¿Piensa que el control interno es "para grandes empresas"? En Ginebra vemos lo contrario cada mes: una pyme de 8 a 60 personas, un ERP no completamente dominado, dos personas que "saben hacer todo", y un día... un pago se va al IBAN equivocado. O una factura de cliente sale con el IVA mal configurado. ¿Resultado? Dinero perdido, tiempo perdido y, a veces, una conversación muy desagradable con el banco, la AFC o el órgano de auditoría.
El control interno en pymes no es un archivador polvoriento. Es una serie de reflejos y salvaguardas concretas en tres áreas que duelen cuando hay problemas: facturación, compras, pagos—y, desde hace algunos años, accesos bancarios (e-banking, derechos, firmas, dispositivos).
Hablamos de la realidad. Qué falla, por qué falla y cómo asegurar sin convertir su empresa en una administración.
Riesgos concretos en pymes (errores, fraudes, accesos no controlados a cuentas bancarias, ejemplos suizos, retos regulatorios)
El trío clásico: error, fraude, "improvisación"
En una pyme, los problemas rara vez provienen de una gran conspiración. Surgen de una mezcla explosiva: urgencia + confianza + falta de separación de tareas.
- Error: una factura enviada dos veces, un abono olvidado, una tasa de IVA incorrecta, un pago registrado con un cero de más.
- Fraude interno: un colaborador crea un proveedor ficticio, modifica una cuenta bancaria o se reembolsa "gastos" que no lo son.
- Fraude externo: correos falsos de "fraude del CEO", suplantación de proveedor, phishing de e-banking.
- Improvisación: accesos compartidos, contraseñas en post-it, validaciones "de palabra", justificantes perdidos al cierre.
Y suelen ser los mismos síntomas: nadie sabe exactamente quién tiene derecho a hacer qué, y el problema se descubre demasiado tarde.
Accesos bancarios: el punto débil número 1 en 2026
Se dice claramente: el e-banking se ha convertido en la caja fuerte de la pyme, y muchos aún lo tratan como una simple aplicación.
Trampas vistas en Ginebra:
- Un solo usuario "admin" que hace todo (creación de beneficiario + registro + validación + ejecución).
- Derechos no retirados tras una salida (o baja por enfermedad prolongada).
- Firma colectiva en papel... pero derechos de e-banking que eluden la lógica.
- Pagos urgentes validados desde un teléfono personal, sin control.
Observación de campo: muchas pymes descubren estas fallas al cambiar de banco o durante una auditoría. Entonces se pide la lista de usuarios, sus derechos, los registros. Y se dan cuenta de que "nadie tiene la visión completa".
IVA y facturación: cuando un pequeño error se convierte en un gran problema
El IVA no es "solo una tasa". Es una configuración, reglas, pruebas.
- Tasa normal: 8,1 %
- Tasa reducida: 2,6 %
- Tasa especial alojamiento: 3,8 %
Un error de tasa en decenas de facturas se puede corregir. Pero cuesta: abonos, refacturación, discusiones con clientes y, a veces, correcciones en declaraciones.
Retos regulatorios: lo que la dirección no puede delegar
En Ginebra y en toda Suiza, la dirección tiene responsabilidades que no se pueden "subcontratar" a la contabilidad.
- Organización y supervisión: responsabilidades de la dirección (fuente: Organización del control interno y marco legal suizo (Código de Obligaciones, art. 716a, 961)).
- Gobernanza y obligaciones de auditoría según tamaño y forma jurídica (fuente: Obligaciones de auditoría y buena gobernanza pyme).
- En ciertos sectores, la presión sobre los controles (ciber, riesgos operativos) ha aumentado (fuente: Gestión de riesgos cibernéticos y controles específicos 2024).
Puede delegar la ejecución. No la responsabilidad.
Mini-caso real (anonimizado): el falso cambio de IBAN
Pyme de Ginebra, servicios B2B, 18 empleados. Un correo de "proveedor" anuncia un nuevo IBAN. Contabilidad actualiza el registro del proveedor. Pago de CHF 24’870 ejecutado al día siguiente.
El proveedor real reclama una semana después: "no hemos recibido nada". El dinero fue a una cuenta extranjera, ¿recuperable? No.
¿Por qué funcionó?
- Solo una persona podía modificar el registro del proveedor.
- Ningún control sobre los cambios de IBAN.
- Validación del pago hecha "rápidamente" sin verificar el beneficiario.
Este tipo de historias se ven demasiado.
Implementación de controles clave por proceso (facturación, compras, pagos: separación de tareas, validaciones cruzadas, trazabilidad, controles de acceso bancario, automatización parcial...)
Dividimos por proceso. La idea no es bloquear todo. La idea es poner controles donde sale el dinero, donde entra y donde se modifican los datos.
Facturación: asegurar la facturación (y el IVA)
Controles simples que lo cambian todo:
- Numeración secuencial de facturas, sin huecos "misteriosos".
- Validación de condiciones (precio, descuentos, incoterms, plazos) por una persona distinta a quien emite.
- Bloqueo de tasas de IVA en el ERP: solo 1-2 perfiles pueden modificar los parámetros.
- Conciliación mensual: facturas emitidas vs servicios entregados (o horas validadas).
- Abonos: validación obligatoria, con motivo escrito.
Anécdota: al cierre, a menudo aparecen abonos "para agradar al cliente" sin rastro. El problema no es el abono, sino la falta de reglas. Luego, buena suerte explicando el margen que se desploma.
Compras: evitar proveedores fantasma y gastos "de comodidad"
El control interno de compras se basa en una lógica muy simple: solicitud → pedido → recepción → factura → pago.
Controles concretos:
- Creación de proveedor: justificante (extracto de registro, datos, IBAN) + validación por segunda persona.
- Pedido: umbrales de aprobación (ej. > CHF 5’000, validación dirección).
- Recepción: prueba de recepción (albarán, acta, validación servicio).
- Factura de proveedor: conciliación 2-way (pedido/factura) o 3-way (pedido/recepción/factura).
Pagos: donde la separación de tareas no es negociable
Si una sola persona puede:
- crear un beneficiario,
- registrar un pago,
- validar,
- ejecutar, ... hay un gran agujero.
Controles recomendados:
- Doble validación en pagos (al menos por encima de un umbral).
- Bloqueo de modificaciones de IBAN sin validación.
- Lista blanca de beneficiarios (cuando el banco lo permite).
- Pagos urgentes: procedimiento específico, no "hacer rápido y ver".
Trazabilidad: si no es rastreable, no existe
Un control interno eficaz deja huellas:
- quién creó/modificó un registro de proveedor,
- quién validó una factura,
- quién aprobó un pago,
- cuándo y desde qué perfil.
Si su herramienta no guarda registros, compense: exportación mensual, validación firmada o workflow simple.
Automatización parcial: útil, pero no milagrosa
Automatizar, sí. Depender de la automatización, no.
- OCR de facturas de proveedores: ahorro de tiempo, pero revise campos sensibles (IBAN, importe, IVA).
- Workflows de aprobación: muy bien, siempre que los roles estén claros.
- Conciliaciones bancarias: excelente, pero vigile registros manuales.
Matriz de accesos y separación de roles (metodología, ejemplo práctico, herramientas, cambios desde 2025)
La matriz de accesos es la tabla que responde a una pregunta simple: quién puede hacer qué, en qué herramienta y con qué nivel de validación.
En 2026, es un documento de gestión. No un accesorio.
Metodología simple (y realista) para una pyme
Cinco pasos. No necesita un proyecto de 6 meses.
- Listar las herramientas: e-banking, ERP/contabilidad, herramienta de facturación, gestión de gastos, caja fuerte documental.
- Listar acciones sensibles: crear/modificar beneficiario, modificar IBAN, validar pago, exportar archivo de pago, modificar tasa de IVA, crear proveedor, crear abono.
- Definir roles (no personas): contable, responsable financiero, dirección, responsable de compras, jefe de proyecto.
- Asignar derechos según el principio: lo mínimo necesario.
- Probar: simular un pago, un cambio de IBAN, una anulación de factura. Verificar que se bloquea cuando debe.
Ejemplo práctico de matriz (extracto)
| Acción sensible | Contabilidad | Resp. financiero | Dirección | Nota de control |
|---|---|---|---|---|
| Crear proveedor | Sí (preparar) | Sí (validar) | No | Validación obligatoria antes de uso |
| Modificar IBAN proveedor | No | Sí (preparar) | Sí (validar) | Control fuera de correo: llamada al contacto conocido |
| Registrar pagos | Sí | Sí | No | Registro separado de validación |
| Validar pagos > CHF 10’000 | No | Sí | Sí | Doble validación |
| Añadir beneficiario e-banking | No | Sí | Sí | Nunca por la misma persona que ejecuta |
| Modificar parámetros de IVA | No | Sí | Sí | Registro + revisión trimestral |
Actualice esta tabla en cada entrada/salida y al menos una vez al año.
Herramientas: lo que realmente usan las pymes
- Una hoja de cálculo bien gestionada (sí, funciona) + validación dirección.
- Exportación de derechos de e-banking (la mayoría de bancos suizos lo ofrecen).
- Workflow de aprobación en el ERP si lo tiene.
- Registro de accesos (quién tiene acceso a qué, cuándo, por qué).
Cambios desde 2025: lo que ha cambiado en la práctica
Desde 2025, tres tendencias claras:
- Los bancos impulsan más los derechos granulares y las validaciones múltiples.
- Las pymes adoptan más los pagos por archivos (pain.001): práctico, pero peligroso si no se controla la exportación/importación.
- Los ataques de suplantación de proveedor se han vuelto comunes. El control de "llamada de confirmación" vuelve a ser clásico.
Señales de alerta y buenas prácticas (errores a evitar, indicadores a seguir, formación, reporting, pdf de control interno y guías disponibles)
¿Quiere saber si su control interno es sólido? Observe las señales débiles. No engañan.
Señales de alerta: cuándo empezar a preocuparse
- Un mismo usuario hace registro + validación + ejecución.
- Pagos "urgentes" cada semana.
- Proveedores creados sin expediente (sin extracto, contrato, contacto).
- Abonos frecuentes, sin motivo estándar.
- Asientos contables manuales al final de mes, sin justificante.
- Accesos de e-banking no revisados en más de 12 meses.
Indicadores simples a seguir (mensual o trimestral)
- Número de nuevos proveedores creados.
- Número de modificaciones de IBAN.
- Top 10 pagos (importes) y validación asociada.
- Facturas anuladas / abonos emitidos.
- Diferencias de conciliación bancaria no explicadas.
Formación: 45 minutos que evitan semanas de daños
No se trata de "formar a todos en finanzas". Se trata de reflejos:
- reconocer un correo sospechoso,
- verificar un cambio de IBAN,
- rechazar una solicitud "confidencial" que elude el procedimiento,
- documentar una excepción.
Una breve sesión anual + recordatorio en nuevas incorporaciones es suficiente.
Reporting: una página, no una novela
La mejor opción es un reporting ultra simple a la dirección:
- incidentes (incluso menores),
- excepciones validadas,
- cambios de acceso,
- puntos a corregir.
Una página. Mensual o trimestral.
Ark Fiduciaire
¿Necesita ayuda con este tema?
Nuestros expertos están disponibles para un acompañamiento personalizado. Primera consulta gratuita y sin compromiso.
Recursos y guías
Para un enfoque estructurado puede apoyarse en:
- Componentes del control interno según COSO (fuente: Componentes del control interno COSO).
- Expectativas y buenas prácticas sobre riesgos cibernéticos (fuente: Gestión de riesgos cibernéticos y controles específicos 2024).
- Obligaciones y buenas prácticas relacionadas con la auditoría y la gobernanza (fuente: Obligaciones de auditoría y buena gobernanza pyme).
- Marco legal suizo sobre organización y control (fuente: Organización del control interno y marco legal suizo (Código de Obligaciones, art. 716a, 961)).
- Guía práctica orientada a pymes (fuente: Guía práctica control interno pyme (facturación, compras, pagos – Ark Fiduciaire, 2025)).
Paso a paso: implementar un control interno "que funciona" en 30 días
No necesita esperar una auditoría para empezar. Aquí una metodología que aplicamos con pymes de Ginebra.
Semana 1 — Mapear y elegir máximo 10 controles
- Liste sus flujos: facturación, compras, pagos, gastos.
- Identifique dónde sale el dinero y dónde se modifican datos.
- Elija máximo 10 controles para empezar (si no, nadie sigue).
Semana 2 — Asegurar el e-banking y documentar los roles
- Exporte la lista de usuarios y derechos.
- Decida reglas: doble validación, umbrales, creación de beneficiarios.
- Retire accesos innecesarios.
Semana 3 — Integrar validaciones en el día a día
- Valide nuevos proveedores.
- Ponga un procedimiento de cambio de IBAN.
- Formalice la aprobación de abonos.
Semana 4 — Probar, corregir, fijar
- Haga una prueba de extremo a extremo: una factura, una compra, un pago.
- Verifique las trazas (logs, justificantes, validaciones).
- Escriba una página de procedimiento por proceso. Una página, no veinte.
Checklist 1 — Documentos imprescindibles (si no, pierde tiempo)
- Lista de usuarios de e-banking + derechos + fecha de última revisión
- Matriz de accesos (roles vs acciones sensibles)
- Procedimiento de cambio de IBAN (con validación fuera de correo)
- Umbrales de aprobación (compras, pagos, abonos)
- Modelo de validación de excepción (cuando se sale de la regla)
- Expediente tipo de proveedor (contrato, datos, justificantes)
- Registro de incidentes (incluso "pequeños")
Checklist 2 — Controles mínimos viables (si falta tiempo)
Si solo hace esto, ya reduce mucho el riesgo:
- Doble validación de pagos por encima de un umbral (ej. CHF 10’000)
- Prohibición de crear un beneficiario y ejecutar el pago por la misma persona
- Validación obligatoria de todo cambio de IBAN + confirmación telefónica al contacto conocido
- Revisión mensual de nuevos proveedores
- Bloqueo de parámetros de IVA (acceso limitado + revisión)
- Conciliación bancaria mensual con tratamiento de diferencias
Caso práctico con cifras (Ginebra): asegurar pagos y proveedores en una pyme de servicios
Pyme de Ginebra, 25 empleados, agencia de comunicación. 120 facturas de clientes/mes, 80 facturas de proveedores/mes. Dos personas en finanzas:
- Aline (contabilidad): registra facturas de proveedores, facturación de clientes, prepara pagos.
- Marc (dirección): validación de pagos, supervisión.
Situación inicial (riesgo elevado)
- Aline puede crear/modificar proveedores e IBAN en el ERP.
- Aline prepara pagos y también puede validarlos en el e-banking (derechos históricos).
- Marc valida "cuando tiene tiempo", a veces después de la ejecución.
Ocurre un incidente: pago de CHF 18’450 a un IBAN modificado tras un correo fraudulento.
Medidas implementadas (2 horas de trabajo + 1 cita bancaria)
- ERP:
- Aline puede crear un proveedor, pero no validarlo.
- Toda modificación de IBAN genera una tarea de validación.
- E-banking:
- Aline: registra pagos, no validación final.
- Marc: validación final obligatoria.
- Umbral: por encima de CHF 10’000, doble validación (Marc + miembro del consejo o segundo firmante).
- Procedimiento IBAN:
- Si cambio de IBAN: llamada al número ya conocido (no el del correo), nota en el expediente.
Resultado concreto (en 3 meses)
- 9 cambios de IBAN solicitados: 2 bloqueados por no confirmados.
- 1 intento de fraude detectado (correo suplantado).
- Tiempo adicional: unos 15 minutos/semana.
- Riesgo financiero reducido: se eliminó el escenario "una persona hace todo".
No es glamuroso. Es eficaz.
Dos tablas útiles: umbrales y controles por proceso
Tabla 1 — Ejemplo de umbrales de aprobación (adaptar)
| Tipo de operación | CHF 0–2’000 | CHF 2’001–10’000 | > CHF 10’000 |
|---|---|---|---|
| Compra no recurrente | Responsable de servicio | Resp. financiero | Dirección |
| Pago a proveedor | Contabilidad (prepara) | Resp. financiero (valida) | Doble validación (dirección + segundo firmante) |
| Abono cliente | Responsable de cuenta | Resp. financiero | Dirección |
Tabla 2 — Controles recomendados por proceso
| Proceso | Control | Frecuencia | Prueba esperada |
|---|---|---|---|
| Facturación | Revisión de abonos (motivo + validación) | Mensual | Lista de abonos + validación |
| Facturación | Bloqueo de parámetros de IVA | Trimestral | Registro de cambios |
| Compras | Validación de creación de proveedor | En cada creación | Expediente de proveedor |
| Compras | Conciliación pedido/recepción/factura | En cada factura | Albarán + factura + validación |
| Pagos | Doble validación por encima de umbral | Diario | Registro e-banking |
| Pagos | Revisión de nuevos beneficiarios | Mensual | Lista de beneficiarios + firma |
Errores frecuentes (y cómo corregirlos sin rehacer todo)
Error 1: "Somos un equipo pequeño, no podemos separar"
Sí se puede. Separación de tareas no significa 4 personas. Significa: al menos dos ojos en acciones sensibles.
Corrección:
- una persona prepara,
- otra valida,
- y se guarda una traza.
Error 2: derechos de e-banking heredados y nunca revisados
Trampa clásica. Los derechos se acumulan, nadie se atreve a tocarlos.
Corrección:
- revisión anual de accesos,
- retirada inmediata al salir,
- prohibición de cuentas compartidas.
Error 3: cambio de IBAN tratado como trámite
Justo lo que buscan los defraudadores.
Corrección:
- validación por segunda persona,
- confirmación fuera de correo,
- bloqueo temporal del pago si hay duda.
Error 4: controles "en la cabeza"
"Siempre reviso" no es un control. El día que la persona falta, todo se derrumba.
Corrección:
- checklist,
- registro,
- validación en la herramienta.
Error 5: excepciones no documentadas
Las excepciones ocurren. El problema es cuando se vuelven la norma.
Corrección:
- formulario de excepción (aunque sea simple),
- motivo + aprobación + justificante.
Control interno y ciber: el vínculo subestimado
Hoy, el fraude suele pasar por:
- una cuenta de correo comprometida,
- una contraseña reutilizada,
- un teléfono no protegido,
- un acceso de e-banking demasiado amplio.
Buenas prácticas pragmáticas:
- autenticación fuerte donde sea posible,
- dispositivos dedicados o al menos seguros para e-banking,
- revisión de accesos y registros,
- procedimiento de "incidente": a quién llamar, qué bloquear, qué documentar.
Para expectativas y controles ciber, consulte las recomendaciones de vigilancia (fuente: Gestión de riesgos cibernéticos y controles específicos 2024).
El papel de la dirección: lo que debe gestionar usted mismo
¿Es director, administrador, socio gerente? No necesita hacer registros contables. Debe gestionar:
- umbrales de aprobación,
- matriz de accesos,
- revisión periódica de pagos y excepciones,
- cultura: "seguimos el procedimiento, incluso cuando es urgente".
Y sí, se nota cuando se toma en serio. Los equipos se alinean.
FAQ sobre control interno en pymes (definición, diferencia auditoría interna/control interno, obligaciones legales, recursos pdf, herramientas simples para pymes, papel de la dirección)
1) ¿Qué es exactamente el control interno en pymes?
Es el conjunto de reglas y controles que evitan (o detectan rápido) errores y fraudes en sus procesos sensibles: facturación, compras, pagos, accesos bancarios, IVA, datos maestros. No es un documento. Es una forma de trabajar, con pruebas.
2) Control interno vs auditoría interna: ¿qué diferencia hay?
El control interno es lo que la empresa implementa en el día a día. La auditoría interna es una función (a menudo ausente en pymes) que prueba y evalúa estos controles de forma independiente. En pymes, la auditoría interna suele sustituirse por revisiones puntuales (dirección, fiduciaria, órgano de auditoría según el caso).
3) ¿La ley suiza obliga a una pyme a tener control interno?
La dirección debe organizar y supervisar la empresa, y asegurar una contabilidad conforme. Según el tamaño y la obligación de auditoría, aumentan las expectativas sobre el sistema de control interno. El marco legal y las responsabilidades de la dirección están descritos en el Código de Obligaciones (fuente: Organización del control interno y marco legal suizo (Código de Obligaciones, art. 716a, 961)).
4) ¿Existen recursos "tipo PDF" o guías prácticas para pymes?
Sí. Hay marcos de referencia (fuente: Componentes del control interno COSO) y guías orientadas a pymes sobre procesos de facturación/compras/pagos (fuente: Guía práctica control interno pyme (facturación, compras, pagos – Ark Fiduciaire, 2025)).
5) ¿Qué herramientas simples usar sin gran presupuesto?
Una hoja de cálculo para la matriz de accesos, exportaciones de e-banking para derechos y validaciones, checklist mensual y expediente estándar de proveedor. Si su ERP ofrece workflows, actívelos en acciones sensibles (creación de proveedor, cambio de IBAN, abonos, pagos).
6) ¿Cuál es el papel concreto de la dirección en el día a día?
Fijar reglas (umbrales, validaciones), validar excepciones, exigir pruebas (registros, justificantes) y hacer revisión periódica. El mensaje debe ser claro: la urgencia no justifica saltarse controles.
Referencias
- Componentes del control interno COSO
- Adaptaciones recientes en la lucha contra el blanqueo
- Obligaciones de auditoría y buena gobernanza pyme
- Organización del control interno y marco legal suizo (Código de Obligaciones, art. 716a, 961)
- Gestión de riesgos cibernéticos y controles específicos 2024
- Guía práctica control interno pyme (facturación, compras, pagos – Ark Fiduciaire, 2025)