Ignacio Cabeza del Salvador
Auditor Cámara de Comptos de Navarra/Nafarroako Kontuen Ganbera
LA VALORACIÓN DE RIESGOS EN LAS AUDITORÍAS DE LAS ENTIDADES LOCALES” (*)
RESUMEN
Los actuales cambios normativos reguladores de las EELL tanto en el ámbito organizativo y competencial como en el contable-presupuestario junto con la adopción por las Instituciones Públicas de Control Externo de las ISSAI-ES, demandan un replanteamiento sobre el alcance de los trabajos de fiscalización sobre tal subsector. En esta línea, se propone introducir la metodología de “valoración del riesgo” desde una doble perspectiva: en los planes de actuación anuales y plurianuales de las instituciones fiscalizadoras y en la planificación y ejecución de los trabajos concretos sobre las entidades locales. Para ello, se analizan los requisitos que deben contemplarse para definir un plan estratégico de control de las ICEX sobre el Sector Público Local basado en el análisis de riesgos y cómo introducir esa misma metodología en la fiscalización de una EELL, con la finalidad de detectar las áreas de gestión local que presentan mayores riesgos de incumplimiento de la normativa y de la exactitud e integridad de la información financiera y proponer, en su caso, las medidas de mejora oportunas.
PALABRAS CLAVES
Valoración de riesgos en las fiscalizaciones, auditoría de entidades locales, planes estratégicos de fiscalización, normas internaciones de auditoría del sector público
(*) El presente artículo se está basado en la comunicación presentada por el autor en los IX Encuentros Técnicos de los Órganos de Control Externo.
I. INTRODUCCIÓN. LA VALORACIÓN DE RIESGOS EN LAS FISCALIZACIONES DEL SECTOR PÚBLICO LOCAL
La adopción de las Normas Internacionales de Auditoría del Sector Público (ISSAI-ES) por las Instituciones Públicas de Control Externo de España (ICEX)[1] implica, entre otras cuestiones, la introducción en la planificación y ejecución de los trabajos de un elemento relevante: la valoración de riesgos.
No es objeto de esta comunicación desarrollar propiamente el enfoque de auditoría basado en el análisis de riesgos[2], sino centrarnos en su incidencia tanto en la planificación estratégica de las ICEX sobre el sector local como en los trabajos concretos a efectuar en cada entidad local.
Como primera aproximación, definimos el riego en auditoría como la posibilidad de emitir un informe de fiscalización incorrecto por no haberse detectado errores, incorrecciones, irregularidades o incumplimientos que modificarían el sentido de la opinión o de las conclusiones contenidas en el mismo. O, por el contrario, emitir un informe con opinión desfavorable, cuando los estados financieros estén adecuadamente elaborados y presentados o cuando la entidad haya cumplido con la normativa aplicable.
En este sentido, la ISSAI-ES 100[3] define el riesgo de auditoría como “el riesgo de que el auditor exprese una opinión de auditoría inadecuada cuando los estados financieros contiene incorrecciones materiales”. Así mismo, la ISSAI-ES 200[4] añade que el auditor debe reducir el citado riesgo a un nivel aceptable con la finalidad de obtener una seguridad razonable que le sirva de base para expresar una opinión. En parecidos términos se expresa la ISSAI-ES 400 para las auditorías de cumplimiento.
Según la citada ISSAI-ES 200[5], el riesgo de auditoría está determinado por:
a) Riesgo de incorrección material o riesgo de que los estados financieros contengan incorrecciones materiales antes de realizar la fiscalización. A su vez se compone de:
a.1. Riesgo inherente o susceptibilidad de que una afirmación contenga una incorrección material antes de tener en cuenta los posibles controles de la entidad.
a.2. Riesgo de control. Riesgo de que se produzca una incorrección material que no sea prevenida, detectada o corregida por el sistema de control interno de la entidad.
b) Riesgo de detección. Riesgo de que los procedimientos aplicados por el auditor para reducir el riesgo de auditoría a un nivel aceptable no detecten la existencia de una incorrección material.
La metodología de la valoración de riesgos debe aplicarse, en nuestra opinión, tanto en la fase de definición del programa de actuaciones o plan estratégico de la ICEX como en la planificación y ejecución concreta de cada una de las fiscalizaciones a realizar.
II. LA VALORACIÓN DE RIESGOS EN LA PLANIFICACIÓN ESTRATÉGICA DE LAS ICEX PARA EL SECTOR PÚBLICO LOCAL
Una planificación estratégica de control externo sobre el Sector Público Local está muy condicionada por la propia configuración del mismo, tanto en cuanto a tipología, naturaleza jurídica y número de entidades[6] que lo integran –diputaciones, ayuntamientos, mancomunidades, comarcas, organismos autónomos, sociedades mercantiles, fundaciones…- como por su tamaño poblacional y configuración en cuanto a recursos humanos y materiales con que cuentan, competencias ejercidas, régimen contable-presupuestario, configuración de su sistema de control interno, financiación y regulación. A ello se une la insuficiente presencia fiscalizadora en el sector por parte de las ICEX[7].
Para poder definir una estrategia de control de las EELL apoyada en la valoración de riesgos, se precisa contar con una serie de elementos claves; así, siguiendo a Miaja y Mejlszenkier (2014; p. 44-49) señalamos:
1º. Objetivos de control claramente definidos. Partiendo de que la misión de las ICEX están reguladas en la normativa, los responsables deben definir y concretar cuáles son sus objetivos estratégicos de actuación que hagan posible el cumplimiento de su misión; dentro de estos objetivos se fijarán los específicos para el sector local. Deberemos responder al menos a las siguientes preguntas: ¿De dónde partimos?, ¿qué queremos conseguir? o ¿son los objetivos estratégicos de control coherentes con los del sector público local controlado?
Así, hasta ahora y desde una perspectiva exclusivamente cuantitativa, se fijaban como objetivo estratégico –cuando expresamente existe tal pronunciamiento- abarcar un porcentaje de la población de los municipios a fiscalizar en el periodo (por ejemplo, los ayuntamientos mayores de un número concreto de habitantes) y/o un porcentaje sobre el volumen de gasto presupuestario objeto de fiscalización (por ejemplo, el 50 por ciento del gasto público local)[8].
Con la introducción del análisis de riesgos, ese objetivo cuantitativo deberá complementarse y/o sustituirse con los resultados de ese análisis, de tal manera que la actuación de las ICEX cubra las áreas de riesgo o críticas de la gestión local. Estas áreas, como primera aproximación, derivan básicamente del cumplimiento de las normas de gestión económico-financiera y presupuestaria, fiabilidad de la información, tecnología de la información, situación financiera, contratación, subvenciones, personal, tesorería, inventarios, gestión de ingresos, urbanismo, prestación de servicios públicos por operadores privados y entes instrumentales.
Por otra parte, no debe olvidarse, en palabras de Minguillón Roy (2014; p.32), que “por mandato legal y por requerimiento de las normas técnicas de auditoría, la detección del fraude forma parte integral, aunque no exclusiva, de la actividad fiscalizadora de las ICEX”; por tanto, deben contemplarse procedimientos específicos para el análisis de áreas o de entidades en que exista riesgo de fraude y corrupción al objeto de minimizar tal riesgo. Tal como señalaba el autor de este artículo en un trabajo publicado en el año 2000[9], “las ICEX deben impulsar y liderar la acción de los poderes públicos en la lucha contra el fraude y la corrupción…dotándose de las herramientas precisas, entre las que destaca la auditoría, pero con mayor alcance que la mera acción de prevención”. La entrada en vigor de las ISSAI-ES reforzará la responsabilidad de la ICEX en la detección de fraudes y ayudará al endurecimiento de los controles.
2º. Estrategia de control. Una vez delimitados los objetivos estratégicos, la ICEX debe definir su estrategia de control, la cual presenta como características básicas:
- · La definición de las actuaciones estratégicas de los ICEX no puede limitarse a un ejercicio, sino formar parte de un enfoque plurianual o a largo plazo, mínimo de cuatro años o coincidiendo con los años de mandato de sus representantes.
- · Partiendo del análisis de la información disponible, se efectuará una valoración de riesgos vinculada a los citados objetivos y con el suficiente grado de cobertura sobre el universo de control. Esta valoración, que se plasmará en el correspondiente mapa de riesgos, se centrará en las citadas áreas críticas o prioritarias de la actividad pública local, considerando su probabilidad de ocurrencia y su impacto.
- · Confección del Plan Global de Actuación o de Control que, de acuerdo con la valoración de riesgos y el nivel de cobertura fijado, defina o estime tanto los procedimientos generales de auditoría que den respuesta a los riesgos detectados como la naturaleza y el número de trabajos y/o entidades a fiscalizar dentro del periodo.
- · Finalmente, y no por ello menos relevante, se estudiará la coherencia entre ese Plan Global y los recursos internos disponibles de la ICEX, analizando su suficiencia para poder afrontar los trabajos previstos con el nivel de calidad exigible y adaptando tal plan a las circunstancias internas y/o completando, en su caso, dichos recursos internos con colaboraciones externas.
Esta fase es la crítica de todo el proceso de valoración de riesgos y, tal como señala García Muñoz (2015), “toca pensar”. Así, deberemos responder a las siguientes preguntas: ¿cómo determinamos las áreas de riesgo en el Sector Público Local?, ¿cómo seleccionamos las entidades locales a fiscalizar? o ¿qué tipo de trabajos vamos a realizar y con qué alcance? Para ello, tal como señala el precitado García Muñoz (2015), el principal problema que se nos presenta es la medición de dichos riesgos; para ello, es preciso, en primer lugar, identificar los posibles riesgos y definir baremos que permitan segmentar las entidades y/o áreas a controlar en función de los riesgos de incumplimiento y de los objetivos de control; en segundo lugar, analizar la probabilidad de que se produzcan esos incumplimientos y el impacto potencial del mismo. Con este análisis elaboraremos un mapa de riesgos en que se ubicarán las entidades locales o las áreas a revisar en función de la probabilidad del incumplimiento y de su impacto material y legal. Los esfuerzos de las ICEX deberán centrase en aquellas entidades o áreas que presenten un riesgo importante o inaceptable.
Centrándonos en el Sector Público Local globalmente considerado, el análisis de la siguiente información permitirá aproximarnos a la determinación de ese mapa de riesgos:
- · La composición y evolución del universo del sector local en cuanto a número, población y tipología de entidades que lo integran.
- · Remisión por las ICEX y su análisis posterior, de cuestionarios específicos para conocer la situación del sector local incidiendo en las áreas críticas de la gestión local al objeto de poner de relieve los riesgos que existen en las mismas y su incidencia en los estados financieros y en el cumplimiento de la normativa. Esta remisión puede efectuarse a todas las entidades locales o a las que superan un determinado volumen de población o de gasto, o a comarcas o provincias concretas, o a entidades no fiscalizadas hasta el momento por la ICEX, etc.
- · Estado de la rendición de cuentas de los entes locales, analizando especialmente los que no rinden de forma sistemática o completa o con importantes errores sus cuentas generales.
- · Análisis de la información contractual remitida por las EELL a la ICEX.
- · Revisiones analíticas globales sobre las cuentas del sector público local (presupuestarias, balances, indicadores, costes…) y obtención de valores medios o estándar de referencia para permitirnos identificar aquellas entidades o áreas de las mismas que se encuentran en posiciones infrecuentes o anómalas frente a esos valores estándar.
- · Análisis de los informes de fiscalización sobre entidades locales correspondientes a ejercicios anteriores y seguimiento sobre el grado de cumplimiento de las recomendaciones que contiene los mismos.
- · Normativa general sobre configuración de los órganos de control interno de las EELL así como de su situación laboral.
- · Análisis de los acuerdos adoptados por las EELL contrarios a las notas de reparo del control interno.
- · Informes sobre cumplimiento de la normativa de estabilidad presupuestaria del sector de las administraciones públicas locales (déficit/superávit, nivel de endeudamiento, regla de gasto y plazo de pago a proveedores) como de las unidades de mercado (equilibrio de la cuenta de resultados)
- · Análisis de las cuentas anuales de las sociedades y fundaciones públicas locales y, en su caso, de sus informes de auditoría de cuentas.
- · Otra información o informes de la administración autonómica de tutela financiera, del Ministerio de Hacienda o del Banco de España.
- · Denuncias de ciudadanos y/o grupos políticos.
- · Seguimiento de información en los medios de comunicación.
- · Otros indicios de existencia de posibles casos de fraude y corrupción.
La información proporcionada por los análisis anteriores nos permitirá definir:
– El mapa de riesgos o identificación de las áreas críticas de la gestión público local que puedan conducir a incorreciones materiales en sus estados financieros y/o a incumplimientos relevantes de la normativa, así como el impacto potencial de tales incorrecciones e incumplimientos.
– Las entidades locales o el tipo o áreas de las mismas que presentan potencialmente una mayor concentración de riesgos y de impacto, sobre las que debe priorizarse la actuación de la ICEX.
– La naturaleza y alcance de los trabajos previstos y de los procedimientos de auditoría aplicables, al objeto de minimizar los riesgos observados. Dentro de estos trabajos se contemplan tanto trabajos de fiscalización en entidades locales concretas como otros de naturaleza horizontal o de revisiones limitadas que abarquen una selección de aquéllas; igualmente su periodicidad, bien recurrentes o bien esporádicos.
– La disponibilidad y asignación de medios en la ICEX para cumplir las previsiones estratégicas.
– La programación temporal que permita alcanzar los objetivos estratégicos señalados.
– Igualmente, deberá plantearse un margen de dedicación para cubrir el desarrollo de trabajos en el ámbito local solicitados por las cámaras legislativas u otras posibles incidencias.
3º. Plan de Actuación Anual. Partiendo de la estrategia anterior, se concretará para cada ejercicio la naturaleza y alcance de los trabajos previstos, las entidades específicas en que se ejecutarán los mismos y el calendario de desarrollo. Dentro de los programas de trabajo se incluirán los procedimientos de auditoría precisos para responder a los riesgos detectados.
4º. Ejecución de los trabajos. Además de las tareas de coordinación y control sobre los trabajos que se realicen en el ejercicio, la valoración de riesgos es una actividad dinámica que se debe retroalimentar de manera permanente y fluida para detectar nuevas situaciones de riesgo que exijan modificar el alcance de los trabajos. Para ello, deberán establecerse mecanismos de supervisión que permitan analizar y evaluar esos nuevos riesgos y su incidencia en la programación anual y estratégica.
5º Emisión de Informes. Una vez concluidos los trabajos, se redactarán los correspondientes informes, de acuerdo con la siguiente tipología:
- · En las entidades locales seleccionadas: De auditoría financiera, de cumplimiento u operativa o una combinación de ellos.
- · Horizontales o revisiones limitadas sobre áreas de riesgo concretas que abarquen un número determinado de entidad locales elegidas por la existencia de indicios riesgo con importante impacto.
- · Con periodicidad anual o de trabajos esporádicos u ocasionales.
Además de estos informes individuales, sería conveniente presentar un informe anual resumen de la situación del Sector Público Local y, si es el caso, una revisión de la valoración inicial de riegos para adaptarlo a la situaciones detectadas.
Igualmente, al final del plazo de vigencia de la planificación estratégica, los responsables de la ICEX presentarán un informe sobre el grado de consecución de los objetivos estratégicos, análisis de las desviaciones observadas y su justificación y situación final del sector en cuanto a los resultados y riesgos observados.
La valoración de riesgos en las auditorías horizontales de EELL
Otra posible fórmula de actuación de las ICEX en el Sector Público Local es a través de las denominadas auditorías horizontales.
Estos trabajos presentan, esencialmente, dos peculiaridades sobre las auditorías de regularidad:
- Su alcance subjetivo, dado que se centrará un número concreto de entidades locales, seleccionadas en función de diversos criterios (poblacionales, zonales, incumplimiento de su obligación de rendición de cuentas, riesgos observados…)
- Su alcance material, que se fijará básicamente en la revisión de su sistema de control interno mediante el análisis de una serie de áreas relevantes del mismo. Normalmente estas áreas se determinan en función de la experiencia acumulada de anteriores trabajos de regularidad.
Con carácter general, las áreas[10] sobre las que se inciden son:
- Gestión administrativa (organización, actas, secretaria, entes dependientes, registro de facturas, gestión de personal, de subvenciones y de contratación y compras)
- Gestión económica-financiera y contable (gestión presupuestaria, contabilidad, inversiones, ingresos tributarios, recaudación, tesorería, endeudamiento y estabilidad presupuestaria)
- Intervención (organización y regulación, función interventora, control financiero y de eficacia)
- Entorno tecnológico (organización del área informática, operaciones informatizadas y control de acceso a datos y programas)
Como metodología de trabajo se utiliza básicamente el cuestionario, completándose, en su caso, con un contraste de las respuestas obtenidas mediante un trabajo de campo específico.
Las anteriores áreas se valoran mediante la asignación de puntuaciones sobre aquellas cuestiones que comportan alguna debilidad y/o riesgo, ordenado los resultados obtenidos en función de esa puntuación. Las entidades que obtengan una mayor puntuación denotarán una peor valoración de su sistema de control interno, lo que se traducirá en un mayor riesgo de auditoría.
Los resultados de estas fiscalizaciones horizontales están siendo utilizados por las ICEX tanto para obtener una valoración preliminar de los riesgos de cada una de las entidades revisadas como para racionalizar el sistema de elección de la entidad local a auditar de forma completa, en función de su riesgo. Además, estos trabajos, en palabras de Villegas Periñán (2015; p.1), “contribuyen a reforzar la utilidad de las ICEX ya que permite establecer recomendaciones y pautas comunes, facilitando el intercambio de experiencias. El análisis de riesgos aplicado a este tipo de auditorías horizontales permite enfocar con mayor grado de eficiencia los trabajos de fiscalización”
III. LA VALORACIÓN DE RIESGOS EN LA PLANIFICACIÓN Y EJECUCIÓN DE LA FISCALIZACIÓN DE UNA ENTIDAD LOCAL
Nos centraremos en la incidencia de la metodología de valoración de riesgos en la planificación y ejecución del trabajo de fiscalización de regularidad –financiera y de cumplimiento- sobre una entidad local. No analizaremos su incidencia en las auditorías de gestión u operativas.
El enfoque de riesgos[11] se desarrolla básicamente en las siguientes etapas:
- · Conocer la entidad y su entorno.
- · Análisis de las cuentas generales, identificando las operaciones y transacciones más relevantes.
- · Identificar los procesos de gestión relevantes de la misma.
- · Identificar los riesgos y los controles claves de las áreas críticas >> mapa de riesgos.
- · Revisar el diseño y funcionamiento de esos controles >> pruebas de recorrido y de funcionamiento de los controles claves.
- · Aplicación de pruebas sustantivas.
- · Redacción del Informe.
La primera cuestión que se plantea es ¿cómo elegimos la entidad local objeto de fiscalización?
Si la entidad ha sido seleccionada dentro del plan estratégico de la ICEX porque presenta unos niveles de riesgo relevantes, partimos ya de un análisis preliminar de la valoración de sus riesgos que habrá de confirmarse o revisarse en la fase de planificación del trabajo.
Si la elección de la entidad local deriva de otras circunstancias o decisiones, introduciremos el enfoque de la valoración de riesgos en la planificación del trabajo concreto, según las fases que reflejamos en la figura 1:
En la fase de planificación, el auditor debe realizar una valoración o análisis de los riesgos de auditoría que pueden presentarse a la hora de ejecutar su trabajo y de emitir su informe. Con esta finalidad:
- · Identificará los riesgos en que puede incurrir la entidad local.
- · Valorará dichos riesgos.
- · Relacionará los riesgos con posibles incorrecciones materiales e incumplimientos de normativa, es decir, su impacto.
- · Considerará la probabilidad de que existan incorrecciones e incumplimientos.
Este análisis o valoración –que incluye la evaluación del control interno de la entidad- junto a la materialidad aplicada permitirá, en opinión de Minguillón Roy (2015), diseñar la naturaleza, momento de aplicación y extensión de las pruebas de auditoría –sustantivas y de control- que le permitan minimizar los riesgos de auditoría a un nivel aceptable; es importante señalar que este proceso de análisis de riesgo debe ser continuo, retroalimentándose en las diversas fases de ejecución del trabajo. De forma esquemática el proceso sería:
Conocer la entidad – áreas críticas
A través de cuestionarios, entrevistas y otros análisis previos podemos aproximarnos tanto a la realidad de la EELL como a la existencia de condiciones y hechos que pueden indicar la existencia de riesgos en su gestión, en su información financiera y en el cumplimiento de la normativa.
A priori, podemos determinar como principales áreas críticas las siguientes:
ENTORNO DE LA EELL
- Restricciones presupuestarias en los entes financiadores de la EELL y su repercusión en los presupuestos de la entidad local.
- Situación económica general del entorno, que puede afectar tanto a la recaudación de impuestos, tasas y precios públicos como a la exigencia social para satisfacer las necesidades más esenciales de sus ciudadanos.
- Normativa de estabilidad presupuestaria y su cumplimiento: déficit, regla del gasto, control del endeudamiento y plazo de pago a proveedores. Principio de prudencia financiera en captación del nuevo endeudamiento.
- Adaptación al nuevo marco de información financiera (normativa contable-presupuestaria).
- Incidencia de la actual delimitación de competencias de las EELL.
- Otras normativas sectoriales con repercusión en la gestión de la EELL.
- Medidas sobre redimensionamiento del propio sector local (políticas, legislativas o financieras) que puede generar incertidumbres sobre la aplicación del principio de entidad en funcionamiento y que pueden afectar tanto a la propia entidad como a sus entes instrumentales.
- Riesgos ambientales y naturales[12] que pueden afectar a la EELL
- Seguimiento de noticias de prensa.
- Denuncias presentadas por los ciudadanos y/o grupos políticos.
DE LA PROPIA EELL
Aspectos generales
- Tamaño de la EELL, características y peculiaridades especiales de la entidad.
- Su estructura organizativa, recursos humanos y materiales, fuentes de financiación, servicios públicos prestados y forma de prestación. ¿Qué hace, cómo lo hace y cómo lo financia?
- Asesoramiento y gestión de servicios realizado por entes locales de mayor ámbito territorial y/o competencial (Diputaciones, comarcas, mancomunidades…)
- Anteriores informes de fiscalización, en su caso, y seguimiento específico de sus recomendaciones.
- Regulación específica de su gestión presupuestaria.
- Estado de la rendición de cuentas de la entidad y de sus entes instrumentales.
- Análisis de las cuentas generales a auditar: composición, revisión analítica, epígrafes más representativos para focalizar el esfuerzo de auditoría…
- Situación financiera de la entidad y su evolución: composición de gastos e ingresos, resultados, remanente de tesorería, endeudamiento, cumplimiento del resto de objetivos de estabilidad presupuestaria, seguimiento de los planes económico-financieros, ratios e indicadores,…
- Análisis de la cuenta de “acreedores por operaciones pendientes de aplicar al presupuesto”.
- Identificación de las áreas, transacciones y procesos de gestión más significativos.
- Sistema de control interno implantado (intervención, legal y de gestión): medios, recursos humanos y cualificación de los mismos. Diseño y funcionamiento del sistema para detectar y prevenir errores o irregularidades en un plazo razonable
- Informatización de los principales procesos de gestión municipal: quién lo ha diseñado, quién lo mantiene, quién lo alimenta, incluye controles manuales y automatizados…
- Seguimiento de reparos elevados por la Intervención Municipal.
- Estudios de costes de los servicios prestados y su financiación.
Áreas específicas
Dentro de las áreas específicas, citamos a continuación las que presentan históricamente mayores incidencias en nuestros trabajos, tanto desde el punto de vista de la información financiera como de cumplimiento de la normativa:
- Contratación administrativa: presupuestación no adecuada o falta de crédito presupuestario o incorrecta imputación, deficiente justificación de las necesidades públicas a satisfacer, determinación del precio de licitación, informes técnicos de adjudicación suficientes, calidad de los proyectos, procedimientos de adjudicación no justificados, fraccionamientos, abuso del procedimiento de urgencia, criterios de selección dirigidos, desviaciones en precios y calidades, sobrecostes no justificados, concentración de adjudicatarios, prórrogas improcedentes de contratos …
- Control ejercido por la EELL sobre los servicios prestados mediante concesiones. Posibles riesgos laborales que se pueden derivar para la EELL.
- Subvenciones y otras ayudas: regulación específica, justificación del interés público, requisitos de los beneficiarios, informes técnicos de concesión, concesiones de ayudas no justificadas, escasa calidad de la documentación justificativa y de revisión sobre la misma, utilización de la ayuda por el beneficiario para otros fines, publicidad de la subvenciones otorgadas…
- Gestión urbanística: urbanismo a la carta, modificaciones no justificadas de planeamiento, recalificaciones y reclasificaciones de suelo arbitrarias, ventas de parcelas públicas…
- Gestión de personal: contratación vulnerando los principios básicos, retribuciones legalmente no previstas, ausencia de retribuciones variables ligadas a resultados, falta de personal con formación en el área contable y de gestión económica, restricciones en la tasa de reposición de personal fijo, limitaciones a la contratación de personal temporal, abuso del número de cargos de confianza…
- Impuestos: prescripciones interesadas, liquidaciones no adaptadas a la legalidad, falta de planes de inspección o inspecciones dirigidas, falta de seguimiento a determinados deudores, cálculo de la recaudación incierta…
- Tasas y precios públicos: estudios de costes, procedimiento de fijación de las tarifas, existencia de un posible déficit financiero en la prestación de servicios,…
- Gestión de la Tesorería: organización de la unidad y cualificación técnica de sus recursos humanos, conciliaciones y actas de arqueo, intereses bancarios, rentabilización de saldos…
- Inventarios: existencia, actualización permanentemente, vinculación con la contabilidad…
- Entes instrumentales de la Entidad Local (organismos autónomos, fundaciones, empresas públicas, sociedades mixtas…): ¿para qué se crean, se les dota de medios suficientes, qué controles públicos se aplican, cómo contratan, están auditados interna o externamente?…
- Contingencias y litigios en curso con su posible repercusión económica.
- Denuncias o indicios sobre fraude y corrupción. Cuatro ámbitos concentran la mayoría de los casos de fraude y corrupción:
- Urbanismo
- Subvenciones
- Contratación pública
- Licencias administrativas
Con el análisis de la información anterior junto con la materialidad fijada, identificaremos inicialmente los posibles riesgos de gestión y de incorrecciones materiales existentes y de incumplimiento de normativa.
Los comentarios anteriores deben contextualizarse en un doble sentido: por un lado, el tamaño de la propia entidad local; y, por otro, si el trabajo es recurrente o no.
Lógicamente estas dos situaciones influyen a la hora de aplicar el enfoque de riesgos; así, si es una EELL de pequeño tamaño, debemos partir de que su sistema de control interno está concentrado básicamente en el puesto del secretario-interventor que a su vez también es el gestor de las operaciones principales que realiza esa entidad. Si se refiere a un trabajo recurrente, partiremos de los análisis efectuados en años anteriores, actualizándolos en aquellos aspectos o áreas que hayan experimentado cambios sustanciales desde el anterior trabajo.
Conocimiento y evaluación preliminar del control interno de la entidad
Cuando hablamos de control interno no nos referimos exclusivamente al ejercido por la intervención y la secretaría municipal –aunque para según qué tipo de entidades locales, este es el único- sino que incluimos, además, al conjunto de estructuras y procedimientos de gestión implantados por la EELL que permitan aportar una seguridad razonable tanto de prevención como de corrección sobre las actividades desarrolladas por la entidad local desde el ámbito financiero y de cumplimiento de la normativa.
En la actualidad, el sistema de control interno de una EELL comprende tanto elementos manuales como elementos automatizados, que deberán tenerse en cuenta para la evaluación por el auditor de los riesgos derivados de los mismos[13].
Así mismo, en el entorno informatizado de la actividad municipal –tanto de gestión como de preparación de la información financiera-, es imprescindible contar con especialistas en auditoría de procesos informatizados ante la desaparición de las pistas físicas de auditoría.
Los procedimientos para la obtención de evidencias de auditoría sobre el diseño, implantación y eficacia del control interno implantado en la EELL pueden ser:
- Utilización de cuestionarios para la revisión del sistema de control interno.
- Conversaciones con los empleados de la entidad.
- Observación de la aplicación de los controles específicos.
- Inspección de documentos e informes.
- Pruebas de recorrido o seguimiento de transacciones a través del sistema de información.
- Dibujo de flujogramas representativos de los procedimientos analizados.
Los resultados de estas pruebas permitirán al auditor formarse una opinión preliminar sobre la eficacia del sistema de control interno y establecer la futura estrategia de auditoría (adopción del enfoque sustantivo o del combinado).
Identificación y valoración de riesgos
Una vez evaluado el sistema de control interno de la EELL y ante una opinión preliminar positiva sobre su adecuado funcionamiento, profundizaremos en nuestro conocimiento de la entidad e identificaremos los riesgos y los controles clave de cada aplicación o procedimiento analizado. Para ello, aplicaremos:
- Análisis y evaluación del diseño del procedimiento.
- Identificación y valoración de riesgos.
- Identificación de controles claves.
- Pruebas de recorrido.
- Pruebas de funcionamiento.
- Pruebas de datos con herramientas informatizadas.
Es básico en esta etapa vincular o relacionar los riesgos identificados con los controles claves establecidos y éstos con las pruebas de controles o sustantivas a practicar.
Los resultados de estas pruebas permitirán formarse al auditor una opinión sobre si los controles aportan o no una seguridad razonable para garantizar la correcta ejecución, legalidad y contabilización de las operaciones y la validez, integridad, exactitud, fiabilidad y disponibilidad de la información relacionada. Ello nos permitirá calificar determinado control interno como efectivo, parcialmente efectivo, no efectivo.
Si los controles funcionan correctamente, se aplicarán las pruebas sustantivas previstas en la planificación. En caso contrario, implica modificar la valoración del riesgo y de las pruebas previstas e introducir las pruebas sustantivas precisas para poder alcanzar las conclusiones de auditoría.
Respuesta de los auditores. La estrategia de auditoría
Al objeto de responder a los riesgos valorados, el enfoque general de la auditoría podrá ser:
- Enfoque sustantivo (pruebas sustantivas) o
- Enfoque combinado (tanto pruebas de controles como sustantivas)
Normalmente, las actuaciones se realizarán según el enfoque combinado, utilizándose básicamente el enfoque sustantivo en aquellos supuestos en que no se confíe en el control interno de la entidad.
Para el enfoque combinado y ante los riesgos detectados, la respuesta del auditor de la EELL serán, según Mesén Figueroa (2009; p.11), las siguientes:
A) Respuestas globales
Para trabajos calificados como de alto riesgo, se aplicarán medidas globales tales como:
- Asignar personal propio experimentado a la auditoría.
- Incrementar el escepticismo profesional del equipo.
- Utilizar expertos externos cuando lo exijan las circunstancias.
- Estricta supervisión de los trabajos.
- Incorporar factores no previsibles (factor sorpresa) en la aplicación de procedimientos de auditoría.
- Aplicar los procedimientos de auditoría en momentos distintos a los habituales o de naturaleza distinta.
B) Pruebas de controles
Se diseñaran procedimientos de auditoría para comprobar si el diseño de los controles implantados es adecuado y si han funcionado eficazmente durante el periodo fiscalizado.
C) Pruebas sustantivas
Los procedimientos sustantivos no pueden eliminarse en aquellas áreas significativas o de riesgo alto, pero su naturaleza, momento de realización y extensión dependerá de los riesgos valorados y de la evaluación del sistema de control interno. Cuanto más deficiente sea el sistema de control interno, mayor será la extensión de las pruebas sustantivas, es decir, mayor será el tamaño requerido de las muestras utilizadas, para que nos proporcionen seguridad de auditoría (evidencias suficientes y adecuadas).
Informe de auditoría
Sobre el tema del informe de auditoría y la valoración de riesgos, resaltamos que la ISSAI-ES 1700[14], en concreto su Anexo 1 de “modelo de Informe de auditoría financiera de cuentas anuales”, indica, dentro del apartado de “responsabilidades del auditor”, que se hará referencia a:
“…Los procedimientos seleccionados dependen del juicio del auditor, incluida la valoración de riesgos de incorrección material en las cuentas anuales, debido a fraude o error. Al efectuar dichas valoraciones de riesgo, el auditor tiene en cuenta el control interno relevante para la formulación por parte de la entidad de las cuentas anuales…”
Igualmente, señalamos que la nueva de Ley de Auditoría[15] en su artículo 5º indica que el informe de auditoría, entre otros aspectos, deberá contener:
“c) Explicación de que la auditoría se ha planificado y ejecutado con el fin de obtener una seguridad razonable de que las cuentas anuales están libres de incorreciones materiales, incluidas las derivadas del fraude.
Asimismo, se describirá los riesgos considerados más significativos de la existencia de incorrecciones materiales, incluidas las debidas a fraude, un resumen de las respuestas del auditor a dichos riesgos y, en su caso, de las observaciones esenciales derivadas de los mencionados riesgos”.
IV. CONCLUSIÓN
En el actual contexto de exigencia presupuestaria y de demanda de transparencia y de ética en la gestión pública, la introducción de la metodología de valoración de riesgos en la planificación y ejecución de los trabajos a realizar en el Sector Público Local, debe constituir un principio esencial para dar respuesta adecuada a la misión principal de las ICEX, esto es, velar por la buena gestión de los fondos públicos. Además, incorpora un principio de racionalidad tanto para la concreción de las entidades objeto de revisión dentro del amplísimo Sector Público Local como para la propia dotación y asignación de recursos a este sector.
En definitiva, esta estrategia de control basada en la valoración de riesgos del Sector Público Local, va a permitir a las ICEX:
- Priorizar sus actuaciones en las áreas de riesgos o aquéllas que presenten un alto coste para la administración local en términos de incumplimientos normativos, errores materiales en los estados financieros, inadecuado uso de recursos públicos, indicios de fraude y corrupción, falta de eficacia y eficiencia en la gestión…
- Determinar el alcance y tipología de las actuaciones fiscalizadoras desde la perspectiva de los riesgos detectados.
- Mejorar la aplicación del principio de transparencia y de neutralidad en la selección de entidades.
- Concretar las entidades locales objeto de revisión y de otros trabajos dentro del periodo estratégico y en su programación anual.
- Asignar de una manera más eficiente sus recursos internos y, en su caso, externos, para poder efectuar con garantías suficientes de calidad las actuaciones programadas.
- Lograr reducir el coste del uso inadecuado de los fondos públicos locales y favorecer la aplicación de los principios de buena gestión y de ética.
- Obtener una seguridad de auditoría razonable sobre la “bondad” de las cuentas fiscalizadas y sobre el cumplimiento de la normativa.
- Mejorar su respuesta a las demandas y exigencias de los ciudadanos.
Por último señalamos que, en línea con los pronunciamientos observados en el sector privado, las administraciones públicas –al menos las más relevantes- deberían incluir información en sus estados financieros sobre los riesgos e incertidumbres a que están expuestas sus actividades. Esta información sobre riesgos sería de relevante utilidad para todos los usuarios de la información contable y, en particular, para los auditores públicos.
BIBLIOGRAFIA
Álvarez Arderius, L. y García Muñoz, J. (2014) “Controles informáticos para la fiscalización de la nómina”. Auditoría Pública, nº 64: 51-60.
Cabeza del Salvador, I. (2000) “El papel de la auditoría pública en la lucha contra la corrupción”. Revista Técnica, nº 17: 38-51.
Comisión de Presidentes del Tribunal de Cuentas y de los Órganos de Control Externo de las Comunidades Autónomas. (2014). Aprobación de las ISAAI-ES de nivel tres 100-400. Documentación que puede consultarse en las páginas web de las distintas ICEX.
García Muñoz, J. (2015). “Empleo de un modelo de gestión de riesgos aplicado a la fiscalización”. Curso coorganizado por la Cámara de Comptos de Navarra y la Fundación FIASP. Documentación técnica.
Mesén Figueroa, V. (2009). “El riesgo de auditoría y sus efectos sobre el trabajo del auditor independiente”. TEC Empresarial, vol. 3: 9-12.
Miaja, M. y Mejlszenkier, M. (2014). “Planificación óptima de la estrategia de fiscalización de los órganos de control”. Auditoría Pública, nº 63: 39-50.
Minguillón Roy, A. (2014). “Las ICEX deben ser implacables en la lucha contra el fraude”. Auditoría Pública, nº 64: 21-34
Minguillón Roy, A. (2015). “El enfoque de auditoría basado en el análisis de riesgos” Curso coorganizado por la Cámara de Comptos de Navarra y la Fundación FIASP. Documentación técnica.
Sindicatura de Comptes de la Comunitat Valenciana. (2015). “Manual de Fiscalización”. www.sindicom.gva.es
Villegas Periñán, E. (2015). “La fiscalización del control interno en los Ayuntamientos como resultado de la planificación basada en el análisis de riesgo” Comunicación presentada en los XI Encuentros Técnicos de los Órganos de Control Externo. Documentación técnica. Oviedo, junio de 2015.
[1] La adaptación a España de las ISSAI del tercer nivel fueron aprobadas por la Comisión de Presidentes del Tribunal de Cuentas y de los Órganos de Control Externo de las Comunidades Autónomas en junio de 2014.
[2] Al respecto puede verse el completo Manual de Fiscalización de la Sindicatura de Comptes de la Comunitat Valenciana (2015).
[3] ISSAI-ES 100 “Principios fundamentales de fiscalización del Sector Público”, párrafo 28.
[4] ISSAI-ES 200 “Principios fundamentales de la fiscalización o auditoría financiera”, párrafo 42
[5] ISSAI-ES 200, párrafo 44
[6] Según el informe del Tribunal de Cuentas sobre el Sector Público Local de 2012, el número de entidades locales y sus entes dependientes asciende a 16.497.
[7] En 2014, las ICEX han elaborado un total de 114 informes sobre el Sector Público Local con diversos objetivos y alcances. (ver www.informesocex.es y www.tcu.es)
[8] Puede verse, por ejemplo, el Plan Estratégico de la Cámara de Comptos 2011-2016 para el ámbito de la Administración Local (www.camaradecomptos.navarra.es).
[9] Cabeza del Salvador, I. (2000; p. 51). “El papel de la auditoría pública en la lucha contra la corrupción”
[10] Véase, por ejemplo, informes de la Sindicatura de Comptes de la Comunitat Valenciana, de la Cámara de Cuentas de Andalucía y de la Cámara de Comptos de Navarra.
[11] Al respecto pueden verse los distintos módulos que sobre el análisis de riesgos contiene el ya citado Manual de Fiscalización de la Sindicatura de Comptes de la Comunitat Valenciana.
[12] Sobre estas tipologías de riesgos, puede consultarse el Documento AECA –Contabilidad de Gestión nº 39 “Control económico de riesgos ambientales y naturales en la empresa”
[13] Para el área de personal, puede verse Álvarez Arderius, L. y García Muñoz, J. (2014) “Controles informáticos para la fiscalización de la nómina”
[14] ISSAI-ES 1700 “Formación de la opinión y emisión del Informe de auditoría sobre los estados financieros” Anexo 1, página 7
[15] Ley 22/2015, de 20 de julio, de Auditoría de Cuentas