09-GL

Resumo: O Consello de Contas é consciente da necesidade de que os entes públicos de Galicia conten cun adecuado sistema de control interno que garanta a detección e a valoración de riscos, que lles permita aos órganos de xestión das diferentes administracións ter un perfecto coñecemento destas circunstancias para poderen tomar decisións dirixidas tanto a reducir as posibilidades de que os riscos ocorran como a que as súas consecuencias sexan asumibles. Nesta contorna, o Consello de Contas de Galicia deseñou unha metodoloxía en materia de xestión de riscos e prevención da corrupción, sobre a que a continuación se realiza unha descrición das distintas fases do proceso de análise de riscos, así como unha exposición da catalogación destes elaborada polo Consello, para finalizar cunha explicación do sistema de avaliación do control interno da Administración local.

Palabras clave: Prevención, corrupción, fraude, xestión de riscos, Administración local, control interno, control financeiro.

Resumen: El Consello de Contas es consciente de la necesidad de que los entes públicos de Galicia cuenten con un adecuado sistema de control interno que garantice la detección y la valoración de riesgos, que permita a los órganos de gestión de las diferentes administraciones tener un perfecto conocimiento de estas circunstancias para poder tomar decisiones dirigidas tanto a reducir las posibilidades de que los riesgos ocurran como a que sus consecuencias sean asumibles. En este entorno, el Consello de Contas de Galicia ha diseñado una metodología en materia de gestión de riesgos y prevención de la corrupción, sobre la que a continuación se realiza una descripción de las distintas fases del proceso de análisis de riesgos, así como una exposición de la catalogación de estos elaborada por el Consello, para finalizar con una explicación del sistema de evaluación del control interno de la Administración local.

Palabras clave: Prevención, corrupción, fraude, gestión de riesgos, Administración local, control interno, control financiero.

Abstract: The Consello de Contas is aware of the need for the public entities of Galicia to have an adequate internal control system that guarantees the detection and assessment of risks, which allows the management of the different administrations to have a perfect knowledge of these circumstances to be able to make directed decisions both to reduce the possibilities that the risks occur and that their consequences are assumable. In this environment, the Consello de Contas de Galicia has designed a methodology for risk management and the prevention of corruption, on which it makes a description of the different phases of the risk analysis process, as well as an exposition of the cataloging of these prepared by the Consello, to end with an explanation of the evaluation system of internal control of the local Administration.

Key words: Prevention, corruption, fraud, risk management, local Administration, internal control, financial control.

Sumario: 1 Introdución. 2 Metodoloxía de xestión de riscos do Consello de Contas de Galicia. 3 Proceso de identificación, avaliación e análise de riscos. 3.1 Descrición das fases do procedemento. 3.1.1 Coñecemento do contorno. 3.1.2 Identificación de procesos. 3.1.3 Identificación de factores de risco. 3.1.4 Identificación de riscos. 3.1.5 Análise de riscos. 3.1.6 Tratamento do risco. 3.1.7 Mapa de riscos. 4 Catálogo de riscos. 4.1 Xestión económico-financeira. 4.2 Xestión de persoal. 4.3 Subvencións. 4.4 Contratación. 5 O sistema de avaliación do control interno na Administración local. 6 Informes de fiscalización selectiva de entidades locais. 7 Conclusión. 8 Bibliografía.

1 INTRODUCIÓN

A Organización Internacional de Entidades Fiscalizadoras Superiores (INTOSAI), na súa Directriz para a auditoría de prevención da corrupción, GUID 5270, actualizada en 2019, deseñada para axudar na preparación e execución de auditorías de políticas anticorrupción e procedementos en organizacións gobernamentais, relaciona a corrupción coa gobernanza pública, xa que onde hai gobernanza deficiente hai maiores incentivos e maiores posibilidades de corrupción1.

O Banco Mundial sinalou como dimensións clave de gobernanza nos seus Indicadores de Gobernanza a Nivel Mundial (World Wide Governance Indicators)2: a rendición de contas, a estabilidade política e ausencia de violencia, a eficacia do goberno, a calidade regulatoria, o Estado de dereito e o control da corrupción.

Podemos atopar múltiples definicións de corrupción, como a de abuso de poder dirixido ao proveito persoal, da Convención das Nacións Unidas contra a Corrupción3, ou a do Banco Mundial, que a entende como uso indebido de fondos e/ou postos públicos para obter proveito persoal ou político4. Pola súa parte, o Convenio Civil sobre a Corrupción, do Consello de Europa, define a corrupción como solicitar, ofrecer, outorgar ou aceptar, directa ou indirectamente, un suborno ou calquera outra vantaxe indebida ou a promesa desta, que distorsione o bo desempeño de todo deber ou conduta requiridos do beneficiario do suborno, da vantaxe indebida ou a promesa desta5.

As entidades fiscalizadoras deben desempeñar un papel fundamental na loita contra a corrupción, pero desde unha perspectiva da prevención; por iso, deben ter en conta esta visión nas súas actuacións de fiscalización, tratando de conseguir unha maior concienciación pública sobre este problema e recomendando a toma de medidas correctoras para, na medida do posible, evitar situacións favorecedoras de condutas corruptas.

Neste sentido, as entidades fiscalizadoras deben realizar actuacións de avaliación do control interno, xa que é un piar básico na prevención de condutas irregulares, e facer recomendacións para fortalecer as debilidades atopadas.

O control interno é o proceso deseñado para garantir información financeira confiable, operacións eficaces e eficientes, e o cumprimento da normativa vixente co fin de salvagardar os activos da organización contra roubo e uso, adquisición ou disposición non autorizados6.

A Guía 9130 para as normas do control interno do sector público da INTOSAI7 explica na súa introdución que todas as entidades públicas se enfrontan a incertezas, e o reto para a súa administración é o de determinar canta incerteza se pode aceptar mentres estas se esforzan en satisfacer ou servir ao interese público. É importante tamén observar que a incerteza presenta tanto riscos como oportunidades, co potencial de desgastar ou mellorar o valor deste servizo ao interese público. O obxectivo da xestión de riscos da entidade é o de lles permitir aos órganos directivos o tratamento efectivo da incerteza e o seu risco-oportunidade asociados, mellorando a capacidade de construír valor proporcionando servizos máis efectivos, de maior eficiencia e máis económicos, considerando e tomando en conta principios como equidade e xustiza.

Non hai un enfoque universalmente aceptado para avaliar riscos; non obstante, xeralmente implican as seguintes cinco accións: (1) identificar os riscos que afectan ao programa, (2) avaliar a probabilidade e o impacto dos riscos inherentes, (3) determinar a tolerancia ao risco da organización, (4) examinar a idoneidade dos controis existentes e priorizar os riscos, e (5) documentar os achados e conclusións clave dos pasos anteriores.

O Consello de Contas de Galicia intentou desenvolver un marco de traballo para aplicar os principios de xestión de risco nas entidades do sector público e así proporcionar as bases mediante as cales unha entidade poida avaliar a súa xestión de riscos.

2 METODOLOXÍA DE XESTIÓN DE RISCOS DO CONSELLO DE CONTAS DE GALICIA

O deseño da metodoloxía de xestión de riscos do Consello de Contas descríbese nos documentos técnicos elaborados pola Sección de Prevención da Corrupción8. Ata a data, os documentos aprobados son:

Estratexia en materia de prevención da corrupción.
Directrices técnicas para a avaliación do control interno nas entidades públicas.
Metodoloxía para a administración de riscos.
Catálogo de riscos por áreas de actividade.

O primeiro documento, “Estratexia en materia de prevención da corrupción”, establece que a misión do Consello de Contas neste ámbito é colaborar no establecemento dun marco de integridade nas entidades públicas que contribúa a garantir unha correcta xestión das finanzas públicas.

O obxectivo do segundo documento, “Directrices técnicas para a avaliación do control interno nas entidades públicas”, é elaborar un modelo de avaliación do control interno para ser aplicado ás institucións do sector público, co obxecto de identificar o contorno de control en que se executan os recursos públicos, e propor accións de mellora para fortalecer estes sistemas (de control) de cara á prevención de riscos.

Para a configuración deste modelo, seguiuse a liña metodolóxica da INTOSAI, que está exposta na súa Guía para as normas de control interno do sector público.

Pola súa banda, o documento técnico “Metodoloxía para a administración de riscos” aborda a descrición do proceso de identificación, avaliación e análise de riscos.

Este modelo de xestión de riscos que propón o Consello contempla un enfoque global e amplo que intenta abranguer a totalidade dos riscos de xestión, nos que se atopan, ademais dos relacionados coa corrupción e integridade, os de cumprimento normativo, de boa administración e de axeitada presentación da información financeira.

Trátase con esta metodoloxía de identificar as áreas de actividade da entidade e os riscos que afectan a estas actividades, para, a partir da súa avaliación, elaborar mapas de riscos que recollan os aspectos aos que se debe prestar especial atención, así como as medidas correctoras que cómpre implantar.

Esta metodoloxía de xestión de riscos pode servir de modelo para a implantación nas entidades locais de sistemas de análise de riscos e de plans de prevención da corrupción, sobre todo desde que o Real decreto 424/2017, do 28 de abril, que regula o réxime xurídico do control interno nas entidades do sector público local9, obriga á realización de análise de riscos para seleccionar as actuacións do Plan anual de control financeiro.

O RD 424/2017 distingue no seu artigo 3 dúas formas de exercicio do control interno da actividade económico-financeira do sector público local:

A función interventora que se refire ao control dos actos da entidade local e dos seus organismos autónomos que dean lugar ao recoñecemento de dereitos ou á realización de gastos, así como dos ingresos e pagamentos que deles deriven, e o investimento ou aplicación en xeral dos fondos públicos.
Obxectivo: Asegurar que a xestión se axuste ás disposicións aplicables en cada caso.
O control financeiro, que verifica o funcionamento dos servizos do sector público local no aspecto económico financeiro.
Obxectivo: comprobar o cumprimento da normativa e directrices que os rexen e, en xeral, que a súa xestión se axusta aos principios de boa xestión financeira, asegurando que a xestión dos recursos públicos se atopa orientada pola eficacia, a eficiencia, a economía, a calidade e a transparencia, e polos principios de estabilidade orzamentaria e sustentabilidade financeira).

Pola súa vez, establece no artigo 29 que o control financeiro da actividade económico-financeira do sector público local se realizará mediante:

o exercicio do control permanente, cuxo obxecto é comprobar, de forma continua, que o funcionamento da actividade económico-financeira do sector público local se axusta ao ordenamento xurídico e aos principios xerais de boa xestión financeira, co fin último de mellorar a xestión no seu aspecto económico, financeiro, patrimonial, orzamentario, contable, organizativo e procedemental, e
a auditoría pública, que consiste na verificación, realizada con posterioridade e efectuada de forma sistemática, da actividade económico-financeira do sector público local, mediante a aplicación dos procedementos de revisión selectivos contidos nas normas de auditoría e instrucións que dite a Intervención Xeral da Administración do Estado.

As actuacións de control permanente e auditoría pública que deben realizarse durante o exercicio deben estar recollidas nun Plan anual de control financeiro elaborado polo órgano interventor; entre estas actuacións estarán todas aquelas que deriven dunha obriga legal ou se seleccionen sobre a base dunha análise de riscos que debe ter en conta os obxectivos que se pretendan conseguir, as prioridades establecidas para cada exercicio e os medios dispoñibles.

Isto supón o desenvolvemento dun proceso polo que se van identificar os riscos, que se avaliarán para estimar a súa importancia e desta forma poder asignar prioridades para seleccionar as actuacións a incluír no Plan anual de control financeiro, onde se determinará o alcance obxectivo, subxectivo e temporal de cada unha delas.

O Real decreto 424/2017 define, no segundo parágrafo do artigo 31.2, o concepto de risco como a posibilidade de que se produzan feitos ou circunstancias na xestión sometida a control susceptibles de xerar incumprimentos da normativa aplicable, falta de fiabilidade da información financeira, ou falta de eficacia e eficiencia na xestión.

Vemos, polo tanto, que na Administración local é necesario realizar este tipo de análise para que o control interno da entidade poida asegurar un modelo de control eficaz e acorde cos principios recollidos no artigo 4 do Real decreto 424/2017.

O resultado das actuacións de control permanente e auditoría pública débese plasmar nos correspondentes informes e, pola súa vez, o órgano interventor deberá presentar con carácter anual e con ocasión da aprobación da conta xeral, o informe resumo dos resultados do control interno, á vista do cal o presidente da entidade local formalizará un plan de acción que determine as medidas que se deben adoptar para emendar as debilidades, as deficiencias, os erros e os incumprimentos detectados.

Cómpre ter en conta que, con carácter xeral, aquelas entidades que apliquen o réxime de control interno simplificado non teñen obriga de realizar a función de control financeiro.

3 PROCESO DE IDENTIFICACIÓN, AVALIACIÓN E ANÁLISE DE RISCOS

Para levar a cabo este proceso de identificación, avaliación e análise de riscos, o marco de traballo que se propón no documento técnico “Metodoloxía para a administración de riscos” é o formulado na norma ISO ٣١٠٠٠:٢٠٠٩10, en que se deseña unha ferramenta para avaliar a xestión de riscos, segundo a cal o proceso de xestión do risco consta das fases que se mostran na figura 1.

Figura 1

Fonte: NORMA ISO 31000:2009

3.1 Descrición das fases do procedemento

3.1.1 Coñecemento do contorno

Cada entidade debe definir de xeito individual cal é o seu propio contexto e os seus propios riscos, coa finalidade de que as estratexias que desenvolva para xestionalos sexan adecuadas e efectivas. Neste sentido, o coñecemento particularizado da propia organización, da súa estrutura interna e das interaccións que realiza co exterior vai contribuír a unha mellor configuración do sistema de xestión de riscos da entidade.

Nesta primeira etapa tamén deben quedar definidos os obxectivos do proceso. É dicir, débese deixar claro que é o que se busca coa implementación do Sistema de Xestión de Riscos e cal debe ser o seu alcance.

Os órganos de goberno deben ser os que máis alto grao de implicación acheguen na difusión destes obxectivos, pois pola contra non se logrará que o resto de niveis se comprometan do xeito desexado. Tamén é preciso determinar os recursos necesarios para a materialización do plan de riscos, posto que deles dependerá o seu alcance.

3.1.2 Identificación de procesos

O seguinte paso na análise é a identificación das actividades e procesos que se levan a cabo na entidade e dos riscos inherentes a elas.

A Oficina Antifraude de Cataluña elaborou unha relación dos procesos máis vulnerables no sector público11 que pode servir de orientación para determinar os procesos e das áreas máis sensibles dunha entidade pública.

Táboa 1. Procesos máis vulnerables comúns nas administracións públicas

Fonte: Oficina Antifraude de Cataluña

3.1.3 Identificación de factores de risco

Unha vez establecidas todas as actividades, xa se poden prever os posibles riscos e os motivos ou factores que interveñen na súa manifestación e grao, distinguíndose entre riscos intrínsecos, que serían aqueles que proveñen directamente da propia entidade, e extrínsecos, factores de incerteza provocados por eventos externos que poden ter un impacto sobre a actividade propia.

Cada entidade debe definir tamén nesta fase cales son os factores de risco que poden influír nos procesos. É a propia entidade quen debe aproveitar o seu mellor coñecemento da organización para a detección destes factores e aproveitar fontes de información internas como a procedente dos empregados da entidade.

A realización dunha clasificación destes factores pode axudar a identificalos dun xeito máis doado. Un exemplo de clasificación sería a que diferencia entre factores de risco externos e internos:

Factores de risco externos, como cambios normativos de relevancia ou cambios na estrutura organizativa da entidade, que poderían influír nunha ralentización e inseguridade da actividade da entidade durante a fase de adaptación ás novas situacións.

Factores de risco internos, como a ausencia dunha política axeitada que promova a transparencia e o comportamento ético, as debilidades dos mecanismos internos de supervisión, a existencia de actividades cun alto grao de discrecionalidade ou que haxa procesos pouco informatizados.

Outro modelo sería o que diferencia entre factores de risco individuais e factores procedementais:

Factores de risco individuais, tales como a falta de experiencia ou de formación do persoal, ou a pouca estabilidade nos postos de traballo, cuestión especialmente sensible no caso dos habilitados nacionais.

Factores de risco procedementais, entre os que se inclúen a falta de manuais de procedementos, a falta de transparencia na toma de decisións ou a falta de claridade na distribución de competencias.

Outro exemplo de clasificación de factores pode ser o proposto pola INTOSAI12, que se mostra na táboa 2.

Táboa 2

Fonte: INTOSAI

A INTOSAI é un organismo autónomo, independente, profesional e apolítico, creado como unha institución permanente para:

fomentar o apoio mutuo;
fortalecer o intercambio de ideas, coñecementos e experiencias;
actuar como voceiro, recoñecido globalmente, das entidades fiscalizadoras superiores (EFS) dentro da comunidade internacional;
elaborar normas para a auditoría do sector público;
fomentar a boa gobernanza e promover o desenvolvemento de capacidades, a cooperación e unha continua mellora do rendemento das EFS.
3.1.4 Identificación de riscos

Despois de realizar a análise dos procedementos e factores de risco inherentes a estes, debemos avanzar á fase de identificación dos riscos. O obxectivo deste paso é xerar unha lista de riscos baseada en eventos que poderían obstaculizar ou atrasar o logro dos obxectivos programados da entidade.

O risco debe describirse de xeito claro e preciso, así como incluír a determinación da causa ou factores xeradores deste, o que facilitará a posterior elaboración dun mapa de riscos por parte da entidade. Deste modo, un estudo completo de cada risco debería deixar identificados con claridade e sinxeleza os distintos elementos integrantes coa súa descrición.

Pode servir de exemplo o modelo de táboa de descrición de riscos deseñado pola Federación Europea de Organizacións de Xerencia de Riscos13, que estrutura a descrición de forma que sexan doadamente identificables as características dos riscos detectados.

3.1.5 Análise de riscos

Unha vez elaborada a lista de riscos da entidade coa súa descrición pormenorizada, pasariamos á fase de análise de riscos en que o obxectivo é determinar a probabilidade de que, efectivamente, o risco suceda, así como realizar un cálculo dos efectos potenciais deste. Trátase, polo tanto, de valorar o risco, o cal implica unha análise conxunta e interrelacionada da probabilidade de ocorrencia e da magnitude das consecuencias en caso de que chegue a producirse.

O resultado final desta fase será unha valoración de cada risco individualmente desde a dobre perspectiva de probabilidade e impacto que servirá de base para poder tomar as decisións que corresponda para evitar ou mitigar os seus efectos.

- Probabilidade

Unha primeira actuación será a graduación da probabilidade, que se pode valorar segundo a frecuencia (por exemplo, o número de veces que se produciu o risco nos últimos anos) e tamén segundo a existencia ou ausencia de medidas para mitigar a posibilidade de risco.

No documento de “Metodoloxía para a administración de riscos” preséntase unha escala de valoración da probabilidade do risco tendo en conta a maior ou menor intensidade da presenza das ditas variables (frecuencia e existencia de medidas). Está dividida en tres niveis de probabilidade e cada un deles noutros tres graos. A probabilidade graduouse en 3 niveis: baixo, medio e alto, e cada un deles noutros 3 niveis segundo se implantasen medidas de previsión ou non, ou a súa intensidade e a frecuencia con que se producise o risco.

- Impacto

A segunda actuación será graduar do mesmo xeito o impacto sobre os obxectivos, que se valorará tendo en conta as consecuencias para a entidade en caso de que o risco se materialice.

Un exemplo de valoración da gravidade do risco sería a que tería en conta a maior ou menor intensidade dos danos.

- Matriz de riscos

Unha vez efectuada esta graduación, é interesante presentar dunha forma gráfica esta valoración do risco mediante a elaboración dunha matriz de riscos, que mostra unha escala da gravidade dos riscos tendo en conta a probabilidade de ocorrencia e a gravidade das consecuencias se se materializan. O resultado final do proceso será a catalogación dos riscos, asignándolle a cada un deles unha categoría de probabilidade e impacto.

A utilidade da matriz de riscos radica en que facilita e axiliza a posibilidade de ter unha idea xeral da graduación dos riscos dunha entidade debido ao seu impacto visual.

Táboa 3

Fonte: Documento de Metodoloxía para a administración de riscos

3.1.6 Tratamento do risco

Esta categorización do risco determinará o establecemento de prioridades sobre as que deben concentrarse os esforzos de control e a selección de actuacións a realizar para o seu tratamento coa finalidade de evitalos ou minimizar o seu impacto.

A selección da opción máis axeitada para o tratamento do risco debe ter en conta non só as vantaxes que proporciona, senón tamén os custos que supón. Pola súa vez, tamén se debe contar con que o fallo ou ineficacia das medidas de tratamento do risco pode constituír un novo risco, polo que haberá que asegurarse, a través do oportuno seguimento, de que as opcións elixidas son eficaces.

En relación co tratamento do risco, pódense tomar diferentes decisións:

- Previr o risco. Cando un risco é identificado e representa unha ameaza para o cumprimento dos obxectivos estratéxicos da entidade, poden adoptarse medidas dirixidas a diminuír a probabilidade de ocorrencia (accións de prevención) e medidas dirixidas a reducir o seu impacto (accións de continxencia). Por exemplo, actuacións de mellora dos procedementos ou reforzamento das actuacións dos órganos de control serían medidas de prevención.

- Aceptar o risco. No caso de riscos de baixo impacto e baixa probabilidade de materialización, pode decidirse non adoptar ningunha medida. Esta opción sería válida para aqueles casos en que o custo de eliminar o risco é maior que o dano que pode causar.

- Transferir o risco. Supón trasladar ou compartir o risco cun terceiro; por exemplo, a través da contratación de seguros transferimos o risco á compañía aseguradora. Esta opción só será útil para cubrir determinados tipos de riscos, como unha responsabilidade civil ou patrimonial, pero non será aplicable a outros, como os de carácter reputacional ou os derivados do incumprimento dunha disposición legal.

- Evitar o risco. A solución máis radical sería a de abandonar as actividades ou eliminar os factores xeradores de riscos. Este tipo de estratexia non sempre é aplicable no sector público, xa que, por exemplo, non poderiamos deixar de prestar un servizo público de carácter obrigatorio aínda que iso supoña un factor de risco.

3.1.7 Mapa de riscos

Todo este proceso de xestión de riscos finalizará coa elaboración do mapa de riscos, o cal é unha ferramenta que identifica as actividades ou procesos suxeitos a risco, cuantifica a probabilidade de que sucedan estes eventos e mide o dano potencial asociado á súa ocorrencia; ademais, poderase completar coas medidas de prevención asociadas a cada factor de risco.

4 CATÁLOGO DE RISCOS

O último documento técnico aprobado ata a data polo Consello de Contas foi o catálogo de riscos por área de actividade. Este documento recolle unha relación dos riscos que, de acordo coa experiencia fiscalizadora do Consello de Contas, son recorrentes no sector público, así como das medidas específicas que se propoñen para darlles resposta.

Presta especial atención a aquelas actividades que pola súa propia natureza son máis susceptibles de dar lugar a riscos de xestión, como son as áreas de xestión económico-financeira, a xestión de persoal, concesión de subvencións ou a contratación.

Trátase dunha relación orientadora para que cada entidade analice se os seus propios riscos encaixan cos descritos no catálogo e introduza, se é o caso, as modificacións que considere necesarias para adaptalo ao seu contexto.

4.1 Xestión económico-financeira

Na xestión económico-financeira e orzamentaria das entidades públicas os riscos relaciónanse habitualmente con erros na información financeira (contas anuais), incumprimentos da normativa aplicable, ineficiencias na xestión.

Os riscos agrupáronse en 7 categorías dentro das cales se identifican unha serie de riscos e se propoñen medidas para a súa prevención:

Organización e control interno. Os riscos poden derivar dunha inadecuada segregación de funcións.
Orzamentación e xestión orzamentaria. Os riscos están asociados ao realismo das previsións orzamentarias ou ao grao e volume das súas modificacións, así como ás desviacións significativas da execución.
Estabilidade e sustentabilidade financeira. Os riscos están relacionados co incumprimento dos obxectivos de estabilidade orzamentaria e sustentabilidade financeira.
Información económico-financeira. A fiabilidade e suficiencia da información configúrase como un elemento básico para mellorar a transparencia das contas públicas.
Tesouraría. Na tesouraría os riscos identifícanse coa falta de control de fondos.
Patrimonio e protección de activos. Rexistro e contabilización de activos.
Ingresos e gastos orzamentarios. En materia de ingresos temos os riscos relacionados coa prescrición de dereitos. No ámbito do gasto, os relacionados coa súa racionalidade e co cumprimento normativo.
4.2 Xestión de persoal

Os riscos específicos neste ámbito agrupáronse nas seguintes categorías:

Selección do persoal. Riscos relacionados co respecto aos principios de mérito e capacidade.
Exercicio ético e profesional das funcións. Relacionadas coa quebra de valores como a independencia, a integridade, a responsabilidade, a transparencia, a obxectividade, a imparcialidade e a confidencialidade.
Planificación e estrutura organizativa do persoal, onde temos a ausencia de planificación dos recursos humanos como factor de risco.
Formación e avaliación do desempeño. Ausencia de plans de formación dos empregados públicos.
Retribucións. Uso irregular ou inxustificado de complementos retributivos.
Incompatibilidades e conflitos de interese. Falta de garantías da imparcialidade e obxectividade.
4.3 Subvencións

Os riscos específicos no ámbito da xestión das subvencións agrupáronse nas seguintes categorías:

Suxeición á normativa. Risco de favoritismo ou discrecionalidade.
Procedemento de concesión. Ausencia de plans estratéxicos, publicidade para asegurar a concorrencia.
Xestión do gasto en subvencións. Non exixir achegas de recursos propios nas actividades subvencionadas.
Control do gasto e da actividade subvencionada. Non xustificación suficiente do gasto subvencionado, non verificación do gasto.
Medidas de carácter financeiro. Non acomodación dos anticipos ao calendario de execución previsto.
4.4 Contratación

Os riscos específicos no ámbito da contratación agrupáronse en atención ás distintas fases do procedemento contractual:

- Fase preparatoria.

A falta de estudo e xustificación das necesidades que se pretenden cubrir a través do contrato; a elección de procedemento que restrinxe a participación de licitadores inflúe directamente na concorrencia; o deseño de pregos e criterios de solvencia e adxudicación que poidan favorecer determinados operadores afectan á igualdade de trato dos licitadores; e a determinación dun prezo do contrato que non se axuste ao do mercado.

- Fase de licitación.

A vulneración do principio de transparencia é a principal ameaza nesta fase do procedemento. Limitar a publicidade das licitacións e o libre acceso á información necesaria para presentar as ofertas constitúe riscos que restrinxen a concorrencia e ameazan a igualdade de trato. Tamén resulta esencial a idónea custodia das ofertas para evitar o risco de vulneración do segredo ou a manipulación das proposicións que se presenten.

- Fase de adxudicación.

Os principais riscos identificados nesta fase apuntan á falta de imparcialidade ou profesionalización dos membros das mesas de contratación ou do comité de expertos, á non detección de prácticas colusorias ou á opacidade na valoración das ofertas debido á falta de publicidade das actas e dos informes técnicos ou por non xustificar as puntuacións outorgadas a cada oferta.

- Fase de execución.

Non verificación do cumprimento das condicións que determinaron a selección dun licitador fronte a outro (prazos, melloras, adscrición de medios persoais ou materiais ou condicións especiais de execución) e pode afectar tamén á economía do gasto a través de modificacións contractuais que incrementan o prezo inicial das prestacións.

5 O SISTEMA DE AVALIACIÓN DO CONTROL INTERNO NA ADMINISTRACIÓN LOCAL

O sistema de avaliación desenvolvido polo Consello de Contas de Galicia pretende facer unha descrición do funcionamento do control interno existente e propor accións de mellora para fortalecer os sistemas en fomento da integridade e a prevención de riscos.

A metodoloxía segue o marco xeral e as orientacións que describimos sobre a xestión de riscos da INTOSAI (ISSAI 9100, 9110 e 9120) e tamén se toma como referencia a norma ISO 31000:2009, que establece os principios básicos sobre a xestión de riscos.

Para levar a cabo este proceso de avaliación, faise unha análise de 5 compoñentes e 17 principios que os desenvolven:

Compoñente Contorno de control, integrado cos principios de:
- Compromiso coa integridade e os valores éticos.
- Responsabilidade pola supervisión.
- Definición da estrutura, autoridade e responsabilidade.
- Compromiso coa competencia.
- Avaliación do control interno e rendición de contas.
Compoñente Administración de riscos, integrado cos principios de:
- Establecemento de obxectivos axeitados.
- Identificación e análise de riscos.
- Avaliación do risco de fraude.
- Avaliación dos cambios que poidan afectar ao control interno.
Compoñente Actividades de control, integrado cos principios de:
- Selección e desenvolvemento de actividades de control.
- Selección e desenvolvemento do control das tecnoloxías (TIC).
- Exercicio do control a través de políticas e procedementos.
Compoñente Información e comunicación, integrado cos principios de:
- Utilización de información pertinente.
- Comunicación interna da información.
- Comunicación externa da información.
Compoñente Seguimento, integrado cos principios de:
- Supervisión do control interno e avaliación dos seus resultados.
- Avaliación e comunicación das deficiencias.

O traballo de avaliación dos sistemas de control interno dunha entidade local iníciase coa remisión da comunicación formal de inicio das actuacións, á que se acompaña a Guía para a avaliación do control interno local, explicativa dos obxectivos do traballo e descrición dos compoñentes do control interno, así como dos cuestionarios aprobados.

Tratarase sempre de que exista unha boa comunicación coas entidades obxecto de control, coa finalidade de conseguir a máxima colaboración e entendemento e que os resultados obtidos sexan un claro reflexo do estado destas.

De acordo coas directrices técnicas para a avaliación dos sistemas de control interno, a avaliación realízase a través duns cuestionarios adaptados á realidade da Administración local.

Para a valoración das respostas a estes cuestionarios, teranse en conta as evidencias achegadas segundo a relevancia da información xustificativa que conteñan, considerándoa como evidencias razoables, parciais ou inexistentes.

En función da valoración das respostas, vaise determinar o nivel de implantación dos elementos do sistema de control interno, tanto nunha avaliación total como por compoñente, conforme catro rangos: alto, medio, baixo e inicial. A cada nivel asignaráselle un parágrafo a xeito de conclusión; así, para un nivel medio a conclusión sería: “Os procedementos estandarizáronse, documentáronse e difundíronse en todos os niveis da organización. O sistema de control interno funciona conforme as necesidades da organización e o marco regulador”. A conclusión dun nivel inicial podería ser do tipo: “Existe evidencia de que a institución emprendeu esforzos illados para o establecemento do sistema de control interno; non obstante, aínda non se recoñeceu a súa importancia. O enfoque xeral en relación co control interno é desorganizado”.

Unha das primeiras actuacións realizadas con esta metodoloxía foi a Avaliación do deseño e implantación dos sistemas de control interno e de xestión de riscos nas entidades locais de poboación de entre 10.001 e 20.000 habitantes.

O ámbito subxectivo da análise alcanzou 31 concellos e, aínda que se está na fase de análise dos datos recibidos, pódese avanzar que os concellos non están a prestar unha atención prioritaria ao deseño e implantación de sistemas de xestión de riscos.

As primeiras conclusións que podemos extraer desta actuación son en relación con:

A. Contorno de control.

Non existe unha política de ética definida e concretada nun documento, nin determinación de responsables na xestión da ética corporativa, transparencia ou prevención da corrupción.

Quíxose coñecer a implantación de códigos éticos nas entidades locais, xa que pode ser un axeitado mecanismo de prevención da corrupción.

Non existen canles de denuncias, internas e externas, de posibles incumprimentos.
Non existe unha unidade encargada da prevención de riscos, nin en particular da prevención da corrupción, nin declaracións formalizadas de compromiso coa ética por parte dos cargos electos.
En moitos concellos non están segregadas convenientemente as funcións de intervención, tesouraría e contabilidade.
Nas entidades non existen políticas de incompatibilidades e conflitos de interese.
Nin tampouco unha política de persoal definida coa determinación das necesidades, nin plans de formación.
Non hai unha regulación interna sobre o cumprimento dos deberes de transparencia.

B. Administración de riscos.

Non existe ningún tipo de análise sobre a xestión de riscos.

C. Actividades de control.

Non hai manuais de procedementos de control interno salvo en caso de que se regulen nas BEP.
Non existen manuais de procedementos de control das tecnoloxías da información, nin hai unha avaliación dos riscos existentes.

D. Supervisión do control interno.

Non existen actividades de supervisión.

6 INFORMES DE FISCALIZACIÓN SELECTIVA DE ENTIDADES LOCAIS

En paralelo ás anteriores actuacións, tamén se inclúen no Plan anual de traballo do Consello de Contas actuacións de fiscalización selectiva de entidades locais14.

Para a realización deste tipo de informes, elaboráronse outros cuestionarios referidos ás diferentes áreas de xestión das entidades locais para lograr un coñecemento do seu funcionamento, dos seus procedementos e dos seus sistemas de control.

Estes cuestionarios creáronse tendo en conta o catálogo de riscos descritos no documento técnico elaborado polo Consello de Contas antes exposto. As contestacións servirán de base para detectar as debilidades e fortalezas nas áreas de:

Xestión orzamentaria
Inmobilizado
Tesouraría
Tecnoloxías da información
Subvencións
Contratación
Persoal

Os equipos de fiscalización decidirán, tendo en conta os resultados dos cuestionarios e das entrevistas cos responsables de cada área, a necesidade e extensión doutros controis complementarios que se estime realizar, utilizando para a súa selección técnicas de auditoría.

7 CONCLUSIÓN

Este foi un primeiro achegamento a estes documentos técnicos elaborados polo Consello de Contas de Galicia. Son propostas que cada entidade local terá que dimensionar ao seu propio contexto e adaptalos á súa realidade. Trátase de documentos que, igual que os sistemas de xestión de riscos que tratamos, deben estar en continua evolución adaptándose ás circunstancias de cada momento. Non son instrumentos pechados, senón que se deberán ir conformando coas achegas que as propias entidades locais poidan realizar unha vez que comecen a levar a cabo as súas propias análises de xestión de riscos.

Cómpre ter en conta que o Consello de Contas, como órgano de control externo, realiza as súas fiscalizacións con suxeición aos principios fundamentais de fiscalización das institucións públicas de control externo, que exixen o cumprimento dos requirimentos de ética e de planificación e execución da auditoría coa finalidade de obter unha seguridade razoable na súa opinión. De acordo con estes principios, unha das principais finalidades das fiscalizacións é contribuír á mellora das prácticas de xestión das entidades públicas. Os informes non son un fin en si mesmos, senón un medio para contribuír a mellorar a xestión do sector público; para iso, redáctanse conclusións e recomendacións. Estas recomendacións deben ser obxecto de seguimento para comprobar a aplicación das medidas necesarias para corrixir as deficiencias detectadas, para o que se lles pide ás entidades fiscalizadas que comuniquen que medidas levarán a cabo e o prazo en que o van realizar.

Por este motivo, neste momento a metodoloxía que se presenta non ten percorrido suficiente para poder apreciar con fundamento a efectividade dos obxectivos que con ela se perseguen. Non será ata que pase certo tempo e se alcance un número representativo de entidades fiscalizadas seguindo esta metodoloxía cando poidamos extraer conclusións sobre a súa transcendencia.

8 BIBLIOGRAFÍA

ACCID. 2019. «Prevención y gestión de riesgos», en Revista de Contabilidad y Dirección, 28.

Consejo General de Economistas de España. Cuaderno técnico nº 1. Ámbito de actuación de los auditores en el Sector Público Local. https://rea.economistas.es/cuadernos-tecnicos/ (Última consulta o ١٠ de maio de ٢٠٢٠).

Instituto de Auditores Internos de España. Aplicación del Marco Integrado de Control Interno (COSO) en el Sector Público español. Dispoñible en: https://auditoresinternos.es/uploads/media_items/f%C3%A1bricacososectorp%C3%BAblico.original.pdf (Última consulta o ١٠ de maio de ٢٠٢٠).

International Organization of Supreme Audit Institution – INTOSAI. «Directriz para la Auditoría de Prevención de la Corrupción», en ISSAI, 5270. Dispoñible en: https://www.issai.org/wp-content/uploads/2019/08/GUID-5270-Directriz-para-la-Auditor%C3%ADa-de-Prevenci%C3%B3n-de-la-Corrupci%C3%B3n.pdf (Última consulta o ١٥ de maio de ٢٠٢٠).

INTOSAI. Documentos del nuevo marco denominado Marco de Pronunciamientos Profesionales de la INTOSAI. Dispoñible en: https://www.issai.org/espanhol/ (Última consulta o ١٠ de maio de ٢٠٢٠).

Morán Méndez, E. e García Garrido, I. 2017. «El Consello de Contas y la prevención de la corrupción», en XII Encuentros Técnicos y VII Foro Tecnológico de los Órganos de Control Externo, Barcelona. Dispoñible en: http://www.sindicatura.cat/documents/523211/606600/G1_Com_MoranyGarcia_PrevencionCorrupcion.pdf (Última consulta o ١٠ de maio de ٢٠٢٠).

Pardo Álvarez, J.M. 2017. Gestión por procesos y riesgo operacional. Madrid: AENOR ediciones.

ONU. Directriz de las Naciones Unidas para políticas anticorrupción. Dispoñible en inglés en: www.unodc.org/pdf/crime/corruption/UN_Guide.pdf (Última consulta o ١٠ de maio de ٢٠٢٠).

Rose-Ackerman, S. e Pa Lifka, B. J. 2019. Corrupción y gobierno – Causas, consecuencias y reformas. Madrid: Marcial Pons.

Sandoval Ballesteros, I.E. 2009. Corrupción y transparencia: debatiendo las fronteras entre estado, mercado y sociedad. México: Siglo XXI Editores.

Torres-Dulce, E. 2013. «Corrupción social y política», en Memoria. Madrid: Centro de Estudios Jurídicos. Ministerio de Justicia.

Tribunal de Cuentas Europeo. Manual de auditoría de gestión del TCEu. Dispoñible en: https://www.eca.europa.eu/Lists/ECADocuments/PERF_AUDIT_MANUAL/PERF_AUDIT_MANUAL_ES.PDF (Última consulta o ١٠ de maio de ٢٠٢٠).

Enfoque de riscos e prevención da corrupción deseñado polo Consello de Contas de Galicia. Referencia ao control financeiro local