Introducción
Continuando
con la anterior entrada al blog “Auditoría de sistemas y procedimientos” pincha
aquí en la
presente voy a referirme al riesgo de control, siendo este definido como “la
probabilidad de que los controles internos del contratista no prevengan o
detecten errores materiales, irregularidades o información falsa a tiempo y que
afectan significativamente a los costes incurridos del contrato o a los costes
presentados en las ofertas económicas”.
Como
ya dije con anterioridad, el propósito de la Auditoría de Políticas,
Procedimientos y de los Controles Internos del contratista relativos a la
Contabilidad y Sistemas de Gestión es recoger evidencia suficiente para
expresar una opinión acerca de la suficiencia y fiabilidad de la contabilidad
del contratista y la consistencia de los sistemas de gestión y los controles
internos para el cumplimiento con las normas y regulaciones aplicables y
condiciones del contrato.
La
evaluación del riesgo de control interno le permite al auditor de contratos determinar
el grado de confianza que puede ponerse en los controles internos del
contratista, la contabilidad y en los sistemas de la gestión, como una base
sólida para planificar el alcance de auditorías relacionadas, es decir de
costes incurridos y revisiones de ofertas.
En
aquellos casos dónde el auditor puede confiar en el sistema del contratista
para registrar, procesar, resumir y emitir información de una manera
consistente con las regulaciones contractuales, el riesgo de control será
considerado “bajo”. En estos casos
el auditor debe poder minimizar la realización de pruebas sustantivas en una auditoría,
por ejemplo, de costes incurridos.
En
aquellos casos dónde los sistemas del control interno del contratista son
inadecuados (de manera completa o parcial), entonces se precisa de una
comprobación extensa de los costes declarados en las auditorías de incurridos,
revisiones de ofertas y otras auditorías relacionadas (de tarifas horarias, por
ejemplo). Sin embargo, el auditor debe sugerir al contratista que ponga énfasis
en fortalecer la fiabilidad de la contabilidad la consistencia de sus sistemas
de la gestión para que, en el futuro, no haya lugar de extender las
comprobaciones durante las auditorías individuales de costes incurridos u otras
relacionadas.
En
aquellas ocasiones en las que un sistema de control interno no ha sido
auditado, el riesgo del control debe evaluarse como "alto" y debe fijarse una auditoría del sistema de gestión y
del control interno completa lo antes posible. Mientras tanto, las pruebas sustantivas
deben aumentarse en las auditorías relacionadas de costes incurridos y otras
para compensar la incapacidad de contar con la certeza de que el contratista
dispone de controles internos robustos.
En
cualquier caso, el auditor de contratos debe trabajar con el órgano de
contratación y el contratista para corregir las deficiencias en el sistema de
control interno, porque esto es más eficiente que realizar comprobaciones
extensas que alargan ineficazmente los trabajos de las auditorías relacionadas.
Cuando el contratista haya corregido las deficiencias, o realiza cambios en el
sistema, el auditor debe dar una prioridad alta a la auditoría sobre el sistema
corregido para establecer la confianza en el mismo.
Por
último, el auditor debe desaconsejar al órgano de contratación que celebre
contratos con contratistas que tengan graves deficiencias en sus sistemas de
contabilidad, gestión y control internos y que no sean proclives para corregir
tales deficiencias.
Identificación de los objetivos y
actividades de control del contratista
En
auditoría de contratos, el auditor debe identificar cuáles son los objetivos de
control del contratista que le van a proporcionar la convicción razonable, si
es que existen, que están implantados para prevenir errores materiales o aserciones
falsas o, éstas, pueden ser descubiertas y corregidas con prontitud. Los
objetivos de control del contratista pueden ser clasificados en tres áreas
generales:
(1)
objetivos del control sobre informes financieros, que se preocupan de asegurar
la preparación de declaraciones (estados) financieros fiables,
(2)
objetivos del control operacionales, que se preocupan de asegurar que los
recursos del contratista están usándose eficaz y eficientemente, y
(3)
objetivos de control de cumplimiento, que se preocupan de asegurar que el
contratista obedece las normas y regulaciones aplicables.
Aun
cuando los objetivos del control en cada uno de estas áreas pueden tener
impacto en los costes de los contrato, el auditor enfoca su investigación en
los aspectos operacionales y controles del cumplimiento (controles de
cumplimiento puede ser, por ejemplo, con respecto a NODECOS o regulaciones medio
ambientales).
Los
controles pueden ser manuales o automatizados. En muchos casos, las actividades
del control se integrarán en un único sistema basado en tecnologías de la
información TI. En estos casos, puede resultar necesaria la participación en la
auditoría de especialistas en el software
correspondiente para ayudar al auditor a identificar y a entender todos los
controles relacionados.
El
auditor no solo debe obtener una comprensión adecuada de los sistemas de
control del contratista, sino que además debe determinar si las actividades del
control realmente existen y se llevan a cabo y, por último, si debe realizar el
esfuerzo para probar y evaluar esos controles y si dicho esfuerzo está
contribuyendo a reducir comprobaciones sustantivas en auditorías de costes
incurridos u otras relacionadas. Por ejemplo, el auditor debe esperar que el
coste para comprobar y evaluar el control (o controles) sobre el sistema que
registra los de tiempos de la mano de obra directa del contratista ahorran la
realización de pruebas sustantivas sobre las hojas de trabajo del tiempo
registrado y cargado a un contrato.
Si
en auditor llega al convencimiento que las actividades de control internas no
existen, o que no está justificado un esfuerzo por realizar pruebas sobre unos
controles porque son débiles o, simplemente, son inexistentes, en este caso, al
no haber ninguna comprobación realizada sobre el sistema de control del contratista,
el riesgo de auditoría de costes incurridos, u otras relacionadas, sería máximo.
Examen de los controles internos del
contratista
El
primer paso para la determinación del riesgo de control es la realización de
una evaluación de los controles internos del contratista obteniendo una
comprensión de la contabilidad y del sistema de gestión. Esta comprensión
servirá a modo de hallazgo inicial de conocimiento para evaluar los controles
internos relacionados y le permitirán al auditor diseñar los procedimientos de
auditoría, en costes incurridos por ejemplo, más eficaces y eficientes.
Para
adquirir un entendiendo básico sobre la contabilidad y el sistema de gestión,
el auditor debe:
•
Considerar los objetivos de la auditoría sobre control interno y desarrollar un
programa de auditoría para cada sistema específico contable y de gestión.
•
Comprender la descripción del sistema del contratista y toda la documentación relacionada
con el mismo; por ejemplo, política del sistema y manual de
procedimientos.
•
Revisar los papeles de trabajo sobre operaciones de los archivos permanentes y
las auditorías anteriores.
•
Hacer las preguntas que sean necesarias al contratista sobre el control de
gestión, las supervisiones que realiza y el personal que dispone para realizar
dicha función.
•
Inspeccionar los documentos pertinentes.
•
Observar y comprobar las operaciones reales del contratista.
La
magnitud de esfuerzo de la auditoría de sistemas y procedimientos para alcanzar
una comprensión de la contabilidad del contratista y de los sistemas de gestión
es una cuestión de juicio del auditor. Las características que deben ser consideradas
incluyen:
•
El tamaño y complejidad del contratista;
•
El nivel de experiencia anterior con el contratista;
•
La naturaleza y magnitud de la documentación de los sistemas;
•
La importancia de costes presupuestados, imputados o cargados al contrato por
el sistema; y
•
La importancia materialidad en relación con cuentas específicas y transacciones
manejadas por el sistema.
Evaluación
del riesgo de control interno
Ya
he referido al principio que el riesgo de control es la probabilidad de que los
controles internos del contratista no prevengan o detecten errores materiales,
irregularidades o información falsa a tiempo. En la evaluación del riesgo de
control el auditor de contratos debe considerar el grado de implantación y
efectividad de las actividades de control del contratista para alcanzar los
objetivos de control establecidos por él. Una alta eficacia de las actividades
de control del contratista proporcionará un bajo riesgo de control.
El
auditor de contratos hace una evaluación del riesgo de control para cada
objetivo de control interno del contratista que sea relevante. Si el auditor
concluye que éstos no existen o que otras auditorías relacionadas (por ejemplo
auditoría de costes incurridos) pudieran ser más eficientes en la realización
de pruebas sustantivas, entonces calificará la evaluación de riesgo de control
como máxima (alta).
Si
el auditor de contratos tiene la posibilidad de identificar las políticas y
procedimientos de control interno del contratista y ha podido realizar las
pruebas sobre esos controles, entonces calificará la evaluación del riesgo de
control como sigue:
•
Alto: Si no existen actividades de
control o, en su caso, si existen pero debido a un diseño u operaciones
inadecuadas, rara vez cumplen los objetivos de control.
•
Moderado: Si existen actividades de
control, pero debido a deficiencias los objetivos de control no se consiguen de
forma coherente.
•
Bajo: Las actividades de control del
contratista son coherentes y eficaces, cumpliendo consistentemente los
objetivos de control.
Para
terminar esta entrada cabe decir que cuando los sistemas de control interno han
sido auditados y comprobados, y la evaluación ha sido calificada como de riesgo
moderado y alto, estos resultados deben estar vinculados a importantes
deficiencias que han sido demostradas con los procedimientos utilizados por el
auditor.
Las
deficiencias significativas detectadas por el auditor de contratos se deben
tratar inmediatamente con el órgano de contratación y el contratista. No se
puede esperar a manifestarlo hasta la reunión final de la auditoría o hasta que
se emita el informe definitivo, en orden de iniciar el proceso de resolución de
las debilidades por el contratista.
Cuando
sea posible, las deficiencias importantes también deben estar vinculadas con
los datos históricos relevantes que están disponibles o puedan ser
razonablemente deducidos. Así por ejemplo, si el auditor puede vincular las
deficiencias descubiertas en el sistema de presupuestación y estimación de
costes para cuestionarlos en las bases de auditoría de costes incurridos, la
importancia de corregir tales deficiencias es más evidente.
Las
evaluaciones calificadas de riesgo bajo para objetivos específicos de control
significa que el auditor puede confiar en los controles internos del
contratista y puede reducir las pruebas en otras auditorías relacionadas (por
ejemplo de costes incurridos), permitiéndole efectuar procedimientos de
análisis o pruebas de transacción mínimos.
Todo
lo dicho hasta aquí sirve para su aplicación a grandes, medianos y pequeños
contratistas. Sin embargo, en una próxima entrada del blog analizaré el examen
de los controles internos a pequeños y medianos contratistas.
No hay comentarios:
Publicar un comentario
Gracias por su colaboración