Tienes Odoo. Muy bien. Ahora la verdadera pregunta: ¿resiste tu Odoo cuando un auditor pregunta «quién hizo qué, cuándo, sobre qué base y quién validó»?
En la práctica, muchas pymes de Ginebra creen tener control interno porque «todo está en Odoo». Hasta el día en que una factura de proveedor conflictiva destaca, o una auditoría (aunque sea limitada) exige una pista de auditoría limpia. Y ahí se descubren derechos demasiado amplios, validaciones inexistentes, justificantes perdidos o modificaciones posteriores.
Vamos a lo concreto: roles, separación de funciones, flujos de trabajo, justificantes, configuraciones de riesgo. Con ejemplos reales y un caso numérico.
Roles, derechos de acceso en Odoo y separación de funciones (sociedades auditadas o no)
El control interno no es una «opción de auditoría». Es primero una obligación organizativa: el consejo de administración (o la gerencia) debe establecer una organización adecuada, documentada y controlable. Y si estás sujeto a auditoría ordinaria, el SCI se convierte en un tema formal. (fuente: Bases legales, organización del consejo y informe de gestión (CO, Fedlex))
Odoo no «hace» el control interno. Lo ejecuta… si lo configuras correctamente.
¿Quién debe acceder a qué? Lógica fiduciaria (no la lógica “nos arreglamos”)
En una pyme, a menudo se ve este esquema:
- la contable tiene todos los derechos «porque tiene que avanzar»;
- el director también tiene todos los derechos «por si acaso»;
- el comprador puede crear proveedores «porque si no se bloquea».
¿Resultado? Nadie sabe quién es responsable y todos pueden hacer (o deshacer) un asiento.
La lógica sana:
- creación (solicitud/pedido),
- recepción (prueba de entrega/servicio),
- factura (registro contable),
- pago (salida de efectivo),
- validación (control y aprobación).
No es obligatorio tener 5 personas. Pero hay que evitar que una sola persona pueda hacer toda la cadena sin control.
Separación de funciones: lo que realmente mira el auditor
El auditor no busca la perfección. Busca salvaguardas.
Típicamente, va a probar:
- ¿La persona que crea/modifica un proveedor puede también validar una factura?
- ¿La persona que registra una factura puede también pagarla?
- ¿Se puede modificar una factura después de la validación sin un rastro claro?
Si la respuesta es «sí», tienes un punto débil. Y si tienes auditoría ordinaria, puede aparecer en los hallazgos.
Odoo: grupos, roles y derechos de acceso — lo que se implementa en pymes
Odoo funciona con usuarios, grupos y derechos (lectura/escritura/creación/eliminación) por aplicación y a veces por modelo. (fuente: Derechos de acceso, roles y grupos en Odoo 18)
Una base simple y robusta para una pyme suiza:
- Compras – Solicitante: crea solicitudes de compra / RFQ, sin validación final.
- Compras – Validador: valida pedidos según umbral.
- Contabilidad – Registro de proveedores: registra facturas, sin derecho a pago.
- Contabilidad – Responsable: valida facturas, gestiona cierres.
- Tesorería/Pagos: prepara pagos, no puede crear proveedores.
- Admin Odoo (muy limitado): configuración, sin operaciones.
Y sobre todo: una cuenta = una persona. Las cuentas compartidas («conta@», «admin@») son una trampa clásica. ¿Resultado? Pierdes la trazabilidad.
Sociedades auditadas o no: mismo reto, diferente nivel de exigencia
- Sin auditoría: igual necesitas una mínima separación de funciones, sobre todo en pagos y creación de proveedores.
- Auditoría ordinaria: se espera un SCI documentado, controles y una pista de auditoría utilizable. (fuente: Sistema de control interno: requisitos suizos para pymes y auditoría)
Observación de campo: en Ginebra, muchas pymes pasan a auditoría ordinaria tras crecer (umbrales, grupo, exigencias bancarias). Se dan cuenta tarde. Y poner orden en Odoo tras 3 años de derechos abiertos es doloroso.
Checklist #1 — derechos de acceso y separación de funciones (para hacer esta semana)
- Cada usuario tiene una cuenta nominativa (no cuentas compartidas)
- Los derechos de «Administración/Parámetros» están limitados a 1–2 personas
- Creación/modificación de proveedores separada de la validación de facturas
- Registro de factura separado del pago (al menos por validación)
- Umbrales de validación definidos (importes, categorías, excepciones)
- Registro de cambios activado y consultable (log)
- Revisión trimestral de accesos (altas/bajas, cambios de puesto)
Flujos de validación: compras, facturas de proveedores, ventas y doble validación
Un flujo de trabajo no es solo un botón de «Validar». Es una cadena de decisiones. Y en Odoo, si dejas los flujos por defecto sin reglas, vuelves rápido al “todos hacen todo”.
Compras: de la solicitud al pedido, sin atajos
En compras, el punto débil clásico:
- se crea un pedido,
- se valida,
- la recepción se hace «en papel»,
- y la factura se registra sin conciliación.
En la práctica, significa que la factura puede pasar aunque:
- la mercancía nunca llegó,
- el precio no corresponde,
- la cantidad es errónea.
Lo que buscamos:
- Solicitud de compra (si la usas) → RFQ → Pedido
- Recepción (o confirmación de servicio) → Factura
- Conciliación pedido/recepción/factura (3-way match cuando aplica)
Facturas de proveedores: validación contable vs validación operativa
En muchas pymes, contabilidad valida «porque hay que pagar». Mala costumbre.
La validación debe responder dos preguntas:
- ¿El gasto es legítimo y conforme al presupuesto/contrato? (validación operativa)
- ¿La factura es correcta contable y fiscalmente? (validación contable)
Puedes hacerlo simple:
- el responsable operativo valida la realidad del servicio,
- contabilidad valida la conformidad (IVA, cuenta, centro de coste, justificantes).
Doble validación: cuándo realmente vale la pena
En nuestra opinión, la doble validación es útil cuando:
- tienes varios centros de coste,
- compras recurrentes con contratos,
- un volumen de facturas que supera “lo recordamos todos”.
Ejemplo concreto (pyme en Carouge, servicios B2B, 18 empleados):
- umbral en CHF 2.000: validación simple (responsable + contabilidad)
- umbral en CHF 10.000: validación + dirección
- más de CHF 25.000: validación + dirección + segundo firmante (principio de los 4 ojos)
Flujo de ventas: sí, también cuenta para el control interno
Hablamos de facturas de proveedores, pero el auditor también mira el ciclo de ventas:
- ¿quién puede crear un cliente?
- ¿quién puede modificar una factura de venta?
- ¿quién puede conceder un abono?
Un abono no controlado es un descuento encubierto. O peor.
Buena práctica:
- abonos sujetos a validación,
- condiciones de pago y límites de crédito controlados,
- bloqueo de facturas contabilizadas.
Paso a paso — poner un flujo de validación limpio en Odoo (versión pyme)
- Mapea tus flujos reales (no los del manual): quién solicita, quién pide, quién recibe, quién valida, quién paga.
- Define 2–3 umbrales (ej: CHF 2.000 / 10.000 / 25.000) y quién valida en cada nivel.
- Separa “registro” y “validación” en facturas de proveedores.
- Restringe la creación/modificación de proveedores a un grupo reducido.
- Activa la conciliación pedido/recepción/factura cuando gestionas stock o servicios formalizados.
- Formaliza las excepciones: urgencias, facturas sin pedido, suscripciones.
- Prueba un escenario de “fraude simple”: ¿puede un usuario crear un proveedor, registrar una factura, validarla y pagarla? Si sí, tienes un agujero.
- Documenta en 1 página: roles, umbrales, controles. Es el documento que se presenta en la auditoría.
Justificantes, gestión documental y pista de auditoría (cumplimiento, trazabilidad, demostración en auditoría)
Una factura sin adjunto es una factura que te costará tiempo. Y a veces dinero.
El control interno, desde el lado de la auditoría, suele jugarse en la capacidad de demostrar:
- la realidad del servicio,
- la autorización,
- la correcta contabilización,
- la trazabilidad de las modificaciones.
Pista de auditoría: qué significa en Odoo
Una pista de auditoría utilizable es:
- un documento (factura) vinculado a una transacción,
- pasos fechados (creación, validación, pago),
- un autor identificado,
- enlaces a pedido/recepción/contrato,
- logs consultables.
Si tienes que reconstruir la historia con emails y capturas de pantalla, pierdes.
Gestión documental: lo que se espera de una pyme “ordenada”
Para las facturas de proveedores, se quiere encontrar en 30 segundos:
- factura PDF original,
- pedido o contrato (si aplica),
- prueba de recepción o de servicio,
- validación (quién, cuándo),
- justificante de pago (orden, extracto bancario, referencia).
Y sí, incluso para una factura de CHF 180. Porque es en las facturas pequeñas donde suelen empezar los desvíos.
Anécdota real: la factura “modificada” después
Caso real: una pyme de Ginebra recibe una factura de proveedor con una línea de “gastos varios”. Contabilidad la registra. Dos meses después, litigio. Se busca la factura original: desaparecida. En Odoo, el adjunto había sido reemplazado por una versión “corregida”.
¿Resultado? Discusión interminable con el proveedor y malestar en la auditoría: ya no puedes probar lo que se recibió inicialmente.
Moraleja: evitar reemplazos silenciosos. Guardar versiones o trazar claramente los cambios.
IVA: justificantes y coherencia de tipos
Desde el 1 de enero de 2024, los tipos suizos son:
- 8,1 % (normal)
- 2,6 % (reducido)
- 3,8 % (alojamiento)
En facturas de proveedores, el control interno de IVA es sobre todo:
- verificar que el tipo aplicado corresponde al servicio,
- verificar que el proveedor es coherente (número de IVA si aplica),
- evitar códigos de IVA improvisados.
Un error de código de IVA repetido durante 12 meses acaba en corrección al cierre. Y eso es tiempo no facturable para ti.
Ark Fiduciaire
¿Necesita ayuda con este tema?
Nuestros expertos están disponibles para un acompañamiento personalizado. Primera consulta gratuita y sin compromiso.
Tabla #1 — lo que debe contener un expediente de “factura de proveedor” (versión auditoría)
| Elemento | Dónde en Odoo | Quién lo aporta | Control interno esperado |
|---|---|---|---|
| Factura PDF original | Adjunto en la factura | Proveedor / contabilidad | Presente, legible, no reemplazada sin rastro |
| Pedido / contrato | Enlace a pedido o adjunto | Compras / dirección | Coherencia precio/condiciones |
| Recepción / prueba de servicio | Entrada de stock, parte de horas, acta | Operaciones | Prueba de que se entregó/realizó |
| Validación | Estado + log + aprobador | Responsable / contabilidad | 4 ojos según umbral |
| Pago | Pago registrado + referencia | Tesorería | Separación registro/pago |
| Imputación contable | Asientos / cuentas analíticas | Contabilidad | Coherencia con plan contable |
Checklist #2 — pista de auditoría “facturas de proveedores”
- Cada factura tiene su PDF original adjunto
- Las facturas sin pedido están marcadas y justificadas (excepción)
- Las validaciones son visibles (aprobador + fecha)
- Las modificaciones tras validación están bloqueadas o trazadas
- Los pagos están vinculados a la factura (referencia bancaria)
- Los códigos de IVA están estandarizados y revisados
- Los abonos de proveedores siguen el mismo nivel de control
Configuraciones de riesgo y errores frecuentes en pymes suizas
Llegamos al núcleo: los ajustes que hacen descarrilar un SCI en Odoo. Los que siempre se encuentran en pymes.
Error 1: derechos “demasiado amplios” en contabilidad
Síntoma: varios usuarios pueden contabilizar, modificar, anular, eliminar.
Corrección:
- limitar la contabilización a un grupo reducido,
- bloquear la eliminación,
- establecer un procedimiento de anulación/abono.
Error 2: creación de proveedores abierta a demasiada gente
Síntoma: el comprador crea un proveedor “rápido”, sin control, sin datos completos.
Riesgo: proveedor ficticio, duplicados, pagos al IBAN equivocado.
Corrección:
- grupo “Maestros de proveedores” (1–2 personas),
- validación interna para cambio de IBAN,
- control periódico de duplicados.
Error 3: facturas sin pedido… y sin justificación
Síntoma: el 60% de las facturas pasan “directamente” a contabilidad.
Riesgo: gastos no autorizados, presupuestos desbordados, litigios.
Corrección:
- definir una regla: a partir de CHF 1.000 (ejemplo), pedido obligatorio,
- excepciones documentadas (alquileres, seguros, impuestos, suscripciones).
Error 4: modificaciones tras validación (el veneno lento)
Síntoma: se valida y luego se cambia la cuenta, el importe, el IVA.
Riesgo: pista de auditoría rota.
Corrección:
- bloqueo de asientos contabilizados,
- correcciones por asientos de ajuste, no reescribiendo.
Error 5: pagos “en lote” sin vínculo claro a facturas
Síntoma: pagos agrupados, referencias ausentes, conciliación bancaria manual.
Riesgo: pagos duplicados, facturas impagadas que pasan desapercibidas.
Corrección:
- disciplina de referencias,
- conciliación bancaria regular,
- separación preparación/validación de pagos.
Error 6: diario de IVA y códigos improvisados
Síntoma: un código de IVA “temporal” se vuelve permanente.
Riesgo: errores en la declaración, correcciones, discusiones innecesarias.
Corrección:
- 3–5 códigos de IVA estándar,
- revisión trimestral,
- control específico sobre proveedores “sensibles” (restauración, alojamiento, servicios mixtos).
Tabla #2 — matriz simple “rol vs acción” (pyme 10–50 empleados)
| Acción | Compras | Operaciones | Contabilidad | Tesorería | Dirección |
|---|---|---|---|---|---|
| Crear solicitud de compra | Sí | Sí | No | No | Sí |
| Validar pedido > CHF 10.000 | No | No | No | No | Sí |
| Recepcionar (prueba) | Sí | Sí | No | No | No |
| Registrar factura de proveedor | No | No | Sí | No | No |
| Validar factura de proveedor | No | Sí (operativo) | Sí (contable) | No | Sí (umbral) |
| Preparar pago | No | No | No | Sí | No |
| Liberar pago (2ª validación) | No | No | No | No | Sí |
| Modificar IBAN proveedor | No | No | Sí (restringido) | No | Sí (control) |
Caso práctico (Ginebra): asegurar 1.200 facturas de proveedores/año en Odoo
Pyme tipo: empresa de servicios en Ginebra, 25 empleados, 1.200 facturas de proveedores/año, 2 entidades (GE + VD), sin auditoría ordinaria pero con exigencia bancaria.
Problema inicial (visto 100 veces):
- 4 usuarios con derechos contables amplios,
- sin umbrales de validación,
- 35% de facturas sin adjunto,
- pagos preparados y validados por la misma persona,
- proveedores duplicados (ej: “ABC SA” y “A.B.C. SA”).
Implementación (6 semanas, sin rehacer todo el ERP):
- Roles separados: registro de factura (2 personas), validación contable (1), validación operativa (jefes de servicio), pagos (1) + liberación dirección.
- Umbrales: CHF 2.000 (jefe de servicio), CHF 10.000 (dirección), CHF 25.000 (doble firma dirección).
- Regla: factura > CHF 1.000 sin pedido = excepción justificada + validación dirección.
- Adjuntos: PDF obligatorio antes de validar.
Resultado medible en 3 meses:
- Facturas sin adjunto: del 35% al 3%.
- Pagos duplicados: 2 casos/trimestre → 0.
- Tiempo de cierre de proveedores (fin de mes): -6 horas.
- Litigios con proveedores: clara bajada, porque se encuentra pedido/recepción.
Coste oculto evitado (muy concreto):
- 6 horas/mes de cierre ahorradas x CHF 120/h (coste interno completo) = CHF 720/mes, o CHF 8.640/año.
- Sin contar errores de pago y estrés.
Controles periódicos: lo que recomiendo en 2026 (simple, sostenible)
Un SCI que funciona es uno que se mantiene en el tiempo. Así que evita sistemas complicados.
Revisión mensual (30–45 minutos)
- Lista de facturas validadas sin pedido (y justificación)
- Top 10 proveedores por importe
- Facturas modificadas tras validación (si se permite)
- Pagos realizados sin factura vinculada
Revisión trimestral (1–2 horas)
- Revisión de accesos de usuarios (altas/bajas)
- Revisión de cambios de IBAN
- Revisión de códigos de IVA usados (anomalías)
- Duplicados de proveedores
Revisión anual (antes del cierre)
- Prueba de “fraude simple” (escenario)
- Control de secuencias de numeración (facturas, asientos)
- Verificación de justificantes en una muestra
Documentación SCI: el mínimo que te salva en auditoría
No hablamos de un archivador de 200 páginas.
Lo que se quiere:
- una página “quién hace qué” (roles),
- una página “umbrales y validaciones”,
- una página “excepciones y tratamiento”,
- una página “revisiones periódicas”.
Y guardas las pruebas: exportaciones, logs, informes de Odoo.
Para los requisitos SCI y el enfoque pyme, puedes apoyarte en las bases oficiales. (fuente: Sistema de control interno: requisitos suizos para pymes y auditoría) y en guías de implementación. (fuente: Guía práctica para implementar un SCI (OFAS))
Errores frecuentes + correcciones (versión sin rodeos)
“Somos demasiado pequeños para separar funciones”
Falso. Incluso con 5 personas, puedes separar al menos:
- registro vs validación,
- preparación de pagos vs liberación.
“El director debe tener todos los derechos”
No. El director debe supervisar, validar, arbitrar. No necesariamente modificar asientos contabilizados.
“Lo veremos en la auditoría”
Mala idea. En auditoría no se “implementa”. Se demuestra.
“Tenemos los PDFs en un servidor, no hace falta en Odoo”
Puedes, pero pierdes búsqueda y coherencia. En control, se quiere el documento en el lugar correcto, vinculado a la transacción.
“Las validaciones ralentizan”
Sí, un poco. Pero evitan errores que ralentizan mucho más. Y protegen a la dirección.
FAQ: Odoo control interno – obligaciones legales, mejores prácticas, casos de aplicación, errores típicos
1) ¿El control interno es obligatorio para una Sàrl o SA en Ginebra?
Sí, a nivel organizativo: la dirección debe organizar la sociedad y llevar una contabilidad fiable. Si tienes auditoría ordinaria, el SCI se convierte en un tema formal y probado. (fuente: Bases legales, organización del consejo y informe de gestión (CO, Fedlex))
2) ¿Odoo basta como “prueba” en caso de auditoría?
Odoo ayuda mucho si los derechos, validaciones y justificantes están bien gestionados. Si no, Odoo es solo una herramienta de registro y debes demostrarlo por otros medios.
3) ¿Cuál es la separación mínima de funciones en facturas de proveedores?
En nuestra opinión: una persona registra, otra valida y el pago lo libera una segunda persona (dirección o cofirmante). Si no tienes suficiente personal, lo compensas con controles periódicos documentados.
4) ¿Se pueden mantener cuentas de usuario compartidas para “ir más rápido”?
Técnicamente sí. En control interno es muy mala idea: pierdes la atribución de acciones. Cuando hay un problema, nadie puede decidir.
5) ¿Qué tipos de IVA hay que parametrizar y controlar en 2026?
Los tipos suizos aplicables son 8,1 % (normal), 2,6 % (reducido) y 3,8 % (alojamiento). El control interno consiste sobre todo en evitar códigos de IVA incoherentes y documentar las excepciones.
6) ¿Cuáles son los errores de Odoo más penalizadores en auditoría?
Los tres más comunes: derechos demasiado amplios (todos pueden hacer todo), facturas sin justificantes adjuntos y modificaciones tras validación sin rastro claro. Eso es lo que rompe la pista de auditoría.