#62
La auditoría sobre el
control interno del contratista es una parte de la auditoría de
sistemas y procedimientos comentada en el post
del [07/06/2013]
Objetivos de la auditoría
de control interno del contratista
El propósito de cada
auditoría sobre el control interno del contratista es recoger una evidencia
suficiente para expresar una opinión acerca de la suficiencia y fiabilidad de
su contabilidad y de la consistencia de los sistemas de gestión y de los
controles internos que tiene implantados para cumplir con las normas y
regulaciones aplicables y las condiciones del contrato.
El objetivo de estas
auditorías sobre el control interno es evaluar el «riesgo del control» (véase
post del [17/09/2013])
para determinar el grado de confianza que puede ponerse en la contabilidad y
los sistemas de gestión del contratista, como una base sólida para planificar
el alcance de auditorías ulteriores de costes incurridos, revisiones de ofertas
y otras relacionadas.
En aquellos casos dónde el
auditor puede confiar en el sistema de control del contratista para registrar,
procesar, resumir y emitir información de una manera consistente con las
regulaciones contractuales, el riesgo de control será considerado bajo. En
estos casos el auditor debería poder minimizar la realización de pruebas sustantivas
en una auditoría subsiguiente como, por ejemplo, una de costes incurridos.
En aquellos casos donde
los sistemas de control interno del contratista son inadecuados (de manera
completa o en parte), entonces se precisa de una comprobación más extensa en
las auditorías de costes incurridos, revisiones de ofertas y otras auditorías
relacionadas (de tarifas horarias, por ejemplo). Sin embargo, el auditor debe
sugerir al contratista que ponga énfasis en fortalecer la fiabilidad de la
contabilidad y la consistencia de sus sistemas de gestión para que, en el
futuro, no haya lugar de extender las comprobaciones durante las auditorías
individuales de costes incurridos y otras relacionadas.
Si un sistema de control
interno no ha sido auditado, el riesgo del control de una auditoría
subsiguiente debe evaluarse como «alto» y se hace necesario que se fije una
auditoría del sistema de gestión y del control interno lo antes posible.
Mientras tanto, las pruebas sustantivas deben aumentarse en las auditorías mediatas
de costes incurridos y otras relacionadas, para compensar la incapacidad de
contar con la certeza de que el contratista dispone de controles internos
robustos y fiables.
En contratistas
con deficiencias de control interno, el auditor debe trabajar con el órgano de
contratación y el contratista para conseguir que éste corrija las deficiencias
de sus sistemas de control, en lugar de continuar realizando comprobaciones
extensas que alargarían ineficazmente los trabajos de las auditorías
relacionadas. Cuando el contratista haya corregido las deficiencias o realice
cambios en el sistema, el auditor debe dar una prioridad alta a la auditoría
sobre el sistema corregido para establecer la confianza en el mismo. El auditor
también debe desaconsejar al órgano de contratación que celebre contratos con
contratistas que tengan graves deficiencias en sus sistemas de contabilidad,
gestión y control internos y que no sean proclives para corregir las
deficiencias manifestadas.
La valoración del auditor
sobre el riesgo de control debe ser documentada en los papeles activos de la
auditoría sobre el control interno y en el Resumen Interno de Planificación y
Control de Auditoría (RIPCA) de las ulteriores relacionadas (por ejemplo en
auditorías de costes incurridos) que contienen los papeles de trabajo activos
para cada sistema de contabilidad y los de gestión y control interno del
archivo permanente. Asimismo, también se requiere una valoración del riesgo de
las declaraciones financieras (bases de auditoría) que contienen falsedades
debidas al fraude y, por tanto, debe constituirse como parte de la valoración
de riesgo de auditoría.
Como ya se ha dicho en
varias ocasiones, y se volverá a recordar a lo largo de este Manual, el
descubrimiento de fraude u otra actividad ilegal o impropia del contratista, o
del poder adjudicador y sus funcionarios, no es el objetivo primario de la
auditoría de contratos. Sin embargo, el auditor debe estar atento a cualquier
circunstancia que sugiera que tales situaciones pueden existir para su denuncia.
Alcance de Auditoría
La naturaleza y magnitud
del esfuerzo de la auditoría sobre el sistema de control interno dependen del
tamaño del contratista y el volumen de negocio que tiene con las
Administraciones Públicas (materialidad y representatividad). En cualquier caso
el alcance de una auditoría del control interno debe incluir:
• La comprensión de los
controles internos del contratista, incluyendo los manuales de procedimientos y
actividades automatizadas (Tecnologías de la Información), de tal manera que le
proporcionen la convicción razonable de que los costes de los contratos son
admisibles, es decir asignables de acuerdo con las condiciones del contrato y
que los errores materiales se previenen o se descubren a tiempo, siendo
corregidos de una manera oportuna;
• La documentación de los
controles internos del contratista en los papeles activos y los archivos
permanentes;
• La comprobación de la
eficacia operacional de los controles internos del sistema;
• La evaluación del riesgo
de control, como una base para diseñar las pruebas sustantivas en el esfuerzo
de la auditoría de costes incurridos y otras relacionadas subsiguientes;
• Información sobre la
comprensión de los controles internos, la valoración de riesgo de control y la
suficiencia del sistema para los contratos con la Administración; y
• Elementos objetivos que
permitan ajustar el alcance de las auditorías de costes incurridos y otras
relacionadas ulteriores basándose en la fortaleza del control interno y/o
debilidades de la contabilidad del contratista y de sus sistemas de gestión
auditados.
En el establecimiento del
alcance de la auditoría de sistemas y del control interno, el auditor debe
considerar la naturaleza y magnitud de la documentación disponible de las
auditorías de sistema anteriores que haya en el archivo permanente, el esfuerzo
de las auditorías de costes incurridos y de otras relacionadas. Una vez que una
auditoría comprensiva de la contabilidad de un contratista o de sus sistemas de
control y gestión se haya realizado, debe servir como una línea de antecedentes
para establecer el alcance de auditorías posteriores de ese sistema. Para
aprovechar el trabajo anterior, las auditorías futuras deben dedicarse sólo a
cubrir los cambios producidos en los sistemas y en otras áreas identificadas
como de riesgo alto. Dichas auditorías subsiguientes también deben incluir
pruebas realizadas sobre los controles internos importantes de transacciones
seleccionadas, asegurando que los controles se realizan por el contratista y
operan eficazmente. Es aconsejable que las pruebas sobre los controles
importantes sean realizadas cada dos años, independiente de si ellos se
probaron en auditorías inmediatamente anteriores comprensivas de la
contabilidad del contratista y de su sistema de gestión.
Los resultados de una
auditoría sobre los principales sistemas de control interno y de sistemas y tecnologías
de la información (TI) y otros sistemas de gestión, deben servir para evaluar
las deficiencias de dichos sistemas. El auditor de contratos debe considerar
los siguientes elementos del alcance de la auditoría al examinar los controles
internos relativos a sistemas individuales de control y de gestión:
• Obtención de la
descripción escrita del funcionamiento y las operaciones, así como la
identificación de todas las políticas del sistema, prácticas y
procedimientos.
• Obtención de la lista
nominal de los empleados que tienen acceso a los datos del sistema, cuyo número
debe ser razonable, estar basado en la necesidad y haber sido nombrados
apropiadamente, porque cualquiera no debe tener acceso a los datos del sistema
y mucho menos poder editarlos. La seguridad adecuada de los controles (lógica y
física) debe incorporar límites de acceso a la entrada de los datos, su
revisión y las autorizaciones de modificación. La autoridad para hacer los
cambios en los datos, archivos y programas debe estar limitada, anotada y
estrechamente supervisada.
• Obtención de los
diagramas de flujo del sistema en donde se describan las características de los
datos de entrada, puntos del control internos e informes de salida. Las
operaciones del sistema deben verificarse con las políticas, prácticas,
procedimientos y mapas de flujo.
• Realizar las
comprobaciones sobre los controles internos del sistema, las cuales han debido
rastrear el flujo de transacciones significativas y los documentos que las
soportan, desde la fuente original, a través de la entrada de los datos, hasta
todas las fases del proceso interinas y finales. Cualquier diferencia debe
resolverse con la contratista.
La gerencia del
contratista tiene la responsabilidad de establecer y mantener controles
internos eficaces. Como parte del trabajo preliminar de una auditoría, el
contratista debe explicar cómo opera su sistema, qué controles están
implantados para lograr los objetivos del control identificados con el sistema
y qué métodos se usan para supervisar y evaluar su funcionamiento de manera
continuada. El auditor debe contar con la mayor información posible de la valoración
que hace el contratista sobre su propio sistema, así como qué esfuerzos de
supervisión y comprobación (auditoría interna) de los controles del sistema
realiza.
Comprender la Contabilidad
y los Sistemas de la Gestión del Contratista
El primer paso en la
evaluación de los controles internos del contratista es obtener una comprensión
de la contabilidad y del sistema de gestión. Esta comprensión para evaluar los
controles internos implantados le permitirán al auditor diseñar los
procedimientos de auditoría pertinentes en otras auditorías posteriores relacionadas,
por ejemplo en costes incurridos, de una manera más eficaz y eficiente. Para
adquirir un entendiendo básico sobre la contabilidad y el sistema de gestión,
el auditor debe:
• Considerar los objetivos
de la auditoría sobre el control interno y desarrollar un programa de auditoría
para cada respectivo sistema de contabilidad y de gestión.
• Revisar la descripción
del sistema del contratista y toda la documentación relacionada con el mismo;
por ejemplo política del sistema y el manual de procedimientos.
• Revisar los papeles de
trabajo de auditorías anteriores sobre operaciones de control, que se hallan en
el archivo permanente.
• Hacer las preguntas que
sean necesarias al contratista sobre el actual control de gestión que realiza,
las supervisiones y el personal que dispone para efectuar dicha función.
• Inspeccionar los
documentos pertinentes.
• Observar y comprobar las
operaciones reales del contratista.
Además, el auditor debe pedir
al contratista que le explique aspectos concretos para ayudarle a entender todo
el sistema. El auditor debe poder navegar de forma autónoma en los módulos del
sistema automatizado de planificación de recursos empresariales («ERP», por sus
siglas en inglés, enterprise resource
planning), que son sistemas de información gerencial, siendo capaz de
rastrear las transacciones desde su origen, pasando por los diferentes
procesos, hasta su inclusión en las estimaciones del coste, ofertas de
licitaciones e imputaciones o cargos de costes incurridos a los contratos. El
auditor también debe observar las actividades de los procesos reales de
fabricación o de prestación del servicio y debe examinar los documentos
relacionados para validar la comprensión del sistema. El seguimiento de las
transacciones seleccionadas a través del sistema automatizado confirmará al
auditor la trazabilidad de la operación y su entendimiento, siendo ésta una
parte muy importante del proceso de la auditoría y que debe realizarse en
aquellos aspectos significativos del sistema. En ocasiones el auditor de
contratos puede que necesite solicitar apoyo de personal especializado del
órgano de contratación para que realice una auditoría informática del sistema
automatizado por el que circulan los datos y las transacciones.
La magnitud del esfuerzo
de la auditoría para alcanzar una comprensión de la contabilidad del
contratista y de los sistemas de gestión, es una cuestión de juicio del
auditor. Las características que deben ser consideradas incluyen:
• El tamaño y complejidad
del contratista;
• El nivel de experiencia en
auditorías anteriores sobre el contratista;
• La naturaleza y magnitud
de la documentación de los sistemas;
• La importancia de costes
presupuestados, imputados o cargados al contrato por el sistema; y
• La materialidad en
relación con cuentas específicas y transacciones manejadas por el sistema.
Cuando el auditor haya
alcanzado una comprensión adecuada de la contabilidad del contratista y de los
sistemas de gestión, todo este trabajo debe quedar documentado en los
correspondientes papeles de trabajo y guardados en el archivo permanente para
poder ser consultados con posterioridad. Esta documentación se hará realizando
formularios de diagramas de flujo del sistema, descripciones narrativas y
copias de los documentos pertinentes (extraídos de los sistemas) e informes. El
método utilizado para realizar los diagramas y la magnitud de la documentación
que se acompaña en los papales de trabajo es una cuestión de juicio profesional
del auditor. Sin embargo, la documentación debe proporcionar una información
suficiente como para garantizar que el auditor ha conseguido un entendimiento
claro de los sistemas que quedan descritos en los papeles de trabajo.
Determinación sobre si el
contratista tiene establecidos Objetivos del Control y si realiza Actividades
del Control adecuadas.
El auditor debe
identificar cuáles son los objetivos de control del contratista y que le van a
proporcionar la convicción razonable, si es que existen, sobre si están
implantados para prevenir errores materiales o aserciones falsas o éstas pueden
ser descubiertas y corregidas con prontitud. Los objetivos de control pueden
estar clasificados en tres áreas generales:
(1) objetivos del control
sobre informes financieros, derivados de la contabilidad, que se preocupan de
asegurar la preparación de declaraciones (estados) financieros y bases de
auditoría fiables,
(2) objetivos del control
operacionales, que se preocupan de asegurar que los recursos del contratista
están usándose de manera eficaz y eficiente, y
(3) objetivos de control
de cumplimiento, que se preocupan de asegurar que el contratista obedece las
normas y regulaciones aplicables (por ejemplo la norma de costes o regulaciones
medioambientales).
El auditor de contratos
enfocará su investigación sobre aspectos relacionados con todos ellos, pues los
tres tienen un impacto en los costes de los contratos.
En cualquier caso, el
auditor del contrato debe estar familiarizado con los objetivos del control del
contratista, tanto para la contabilidad como el sistema de gestión, y que deben
ser revisados antes de comenzar cualquier auditoría de contratos.
El auditor también debe
identificar las actividades de control diseñadas específicamente y que deben
ser llevadas a cabo por el contratista para lograr cada objetivo de control que
haya establecido. Los controles pueden ser manuales o automatizados. En muchos
casos las actividades del control se integrarán en un único sistema (ERP) del
contratista. Puede resultar necesaria la participación en la auditoría de
especialistas en TI,s y ERP's, para ayudar al auditor a identificar y a
entender todos los controles relacionados.
Cuando el auditor haya
obtenido una comprensión adecuada de los sistemas del contratista, debe hacer
una determinación acerca de si las actividades del control internas de dichos
sistemas realmente existen, si debe realizar un esfuerzo para poner a prueba y
evaluar esos controles y si dicho esfuerzo está contribuyendo a reducir comprobaciones
sustantivas en auditorías de costes incurridos u otras auditorías relacionadas
que se realicen en el futuro. Por ejemplo, el auditor debe esperar que el coste
para comprobar y evaluar el control (o controles) sobre el sistema que registra
los de tiempos de la mano de obra directa del contratista ahorran la
realización de pruebas sustantivas sobre el tiempo de las hojas de trabajo
registrado y cargado a un contrato en auditoría de costes incurridos.
El auditor también puede
determinar que las actividades de control internas no existen o que no está
justificado un esfuerzo para realizar pruebas sobre unos controles que son
débiles o, simplemente, son inexistentes. En este caso, al no haber ninguna
comprobación realizada sobre el sistema de control del contratista, el riesgo
de auditoría de costes incurridos, u otras relacionadas, se evaluaría como
máximo (alto). Esta valoración de riesgo de control y su razón de fondo debe
documentarse en los papeles de trabajo de la auditoría de sistemas y procedimientos
y del control interno.
Si el auditor determina
que esas actividades de control interno pueden identificarse y que el esfuerzo
para realizar pruebas de esos controles está justificado, entonces debe
planificar y realizar las pruebas que considere pertinentes sobre esos
procedimientos de control interno del contratista.
Pruebas sobre los
controles internos
Las comprobaciones de los
controles internos implican seleccionar una muestra de transacciones y evaluar
si se están ejecutando de conformidad con las políticas y procedimientos del
contratista. Estas pruebas sobre los controles deben realizarse para obtener
una convicción razonable de que el sistema de control interno del contratista
funciona como está previsto. El auditor también realizará pruebas sustantivas
que determinen la validez y veracidad de las transacciones contables. Aunque
los objetivos de las pruebas sobre el control interno y las pruebas sustantivas
sobre las transacciones son diferentes, ambos objetivos se suelen alcanzar simultáneamente
a través de pruebas analíticas de detalle que no sólo comprendan una
transacción específica, sino que también abarque todo el sistema. Es decir, el
auditor puede diseñar una muestra de transacciones que se utilizará con un
doble propósito: evaluar el riesgo de control interno y comprobar que el
importe monetario registrado de las transacciones es correcto. Estos exámenes
determinan si los controles están diseñados adecuadamente y funcionan
eficazmente para prevenir o detectar errores materiales en el momento oportuno.
Las pruebas de los controles deben realizarse por lo menos cada dos o tres
años, pues son necesarias para respaldar una evaluación del riesgo de control
calificado como bajo.
Para obtener evidencia de
la eficacia de las actividades realizadas en un control interno particular, el
auditor debe efectuar observaciones físicas, realizar preguntas al personal
adecuado o inspeccionar la documentación que sea relevante. No hay una prueba
específica que sea siempre igualmente necesaria, aplicable y eficaz para todos
los casos y en todas las circunstancias. De hecho, normalmente se realiza una
combinación de pruebas para proporcionar el nivel necesario de seguridad de que
los controles son eficaces. Las transacciones seleccionadas deben ser probadas
y la evidencia de auditoría se adquiere para determinar que no existen
debilidades potenciales en el sistema de control. El tipo de procedimientos de
auditoría seleccionados depende de la naturaleza del control que va a ser
probado y los datos disponibles para revisarlo. Por tanto, el auditor de
contratos debe diseñar las pruebas de auditoría sobre el control interno y las
transacciones que examina adaptadas a las circunstancias particulares del
momento.
La naturaleza del examen
está influenciada por el tipo de evidencia material que esta disponible en la
verificación del control interno. Así por ejemplo, si el sistema de control
interno proporciona una documentación determinada, el auditor puede decidir
inspeccionar los documentos. En cada circunstancia el auditor puede obtener
evidencia material acerca de la efectividad de las operaciones del control
interno mediante la observación o preguntas.
El momento oportuno para
realizar los trabajos de auditoría y el periodo cubierto por la auditoría también
deben ser considerados para realizar una selección apropiada de procedimientos
de auditoría y comprobaciones del control interno del contratista. La evidencia
probatoria debe referirse al período de la auditoría y, a menos que se
demuestre documentalmente lo contrario, debe ser obtenida durante el lapso que
abarca la auditoría, etapa cuando es más probable que estén disponibles
suficientes elementos de corroboración, y no en otro momento posterior o
anterior. Cuando la prueba se refiera únicamente a un punto específico en el
tiempo, como son los resultados obtenidos en la observación física, el auditor
deberá obtener evidencia adicional de que el control también es efectivo
durante todo el ciclo de la auditoría y no sólo en el momento de hacer la
comprobación específica. Por ejemplo, el auditor puede observar el control
interno del contratista en funcionamiento durante todo el período de auditoría
e investigar que se hace un uso sin solución de continuidad de los manuales de
procedimientos de control interno, para determinar que permanentemente está en
funcionamiento el control durante todo el período.
Después de determinar la
naturaleza de los procedimientos de auditoría que deben ser utilizados en las
comprobaciones sobre el control interno, el auditor también debe establecer la
extensión y profundidad de dichas pruebas que vaya a realizar. Este
señalamiento de pruebas es un asunto que el auditor debe hacer tomando en
consideración lo siguiente:
• La información obtenida
en el desarrollo de la comprensión de la estructura del control interno del
contratista.
• La naturaleza del
control interno que vaya a ser probado,
• La naturaleza y
disponibilidad de materia probatoria, y
• Los esfuerzos que dedica
el contratista en sus propias comprobaciones.
El alcance de las pruebas
también se ve afectado de manera significativa por la experiencia de auditorías
anteriores con el contratista. En la mayoría de los casos, donde hay una
actividad constante de encargos de auditoría sobre el mismo contratista, los
auditores ya habrán obtenido una gran cantidad de conocimientos sobre los
controles internos y sus sistemas de gestión. Si éstos se han determinado como
fiables en el tiempo de manera continuada, el alcance y profundidad de las
pruebas será menor.
