Aproximación a la evaluación del Control Interno en las Auditorías Públicas sobre la Gestión Contractual

Jorge Castejón González
Auditor Nacional
Director de Equipos
Oficina Nacional de Auditoría (IGAE)

Aproximación a la evaluación del Control Interno en las Auditorías Públicas sobre la Gestión Contractual

RESUMEN / ABSTRACT:
Proponer una forma de evaluar el control interno de la gestión contractual implantado por una entidad del sector público de carácter empresarial tomando como referencia el concepto de control interno de las guías de INTOSAI. A estos efectos, sin perjuicio de la definición de los conceptos básicos utilizados, se señalan los que, en nuestra opinión, son los puntos clave del análisis, los principales riesgos de los procedimientos contractuales y algunos ejemplos de medidas mitigadoras de los mismos. Asimismo, por tener una relación relevante, se hace una referencia a la detección de fraude y a las finalidades de las auditorías públicas de cumplimento.
To propose a way of evaluating the internal control of the contractual management introduced by a business-oriented public entity taking as a reference the concept of internal control from the INTOSAI guides-guidelines. For this purpose, and without affecting the definition of the basic concepts which have been used, the points which, in our opinion, are central to the analysis, the main risks of contractual procedures and some examples of mitigating measures for them are indicated. Likewise, being meaningfully related, reference is made to fraud detection and to the objectives of compliance public audits.

PALABRAS CLAVE / KEY BOARDS :
control interno, gestión contractual, auditoría pública, riesgos, medidas mitigadoras.
internal control, contractual management, public audit, risks, mitigating measures.

INTRODUCCIÓN. CONCEPTOS BÁSICOS Y APROXIMACIÓN

Con carácter previo al desarrollo del objeto fundamental de este artículo, que es la aplicación al ámbito de la gestión contractual de la evaluación del control interno en el marco de la auditoría pública^[1], se considera necesario señalar diversos conceptos que permitirán centrar dicho objeto.

El primer aspecto que conviene recordar es el concepto de control interno. De las diversas definiciones existentes –Órganos de control externo, Organización Internacional de Entidades Fiscalizadoras Superiores (INTOSAI), Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO) o la propia Intervención General de la Administración del Estado (IGAE) en las Normas de Auditoría del Sector Público)– se destaca la que aporta INTOSAI en su Guía para las normas de control interno del sector público (2004):

“El control interno es un proceso integral efectuado por la gerencia y el personal, y está diseñado para enfrentarse a los riesgos y para dar una seguridad razonable de que en la consecución de la misión de la entidad, se alcanzarán los siguientes objetivos gerenciales:

• ejecución ordenada, ética, económica, eficiente y efectiva de las operaciones,
• cumplimiento de las obligaciones de responsabilidad,
• cumplimiento de las leyes y regulaciones aplicables,
• salvaguarda de los recursos para evitar pérdidas, mal uso y daño”.

Este artículo asume como base la existencia de control interno en las diversas entidades. Como parámetros sobre la bondad del control interno se tomarán las normas que al efecto ha emitido INTOSAI.

Este concepto de control interno es el punto de partida, por lo que habrá que revisar los diversos componentes de este control interno siguiendo dicho documento:
1. entorno de control,
2. Evaluación del riesgo,
3. actividades de control,
4. información y comunicación,
5. seguimiento.

Estos son los 5 componentes que destaca esta Guía, si bien, adaptaciones posteriores derivadas, a su vez, del Marco Integrado de la gestión de riesgos corporativos del COSO, han incorporado una nueva selección de componentes, que son:

1. ambiente interno,
2. establecimiento de objetivos,
3. identificación de eventos,
4. evaluación de riesgos,
5. respuestas a los riesgos,
6. actividades de control,
7. información y comunicación,
8. monitoreo.

Es decir, se amplía el análisis de los componentes para dar entrada a un mayor detalle de la identificación de eventos que constituyen riesgos-oportunidades, a las evaluaciones de los riesgos asociados en función de la probabilidad y el impacto, y a las diversas respuestas en forma de transferencia o reducción de riesgos, interrupción de las actividades o la simple tolerancia de los riesgos detectados.

Un segundo grupo de definiciones^[2] que conviene destacar es el de auditoría pública, auditoría de cumplimiento y auditoría operativa conforme a la Ley 47/2003, de 26 de noviembre, General Presupuestaria (LGP). Según el artículo 162 de la LGP:

“La auditoría pública consistirá en la verificación, realizada con posterioridad y efectuada de forma sistemática, de la actividad económico-financiera del sector público estatal, mediante la aplicación de los procedimientos de revisión selectivos contenidos en las normas de auditoría e instrucciones que dicte la Intervención General de la Administración del Estado”.

La auditoría de cumplimiento tiene por objeto, según el artículo 164.1.b) de la LGP, “la verificación de que los actos, operaciones y procedimientos de gestión económico-financiera (de los entes del sector público estatal) se han desarrollado de conformidad con las normas que les son de aplicación”. El artículo 169 de la LGP establece que “La Intervención General de la Administración del Estado realizará la auditoría de cumplimiento de aquellos órganos y entidades del sector público estatal que se incluyan en el Plan anual de Auditorías, y comprenderá la verificación selectiva de la adecuación a la legalidad de la gestión presupuestaria, de contratación, personal, ingresos y gestión de subvenciones, así como de cualquier otro aspecto de la actividad económico financiero de las entidades auditadas”.

De esta forma, los controles a posteriori que versan sobre la legalidad de la gestión económico financiera de los entes del sector público estatal no sujetos a control financiero permanente se realizan mediante las auditorías de cumplimiento que, como se ha señalado, es un tipo de auditoría pública.

Por su parte, la auditoría operativa se define en el artículo 164.1.c) de la LGP como “el examen sistemático y objetivo de las operaciones y procedimientos de una organización, programa, actividad o función pública, con el objeto de proporcionar una valoración independiente de su racionalidad económico-financiera y su adecuación a los principios de la buena gestión, a fin de detectar sus posibles deficiencias y proponer las recomendaciones oportunas en orden a la corrección de aquéllas”.

Es habitual que en el Plan de Auditorías se incluyan trabajos que combinen objetivos de ambos tipos de auditoría pública, como habilita el artículo 164.2 de la LGP.

La tercera y última cuestión que permite centrar el tema es ¿qué se entiende por gestión contractual? La gestión contractual es el proceso que surge en el descubrimiento de una necesidad que ha de satisfacerse mediante terceras personas ajenas a la entidad y cuya contratación está sujeta a la normativa reguladora de la actividad contractual del sector público (Real Decreto Legislativo 3/2011, de 14 de noviembre, por el que se aprueba el texto refundido de la Ley de Contratos del Sector Público.—TRLCSP— o la Ley 31/2007, de 30 de octubre, sobre procedimientos de contratación en los sectores del agua, la energía, los transportes y los servicios postales y resto de normativa desarrollo—LCSE– y normativa de desarrollo).

Una vez definidos estos conceptos, se desarrolla el objeto concreto de este artículo que no es otro que una aproximación al análisis del control interno de la gestión contractual de una entidad en el marco de una auditoría pública, ya sea una auditoría de cumplimiento o una auditoría operativa^[3].

ANALIZANDO EL CONTROL INTERNO. UBICACIÓN DENTRO DE LAS FASES DE AUDITORÍA

Es de sobra conocido que el análisis del control interno es una actividad que se despliega en las fases iniciales de las auditorías, concretamente en la fase de planificación, cualquiera que sea el tipo de éstas. La fase de planificación implica, siguiendo la ISSAI 4100 (Directrices para la auditoría de cumplimiento realizada separadamente de la auditoría de estados financieros):

• obtener una adecuada delimitación del objeto a controlar,
• determinar los criterios o pautas con los que comparar la actividad controlada,
• conseguir un amplio grado de conocimiento de la entidad y de su actividad,
• determinar la estrategia y el programa de auditoría,
• realizar una comprensión del control interno de la entidad auditada,
• fijar la materialidad,
• analizar los riesgos.

De todas esas necesidades que implica planificar la auditoría se pondrá especial énfasis en los aspectos relativos a la comprensión del control interno de la entidad auditada y el análisis de los riesgos, con el objeto de poder analizar la bondad del modelo. Como ya señalaban las Normas de Auditoría del Sector Público de la IGAE del año 1983 (NASP 83) en relación con las características del sistema de control interno, “un auditor debe entender y considerar:

     Que cada entidad y su entorno son únicos, por lo que es necesario realizar un enfoque de evaluación específico que tenga en cuenta las condiciones singulares
       (…)
      Los riesgos inherentes a la Entidad”.

Por tanto, es la fase de planificación la que va a centrar el análisis de control interno sin perjuicio de la retroalimentación que se derive de la fase de ejecución de los trabajos.

ASPECTOS DE NECESARIO ANÁLISIS. PUNTOS CLAVE

En el proceso de conocimiento y acercamiento a la gestión contractual de la entidad auditada se plantean diversas cuestiones que se hacen imprescindibles. En primer lugar, la organización de la entidad^[4]. La estructura organizativa de los departamentos de contratación y de la gestión contractual en general, exige una serie de parámetros, como son:

• Segregación de las funciones de propuesta de necesidades (departamento gestor), de gestión de expedientes (contratación), de valoración técnica (órgano técnico), de resolución de expedientes (órgano de contratación), de seguimiento de ejecución (departamento gestor), de pago de facturas, etc. Las funciones del iter procedimental han de estar repartidas entre los distintos departamentos de “gasto” y de “gestión”, articulándose las relaciones mediante instrumentos concretos (mesas de apertura de plicas, reuniones entre los responsables de departamentos para analizar los problemas detectados en procedimientos concretos, reuniones periódicas para la planificación y resolución de discrepancias, etc.).
• Definición de responsabilidades en las diversas fases (autorización de inicio, fijación de criterios de valoración de ofertas, valoración de ofertas, etc.) y determinación de posibles delegaciones de las autorizaciones.
• Existencia de unidades de control interno o auditoría interna (opcional). La existencia de estas unidades permitirán utilizar los trabaj
os realizados, en su caso.

Además del análisis organizativo, otro punto clave y muy relacionado con la estructura es el análisis de los procedimientos de gestión diseñados, fundamentalmente a través de los manuales existentes y de entrevistas con los responsables, que se concretarán en los correspondientes flujogramas con diversos objetivos:

1. Conocer el procedimiento de gestión contractual. Un conocimiento amplio del procedimiento requiere tomar conciencia de:
   a. Las funciones desarrolladas en cada eslabón de la cadena de gestión.
   b. La definición de responsabilidades entre los departamentos.
   c. La distribución de la potestad decisoria sobre los aspectos esenciales de los procedimientos, por ejemplo, quién decide el procedimiento de adjudicación a implementar, los criterios de valoración de ofertas, las ponderaciones técnico económicas o la elección de un criterio único de mejor precio.
   d. La existencia de herramientas de gestión contractual definidas de manera horizontal para los distintos departamentos, en su caso. Entre estas herramientas destaca la elaboración de Pliegos tipo o de normas internas de contratación.

2. Analizar si se han diseñado actividades de control adecuadas insertas en el procedimiento de gestión (segregación de funciones, autorizaciones preceptivas y aprobaciones, verificaciones en la entrega de suministros, conciliaciones —p.e. para límites de acuerdos marco—, revisión de los procedimientos o la supervisión de los trabajos). Especial significación adquieren los sistemas informáticos aplicados en la gestión, ya que a través de los mismos pueden incluirse controles automáticos.

3. Verificar el cumplimiento de dichos procedimientos. A estos efectos se realizarán las pruebas de cumplimiento[5] que procedan mediante el análisis de expedientes, el control de filtros si existen sistemas informáticos aplicados, etc.

En tercer lugar, es conveniente verificar si los procedimientos definidos cubren de manera adecuada los riesgos de la gestión contractual que desarrolla la entidad, es decir, el análisis de los riesgos debe ser individualizado. Así, por ejemplo, en una entidad cuya actividad contractual consiste básicamente en contratos menores o de adjudicación directa por importe, el foco no hay que ponerlo en si cubre adecuadamente el principio de publicidad sino más bien en el cumplimiento del principio de concurrencia. Por ello, es necesario definir los riesgos específicos priorizando aquellas situaciones que conduzcan de manera directa al incumplimiento normativo o a actuaciones contrarias a los principios de buena gestión financiera en aspectos significativos. Las actuaciones, entre otras, que más atentan contra los principios de contratación serían:

• Limitaciones del principio de publicidad en los procedimientos de adjudicación:

Esta “ocultación u opacidad de los contratos” se produce normalmente recurriendo a dos tipos de procedimientos:

1. Procedimientos negociados sin publicidad basándose en las causas previstas en las distintas leyes reguladoras en materia contractual. En el caso de poderes no adjudicadores o de poderes adjudicadores en expedientes no sujetos a regulación armonizada es habitual la traslación de estas causas a sus normas internas, lo que además está en consonancia con la Comunicación Interpretativa de la Comisión sobre el Derecho comunitario aplicable en la adjudicación de contratos no cubiertos o sólo parcialmente cubiertos por las Directivas sobre contratación pública (2006/C 179/02). Para evitar la incorrecta aplicación de estas causas que permiten el recurso a los procedimientos negociados sin publicidad tendrán que diseñarse pruebas específicas de análisis de la causa alegada y el supuesto de hecho sobre el que se aplica, de manera singular es relevante en los contratos sujetos a la LCSE.

2. Procedimientos de adjudicación directa por razón de importe. Las normas reguladoras establecen que los contratos cuyo valor estimado sea inferior a ciertos importes podrán adjudicarse mediante procedimientos negociados sin publicidad e incluso los inferiores a determinados umbrales se podrán adjudicar de manera directa sin recurrir a instrumentos de publicidad del procedimiento (contratos menores). En el uso de esta posibilidad existe el riesgo de fraccionamiento del objeto para aplicar una normativa distinta a la que sería procedente por el importe del objeto eludiendo así la publicidad exigida.

• Evitar la concurrencia: en aquellos supuestos en los que no hay publicidad:
Al estar garantizada, a priori, la posibilidad de concurrencia en los procedimientos de adjudicación con publicidad, es conveniente para aquellos casos en los que ésta no se requiere promover la concurrencia necesaria por diversas razones como la reducción de costes, la dependencia que se puede generar, mejores soluciones técnicas, etc., si bien, es usual encontrarse con los mismos proveedores con un grado de concentración relevante. A estos efectos puede ser útil la inclusión de limitaciones en los propios pliegos de contratación.

•Cláusulas de limitación de la igualdad entre los potenciales licitadores y de discriminación:
En este caso el riesgo es no seleccionar la oferta económicamente más ventajosa para la entidad utilizando criterios de desigualdad como, por ejemplo, exigencia de determinadas marcas, criterios de empresa para la selección de ofertas, etc. Sobre este último aspecto, y circunscribiéndose a aquellos entes que no disponen de mesas de contratación con la clásica participación de un representante del órgano de control (IGAE, en el ámbito estatal) y del asesor jurídico (Abogacía del Estado en ese mismo ámbito), en los cuales este hecho no era significativo, la práctica contractual ha ido mejorando al reducirse de manera significativa los supuestos de utilización de criterios de valoración relacionados con la experiencia en la realización de prestaciones similares en la misma o distinta entidad.

Otros riesgos que se suelen analizar desde la óptica de la eficiencia y la eficacia de los procedimientos son:

• Selección de ofertas más costosas por utilización de criterios de valoración de las ofertas inadecuados, de definiciones poco precisas del objeto contractual, de ponderaciones técnico económicas inapropiadas o de fórmulas que reduzcan el peso teórico asignado de la oferta económica por la simple utilización de las mismas. Sobre la aplicación de ponderaciones inadecuadas se significan especialmente los con
tratos de servicios o suministros estandarizados cuya valoración debe ser de “criterio único precio” en lugar de introducir criterios técnicos que pueden ser superados con una correcta definición del objeto contractual, como por ejemplo los contratos de limpieza de edificios administrativos. En relación con las fórmulas de valoración es suficiente analizar los pliegos de contratación de algunas entidades y verificar las divergencias existentes entre las mismas. Estas divergencias pueden suponer diferencias significativas en la selección de la oferta económicamente más ventajosa.^[6]

• Comportamientos oligopolísticos mediante reparto de contratos por los “grandes” proveedores. En determinados sectores pueden producirse comportamientos estratégicos de las grandes corporaciones para el reparto de las licitaciones por lo que el conocimiento del sector de actividad de la entidad objeto de control adquiere especial relevancia para evaluar este riesgo. Por ejemplo, pueden citarse las grandes infraestructuras o suministros especiales (maquinaria, vehículos de tracción específicos…). Recientemente, la Comisión Nacional de la Competencia ha resuelto un expediente sancionador a 47 empresas por adoptar comportamientos colusorios en los procedimientos de adjudicación de obra pública.

• Circunstancias que en la fase de ejecución alteren el coste de los contratos mediante modificaciones que no se habían previsto por diversos errores y que tienden a “igualar” el coste final con el presupuesto de licitación. Este punto ha sido objeto de análisis no sólo por los departamentos gestores de los contratos sino directamente por la Comisión Europea a través de dictámenes motivados en los que se critica el régimen de modificaciones de contratos. En base a ello, se ha procedido a incorporar un nuevo régimen de modificaciones de contratos a través de la Ley 2/2011, de 4 de marzo, de Economía Sostenible que, aplicable los contratos del sector público, intentará limitar estos incrementos de costes sin justificación. Paralelamente habrá de controlarse el incremento de otras figuras tales como los contratos complementarios.

Ante este tipo de riesgos es necesario conocer si las actividades de control diseñadas cubren esta gama de una manera razonable puesto que, evidentemente, todo control interno tiene sus propias limitaciones, como son la rentabilidad coste-beneficio del sistema, errores de juicio en la apreciación de las circunstancias por factores humanos, comportamientos colusorios de agentes implicados en el control interno, etc.

Estos riesgos deben ser comentados y contrastados con la gerencia para analizar la importancia que le conceden a los mismos desde su relevancia y la probabilidad de que suceda. Ante ellos, la gerencia habrá debido adoptar medidas de tolerancia o tratamiento, ya que las clásicas de eliminación y transferencia de riesgos[7] no tienen cabida en la gestión contractual, dada la necesidad en la contratación y la imposibilidad de transferir las responsabilidades del órgano de contratación, respectivamente.

ASPECTOS DE NECESARIO ANÁLISIS. ENCAJE Y RESPUESTA A LOS RIESGOS

Una vez evaluados los riesgos con la gerencia se iniciaría, como se ha señalado, el análisis del encaje de las actividades de control que, en su caso, se hayan definido. Estas actividades de control pueden ser, como se señala en el párrafo anterior, de dos tipos: tolerancia o tratamiento.
Pag 78 grafico.jpg
Respecto a la primera posibilidad, la tolerancia, no se hará referencia porque implica la no existencia de actividad de control, si bien, ello implicará que el sistema de control interno puede tener una deficiencia que habrá que evaluar conforme a los niveles de riesgo asignados y tendrá su inmediata consecuencia en la extensión de las pruebas sustantivas.

En el segundo grupo de actividades de control, se valorarían todas aquellas medidas insertadas en los procedimientos que mitigan el riesgo. Estas actividades deben tener una serie de características básicas que tendrán que evaluarse:

• Definición concreta de las actividades.
• Adecuación al riesgo que se pretende mitigar.
• Grado de continuidad en el funcionamiento.
• Nivel de aceptación y comprensión de la medida.

A modo de ejemplo, se analiza la siguiente instrucción en relación con la tramitación de un expediente de contratación al que se pretende no aplicar las normas de publicidad por concurrir una causa de las señaladas en las normativas reguladoras de contratación:

Redacción A:

“Las propuestas de contratación deberán contener los motivos que generan las necesidades, justificación de no poder realizarse la actividad por medios propios, estudio sobre el valor de mercado de las prestaciones que se pretenden contratar, las características básicas del objeto y, en su caso, causa que justifica el no recurso a licitaciones con publicidad.

Las propuestas remitidas deberán ser firmadas por el departamento peticionario y deberán ser aprobadas. Una vez remitidas se procederá a su tramitación en los términos señalados por el departamento de contratación”.

Este extracto de normas de contratación incluye una segregación de funciones muy tenue y referente únicamente a la gestión de los expedientes. No obstante, si se analiza desde la óptica de la publicidad de los procedimientos parece a todas luces insuficiente la medida adoptada, cual es que el superior del órgano peticionario avale esta opción.

Redacción B:

“El departamento peticionario elaborará la propuesta de contratación con indicación de los motivos que generan las necesidades, justificación de no poder realizarse la actividad por medios propios, estudio sobre el valor de mercado de las prestaciones que se pretenden contratar y las características básicas del objeto.

Si se opta por procedimientos sin publicidad por razones distintas de la cuantía será necesario que se señale la causa legal que habilita el uso de este procedimiento, justificación de por qué se recurre al mismo y requerirá autorización del máximo responsable del Departamento de Contratación (cuyo rango es significativo en la estructura al depender directamente de Presidencia) y del responsable de la asesoría jurídica. Independientemente de la causa que habilite el procedimiento negociado sin publicidad deberán constar en el expediente al menos 3 ofertas de diversos licitadores, siempre que las condiciones del mercado lo permitan. Se deberán justificar las razones por las que se omite la concurrencia para su validación por los órganos anteriores.”

Es evidente que existe un mecanismo similar en ambos casos, como es la autorización, pero la config
uración de uno y otro sistema genera diferencias en la fiabilidad que se le otorgaría a efectos de extensión de las pruebas sustantivas. No obstante, no basta con una configuración adecuada, sino que es necesaria una implementación de las medidas que hagan efectivos los controles. Desde este punto de vista se deberían valorar, entre otros, los siguientes aspectos:

• Grado de aceptación de las autorizaciones por la plantilla (mero trámite o control real).
• Existencia de medidas penalizadoras para los órganos que tramiten propuestas fallidas.
• Grado de capacitación de los “autorizadores” para decidir sobre la procedencia de las causas alegadas.

Además, esta actividad de control, que es de carácter detectivo, no es suficiente y, en todo caso, se considera necesaria e ineludible la adopción de medidas correctoras que se articularían a través, básicamente, de revisiones aleatorias de los procedimientos en los que se haya prescindido de los medios de publicidad.

En definitiva, siguiendo la Guía de INTOSAI, se trata de:

• Determinar la importancia y el grado de sensibilidad del riesgo al que los controles están siendo dirigidos;
• Valorar la susceptibilidad del mal uso de recursos, las fallas relacionadas con los objetivos de ética, economía, eficiencia o eficacia o los errores al cumplir con las obligaciones de contabilidad, y el no cumplimiento de las leyes y regulaciones;
• Identificar y comprender los controles relevantes;
• Determinar lo que ya se conoce sobre la efectividad del control;
• Evaluar si el diseño de control es adecuado;
• Determinar, a través de pruebas, si los controles son efectivos;
• Reportar sobre la evaluación del control interno y discutir las acciones.

IMPACTO DEL CONTROL INTERNO EJERCIDO MEDIANTE SISTEMAS INFORMÁTICOS

En lo relativo a las actividades de control mediante sistemas informáticos es necesario distinguir los controles generales, es decir, aquellos diseñados para la generalidad de la entidad, como son los controles de acceso, programas de seguridad, continuidad del servicio, etc., de la aplicación de controles a procedimientos específicos, que se diseñan como controles detectivos.

Resulta evidente que la efectividad de los controles generales es un factor relevante sobre la efectividad de los controles de aplicación. La importancia que los sistemas informáticos tienen en materia contractual es inferior quizás a otros aspectos como la contabilidad, pero ello no nos puede hacer reducir su relevancia. Así, los sistemas se pueden configurar mediante filtros que permitan validar datos que se introducen, fundamentalmente cuantitativos pero en ciertos casos también cualitativos. Por ejemplo, si se introducen datos de presupuestos de licitación con prórrogas, el sistema no debería aceptar un valor estimado igual que el presupuesto de licitación o, si el importe supera los umbrales comunitarios, la selección de la normativa tendría que ser sujeta a regulación armonizada de manera automática o, por último, en los contratos de servicios por importe superior a los umbrales de la normativa comunitaria, la inclusión de una clasificación de actividades económicas debería tener relación con la ubicación del contrato en una categoría u otra de contratos prevista en los anexos de las leyes reguladoras de la contratación y, por ende, con el régimen de publicidad aplicable.

Se considera que los modelos de aplicación informática de gestión contractual no están suficientemente desarrollados y que requieren de una adaptación significativa a las características de la entidad (organización, régimen jurídico, etc.). No obstante, debe ponderarse que, aún cuando puede ser muy útil, el coste puede ser mayor que los beneficios en este caso, o bien que su implantación pueda introducir excesivas rigideces que, sin duda, mejorarían la calidad de la gestión, pero impedirían a los gestores los “habituales” datos para “engañar” al sistema en pos de, en el mejor de los casos, una gestión eficiente.

BREVE REFERENCIA AL FRAUDE Y A SU RELACIÓN CON LAS AUDITORÍAS PÚBLICAS DE LA GESTIÓN CONTRACTUAL

Como señala la ISSAI 4100 (párrafo 118) “aunque detectar posibles ilícitos, comprendido el fraude, no es en principio objetivo principal de una auditoría de cumplimiento, los auditores del sector público incluyen el fraude como factor de riesgo al efectuar el análisis de riesgos, y se mantendrán alerta ante la posibilidad de que surjan indicios de actos ilícitos, comprendido el fraude, al llevar a cabo su labor”. El diseño de las auditorías no es específico para garantizar la no existencia de estos efectos, puesto que las formas de corrupción son difícilmente detectables (limitaciones de control interno y de la auditoría, que no dispone de herramientas adecuadas), al tratarse de acuerdos entre elementos de la organización que convienen, por ejemplo, en alterar las puntuaciones para conseguir un adjudicatario concreto, en aceptar modificaciones de contratos al alza con aceptación del técnico y el departamento de contratación, conformidad del responsable del contrato con facturas o certificaciones sin que se hayan realizado las prestaciones, etc.

En consecuencia, es posible detectar casos de corrupción y, en ese caso, proceder de la manera regulada, esto es, emisión de informes especiales en el caso de la IGAE, si bien éste no es el objetivo de los trabajos. Todo ello sin perjuicio de que si existen sospechas de las que no pueda obtenerse evidencia, podrán comunicarse a la dirección para que realice las indagaciones oportunas.

CONCLUSIONES DE LA EVALUACIÓN DEL SISTEMA DE CONTROL INTERNO

Una vez valorados los procedimientos, los riesgos de la actividad contractual y la cobertura de éstos mediante medidas “mitigadoras”, debe concluirse acerca de la bondad del control interno. Ello requiere un análisis detallado sobre los riesgos residuales, es decir, los no controlados, sea conscientemente o no, por la entidad. Este análisis debe completarse con el realizado sobre riesgos que sí hayan sido objeto de actividades de control para, principalmente:

1. Poder evaluar el riesgo real dadas las probabilidades de riesgo y el efecto que tendría (difícil valoración en caso de cumplimiento de legalidad).
2. Diseñar, si se considera adecuado, procedimientos de auditoría específicos con impacto en la extensión de las pruebas de cumplimiento.
3. Comunicaciones a la gerencia de aquellas cuestiones detectadas en la evaluación de control interno ya sea por:
    a. Ausencia de controles sobre riesgos significativos.
    b. Controles no aplicados en la práctica.
    c. Controles insuficientes.
    d. C
ontroles excesivos que introducen rigideces que afectan a la eficiencia de los procedimientos.

PROPUESTAS DE EVALUACIÓN EN UN PROCEDIMIENTO DE GESTIÓN CONTRACTUAL PARA CONTROL DE DIVERSOS RIESGOS TÍPICOS (PUBLICIDAD Y OFERTA ECONÓMICAMENTE MÁS VENTAJOSA)

Para el riesgo típico relacionado con la publicidad, los pasos a seguir serían:

1. Evaluar el grado de utilización de los procedimientos sin publicidad por parte de la entidad puesto que, si es muy bajo, el riesgo de que se produzca un incumplimiento es menor (Probabilidad de riesgo).
2. Valorar el impacto que tendría el hecho de recurrir a un procedimiento “opaco” sin justificación (Impacto del riesgo).
3. Analizar el procedimiento: se observa que existe un mecanismo de control basado en una autorización del expediente (al igual que para el resto de expedientes con publicidad) y la exigencia de introducir en un apartado la causa legal habilitante.

Ante este mecanismo de control, se puede entender que el control es mínimo por no señalar que se omite cualquier sistema específico de control de este riesgo. Por ello, se debería proponer, siempre que en la matriz de riesgos se observe la necesidad de adoptar un plan de contingencia en este aspecto, algunas de las siguientes actividades de control:

• Niveles de autorización específicos en los supuestos de procedimientos “opacos”.
• Exigencia de validación por los órganos de asesoría jurídica.
• Definición de las responsabilidades de autorización y validación anteriores.
• Segregación de funciones:
   – Propuesta del peticionario adjuntando definición técnica del objeto.
   – Pliegos tipo y tramitación del expediente por el órgano de contratación.
   – Selección de procedimientos de adjudicación por el departamento de contratación, así como la ponderación de los criterios de valoración propuestos por el peticionario. En caso de discrepancia se eleva a un órgano colegiado con representación conjunta de los departamentos peticionario, de contratación y jurídico.
• Procedimientos de revisión aleatorios sobre muestras por parte de un hipotético departamento de auditoría interna o análisis por entidades externas.

Para el riesgo típico relacionado con la selección de oferta que no es la más ventajosa económicamente, los pasos a seguir serían:

Al igual que en el caso anterior, se debería analizar la probabilidad y el impacto de riesgo en función de la práctica contractual de la entidad. Así, la aplicación de procedimientos basados únicamente en precio, por ejemplo, incide en que la probabilidad de riesgo sea inferior. Respecto al impacto que se produciría por una selección errónea, sería un aspecto de menor relevancia para la entidad si se compara con un incumplimiento normativo como el descrito en relación con la publicidad.

En tercer lugar, se evaluaría el procedimiento existente que consiste en lo siguiente:

• En documentos internos (pliegos tipo o documentos de buenas prácticas) se aconsejan ponderaciones relativas técnico económicas y criterios de valoración, pero sólo para determinados tipos de contratos.
• Las ponderaciones, criterios y fórmulas son propuestas por el departamento peticionario y son decisivas respecto a los criterios y a las fórmulas de valoración, mientras que las ponderaciones deben ser autorizadas por el departamento de contratación para garantizar la homogeneidad.

En este caso, se puede advertir que el procedimiento diseñado es el de un control muy incipiente, ya que son los controles básicos que existan dentro del departamento peticionario y los que se ejercen sobre las ponderaciones por el departamento de contratación, si bien, estos procedimientos de control no impiden por sí mismos comportamientos estratégicos del peticionario para “dirigir” la adjudicación.

Como propuestas de control, se destacarían las siguientes:

• Elaboración de PCP tipo que incorporen las fórmulas de valoración, en el aspecto técnico y en el económico, con carácter obligatorio, que hayan sido previamente estudiadas y garanticen la objetividad e igualdad. Como es conocido, la utilización de fórmulas de pendiente reducida en el aspecto económico acompañadas de fórmulas técnicas con la mejor oferta con valoración máxima desvirtúan la ponderación teórica fijada.
• Elaboración de Documentos internos de mejores prácticas sobre la fijación de las ponderaciones técnico económicas que deben ser valoradas por el departamento de contratación antes de validar el PCP del contrato sobre el que, además, tendrá carácter decisorio.
• Fijación de controles en el departamento de contratación para conciliar, cada cierto periodo, los distintos tipos de contratos de los distintos peticionarios. Todo ello en aras de garantizar la homogeneidad y detectar posibles errores y prácticas no adecuadas.
• Determinación de una lista de criterios de valoración a utilizar para los distintos tipos de contratos que sean homogéneos. Esta lista sólo puede ser obviada previa justificación firmada por el jefe del departamento peticionario.

BIBLIOGRAFÍA:
Santacana Gómez, José María: “La cultura del control interno” en la Revista de la Asociación de Interventores y Auditores del Estado, número 2.
INTOSAI, “Guía para las normas de control interno del sector público” (INTOSAI GOV 9110)
INTOSAI, “Información adicional sobre la administración de riesgos de la entidad” (INTOSAI GOV 9130)

[1]Los contenidos planteados en el presente artículo se refieren a aquellas entidades no sujetas a la modalidad de control interno denominada control financiero permanente por la Ley 47/2003, de 26 de noviembre, General Presupuestaria –u otras análogas en el ámbito autonómico o local–. Es decir, en el ámbito estatal están dirigidos fundamentalmente a sociedades mercantiles estatales, fundaciones del sector público estatal y algunas entidades públicas empresariales que carecen de este tipo de control.
Las entidades sujetas a control financiero permanente disponen de una colaboración continuada de un órgano de control independiente del órgano gestor. El modo en que se aborda la evaluación del control interno implementado por la entidad al que se refiere este artículo está basado en la auditoría pública, sin perjuicio de la posible traslación de algunos aspectos al ámbito del control financiero permanente.
Una aproximación a la realidad permite deducir que gran parte de los riesgos que se plantean en este artículo se producen de una manera mucho más atenuada en las entidades sujetas a control financiero permanente, dada la continua supervisión realizada por los órganos de la Intervención General de la Administración del Estado, así como a través de la participación de éstos, junto a la Abogacía General del Estado, en los órganos de asistencia a los órganos de contratación (mesas de contratación). Sobre posibles líneas de avance de esta forma de control se recomienda el artículo de González Tallón, José Miguel “¿Puede la auditoría realizarse al mismo tiempo que la gestión auditada y seguir siendo auditoría?” (Revista Auditoría Pública nº 54).
[2] Este conjunto de definiciones son aplicables al sector público estatal debido a que su regulación se encuentra en la Ley General Presupuestaria. En los ámbitos autonómico y local, las denominaciones que definen conceptos análogos son reguladas en las propias leyes de hacienda de cada comunidad autónoma y en el Real Decreto Legislativo 2/2004, de 5 de marzo, por el que se aprueba el texto refundido de la Ley Reguladora de las Haciendas Locales, respectivamente.
En el sector público local, el artículo 220 de este texto refundido incluye este tipo de control dentro de un concepto más amplio de control financiero sin otorgarle una denominación específica. Por su parte, en el sector público autonómico, las denominaciones utilizadas son diferentes según la comunidad autónoma. Así en el caso de Andalucía se denomina control financiero permanente (Real Decreto Legislativo 1/2010, de 2 de marzo, por el que se aprueba el texto refundido de la Ley General de Hacienda Pública de Andalucía); en el caso de Extremadura control financiero (Ley 5/2007, de 19 de abril, General de la Hacienda Pública de Extremadura); en el caso de la Comunidad Autónoma de Canarias se define una estructura de tipos de control interno que es análoga a la establecida para el sector público estatal (Ley 11/2006, de 11 de diciembre, de la Hacienda Pública Canaria), es decir, auditoría pública y dentro de ella, entre otras, auditoría de cumplimiento y auditoria operativa.
[3] Las Normas de Auditoría del Sector Público (NASP) emitidas por la IGAE en el año 1983 distinguían entre controles internos operativos de gestión (evaluables en las auditorías de economía y eficiencia y resultados de programas) y los controles internos financieros y contables (evaluables en las auditorías de regularidad financiera y de cumplimiento). Las NASP aprobadas por el Interventor General de la Administración del Estado el 14 de febrero de 1997 (publicadas mediante Resolución del Interventor General de 1 de septiembre de 1998) subdividían el control interno en contable financiero, de cumplimiento de legalidad y de gestión. Este desglose se realizaba en función del objetivo del sistema de control interno y se identifica con el objeto propio de las auditorías de cuentas anuales, de cumplimiento y operativas, respectivamente.
[4] La estructura organizacional es un elemento que pertenecería al entorno de control como componente de control interno.
[5] Estas pruebas de cumplimiento se definen, según las NASP de la IGAE de 1997 de la siguiente manera:
“Se trata de proporcionar al auditor una seguridad razonable de que los procedimientos relativos a los controles internos están siendo aplicados tal como fueron establecidos. Las pruebas de cumplimiento son necesarias si se va a confiar en el control interno. Por el contrario, si el análisis previo del control interno ha arrojado resultados insatisfactorios, las pruebas de cumplimiento no podrán proporcionar ninguna confianza.
Cuando el examen de los mecanismos de control interno no constituya un objetivo per se de la auditoría, sino tan sólo un medio para alcanzar otros objetivos, el equipo auditor podrá omitir total o parcialmente la comprobación de los sistemas de control interno, si tal comprobación no fuese efectiva en términos de coste-beneficio y siempre que las pruebas alternativas de naturaleza sustantiva proporcionen suficiente certeza.
Los resultados obtenidos acerca de la naturaleza y cumplimiento del sistema de control interno determinan la clase, extensión y momento de ejecución de las pruebas sustantivas. Las pruebas de cumplimiento están íntimamente interrelacionadas con pruebas sustantivas. La extensión de las pruebas de cumplimiento deberá determinarse mediante procedimientos de muestreo. En ocasiones, la elección de las pruebas y su extensión puede basarse en percepciones subjetivas. En tal caso deberá dejarse constancia en los papeles de trabajo de las razones existentes para abandonar los criterios estadísticos, los motivos que han conducido a la elección y en función de que parámetros se ha realizado, estimando el grado de confianza que en este caso cabe depositar en el control interno. Asimismo, en el caso general de que se aplique el muestreo estadístico, deberá dejarse constancia en los papeles de trabajo del criterio utilizado para la selección de la muestra”.
[6] Es interesante, a modo de ejemplo, el análisis de una fórmula de valoración que es habitual en el sector público realizado en el artículo “La adjudicación en la nueva ley de contratos del sector público” de Miguel Herrero, Rodrigo, en la revista Cuenta con IGAE (número 22).
[7] Esta clasificación de las medidas a adoptar frente a riesgos está descrita en la INTOSAI GOV 9100 (Guía para las normas de control interno del sector público) “Cuatro tipos de respuesta al riesgo deben ser considerados: transferencia, tolerancia, tratamiento o eliminación. Entre ellos, el tratamiento del riesgo es el más relevante para esta guía porque un control interno efectivo es el mejor mecanismo para tratar el riesgo”.

Cookie	Duración	Descripción
cookielawinfo-checkbox-advertisement	1 año	Establecida por el complemento de consentimiento de cookies de GDPR, esta cookie se utiliza para registrar el consentimiento del usuario para las cookies en la categoría "Publicidad".
cookielawinfo-checkbox-analytics	11 meses	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional	11 meses	La cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary	11 meses	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesarias".
cookielawinfo-checkbox-others	11 meses	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro".
cookielawinfo-checkbox-performance	11 meses	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
CookieLawInfoConsent	1 año	Registra el estado del botón predeterminado de la categoría correspondiente & el estado de CCPA. Funciona solo en coordinación con la cookie principal.
viewed_cookie_policy	11 meses	La cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.

Cookie	Duración	Descripción
VISITOR_INFO1_LIVE	5 meses 27 días	Una cookie configurada por YouTube para medir el ancho de banda que determina si el usuario obtiene la interfaz de reproductor nueva o antigua.
YSC	sesión	Youtube configura la cookie YSC y se utiliza para rastrear las vistas de videos incrustados en las páginas de Youtube.
yt-remote-connected-devices	nunca	YouTube configura esta cookie para almacenar las preferencias de video del usuario que utiliza videos de YouTube incrustados.
yt-remote-device-id	nunca	YouTube configura esta cookie para almacenar las preferencias de video del usuario que utiliza videos de YouTube incrustados.

Aproximación a la evaluación del Control Interno en las Auditorías Públicas sobre la Gestión Contractual

Política de Privacidad y Cookies