Aprobación de facturas con flujo digital: cómo pasar de la firma del director al audit trail

La firma física del director funcionó durante décadas con 30 facturas al mes y un solo aprobador. Hoy el volumen llega por correo, varios responsables aprueban por importe y el auditor pide trazabilidad de cada paso. La firma manuscrita ya no escala.

Este artículo describe el diseño operativo de un flujo digital de aprobación: niveles, segregación de funciones, audit trail y conexión con touchless AP. Sin marketing. Lo que un DAF puede implantar en una PYME española.

Por qué la firma física deja de escalar

El proceso clásico tiene cuatro puntos débiles:

• Cuello de botella personal. Si el aprobador viaja, la factura espera. Pago tardío o pérdida de descuento.
• Cero trazabilidad. Una firma en papel no dice cuándo se firmó ni qué se comparó antes.
• Mezcla de roles. Quien pide la compra suele ser quien aprueba. Debilidad clásica que COSO identifica.
• Pérdida de documento. La factura se traspapela y reaparece con otra fecha de registro.

La AEAT exige que el control interno asegure integridad y autentícidad de la factura recibida. Sin trazabilidad, justificarlo es complicado.

Flujo clásico vs flujo digital

La diferencia se ve mejor en una tabla.

Etapa	Flujo clásico (papel)	Flujo digital
Recepción	Correo → impresión → bandeja física	Buzón único → ingesta automática
Captura de datos	Re-keying manual en ERP	OCR/IDP estructurado, dato firmado prioritario
Validación	Cruce visual contra pedido archivado	Three-way matching línea a línea automático
Aprobación	Firma manuscrita del director	Aprobación por importe y categoría, con sello de tiempo
Pago	Manual, fecha incierta	Programado al vencimiento
Archivo	Carpeta física + escaneo posterior	Repositorio digital con firma electrónica
Auditoría	Reconstruir el rastro a posteriori	Audit trail siempre disponible

El cambio crítico no es eliminar el papel. Es que cada decisión queda registrada con quién, cuándo y contra qué datos.

Niveles de aprobación y segregación de funciones

Un workflow digital se construye sobre dos pilares:

1. Niveles por importe. Tres tramos cubren el 95% de los casos en una PYME:

Tramo	Importe (sin IVA)	Aprobador	SLA
L1	0€ – 1.000€	Responsable de departamento	24 h hábiles
L2	1.000€ – 10.000€	Responsable + DAF	48 h hábiles
L3	> 10.000€	DAF + CEO	72 h hábiles

Los importes son orientativos. La regla universal es que el límite del aprobador cubra su poder de gasto contractual y nada más.

2. Segregación de funciones. El que pide la compra no aprueba la factura. El marco COSO de control interno lo deja claro: separar autorización, registro y custodia. En una PYME pequeña la segregación se suaviza con un control compensatorio: el aprobador final no es el comprador y un cuarto ojo (DAF) revisa todo lo que supere un umbral.

Roles típicos

• Comprador: emite el pedido, recibe la mercancía, registra el albarán. No aprueba la factura.
• Aprobador L1/L2/L3: valida que la factura coincide con lo pactado y autoriza el pago.
• Administración / AP: registra la factura, no decide importes, ejecuta el pago programado.
• Auditor (interno o externo): lee, no escribe.

Audit trail digital vs papel

Un audit trail defendible necesita estos campos por evento:

• ID factura + ID pedido + ID albarán.
• Usuario que ejecuta la acción (no rol genérico).
• Acción exacta: ingestada, conciliada, aprobada L1, aprobada L2, rechazada, programada de pago, pagada.
• Timestamp UTC con precisión de segundo.
• Hash o referencia inmutable del documento aprobado.
• Campo de comentario obligatorio en rechazos y aprobaciones fuera de tolerancia.

Auditoría externa pregunta tres cosas: quién aprobó, cuándo y contra qué datos. Si las tres caben en una pantalla, el control está bien diseñado.

Integración del flujo con touchless AP

La aprobación no vive aislada. Encaja dentro del proceso completo de cuentas a pagar:

1. Ingesta desde Gmail u Outlook con dedupe por hash.
2. Lectura estructurada de PDF, XML y FacturaE.
3. Three-way matching línea a línea contra pedido y albarán.
4. Routing por importe y categoría al aprobador correcto.
5. Aprobación en un clic con audit trail.
6. Exportación a Holded, Sage o A3 para registro contable.
7. Pago programado al vencimiento.

Cuando el matching es limpio (cero varianza línea a línea), la factura puede aprobarse en automático hasta el umbral L1 sin intervención humana. IOFM publica benchmarks anuales: los equipos top-quartile aprueban en cuestión de horas, no semanas.

Aprobación y cumplimiento fiscal español

Tres frentes regulatorios que tocan el flujo:

• SII (AEAT). Las facturas en libros se reportan en 4 días hábiles. Un flujo digital trazable cumple el plazo sin maratonón.
• Verifactu. Sistema de facturación verificable. El receptor que aprueba debe poder validar que la factura está en el sistema correcto. El audit trail captura QR y hash.
• Crea y Crece (Ley 18/2022). Obliga a factura electrónica entre empresas. Quien tenga workflow digital, transición suave.

El control que la AEAT espera (integridad, autentícidad, legibilidad, conservación) lo genera un workflow digital de serie.

Riesgos de no tener flujo digital

No es solo eficiencia. Hay riesgos cuantificables:

• Pago duplicado. Sin dedupe digital, el mismo PDF se paga dos veces.
• Fraude. Cambios de IBAN sin trazabilidad, facturas falsas, sobreprecio compensado entre líneas.
• Pérdida de descuentos. El pronto pago vence antes de que la factura llegue al aprobador.
• Sanciones SII. Reportar fuera de plazo cuesta dinero por factura.
• Hallazgo de auditoría. "Falta evidencia de aprobación" es típico cuando solo hay firma manuscrita.

Ejemplo: PYME con 300 facturas/mes

Distribuidora con 25 empleados, 300 facturas/mes y una persona en administración. Así queda el flujo:

1. Buzón único facturas@empresa.es conectado al sistema. Cero reenvíos manuales.
2. Cada factura se cruza con pedido y albarán. El bloque sin varianza pasa como touchless candidate.
3. Bajo 1.000€ con cero varianza: aprobación automática para proveedores recurrentes en catálogo.
4. Excepciones rutean al responsable: compras para varianza de precio, almacén para cantidad, DAF para > 1.000€.
5. Cada paso registra usuario, timestamp y referencia documental.
6. Cierre de mes: el auditor lee el audit trail en un solo informe.

El cuello de botella se desplaza desde "quién firma" hacia "quién resuelve excepciones".

Checklist del controller antes de implantar

• Mapa actual del flujo de aprobación: quién firma qué y desde cuándo.
• Tramos de importe definidos por escrito y aprobados por el consejo.
• Lista de aprobadores con suplentes para vacaciones y bajas.
• Política clara de segregación: comprador ≠ aprobador.
• Tolerancia de three-way matching documentada (2% / 1,50€ OR-mode por defecto).
• Plan de migración: qué proveedores entran primero (top 20 por volumen).
• Plan de archivo: cómo conviven facturas en papel previas con el flujo digital.
• Conexión con contabilidad (Holded, Sage, A3) y banco para pago programado.
• Formación a aprobadores: qué significan los flags de varianza y duplicado.
• Revisión trimestral de la matriz de aprobación.

Preguntas frecuentes

¿Necesito firma electrónica cualificada para aprobar facturas internamente?

No para la aprobación interna. La autentícidad la garantiza el sistema con login, audit trail y control de acceso. La firma cualificada aplica al emisor en facturación electrónica B2G y, progresivamente, B2B con Crea y Crece.

¿Cómo cubro la segregación si solo tengo dos personas en administración?

Con controles compensatorios. El sistema separa los roles aunque las personas sean pocas: la herramienta impide que el creador de un pedido apruebe la factura asociada y exige cuarto ojo (DAF o gerente) por encima de un umbral.

¿Qué pasa si el aprobador L2 está de vacaciones?

Se configura un suplente con la misma autoridad. El audit trail registra que la aprobación la firma el suplente y por qué. Sin suplente, el SLA salta y el sistema escala al nivel superior.

¿Vale para facturas en papel que llegan por correo postal?

Vale. Se digitalizan en escaneo y entran al mismo flujo. La AEAT admite digitalización certificada como sustituto del original.

¿Qué benchmarks usa IOFM para evaluar la madurez del workflow?

Tasa de touchless processing, coste por factura, ciclo medio aprobación a pago, porcentaje de excepciones, tasa de duplicados detectados. Publican rangos por percentil; el top-quartile aprueba en horas y procesa la mayoría sin tocar.

¿Quién decide los importes de cada tramo?

El consejo o la dirección financiera. Conviene formalizarlos en una política de gasto firmada y revisada anualmente. El sistema solo ejecuta lo que la política define.

¿Cómo encaja el auditor digital con un auditor humano?

El auditor digital no sustituye al externo. Le entrega el rastro completo en formato consultable. El humano valida muestras y conclusiones; el digital aporta la evidencia.

Tres cosas para recordar

1. El flujo digital se sostiene en niveles por importe + segregación de funciones + audit trail. Los tres a la vez. Falta uno y el control queda débil.
2. El paso a digital no es archivar PDFs. Es registrar cada decisión con quién, cuándo y contra qué datos.
3. Empieza por el top 20 de proveedores. Cubre el 80% del volumen y prueba el flujo sin riesgo. Después extiende.

Para ver cómo encaja todo esto sobre tus facturas reales, prueba ininvoice. También puedes mirar el precio, las funcionalidades y quiénes somos.

Contenido relacionado

• Three-way matching: cómo cruzar factura, pedido y albarán línea a línea
• Touchless accounts payable: qué significa y cómo medirlo
• Conciliación de facturas y albaranes
• Varianza de precio entre factura y pedido: cómo se calcula
• Conciliación a tres bandas: qué es y cómo funciona