Introducción
El proceso para obtener un conocimiento de los controles internos
de un contratista y evaluar el riesgo de control se logra mediante la obtención
de las respuestas a la Encuesta sobre la Organización del Contratista, Sistema
de Contabilidad, Sistema de Control Interno y Ambiente de Control[1]. Los pequeños y medianos
contratistas pueden utilizar medios menos formales para asegurar que se
alcanzan los objetivos de control interno. Sin embargo, si el contratista tiene
uno o más de los sistemas contables y de gestión particulares enumerados en la
entrada de este blog - auditoría de sistemas y procedimientos, de 07/06/2013 – pincha
aquí que generan costes significativos, el auditor de contratos debe
desarrollar el programa de auditoría de sistemas y controles internos basado en
la comprensión de la información aportada por el contratista en la Encuesta.
Todas las entidades deben describir sus políticas y
procedimientos contables. Sin embargo, las más pequeñas no necesitan de
extensas descripciones de sus procedimientos y políticas por escrito. En ellas,
las comunicaciones podrán ser menos formales y más fáciles que en una empresa de
gran tamaño, debido a que su organización es más pequeña y con menos niveles de
responsabilidad, así como una mayor visibilidad y disponibilidad de la gestión
y de la administración. No obstante, también estas pequeñas y medianas están
involucradas en transacciones complejas o están sujetas a los mismos requisitos
legales y reglamentarios que las grades compañías, y para estas operaciones
necesitarán de medios más formales para cumplir con los objetivos de control
interno que sean necesarios.
Comprensión y evaluación del control interno
La Encuesta sobre la Organización del Contratista, Sistema
de Contabilidad, Sistema de Control Interno y Ambiente de Control (en adelante
“la encuesta”) debe ser el documento de base que utiliza el auditor de
contratos para la comprensión del control interno de los contratistas de menor
tamaño[2].
El ambiente (o entorno) de control refleja la actitud
general de la organización y de los empleados, la conciencia y las acciones
relativas a la importancia del control y su énfasis para mejorar la gestión.
Para obtener una comprensión de la atmósfera de control, el auditor debe
considerar la información en de “la encuesta” y la información que pueda
recoger de otras fuentes alternativas, como sería a través de entrevistas a los
empleados.
Asimismo, el auditor debe obtener una comprensión del
sistema de contabilidad y de las actividades de control específicas para cada
elemento de coste importante (es decir, mano de obra, costes indirectos, y el
coste de los servicios y los materiales comprados). El auditor de contratos deberá
considerar la información contenida en “la encuesta”, particularmente el
sistema general de contabilidad, la evaluación de riesgos que haga el propio contratista,
procesos de circulación de la información y objetivos y actividades del sistema
de control.
Si el auditor concluye que las descripciones de “la encuesta”,
o la obtención de información por otros medios, son ineficaces para poner a
prueba los controles, entonces deberá realizar una calificación del riesgo con
el grado máximo, por lo que tendrá que una planificación de auditoría con un
alcance extenso.
Los procedimientos de auditoría del control interno
planificados deben alcanzar los objetivos propuestos y ser suficientes para
reducir el riesgo de una auditoría relacionada (por ejemplo, una auditoría de
costes incurridos) a un nivel aceptable. En caso contrario, en una auditoría
relacionada habrá un requisito de comprobaciones adicionales sobre los datos
que dependen, o se obtienen, de los sistemas de gestión informáticos del
contratista. Por ello, en los papeles de trabajo de la auditoría que se realiza
sobre el control interno de los pequeños y medianos contratistas, se debe
documentar la base de la evaluación de riesgo de control, debiendo ser éste en
el nivel máximo cuando exista una ineficacia de los controles de los sistemas
informáticos, o haya habido razones por las que es inútil poner a prueba dichos
controles. En cualquier caso, los papeles de trabajo también deben documentar
cómo los procedimientos (pruebas) previstos en la planificación de la auditoría
del control interno, reducen a un nivel aceptable el riesgo de auditorías
relacionadas (por ejemplo, mediante seguimientos de los valores de ciertas
transacciones que se extraen del sistema informático contable y que se siguen
mediante un soporte físico en documentos de papel y que soportan dichas
transacciones del sistema informático). Estas son otras formas de evidencia que
corroboran las afirmaciones sobre las transacciones: la comparación de un
registro informático con los saldos de documentos preparados previamente,
balances de comprobación, declaraciones de impuestos, o presentaciones
financieras preparadas para otros fines.
La importancia relativa y el riesgo específico sobre los
datos que apoyan las afirmaciones del contratista en “la encuesta” son
consideraciones importantes para determinar el alcance de los procedimientos
necesarios para reducir el riesgo de auditoría de control interno. Si el
auditor no puede reducir el riesgo de auditoría de control interno a un grado
plausible el informe debe ser calificado con especial atención a la falta de
fiabilidad de los sistemas control.
Basándose en la información obtenida en los párrafos precedentes,
el auditor debe hacer un resumen acerca de la entorno de control, comprender el
sistema de contabilidad y de las actividades de control. El resumen será forma
de una explicación narrativa que incluye una identificación de los controles
internos más significativos y, en su caso, las razones por las que debe evaluar
el riesgo de control interno como máximo. La forma y la extensión de la
documentación viene influenciada por el nivel del riesgo de control evaluado,
el tamaño de la empresa, la complejidad de la estructura interna, y el grado en
que las afirmaciones dependen significativamente de los sistemas de información.
Evaluación del riesgo de control
El propósito de la evaluación del riesgo de control interno de
pequeños y medianos contratistas sirve para determinar la naturaleza,
oportunidad y alcance de las pruebas de transacciones en auditorías relacionadas,
por ejemplo costes incurridos. Con frecuencia, el auditor contratos evalúa el
riesgo de control interno en el grado máximo (alto) a pequeñas y medianas entidades
porque le resulta más eficiente para llevar a cabo pruebas sustantivas sobre
áreas de auditoría importantes y sensibles que poner a prueba la eficacia de
los controles internos implantados por el contratista. Además, si el auditor
determina que los sistemas de control interno no existen, porque dichos
sistemas, debido al tamaño de la empresa, son tan deficientes que no se puede
confiar en ellos, el auditor debe evaluar el riesgo de control interno en el
grado máximo (alto).
Si, por el contrario, el auditor determina que existen
actividades de control específicas y que se han implementado, puede decidir
realizar pruebas sobre la eficacia de controles específicos elegidos con el fin
de limitar el alcance y, con ello, la cantidad de pruebas de transacciones en
las áreas de auditoría afectadas. El auditor también puede supeditarse a
auditorías de sistemas de control interno anteriores, o a otras auditorías
relacionadas, si en ellas se evaluó adecuadamente, y se probó, la eficacia de
las actividades de control específicas que afecten la evaluación del auditor
sobre el riesgo de control.
Una evaluación del riesgo de control en un nivel menor que
el grado máximo (alto), proporciona una reducción de extensión y profundidad de
las pruebas de auditoría de control interno, pero requiere la existencia efectiva
de actividades de control en el contratista, las cuáles han sido probadas y
están funcionando con eficacia. A los efectos y propósitos de los contratos de
las Administraciones Públicas, las
actividades de control interno del contratista representan las políticas y
procedimientos que la gerencia ha establecido para dar garantías de que los costes
del contrato se registran, acumulan, asignan/imputan y se someten/informan para
su examen/revisión de manera consistente con las normas y regulaciones de la
Administración en materia de costes y precios de los contratos.
Las pruebas sobre las actividades de control interno son
sensibles al tiempo en que se realizan, y dicho periodo debe ser el mismo en el
que se incurre en los cotes (para una auditoría de costes incurridos del año
corriente no sirve la auditoría del sistema de control interno de hace dos
años, por ejemplo). Si no se han probado las actividades de control en el mismo
periodo de tiempo, el riesgo de control de una auditoría relacionada se
evaluará en el grado máximo (alto).
Cita al control interno como parte de un informe de auditoría de costes incurridos
La cita, o referencia, al informe de auditoria sobre el control
interno de pequeños y medianos contratistas se incluye como parte del informe
de una auditoría de costes incurridos.
El párrafo del alcance de auditoría de costes incurridos
debe identificar los controles internos y la evaluación del riesgo de control
que el auditor ha considerado en la planificación de la auditoría. Este párrafo
también debe describir cualquier deficiencia significativa en el sistema
contable del contratista que tenga una materialidad significativa para los
costes incurridos o los costes de sus ofertas.
El párrafo relativo a la organización y sistemas del
contratista debe describir el sistema contable, así como el estado actual de
las deficiencias en el mismo y su impacto en los costes.
Informe rápido (o «flash») en pequeños y medianos contratistas
Si se detectan deficiencias significativas en los sistemas de control interno de pequeños y medianos contratistas (por ejemplo, que no segregan los costes no permitidos, o habitualmente incluye costes no admisibles en sus ofertas de precios), el auditor de contratos emite un informe rápido «flash», urgente e independiente, para asegurar los intereses de la Administración contratante. Estas llamadas de atención, informes rápidos o flash, sirven para:
Si se detectan deficiencias significativas en los sistemas de control interno de pequeños y medianos contratistas (por ejemplo, que no segregan los costes no permitidos, o habitualmente incluye costes no admisibles en sus ofertas de precios), el auditor de contratos emite un informe rápido «flash», urgente e independiente, para asegurar los intereses de la Administración contratante. Estas llamadas de atención, informes rápidos o flash, sirven para:
(1) poner en conocimiento del órgano de contratación las
deficiencias detectadas mucho antes de hacerlo mediante el informe de auditoría
correspondiente (por ejemplo en el informe de costes incurridos), y
(2) agilizar la resolución de las deficiencias y evitar su
impacto en otros contratos que no están sometidos a auditoría.
Cuando se emite un informe rápido sobre un pequeño y mediano
contratista, se deben realizan medidas de seguimiento (preferiblemente dentro
de los 90 días siguientes) para esclarecer la naturaleza sistémica y los
efectos de la deficiencia. En función de la importancia de los costes generados
por el sistema, los pasos de rastreo se puede realizar dentro del ámbito de una
auditoría de sistemas adecuada, o añadidos a la auditoría de costes incurridos
u otra auditoría programada.
[1]
Es equivalente a la “Declaración sobre los sistemas y procedimientos de gestión
y de control” que solicita el Grupo de Evaluación de Costes (GEC), del Ministerio d Defensa, a los contratistas – Metodología GEC
[2]
A estos efectos se consideran contratistas de menor tamaño a aquellos que
pueden presentar cuentas anuales abreviadas.
No hay comentarios:
Publicar un comentario
Gracias por su colaboración