ciero sino que afectará a personal de distintos
ámbitos,
financieros y no financieros, de la compañía.
Los dueños del proceso serán por tanto los responsa-
bles del proceso en su conjunto, y serán los encargados
de identificar, evaluar, controlar y mitigar los riesgos de
la fiabilidad de la información financiera del proceso
concreto del cual hayan sido asignados. Tienen como
funciones validar la actualización de la documentación
del proceso, comunicar si hay cambios significativos, y
evaluar los riesgos a cierre del ejercicio. Por su parte, los
supervisores se encargarán de asegurar que en su ám-
bito el proceso está actualizado y recoge las actividades
de control necesarias para mitigar los riesgos, así como
proporcionar seguridad razonable respecto a la fiabi-
lidad de la información financiera del mismo. Tienen
como funciones supervisar la ejecución de controles y
de las conclusiones sobre la efectividad, realizar la va-
lidación y el seguimiento planes de acción y realizar las
propuestas de actualización. Por último, los dueños de
los controles realizarán la ejecución y carga en el siste-
ma informático de las evidencias del control, concluirán
sobre si dicho control es efectivo, o no, y realizarán la
propuesta de planes de acción.
FASES PARA LA IMPLANTACIÓN Y FUNCIONA-
MIENTO DEL SCIIF
El SCIIF está configurado como un
proceso cíclico
que funciona de manera continua. El ciclo del año n co-
mienza con el cierre contable del ejercicio anterior (n-
1), en base al cual se determina el alcance y finaliza con
la fase de validación y certificación del año n. Algunas
de las fases se desarrollan de forma continua a lo largo
del año, mientras que otras tendrán hitos específicos en
determinados momentos.
La primera fase del SCIIF es la elaboración de lo que
en términos de auditoría se denomina
matriz de alcance
.
Para ello se recopilará la informacion financiera cerrada
del año anterior y se identificarán las cuentas más signi-
ficativas desde el punto de vista tanto cuantitativo como
cualitativo (estimaciones y juicios relevantes, compleji-
dad de las transacciones, transacciones no recurrentes,
experiencia histórica en la detección de errores, etc.).
Para esta fase puede resultar de utilidad la
Norma Téc-
nica sobre evaluación de la Importancia Relativa de la
IGAE de abril de 2007
que aporta una metodología de-
tallada para el cálculo del error tolerable a nivel de área
para cada una de las fases del trabajo.
Una vez identificadas las cuentas materialmente más
significativas, se asociarán entonces a los procesos que
se consideren como relevantes teniendo en cuenta para
ello que todos los procesos en los que se origine, proce-
se o elabore información financiera deberán contar con
mecanismos de control suficientes y homogeneos.
La adecuada definición y comprensión transversal
de los distintos procesos de la compañía y la correcta
descripción y documentación de los mismos a través de
flujogramas y descripciones detalladas constituye la au-
téntica raiz del modelo ya que, al modo de la fase de pla-
nificación en un trabajo de auditoría, sin una correcta
comprensión y descripción de los procesos y una iden-
tificación precisa y eficaz de los controles (pruebas) que
mitiguen los riesgos con posible impacto, el SCIIF no
pasará de ser una herramienta formal que no cumplirá
adecuadamente sus objetivos de control.
A título de ejemplo, y según su IAGC del año 2016
(disponible en internet), en el caso de una sociedad
mercantil estatal como AENA. S.A. , esta compañía ha
dividido su gestión en un total de 16 procesos con im-
pacto en la información financiera, para los cuales están
definidos 299 controles que se aplican a los servicios
centrales de la compañía y a los 28 (de un total de 47)
aeropuertos de más de 400.000 pasajeros. En el caso de
ADIF (cuyo modelo de SCIIF se implantó en septiem-
bre de 2016 y actualmente en fase de certificación) se
han definido 12 procesos y un total de 482 controles (46
mensuales, 21 trimestrales, 15 semestrales y 47 anuales)
en cuya ejecución participan 187 personas de distintos
departamentos de la compañia. Algo similar ocurre en
el caso de RENFE Operadora.
Por último, y por poner un ejemplo de empresa pri-
vada, en el caso del Grupo REPSOL sus responsables
han establecido un total de 1.082 controles cuyo núme-
ro, si bien muy superior a los anteriores, debe cubrir la
fiabilidad del reporte financiero de un total de 27 socie-
dades en 16 países diferentes.
Continuando con las fases, una vez identificadas las
cuentas más significativas y asociadadas las mismas jun-
to con sus posibles riegos dentro de los procesos que
se definan como más relevantes, se elabora la llamada
Matriz de Alcance del año en curso (similar a la Matriz
de Riesgos de un SGR). En el caso que haya cambios con
respecto al año anterior, se comunicarán a los dueños
de los procesos y se actualizará tanto la documentación
del proceso como los nuevos controles que en su caso se
establezcan. Todo ello se incorporará en la herramienta
informática en que se haya implantado el SCIIF (SAP
GRC Process Control, IDEAS GRC u otra).
Una vez finalizado el proceso de elaboración (o ac-
tualización, en el caso que el SCIIF ya venga funcionan-
do en años anteriores) de la matriz de alcance y de los
riesgos y controles que los cubren, comienza la fase de
ejecución que se desarrollará por parte de sus responsa-
60
Junio nº 71 - 2018
AUDITORÍA Y GESTIÓN DE LOS FONDOS PÚBLICOS
