09-ES

Resumo: O Consello de Contas é consciente da necesidade de que os entes públicos de Galicia conten cun adecuado sistema de control interno que garanta a detección e a valoración de riscos, que lles permita aos órganos de xestión das diferentes administracións ter un perfecto coñecemento destas circunstancias para poderen tomar decisións dirixidas tanto a reducir as posibilidades de que os riscos ocorran como a que as súas consecuencias sexan asumibles. Nesta contorna, o Consello de Contas de Galicia deseñou unha metodoloxía en materia de xestión de riscos e prevención da corrupción, sobre a que a continuación se realiza unha descrición das distintas fases do proceso de análise de riscos, así como unha exposición da catalogación destes elaborada polo Consello, para finalizar cunha explicación do sistema de avaliación do control interno da Administración local.

Palabras clave: Prevención, corrupción, fraude, xestión de riscos, Administración local, control interno, control financeiro.

Resumen: El Consello de Contas es consciente de la necesidad de que los entes públicos de Galicia cuenten con un adecuado sistema de control interno que garantice la detección y la valoración de riesgos, que permita a los órganos de gestión de las diferentes administraciones tener un perfecto conocimiento de estas circunstancias para poder tomar decisiones dirigidas tanto reducir las posibilidades de que los riesgos ocurran como que sus consecuencias sean asumibles. En este entorno, el Consello de Contas de Galicia ha diseñado una metodología en materia de gestión de riesgos y prevención de la corrupción, sobre la que a continuación se realiza una descripción de las distintas fases del proceso de análisis de riesgos, así como una exposición de la catalogación de estos elaborada por el Consello, para finalizar con una explicación del sistema de evaluación del control interno de la administración local.

Palabras clave: Prevención, corrupción, fraude, gestión de riesgos, administración local, control interno, control financiero.

Abstract: The Consello de Contas is aware of the need for the public entities of Galicia to have an adequate internal control system that guarantees the detection and assessment of risks, which allows the management of the different administrations to have a perfect knowledge of these circumstances to be able to make directed decisions both to reduce the possibilities that the risks occur and that their consequences are assumable. In this environment, the Consello de Contas de Galicia has designed a methodology for risk management and the prevention of corruption, on which it makes a description of the different phases of the risk analysis process, as well as an exposition of the cataloging of these prepared by the Consello, to end with an explanation of the evaluation system of internal control of the local administration.

Key words: Prevention, corruption, fraud, risk management, local administration, internal control, financial control.

Sumario: 1 Introducción. 2 Metodología de gestión de riesgos del Consello de Contas de Galicia. 3 Proceso de identificación, evaluación y análisis de riesgos. 3.1 Descripción de las fases del procedimiento. 3.1.1 Conocimiento del entorno. 3.1.2 Identificación procesos. 3.1.3 Identificación de factores de riesgo. 3.1.4 Identificación de riesgos. 3.1.5 Análisis de riesgos. 3.1.6 Tratamiento del riesgo. 3.1.7 Mapa de riesgos. 4 Catálogo de riesgos. 4.1 Gestión económico-financiera. 4.2 Gestión de personal. 4.3 Subvenciones. 4.4 Contratación. 5 El sistema de evaluación del control interno en la Administración Local. 6 Informes de fiscalización selectiva de entidades locales. 7 Conclusión. 8 Bibliografía.

1 INTRODUCCIÓN

La Organización internacional de entidades fiscalizadoras superiores (INTOSAI) en su Directriz para la auditoría de prevención de la corrupción, GUID 5270 actualizada en 2019, diseñada para ayudar en la preparación y ejecución de auditorías de políticas anticorrupción y procedimientos en organizaciones gubernamentales, relaciona a la corrupción con la gobernanza pública ya que donde hay gobernanza deficiente hay mayores incentivos y mayores posibilidades de corrupción.1

El Banco Mundial señaló como dimensiones clave de gobernanza en sus Indicadores de Gobernanza a Nivel Mundial (World Wide Governance Indicators)2: la Rendición de cuentas, la Estabilidad política y Ausencia de violencia, la Eficacia del gobierno, la Calidad regulatoria, el Estado de derecho y el Control de la corrupción.

Podemos encontrar múltiples definiciones de corrupción, como la de abuso de poder dirigido al provecho personal, de la Convención de las Naciones Unidas contra la Corrupción,3 o la del Banco Mundial que la entiende como uso indebido de fondos y/o puestos públicos para obtener provecho personal o político4. Por su parte el Convenio Civil sobre la Corrupción, del Consejo de Europa, define la corrupción como solicitar, ofrecer, otorgar o aceptar, directa o indirectamente, un soborno o cualquier otra ventaja indebida o la promesa de la misma, que distorsione el buen desempeño de todo deber o conducta requeridos del beneficiario del soborno, de la ventaja indebida o la promesa de la misma.5

Las entidades fiscalizadoras deben desempeñar un papel fundamental en la lucha contra la corrupción, pero desde una perspectiva de la prevención, por ello han de tener en cuenta esta visión en sus actuaciones de fiscalización, tratando de conseguir una mayor concienciación pública sobre este problema y recomendando la toma de medidas correctoras para, en la medida de lo posible, evitar situaciones favorecedoras de conductas corruptas.

En este sentido las entidades fiscalizadoras deben realizar actuaciones de evaluación del control interno, ya que es un pilar básico en la prevención de conductas irregulares y hacer recomendaciones para fortalecer las debilidades encontradas.

El control interno es el proceso diseñado para garantizar información financiera confiable, operaciones eficaces y eficientes, y cumplimiento de la normativa vigente con el fin de salvaguardar los activos de la organización contra robo y uso, adquisición o disposición no autorizados.6

La Guía 9130 para las normas del control interno del sector público de la Organización internacional de entidades fiscalizadoras superiores (INTOSAI)7, explica en su introducción que todas las entidades públicas se enfrentan a incertidumbres y el reto para su administración es el de determinar cuánta incertidumbre se puede aceptar mientras estas se esfuerzan en satisfacer o servir al interés público. Es importante también observar que la incertidumbre presenta tanto riesgos como oportunidades con el potencial de desgastar o mejorar el valor de este servicio al interés público. El objetivo de la gestión de riesgos de la entidad es el de permitir a los órganos directivos el tratamiento efectivo de la incertidumbre y su riesgo-oportunidad asociados, mejorando la capacidad de construir valor proporcionando servicios más efectivos, de mayor eficiencia y más económicos, considerando y tomando en cuenta principios como equidad y justicia.

No hay un enfoque universalmente aceptado para evaluar riesgos; sin embargo, generalmente involucran las siguientes cinco acciones: (1) identificar los riesgos que afectan al programa, (2) evaluar la probabilidad y el impacto de los riesgos inherentes, (3) determinar la tolerancia al riesgo de la organización, (4) examinar la idoneidad de los controles existentes y priorizar los riesgos, y (5) documentar los hallazgos y conclusiones clave de los pasos anteriores.

El Consello de Contas de Galicia ha intentado desarrollar un marco de trabajo para aplicar los principios de gestión de riesgo en las entidades del sector público y así proporcionar las bases mediante las cuales una entidad pueda evaluar su gestión de riesgos.

2 METODOLOGIA DE GESTIÓN DE RIESGOS DEL CONSELLO DE CONTAS DE GALICIA

El diseño de la metodología de gestión de riesgos del Consello de Contas se describe en los documentos técnicos elaborados por la Sección de prevención de la corrupción8. Hasta la fecha los documentos aprobados son:

Estrategia en materia de prevención de la corrupción.
Directrices técnicas para la evaluación del control interno en las entidades públicas.
Metodología para la administración de riesgos.
Catálogo de riesgos por áreas de actividad.

El primer documento “Estrategia en materia de prevención de la corrupción” establece que la misión del Consello de Contas en este ámbito es colaborar en el establecimiento de un marco de integridad en las entidades públicas que contribuya a garantizar una correcta gestión de las finanzas públicas.

El objetivo del segundo documento “Directrices técnicas para la evaluación del control interno en las entidades públicas” es elaborar un modelo de evaluación del control interno para ser aplicado a las instituciones del sector público, con el objeto de identificar el entorno de control en el que se ejecutan los recursos públicos, y proponer acciones de mejora para fortalecer estos sistemas (de control) de cara a la prevención de riesgos.

Para la configuración de este modelo se ha seguido la línea metodológica de la Organización Internacional de Entidades Fiscalizadoras Superiores INTOSAI, que está expuesta en su Guía sobre Normas de control interno del Sector Público.

Por su parte el documento técnico “Metodología para la administración de riesgos” aborda la descripción del proceso de identificación, evaluación y análisis de riesgos.

Este modelo de gestión de riesgos que propone el Consello contempla un enfoque global y amplio que intenta abarcar la totalidad de los riesgos de gestión, en los que se encuentran, además de los relacionados con la corrupción e integridad, los de cumplimiento normativo, de buena administración y de adecuada presentación de la información financiera.

Se trata con esta metodología de identificar las áreas de actividad de la entidad y los riesgos que afectan a estas actividades, para, a partir de su evaluación, elaborar mapas de riesgos que recojan los aspectos a los que se debe prestar especial atención, así como las medidas correctoras a implantar.

Esta metodología de gestión de riesgos puede servir de modelo para la implantación en las entidades locales de sistemas de análisis de riesgos y de planes de prevención de la corrupción, sobre todo desde que el Real Decreto 424/2017, do 28 de abril, que regula el régimen jurídico del control interno en las entidades do Sector Público Local9, obliga a la realización de análisis de riesgos para seleccionar las actuaciones del Plan anual de control financiero.

El RD 424/2017 distingue en su artículo 3 dos formas de ejercicio del control interno de la actividad económico-financiera del sector público local:

La función interventora que se refiere al control de los actos de la entidad local y de sus organismos autónomos que den lugar al reconocimiento de derechos o a la realización de gastos, así como de los ingresos y pagos que de ellos se deriven, y la inversión o aplicación en general de los fondos públicos.
Objetivo: Asegurar que la gestión se ajuste las disposiciones aplicables en cada caso.
El control financiero, que verifica él funcionamiento de los servicios del sector público local en el aspecto económico financiero.
Objetivo: comprobar el cumplimiento de la normativa y directrices que los rigen y, en general, que su gestión se ajusta a los principios de buena gestión financiera, asegurando que la gestión de los recursos públicos se encuentra orientada por la eficacia, la eficiencia, la economía, la calidad y la transparencia, y por los principios de estabilidad presupuestaria y sostenibilidad financiera).

A su vez establece en el artículo 29 que el control financiero de la actividad económico-financiera del sector público local se ejercerá mediante:

el ejercicio del control permanente cuyo objeto es comprobar, de forma continua, que el funcionamiento de la actividad económico-financiera del sector público local se ajusta al ordenamiento jurídico y a los principios generales de buena gestión financiera, con el fin último de mejorar la gestión en su aspecto económico, financiero, patrimonial, presupuestario, contable, organizativo y procedimental y
la auditoría pública: que consiste en la verificación, realizada con posterioridad y efectuada de forma sistemática, de la actividad económico-financiera del sector público local, mediante la aplicación de los procedimientos de revisión selectivos contenidos en las normas de auditoría e instrucciones que dicte la Intervención General de la Administración del Estado.

Las actuaciones de control permanente y auditoría pública que deben realizarse durante el ejercicio deben estar recogidas en un Plan anual de control financiero elaborado por el órgano interventor; entre estas actuaciones estarán todas aquellas que deriven de una obligación legal o se seleccionen sobre la base de un análisis de riesgos que debe tener en cuenta los objetivos que se pretendan conseguir, las prioridades establecidas para cada ejercicio y los medios disponibles.

Esto supone el desarrollo de un proceso por el que se van a identificar los riesgos, se evaluarán para estimar su importancia y de esta forma poder asignar prioridades para seleccionar las actuaciones a incluir en el Plan anual de control financiero, donde se determinará el alcance objetivo, subjetivo y temporal de cada una de ellas.

El Real Decreto 424/2017 define, en el segundo párrafo del artículo 31.2, el concepto de riesgo como la posibilidad de que se produzcan hechos o circunstancias en la gestión sometida a control susceptibles de generar incumplimientos de la normativa aplicable, falta de fiabilidad de la información financiera, o falta de eficacia y eficiencia en la gestión.

Vemos por tanto que en la administración local es necesario realizar este tipo de análisis para que el control interno de la entidad pueda asegurar un modelo de control eficaz y acorde con los principios recogidos en el artículo 4 del Real Decreto 424/2017.

El resultado de las actuaciones de control permanente y auditoría pública se debe plasmar en los correspondientes informes y a su vez el órgano interventor deberá presentar con carácter anual y con ocasión de la aprobación de la Cuenta General, el informe resumen de los resultados del control interno. A la vista del cual el Presidente de la entidad Local formalizará un plan de acción que determine las medidas a adoptar para subsanar las debilidades, deficiencias, errores e incumplimientos detectados.

Ha de tenerse en cuenta que, con carácter general, aquellas entidades que apliquen el régimen de control interno simplificado no tienen obligación de realizar la función de control financiero.

3 PROCESO DE IDENTIFICACIÓN, EVALUACIÓN Y ANÁLISIS DE RIESGOS

Para llevar a cabo este Proceso de identificación, evaluación y análisis de riesgos el marco de trabajo que se propone en el documento técnico “Metodología para la administración de riesgos” es el planteado en la norma ISO 31000:200910, en el que se diseña una herramienta para evaluar la Gestión de riesgos, según la cual el proceso de gestión del riesgo consta de las fases que se muestran en la Figura 1.

Figura 1

Fuente: Norma ISO 31000:2009

3.1 Descripción de las fases del procedimiento

3.1.1 Conocimiento del entorno

Cada entidad debe definir de manera individual cuál es su propio contexto y sus propios riesgos, con la finalidad de que las estrategias que desarrolle para gestionarlos sean adecuadas y efectivas. En este sentido, el conocimiento particularizado de la propia organización, de su estructura interna, y de las interacciones que realiza con el exterior va a contribuir a una mejor configuración del sistema de gestión de riesgos de la entidad.

En esta primera etapa también deben quedar definidos los objetivos del proceso. Es decir, se debe dejar claro qué es lo que se busca con la implementación del Sistema de Gestión de Riesgos y cuál debe ser el alcance del mismo.

Los órganos de gobierno deben ser los que más alto grado de implicación aporten en la difusión de estos objetivos, pues de lo contrario no se logrará que el resto de niveles se comprometan del modo deseado. También es preciso determinar los recursos necesarios para la materialización del plan de riesgos, de ellos dependerá su alcance.

3.1.2 Identificación procesos

El siguiente paso en el análisis es la identificación de las actividades y procesos que se llevan a cabo en la entidad y de los riesgos inherentes a ellas.

La Oficina antifraude de Cataluña ha elaborado una relación de los procesos más vulnerables en el sector público11 que puede servir de orientación para la determinación de los procesos y de las áreas más sensibles de una entidad pública.

Tabla 1. Procesos más vulnerables comunes en las administraciones públicas

Fuente: Oficina antifraude de Cataluña

3.1.3 Identificación de factores de riesgo

Una vez establecidas todas las actividades, ya se puede prever los posibles riesgos y los motivos o factores que intervienen en su manifestación y grado, distinguiéndose entre riesgos intrínsecos, que serían aquellos que provienen directamente de la propia entidad, y extrínsecos, factores de incertidumbre provocados por eventos externos que pueden tener un impacto sobre la actividad propia.

Cada entidad debe definir también en esta fase, cuáles son los factores de riesgo que pueden influir en los procesos. Es la propia entidad quien debe aprovechar su mejor conocimiento de la organización para la detección de estos factores y aprovechar fuentes de información internas como la procedente de los empleados de la entidad.

La realización de una clasificación de estos factores puede ayudar a identificarlos de una manera más fácil. Un ejemplo de clasificación sería la que diferencia entre factores de riesgo externos e internos:

Factores de riesgo externos, como cambios normativos de relevancia o cambios en la estructura organizativa de la entidad, que podrían influir en una ralentización e inseguridad de la actividad de la entidad durante la fase de adaptación a las nuevas situaciones.

Factores de riesgo internos, como la ausencia de una política adecuada que promueva la transparencia y el comportamiento ético, las debilidades de los mecanismos internos de supervisión, la existencia de actividades con un alto grado de discrecionalidad o que haya procesos poco informatizados.

Otro modelo sería el que diferencia entre factores de riesgo individuales y factores procedimentales:

Factores de riesgo individuales, tales como la falta de experiencia o de formación del personal, o la poca estabilidad en los puestos de trabajo, cuestión especialmente sensible en el caso de los habilitados nacionales.

Factores de riesgo procedimentales, entre los que se incluyen la falta de manuales de procedimientos, la falta de transparencia en la toma de decisiones o la falta de claridad en la distribución de competencias.

Otro ejemplo de clasificación de factores puede ser el propuesto por la Organización Internacional de las Entidades Fiscalizadoras Superiores (INTOSAI)12, que se muestra en la Tabla 2.

Tabla 2. Factores indicadores de riesgo

Fuente: INTOSAI

La INTOSAI es un organismo autónomo, independiente, profesional y apolítico, creado como una institución permanente para:

fomentar el apoyo mutuo;
para fortalecer el intercambio de ideas, conocimientos y experiencias;
para actuar como portavoz, reconocido globalmente de las Entidades Fiscalizadoras Superiores (EFS) dentro de la comunidad internacional.;
para elabora normas para la auditoría del sector público;
fomentar la buena gobernanza y promover el desarrollo de capacidades, la cooperación y una continua mejora del rendimiento de las EFS.
3.1.4 Identificación de riesgos

Después de realizar el análisis de los procedimientos y factores de riesgo inherentes a estos debemos avanzar a la fase de identificación de los riesgos. El objetivo de este paso es generar una lista de riesgos basada en eventos que podrían obstaculizar o retrasar el logro de los objetivos programados de la entidad.

El riesgo debe describirse de manera clara y precisa, así como incluir la determinación de la causa o factores generadores del mismo, lo que facilitará la posterior elaboración de un mapa de riesgos por parte de la entidad. De este modo, un estudio completo de cada riesgo debería dejar identificados con claridad y sencillez los distintos elementos integrantes con su descripción.

Puede servir de ejemplo el modelo de tabla de descripción de riesgos diseñado por la Federación europea de organizaciones de gerencia de riesgos13, donde estructura la descripción de forma que sea fácilmente identificables las características de los riesgos detectados:

3.1.5 Análisis de riesgos

Una vez elaborada la lista de riesgos de la entidad con su descripción pormenorizada pasaríamos a la fase de análisis de riesgos en la que el objetivo es determinar la probabilidad de que, efectivamente, el riesgo acontezca, así como realizar un cálculo de los efectos potenciales del mismo. Se trata, por lo tanto, de valorar el riesgo, lo cual implica un análisis conjunto e interrelacionado de la probabilidad de ocurrencia y de la magnitud de las consecuencias en caso de que llegue a producirse.

El resultado final de esta fase será una valoración de cada riesgo individualmente desde la doble perspectiva de probabilidad e impacto que servirá de base para poder tomar las decisiones que corresponda para evitar o mitigar sus efectos.

– Probabilidad

Una primera actuación será la graduación de la probabilidad, que se puede valorar según la frecuencia, por ejemplo, el número de veces que se produjo el riesgo en los últimos años y también según la existencia o ausencia de medidas para mitigar la posibilidad de riesgo.

En el documento de Metodología para la administración de riesgos se presenta una escala de valoración de la probabilidad del riesgo teniendo en cuenta la mayor o menor intensidad de la presencia de esas variables (frecuencia y existencia de medidas). Está dividida en tres niveles de probabilidad y cada uno de ellos en otros tres grados. La probabilidad se ha graduado en 3 niveles bajo, medio y alto y cada uno de ellos en otros 3 niveles según se hayan implantado medidas de previsión o no, o su intensidad y la frecuencia con que se haya producido el riesgo.

– Impacto

La segunda actuación será graduar del mismo modo el impacto sobre los objetivos, que se valorará teniendo en cuenta las consecuencias para la entidad en caso de que el riesgo se materialice.

Un ejemplo de valoración de la gravedad del riesgo sería la que tendría en cuenta la mayor o menor intensidad de los daños.

– Matriz de riscos

Una vez efectuada esta graduación es interesante presentar de una forma gráfica esta valoración del riesgo mediante la elaboración de una matriz de riesgos, que muestra una escala de la gravedad de los riesgos teniendo en cuenta la probabilidad de ocurrencia y la gravedad de las consecuencias si se materializan. El resultado final del proceso será la catalogación de los riesgos asignando a cada uno de ellos una categoría de probabilidad e impacto.

La utilidad de la matriz de riesgos radica en que facilita y agiliza la posibilidad de tener una idea general de la graduación de los riesgos de una entidad debido a su impacto visual.

Tabla 3

Fuente: Documento de Metodología para la administración de riesgos

3.1.6 Tratamiento del riesgo

Esta categorización del riesgo determinará el establecimiento de prioridades sobre las que deben concentrarse los esfuerzos de control y la selección de actuaciones a realizar para su tratamiento con la finalidad de evitarlos o minimizar su impacto.

La selección de la opción más adecuada para el tratamiento del riesgo debe tener en cuenta no solo las ventajas que proporciona sino también los costes que supone. A su vez, también se debe contar con que el fallo o ineficacia de las medidas de tratamiento del riesgo puede constituir un nuevo riesgo, por lo que habrá que asegurarse, a través del oportuno seguimiento, de que las opciones elegidas son eficaces.

En relación con el tratamiento del riesgo se pueden tomar diferentes decisiones:

– Prevenir el riesgo. Cuando un riesgo es identificado y representa una amenaza para el cumplimiento de los objetivos estratégicos de la entidad, pueden adoptarse medidas dirigidas a disminuir la probabilidad de ocurrencia (acciones de prevención) y medidas dirigidas a reducir su impacto (acciones de contingencia). Por ejemplo, actuaciones de mejora de los procedimientos o reforzamiento de las actuaciones de los órganos de control serían medidas de prevención.

– Aceptar el riesgo. En el caso de riesgos de bajo impacto y baja probabilidad de materialización puede decidirse no adoptar ninguna medida. Esta opción sería válida para aquellos casos en lo que el coste de eliminar el riesgo es mayor que el daño que puede causar.

– Transferir el riesgo. Supone trasladar o compartir el riesgo con un tercero, por ejemplo a través de la contratación de seguros transferimos el riesgo a la compañía aseguradora. Esta opción solo será útil para cubrir determinados tipos de riesgos, como una responsabilidad civil o patrimonial pero no será aplicable a otros como los de carácter reputacional o los derivados del incumplimiento de una disposición legal.

– Evitar el riesgo. La solución más radical, sería la de abandonar las actividades o eliminar los factores generadores de riesgos. Este tipo de estrategia no siempre es aplicable en el sector público, ya que, por ejemplo, no podríamos dejar de prestar un servicio público de carácter obligatorio aunque ello suponga un factor de riesgo.

3.1.7 Mapa de riesgos

Todo este proceso de gestión de riesgos finalizará con la elaboración del mapa de riesgos, el cual es una herramienta, que identifica las actividades o procesos sujetos a riesgo, cuantifica la probabilidad de que sucedan estos eventos y mide el daño potencial asociado a su ocurrencia, además se podrá completar con las medidas de prevención asociadas a cada factor de riesgo.

4 CATÁLOGO DE RIESGOS

El último documento técnico aprobado hasta la fecha por el Consello de Contas ha sido el catálogo de riesgos por área de actividad. Este documento recoge una relación de los riesgos que de acuerdo con la experiencia fiscalizadora del Consejo de Cuentas son recurrentes en el sector público, así como de las medidas específicas que se proponen para darles respuesta.

Presta especial atención a aquellas actividades que por su propia naturaleza son más susceptibles de dar lugar a riesgos de gestión, como son las áreas de gestión económico-financiera, la gestión de personal, concesión de subvenciones o la contratación.

Se trata de una relación orientadora para que cada entidad analice si sus propios riesgos encajan con los descritos en el catálogo e introduzca, en su caso, las modificaciones que considere necesarias para adaptarlo a su contexto.

4.1 Gestión económico-financiera

En la gestión económico-financiera y presupuestaria de las entidades públicas los riesgos se relacionan habitualmente con errores en la información financiera (cuentas anuales), incumplimientos de la normativa aplicable, ineficiencias en la gestión.

Los riesgos se agruparon en 7 categorías dentro de las cuales se identifican una serie de riesgos y se proponen medidas para su prevención:

Organización y control interno. Los riesgos pueden derivar de una inadecuada segregación de funciones.
Presupuestación y gestión presupuestaria. Los riesgos están asociados al realismo de las previsiones presupuestarias o al grado y volumen de sus modificaciones, así como a las desviaciones significativas de la ejecución.
Estabilidad y sostenibilidad financiera. Los riesgos están relacionados con el incumplimiento de los objetivos de estabilidad presupuestaria y sostenibilidad financiera.
Información económico-financiera. La fiabilidad y suficiencia de la información se configura como un elemento básico para mejorar la transparencia de las cuentas públicas.
Tesorería. En la tesorería los riesgos se identifican con la falta de control de fondos.
Patrimonio y protección de activos. Registro y contabilización de activos.
Ingresos y gastos presupuestarios. En materia de ingresos tenemos los riesgos relacionados con la prescripción de derechos. En el ámbito del gasto, los relacionados con su racionalidad y con el cumplimiento normativo.
4.2 Gestión de personal

Los riesgos específicos en este ámbito se agruparon en las categorías de

Selección del personal. Riesgos relacionados con el respeto a los principios de mérito y capacidad.
Ejercicio ético y profesional de las funciones. Relacionados con la quiebra de valores como la independencia, la integridad, la responsabilidad, la transparencia, la objetividad, la imparcialidad y la confidencialidad.
Planificación y estructura organizativa del personal. Donde tenemos la ausencia de planificación de los recursos humanos como factor de riesgo.
Formación y evaluación del desempeño. Ausencia de planes de formación de los empleados públicos.
Retribuciones. Uso irregular o injustificado de complementos retributivos.
Incompatibilidades y conflictos de interés. Falta de garantías de la imparcialidad y objetividad.
4.3 Subvenciones

Los riesgos específicos en el ámbito de la gestión de las subvenciones se agruparon en las siguientes categorías:

Sujeción a la normativa. Riesgo de favoritismo o discrecionalidad.
Procedimiento de concesión. Ausencia de planes estratégicos, publicidad para asegurar concurrencia.
Gestión del gasto en subvenciones. Non exigir aportaciones de recursos propios en las actividades subvencionadas.
Control del gasto y de la actividad subvencionada. No justificación suficiente del gasto subvencionado, no verificación del gasto.
Medidas de carácter financiero. No acomodación de los anticipos al calendario de ejecución previsto.
4.4 Contratación

Los riesgos específicos en el ámbito de la contratación se agruparon en atención a las distintas fases del procedimiento contractual:

– Fase preparatoria.

La falta de estudio y justificación de las necesidades que se pretenden cubrir a través del contrato; la elección de procedimiento que restringe la participación de licitadores influye directamente en la concurrencia; el diseño de pliegos y criterios de solvencia y adjudicación que puedan favorecer a determinados operadores afectan a la igualdad de trato de los licitadores; y la determinación de un precio del contrato que no se ajuste al del mercado.

– Fase de licitación.

La vulneración del principio de transparencia es la principal amenaza en esta fase del procedimiento. Limitar la publicidad de las licitaciones y el libre acceso a la información necesaria para presentar las ofertas constituyen riesgos que restringen la concurrencia y amenazan la igualdad de trato. También resulta esencial a idónea custodia de las ofertas para evitar el riesgo de vulneración del secreto o la manipulación de las proposiciones que se presenten.

– Fase de adjudicación.

Los principales riesgos identificados en esta fase apuntan a la falta de imparcialidad o profesionalización de los miembros de las mesas de contratación o del comité de expertos, a la no detección de prácticas colusorias o a la opacidad en la valoración de las ofertas debido a la falta de publicidad de los actas y de los informes técnicos o por no justificar las puntuaciones otorgadas a cada oferta.

– Fase de ejecución.

No verificación del cumplimiento de las condiciones que determinaron la selección de un licitador frente a otro (plazos, mejoras, adscripción de medios personales o materiales o condiciones especiales de ejecución) y puede afectar también a la economía del gasto a través de modificaciones contractuales que incrementan el precio inicial de las prestaciones.

5 EL SISTEMA DE EVALUACIÓN DEL CONTROL INTERNO EN LA ADMINISTRACIÓN LOCAL

El sistema de evaluación desarrollado por el Consello de Contas de Galicia pretende hacer una descripción del funcionamiento del control interno existente y proponer acciones de mejora para fortalecer los sistemas en fomento de la integridad y la prevención de riesgos.

La metodología sigue el marco general y las orientaciones que hemos descrito sobre la gestión de riesgos de la INTOSAI (ISSAI 9100, 9110 y 9120) y también se toma como referencia la norma ISO 31000:2009, que establece los principios básicos sobre la gestión de riesgos.

Para llevar a cabo este proceso de evaluación se hace un análisis de 5 componentes y 17 principios que los desarrollan:

Componente Entorno de Control, integrado con los principios de:
- Compromiso con la integridad y los valores éticos.
- Responsabilidad por la supervisión.
- Definición de la estructura, autoridad y responsabilidad.
- Compromiso con la competencia.
- Evaluación del control interno y rendición de cuentas.
Componente administración de riesgos, integrado con los principios de:
- Establecimiento de objetivos adecuados.
- Identificación y análisis de riesgos.
- Evaluación del riesgo de fraude.
- Evaluación de los cambios que puedan afectar al control interno.
Componente Actividades de control, integrado con los principios de:
- Selección y desarrollo de actividades de control.
- Selección y desarrollo del control de las tecnologías. (TIC)
- Ejercicio del control a través de políticas y procedimientos.
Componente Información y comunicación, integrado con los principios de:
- Utilización de información pertinente.
- Comunicación interna de la información.
- Comunicación externa de la información.
Componente Seguimiento, integrado con los principios de:
- Supervisión del control interno y evaluación de sus resultados.
- Evaluación y comunicación de las deficiencias.

El trabajo de evaluación de los sistemas de control interno de una entidad local se inicia con la remisión de la comunicación formal de inicio de las actuaciones, a la que se acompaña la Guía para la evaluación del control interno local explicativa de los objetivos del trabajo y descripción de los componentes del control interno, así como de los cuestionarios aprobados.

Se tratará siempre de que exista una buena comunicación con las entidades objeto de control, con la finalidad de conseguir la máxima colaboración y entendimiento y que los resultados obtenidos sean un claro reflejo del estado de las mismas.

De acuerdo con las directrices técnicas para la evaluación de los sistemas de control interno, la evaluación se realiza a través de unos cuestionarios adaptados a la realidad de la Administración local.

Para la valoración de las respuestas a estos cuestionarios se tendrán en cuenta las evidencias aportadas considerando la relevancia de la información justificativa que contengan, considerándola como evidencias razonables, parciales o inexistentes.

En función de la valoración de las respuestas se va a determinar el nivel de implantación de los elementos del sistema de control interno, tanto en una evaluación total como por componente, conforme a cuatro rangos: alto, medio, bajo e inicial. A cada nivel se le asignará un párrafo a modo de conclusión, así para un nivel medio la conclusión sería: “Los procedimientos se estandarizaron, se documentaron y se difundieron en todos los niveles de la organización. El sistema de control interno funciona conforme a las necesidades de la organización y el marco regulador”. La conclusión de un nivel inicial podría ser del tipo: “Existe evidencia de que la institución emprendió esfuerzos aislados para el establecimiento del sistema de control interno; con todo, aun no se reconoció su importancia. El enfoque general en relación con el control interno es desorganizado”.

Una de las primeras actuaciones realizadas con esta metodología ha sido la Evaluación del diseño e implantación de los sistemas de control interno y de gestión de riesgos en las entidades locales de población entre 10.001 y 20.000 habitantes.

El ámbito subjetivo del análisis alcanzó a 31 ayuntamientos y aunque se está en la fase de análisis de los datos recibidos, se puede avanzar que los ayuntamientos no están prestando una atención prioritaria al diseño e implantación de sistemas de gestión de riesgos.

Las primeras conclusiones que podemos extraer de esta actuación son, en relación con el:

A. Entorno de control.

No existe una política de ética definida y concretada en un documento, ni determinación de responsables en la gestión de la ética corporativa, transparencia o prevención de la corrupción.
Se ha querido conocer la implantación de códigos éticos en las entidades locales, ya que puede ser un adecuado mecanismo de prevención de la corrupción.
No existen canales de denuncias, internos y externos, de posibles incumplimientos.
No existe una unidad encargada de la prevención de riesgos, ni en particular de la prevención de la corrupción, ni declaraciones formalizadas de compromiso con la ética por parte de los cargos electos.
En muchos ayuntamientos no están segregadas convenientemente las funciones de Intervención, Tesorería y Contabilidad.
En las entidades no existen políticas de incompatibilidades y conflictos de interés.
Ni tampoco una política de personal definida con la determinación de las necesidades, ni planes de formación.
No hay una regulación interna sobre el cumplimiento de los deberes de transparencia.

B. Administración de riesgos.

No existe ningún tipo de análisis sobre la gestión de riesgos.

C. Actividades de control.

No existen manuales de procedimientos de control interno salvo en caso de que se regulen en las BEP.
No existen manuales de procedimientos de control de las tecnologías de la información, ni hay una evaluación de los riesgos existentes.

D. Supervisión del control interno.

No existen actividades de supervisión.

6 INFORMES DE FISCALIZACIÓN SELECTIVA DE ENTIDADES LOCALES

En paralelo a las anteriores actuaciones, también se incluyen en el Plan anual de trabajo del Consello de Contas actuaciones de fiscalización selectiva de entidades locales .14

Para la realización de este tipo de informes se elaboraron otros cuestionarios referidos a las diferentes áreas de gestión de las entidades locales para lograr un conocimiento de su funcionamiento, de sus procedimientos y de sus sistemas de control.

Estos cuestionarios se crearon teniendo en cuenta el catálogo de riesgos descritos en el documento técnico elaborado por el Consello de Contas antes expuesto. Las contestaciones servirán de base para detectar las debilidades y fortalezas en las áreas de:

Gestión presupuestaria,
Inmovilizado,
Tesorería,
Tecnologías de la Información,
Subvenciones,
Contratación
Personal.

Los equipos de fiscalización decidirán, teniendo en cuenta los resultados de los cuestionarios y de las entrevistas con los responsables de cada área, la necesidad y extensión de otros controles complementarios que se estime realizar, utilizando para su selección técnicas de auditoria.

7 CONCLUSIÓN

Este ha sido un primer acercamiento a estos documentos técnicos elaborados por el Consello de Contas de Galicia, son propuestas que cada entidad local tendrá que dimensionar a su propio contexto y adaptarlos a su realidad. Son documentos que, al igual que los sistemas de gestión de riesgos que hemos tratado, deben estar en continua evolución adaptándose a las circunstancias de cada momento, no son instrumentos cerrados, sino que se deberán ir conformando con las aportaciones que las propias entidades locales puedan realizar una vez comiencen a llevar a cabo sus propios análisis de gestión de riesgos.

Debe tenerse en cuenta que el Consello de Contas, como órgano de control externo, realiza sus fiscalizaciones con sujeción a los Principios fundamentales de fiscalización de las Instituciones Públicas de Control Externo, que exigen el cumplimiento de los requerimientos de ética y de planificación y ejecución de la auditoría con la finalidad de obtener una seguridad razonable en su opinión. De acuerdo con estos principios una de las principales finalidades de las fiscalizaciones es contribuir a la mejora de las prácticas de gestión de las entidades públicas. Los informes no son un fin en sí mismos sino un medio para contribuir a mejorar la gestión del sector público, para ello se redactan conclusiones y recomendaciones. Estas recomendaciones deben ser objeto de seguimiento para comprobar la aplicación de las medidas necesarias para corregir las deficiencias detectadas, para ello se pide a las entidades fiscalizadas que comuniquen que medidas llevarán a cabo y el plazo en que lo van a realizar.

Por este motivo, en este momento la metodología que se presenta no tiene recorrido suficiente para poder apreciar con fundamento la efectividad de los objetivos que con ella se persiguen, no será hasta que pase un cierto tiempo y se alcance un número representativo de entidades fiscalizadas siguiendo esta metodología cuando podamos extraer conclusiones sobre su trascendencia.

8 BIBLIOGRAFÍA

ACCID. 2019. «Prevención y gestión de riesgos», en Revista de Contabilidad y Dirección, 28.

Consejo General De Economistas De España. Cuaderno técnico nº 1 Ámbito de actuación de los auditores en el Sector Público Local. https://rea.economistas.es/cuadernos-tecnicos/ (Ultima consulta el 10 de mayo de 2020).

Instituto de Auditores Internos de España. Aplicación del Marco Integrado de Control Interno (COSO) en el Sector Público español. Disponible en: https://auditoresinternos.es/uploads/media_items/f%C3%A1bricacososectorp%C3%BAblico.original.pdf (Ultima consulta el 10 de mayo de 2020).

International Organization of Supreme Audit Institution – INTOSAI. «Directriz para la Auditoría de Prevención de la Corrupción», en ISSAI, 5270. Disponible en: https://www.issai.org/wp-content/uploads/2019/08/GUID-5270-Directriz-para-la-Auditor%C3%ADa-de-Prevenci%C3%B3n-de-la-Corrupci%C3%B3n.pdf (Ultima consulta el 15 de mayo de 2020)

INTOSAI. Documentos del nuevo marco denominado Marco de Pronunciamientos Profesionales de la INTOSAI. Disponible en: https://www.issai.org/espanhol/ (Ultima consulta el 10 de mayo de 2020).

Morán Mendez, E. y García Garrido, I. 2017. «El Consello de Contas y la prevención de la corrupción», en XII Encuentros Técnicos y VII Foro Tecnológico de los Órganos de Control Externo, Barcelona. Disponible en: http://www.sindicatura.cat/documents/523211/606600/G1_Com_MoranyGarcia_PrevencionCorrupcion.pdf (Ultima consulta el 10 de mayo de 2020).

Pardo Álvarez, J.M. 2017. Gestión por procesos y riesgo operacional. Madrid: AENOR ediciones.

ONU. Directriz de las Naciones Unidas para Políticas anticorrupción. Disponible en inglés en: www.unodc.org/pdf/crime/corruption/UN_Guide.pdf (Ultima consulta el 10 de mayo de 2020).

Rose-Ackerman, S. y Pa Lifka, B. J. 2019. Corrupción y gobierno – Causas, consecuencias y reformas. Madrid: Marcial Pons.

Sandoval Ballesteros, I.E. 2009. Corrupción y transparencia: debatiendo las fronteras entre estado, mercado y sociedad. Mexico: Siglo XXI Editores.

Torres-Dulce, E. 2013. «Corrupción social y política», en Memoria. Madrid: Centro de Estudios Jurídicos. Ministerio de Justicia.

Tribunal De Cuentas Europeo. Manual de auditoría de gestión del TCEu. Disponible en: https://www.eca.europa.eu/Lists/ECADocuments/PERF_AUDIT_MANUAL/PERF_AUDIT_MANUAL_ES.PDF (Ultima consulta el 10 de mayo de 2020).

Enfoque de riesgos y prevención de la corrupción diseñado por el Consello de Contas de Galicia. Referencia al control financiero local