes suerte, la pierde son $50K y aprendes la lección. Si tienes mala suerte, son $1M+ y aparece en el management letter del auditor como "deficiencia significativa de control" que el directorio tiene que ver.
Para empresas no listadas, full SOX (Sarbanes-Oxley) es desproporcionado — costos de implementación 5-10% de revenue, equipo dedicado de control interno, externos validando todo. Pero la AUSENCIA de controles tampoco es opción. La disciplina mid-market es: implementar el SET MÍNIMO de controles que captura 80% del riesgo, ejecutarlos bien, y auditarlos a sí mismos anualmente. Eso es SOX-lite.
En este módulo aprendes los 10 controles que componen ese set mínimo, su costo, y cómo priorizar cuando no puedes implementar todos a la vez. Vamos.
Si solo puedes mantener TRES controles internos en tu empresa de mid-market, ¿cuáles eliges?
En lenguaje simple
Antes de la mecánica, las cuatro preguntas básicas.
¿Para qué hacemos esto?
Por dos razones, en este orden: (1) Prevenir pérdidas materiales por fraude, error o abuso, que en mid-market típicamente cuestan 1-3% de revenue al año cuando no hay controles. (2) Pasar la auditoría externa con management letter limpio, que se traduce en credibilidad con directorio, banco, accionistas y compradores en due diligence. Los controles no son burocracia — son protección operacional cuantificable.
¿Quién los diseña, ejecuta y audita?
CFO + Controller diseñan el programa. Los OWNERS de cada control son los líderes funcionales (Compras controla aprobación de PO; Tesorería controla conciliación bancaria; IT controla accesos al ERP). El COMITÉ DE AUDITORÍA del directorio aprueba el programa anualmente. La AUDITORÍA INTERNA (si existe) o el auditor externo en su trabajo testea que los controles funcionan en la práctica, no solo que existen en papel.
¿Cuándo se implementan y revisan?
Implementación: típicamente 6-12 meses para los 10 controles del set mínimo. Revisión anual del diseño (¿siguen vigentes los controles dado el cambio del negocio?). Testing trimestral del FUNCIONAMIENTO efectivo (¿el control opera como se diseñó?). Y eventualmente: cualquier cambio material (nuevo ERP, M&A, expansión geográfica) gatilla revisión.
¿Y si no implementamos nada?
Tres consecuencias predecibles: (1) Eventual fraude o error material — para mid-market sin controles, el evento "típico" cuesta $100-500K cada 18-24 meses. (2) Management letter del auditor con findings de "deficiencia significativa" o "material weakness" que el directorio tiene que ver y el banco/inversionistas pueden ver en due diligence. (3) Ineficiencia operacional invisible — sin controles, los procesos se vuelven ad-hoc, y nadie sabe cuál es la "fuente de verdad" en momento de discrepancia. La pérdida acumulada es típicamente 2-3% de EBITDA al año, sin que nadie pueda ponerle número.
Andina S.A. — el incidente del proveedor fantasma
Andina, post incidente del proveedor fantasma de $340K, contrata a un consultor externo para hacer un risk assessment. El reporte llega en 6 semanas. Diagnóstico: 0 controles formales sobre cambios a master data de proveedores, 0 segregación entre quien crea proveedores y quien procesa pagos, conciliación bancaria que toma 3 semanas (cuando debería ser una semana) y nadie en treasury la audita.
El plan de remediación recomienda los 10 controles del set mínimo SOX-lite, con prioridad fasada: tres meses para los TRES controles fundamentales (segregación, aprobación JE, conciliación bancaria), seis meses para los siguientes cuatro (aprobaciones, accesos, inventario), y nueve meses para los tres soft controls (canal de denuncia, master data, edge transactions).
Costo total del programa: $138K/año en operación recurrente (tiempo del controller, costo de auditor interno parcial, software de aprobaciones), más $80K one-time de implementación. Total año 1: $218K. Año 2 en adelante: $138K/año.
Comparación honesta: $218K año 1 vs $340K perdidos en UN solo incidente, sin contar el management letter finding que en due diligence el siguiente año vale ~$1-2M en ajuste de precio. El programa se paga 5x solo en el primer evento que evita.
El visual abajo muestra los 10 controles. Toggle cualquiera y mira cómo cambia el score de riesgo residual.
Los 10 controles, en vivo
Diez controles agrupados por categoría: segregación, aprobación, conciliación, accesos, monitoreo. Cada control tiene un score de reducción de riesgo (en basis points sobre el total) y un costo anual.
El experimento crítico: apaga los TRES primeros (segregación, aprobación JE, conciliación bancaria). Mira que el score de riesgo se DUPLICA. Esos tres son la línea de defensa fundamental — si están off, el resto solo amortigua.
Visual interactivo
10 controles esenciales — el set mínimo
Para empresas no listadas, full SOX es desproporcionado. Pero la ausencia de controles es vía rápida a errores materiales, restatements y opinión calificada. Estos son los 10 controles que capturan ~80% del riesgo. Apaga cualquiera y mira cómo crece la exposición.
Score de riesgo residual
100 / 1200 · Bajo
Controles activos
10 / 10
Costo anual del programa
$138K
En $K USD. Excluye sistemas; asume reuso del ERP existente.
Lo que estás viendo
Tres lecciones críticas: (1) Los TRES controles de mayor impacto (segregación de funciones, aprobación de asientos manuales, conciliación bancaria) capturan ~50% del riesgo total. Si un control de los 10 no se puede mantener, NO sea uno de esos tres. (2) El costo total del programa es 130-150K USD/año — es 5-10x más barato que el costo de UN incidente material (fraude descubierto, restatement, opinion calificada). (3) Los controles "soft" (canal de denuncia, revisión de transacciones edge) capturan riesgo que los controles "hard" no ven — fraude colaborativo o patrones que pasan los filtros formales. Tres tipos de control en capas, no uno solo en profundidad.
La lectura crítica del visual: los controles tienen escala de impacto MUY desigual. Segregación de funciones reduce 220 puntos de riesgo; revisión de transacciones edge reduce 50. Si tu plan dice "implementaremos los 10 controles", está bien. Pero si dice "implementaremos 5 de los 10", la pregunta crítica es CUÁLES — y la respuesta correcta es los 5 con mayor reducción de riesgo, no los 5 más fáciles.
Y crítico para el contexto mid-market: el costo TOTAL del programa de 10 controles es ~$138K/año. Eso es 0.07% de revenue para una empresa de $200M. La conversación correcta con el directorio NO es "esto es mucho costo" — es "cuesta menos que un solo incidente material y elimina el findings repetitivo del management letter". Esa lectura cambia la decisión de "skipped" a "approved" en 5 minutos.
Tercera lectura: los controles "soft" (canal de denuncia, revisión de transacciones edge) capturan riesgo que los controles "hard" no ven. Fraude colaborativo (dos personas conspirando) pasa los controles de segregación. Patrones de transacciones que evaden todos los thresholds individuales pasan las aprobaciones por niveles. Por eso la defensa es en CAPAS — no en profundidad sobre un solo control.
La mecánica: cómo construir un programa SOX-lite
- Empieza con un risk assessment honesto antes de diseñar controles. ¿Dónde te ha pasado algo cercano a fraude? ¿Dónde el auditor ha encontrado deficiencias? ¿Qué procesos están concentrados en una sola persona? El assessment guía la priorización — sin él, implementás controles "por libro" en lugar de los que tu empresa más necesita.
- Implementa en olas, no todos a la vez. Ola 1 (3 meses): los TRES fundamentales — segregación de funciones, aprobación de JE manuales, conciliación bancaria mensual. Ola 2 (6 meses): aprobación de PO + accesos al ERP + inventario. Ola 3 (9 meses): soft controls (whistleblower, master data, edge transactions). Implementar todos a la vez genera fricción operacional masiva y "implementation theater" que no funciona.
- Asigna OWNERS claros por cada control. Un control sin owner es un control que no existe. Compras es owner de aprobación PO. Tesorería de conciliación bancaria. IT de accesos al ERP. Controller de aprobación de JEs. Sin nombre y apellido pegado a cada control, todos asumen que otro se encarga.
- Test los controles trimestralmente — no solo audita su existencia. Un control que existe en el manual pero no se ejecuta (o se ejecuta mal) es peor que no tenerlo: te da falsa sensación de seguridad. El testing trimestral toma 1-2 días por trimestre y cuesta nada. Documentación: muestreo de transacciones, evidencia de aprobación, reportes generados.
- Documenta deficiencias y plan de remediación con dueño y deadline. Cuando un test de control falla, NO se silencia. Se documenta como deficiencia, se asigna owner, se define plan de remediación con fecha. El auditor externo va a ver esto en su próximo trabajo — la documentación honesta GENERA credibilidad; el silencio destruye confianza.
- Reporta el estado del programa al comité de auditoría TRIMESTRALMENTE. Es responsabilidad del comité de auditoría supervisar el control interno (en directorios sofisticados). Reporte trimestral incluye: estado de implementación de cada control, resultados de testing, deficiencias abiertas con plan, eventos de incumplimiento. Sin este reporte, el comité no puede cumplir su función — y tú pierdes el respaldo gobernanza que el programa necesita.
- Controles preventivos. Bloquean errores ANTES de que ocurran. Ejemplo: aprobación de PO antes de comprar. Más fuertes pero requieren proceso.
- Controles detectivos. Identifican errores DESPUÉS de que ocurren. Ejemplo: conciliación bancaria mensual. Más débiles individualmente pero capturan lo que escapa a los preventivos.
- Controles compensatorios. Reducen riesgo cuando un control primario no se puede implementar. Ejemplo: en empresa de 5 personas no puedes hacer segregación pura, pero puedes compensar con revisión mensual de CFO de todas las transacciones.
- Hard controls. Controles formales con proceso documentado, evidencia de ejecución, owner nombrado. Ejemplo: aprobación de JEs.
- Soft controls. Controles culturales — código de conducta, canal de denuncia, tone at the top. Capturan fraude colaborativo y patrones que escapan a los hard controls.
- Regla práctica: defensa en CAPAS combina los cinco tipos. Solo hard controls deja huecos en fraude colaborativo y patrones; solo soft controls deja huecos en transacciones individuales.
Validación adversarial
Validación adversarial
1.Tu consultor de auditoría interna te recomienda implementar 35 controles inspirados en COSO el primer año. ¿Procedes?
2.Tu equipo te dice que el control de "aprobación de JE manuales" se está saltando porque "ralentiza el cierre". ¿Qué haces?
3.Tu directorio pregunta: "¿necesitamos controles internos formales si nuestro auditor externo no nos ha encontrado problemas?". ¿Qué le respondes?
Checklist de salida
Sugerencia de re-revisión: anual con la revisión de programa por comité de auditoría. Cualquier cambio material (M&A, ERP nuevo, expansión geográfica) gatilla re-evaluación del diseño de controles.
Opcional
Profundizar
Fuentes y libros para ir más al fondo