El riesgo de control interno

#38

Introducción

Continuando con la anterior entrada al blog “Auditoría de sistemas y procedimientos” pincha aquí en la presente voy a referirme al riesgo de control, siendo este definido como “la probabilidad de que los controles internos del contratista no prevengan o detecten errores materiales, irregularidades o información falsa a tiempo y que afectan significativamente a los costes incurridos del contrato o a los costes presentados en las ofertas económicas”.

Como ya dije con anterioridad, el propósito de la Auditoría de Políticas, Procedimientos y de los Controles Internos del contratista relativos a la Contabilidad y Sistemas de Gestión es recoger evidencia suficiente para expresar una opinión acerca de la suficiencia y fiabilidad de la contabilidad del contratista y la consistencia de los sistemas de gestión y los controles internos para el cumplimiento con las normas y regulaciones aplicables y condiciones del contrato.

La evaluación del riesgo de control interno le permite al auditor de contratos determinar el grado de confianza que puede ponerse en los controles internos del contratista, la contabilidad y en los sistemas de la gestión, como una base sólida para planificar el alcance de auditorías relacionadas, es decir de costes incurridos y revisiones de ofertas. 

En aquellos casos dónde el auditor puede confiar en el sistema del contratista para registrar, procesar, resumir y emitir información de una manera consistente con las regulaciones contractuales, el riesgo de control será considerado “bajo”. En estos casos el auditor debe poder minimizar la realización de pruebas sustantivas en una auditoría, por ejemplo, de costes incurridos. 

En aquellos casos dónde los sistemas del control interno del contratista son inadecuados (de manera completa o parcial), entonces se precisa de una comprobación extensa de los costes declarados en las auditorías de incurridos, revisiones de ofertas y otras auditorías relacionadas (de tarifas horarias, por ejemplo). Sin embargo, el auditor debe sugerir al contratista que ponga énfasis en fortalecer la fiabilidad de la contabilidad la consistencia de sus sistemas de la gestión para que, en el futuro, no haya lugar de extender las comprobaciones durante las auditorías individuales de costes incurridos u otras relacionadas. 

En aquellas ocasiones en las que un sistema de control interno no ha sido auditado, el riesgo del control debe evaluarse como "alto" y debe fijarse una auditoría del sistema de gestión y del control interno completa lo antes posible. Mientras tanto, las pruebas sustantivas deben aumentarse en las auditorías relacionadas de costes incurridos y otras para compensar la incapacidad de contar con la certeza de que el contratista dispone de controles internos robustos. 

En cualquier caso, el auditor de contratos debe trabajar con el órgano de contratación y el contratista para corregir las deficiencias en el sistema de control interno, porque esto es más eficiente que realizar comprobaciones extensas que alargan ineficazmente los trabajos de las auditorías relacionadas. Cuando el contratista haya corregido las deficiencias, o realiza cambios en el sistema, el auditor debe dar una prioridad alta a la auditoría sobre el sistema corregido para establecer la confianza en el mismo.

Por último, el auditor debe desaconsejar al órgano de contratación que celebre contratos con contratistas que tengan graves deficiencias en sus sistemas de contabilidad, gestión y control internos y que no sean proclives para corregir tales deficiencias.

Identificación de los objetivos y actividades de control del contratista

En auditoría de contratos, el auditor debe identificar cuáles son los objetivos de control del contratista que le van a proporcionar la convicción razonable, si es que existen, que están implantados para prevenir errores materiales o aserciones falsas o, éstas, pueden ser descubiertas y corregidas con prontitud. Los objetivos de control del contratista pueden ser clasificados en tres áreas generales: 

(1) objetivos del control sobre informes financieros, que se preocupan de asegurar la preparación de declaraciones (estados) financieros fiables, 

(2) objetivos del control operacionales, que se preocupan de asegurar que los recursos del contratista están usándose eficaz y eficientemente, y 

(3) objetivos de control de cumplimiento, que se preocupan de asegurar que el contratista obedece las normas y regulaciones aplicables. 

Aun cuando los objetivos del control en cada uno de estas áreas pueden tener impacto en los costes de los contrato, el auditor enfoca su investigación en los aspectos operacionales y controles del cumplimiento (controles de cumplimiento puede ser, por ejemplo, con respecto a NODECOS o regulaciones medio ambientales). 

Los controles pueden ser manuales o automatizados. En muchos casos, las actividades del control se integrarán en un único sistema basado en tecnologías de la información TI. En estos casos, puede resultar necesaria la participación en la auditoría de especialistas en el software correspondiente para ayudar al auditor a identificar y a entender todos los controles relacionados. 

El auditor no solo debe obtener una comprensión adecuada de los sistemas de control del contratista, sino que además debe determinar si las actividades del control realmente existen y se llevan a cabo y, por último, si debe realizar el esfuerzo para probar y evaluar esos controles y si dicho esfuerzo está contribuyendo a reducir comprobaciones sustantivas en auditorías de costes incurridos u otras relacionadas. Por ejemplo, el auditor debe esperar que el coste para comprobar y evaluar el control (o controles) sobre el sistema que registra los de tiempos de la mano de obra directa del contratista ahorran la realización de pruebas sustantivas sobre las hojas de trabajo del tiempo registrado y cargado a un contrato.

 

Si en auditor llega al convencimiento que las actividades de control internas no existen, o que no está justificado un esfuerzo por realizar pruebas sobre unos controles porque son débiles o, simplemente, son inexistentes, en este caso, al no haber ninguna comprobación realizada sobre el sistema de control del contratista, el riesgo de auditoría de costes incurridos, u otras relacionadas, sería máximo.

 

Examen de los controles internos del contratista

El primer paso para la determinación del riesgo de control es la realización de una evaluación de los controles internos del contratista obteniendo una comprensión de la contabilidad y del sistema de gestión. Esta comprensión servirá a modo de hallazgo inicial de conocimiento para evaluar los controles internos relacionados y le permitirán al auditor diseñar los procedimientos de auditoría, en costes incurridos por ejemplo, más eficaces y eficientes.

Para adquirir un entendiendo básico sobre la contabilidad y el sistema de gestión, el auditor debe: 

• Considerar los objetivos de la auditoría sobre control interno y desarrollar un programa de auditoría para cada sistema específico contable y de gestión. 

• Comprender la descripción del sistema del contratista y toda la documentación relacionada con el mismo; por ejemplo, política del sistema y manual de procedimientos. 

• Revisar los papeles de trabajo sobre operaciones de los archivos permanentes y las auditorías anteriores. 

• Hacer las preguntas que sean necesarias al contratista sobre el control de gestión, las supervisiones que realiza y el personal que dispone para realizar dicha función. 

• Inspeccionar los documentos pertinentes. 

• Observar y comprobar las operaciones reales del contratista.

La magnitud de esfuerzo de la auditoría de sistemas y procedimientos para alcanzar una comprensión de la contabilidad del contratista y de los sistemas de gestión es una cuestión de juicio del auditor. Las características que deben ser consideradas incluyen: 

• El tamaño y complejidad del contratista; 

• El nivel de experiencia anterior con el contratista; 

• La naturaleza y magnitud de la documentación de los sistemas; 

• La importancia de costes presupuestados, imputados o cargados al contrato por el sistema; y 

• La importancia materialidad en relación con cuentas específicas y transacciones manejadas por el sistema.

Evaluación del riesgo de control interno

Ya he referido al principio que el riesgo de control es la probabilidad de que los controles internos del contratista no prevengan o detecten errores materiales, irregularidades o información falsa a tiempo. En la evaluación del riesgo de control el auditor de contratos debe considerar el grado de implantación y efectividad de las actividades de control del contratista para alcanzar los objetivos de control establecidos por él. Una alta eficacia de las actividades de control del contratista proporcionará un bajo riesgo de control.

El auditor de contratos hace una evaluación del riesgo de control para cada objetivo de control interno del contratista que sea relevante. Si el auditor concluye que éstos no existen o que otras auditorías relacionadas (por ejemplo auditoría de costes incurridos) pudieran ser más eficientes en la realización de pruebas sustantivas, entonces calificará la evaluación de riesgo de control como máxima (alta).

Si el auditor de contratos tiene la posibilidad de identificar las políticas y procedimientos de control interno del contratista y ha podido realizar las pruebas sobre esos controles, entonces calificará la evaluación del riesgo de control como sigue:

• Alto: Si no existen actividades de control o, en su caso, si existen pero debido a un diseño u operaciones inadecuadas, rara vez cumplen los objetivos de control.

• Moderado: Si existen actividades de control, pero debido a deficiencias los objetivos de control no se consiguen de forma coherente.

• Bajo: Las actividades de control del contratista son coherentes y eficaces, cumpliendo consistentemente los objetivos de control.

Para terminar esta entrada cabe decir que cuando los sistemas de control interno han sido auditados y comprobados, y la evaluación ha sido calificada como de riesgo moderado y alto, estos resultados deben estar vinculados a importantes deficiencias que han sido demostradas con los procedimientos utilizados por el auditor.

Las deficiencias significativas detectadas por el auditor de contratos se deben tratar inmediatamente con el órgano de contratación y el contratista. No se puede esperar a manifestarlo hasta la reunión final de la auditoría o hasta que se emita el informe definitivo, en orden de iniciar el proceso de resolución de las debilidades por el contratista.  

Cuando sea posible, las deficiencias importantes también deben estar vinculadas con los datos históricos relevantes que están disponibles o puedan ser razonablemente deducidos. Así por ejemplo, si el auditor puede vincular las deficiencias descubiertas en el sistema de presupuestación y estimación de costes para cuestionarlos en las bases de auditoría de costes incurridos, la importancia de corregir tales deficiencias es más evidente.

Las evaluaciones calificadas de riesgo bajo para objetivos específicos de control significa que el auditor puede confiar en los controles internos del contratista y puede reducir las pruebas en otras auditorías relacionadas (por ejemplo de costes incurridos), permitiéndole efectuar procedimientos de análisis o pruebas de transacción mínimos.

Todo lo dicho hasta aquí sirve para su aplicación a grandes, medianos y pequeños contratistas. Sin embargo, en una próxima entrada del blog analizaré el examen de los controles internos a pequeños y medianos contratistas.

Auditoría de "Otros Costes Directos" (OCD) del contrato

#37

Introducción

Además del coste directo de la mano de obra, las horas/máquina y de los materiales (costes primarios), los cuales pueden ser fácilmente identificados con un objetivo de coste específico, existen otros tipos de costes que bajo ciertas circunstancias pueden ser cargados también directamente a un contrato. Estos costes son los referidos como “otros costes directos” (OCD) y deben cumplir el requisito de poder ser vinculados a la actividad generada por la ejecución de un contrato a través de las relaciones del factor con el proceso productivo, siendo posible establecer con certeza la medida técnica y económica de su consumo sin necesidad de aplicar método de reparto alguno. Ejemplos de ellos podemos encontrar entre los siguientes:

(1) herramientas especiales,  plantillas y accesorios;

(2) reordenamiento de la planta;

(3) envasado y embalaje;

(4) los honorarios de los consultores;

(5) los gastos de transporte y fletes;

(6) los gastos de expedición de mercancía;

(7) los gastos por el pago de derechos de la propiedad industrial e intelectual (royalties);

(8) viajes de los empleados;

(9) comunicaciones (teléfono e Internet); y

(10) mermas de materiales, no debidas a defectos de no calidad.

Todos los costes de naturaleza semejante a los elementos de la lista anterior pueden (1) ser cargados directamente al objetivo de coste, es decir al contrato; o (2) ser imputados mediante alguna base representativa de reparto (considerados como costes indirectos); o bien (3) ser asignados parcialmente de forma directa y la otra parte restante ser agrupados para su imputación indirecta. Sin embargo, ninguno de estos costes que han sido asignados directamente lo pueden volver a ser de manera indirecta a otros objetivos de coste o contratos.

Objetivos de auditoria

a. Los objetivos de auditoría de costes incurridos del área de los otros costes directos (OCD) son la determinación sobre si:

(1) las representaciones de coste del contratista son fiables y precisas,

(2) los importes imputados al contrato son razonables y admisibles,

(3) los costes se han obtenido de conformidad con los principios contables generalmente aceptados y a la norma de costes (por ejemplo NODECOS) que sea de aplicación y las disposiciones del Pliego de Cláusulas Administrativas Particulares del contrato, y

(4) el contratista ha sido consistente en la asignación de estos costes en su actividad comercial y en los contratos con la Administración.

b. Especial preocupación de la investigación en el área de los otros costes directos es la diferenciación entre los costes directos y los costes indirectos. Por lo tanto, la auditoría debe dar garantías de que cuando los gastos registrados por el contratista en su contabilidad se imputan normalmente como costes indirectos a sus trabajos comerciales, también son imputados de forma indirecta a los contratos con la Administración y con idénticas bases de reparto; y cuando son considerados directos a los contratos con la Administración también lo serían en circunstancias similares en los trabajos comerciales. De esta manera se evitará duplicidad de imputación de costes y que no se cargue un coste indirecto a los contratos de la Administración que ya se haya recuperado por el contratista, en todo o en parte, a través de los trabajos comerciales.

c. Normalmente muchas empresas utilizan el sistema de coste directo, es decir que calculan su margen bruto por la diferencia entre el valor de las ventas netas y el coste de la mercancía vendida (MOD+horas.maq+materiales), considerando el resto de los gastos como costes indirectos. Como el método de coste utilizado por la Norma del contrato es el del coste completo, el problema más complejo reside en el reparto de todos aquellos costes que son comunes a diferentes productos y a departamentos y centros de costes en general. Aún siendo costes reales de fabricación, no son identificables respecto a los productos, razón por la que es necesario repartirlos si se quiere tener una cifra que represente el coste completo y pueda servir de guía para la valoración del precio del contrato basado en el coste incurrido más el beneficio. A estos efectos, el auditor debe estar preocupado por el tratamiento de los otros costes directos, de manera que tiene que asegurarse que éstos han sido exclusivamente originados por la ejecución del contrato. Ante la más mínima duda, dichos gastos deben ser considerados costes indirectos.

Para no caer en errores de apreciación sobre cuál es la correcta naturaleza de los otros costes directos cargados por el contratista, el auditor debe:

(1) obtener una comprensión de la estructura de control interno de la empresa y documentar en los papeles de trabajo y archivos permanentes cómo son los procesos de acumulación y bases de reparto de los costes indirectos,

(2) probar la eficacia operativa de los controles internos del contratista, y

(3) evaluar el riesgo de control como base para la identificación de los factores relevantes que permitan un adecuado diseño de pruebas sustantivas. Asimismo, las pruebas de transacciones pueden ser necesarias sobre la base de los resultados de una auditoría del sistema de control interno, si el resultado de dicha auditoría ha sido calificado como de riesgo alto. El alcance de las pruebas necesarias  deben basarse en el riesgo de control evaluado y quedar documentadas en el archivo permanente..

 

Alcance de auditoría

La auditoría debe proporcionar la evidencia obtenida mediante la realización de las pruebas pertinentes y, asimismo, debe incluir una evaluación de la estructura de control interno del contratista.

Para determinar el alcance de sus trabajos el auditor, además de su confianza en el sistema de control interno del contratista, deberá tener en cuenta lo siguiente:

a. Se incurre en otros costes directos por decisiones de gestión de la misma manera que se incurre en los costes indirectos, por ello deben estar sujetos a los mismos controles internos.

b. Cuando se compra cualquier herramienta específica para el contrato, la documentación relativa a los requisitos de compra, tales como la orden de compra, informe de recepción del material y el informe de inspección deben identificar el contrato para el que ha sido incurrido el coste. Cuando el contratista fabrica componentes o partes, las órdenes de trabajo y todos los documentos que sirven de base para los cargos a la orden de trabajo, tales como los pedidos y fichas de trabajo, deben ser identificados con el contrato. Los controles internos sobre contabilidad, compras, subcontratación o decisiones de hacer / comprar pueden afectar significativamente al alcance de la auditoría de OCD.

c. La auditoría debe proporcionar garantías de que cuando los artículos que normalmente son imputados como costes indirectos, a otros trabajos del contratista, se imputan a los contratos con la Administración como los costes directos, éstos deben cumplir con los requisitos de la Norma de Costes del contrato (por ejemplo NODECOS) realizando para ello las pruebas pertinentes para obtener tal convicción.

d. Cuando los procedimientos de contabilidad de costes del contratista prevén la acumulación en una agrupación de otros costes directos, o la base de auditoría presentada incluye cargos al contrato de otros costes directos, el auditor debe revisar las disposiciones contractuales contenidas en el PCAP para determinar si fue esa la intención y voluntad del Órgano de Contratación para tratar ciertos costes como directos y no como costes indirectos. Si no hay información de que una categoría de costes sea considerada como coste directo en el PCAP, el auditor deberá determinar si dichos costes han sido considerados, en otros contratos con la Administración, como otros costes directos. Ante la ausencia de referencia en el PCAP y en otros contratos con la Administración, dichos costes serán considerados como indirectos.

e. Especial atención merecen la adquisición por el contratista de herramientas especiales o equipo especial. A estos efectos, el auditor debe revisar los términos del contrato, recogidos en el PCAP, para verificar si estos gastos deben ser tratados como otros costes directos. Si es así, el auditor debe evaluar los controles del contratista para determinar si se garantiza, a la terminación del contrato, la puesta a disposición de la Administración de dichos artículos especializados. Cuando un contrato no dice nada acerca de esta clase de costes, el auditor solicitará la ayuda del Órgano de Contratación para determinar la necesidad de la adquisición de dichos equipos y de la conveniencia de tratar a los costes como directos al contrato.

Procedimientos de Auditoría

El auditor debe determinar que todos los OCD son fácilmente identificables con el contrato al que son asignados. El examen de los OCD deben incluir una evaluación de:

a. La razonabilidad del importe cargado al contrato en relación con los beneficios que se proporcionan al objeto del contrato, es decir los viajes, por ejemplo, están plenamente justificados y no son caprichosos.

b. La asignabilidad del coste del producto, servicio o actividad, en relación con el contrato al que se imputan y la coherencia de la aplicación, y

c. La admisibilidad de estos costes de acuerdo con el PCAP.

Coordinación con personal técnico

Por último, el auditor deberá solicitar asistencia técnica para determinar la necesidad, así como la razonabilidad de estos costes, en áreas que quedan fuera de su competencia técnica, y para los que el auditor no puede hacer una evaluación independiente. Por ejemplo,  puede ser necesario realizar consultas técnicas cuando el contratista fabrica herramientas especiales o incurre en costes de adaptación de la planta cuyos gastos se cargarían al contrato como otros costes directos; o bien, cuando los costes de envasado y embalaje representan una cantidad significativa de otros costos directos. En cuyo caso el auditor debe solicitar apoyo al órgano de contratación para que le proporcione los servicios de expertos de embalaje para determinar la necesidad y el carácter razonable de dichos costes.