Control interno: marco COSO y controles clave en la pyme
Los 5 componentes y 17 principios de COSO, y cómo aterrizan en controles realistas para una pyme peruana con equipo chico.
¿Qué es el control interno?
Es el proceso, ejecutado por la dirección y el personal, diseñado para dar seguridad razonable sobre tres objetivos: operaciones eficaces, información financiera confiable y cumplimiento de leyes. El marco de referencia mundial es COSO (Committee of Sponsoring Organizations, Marco Integrado 2013), y es el lente con el que el auditor entiende a la entidad en la fase de planificación (ver introduccion auditoria nia).
Los 5 componentes y sus 17 principios (resumen)
| Componente | Principios (resumidos) |
|---|---|
| 1. Ambiente de control | (1) Integridad y valores éticos · (2) Supervisión independiente del directorio · (3) Estructura, autoridad y responsabilidades claras · (4) Compromiso con la competencia del personal · (5) Rendición de cuentas |
| 2. Evaluación de riesgos | (6) Objetivos claros · (7) Identificar y analizar riesgos · (8) Considerar el riesgo de fraude · (9) Identificar cambios significativos (nuevos sistemas, normas, mercados) |
| 3. Actividades de control | (10) Seleccionar controles que mitiguen riesgos · (11) Controles generales sobre tecnología · (12) Políticas y procedimientos desplegados en la práctica |
| 4. Información y comunicación | (13) Información relevante y de calidad · (14) Comunicación interna · (15) Comunicación externa |
| 5. Supervisión (monitoreo) | (16) Evaluaciones continuas y/o independientes · (17) Evaluar y comunicar deficiencias a quien puede corregirlas |
Regla mnemotécnica: el ambiente es el cimiento; sin tono ético de la gerencia, los demás componentes son papel.
Controles clave típicos en una pyme peruana
Caso: Ferretería San Roque E.I.R.L. (RUC 20487654321), 8 trabajadores, un contador externo.
| Riesgo | Control clave realista |
|---|---|
| Robo de caja | Arqueos sorpresivos semanales firmados por el dueño; caja chica con rendición documentada |
| Desvío de cobranzas | Conciliación bancaria mensual hecha por alguien que NO cobra ni deposita |
| Ventas sin registrar | Correlativo de comprobantes íntegro; cruce mensual facturación vs. [[sire-rvie-rce |
| Compras ficticias | Toda factura de compra se paga solo con orden de compra + guía de recepción (matching de 3 vías simplificado) |
| Planilla fantasma | El dueño aprueba la planilla y compara contra [[plame-y-tregistro |
| Inventario “que se evapora” | Toma física trimestral vs. kardex; diferencias se investigan, no se ajustan en silencio (ver nic 2 inventarios) |
Segregación de funciones con equipo chico
El principio ideal — que nadie autorice, registre y custodie a la vez — es difícil con 5 personas. Soluciones prácticas:
- Involucrar al dueño como control compensatorio: él autoriza pagos y revisa la conciliación aunque no la prepare.
- Rotar tareas: quien factura este mes no hace el arqueo de su propia caja.
- Controles de revisión en lugar de separación total: el contador externo revisa mensualmente asientos manuales y notas de crédito (ver notas credito debito).
- Restricciones de sistema: usuarios con permisos distintos en el software (vendedor no puede anular comprobantes).
Qué hace el auditor con esto
- Entiende el control interno (indagaciones, walkthroughs).
- Decide si confía en controles (los prueba) o va directo a pruebas sustantivas.
- Las deficiencias significativas se comunican por escrito a la gerencia — en la pyme, esa carta de recomendaciones suele ser el entregable más valioso del encargo, y el insumo natural de una auditoria tributaria preventiva.