Sistemas internos · Estudio Códice
Auditoría Intermedio

Control interno: marco COSO y controles clave en la pyme

Los 5 componentes y 17 principios de COSO, y cómo aterrizan en controles realistas para una pyme peruana con equipo chico.

¿Qué es el control interno?

Es el proceso, ejecutado por la dirección y el personal, diseñado para dar seguridad razonable sobre tres objetivos: operaciones eficaces, información financiera confiable y cumplimiento de leyes. El marco de referencia mundial es COSO (Committee of Sponsoring Organizations, Marco Integrado 2013), y es el lente con el que el auditor entiende a la entidad en la fase de planificación (ver introduccion auditoria nia).

Los 5 componentes y sus 17 principios (resumen)

ComponentePrincipios (resumidos)
1. Ambiente de control(1) Integridad y valores éticos · (2) Supervisión independiente del directorio · (3) Estructura, autoridad y responsabilidades claras · (4) Compromiso con la competencia del personal · (5) Rendición de cuentas
2. Evaluación de riesgos(6) Objetivos claros · (7) Identificar y analizar riesgos · (8) Considerar el riesgo de fraude · (9) Identificar cambios significativos (nuevos sistemas, normas, mercados)
3. Actividades de control(10) Seleccionar controles que mitiguen riesgos · (11) Controles generales sobre tecnología · (12) Políticas y procedimientos desplegados en la práctica
4. Información y comunicación(13) Información relevante y de calidad · (14) Comunicación interna · (15) Comunicación externa
5. Supervisión (monitoreo)(16) Evaluaciones continuas y/o independientes · (17) Evaluar y comunicar deficiencias a quien puede corregirlas

Regla mnemotécnica: el ambiente es el cimiento; sin tono ético de la gerencia, los demás componentes son papel.

Controles clave típicos en una pyme peruana

Caso: Ferretería San Roque E.I.R.L. (RUC 20487654321), 8 trabajadores, un contador externo.

RiesgoControl clave realista
Robo de cajaArqueos sorpresivos semanales firmados por el dueño; caja chica con rendición documentada
Desvío de cobranzasConciliación bancaria mensual hecha por alguien que NO cobra ni deposita
Ventas sin registrarCorrelativo de comprobantes íntegro; cruce mensual facturación vs. [[sire-rvie-rce
Compras ficticiasToda factura de compra se paga solo con orden de compra + guía de recepción (matching de 3 vías simplificado)
Planilla fantasmaEl dueño aprueba la planilla y compara contra [[plame-y-tregistro
Inventario “que se evapora”Toma física trimestral vs. kardex; diferencias se investigan, no se ajustan en silencio (ver nic 2 inventarios)

Segregación de funciones con equipo chico

El principio ideal — que nadie autorice, registre y custodie a la vez — es difícil con 5 personas. Soluciones prácticas:

  • Involucrar al dueño como control compensatorio: él autoriza pagos y revisa la conciliación aunque no la prepare.
  • Rotar tareas: quien factura este mes no hace el arqueo de su propia caja.
  • Controles de revisión en lugar de separación total: el contador externo revisa mensualmente asientos manuales y notas de crédito (ver notas credito debito).
  • Restricciones de sistema: usuarios con permisos distintos en el software (vendedor no puede anular comprobantes).

Qué hace el auditor con esto

  1. Entiende el control interno (indagaciones, walkthroughs).
  2. Decide si confía en controles (los prueba) o va directo a pruebas sustantivas.
  3. Las deficiencias significativas se comunican por escrito a la gerencia — en la pyme, esa carta de recomendaciones suele ser el entregable más valioso del encargo, y el insumo natural de una auditoria tributaria preventiva.