Tienes una pyme en Ginebra (o en Suiza francófona) y piensas: «Somos demasiado pequeños para el control interno». Te lo digo claramente: ahí es donde suelen surgir los problemas.
El control interno no es un archivador polvoriento ni una obsesión de grandes empresas. Son hábitos concretos para evitar tres cosas muy comunes:
- pagar dos veces la misma factura,
- caer en un IBAN falso,
- descubrir al cierre que el IVA se gestionó "por instinto".
Y en 2026, hay un tema recurrente en casi todos los casos: los accesos (banco, e-banking, ERP, software de facturación, nube). Los derechos son demasiado amplios, no se revisan ni se rastrean. ¿Resultado? Un error se convierte en incidente. Un incidente en litigio. Y a veces, en fraude.
¿Qué riesgos concretos para una pyme suiza en 2026? (errores, fraudes, accesos bancarios, conformidad CO)
Riesgo n.º 1: el "error tonto" que cuesta caro
Todavía vemos pymes donde una sola persona:
- crea el proveedor,
- introduce la factura,
- prepara el pago,
- valida en el e-banking.
Cuidado, es una trampa clásica. No porque la persona sea deshonesta. Sino porque, cuando está apurada, cansada o reemplazada, el error pasa.
Ejemplos muy concretos:
- factura introducida dos veces (mismo monto, misma fecha, referencia ligeramente diferente),
- nota de crédito olvidada,
- IVA codificado a la tasa incorrecta (8,1 % en vez de 2,6 %, o viceversa),
- pago enviado a un IBAN antiguo "copiado" de un correo.
Riesgo n.º 2: el fraude "limpio" (el que parece una operación normal)
En 2026, el fraude más frecuente en pymes no es el robo. Es la manipulación de procesos.
Dos escenarios habituales:
- Cambio de IBAN: un correo "del proveedor" anuncia una nueva cuenta. La factura es real, el proveedor existe, el monto es plausible. Solo el IBAN es falso.
- Falso CEO / falso director: solicitud urgente de transferencia "confidencial". Te presionan. Te halagan. Te aíslan.
Si tu procedimiento de pago se basa en "reconozco el estilo del correo", estás expuesto.
Riesgo n.º 3: acceso bancario y derechos demasiado amplios
El verdadero problema es la combinación:
- acceso a e-banking con derechos de pago,
- acceso al software contable,
- ninguna revisión de derechos,
- ningún registro de control consultado.
En la práctica, significa que la misma persona puede crear un proveedor, modificar el IBAN y luego pagar. Y si nadie revisa los extractos bancarios con ojo crítico, no verás nada durante semanas.
Riesgo n.º 4: conformidad CO y responsabilidad del órgano directivo
No hablamos de "buenas prácticas simpáticas". El Código de Obligaciones impone responsabilidades de dirección y una organización adecuada.
Dos artículos siempre aparecen en discusiones serias:
- art. 716a CO (tareas intransferibles e inalienables del consejo de administración, para SA),
- art. 961 CO (presentación de cuentas; y, en la práctica, todo lo relacionado con la fiabilidad de la información financiera).
Puedes delegar la ejecución. No la responsabilidad.
Fuente: Organización adecuada del control interno para SA/Sàrl: obligaciones legales y art. 716a & 961 CO.
Observación de campo (Ginebra): el problema surge en el peor momento
En la práctica, muchas pymes de Ginebra descubren sus fallos al cierre. ¿Por qué? Porque:
- la fiduciaria hace preguntas simples ("¿quién valida?", "¿quién tiene acceso?", "¿dónde está el documento?"),
- y ahí se dan cuenta de que todo depende de una persona.
¿Resultado? Soluciones de emergencia. Y la urgencia siempre cuesta más.
Controles simples por proceso: ¿cómo actuar en facturación, compras, pagos y accesos bancarios?
Vamos a simplificar: un control interno útil es aquel que se realiza sin heroísmo. Si tu control depende de una persona "muy concienzuda", no resistirá.
Facturación a clientes: evitar huecos
Objetivo: asegurar que todo lo entregado/prestado se facture y que la factura sea correcta.
Controles concretos:
- Numeración continua de facturas (y verificación de huecos).
- Lista mensual de notas de crédito: quién las emitió, por qué y validación por otra persona.
- Conciliación simple: pedidos/contratos → facturas → cobros.
- IVA: codificación estándar (tasas 8,1 %, 2,6 %, 3,8 % según el caso) y revisión puntual de excepciones.
Pequeño detalle que lo cambia todo: si haces facturas manuales "excepcionales", creas un punto ciego. O las integras en el flujo normal, o documentas una validación reforzada.
Compras y proveedores: el verdadero riesgo es la creación/modificación
El pago fraudulento suele pasar por aquí.
Controles concretos:
- Creación de proveedor: justificante obligatorio (extracto, contrato, factura proforma, datos) + validación por otra persona.
- Modificación de IBAN: doble validación + llamada telefónica a un número ya conocido (no el del correo).
- Lista trimestral de nuevos proveedores: revisión rápida por la dirección.
Pagos: dejar de "validar a ciegas"
Si validas 30 pagos en 2 minutos, no validas nada. Solo haces clic.
Controles concretos:
- Principio de cuatro ojos en pagos (preparación ≠ validación).
- Umbrales de validación: por ejemplo, todo pago > CHF 5.000 validado por un segundo firmante.
- Pagos agrupados: revisión de una lista impresa/PDF con montos, beneficiarios, IBAN, motivo.
- Conciliación bancaria: semanal si hay volumen, si no mensual, pero hecha por alguien que no inicia los pagos.
Accesos bancarios: derechos mínimos y trazabilidad
Controles concretos:
- Dos perfiles distintos: "preparador" y "validador".
- No cuenta genérica compartida.
- Revisión semestral de accesos: quién tiene acceso a qué y por qué.
- Desactivación inmediata al salir (aunque la persona "aún tenga dos días").
Checklist #1 — Controles mínimos viables (pymes de 5–30 personas)
- Numeración continua de facturas + control de huecos (mensual)
- Revisión de notas de crédito (mensual)
- Creación de proveedor validada por otra persona (en cada creación)
- Cambio de IBAN: doble validación + llamada a número conocido (en cada cambio)
- Preparación de pago ≠ validación de pago (siempre)
- Umbral de doble firma (ej. CHF 5.000) (configurado)
- Conciliación bancaria hecha por persona independiente de pagos (mensual)
- Revisión de accesos a e-banking y software contable (2x/año)
Dominar los accesos: construcción de una matriz de derechos y separación de tareas
La separación de tareas no es "nos tenemos confianza". Es "evitar que una sola persona pueda realizar una operación completa sin control".
Lo que se busca evitar
La combinación peligrosa:
- crear/modificar un tercero (cliente/proveedor),
- crear un asiento o factura,
- iniciar un pago,
- validar el pago,
- conciliar el banco.
Si una persona puede hacer 1→5, tienes un riesgo estructural.
Tabla 1 — Ejemplo de matriz de separación de tareas (pyme de Ginebra)
| Proceso | Acción | Rol A (Contabilidad) | Rol B (Dirección) | Rol C (Operaciones) | Control esperado |
|---|---|---|---|---|---|
| Proveedores | Crear proveedor | Sí | Validación | No | Validación B + justificante |
| Proveedores | Modificar IBAN | No (o solicitud) | Sí | No | Doble validación + llamada |
| Compras | Introducir factura | Sí | No | Sí (recepción) | Aprobación de recepción |
| Pagos | Preparar lote de pagos | Sí | No | No | Lista de pagos archivada |
| Pagos | Validar pago en e-banking | No | Sí | No | Cuatro ojos + umbrales |
| Banco | Conciliación bancaria | Sí (si no pagos) | Revisión puntual | No | Revisión de anomalías |
| Ventas | Emitir factura | Sí | No | Sí (servicio) | Contrato/albarán |
| Ventas | Emitir nota de crédito | Sí | Validación | No | Revisión mensual |
¿No tienes tres roles distintos? No importa. Se adapta. Una pyme de 6 personas puede hacer una separación inteligente con 2 roles y un control de dirección.
Anécdota de campo: "Dimos admin a todos"
A menudo se instala un software contable o una herramienta de facturación rápidamente. Para ir rápido, todos son "admin". Luego nadie se atreve a quitar derechos, porque "puede romper algo".
¿Resultado? Nadie sabe quién modificó un IBAN, quién anuló una factura, quién cambió una tasa de IVA.
Nuestra recomendación: derechos mínimos + excepciones documentadas. La comodidad no debe anteponerse a la trazabilidad.
Construir una matriz de accesos robusta (método práctico)
Una matriz de accesos es una tabla que responde tres preguntas:
- quién tiene acceso,
- a qué,
- con qué nivel de derecho.
Paso a paso (sin complicaciones)
- Lista tus sistemas: e-banking, software contable, facturación, ERP/CRM, gestión de nóminas, nube (Drive/SharePoint), herramienta de gastos.
- Lista los roles reales (no los títulos de RRHH): "prepara pagos", "valida pagos", "crea proveedores", "introduce facturas", "hace conciliación", "admin IT".
- Define 4 niveles de derechos (suele ser suficiente): Lectura / Introducción / Validación / Admin.
- Rellena la matriz: una línea por usuario, una columna por sistema y el nivel.
- Marca los conflictos: un conflicto = una persona tiene derechos incompatibles (ej. creación de proveedor + validación de pago).
- Decide: o retiras un derecho, o añades un control compensatorio (ej. revisión mensual por la dirección).
- Valida y fecha: la dirección firma. Sí, incluso en pymes.
- Planifica la revisión: cada 6 meses y en cada salida/entrada.
Checklist #2 — Lo que debe contener tu matriz (si no, no sirve)
- Nombre + función real (lo que realmente hace la persona)
- Sistemas cubiertos (banco, contabilidad, facturación, nóminas, nube)
- Nivel de derecho (Lectura/Introducción/Validación/Admin)
- Fecha de última revisión
- Propietario del sistema (quién decide los derechos)
- Reglas de separación de tareas (escritas en 10 líneas)
- Lista de excepciones + justificación + duración
Controles simples por proceso (versión "lo hacemos el lunes por la mañana")
¿Quieres algo concreto? Aquí tienes una versión operativa por flujo.
Flujo 1 — De la factura de proveedor al pago
- Recepción de factura (correo o email)
- Control básico: proveedor conocido? pedido? recepción?
- Introducción contable
- Aprobación (operaciones o dirección)
- Preparación de pago
- Validación de pago
- Archivo de comprobante de pago
Controles que marcan la diferencia:
- Aprobación obligatoria antes del pago (aunque sea un "OK" en la herramienta, pero rastreable).
- Bloqueo de pago si el IBAN se modificó en los últimos 30 días sin validación reforzada.
Flujo 2 — De la prestación a la factura de cliente
- Contrato/pedido
- Prestación/entrega
- Factura
- Cobro
- Recordatorio
Controles útiles:
- Lista de prestaciones no facturadas (mensual).
- Revisión de descuentos: quién concede qué.
Flujo 3 — Gastos y tarjetas de empresa
Las tarjetas y gastos suelen ser un descontrol.
Controles simples:
- justificante obligatorio,
- validación por un superior,
- límites por tipo de gasto,
- revisión mensual de gastos "fuera de política".
Ark Fiduciaire
¿Necesita ayuda con este tema?
Nuestros expertos están disponibles para un acompañamiento personalizado. Primera consulta gratuita y sin compromiso.
Caso práctico (CHF) — Una Sàrl de Ginebra atrapada por un IBAN falso
Pyme: Sàrl de servicios (12 empleados), Ginebra. Volumen: ~80 facturas de proveedores/mes. Pagos semanales.
Escenario:
- Un proveedor IT habitual envía una factura de CHF 18.740.
- Un correo separado anuncia un "nuevo IBAN".
- La contable modifica el IBAN en el software.
- Prepara el pago.
- El director valida en el e-banking sin comparar el IBAN con una fuente fiable.
¿Resultado?
- Pago ejecutado: CHF 18.740 a una cuenta fraudulenta.
- El proveedor real reclama 10 días después.
- La pyme paga una segunda vez para evitar la interrupción del servicio.
Coste total directo: CHF 37.480.
Costes indirectos (realistas):
- 6 horas internas (dirección + contabilidad) a CHF 150/h = CHF 900
- gestiones con el banco + denuncia + seguimiento = CHF 600 (tiempo interno)
- honorarios externos (análisis, procedimiento, refuerzo de controles) = CHF 2.500
Total: CHF 41.480.
El control que habría evitado esto:
- cambio de IBAN = llamada a número conocido + validación por otra persona.
No es glamuroso. Es eficaz.
Señales de alerta: detectar fallos, errores o desvíos en una pyme
No necesitas software forense. Necesitas ojos abiertos.
Señales en proveedores/pagos
- Pagos urgentes "para hoy" sin documentación completa.
- Proveedor conocido, pero IBAN cambiado sin explicación sólida.
- Facturas con descripciones vagas ("servicios", "consultoría") y sin entregable.
- Montos redondos repetidos (CHF 5.000, CHF 10.000) justo por debajo de un umbral de validación.
- Multiplicación de pequeños proveedores "one-shot".
Señales en ventas
- Notas de crédito frecuentes, sobre todo al final de mes.
- Descuentos no documentados.
- Facturas anuladas y reemitidas.
Señales en accesos y TI
- Cuentas compartidas ("contabilidad@", "admin@").
- Derechos de admin distribuidos "para ayudar".
- Ausencia de registro de auditoría consultado.
- Acceso a e-banking conservado tras una salida.
Señales en contabilidad
- Conciliaciones bancarias atrasadas.
- Suspensos que se acumulan (cuentas de espera, clearing).
- Muchos asientos manuales sin justificación.
3 errores costosos para Sàrl de Ginebra (y cómo corregirlos)
Error 1: confundir "control interno" con "control de la fiduciaria"
La fiduciaria controla lo que ve. Si le das documentos incompletos o tardíos, no puede adivinar.
Corrección:
- fija un calendario mensual (facturas, banco, nóminas),
- exige validación interna antes de enviar.
Error 2: dejar el banco en "modo cómodo"
Un solo firmante, o un validador que valida todo sin leer. ¿Resultado? Cuando algo sale mal, va rápido.
Corrección:
- doble firma,
- umbrales,
- perfiles separados,
- revisión mensual de beneficiarios.
Error 3: documentar nada y luego entrar en pánico en una auditoría
Cuando la AFC (IVA) o el auditor pregunta, "siempre lo hemos hecho así" no sirve.
Corrección:
- 2 páginas de procedimientos (no 40),
- una matriz de accesos fechada,
- una lista de controles con frecuencia y responsable.
Documentación SCI: lo que realmente se espera en pymes (y lo que no importa)
Seamos honestos: nadie pide un manual de 200 páginas.
Lo útil:
- un mapa simple de procesos (ventas, compras, pagos, nóminas),
- una lista de riesgos principales,
- los controles asociados,
- la matriz de accesos,
- prueba de que está vivo (revisiones fechadas, validaciones, registros).
Lo que no sirve:
- copiar un modelo genérico sin relación con tu realidad,
- procedimientos imposibles de aplicar,
- controles "teóricos" que nadie realiza.
Fuente: Mapeo de riesgos en pymes, obligaciones y separación de funciones.
Reporting y gestión: el control interno que realmente ayuda a la dirección
El control interno no solo evita el fraude. También ayuda a gestionar.
Indicadores simples (mensuales):
- facturas de proveedores pendientes de aprobación,
- pagos rechazados/devueltos,
- número de cambios de IBAN,
- notas de crédito emitidas,
- diferencias en conciliación bancaria,
- suspensos > 30 días.
Cuando estos números aumentan, no es "la contabilidad que se retrasa". Es una señal.
Fuente: Impacto del control interno en el desempeño y reporting de pymes.
Controles digitales: lo que la automatización hace bien… y lo que nunca hará
Las herramientas modernas ayudan:
- flujos de aprobación,
- registro de auditoría,
- derechos por rol,
- conciliación bancaria semi-automática.
Pero no reemplazan:
- validación humana en excepciones,
- llamada telefónica al cambiar IBAN,
- revisión de accesos.
Y cuidado: si tu herramienta está bien configurada pero todos son admin, solo tienes una herramienta cara.
Gobernanza: quién debe hacer qué (sin echar culpas)
En una pyme, los roles se mezclan rápido. Aclaramos:
- Dirección / Consejo: fija reglas, valida umbrales, exige revisión de accesos, acepta (o rechaza) excepciones.
- Contabilidad: ejecuta, documenta, reporta anomalías.
- Operaciones: confirma recepción/prestación, valida la realidad económica.
- Fiduciaria: acompaña, estructura, desafía, pero no reemplaza tu organización.
Para empresas con gobernanza más formal, el Swiss Code ofrece un marco de buenas prácticas.
Fuente: Swiss Code of Best Practice for Corporate Governance (economiesuisse).
FAQ
1) ¿Qué es exactamente el control interno (SCI) en una pyme?
Es el conjunto de reglas, controles y hábitos que aseguran tus procesos: fiabilidad de cuentas, protección de activos, cumplimiento y calidad del reporting. En pymes, se traduce en validaciones, separación de tareas, accesos controlados y revisiones regulares.
Fuente: Impacto del control interno en el desempeño y reporting de pymes.
2) ¿Qué obligaciones legales en Suiza (art. 716a y 961 CO)?
El art. 716a CO fija responsabilidades no transferibles del consejo de administración (para SA) relacionadas con la dirección y organización. El art. 961 CO trata la presentación de cuentas; en la práctica, se espera una organización que haga la información financiera fiable y rastreable. Puedes delegar la ejecución, no la responsabilidad.
Fuente: Organización adecuada del control interno para SA/Sàrl: obligaciones legales y art. 716a & 961 CO.
3) ¿Diferencia entre auditoría interna y externa?
La auditoría externa (órgano de revisión) da garantía sobre las cuentas según el mandato legal/contractual. La auditoría interna, cuando existe, prueba tus procesos y controles continuamente para reducir riesgos. Muchas pymes no tienen auditoría interna formal; pueden hacer revisiones puntuales (pagos, accesos, IVA) con una fiduciaria.
4) ¿Para qué sirve el modelo COSO si soy pyme?
COSO es un marco para estructurar el control interno (entorno de control, evaluación de riesgos, actividades de control, información/comunicación, gestión). No estás obligado a "hacer COSO". Pero inspirarte en él evita olvidar algo: por ejemplo, tener controles sin gestión, o reglas sin pruebas.
Fuente: Impacto del control interno en el desempeño y reporting de pymes.
5) Dame 10 ejemplos de controles internos simples y eficaces
- Doble validación de pagos
- Umbrales de firma (ej. > CHF 5.000)
- Llamada a número conocido al cambiar IBAN
- Revisión mensual de nuevos proveedores
- Conciliación bancaria independiente
- Revisión mensual de notas de crédito
- Numeración continua de facturas + control de huecos
- Registro de auditoría activado y consultado (modificaciones de terceros, IBAN, anulaciones)
- Revisión semestral de accesos (banco, contabilidad, nóminas)
- Lista de suspensos > 30 días y tratamiento
6) ¿Cómo documentar el SCI sin dedicar semanas?
Hazlo breve y fechado:
- 1 página "quién hace qué" (roles)
- 1 página "controles por proceso" (frecuencia + responsable)
- 1 matriz de accesos
- 1 lista de excepciones firmadas Y guarda pruebas: validaciones, exportaciones, registros, conciliaciones.
7) ¿El SCI debe presentarse a la AG?
La AG no necesita un manual detallado. Pero la dirección/consejo debe poder explicar la organización, los principales riesgos y los controles implementados. Si tienes órgano de revisión, puede preguntar sobre la existencia y coherencia de los controles.
8) ¿Cuáles son los límites del control interno?
El SCI reduce riesgos, no los elimina. Siempre habrá:
- errores humanos,
- evasiones (colusión),
- excepciones. El objetivo es hacer visible el error rápido y el fraude difícil.
9) ¿Qué relación hay entre control interno y gestión de riesgos?
La gestión de riesgos identifica y prioriza riesgos (pagos, IVA, dependencia de una persona, ciber). El control interno pone barreras concretas: validaciones, accesos, revisiones, pruebas. Sin controles, el "mapa de riesgos" es solo un bonito documento.
Fuente: Mapeo de riesgos en pymes, obligaciones y separación de funciones.
10) ¿Realmente mejora el desempeño?
Sí, cuando se hace bien. Menos correcciones al cierre, menos tiempo perdido buscando documentos, menos litigios con proveedores, reporting más fiable. Y sobre todo: la dirección decide con cifras limpias, no con intuiciones.
Fuente: Impacto del control interno en el desempeño y reporting de pymes.
Tabla 2 — Plan de despliegue en 30 días (pyme sin servicio interno)
| Semana | Acciones | Entregables | Responsable |
|---|---|---|---|
| 1 | Mapear ventas/compras/pagos + listar sistemas | 1 página de procesos + lista de sistemas | Dirección + contabilidad |
| 2 | Escribir reglas de validación + umbrales + separación de tareas | Reglas firmadas (máx. 2 páginas) | Dirección |
| 3 | Construir matriz de accesos + corregir conflictos | Matriz fechada + capturas de parámetros | Contabilidad + IT/banco |
| 4 | Implementar revisiones mensuales (notas de crédito, nuevos proveedores, suspensos, banco) | Checklists + calendario | Contabilidad + dirección |
Este plan funciona porque es realista. Si intentas rehacer todo a la vez, no terminarás nada.