Planificación óptima de la estrategia de fiscalización de los órganos de control

Planificación óptima de la estrategia de fiscalización de los órganos de control

Miguel Miaja
Director General Financiero y Corporativo de ADIF
Marcos Mejlszenkier
Director de Auditoría Interna y Gestión de Riesgos de PwC 

1. INTRODUCCIÓN

Los órganos de control financiero de las distintas administraciones públicas dedican tiempo y recursos significativos a verificar que los fondos públicos se administran de conformidad con la normativa aplicable, siguiendo principios de buena gestión financiera y proporcionando una información fiable sobre la gestión realizada y sus resultados.  Al detectar desviaciones y proponer medidas correctoras están contribuyendo a mejorar la gestión y a reducir el coste que supone el uso inadecuado de los fondos públicos.

En un contexto de restricciones presupuestarias como el actual, la consecución de los fines que tienen encomendados los órganos de control pasa por mejorar la eficiencia de sus propias actuaciones, orientándolas hacia donde puedan ser  más efectivas en términos de corregir el uso inadecuado de los fondos públicos. Para ello, se hace necesario revisar el proceso de planificación de actuaciones, dando prioridad a los controles sobre aquellas áreas o procesos en los existe mayor riesgo de incumplimiento.

La consideración del riesgo en la planificación de una auditoría está prevista en las normas de auditoría generalmente aceptadas y forma parte de la actuación ordinaria de los auditores cuando se enfrentan a un trabajo concreto. En cada trabajo que llevan a cabo, los auditores realizan análisis de riesgos para determinar las áreas que han de ser objeto de comprobación y la intensidad de las comprobaciones a realizar, pero esta forma de aproximarse a cada auditoría concreta no suele aplicarse con igual rigor cuando de lo que se trata es de planificar el conjunto de auditorías a realizar a lo largo de un periodo.

En la primera parte de este trabajo se estudia el papel que las normas de auditoría generalmente aceptadas conceden al análisis de riesgos en la planificación de auditorías. El alcance y finalidad de este análisis depende de la perspectiva y objetivos que persiga el trabajo del auditor. En el caso de una auditoría de Cuentas Anuales, el análisis de riesgos trata de identificar riesgos de incorrección material de dichas Cuentas (ICAC, 2013.c); pero en el caso de un auditor interno, cuya misión es ayudar a  su organización a “cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno” (IIA, 2014), el análisis a realizar tratará de identificar los riesgos que afecten a la eficacia de dichos procesos.

Después de estudiar el enfoque con que se aborda la identificación y evaluación de riesgos, tanto en las Normas Internacionales de Auditoría como en las Normas Internacionales para la Práctica Profesional de la Auditoría Interna, haremos un repaso de cómo distintos auditores del sector público, tanto internos como externos, están aplicando el análisis de riesgos en el proceso de elaboración de sus planes de auditorías.

En la segunda parte del trabajo se presenta una propuesta concreta para el establecimiento, por parte de los distintos organismos públicos de control, de estrategias de control basadas en el análisis de riesgos y referidas a periodos de varios años, de modo que, mediante una evaluación previa para detectar y priorizar entidades y áreas con especial riesgo, sea posible maximizar el impacto de las actuaciones de control a realizar a lo largo de cada periodo. Este planteamiento requiere de un ejercicio continuo de análisis en el que se deberá evaluar si el foco del control y, por consiguiente, nuestros recursos, se están centrando realmente en aquello que realmente debería preocuparnos.

Este enfoque introduce, a nuestro juicio, una nueva forma de planificar el conjunto de actuaciones de control  de las administraciones públicas que proporcionará las siguientes ventajas:

• Focalización del trabajo de auditoría en las áreas donde existe mayor riesgo de que se produzcan incumplimientos o donde los objetivos de la administración se pueden ver más comprometidos como consecuencia de dichos incumplimientos.
• Mejor conexión con los retos y riesgos que afrontan el conjunto de las Administraciones Públicas en la actualidad.
• Asignación más eficiente de recursos a las actuaciones de control.

2. LA APLICACIÓN DEL ANÁLISIS DE RIESGOS EN LA PLANIFICACIÓN DE TRABAJOS DE AUDITORÍA

2.1. Consideración del riesgo en las NIA

La Directiva 2006/43/CE, del Parlamento Europeo y del Consejo, obliga a los Estados miembros de la Unión Europea a regular la realización de auditorías legales conforme a normas internacionales de auditoría. La trasposición de esta directiva al derecho español se realizó mediante la Ley 12/2010 de 30 de junio, por la que se modificaron la Ley de Auditoría de Cuentas, la Ley del Mercado de Valores y el Texto Refundido de la Ley de Sociedades Anónimas. En desarrollo de la nueva normativa, el Instituto de Contabilidad y Auditoría de Cuentas publicó unas nuevas Normas Técnicas de Auditoría que son una adaptación de las Normas Internacionales de Auditoría para su aplicación en España (ICAC, 2013.a). Estas normas adaptadas se identifican mediante el acrónimo NIA-ES, seguido del número que corresponde a cada norma en la clasificación realizada por la IFAC.

Una de las principales novedades de las nuevas Normas Técnicas es la importancia que se da a la responsabilidad que tiene el auditor en identificar y valorar los riesgos de que se produzcan incorrecciones materiales en los estados financieros, ya sean debidas a errores o fraude, y diseñar e implementar respuestas a dichos riesgos.

La evaluación de riesgos y el establecimiento de respuestas adecuadas forman parte del proceso de planificación de la auditoría y permiten determinar aspectos como la naturaleza, el momento de realización o la extensión de las pruebas a realizar, la cantidad y calidad de los recursos que se destinarán a auditar cada una de las áreas de riesgo o el nivel e intensidad de la supervisión a aplicar durante la realización del trabajo.

La NIA-ES 315 se ocupa de la identificación y valoración de los riesgos de incorrección material mediante el conocimiento de la entidad y de su entorno. Conforme a esta norma, “el objetivo del auditor es identificar y valorar los riesgos de incorrección material, debida a fraude o error, tanto en los estados financieros como en las afirmaciones[1], mediante el conocimiento de la entidad y de su entorno, incluido su control interno, con la finalidad de proporcionar una base para el diseño y la implementación de respuestas a los riesgos valorados de incorrección material” (ICAC, 2013.c, p.2).

De la respuesta del auditor  a los riesgos valorados se ocupa la NIA-ES 330, conforme a la cual “el auditor diseñará e implementará respuestas globales para responder a los riesgos valorados de incorrección material en los estados financieros” y “diseñará y aplicará procedimientos d
e auditoría posteriores cuya naturaleza, momento de realización y extensión estén basados en los riesgos valorados de incorrección material en las afirmaciones y respondan a dichos riesgos” (ICAC, 2013.d, p.2).

La identificación de áreas donde el sistema de control interno es deficiente y existe un riesgo alto de que se produzcan incorrecciones materiales debería llevar al auditor a intensificar la realización de pruebas sustantivas, ampliar su extensión y concentrar una mayoría de procedimientos en los momentos más próximos al cierre del ejercicio. En sentido contrario, una baja valoración del riesgo y una mayor confianza en los controles internos permiten adoptar un enfoque más orientado a verificar que los controles están funcionando y reducir el número y extensión de las pruebas sustantivas.

En el enfoque de las nuevas Normas, la evaluación de riesgos y la respuesta a los mismos son elementos esenciales de la planificación de la auditoría. La NIA-ES-300, que se ocupa de la planificación de la auditoría de Estados Financieros, desarrolla el contenido necesario que debe tener el plan de auditoría  señalando que en el mismo se “incluirá una descripción de:

a)   la naturaleza, el momento de realización y la extensión de los procedimientos planificados para la valoración del riesgo, como determina la NIA 315;
b)   la naturaleza, el momento de realización y la extensión de procedimientos de auditoría posteriores planificados relativos a las afirmaciones, tal como establece la NIA 330…” (ICAC, 2013.b, p.3)

Las Normas Técnicas de Auditoría publicadas por el ICAC están concebidas para orientar la realización de trabajos concretos de auditoría de cuentas, de acuerdo con la definición del artículo 2.2 del Texto Refundido de la Ley de Auditoría de Cuentas, pero el enfoque de planificación de la auditoría en base a la identificación y valoración de riesgos es perfectamente trasladable a la situación a que se enfrentan los órganos públicos de control cuando deben planificar el conjunto de actuaciones a realizar a lo largo de un periodo con el objetivo de analizar el funcionamiento, el cumplimiento de la legalidad y la fiabilidad de la información financiera presentada por el conjunto de entidades que conforman una Administración Pública territorial. En los dos próximos apartados estudiaremos este tipo de situaciones.

2.2. Planes de auditoría interna basados en análisis de riesgos

Una situación muy parecida a la que afrontan los órganos públicos de control cuando planifican las auditorías que van a realizar a lo largo de un periodo es la que viven los auditores internos (ya trabajen en el sector público o en el privado) cuando realizan sus planes de actuación.

Al igual que ocurre a los órganos públicos de control, un auditor interno no trabaja contra pedido, sino que tiene una misión estatutaria que cumplir y debe establecer su propio plan de trabajo que le permita alcanzar sus objetivos con arreglo a las normas que regulan el ejercicio de su profesión. Estas normas están recogidas en el Marco Internacional para la Práctica Profesional de la Auditoría Interna, publicado por el Instituto de Auditores Internos.

En este sentido, ya en la norma 2010 de Planificación, se menciona la necesidad de “establecer un plan basado en riesgos a fin de determinar las prioridades de la actividad de auditoría interna. Dicho plan deberá ser consistente con las metas de la organización” (IAI, 2013, p.11).

En el desarrollo de dicha norma, el Instituto de Auditores Internos alude a varios elementos de gran relevancia sobre el plan de auditoría interna que nos interesaría destacar:

• Tendrá que estar alineado con los objetivos y el enfoque de gestión de riesgos de la organización así como tener en cuenta las aportaciones y expectativas de la alta dirección y del Consejo.
• Deberá ajustarse ante cambios en el negocio, los riesgos, las operaciones, los programas, los sistemas y los controles.
• Deberá evaluar la inclusión de trabajos de consultoría que le sean propuestos, basándose en el potencial del trabajo para mejorar la gestión de riesgos, añadir valor y mejorar las operaciones de la organización (IAI, 2013, p.11).

El primero de estos aspectos es especialmente interesante al introducir una variable adicional en el proceso de planificación de la auditoría interna. Al margen del análisis que se realice respecto a los objetivos de control y los riesgos específicos de la auditoría, es fundamental llevar a cabo una reflexión acerca de los objetivos, prioridades y el contexto de la organización objeto de revisión.

Dicha reflexión no sólo contribuye a un mejor planteamiento general de la revisión a desarrollar por los equipos de auditoría interna sino que también permite aportar un mayor valor, al incorporar al enfoque tradicional de aseguramiento (muy centrado en el cumplimiento normativo) nuevos aspectos a evaluar relativos a lo que realmente preocupa a la organización: su gestión y resultados.

A partir de aquí, cualquier cambio relevante en el entorno o actividad de la organización lógicamente lleva aparejada una adaptación del plan de auditoría, ya que los riesgos objeto de análisis también se verán afectados.

Además, dado que la dirección de la organización a auditar es quien mejor conoce su propia realidad, si dispone de un sistema de gestión de riesgos, podrá aportar una visión reveladora acerca de los riesgos y áreas de mejora que afronta de cara al cumplimiento de los objetivos y prioridades antes comentados, que en ocasiones van mucho más allá de riesgos financieros y de cumplimiento. Valorar la incorporación en el alcance del plan de auditoría interna de estos inputs está contribuyendo a que la función de auditoría interna sea vista en muchas empresas cada vez más como un “asesor interno” y generador de valor y no como un mero fiscalizador.

En esta misma línea abunda el Instituto de Auditores Internos cuando plantea que “los auditores internos por tanto realizan una evaluación de los procesos de gestión de riesgos de la organización y determinan qué partes usan para desarrollar el plan de actividades de auditoría interna y cuáles se pueden usar para planificar trabajos específicos de auditoría interna”. Asimismo, añade que “la actividad de auditoría interna debe identificar las áreas de riesgo inherente alto, riesgo residual alto y los sistemas de controles claves en los que la organización confía” (IIA, 2009, p.2).

En cuanto a la periodicidad del plan de auditoría, la norma 2010.A1establece que “debe estar basado en una evaluación de riesgos documentada, realizada al menos anualmente” (IIA, 2013, p.11), lo cual parece lógico para poder adaptarse a tiempo a un contexto cada vez más complejo, con nuevas regulaciones cada má
s exigentes, unidas a las continuas transformaciones en los modelos productivos y de negocio de las empresas.

Por su parte, la norma 2030 de Administración de recursos establece que los recursos de auditoría interna deben ser “apropiados, suficientes y eficazmente asignados para cumplir con el plan aprobado” (IIA, 2013, p.12).

En este sentido, no debe perderse de vista que en un contexto de limitaciones de recursos humanos y materiales para la mayoría de las empresas, los recursos de auditoría interna deberán asignarse de la forma más eficiente posible para dar respuesta al plan de auditoría interna y generar el máximo valor para la organización.

No cabe duda de que los enfoques de auditoría basados en riesgos están contribuyendo claramente a optimizar su aprovechamiento.

2.3. Aplicación del análisis de riesgos en los órganos públicos de control

El referente más cercano que tenemos en España de aplicación sistemática del análisis de riesgos para planificar la actividad de los órganos públicos de control es el de las instituciones comunitarias, donde desde hace años se viene utilizando esta aproximación,  tanto en las distintas estructuras de auditoría interna como el Tribunal de Cuentas Europeo.

En el ámbito de la auditoría interna, el artículo 98 del Reglamento Financiero de la UE establece que “cada institución creará una función de auditoría interna que se ejercerá respetando las normas internacionales pertinentes”. En aplicación de esta previsión reglamentaria, desde 2011 existe en la Comisión un Servicio de Auditoría Interna que desarrolla planes propios de auditoría en coordinación con las estructuras de auditoría interna existentes en todos los departamentos (CE, 2013, p.4) (CE, 2007, p.4).

El Servicio de Auditoría Interna de la Comisión realiza su trabajo de conformidad con la definición de Auditoría Interna, el Código de Ética y las Normas Internacionales para la Práctica Profesional de la Auditoría Interna, emitidos por el Instituto de Auditores Internos (CE, 2013, p.6). En aplicación de estas normas, desarrolla planes de auditoría basados en análisis de riesgos y consistentes con los objetivos de la Comisión.

El otro gran órgano de control, en este caso externo, de las instituciones comunitarias es el Tribunal de Cuentas Europeo, que establece planes de trabajo anuales en los que las auditorías a realizar se seleccionan siguiendo dos tipos de criterios:

• Auditorías requeridas por alguna norma legal, como ocurre normalmente con las auditorías financieras en las que el Tribunal se pronuncia sobre la fiabilidad de las cuentas y la regularidad de las operaciones subyacentes.
• Auditorías elegidas a criterio del Tribunal, como ocurre normalmente con las auditorías de cumplimiento o de desempeño. Los principales criterios que utiliza el Tribunal para seleccionar las áreas que serán auditadas se basan en el riesgo de irregularidad o de escaso rendimiento, la existencia de un alto potencial de mejora o el interés público. (TCE, 2014.a, p.1)

En 2013 el Tribunal emitió 19 informes especiales (TCE, 2014.b, p. 7), en su mayoría auditorías de desempeño para cuya selección se tuvieron en cuenta, entre otros factores, la existencia de riesgos que afectasen al cumplimiento normativo o al nivel de desempeños de un área particular de ingreso o gasto. En el plan de trabajo para 2014 se contempla la realización de 24 informes especiales en cuya selección también se han tenido este tipo de criterios (TCE, 2014.a, p. 2).

La realización de análisis de riesgos a la hora de planificar las auditorías que se realizarán para controlar la ejecución del presupuesto comunitario, no se limita a las instituciones de la propia Unión Europea y afecta a la forma de trabajar de los organismos de auditoría que en los Estados miembros auditan la gestión de fondos europeos en régimen de gestión compartida. A este respecto, el Reglamento Financiero de la UE (Reglamento UE, EURATOM, nº 966/2012, del Parlamento europeo y del Consejo, de 25 de octubre de 2012) al regular la gestión compartida establece, en su artículo 59.2, que, cuando gestionen fondos del presupuesto comunitario, los Estados miembros “llevarán a cabo controles previos y verificaciones a posteriori, incluidos, en su caso, controles sobre el terreno sobre muestras de operaciones representativas y/o basadas en el riesgo”.

El principal instrumento de gestión compartida del presupuesto comunitario, al menos desde el punto de vista del volumen de recursos manejados, son los fondos estructurales, para los que, ya desde el periodo de programación 2017-2013, se viene exigiendo por la UE que las autoridades de auditoría de los Estados miembros encargadas de auditar los fondos europeos deben elaborar estrategias de auditoría comprensivas de todo el periodo de programación basadas en una evaluación de riesgos. El Reglamento 1828/2006, de la Comisión, de 8 de diciembre de 2006, que desarrollaba el Reglamento general de los fondos estructurales para el periodo 2007-2013, desarrollaba un modelo de estrategia de auditoría (Anexo V del Reglamento) en el que la evaluación del riesgo era uno de sus elementos esenciales.

3. PROPUESTA DE UNA METODOLOGÍA DE PLANIFICACIÓN DE ACTUACIONES DE LOS ÓRGANOS PÚBLICOS DE CONTROL BASADA EN LA EVALUACIÓN DE RIESGOS

3.1. Aspectos clave de una estrategia de control basada en análisis de riesgos

Antes de entrar en detalles sobre la propuesta de metodología de planificación de auditorías en base a un análisis de riesgos, es preciso destacar cuatro elementos de particular relevancia, sin los cuales entendemos que no sería posible hablar de una estrategia de control basada en un análisis de riesgos. Son los siguientes:

a)   Objetivos claramente definidos.

El primer aspecto a considerar es la clara definición de objetivos. En este sentido, es fundamental realizar una reflexión concienzuda acerca de qué metas concretas se plantea el órgano de control para el cumplimiento de su misión dentro de la organización. Este sin duda debería ser el punto de partida.

La misión institucional y las tareas que realizan los órganos de control están establecidas, con carácter general, en las normas legales que disciplinan la actividad financiera de la administración. Los objetivos de la actuación de los órganos de control deben permitir el cumplimiento de su misión institucional y, al tiempo, ser coherentes con los objetivos generales de la administración controlada, tal y como mencionamos en el apartado 2.2 anterior. Por ejemplo, en un contexto crisis como el actual, adquiere especial relevancia el objetivo de detectar con rapidez cualquier riesgo de desviación presupuestaria con especial impacto sobre el logro de las metas de déficit establecidas.

b)   Estrategia de Control.

El volumen, disparidad y complejidad de las actuaciones objeto de control casi s
iempre requiere de un enfoque que vaya más allá de un ejercicio. Es fundamental, por tanto, diseñar una estrategia a largo plazo que permita responder a las siguientes preguntas:

• ¿Cuál será el alcance de las actividades objeto de control? Es preciso definir una planificación que abarque al conjunto de las actuaciones y entidades a controlar a lo largo de un periodo de, al menos, tres ó cuatro años. Cada  año tendrá su propio Plan Anual de control, pero estos planes deben estar articulados entre sí, para que al final del periodo se hayan alcanzado los objetivos estratégicos perseguidos.

• ¿Qué se va a priorizar? No todas las actuaciones a controlar ni todas las entidades objeto de control conllevan el mismo riesgo. Demorar las actuaciones de control sobre áreas de mayor riesgo podría suponer un alto coste para la Administración  en términos de incumplimiento normativo, inadecuada salvaguarda de fondos públicos, incumplimiento de planes de ajuste, no recuperación de fondos inadecuadamente justificados, etc… Por el contrario, realizar controles sobre áreas sin riesgo conlleva un despilfarro de recursos que no podemos permitirnos.

• ¿Con qué recursos internos contamos? Será necesario analizar los recursos disponibles para delimitar el  alcance de los planes anuales de control y optimizarlos.

c)   Mapa de riesgos.

En el marco de la elaboración de planes globales de control, el concepto de riesgo debe ser entendido como la posibilidad de que se produzcan hechos o circunstancias en la gestión sometida a control susceptibles de generar incumplimientos de la normativa aplicable, falta de fiabilidad de la información financiera o falta de eficacia y/o eficiencia en la gestión.

El aspecto primordial de la estrategia de control es un adecuado análisis que permita, en base a la información disponible, identificar los riesgos más relevantes. Este análisis deberá considerar las áreas o actuaciones objeto de control, tipología y perfil de las entidades, importe a analizar, etc. para priorizar lo más significativo. En esta fase se hace necesario definir baremos que permitan segmentar las entidades y/o áreas a controlar en función de sus riesgos de incumplimiento.

La tabla 1 adjunta recoge, a modo orientativo, ejemplos de riesgos que deberían considerarse en la fase de identificación, para cada una de las áreas objeto de análisis y los objetivos de control afectados en cada caso.

Tabla 1: Tipología de riesgos por área y objetivo de control

Un Mapa de Riesgos que analice la probabilidad de que se produzcan incumplimientos (por ej. en base al historial de incumplimiento de cada entidad) y el impacto de estos posibles incumplimientos (por ej. importe potencial del incumplimiento), permitirá conocer dónde se concentra el verdadero problema. Esto es lo que se hace en el gráfico 1, en el que la ubicación de cada entidad en el mapa se establece en función de las dos variables mencionadas. En el cuadrante superior derecho se sitúan las entidades en las que tanto la probabilidad de incumplimiento como el impacto del mismo son elevados, que es sobre las que se debe concentrar el esfuerzo de control.

Gráfico 1: Mapa de riesgos por entidades

d)   Informes individuales, anuales y de cierre.

En función de los riesgos a cubrir en cada entidad, deberá definirse un determinado alcance y desarrollar un programa de trabajo cuyos resultados se recojan en un informe individual. Pero esto no es suficiente, ya que el control de una administración pública recae sobre ésta en su conjunto y transciende a las distintas entidades y órganos que la componen. Por tanto, es importante que, al final de cada ejercicio, se realice un informe anual de síntesis en el que se identifique qué riesgos y qué entidades están condicionando el logro de los objetivos establecidos para ese ejercicio, con el fin de tomar cuanto antes las medidas necesarias para minimizar los costes futuros para la Administración y retroalimentar el proceso.

Del mismo modo, al final del periodo de vigencia de la estrategia, es necesario analizar qué ha pasado a lo largo del periodo y verificar si se han cumplido los objetivos de control inicialmente establecidos. El informe de cierre en el que se recoja este análisis constituirá el punto de partida para revisar la estrategia del siguiente periodo.

3.2. El análisis de los riesgos críticos

El análisis de los riesgos críticos es la fase más compleja en la formulación de una adecuada estrategia de fiscalización. En el gráfico 2 se representa, de manera esquemática, este proceso, desde la identificación y evaluación preliminar de riesgos hasta la retroalimentación final tras la emisión de los informes.

Gráfico 2: Proceso detallado de análisis de riesgos

A continuación se explica cada una de los cinco elementos integrantes del proceso de acuerdo con el gráfico 2:

a) Identificación de riesgos por área y objetivo de control.

Tal y como se indicaba anteriormente, es fundamental definir claramente los objetivos de control a cubrir (OC1, OC2 y OC3, cuyo significado sería el mismo que el de la Tabla 1). A partir de ahí, la puesta en común de dichos objetivos, con las áreas a fiscalizar (A1, A2 y A3, que podrían referirse a presupuestos, contratación y tesorería) y los riesgos críticos (R1 a R6) aplicables en cada caso conforman esta primera fase del proceso.

b) Evaluación preliminar de riesgos por entidad para la priorización de controles.

Una vez identificados los riesgos clave, la siguiente fase consiste en evaluar el impacto y probabilidad de ocurrencia de cada riesgo sobre el universo de entidades objeto de análisis en base a nuestra experiencia, informes de control u otra información relevante.
Para ello suelen utilizarse distintos baremos o técnicas de medición semi-cuantitativas que permitan segmentar, de manera sencilla y con un cierto grado de objetividad, las entidades con impacto y/o probabilidad baja, media o alta.

Como resultado de este análisis se obtendrá una evaluación preliminar de riesgos por entidad que permitirá conocer dónde se concentra el problema: entidades en las que tanto el impacto como la probabilidad del incumplimiento sean considerables (riesgo alto y representadas por color rojo) y, en menor medida, entidades en las que el impacto o la probabilidad sean relevantes (riesgo medio y color amarillo).

c) Definición del alcance de las revisiones a realizar en cada entidad: Programa de trabajo.

La primera tarea de esta fase consistiría en elabo
rar un programa de trabajo global con pruebas que den respuesta a cada uno de los riesgos de las áreas objeto de análisis.

Partiendo del programa de trabajo global, a aquellas entidades con riesgo potencial alto o medio (ya que las de riesgo bajo se descartarían al menos en una primera revisión), se les aplicaría un programa de trabajo específico y más resumido que se centre en pruebas relativas a sus riesgos relevantes.

Es decir, a la “entidad 1” del gráfico 2 se le aplicaría un programa de trabajo específico (PT1) focalizado en los riesgos 2 a 6, correspondientes a las áreas en las que se concentran los riesgos altos y medios (representados en rojo y amarillo respectivamente). Sin embargo, no se incluirían pruebas relativas al riesgo 1 al haberse considerado bajo.

Otra opción sería realizar un programa de trabajo que afecte todas sus áreas y riesgos pero sería costoso en términos de tiempo y recursos a implicar y los hallazgos no serían en principio mucho más reveladores.

d) Desarrollo de revisiones y emisión de informes.

El siguiente paso consiste en el desarrollo de las revisiones y emisión de los informes individuales, anuales y globales, tal y como se explica en el apartado 3.1. d) anterior y en el enfoque metodológico desarrollado en el apartado  3.3.4 posterior.

e) Reevaluación de riesgos.

La última fase del proceso de análisis de riesgos críticos consiste, partiendo de las conclusiones reflejadas en los informes de control, en comparar la evaluación ex – post con la evaluación preliminar.   Esto arrojará información interesante acerca del grado de precisión del modelo definido y permitirá, en su caso, realizar los ajustes necesarios, en particular, añadiendo nuevos riesgos que permitan una mejor identificación de los incumplimientos o eliminando riesgos que se han mostrado como poco relevantes, lo que posibilitará un ahorro de recursos.

3.3.  Las cuatro fases de la estrategia de control

Una vez analizadas los aspectos claves de la estrategia de control basada en riesgos, por último desarrollaremos brevemente cada una de las fases de la metodología propuesta.

Gráfico 3: Planificación y ejecución de la estrategia de control

a) Estrategia de Control

El órgano de control, partiendo de unos objetivos previamente definidos y considerando la información disponible (informes previos, conocimiento de las áreas y/o entidades a revisar, etc.), deberá establecer, una estrategia de control basada en un análisis de riesgos que puedan afectar al cumplimiento de dichos objetivos, garantizando un nivel suficiente de cobertura sobre su universo de control.

Algunos de los potenciales riesgos a considerar comprenden las desviaciones significativas en la ejecución presupuestaria, compromisos de gasto sin crédito, gestión ineficiente de tesorería, incumplimiento de los procedimientos de contratación, etc. En definitiva, aquellos que afecten al cumplimiento de las normas de gestión económico-financiera, fiabilidad de la información y adecuada gestión financiera, y muy especialmente si estos riesgos pudieran suponer un “coste” elevado para la Administración.

En función de la estrategia de control definida, se establecerá  un Plan  Global de Control que comprenda, en base a los criterios de priorización y el nivel de cobertura definidos, una estimación del número de entidades a revisar por año, las tipologías de revisiones  a acometer así como los recursos previstos.

b) Plan de Control

Partiendo del Plan Global de Control, al inicio de cada ejercicio, se establecerán Planes Anuales de Control en los que se identificarán las entidades específicas a auditar con la tipología de auditoría a realizar en función de sus riesgos y se fijará el calendario previsto de ejecución.

La selección de entidades a incluir en los Planes Anuales de Control se basará en una evaluación preliminar de riesgos que dependerá de dos aspectos fundamentales:

• Probabilidad de ocurrencia de los riesgos: ¿qué tipología de entidad vamos a revisar? ¿dispone la entidad de adecuados sistemas de control? ¿qué tipología de riesgos se han materializado en el pasado?
• Impacto: si se materializase el riesgo, ¿cuál sería su repercusión en términos de importe o a nivel reputacional?

La definición de baremos de probabilidad e impacto ayudará a facilitar la evaluación del riesgo de cada entidad.

c) Desarrollo de las revisiones

Esta fase requiere coordinar un elevado número de auditorías coincidentes en el tiempo que deben realizarse mediante una metodología homogénea para cada una de las tipologías de revisión definidas.

Asimismo, deberá contarse con elementos de coordinación y seguimiento de los recursos necesarios y de los avances realizados a efectos de la adecuada ejecución y el cumplimiento de los plazos previstos pero, sobre todo, para facilitar la identificación y comunicación a los equipos de “nuevos riesgos” que vayan surgiendo y requieran de la introducción de modificaciones en el alcance de la revisión.

d) Emisión de informes

El órgano de control, una vez  obtenidas las conclusiones finales de la revisión deberá a proceder a emitir los siguientes informes:

• Informes individuales: Por cada entidad auditada se emitirá un único informe en el que se considerarán todos los aspectos sobre los que se extiende el alcance del control realizado.
• Informes Anuales: Anualmente se realizará un informe de carácter general con los principales resultados de los controles realizados y, a la vista de dichos resultados, se realizará una reevaluación de los riesgos de cada área y entidad, lo cual contribuirá a definir el Plan Anual de Control del siguiente ejercicio de manera más certera.
• Informe de Cierre: Al final del periodo deberá evaluarse el grado de cumplimiento de los objetivos establecidos en el Plan Global de Control  y, en su caso, redefinir la estrategia para el próximo periodo.

4. CONCLUSIONES

La aplicación de principio de eficiencia en la actuación de las administraciones públicas y la necesidad de dar respuesta a unos objetivos cada vez más ambiciosos con los recursos limitados de que disponen, obliga a sus órganos de control a ser selectivos en la determinación de controles que realizan. Para ello, los órganos de cont
rol deberían establecer planes de actuación que, teniendo en cuenta los objetivos de las entidades que deben controlar, les permitan concentrar su actividad en aquellos ámbitos en que existe mayor riesgo de que se produzcan incumplimientos de la normativa aplicable, desviaciones en la consecución de los objetivos establecidos o inexactitudes en la presentación de la información financiera.

Por otra parte, la actividad de las administraciones públicas tiene un carácter continuado, con objetivos a largo plazo y planes de actuación plurianuales, que hace aconsejable que la planificación de los órganos de control se plantee también desde una perspectiva plurianual.

En este trabajo se propone una metodología de planificación de actuaciones de los órganos públicos de control cuyos elementos principales son:

• La evaluación de riesgos, como herramienta que permite concentrar los trabajos de control en aquellas áreas o entidades en las que existe mayor riesgo de incumplimiento y, por tanto, mayor es el impacto de los controles, en términos de detección de  incumplimientos y propuesta de medidas de mejora
• La planificación plurianual de actuaciones de control, que debe ser consistente con la realización de planes anuales que, además de instrumento para ir ejecutando el plan plurianual, deben proporcionar información para revisarlo permanentemente.
• La consideración del trabajo de control desde la perspectiva de estos planes anuales y plurianuales, de modo que el órgano de control pueda emitir valoraciones sobre la actuación general de una administración pública basadas en el conjunto de actuaciones de control realizadas sobre cada una de las distintas entidades y órganos que la componen.

El aspecto más novedoso de la propuesta metodológica que se desarrolla a lo largo del epígrafe 3 de este trabajo es que se dirige a los órganos de control de la actividad financiera de las administraciones públicas españolas y propone un modelo aplicable al conjunto de actuaciones de esos órganos. Por lo demás, la metodología propuesta se basa en directrices de actuación contenidas en normas internacionales de auditoría y se inspira en criterios que las instituciones de control de la Unión Europea vienen aplicando desde hace años para planificar sus actuaciones. En el epígrafe 2 de este trabajo se hace un repaso de los principales referentes que se han tenido en cuenta para elaborar la propuesta; entre estos, merece la pena destacar las estrategias de auditoría para el control de fondos estructurales de la Unión Europea que los órganos de control que tenían la condición de autoridades de auditoría han venido aplicando a lo largo del periodo de programación 2007-2013.

5.   BIBLIOGRAFÍA

Comisión Europea (CE), 2007. Declaración de gobernanza de la Comisión Europea. Disponible en http://ec.europa.eu/atwork/synthesis/doc/governance_statement_es.pdf. Último acceso el 27/04/2014.
Comisión Europea (CE), 2013. Communication to the Commission. Mission charter of the Internal Audit Service of the European Commission. Brussels, 6.6.2013.  Disponible en http://ec.europa.eu/dgs/internal_audit/docs/ias_charter_en.pdf. Último acceso el 27/04/2014.
Instituto de Contabilidad y Auditoría de Cuentas (ICAC), 2013.a. Resolución de 15 de octubre de 2013, del Instituto de Contabilidad y Auditoría de Cuentas, por la que se publican las nuevas Normas Técnicas de Auditoría, resultado de la adaptación de las Normas Internacionales de Auditoría para su aplicación en España (NIA-ES). Disponible en http://www.icac.meh.es/Normativa/Auditoria/ficha.aspx?hid=170. Último acceso el 27/04/2014.
Instituto de Contabilidad y Auditoría de Cuentas (ICAC), 2013.b. NIA-ES 300 Planificación de la auditoría de Estados Financieros. Disponible en http://www.icac.meh.es/Normativa/Auditoria/ficha.aspx?hid=180. Último acceso el 27/04/2014.
Instituto de Contabilidad y Auditoría de Cuentas (ICAC), 2013.c. NIA-ES 315 Identificación y valoración de los riesgos de incorrección material mediante el conocimiento de la entidad y de su entorno. Disponible en http://www.icac.meh.es/Normativa/Auditoria/ficha.aspx?hid=181. Último acceso el 27/04/2014.
Instituto de Contabilidad y Auditoría de Cuentas (ICAC), 2013.d. NIA-ES 330 Respuestas del auditor a los riesgos valorados. Disponible en http://www.icac.meh.es/Normativa/Auditoria/ficha.aspx?hid=183. Último acceso el 27/04/2014.
Institute of Internal Auditors (IIA), 2009. Practice Advisory 2010-2: Using the Risk Management Process in Internal Audit Planning.
Institute of Internal Auditors (IIA), 2012. International Standards for the Professional Practice of Internal Auditing. Disponible una versión en español en https://na.theiia.org/standards-guidance/Public%20Documents/IPPF%20Standards%20Markup%20Changes%202013-01%20vs%202011-01%20Spanish.pdf. Último acceso el 20/04/2014.
Institute of Internal Auditors (IIA), 2014. Definition of internal auditing. Disponible en https://na.theiia.org/standards-guidance/mandatory-guidance/Pages/Definition-of-Internal-Auditing.aspx. Último acceso el 27/04/2014.
Tribunal de Cuentas Europeo (TCE), 2013. Estrategia 2013-2017.Disponible en  http://www.eca.europa.eu/Lists/ECADocuments/STRATEGY2013-2017/STRATEGY2013-2017_ES.PDF.  Último acceso el 27/04/2014.
Tribunal de Cuentas Europeo (TCE), 2014.a. 2014 Work Programme. Disponible en http://www.eca.europa.eu/Lists/ECADocuments/WP2014/AWP_2014_EN.pdf.  Último acceso el 27/04/2014.
Tribunal de Cuentas Europeo (TCE), 2014.b. 2013 Activity Report. Publications Office of the European Union. Luxembourg, 2014. Disponible en http://www.eca.europa.eu/Lists/ECADocuments/AAR14/QJAA14001ENC.pdf.  Último acceso el 27/04/2014.