Score de riesgo de facturas: cómo funciona la puntuación 0-100

Un controller con 300 facturas al mes no puede mirar las 300 al mismo nivel. La pregunta operativa no es "¿esta factura es correcta?". Es "¿dónde miro primero?".

El score de riesgo responde eso. Convierte señales dispersas en un número 0-100 y ordena la cola. Este artículo explica cómo funciona en ininvoice y por qué es defensible ante un auditor.

Qué es un score de riesgo de factura

Un score de riesgo es un agregador. Toma señales objetivas sobre la factura, aplica una lógica de ponderación y devuelve un valor en escala fija. En ininvoice, 0 a 100.

• 0-25 (verde): factura limpia. Sin señales relevantes. Candidata a aprobación automática según política.
• 26-60 (ámbar): una o varias señales activas. Revisión humana antes de aprobar.
• 61-100 (rojo): múltiples señales o una muy fuerte. No se aprueba sin justificación explicita.

El score no decide el pago. Ordena. Cuando entran 50 facturas el lunes, las de score 80+ se miran primero; las de score 10 se aprueban en lote.

Factores ranqueados que componen el score

El score combina siete factores, ordenados aquí por peso relativo aproximado. Los pesos exactos son producto interno y se recalibran con datos de uso, pero el orden es estable.

1. Posible duplicado. Otra factura del mismo proveedor con importe y concepto similares en ventana reciente. Es la señal más cara: un duplicado pagado dos veces es pérdida directa.
2. Varianza de precio o cantidad fuera de tolerancia. Cruce línea a línea contra el pedido, 2% o 1,50€ modo OR. Detalle en cálculo de varianza de precio.
3. Proveedor nuevo o no validado. Primera factura de un NIF que no estaba en el maestro, o alta reciente sin historial suficiente.
4. Importe fuera del rango histórico. Factura que se desvía del importe medio que ese proveedor ha facturado en meses anteriores.
5. Sin pedido asociado. No se puede cruzar contra un PO formal. Bloquea three-way matching y eleva el riesgo aunque el resto sea normal.
6. Fecha inconsistente. Fecha de factura anterior al pedido, fuera de plazo legal o cabecera distinta a metadatos firmados.
7. Datos de pago alterados. IBAN, CIF o domicilio distintos del último pago. La señal clásica de fraude por suplantación.

Los siete se evalúan cuando hay información. Si no hay pedido (factor 5 activo), los factores 2 y 4 pierden potencia pero el resto sigue.

Cómo se pondera cada factor

Aquí es donde la mayoría de proveedores AP se vuelven opacos. ininvoice no publica los pesos exactos (son producto interno y se recalibran [NEEDS-CONFIRM cadáncia de retraining]), pero la lógica relativa sí es declarada:

• Los factores con impacto financiero directo (duplicado, datos de pago alterados) pesan más que los de contexto (proveedor nuevo, sin pedido).
• Se combinan de forma no aditiva pura. Dos señales que apuntan al mismo riesgo no doblan el peso.
• El score satura por arriba. Por encima de 80 el routing es el mismo; no se infla artificialmente.
• Los pesos se recalibran con feedback. Falsos positivos repetidos sobre una señal bajan su peso en próximos modelos.

Regla mental: señal fuerte sola sube el score, varias débiles juntas también. Proveedor nuevo con factura estándar es 30. Proveedor nuevo sin pedido y con IBAN cambiado salta a 80+.

Tres ejemplos: score 12, score 47 y score 88

Tres facturas hipotéticas pero realistas. Las cifras son de mid-market típico.

Factura A — score 12 (verde)

Señal	Estado
Proveedor	Recurrente, 14 facturas previas
Pedido asociado	Sí, PO formal
Varianza precio/cantidad	Cero en todas las líneas
Importe (1.245€)	Dentro del rango histórico
Duplicado	No
Datos de pago	IBAN coincide con último pago

Score 12. Pasa a aprobación automática si la política del cliente lo permite. El controller no la mira con detalle.

Factura B — score 47 (ámbar)

Señal	Estado
Proveedor	Recurrente
Pedido asociado	Sí
Varianza precio	+4,2% en una línea (fuera de tolerancia)
Importe (3.850€)	Dentro del rango histórico
Duplicado	No
Datos de pago	IBAN coincide

Score 47. Una sola señal activa pero accionable. El sistema rutea la excepción al comprador responsable. La factura no se aprueba hasta justificación o rectificativa del proveedor.

Factura C — score 88 (rojo)

Señal	Estado
Proveedor	Nuevo, primera factura
Pedido asociado	No
Varianza precio/cantidad	No aplicable (sin PO)
Importe (12.400€)	No hay histórico para comparar
Duplicado	No
Datos de pago	IBAN extranjero, dominio email recién registrado

Score 88. Tres factores rojos: proveedor nuevo, sin pedido, datos de pago atípicos. La factura va al top de la cola. El controller llama por canal verificado, no por el email recibido. Es el patrón descrito en fraude de facturas de proveedores.

El score como priorizador de la cola humana

El score no sustituye el juicio humano. Asigna atención. Datos sectoriales (Ardent Partners, IOFM) sitúan la cola AP entre 40 y 80 facturas/día por persona. Sin score, el orden es FIFO; con score, por riesgo.

• Verde (0-25): aprobación en lote con un click. 60-80% del volumen.
• Ámbar (26-60): el grueso del tiempo de revisión. Aquí vive la mayoría de excepciones reales.
• Rojo (61-100): 5-10% del volumen, capturan casi todo el riesgo financiero.

La distribución varía por sector y madurez, pero el patrón se repite.

Score y detección de fraude

Varios factores del score son señales clásicas de fraude: datos de pago alterados, dominio de email reciente, proveedor nuevo con importe alto. La combinación es el patrón estadístico del BEC (business email compromise).

El score no es un detector de fraude por sí solo, pero eleva sistemáticamente las facturas con perfil sospechoso. Un equipo que mira primero los scores 80+ revisa de facto casi todos los intentos de fraude que llegan por correo. Patrón y contramedidas en cómo detectar fraude en facturas.

Por qué un score automatizado es defensible ante un auditor

La pregunta del auditor no es "¿te crees el score?". Es "¿puedes explicar por qué esta factura tuvo este score y se trató así?". Tres condiciones lo hacen defensible:

• Regla declarada. Los siete factores y su lógica están documentados. El auditor puede leer el modelo y reproducir mentalmente el resultado.
• Audit trail completo. Cada factura guarda los valores de los siete factores, el score, la decisión humana y la justificación. Reproducible meses después.
• Override humano siempre disponible. El score sugiere; el humano decide. Aprobar un 88 o rechazar un 12 lleva justificación escrita.

Esa terna — regla declarada, trazabilidad, override — distingue un score defensible de una caja negra que el auditor rechaza. Compatible con COSO y con el RGPD art. 22 mientras haya intervención humana significativa.

Cómo mejorar el score promedio de tu cola

Si tu cola tiene score promedio 40+, no es problema del modelo. Es operativo. Cuatro acciones que bajan la media:

• Formaliza pedidos para proveedores recurrentes. Sin PO, factor 5 siempre activo. Con PO, los factores 2 y 4 suelen salir limpios.
• Valida proveedores antes de la primera factura. NIF, IBAN y datos fiscales contrastados. Tras 3-4 facturas, el factor "proveedor nuevo" desaparece.
• Limpia descripciones de línea. Mejor match factura/pedido = menor varianza falsa.
• Confirma cambios de IBAN por canal verificado. Llamada al teléfono del maestro, no email. Elimina la señal "datos de pago alterados".

El objetivo no es score 0 en todo. Es score bajo donde debería estarlo, y alto solo donde hay riesgo real.

Integración con el flujo de aprobación

El score se conecta al flujo AP de tres formas:

• Routing automático: <25 a aprobación por excepción, 26-60 al comprador o responsable, 61+ a segundo aprobador.
• SLA por banda: verdes en horas, rojas pueden esperar días si requieren llamada al proveedor. Así el SLA medio no se ve castigado.
• Feedback loop: cada decisión humana se guarda y sirve para recalibrar pesos.

Flujo end-to-end en touchless accounts payable, cruce documental en three-way matching, conciliación en facturas y albaranes.

Preguntas frecuentes

¿El score sustituye al aprobador humano?

No. Sugiere prioridad y nivel de revisión. La aprobación final siempre es humana, con justificación trazable cuando se aparta del score.

¿Por qué 0-100 y no binario sospechoso/no sospechoso?

El riesgo es continuo. Score 35 y score 70 piden niveles distintos de atención; meterlos en la misma cubeta desperdicia tiempo.

¿Qué pasa si tenemos pocas facturas históricas?

Los factores que no dependen de histórico (varianza, sin pedido, fecha, datos de pago) funcionan desde el día 1. Los que sí dependen (rango histórico, proveedor nuevo) ganan precisión tras 2-3 meses.

¿Se puede ajustar la sensibilidad por cliente?

Sí. Los umbrales de banda se configuran. Una asesoría multi-cliente suele apretar el ámbar; un retail con 2.000 facturas/mes lo afloja.

¿Es compatible con el RGPD si afecta pagos?

Sí, porque la decisión final es humana y reversible (RGPD art. 22). El score es ayuda a la decisión, no decisión automatizada terminal.

¿Puedo ver por qué una factura tiene score X?

Sí. La interfaz muestra los siete factores con su valor y cómo contribuyen al total. Es requisito de defensibility.

¿Cómo sé que no hay sesgo contra ciertos proveedores?

Las señales son objetivas (importes, fechas, IBAN, presencia de PO). No hay variables proxy de identidad. El audit trail permite revisar la distribución de scores por proveedor.

Tres cosas para recordar

1. El score es un priorizador, no un decisor. Ordena la cola; el aprobador humano sigue mandando.
2. Combina siete señales objetivas ranqueadas por impacto financiero. Duplicado y datos de pago pesan más.
3. Es defensible ante auditor por regla declarada, audit trail y override humano. No es caja negra.

Si quieres verlo sobre tu cola, prueba ininvoice. Mira también el precio y las funcionalidades.

Contenido relacionado

• Touchless accounts payable: qué significa y cómo medirlo
• Three-way matching: cómo cruzar factura, pedido y albarán línea a línea
• Conciliación de facturas y albaranes
• Varianza de precio factura vs pedido: fórmula y ejemplos
• Fraude de facturas de proveedores: cómo detectarlo
• Cómo detectar facturas duplicadas