El documento tardará unos segundos en cargarse. Espere, por favor.

Análisis de riesgos en el control financiero de las Entidades Locales

Ver Análisis

Análisis de riesgos en el control financiero de las Entidades Locales

Miguel MIAJA FOL

Interventor y auditor del Estado

El Consultor de los Ayuntamientos, Nº IV, Sección Opiniones, Diciembre 2018, pág. 46, Wolters Kluwer

LA LEY 14015/2018

Normativa comentada
Ir a Norma L 9/2017 de 8 Nov. (Contratos del Sector Público)
Ir a Norma RDLeg. 2/2004 de 5 Mar. (TR Ley Reguladora de las Haciendas Locales)
Ir a Norma RD 424/2017, de 28 Abr. (régimen jurídico del control interno en las entidades del Sector Público Local)
Ir a Norma R Administración del Estado 1 Sep. 1998 (por la que se ordena la publicación de la Resolución que aprueba las Normas de Auditoría del Sector Público)
Comentarios
Resumen

En la novedosa regulación de la figura del control financiero que desarrolla el RCIL, una de las novedades más interesantes es la planificación de actuaciones sobre la base de un análisis de riesgos, que deberá servir para poner el foco del control sobre las áreas donde existe mayor riesgo de incumplimiento, mala gestión o falta de fiabilidad de la información financiera. En este trabajo analizamos los fundamentos metodológicos del análisis de riesgos y su aplicación, tanto en la elaboración del Plan Anual de Control Financiero como en la planificación de trabajos concretos de control.

I. Introducción

El pasado 1 de julio de 2018 entró en vigor el Real Decreto 424/2017, de 28 de abril (LA LEY 7080/2017), que regula el régimen jurídico del control interno en las entidades del Sector Público Local (RCIL), supliendo así un vacío creado por la parquedad con que la Ley de Haciendas Locales (LA LEY 362/2004) se refería al control financiero, del que el Texto Refundido de 2004 solamente se ocupaba en su art. 220 para hacer unas referencias generales, seguidas de la indicación de que se realizaría por procedimientos de auditoría de acuerdo con las normas de auditoría del sector público. La falta de otras indicaciones legales había dado lugar a un desarrollo muy irregular, de modo que no en todas las entidades se hacía control financiero y, en las que se hacía, no todas lo realizaban del mismo modo.

La nueva regulación reproduce, en líneas generales, las formas de ejercicio del control interno que, desde hace años, se vienen aplicando por la IGAE en el ámbito de la Administración del Estado, lo que proporciona a las Entidades Locales la doble oportunidad de aprovechar la experiencia acumulada por la IGAE en más de 20 años de ejercicio del control financiero y, por el momento en que la nueva norma entra en vigor, incorporar a sus actuaciones los más recientes desarrollos metodológicos que se vienen produciendo en esta materia, en particular la aplicación del análisis de riesgos en la planificación de actuaciones de control.

El objeto principal de este trabajo es el estudio del control financiero y de cómo se puede implementar esta forma de ejercer el control en una Entidad Local, prestando especial atención a las posibilidades que proporciona el análisis de riesgos para realizar una planificación más eficiente de las actuaciones de control. La mejora de la eficiencia se produce en dos niveles distintos: (1) A nivel global, al hacer la planificación general de actuaciones de control financiero a realizar durante un período; y (2) a nivel individual, al planificar cada una de las actuaciones concretas de control permanente o de auditoría pública recogidas en el plan general.

Antes de entrar en el tema principal, se desarrollan dos breves referencias conceptuales para situar el marco metodológico en que nos movemos: la primera, sobre las posibilidades que proporciona el control financiero para superar las limitaciones con que actúa la fiscalización previa; la segunda, sobre los recientes desarrollos en materia de control interno y gestión de riesgos, que han determinado los principales cambios que ha habido en los últimos años en los sistemas de gestión y contabilidad de numerosas organizaciones y en el ejercicio de la profesión de auditor.

Junto a elementos modernizadores sobre la forma de ejercer el control interno en las Entidades Locales, la nueva legislación viene a consolidar otros elementos arcaicos

Este trabajo pretende proporcionar herramientas a quienes se enfrentan a la elaboración de planes de control financiero y a la realización de actuaciones, tanto de control permanente como de auditoría pública, aplicando la nueva normativa contenida en el RCIL. Para ello se ha procurado:

  • Incluir referencias a diversos documentos conceptuales y metodológicos sobre control interno, gestión de riesgos y auditoría de gestión, que pueden ser de utilidad para el trabajo de un interventor local. Cuando ha sido posible, hemos acudido a documentos de libre acceso a través de internet y en su referencia bibliográfica se incluye la dirección en la que pueden obtenerse.
  • Desarrollar con mayor detalle los aspectos del control financiero en los que interviene el análisis de riesgos, por ser esta una metodología escasamente normalizada entre los auditores del sector público en España.
  • Presentar ejemplos prácticos, obtenidos de un caso real de un Organismo público de la AGE (1) , que ilustren sobre la aplicación de algunas herramientas.

Pero una aportación constructiva no tiene por qué ser acrítica. Lo cierto es que, junto a diversos elementos modernizadores sobre la forma de ejercer el control interno en las Entidades Locales, la nueva legislación viene a consolidar otros elementos arcaicos, algunos diseñados en el siglo XIX, que han ido desapareciendo en todos los países que los han aplicado en el pasado, salvo en algún caso puntual como España, donde aún siguen teniendo defensores, a pesar de haber demostrado, y de manera persistente, su ineficacia a la hora de prevenir el despilfarro y la corrupción en el manejo de los fondos públicos.

A este respecto, es muy significativo que Francia, cuyo sistema administrativo sirvió de modelo al que hoy tenemos en España, renunciase en 2002 al sistema de control basado en la fiscalización previa, que se venía aplicando desde el siglo XIX. Ese mismo año, la UE aprobó un nuevo Reglamento Financiero en el que se replantea todo su sistema de control interno y abandona el sistema de fiscalización previa, que el antiguo Reglamento de 1977 había regulado a imitación del modelo francés. El cambio del sistema de control interno de la UE se justificó por la incapacidad del anterior sistema para prevenir los presuntos casos de fraude, mala gestión y nepotismo que se habían puesto de manifiesto a finales de los años 90 y que habían provocado, en 1999, la caída del Presidente de la Comisión (Miaja, M., 2011).

El RCIL es una norma innovadora, que viene a traer aire fresco al ejercicio del control interno en la Administración Local

Si nos centramos en el control financiero, que es el objeto de este trabajo, no deja de ser contradictorio que el órgano responsable de la contabilidad y de la fiscalización previa de todos los actos de gestión financiera sea luego el encargado de controlar esta gestión utilizando técnicas de auditoría. Igualmente resulta decepcionante que se haya renunciado a instaurar en nuestra Administración Pública la figura del auditor interno, tan extendida en los países que nos son más próximos e incluso en muchas de nuestras empresas públicas. En su lugar, se ha optado por desarrollar unas Normas de Auditoría del Sector Público claramente inspiradas en las que se aplican por los auditores externos.

A pesar de estas consideraciones, debemos reconocer que el RCIL es una norma innovadora, que viene a traer aire fresco al ejercicio del control interno en la Administración Local, introduce importantes novedades y proporciona, a través del control permanente y la auditoría pública, herramientas de análisis que permiten al órgano de control mirar lo que hay detrás de los actos administrativos y de los expedientes a través de los cuales se producen, buscando comprender el funcionamiento de la entidad y el contexto organizativo en que se tramitan esos expedientes.

II. El control financiero como herramienta para superar las limitaciones de la fiscalización previa

Desde que, en 1924, el Tribunal Supremo de la Hacienda Pública (TSHP) asumió las funciones de fiscalización, que hasta entonces había tenido la Intervención General de la Administración del Estado, y pasó a ejercerlas con carácter previo a la adopción de los actos objeto de fiscalización, esta forma de control ha sido la base del sistema de control interno de las administraciones públicas españolas. En 1930, se restablece la IGAE, que recupera la competencia de fiscalización, pero manteniendo la regulación que tenía en el Reglamento Orgánico del TSHP, es decir, conservando el carácter de previa. Esta normativa, con ciertas modificaciones y adiciones posteriores, ha seguido vigente hasta nuestros días (Gutiérrez Robles, A., 1993, p. 185).

El sistema de la fiscalización previa, uno por uno, de todos los actos de gestión, fue diseñado para dar respuesta a las necesidades de funcionamiento de una administración fundamentalmente política y regulatoria, con escaso volumen de gestión, como era la del siglo XIX y primera mitad del siglo XX, pero tiene muy difícil encaje en la administración gestora y prestadora de servicios del siglo XXI, donde causa los siguientes problemas:

  • Ralentiza el funcionamiento de la Administración, convirtiéndose en una rémora en la prestación de servicios que requieren respuesta inmediata.
  • Focaliza el control en aspectos formales de la tramitación de los expedientes, que ciertamente deben cumplirse, pero el excesivo énfasis en estos aspectos desvía la atención de otros, como la oportunidad y racionalidad de las decisiones o su impacto sobre la consecución de los objetivos de la Administración.
  • Al poner toda la atención en cada uno de los actos administrativos, individualmente considerados, carece de visión de conjunto y no tiene en cuenta los procesos aplicados para producir esos actos, lo que impide pronunciarse sobre el funcionamiento de la organización.
  • El control financiero se diseñó como una alternativa que permitiera ofrecer un diagnóstico sobre el funcionamiento de la Administración
  • Se realiza de forma rutinaria, manteniendo siempre el mismo nivel de intensidad en relación con todos los actos objeto de control y sin posibilidad de variar la intensidad del control en función de la presencia de factores externos determinantes de posibles incumplimientos.
  • Por último, pero posiblemente lo más importante, genera una falsa impresión de traslación de la responsabilidad, desde el gestor que emite un acto hacia el interventor que lo fiscalizó previamente, creando en los gestores el sentimiento de que quien responde por la regularidad de sus actuaciones es su interventor, no ellos. No solo en los gestores. En la cultura organizativa, e incluso en la opinión pública, se ha llegado a instalar el sentimiento de que todo acto o expediente validado por un interventor está libre de irregularidades.

El control financiero se diseñó como una alternativa que permitiera ofrecer un diagnóstico sobre el funcionamiento de la Administración, conocer en qué medida está cumpliendo sus objetivos y valorar la eficacia, la eficiencia y la calidad de la gestión realizada. Pero el que el control financiero sirva para estos fines no quiere decir que siempre se utilice para alcanzarlos. El apego a la forma tradicional de trabajar puede llevarnos a convertir el control financiero en un sistema de revisión posterior de expedientes que se concrete en una simple estadística de defectos formales, sin prestar atención a cómo funcionan los sistemas de gestión y qué ha fallado en ellos para que se produzcan estos defectos.

III. El desarrollo de un marco conceptual del control interno y la gestión de riesgos

1. Primer informe COSO sobre Control Interno

La publicación, hace ya 26 años, del primer informe COSO sobre el control interno (COSO, 1992) supuso la aparición de un nuevo paradigma en la forma de entender el control interno en las organizaciones y ha inspirado numerosas reformas que han afectado tanto al marco regulatorio de las empresas como a los modelos organizativos de distintas administraciones públicas en todo el mundo.

La reforma abordada en Francia en 2002 se remite expresamente al modelo COSO (Ministère de l’Action et des Comptes Publics, 2018.09.17) y la realizada ese mismo año en la UE, aunque no lo menciona expresamente, está claramente influida por ese modelo, como también lo está el concepto de control financiero interno público (PIFC) desarrollado por la Comisión Europea para asistir a los gobiernos nacionales a mejorar sus sistemas de control interno y alinearlos con las mejores prácticas de la UE (Comisión Europea, 2006).

Hasta la publicación del informe COSO de 1992, era posible encontrar distintas definiciones de control interno que, en general, ponían el énfasis en el conjunto de actividades de control que se realizan en el seno de una organización. Así, en 1987, una comisión creada en EEUU para analizar el fenómeno de la emisión de información financiera fraudulenta por parte de las empresas, encontró que existían diversos conceptos y definiciones de control interno y recomendó que las organizaciones que habían patrocinado los trabajos de la comisión continuasen cooperando para desarrollar unas directrices integradas sobre el control interno, lo que permitiría disponer de un punto común de referencia (Treadway et al., 1987, p. 48). El informe COSO es el fruto de esta recomendación.

El informe COSO proporciona una definición de control interno que, en la actualidad, está universalmente aceptada, en la que el control interno se concibe como un proceso que afecta a todos los aspectos de la organización, siendo las actividades de control uno de sus componentes. Para COSO, el control interno es «un proceso, realizado por el órgano de gobierno, la dirección y el resto del personal, diseñado para proporcionar una seguridad razonable en la consecución de objetivos en las siguientes categorías: eficacia y eficiencia de las operaciones; fiabilidad de la información financiera; cumplimiento de la normativa aplicable» (COSO 1992, p. 13). El control interno se desarrolla a través de cinco componentes: (1) Entorno de control; (2) Evaluación de riesgos; (3) Actividades de control; (4) Información y comunicación; y (5) Supervisión (pp. 16 y ss.).

El informe COSO proporciona una definición de control interno que, en la actualidad, está universalmente aceptada

Al colocar las actividades de control en su contexto, lo importante no son los controles, sino el motivo por el que se realizan. Lo que da sentido al establecimiento de un control es la existencia de un riesgo, entendido como la posibilidad de que se produzca un evento que afecte negativamente a la consecución de los objetivos de la organización, que se trata de prevenir o mitigar. La eficacia del control vendrá dada por su capacidad para prevenir la ocurrencia del riesgo o mitigar su impacto.

2. Extensión del modelo COSO de Control Interno

Esta forma de entender el control fue asumida rápidamente, además de por las organizaciones que habían patrocinado el informe COSO, por otras organizaciones de ámbito internacional, como IFAC o INTOSAI, que la incorporaron a sus metodologías y normas profesionales, pasando de ahí a sus correspondientes organizaciones nacionales. Así, la Norma Internacional de Auditoría sobre identificación y valoración de los riesgos de incorrección material mediante el conocimiento de la entidad y su entorno (ICAC, 2013), aplicable en España en el ámbito de la auditoría mercantil, está claramente inspirada en el modelo COSO.

En el ámbito del sector público, las normas de INTOSAI, aplicables en España por parte del Tribunal de Cuentas y los OCEX, hace años que incorporaron la evaluación del riesgo en su metodología de planificación. Adicionalmente, INTOSAI ha desarrollado directrices de buen gobierno para el sector público que incluyen unas normas de control interno, Intosai-Gov 9100, y gestión de riesgos, Intosai-Gov 9130, que aplican en el sector público los planteamientos generales de COSO en esta materia (ISSAI, 2018.9.13).

El éxito del informe COSO llevó a las organizaciones que lo habían patrocinado a seguir trabajando juntas en el desarrollo de marcos conceptuales comprensivos y directrices sobre gestión de riesgos, control interno y prevención del fraude. Con posterioridad a su primer informe sobre el control interno, COSO ha publicado numerosos trabajos sobre los tres ámbitos en que centra sus investigaciones. En los aspectos que aquí nos ocupan, el marco integrado del control interno se actualizó con una nueva versión en 2013, que ha sido publicada en español por el Instituto de Auditores Internos de España (COSO, 2013), y en 2004 se publicó un marco integrado de la gestión de riesgos (COSO, 2004) del que se sacó una versión actualizada en 2017 (COSO, 2018).

3. El nuevo informe sobre Control Interno de 2013

La versión de 2013 del modelo COSO de control interno incorpora un estudio más detallado de los cinco componentes del control interno, desarrollándolos a través de 17 principios que sistematizan mejor el modelo y sirven de referencia para evaluar el sistema de control interno de cualquier organización. Basándose en el grado de aplicación de estos 17 principios, el Instituto de Auditores Internos de España ha publicado un estudio que aplica el marco COSO al sector público español (IAIE, 2016), en el que se analiza el grado de desarrollo del control interno de nuestro sector público mediante un modelo de madurez, estructurado en cinco niveles, que es de gran utilidad como herramienta de análisis aplicable a todo tipo de entidades.

Otras organizaciones han realizado investigaciones propias basadas o inspiradas en el marco conceptual del control interno propuesto por COSO. Particularmente interesante es el modelo de las tres líneas de defensa, diseñado por el Instituto de Auditores Internos para potenciar la eficacia de la gestión de riesgos y el control interno (The IIA, 2013), que puede ser de gran utilidad para clarificar cómo asignar y coordinar a lo largo de una organización las responsabilidades sobre gestión de riesgos y control interno. Este último aspecto se aborda en un estudio específico, encargado por COSO al IIA, que hemos incluido en la bibliografía (COSO, 2015).

IV. Aplicación del análisis de riesgos en la planificación del control financiero

1. Contenido del Plan Anual de Control Financiero

A diferencia de lo que ocurre a los auditores externos del sector privado, que trabajan a partir del encargo de sus clientes, los auditores del sector público tienen un mandato legal que les impone la realización de determinadas actuaciones y les habilita para establecer, por propia iniciativa, aquellas otras que consideren más convenientes. Para organizar estas actuaciones, el art. 31 del RCIL establece que «el órgano interventor deberá elaborar un Plan Anual de Control Financiero que recogerá las actuaciones de control permanente y auditoría pública a realizar durante el ejercicio».

Si atendemos al criterio determinante de su inclusión en el Plan Anual de Control Financiero (PACF), tenemos dos tipos de actuaciones:

Los auditores del sector público tienen un mandato legal que les impone la realización de determinadas actuaciones

  • 1. Las derivadas de un mandato legal (por ejemplo, la auditoría de cuentas de los organismos y entidades dependientes, para los que el art. 29.3.A del RCIL establece la obligación de auditar sus cuentas anuales).
  • 2. Las que se seleccionen por el propio órgano interventor sobre la base de un análisis de riesgos, el cual deberá ser «consistente con los objetivos que se pretendan conseguir, las prioridades establecidas para cada ejercicio y los medios disponibles» (art. 31.2).

Las actuaciones que sean legalmente obligatorias deben estar siempre incluidas en el PACF, por lo que la planificación a realizar consistirá en determinar la naturaleza de los recursos (propios o externos) con que se realizarán y el momento de realizarlas, conforme a la disponibilidad que exista de dichos recursos.

Una vez identificadas las actuaciones derivadas de una obligación legal y asignados los recursos necesarios para llevarlas a cabo, se plantea el problema de determinar que otras actuaciones pueden realizarse con los recursos aún disponibles. Y aquí es donde interviene el análisis de riesgos, que deberá ayudar a orientar las actividades de control hacia aquellas áreas o actividades en las que hay mayor probabilidad de que se produzcan deficiencias o que, de producirse, las consecuencias son de mayor gravedad. Para la selección de estas actuaciones vamos a desarrollar un proceso organizado en tres etapas:

  • 1. Fijación de objetivos del control.
  • 2. Identificación y evaluación de riesgos de la actividad controlada.
  • 3. Establecimiento de prioridades y selección de actuaciones a realizar.

2. Fijación de Objetivos

Los objetivos del plan de control financiero deben ser consistentes con el objeto propio de esta modalidad de control, que analiza la gestión financiera de la Entidad Local desde tres puntos de vista: (1) la adecuada presentación de la información financiera; (2) el cumplimiento de las normas y directrices que sean de aplicación y (3) el grado de eficacia y eficiencia en la consecución de los objetivos previstos (TRLHL, art. 220.2 (LA LEY 362/2004)).

2.1. Objetivos de información financiera

La adecuada presentación de información financiera se comprueba mediante la realización de auditorías de cuentas. El RCIL se refiere a la auditoría de cuentas de los organismos autónomos y otras entidades dependientes, pero excluye la auditoría de las cuentas del propio Ente Local, pues, si se realizase por el órgano de intervención en el marco del PACF, estaríamos en un supuesto de autorevisión, contrario a las Normas de Auditoría del Sector Público (NASP). A este respecto, la NASP 3.1.2 establece que «en todo lo relacionado con su actuación profesional, tanto los órganos de control como los auditores gozarán y mantendrán una posición de independencia y actuarán con total objetividad» (IGAE, 1998, p. 16) y la NASP 4.2.2 señala, entre las circunstancias que pueden hacer perder al auditor la imparcialidad, la de «ser responsable de la contabilidad de la entidad, o haberlo sido anteriormente, de forma que afecte a las operaciones o programas auditados». (IGAE, 1998, p. 25).

Los objetivos del plan de control financiero deben ser consistentes con el objeto propio de esta modalidad de control

Por lo que se refiere a los entes dependientes, para la mayoría de los mencionados en el art. 29.6.A del RCIL se establece la obligación legal de auditarlos, por lo que ya estarían incluidos en el PACF por este motivo. Quedan únicamente las sociedades mercantiles y las fundaciones del sector público local no sometidas a la obligación de auditarse, respecto de las cuales habrá que establecer objetivos de control y realizar análisis de riesgos para decidir sobre su inclusión en el PACF.

En relación con el control de la adecuada presentación de información financiera, el RCIL solamente menciona la auditoría de cuentas, pero no excluye la posibilidad de realizar otro tipo de comprobaciones, como revisiones limitadas o procedimientos específicos sobre determinados elementos de las cuentas anuales. En el caso de sociedades mercantiles y fundaciones que no estén obligadas a auditarse, cabe esperar que nos encontremos ante entidades de pequeño tamaño y escaso volumen de actividad, por lo que tiene sentido proponer objetivos de control menos ambiciosos y que requieran menos recursos que los necesarios para realizar una auditoría de cuentas.

2.2. Objetivos de cumplimiento normativo

Al plantearse objetivos de control sobre el cumplimiento de las normas y directrices aplicables, lo primero a tener en cuenta es que, en todos los ámbitos de gestión sobre los que se realiza fiscalización previa, el órgano interventor ya ha realizado un control de legalidad de cada uno de los expedientes sometidos a su examen, por lo que volver sobre los mismos actos, además de ineficiente, supondría incurrir en autorevisión. Una forma de evitarlo consiste en no enfocar el trabajo como una revisión de los expedientes tramitados, sino como una revisión de los procesos por los que se canaliza esa tramitación.

Lo que hace del control financiero una herramienta valiosa para mejorar el funcionamiento de la Administración es la posibilidad de trascender al expediente y poner el foco en los procesos. Esta orientación del control es aplicable a todas las áreas de la gestión financiera y permite al auditor formarse una opinión sobre el funcionamiento de la Entidad más amplia y mejor fundamentada que la que puede formarse a través del examen individualizado de actos singulares.

El diseño del control financiero previsto en el RCIL no excluye la posibilidad de realizar comprobaciones singulares sobre actos no sometidos a fiscalización previa, pero los resultados que proporcionan este tipo de comprobaciones son mucho más limitados que los que obtenemos al analizar los procesos. Un control de cumplimiento centrado en los expedientes nos permite saber si en esos expedientes concretos se cumplen las normas que regulan su tramitación. Un control enfocado a procesos nos permite saber cómo actúa la Entidad y qué mecanismos internos tiene establecidos para asegurar el cumplimiento de esas normas, identificar debilidades en los procesos y proponer medidas para subsanarlas.

Tanto si está orientado a los expedientes como si está orientado a los procesos, la referencia del control es el cumplimiento de la norma, por lo que los objetivos del control de cumplimiento deberán establecerse identificando la norma o el conjunto de normas cuya aplicación queremos comprobar.

2.3. Objetivos de buena gestión financiera

Donde el TRLHL (LA LEY 362/2004) (art. 220.2) se refiere a la eficacia y eficiencia en la consecución de los objetivos previstos, el RCIL amplía el objeto del control a la aplicación de los principios de buena gestión financiera, incluyendo entre estos, además de la eficacia y la eficiencia, la economía, la calidad y la transparencia y añadiendo los principios de estabilidad presupuestaria y sostenibilidad financiera.

Lo que hace del control financiero una herramienta valiosa, es la posibilidad de trascender al expediente y poner el foco en los procesos

La buena gestión financiera es un concepto tan general que cada uno de los aspectos en que lo desarrolla el RCIL daría para confeccionar un amplísimo catálogo de posibles objetivos de control. Para concretarlos deberíamos tener en cuenta los objetivos operativos de la Entidad Local y alinear con ellos los objetivos del PACF. A este respecto, y salvando las diferencias conceptuales y prácticas que hay entre el control financiero definido en el RCIL y la auditoría interna, tal y como se concibe en el marco internacional establecido por el Instituto de Auditores Internos, sería aplicable aquí el planteamiento que se hace en dicho marco internacional con respecto a la planificación de la actividad de auditoría interna, donde se establece que «El director ejecutivo de auditoría debe establecer un plan basado en los riesgos, a fin de determinar las prioridades de la actividad de auditoría interna. Dichos planes deberán ser consistentes con las metas de la organización» (THE IIA, 2017, p. 12).

El mayor problema que se nos plantea con este aspecto del control financiero no es el de fijación de objetivos, sino el de la escasez de herramientas metodológicas para abordar este tipo de trabajos. Las normas técnicas, instrucciones y guías publicadas por la IGAE se ocupan principalmente de las auditorías de cuentas y de cumplimiento, pero no existe ninguna guía ni orientaciones específicas para realizar auditorías de gestión. Dado el interés que existe por este tipo de controles, en las referencias bibliográficas de este trabajo se han incluido las guías de auditoría de gestión de los Tribunales de cuentas español (TCU 2018) y europeo (TCE 2017) y unas directrices de éste último sobre evaluación de riesgos en las auditorías de gestión (TCE 2013).

3. Identificación y evaluación de riesgos

3.1. Sobre el concepto de riesgo

La finalidad del análisis de riesgos es identificar aquellas áreas de la gestión donde es más probable que se estén produciendo incumplimientos normativos, mala gestión o falta de fiabilidad de la información financiera, para concentrar en estas áreas el esfuerzo de control. Esto es lo que se entiende por áreas de mayor riesgo.

El RCIL define el riesgo como «la posibilidad de que se produzcan hechos o circunstancias en la gestión sometida a control susceptibles de generar incumplimientos de la normativa aplicable, falta de fiabilidad de la información financiera, inadecuada protección de los activos o falta de eficacia y eficiencia en la gestión». Es decir, refiere el riesgo a eventos que afectan negativamente a la consecución de los objetivos de la Entidad Local en relación con el cumplimiento de las normas, la presentación de información financiera y la buena gestión de sus recursos.

La finalidad del análisis de riesgos es identificar áreas de gestión donde es más probable que se estén produciendo incumplimientos normativos, mala gestión o falta de fiabilidad de la información financiera

El marco COSO de gestión de riesgos de 2004 definía el riesgo como «la posibilidad de que ocurra un evento y afecte adversamente a la consecución de los objetivos», contraponiéndolo al concepto de oportunidad, que sería «la posibilidad de que ocurra un evento y afecte positivamente a la consecución de los objetivos» (COSO 2004, p. 16). Este concepto de riesgo ha ido evolucionando hacia un enfoque más amplio y centrado en la incertidumbre en la aplicación de la estrategia y la consecución de objetivos, con independencia de que el efecto que se deriva de los eventos que pueden ocurrir sea positivo o negativo. Este nuevo enfoque ha sido recogido en la actualización del informe sobre gestión de riesgos realizada en 2017. En este documento, el concepto de riesgo pierde su significado negativo y se define como «la posibilidad de que ocurran eventos y afecten a la consecución de la estrategia y a los objetivos del negocio» (COSO 2017, p. 9).

Como hemos visto, la definición de riesgo que hace el RCIL mantiene ese carácter negativo que tenía en el marco COSO de 2004. En este trabajo utilizamos el concepto de riesgo del RCIL y siempre que hablamos de riesgos estamos refiriéndonos a eventos que afectan negativamente a la consecución de los fines de la entidad.

En un entorno teórico, en el que la Entidad Local tuviera establecido un sistema formal de gestión de riesgos, el PACF se haría tomando como referencia el mapa de riesgos preparado por la propia Entidad. Pero esta no es la situación que viven la inmensa mayoría de nuestras entidades locales, en las que el órgano interventor tendrá que preparar su propio mapa de riesgos. Y si trabajamos en un entorno en el que no existe una cultura de gestión de riesgos, lo más práctico será adoptar un enfoque global por áreas de riesgo en el que, en lugar de detallar un catálogo de riesgos concretos, realizamos una valoración general de las distintas áreas en que se desarrolla la gestión financiera de la Entidad. Este enfoque se puede abordar en varias etapas que se describen a continuación.

3.2. Identificación de áreas homogéneas de gestión

Las áreas de gestión se definen por la existencia de un conjunto de actividades de naturaleza homogénea y gestionadas bajo unos mismos criterios.

Lo normal es que las áreas de gestión se definan por tipos de actividad (Contratación, Subvenciones, Gastos de personal, Gestión de tesorería, Gestión de ingresos, etc.) pero puede darse el caso de que un mismo tipo de actividad (por ejemplo, la de concesión de subvenciones o la gestión de ingresos) deba desdoblarse en dos o más áreas en las que se aplican criterios distintos de gestión (en los mismos ejemplos, ayudas de carácter social y subvenciones para incentivar determinadas actividades; o ingresos tributarios, ingresos urbanísticos e ingresos de naturaleza privada).

El catálogo de áreas de gestión debe comprender toda la gestión financiera de la Entidad y para cada área de gestión deberá incorporar datos indicativos de su importancia relativa, tales como el importe económico o el número de expedientes gestionados en esa área.

3.3. Identificación de «factores de riesgo» de cada área

En el ámbito del control financiero, un factor de riesgo es una circunstancia o situación que incrementa la probabilidad de que se produzcan incumplimientos de la normativa aplicable, falta de fiabilidad de la información financiera, inadecuada protección de los activos o falta de eficacia y eficiencia en la gestión.

Entre los principales factores de riesgo que pueden afectar a la gestión financiera de la Entidad se encuentran: la existencia de estructuras organizativas complejas o sometidas a continuos cambios; normas y procedimientos complicados o mal definidos; realización por una misma unidad administrativa de una amplia variedad de operaciones; insuficiencia o cualificación inadecuada del personal; cambios en el entorno de la entidad… Estos son los más habituales, pero posibles factores de riesgo hay muchos. La guía del Tribunal de Cuentas Europeo sobre evaluación de riesgos en auditorías de gestión incorpora una «lista ilustrativa de factores de riesgo» que enumera hasta 68 posibles factores de riesgo agrupados en seis categorías distintas, en función del ámbito en que se producen (TCE, 2013, pp 19-20).

La presencia de factores de riesgo debe ser apreciada por el órgano interventor en base a su conocimiento de la organización y la información de que dispone

La presencia de estos factores de riesgo debe ser apreciada por el órgano interventor en base a su conocimiento de la organización y la información de que dispone por las distintas fuentes a su alcance (contabilidad, fiscalización previa, presencia en órganos colegiados). Esta apreciación tiene siempre un alto grado de subjetividad, que se puede reducir si el análisis se realiza por un equipo de varias personas que puedan aportar distintas perspectivas.

Un factor de riesgo (al igual que un riesgo concreto) puede afectar a varios de los objetivos de la Entidad y a distintos ámbitos de la gestión. Esto es muy habitual cuando examinamos la aplicación de normas que regulan procedimientos de gestión, pues muchas de estas disposiciones están pensadas para promover una gestión eficaz y eficiente, con lo que el incumplimiento de la norma implica una menor eficacia o eficiencia de la gestión.

Las circunstancias en que un riesgo puede afectar a varios objetivos pueden ser muy diversas. Pensemos, por ejemplo, en un endurecimiento de la legislación sobre protección de datos personales que afecta al contenido de los ficheros de la Entidad que contienen este tipo de datos y al diseño de los programas y procedimientos con los que se gestionan. La nueva situación coloca a la Entidad en riesgo de incumplir la nueva norma (cumplimiento normativo); provoca la obsolescencia inmediata de las aplicaciones informáticas que gestionan este tipo de datos (pérdida de activos); obliga a revisar la valoración contable de estas aplicaciones (información financiera) y a acometer nuevas inversiones para seguir realizando, dentro del nuevo marco legal, las mismas actividades que hasta ahora (pérdida de eficiencia).

Para documentar esta parte del análisis es recomendable construir una ficha de descripción de factores de riesgo en la que, para cada área de gestión, se identifiquen los factores de riesgo que le afectan, el tipo de riesgos que pueden presentarse y se incluya información sobre cómo se están materializando estos riesgos o que controles pueden estar mitigándolos. Esta información nos será de utilidad en la siguiente fase, la de valoración del riesgo. En el cuadro 1 se incluye un ejemplo de ficha descriptiva de factores de riesgo en el área de contratación de un Organismo público.

Cuadro 1

Organismo Ejemplo

Descripción de factores de riesgo en el área de contratación

Factores de riesgo Naturaleza y tipos de riesgo Observaciones

• Deficiente coordinación entre el área de contratación y las áreas operativas

• Ausencia de instrumentos de planificación

• Escasa dotación de personal cualificado

• Procedimientos de gestión informales, no respaldados por normativa interna

• Reciente entrada en vigor de una nueva Ley de Contratos del Sector Público (LA LEY 17734/2017)

De eficacia

• Deficiente identificación de las necesidades de la entidad

• Mala definición del objeto a contratar

• Retrasos en el inicio o en la tramitación del expediente de contratación

• Deficiente ejecución de la prestación por parte del contratista

De cumplimiento

• Omisión de trámites preceptivos

• Contenido inadecuado de la documentación del contrato

Numerosos contratos menores para atender necesidades que se ponen de manifiesto sin plazo para utilizar otros procedimientos menos ágiles

El pasado ejercicio, para dar continuidad a servicios externalizados cuyo contrato finalizó antes de que se hubiera adjudicado uno nuevo, se tramitaron 4 expedientes de convalidación y 70 contratos menores que dieron continuidad a 16 servicios cuya prestación se podría haber interrumpido al no estar adjudicado un nuevo contrato

Buen funcionamiento de la mesa de contratación

Asesoramiento jurídico de calidad

3.4. Valoración del riesgo

La finalidad de la valoración del riesgo es determinar con qué extensión puede un evento determinado afectar a la consecución de los objetivos de la entidad.

La valoración de riesgos se realiza desde una doble perspectiva: (1) La probabilidad de ocurrencia de eventos adversos y (2) el impacto que la ocurrencia de estos eventos puede tener sobre los objetivos de la Entidad. Es un proceso que comprende la utilización de técnicas cualitativas y cuantitativas. Estas últimas requieren disponer de información estadística y normalmente se utilizan como complemento de las primeras.

La probabilidad de ocurrencia de eventos adversos se puede asignar con una escala numérica, expresando la probabilidad como un porcentaje o como una fracción de la unidad, pero lo más habitual es utilizar una escala por tramos. Las más utilizadas suelen tener entre tres y seis tramos; en el ejemplo que exponemos más adelante, utilizamos una escala de cinco tramos (muy baja; baja; moderada; alta; muy alta).

La finalidad de la valoración del riesgo es determinar con qué extensión puede un evento determinado afectar a la consecución de los objetivos de la entidad

Como ocurría con la identificación de factores de riesgo, la asignación de una probabilidad a la ocurrencia de eventos adversos puede tener una alta dosis de subjetividad, que conviene reducir a través de un proceso con varios intervinientes que realicen sus valoraciones desde distintas perspectivas, pero también podemos utilizar referencias cuantitativas que reducen esa subjetividad. La estadística de deficiencias encontradas en la fiscalización previa o el historial de incumplimientos encontrados en controles de años anteriores son buenos indicadores para valorar la probabilidad de ocurrencia de riesgos cuando sus factores determinantes siguen siendo los mismos que había cuando se hicieron esos controles.

En el Organismo del cuadro 1 vemos que los factores de riesgo que afectan al área de contratación pueden dar lugar a que no consiga obtener las prestaciones que realmente necesita para realizar sus actividades (porque no identifica bien sus necesidades; porque no las describe correctamente; porque las identifica tarde, porque no actúa diligentemente para contratarlas o porque, una vez contratadas, no se las sirven correctamente). Sabemos que alguno de estos riesgos ya se ha manifestado con cierta frecuencia, al menos, en la identificación tardía de necesidades y en una tramitación poco diligente, lo que ha obligado a recurrir a contratos menores o ha dado lugar a convalidaciones. En este caso, en el área de contratación, la probabilidad de ocurrencia de un riesgo de eficacia puede valorarse como muy alta.

Siguiendo con nuestro ejemplo, los mismos factores de riesgo pueden dar lugar a incumplimientos normativos por omisión de trámites o por errores en la documentación del contrato, pero también sabemos que existen algunos factores que mitigan estos riesgos, al tener un asesoramiento jurídico de calidad y un buen funcionamiento del órgano colegiado. Estos factores nos llevan a valorar como moderada la probabilidad de ocurrencia de un riesgo de cumplimiento.

El impacto o severidad del riesgo expresa los efectos que su ocurrencia tiene sobre los objetivos de la Entidad. Al igual que con la probabilidad de ocurrencia, para valorar el impacto necesitamos disponer de una escala. Los modelos de evaluación suelen utilizar una escala semejante a la utilizada para valorar la probabilidad. En nuestro ejemplo, los cinco tramos antes mencionados.

El primer elemento a tener en cuenta en la valoración de impacto es la importancia relativa de la actividad afectada por el riesgo. Un riesgo que afecta a un área de gestión de elevado importe económico o donde se tramitan muchos expedientes debe preocuparnos más que si en el área afectada se gestionase un volumen reducido de recursos y pocos expedientes. También habrá que valorar si el riesgo afecta a todas las actividades del área o solamente a algunas.

Pero también aquí es preciso introducir consideraciones cualitativas que tengan en cuenta la naturaleza del riesgo y el modo en que afecta a la Entidad. En el ejemplo con el que estamos trabajando, si el Organismo tiene contratado con terceros el mantenimiento y gestión de instalaciones que son esenciales para poder desarrollar su actividad principal, un retraso en la tramitación del contrato afecta a las condiciones en que se desarrolla esta actividad, pudiendo llegar a interrumpirla.

En el Organismo de nuestro ejemplo, la contratación representa una parte relativamente importante de su actividad financiera. El impacto del riesgo de eficacia puede llegar a afectar al ejercicio de actividades del Organismo, mientras que el riesgo de cumplimiento se materializaría en la omisión de aspectos formales que, presumiblemente, no afectaría a trámites esenciales, toda vez que los controles previos tienden a centrarse en este tipo de trámites. En base a estas consideraciones, se estimó que el impacto del riesgo de ineficacia tendría un valor alto, mientras que al del riesgo de cumplimiento de le asignó un valor moderado.

4. Establecimiento de prioridades y selección de actuaciones a realizar

Una buena selección de actuaciones debe permitir concentrar el esfuerzo de control en aquellos ámbitos de gestión donde es más probable que se estén produciendo incumplimientos normativos, falta de fiabilidad de la información financiera o mala gestión de los recursos públicos. El proceso de identificación y evaluación de riesgos que hemos seguido hasta ahora nos proporciona información sobre:

  • Cuáles son los principales factores de riesgo que pueden afectar al cumplimiento de objetivos de la Entidad.
  • Cuáles son las áreas afectadas por estos factores.
  • La naturaleza de los riesgos que pueden presentarse (cumplimiento, información financiera, buena gestión).
  • Qué probabilidad existe de que se materialicen estos riesgos y cuál sería el impacto si esto llegase a ocurrir.

Si cruzamos esta información con nuestros objetivos de control, estaremos en condiciones de seleccionar las áreas y tipos de actuación donde las actuaciones de control pueden ser más eficaces en términos de identificación de problemas y búsqueda de soluciones.

Un mapa de riesgos es un gráfico de coordenadas cartesianas en el que están representados, de una manera sintética y resumida, los resultados del proceso de evaluación de riesgos

Una herramienta de trabajo de gran utilidad en esta fase de la planificación son los mapas de riesgos. Un mapa de riesgos es un gráfico de coordenadas cartesianas en el que están representados, de una manera sintética y resumida, los resultados del proceso de evaluación de riesgos que hemos descrito en los apartados anteriores. En el eje de abscisas representamos la probabilidad de ocurrencia del riesgo y en el de ordenadas el impacto. Los riesgos identificados (o, en nuestro caso, las áreas de riesgo) aparecen situados en el gráfico en la posición que corresponde a la probabilidad e impacto que les hemos asignado.

En el cuadro 2 hemos incluido un ejemplo de mapa de riesgos del proceso de planificación del control financiero de un Organismo público. Las áreas de riesgo identificadas comprenden todos los ámbitos de gestión financiera del organismo y en el mapa están representadas por sus iniciales, cuyo significado es el siguiente: (C) Contratación; (D) Devoluciones de ingresos; (St) Ejecución de sentencias; (Pt) Gestión del patrimonio; (Ts) Gestión de tesorería; (I) Ingresos (excepto transferencias); (J) Pagos a justificar y anticipos de caja fija; (Ps) Gastos de personal; (R) Reclamaciones patrimoniales; (Sb) Subvenciones concedidas; y (Tr) Transferencias recibidas.

En un mapa de riesgos las áreas de mayor riesgo son las representadas en la zona superior derecha, reduciéndose el riesgo cuando más se aproximan al origen del gráfico. Esta herramienta nos ayuda a seleccionar las áreas en las que concentrar nuestras acciones de control, pero no nos sirve para decidir qué acciones concretas debemos realizar. Para esto, una vez identificadas las áreas prioritarias, debemos volver al detalle del análisis de riesgos y considerar los distintos tipos de riesgo que habíamos identificado.

En nuestro ejemplo, habíamos visto que en el área de contratación había un riesgo de cumplimiento y un riesgo de ineficacia a los que habíamos asignado distintas valoraciones. En el mapa del cuadro 2, cada área está representada solamente por su riesgo de mayor valor. Podríamos haberlo complicado, incluyendo cada área tantas veces como riesgos valorados tuviera. El nivel de detalle depende del uso que le queramos dar al mapa de riesgos como representación sintética y abreviada de una realidad, pero lo que realmente importa es el análisis que hemos realizado para llegar a este mapa.

Cuadro 2

Mostrar/Ocultar Mostrar/Ocultar

La decisión final sobre qué controles realizar será el resultado de un proceso iterativo en el que tenemos en cuenta el riesgo global de todas las áreas identificadas como prioritarias y los distintos tipos de riesgo de cada una de ellas. Este análisis, complementado con la consideración de los recursos disponibles, nos ayuda a decidir qué controles incluir en nuestro PACF, pero también nos permite realizar una planificación plurianual para distribuir en el tiempo los controles a realizar, de modo que en un período de varios años podamos controlar todas las áreas de gestión de la Entidad, empezando siempre por las de mayor riesgo.

En el ejemplo de los riesgos del área de contratación, y a la vista del análisis que se hace en el apartado IV.3, los controles a realizar serían, por orden de prioridad:

  • 1. Control de eficacia del proceso de identificación de necesidades contractuales y programación de la contratación.
  • 2. Control de eficacia del sistema de supervisión sobre la ejecución de los contratos.
  • 3. Control de cumplimiento del procedimiento de contratación.

V. Análisis de riesgos en las actuaciones de control permanente y auditoría pública

1. El análisis de riesgos en las Normas de Auditoría del Sector Público y Normas Técnicas de la IGAE

La consideración del riesgo de que unas cuentas que se van a auditar contengan errores o incorrecciones materiales forma parte del ADN de los auditores y está siempre presente a la hora de abordar cualquier trabajo de auditoría. En nuestro sector público, las normas de auditoría de la IGAE establecen que, al planificar la auditoría, se determinará «el alcance, la naturaleza, el momento y la extensión de las pruebas a realizar en función del riesgo previsible» (IGAE, 1998, p. 17).

Los desarrollos conceptuales sobre el control interno que ha habido en los últimos años han dado lugar a importantes cambios en las normas de auditoría emitidas por distintas organizaciones normalizadoras. Por otra parte, una creciente presión regulatoria sobre la auditoría mercantil ha llevado a la adopción, por todos los Estados miembros de la Unión Europea, de las Normas Internacionales de Auditoría (NIA) emitidas por la IFAC, que desde 2013, con la nomenclatura NIA-ES, se han incorporado por el ICAC al catálogo de normas técnicas que regulan la auditoría de cuentas en España.

En el ámbito del sector público, INTOSAI ha integrado las NIA en su propia estructura de normas de auditoría, emitiendo para cada una de ellas una Nota Práctica que proporciona orientaciones adicionales para los auditores del sector público en relación con los distintos aspectos de la correspondiente NIA. Las normas de INTOSAI son seguidas por Tribunales de Cuentas e Instituciones Públicas de Control Externo de todo el mundo.

En febrero de 2015, unos meses después de que el ICAC incorporase las NIA-ES a su catálogo de normas técnicas, la IGAE puso en marcha un plan para revisar toda su normativa propia adaptándola a las NIA-ES (2) . Mientras se lleva a cabo esta adaptación, la Oficina Nacional de Auditoría (ONA) ha estado emitiendo diversas Notas Técnicas inspiradas en las NIA-ES, que han permitido adecuar el trabajo de los auditores de la IGAE a los principios recogidos en las nuevas normas. La consideración del riesgo en la planificación del trabajo se aborda en una Nota Técnica sobre planificación y evaluación del control interno en la auditoría de cuentas (ONA, 2016). Esta Nota Técnica detalla los documentos que deben ser tenidos en cuenta en la planificación y evaluación del control interno, incluyendo entre ellos la NIA-ES 315, Identificación y valoración de los riesgos de incorrección material mediante el conocimiento de la entidad auditada y su entorno.

Tanto las NIA-ES como las Notas Técnicas de la ONA están pensadas para la auditoría de cuentas que, como hemos visto en 4.1, recae solamente sobre los organismos y entidades dependientes del Ente Local, pero, más allá de la mención genérica que se hace en las NASP, no hay ninguna norma o guía de desarrollo de la IGAE que aborde el análisis de riesgos en la planificación de actuaciones de control financiero o de auditorías distintas de las de cuentas anuales. Las normas de referencia más próximas son los manuales de los Tribunales de Cuentas español y europeo y las Normas Internacionales para el ejercicio profesional de la auditoría interna, emitidas por el Instituto de Auditores Internos.

2. Identificación de eventos y valoración de riesgos

A falta de otras referencias en las NASP y Normas Técnicas de la IGAE, podemos acudir a las directrices sobre evaluación de riesgos en auditoría de gestión del Tribunal de Cuentas Europeo (TCE, 2013), con la cautela de que, como ocurre con todos los documentos de los Tribunales de Cuentas, están pensadas para un auditor externo que se aproxima a una entidad que no conoce en profundidad y lo primero que tiene que hacer es documentarse sobre su organización y funcionamiento internos.

El informe COSO sobre gestión de riesgos propone utilizar diversas aproximaciones para identificar eventos que puedan afectar a los objetivos de la entidad

Para hacer análisis de riesgos, el auditor externo siempre debe empezar por un profundo estudio de la entidad que le permita conocer bien su funcionamiento y su entorno. A este estudio se dedica una buena parte de las normas y manuales de auditoría de los auditores externos. En el caso de los interventores locales (igual que los del Estado o de las CCAA) este conocimiento ya existe, por lo que el auditor dispone de una buena base sobre la que construir el análisis de riesgos. Partiendo de ese conocimiento de la entidad, el primer paso a dar es la identificación de eventos que, de producirse, podrían afectar a las actividades de la Entidad en los aspectos que son objeto de la auditoría. En el caso del ejemplo que hemos venido utilizando, la eficacia del sistema de contratación.

El informe COSO sobre gestión de riesgos propone utilizar diversas aproximaciones para identificar eventos que puedan afectar a los objetivos de la entidad. Algunas de ellas (como la organización de talleres con personal de las distintas áreas de la entidad y de distintos niveles de responsabilidad) tienen difícil encaje cuando la identificación de riesgos se realiza para planificar una actuación de control financiero. Pero hay otras aproximaciones, como el análisis de procesos, o el análisis de información sobre eventos pasados, que pueden ser fácilmente utilizados en este contexto. Una de las más útiles es el análisis de procesos, que COSO propone realizar a partir de un mapa de procesos en el que estén gráficamente representados los distintos inputs, tareas, resultados y responsabilidades (COSO, 2018, p.70).

En el ejemplo con el que hemos trabajado se proponía realizar controles de eficacia del sistema de contratación. Este sistema está formado por los distintos procesos y subprocesos que se desencadenan desde que la entidad identifica una necesidad que debe ser atendida mediante un contrato hasta que esta necesidad ha sido satisfecha. La eficacia del sistema vendrá dada por su capacidad para conseguir que la entidad obtenga las prestaciones que necesita y en el momento en que las necesita. El riesgo será la posibilidad de que se produzcan eventos que puedan afectar a la consecución de este objetivo. Para servir de ayuda en la identificación de estos eventos se construyó un mapa de procesos, que aparece representado en el cuadro 3.

Cuadro 3

Mostrar/Ocultar Mostrar/Ocultar

Analizando los procesos que hemos relacionado, tratamos de identificar posibles eventos que puedan afectar a la consecución de los objetivos del sistema de contratación. En nuestro caso, tenemos dos tipos de riesgo: (1) Que el Organismo no obtenga la prestación que necesita y (2) que no la reciba en el momento que la necesita.

El análisis lo documentamos en una hoja de trabajo en la que listamos los distintos eventos que pueden producirse en cada proceso o grupo de procesos y, para cada evento, señalamos los controles que el Organismo tiene establecidos para prevenir su ocurrencia y las debilidades de control que le afectan. En el cuadro 4 tenemos un modelo de ficha de análisis de riesgos y controles de la fase de identificación y comunicación de necesidades de contratación.

Es importante destacar que este inventario de controles y debilidades de control no tiene por qué ser completo, pues se basa en el conocimiento previo que el auditor ha adquirido sobre la Entidad. Será durante la ejecución del control financiero cuando podremos comprobar si hay otros controles y si los que ya conocíamos están realmente funcionando.

Cuadro 4

Organismo Ejemplo.

Análisis de riesgos y controles para el control de eficacia de la identificación de necesidades contractuales y programación de la contratación:

Fase de identificación de necesidades y comunicación al Área de contratación

Procesos y subprocesos Posibles eventos Controles Debilidades de control
Identificación de nuevas necesidades Identificación tardía de necesidades, dando lugar a que se retrase el contrato y la obtención de la prestación. No existe un proceso de planificación de la contratación en el que se determinen las necesidades de contratación a partir de los objetivos del Organismo y las actividades que debe realizar para alcanzarlos.
Identificación errónea de necesidades que lleva a contratar una prestación que no satisface las necesidades del Organismo o las satisface solo parcialmente. Quien identifica las necesidades de contratación es la propia unidad operativa responsable del servicio o actividad que se propone contratar.
Decisión sobre la prórroga o nueva licitación de contratos existentes. Retrasos en la decisión sobre la prórroga o nueva licitación de un contrato provocan que se retrase su renovación y se interrumpa la prestación contratada. La continuidad del servicio puede asegurarse con contratos menores o sin contratarla, haciendo un encargo directo que luego debe ser sometido a convalidación, pero estas soluciones suponen incumplir la normativa de contratación. No existe una registro de contratos en el que conste la fecha de finalización y posibilidades de prórroga de todos los contratos vigentes, de modo que se puedan hacer análisis periódicos de qué contratos están próximos a finalizar.
Comunicación al Área de contratación de las necesidades identificadas. Comunicación tardía de necesidades a la unidad encargada de contratarlas, dando lugar a retrasos en su contratación. Todos los años, el Área de contratación requiere a las áreas operativas para que le comuniquen las necesidades de contratación para el año que comienza. No existe un procedimiento para la identificación y comunicación de necesidades. En la práctica las necesidades de nuevos contratos se identifican cuando se pone de manifiesto una carencia y se comunican puntualmente en ese momento.

La última fase de nuestro proceso es la valoración de riesgos en términos de probabilidad e impacto. Para ello, recogemos información cuantitativa y cualitativa sobre cada evento que nos pueda servir para valorarlo. En nuestro caso, aunque no tenemos una estadística completa de ocurrencias pasadas de cada evento, sí pudimos realizar una valoración de su frecuencia en una escala por tramos. Si el organismo no ha establecido nuevos controles ni ha realizado cambios que puedan afectar a estas ocurrencias, podemos proyectar la experiencia pasada para estimar las probabilidades de ocurrencia futuras, estableciendo una equivalencia entre la frecuencia de las ocurrencias pasadas y la probabilidad de ocurrencia futura.

El impacto dependerá del tipo de evento y riesgo asociado. Si el riesgo es que se retrase la obtención de la prestación que se quiere contratar, el impacto dependerá de la duración de ese retraso y, como no podemos establecer una correlación entre cada evento concreto y el tiempo de retraso, en todos ellos hemos valorado el impacto como alto. Cuando el riesgo es obtener una prestación que no satisfaga totalmente las necesidades del Organismo, el impacto dependerá de la distancia existente entre las necesidades reales y la prestación recibida; en nuestro ejemplo sólo teníamos un evento asociado a este tipo de riesgo y el impacto se valoró como muy alto, pues entendimos que, en términos generales, es más grave recibir una prestación que no se corresponde con las necesidades del Organismo que recibir tardíamente una prestación que si se corresponde.

La hoja de trabajo que refleja el proceso de valoración de los riesgos está recogida en el cuadro 5, en el que las frecuencias de ocurrencias pasadas se han clasificado en una escala de cinco tramos que, ordenados de menor a mayor frecuencia, son: casi nunca; ocasional; frecuente; habitual; y casi siempre. Las valoraciones asignadas de probabilidad e impacto se han representado como un mapa de calor para facilitar su visualización.

Cuadro 5

Organismo Ejemplo.

Evaluación de riesgos a considerar en el control financiero de eficacia de la identificación de necesidades contractuales y programación de la contratación

Fase de identificación de necesidades y comunicación al área de contratación

Eventos Historial de eventos pasados Otras consideraciones Probabilidad
Identificación tardía de necesidades, dando lugar a que se retrase el contrato y la obtención de la prestación. Frecuente. El problema afecta solo a las necesidades emergentes, que representan una parte reducida de la contratación total. Dentro de estas, las que afectan a objetivos estratégicos son objeto de mayor atención por la dirección del Organismo, lo que facilita su detección temprana. Moderada Alto
Identificación errónea de necesidades que lleva a contratar una prestación que no satisface las necesidades del Organismo o las satisface solo parcialmente. Ocasional Afectaría solo a necesidades emergentes, pero las consecuencias son más graves que un retraso en la contratación, pues se puede llegar a contratar una prestación que no satisface sus verdaderas necesidades o lo hace solo de forma parcial. Baja Muy alto
Retrasos en la decisión sobre la prórroga o nueva licitación de un contrato provocan que se retrasase su renovación y se interrumpa la prestación contratada. Habitual A este riesgo están expuestos todos los contratos cuando se aproxima el fin de su vigencia. Su materialización da lugar a una interrupción del servicio o actividad contratada o, alternativamente,(en aplicación del plan de contingencia) a la continuación del servicio sin contrato o amparado por contratos menores, en abierto incumplimiento de la LCSP. (LA LEY 17734/2017) Alta Alto
Se retrasa la comunicación al área de contratación de necesidades ya identificadas, dando lugar a retrasos en su contratación. Casi nunca Tiene los mismos efectos prácticos que una identificación tardía de las necesidades o un retraso en la decisión sobre la prórroga o renovación del contrato existente. Muy baja Alto

3. Respuesta del auditor a los riesgos valorados

El objetivo de nuestro control financiero es determinar qué grado de confianza podemos depositar en los procesos a través de los que se canaliza la contratación y. en su caso, proponer medidas para mejorarlos. Al tratarse de un control de eficacia, el grado de confianza y las medidas de mejora se refieren a cómo contribuyen los procesos de contratación a que la entidad obtenga las prestaciones que necesita y en el momento en que las necesita.

Para hacer una valoración, tendremos que estudiar cómo funcionan estos procesos, o cómo han funcionado en el pasado reciente. Esta valoración se apoyará en la realización de pruebas de auditoría en las que examinaremos la gestión de la contratación durante un período en el que se hayan aplicado los mismos procesos que están vigentes en la actualidad. Los pasos a dar serán los siguientes:

  • 1. Delimitar un período temporal en que se gestionaron los procesos de contratación que serán objeto del control de eficacia.
  • 2. Contrastar con la realidad el análisis de riesgos realizado en la planificación y ajustar la evaluación de esos riesgos.
  • 3. Estudiar los procesos y eventos de mayor riesgo (según la valoración ajustada) y posibles medidas de gestión de esos riesgos.

El primer paso es definir un alcance temporal al que referir nuestro objeto de estudio. El período temporal tiene que ser:

  • Lo más próximo en el tiempo al momento actual, de modo que sea representativo de la realidad existente en este momento.
  • Homogéneo desde el punto de vista de los procesos aplicados, para lo que debemos asegurarnos de que dentro de ese período no se han producido cambios organizativos o de los criterios de actuación.
  • Comprender un número de repeticiones de cada proceso lo suficientemente elevado como para obtener conclusiones globales, pero no tanto que haga inmanejable el volumen de datos con los que tenemos que trabajar.

Delimitado el alcance temporal, ya tenemos nuestro objeto de estudio, que serán los procesos que se han realizado durante ese período. El siguiente paso será contrastar el análisis de riesgos con la realidad del período. Para ello, diseñaremos pruebas que nos permitan identificar contratos cuya prestación no satisface enteramente las necesidades de la Entidad o se han recibido con retraso.

Las pruebas más habituales serán cuestionarios y entrevistas con los responsables de los servicios a los que iban destinados los contratos, pero caben otras, como analizar indicadores de ocupación o de utilización del objeto contratado, benchmarking entre distintos contratos, análisis de la rotación de material almacenado y antigüedad de las existencias, etc. En un primer momento se tratará de conocer la patología para después investigar su causa.

La patología es la contratación de prestaciones que no se corresponden con las necesidades de la entidad o que se reciben a destiempo (por lo general, tardíamente). Estos problemas se manifiestan a través de obras infrautilizadas o que no se han puesto en servicio; suministros que, después de adquirirse, se dejan apartados en un almacén, en espera de una hipotética necesidad de utilizarlos que nadie manifiesta; servicios infrautilizados o incapaces de dar respuesta al nivel de demanda que tienen; informes de consultoría cuyas recomendaciones ni siquiera han sido tenidas en consideración; prestaciones recibidas después de una espera prolongada con interrupciones del servicio; etc.

El estudio detallado de los procesos donde se origina la ineficacia nos permitirá conocer la naturaleza y contexto del riesgo y nos pondrá en condiciones de proponer medidas para gestionarlo

En el caso de las prestaciones o servicios que deban tener continuidad, el que no se haya interrumpido la prestación no siempre significa que el sistema de contratación haya funcionado correctamente. En estos casos hay que ver si, antes de iniciarse el contrato actual, la misma prestación se ha estado recibiendo sin contrato, dando lugar a convalidaciones del gasto y reconocimiento extrajudicial de las facturas, o mediante contratos menores encadenados, con los que se podría haber suplido la incapacidad del procedimiento ordinario para contratar esa prestación en el momento en que se necesitaba.

Una vez identificados los contratos en los que se ha puesto de manifiesto una gestión ineficaz, habrá que entrar en la historia completa de cada uno de ellos para ir aguas arriba, tratando de identificar el evento o secuencia de eventos causantes de la ineficacia. Repetido este análisis con todos los contratos que hemos calificado con algún grado de ineficacia, tendríamos una estadística de riesgos materializados, con indicación de su tasa de ocurrencia e impacto reales. Esta estadística nos está señalando los procesos y eventos de mayor riesgo, que estudiaremos en la tercera y última parte de nuestro trabajo de campo.

En esta última fase nos centraremos en los procesos y eventos asociados a más situaciones de ineficacia o a las más graves. Para ello, diseñaremos pruebas que nos permitan profundizar en cómo se desarrolla el proceso y las circunstancias que lo rodean: análisis de la normativa reguladora; descripción detallada del proceso tal y como se produce en la realidad; conocimiento de qué personal interviene, cargas de trabajo, tiempos de tramitación; etc. Estas pruebas se basan en herramientas analíticas, como el diseño de flujos de procesos, entrevistas con los responsables, estadísticas de actividad; pero también en el estudio detallado de expedientes concretos para conocer sus tiempos de tramitación, el tipo de expediente o las personas concretas que intervinieron en su tramitación.

Finalmente, el estudio detallado de los procesos donde se origina la ineficacia nos permitirá conocer la naturaleza y contexto del riesgo y nos pondrá en condiciones de proponer medidas para gestionarlo, que es el objetivo último del control financiero de eficacia.

VI. Conclusiones

El RCIL ha venido a completar el diseño del sistema de control interno de los Entes Locales, cubriendo así el vacío dejado por la falta de desarrollo normativo de la figura del control financiero, prevista en el art. 220 del TRLHL (LA LEY 362/2004).

Aunque el modelo de control interno que desarrolla el RCIL presenta limitaciones significativas, la regulación del control financiero supone un importante avance que, además de incorporar nuevos métodos de trabajo, permite poner el foco del control en los procesos y en la buena gestión, proporcionando al interventor una herramienta que le permite salirse del estrecho corsé de la fiscalización previa, circunscrita al cumplimiento de la normativa y centrada en una visión de cada expediente como un elemento aislado, sin tener en cuenta el contexto en que se produce.

El análisis de riesgos no se aplica de igual forma cuando hacemos el PACF que cuando planificamos una actuación concreta de control, pero el resultado de su aplicación es el mismo

Una de las novedades más importantes del RCIL es la aplicación del análisis de riesgos en la planificación del control financiero, novedad que se plantea en dos niveles distintos:

  • 1. Al nivel general de la Entidad Local, el RCIL establece que las actuaciones a incluir en el PACF se seleccionen sobre la base de un análisis de riesgos.
  • 2. Al nivel individual de cada actuación de control, las NASP, a las que se remite expresamente el propio RCIL, establecen que, en la planificación de la auditoría, las pruebas a realizar se determinen teniendo en cuenta el riesgo previsible.

El análisis de riesgos no se aplica de igual forma cuando hacemos el PACF que cuando planificamos una actuación concreta de control, pero el resultado de su aplicación es el mismo en ambos casos: nos permite identificar las áreas donde es más probable que se produzcan incumplimientos, mala gestión o falta de fiabilidad de la información financiera y donde, de producirse estas circunstancias, su impacto es más importante. De este modo podemos orientar nuestro esfuerzo de control hacia estas áreas de mayor riesgo, aumentando la eficacia y la eficiencia de las actuaciones de control.

VII. Abreviaturas y páginas web relacionadas

AGE Administración General del Estado
COSO Committee of Sponsoring Organizations of the Treadway Commission. https://www.coso.org/
IAIE Instituto de Auditores Internos de España. https://auditoresinternos.es/
ICAC Instituto de Contabilidad y Auditoría de Cuentas. http://www.icac.meh.es/
IFAC International Federation of Accountants. https://www.ifac.org/
IGAE Intervención General de la Administración del Estado. http://www.igae.pap.hacienda.gob.es/sitios/igae/es-ES/Paginas/Inicio.aspx
INTOSAI International Organization of Supreme Audit Institutions. http://www.intosai.org/
ISSAI International Standards of Supreme Audit Institutions. http://www.issai.org/
NASP Normas de Auditoría del Sector Público.
NIA Norma Internacional de Auditoría.
NIA-ES Norma Técnica de Auditoría, resultado de la adaptación de las Normas Internacionales de Auditoría para su aplicación en España.
OCEX Órganos de Control Externo Autonómicos. http://asocex.es/
ONA Oficina Nacional de Auditoría.
PACF Plan Anual de Control Financiero previsto en el art. 31 del RD 424/2017, de 28 de abril (LA LEY 7080/2017).
PIFC Public Internal Financial Control. http://ec.europa.eu/budget/library/biblio/documents/control/brochure_pifc_en.pdf
RCIL Real Decreto 424/2017, de 28 de abril (LA LEY 7080/2017), por el que se regula el régimen jurídico del control interno de las entidades del Sector Público Local.
TCE Tribunal de Cuentas Europeo. https://www.eca.europa.eu/es/Pages/ecadefault.aspx
TCu Tribunal de Cuentas. http://www.tcu.es/tribunal-de-cuentas/es/
The IIA The Institute of Internal Auditors. https://na.theiia.org/Pages/IIAHome.aspx
TRLHL (LA LEY 362/2004) Texto Refundido de la Ley Reguladora de las Haciendas Locales (LA LEY 362/2004), aprobado por Real Decreto Legislativo 2/2004, de 5 de marzo.
TSHP Tribunal Supremo de la Hacienda Pública, establecido por Real Decreto de 19 de junio de 1924.

VIII. Bibliografía

Comisión Europea (2006) Welcome to the world of PIFC. Disponible en http://ec.europa.eu/budget/library/biblio/documents/control/brochure_pifc_en.pdf (último acceso en septiembre de 2018).

COSO (1992) Internal Control-Integrated Framework. The Committee of Sponsoring Organizations of the Treadway Commission. Durhan, NC, 1994.

COSO (2004) Enterprise Risk Management-Integrated Framework. The Committee of Sponsoring Organizations of the Treadway Commission. Durhan, NC, 2004.

COSO (2013) Control Interno, Marco integrado. The Committee of Sponsoring Organizations of the Treadway Commission. Traducido el español por PwC y el Instituto de Auditores Internos de España. Madrid, 2013.

COSO (2015) Leveraging COSO across the three lines of defense (By the IIA, commissionead by COSO). Disponible en https://www.coso.org/Documents/COSO-2015-3LOD.pdf (último acceso en septiembre de 2018).

COSO (2018) Gestión del Riesgo Empresarial-Integrando Estrategia y Desempeño. The Committee of Sponsoring Organizations of the Treadway Commission. Traducido el español por PwC y el Instituto de Auditores Internos de España. Madrid, 2018.

Gutiérrez Robles, A. (1993) Historia de la Intervención General de la Administración del Estado. IGAE. Madrid, 1993.

ICAC (2013) NIA-ES 315. Identificación y valoración de los riesgos de incorrección material mediante el conocimiento de la entidad y su entorno. Disponible en http://www.icac.meh.es/NIAS/NIA%20315%20p%20def.pdf (último acceso en septiembre de 2018).

IGAE (1998) Resolución de 1 de septiembre de 1998 (LA LEY 3664/1998), por la que se ordena la publicación de la Resolución que aprueba las Normas de Auditoría del Sector Público. Disponible en http://www.igae.pap.hacienda.gob.es/sitios/igae/es-ES/Control/CFPyAP/Documents/Norma_de_Auditoria.pdf (último acceso en septiembre de 2018).

IAIE (2016) Aplicación del Marco Integrado de Control Interno (COSO) en el Sector Público Español. Instituto de Auditores Internos de España. Disponible en https://auditoresinternos.es/uploads/media_items/f%C3%A1bricacososectorp%C3%BAblico.original.pdf (último acceso en septiembre de 2018).

ISSAI (2018.09.13) INTOSAI-GOV 9100 Guidelines for Internal Control Standards for the Public Sector e INTOSAI-GOV 9130 Guidelines for Internal Control Standards for the Public Sector-Further Information on Entity Risk Management. Disponible en http://www.issai.org/en_us/site-issai/issai-framework/intosai-gov.htm (último acceso en septiembre de 2018).

Miaja, M. (2011) «La crisis de la Comisión Europea de 1999 y la reforma del Reglamento Financiero. Lecciones para España». Revista de la Asociación de Interventores y Auditores del Estado, n.o 4, julio a diciembre de 2011, pp. 79-95. Disponible en http://www.interventoresauditores.com/download/revista_acsiae_004.pdf (último acceso en septiembre de 2018).

Ministère de l’Action et des Comptes Publics (2018.09.17). Forum de la Performance. Disponible en https://www.performance-publique.budget.gouv.fr/performance-gestion-publiques/controle-interne#.W3a2ZOmbuUk (último acceso en septiembre de 2018).

ONA (2016) Nota Técnica de la Oficina Nacional de Auditoría 3/2016 sobre planificación y evaluación del control interno en la auditoría de cuentas. Disponible en http://www.igae.pap.hacienda.gob.es/sitios/igae/es-ES/Control/CFPyAP/Documents/16%2011%2014%20Nota%20T%C3%A9cnica%20ONA%203-%202016%20planificaci%C3%B3n%20y%20evaluaci%C3%B3n%20del%20control%20interno.pdf (último acceso en septiembre de 2018).

TCE (2013) Risk assessment in performance audits. Tribunal de Cuentas Europeo. Disponible en https://www.eca.europa.eu/Lists/ECADocuments/GUIDELINE_RISK_102013/GUIDELINE_RISK_102013_EN.pdf (último acceso en septiembre de 2018).

TCE (2017) Manual de auditoría de gestión. Tribunal de Cuentas Europeo. septiembre de 2017. Disponible en https://www.eca.europa.eu/Lists/ECADocuments/PERF_AUDIT_MANUAL/PERF_AUDIT_MANUAL_ES.PDF (último acceso en septiembre de 2018).

TCu (2018) Manual de fiscalización operativa o de gestión. Tribunal de Cuentas. Actualizado por acuerdo del pleno de 25/01/2018. Disponible en http://www.tcu.es/export/sites/default/.content/pdf/NormasManuales/ManualFiscalizacionOperativa.pdf (último acceso en septiembre de 2018).

The IIA (2013) Las tres líneas de defensa para una efectiva gestión de riesgos y control. The Institute of Internal Auditors. enero 2013. Disponible en https://na.theiia.org/translations/PublicDocuments/PP%20The%20Three%20Lines%20of%20Defense%20in%20Effective%20Risk%20Management%20and%20Control%20Spanish.pdf (último acceso en septiembre de 2018).

The IIA (2017) Normas Internacionales para el ejercicio profesional de la auditoría interna. Versión revisada en enero de 2017. Disponible en https://na.theiia.org/translations/PublicDocuments/IPPF-Standards-2017-Spanish.pdf (último acceso en septiembre de 2018).

Treadway et al (1987). Report of the National Commission on Fraudulent Financial Reporting. Disponible en https://www.coso.org/Documents/NCFFR.pdf (último acceso en septiembre de 2018).

(1)

Para anonimizarlo, hemos distorsionado algunos aspectos del caso.

Ver Texto
(2)

Resolución de 18 de febrero de 2014 (LA LEY 3223/2014), de la Intervención General de la Administración del Estado, por la que se establecen los objetivos y líneas básicas del proceso de adaptación de las Normas de Auditoría del Sector Público a las Normas Internacionales de Auditoría.

Ver Texto