BOC Nº 097. Miércoles 18 de mayo de 2022 - 1643

III. Otras Resoluciones - Presidencia del Gobierno

1643 Secretaría General.- Resolución de 9 de mayo de 2022, por la que se dispone la publicación del Acuerdo por el que se modifica el Plan de Medidas Antifraude de la Administración Pública de la Comunidad Autónoma de Canarias y su sector público en el marco del Plan de Recuperación, Transformación y Resiliencia.

107 páginas. Formato de archivo en PDF/Adobe Acrobat. Tamaño: 1715.83 Kb.
BOC-A-2022-097-1643. Firma electrónica - Descargar

Adoptado por el Gobierno de Canarias, en sesión celebrada el día 5 de mayo de 2022, el Acuerdo por el que se modifica el Plan de Medidas Antifraude de la Administración Pública de la Comunidad Autónoma de Canarias y su sector público en el marco del Plan de Recuperación, Transformación y Resiliencia, y de conformidad con el apartado tercero del citado Acuerdo,

RESUELVO:

Disponer la publicación del Acuerdo por el que se modifica el Plan de Medidas Antifraude de la Administración Pública de la Comunidad Autónoma de Canarias y su sector público en el marco del Plan de Recuperación, Transformación y Resiliencia, que figura como anexo.

En Canarias, a 9 de mayo de 2022.- La Secretaria General, Cándida Hernández Pérez.

ANEXO

El Gobierno de Canarias, en sesión celebrada el día 5 de mayo de 2022, adoptó, entre otros, el siguiente acuerdo:

4.- PROPUESTA DE ACUERDO POR EL QUE SE MODIFICA EL PLAN DE MEDIDAS ANTIFRAUDE DE LA ADMINISTRACIÓN PÚBLICA DE LA COMUNIDAD AUTÓNOMA DE CANARIAS Y SU SECTOR PÚBLICO EN EL MARCO DEL PLAN DE RECUPERACIÓN, TRANSFORMACIÓN Y RESILIENCIA (CONSEJERÍAS DE HACIENDA, PRESUPUESTOS Y ASUNTOS EUROPEOS Y DE ADMINISTRACIONES PÚBLICAS, JUSTICIA Y SEGURIDAD).

El 3 de febrero de 2022, el Gobierno de Canarias aprobó el Plan de Medidas Antifraude de la Administración Pública de la Comunidad Autónoma de Canarias y su sector público en el marco del Plan de Recuperación, Transformación y Resiliencia, en cumplimiento de lo dispuesto en el artículo 22 del Reglamento (UE) 2021/241 del Parlamento Europeo y del Consejo, de 12 de febrero de 2021, por el que se establece el Mecanismo de Recuperación y Resiliencia, y la Orden ministerial HFP/1030/2021, de 29 de septiembre, por la que se configura el sistema de gestión del Plan de Recuperación, Transformación y Resiliencia (en adelante Orden HFP/1030/2021, de 29 de septiembre).

Dicho Plan tiene como finalidad garantizar que los fondos procedentes del Mecanismo de Recuperación y Resiliencia se utilizan de conformidad con las normas aplicables y contiene un conjunto de medidas específicas para la prevención, detección, corrección y persecución del fraude y el conflicto de intereses que han de ser aplicadas en los distintos procesos de gestión de los citados fondos.

Entre las medidas preventivas del fraude se contempla, en el apartado 2.1.7 del Plan, la obligación de realizar por los órganos gestores, en todos los procesos clave de ejecución del Plan de Recuperación, Transformación y Resiliencia, una evaluación de los riesgos de fraude y conflicto de intereses, estableciendo un catálogo de posibles riesgos y una metodología para su apreciación, e incorporando en su Anexo V una herramienta práctica de valoración del riesgo.

El Servicio Nacional de Coordinación Antifraude de la Intervención General de la Administración del Estado ha realizado una Guía de Medidas Antifraude que, como elemento de ayuda para la evaluación de riesgos, ofrece una herramienta o matriz de riesgos en su Anexo I que incluye las instrucciones para su aplicación. Dicha Guía constituye un instrumento útil para facilitar la evaluación de la probabilidad e impacto de determinados riesgos en los métodos de gestión más comunes aplicados en ejecución del Mecanismo de Recuperación y Resiliencia (subvenciones, contratación, convenios y encargos a medios propios), sin perjuicio de que puedan existir otros tipos de gestión y de que la herramienta pueda adaptarse teniendo en cuenta las características de cada entidad y los procedimientos implementados como consecuencia de los sistemas de control interno de gestión.

El Anexo I de la citada Guía es más amplio que el que actualmente se configura en el Plan de Medidas Antifraude de la Administración Pública de la Comunidad Autónoma de Canarias.

Por ello, teniendo en cuenta que el Plan de Medidas Antifraude es un documento vivo, sujeto a revisiones, es por lo que se considera necesario modificar el mismo para incorporar aquellos aspectos que se encuentran recogidos con mayor alcance en la Guía elaborada por el Servicio Nacional de Coordinación Antifraude, y que afectarían al apartado 2.1.7 del Plan de Medidas Antifraude y su Anexo V.

Considerando el artículo 22 del Reglamento (UE) 2021/241 del Parlamento Europeo y del Consejo, de 12 de febrero de 2021, por el que se establece el Mecanismo de Recuperación y Resiliencia, y los artículos 2 y 6 de la Orden Ministerial HFP/1030/2021, de 29 de septiembre, por la que se configura el sistema de gestión del Plan de Recuperación, Transformación y Resiliencia.

Visto informe de la Comisión Preparatoria de Asuntos del Gobierno del día 2 de mayo de 2022.

El Gobierno, tras deliberar, y a propuesta conjunta de los Consejeros de Hacienda, Presupuestos y Asuntos Europeos y de Administraciones Públicas, Justicia y Seguridad, acuerda:

Primero.- Modificar el Plan de Medidas Antifraude de la Administración Pública de la Comunidad Autónoma de Canarias y su sector público en el marco del Plan de Recuperación, Transformación y Resiliencia, en los siguientes términos:

Uno. Se modifica el apartado 2.1.7, que queda redactado en los siguientes términos:

“2.1.7. Evaluación del riesgo y autoevaluación del nivel de cumplimiento.

Las medidas asociadas al presente plan deberán ser proporcionadas y basadas en la evaluación del riesgo de fraude que pueda detectarse en cada momento.

De conformidad con el artículo 22 del Reglamento (UE) 2021/241 los cuatro grupos de riesgo que deberán ser tenidos en cuenta para la adopción de las medidas tendentes a su evitación son:

• Fraude.

• Corrupción.

• Conflictos de interés.

• Doble financiación.

2.1.7.1. Evaluación de riesgos.

Al amparo de lo previsto en el artículo 6.4 de la Orden ministerial HFP/1030/2021, de 29 de septiembre, la evaluación de riesgo de fraude se configura como una actuación obligatoria para los órganos gestores que deberán prever la realización de una evaluación del riesgo, impacto y probabilidad de riesgo de fraude en los procesos clave de la ejecución del Plan de Recuperación, Transformación y Resiliencia y su revisión periódica, bienal o anual según el riesgo de fraude y, en todo caso, cuando se haya detectado algún caso de fraude o haya cambios significativos en los procedimientos o en el personal.

Esta evaluación de riesgo de fraude será realizada por las diferentes Entidades Ejecutoras y Órganos Gestores del Gobierno de Canarias a través de la tabla o matriz en formato Excel que se adjunta como Anexo V y que ha sido facilitada por el Servicio Nacional de Coordinación Antifraude siguiendo las orientaciones de la Comisión Europea para la Evaluación del riesgo de fraude.

La evaluación se efectúa teniendo en cuenta (i) las situaciones en las que los procesos fundamentales de ejecución del PRTR pueden ser más susceptibles de manipulación por parte de individuos u organizaciones fraudulentos (riesgos), (ii) en la valoración del grado de probabilidad y de impacto de estas situaciones y (iii) en el sistema de control interno diseñado por cada Entidad Ejecutora u Órgano Gestor para abordarlas.

En el anterior sentido, se tienen en cuenta cuatro métodos de gestión fundamentales, que se consideran más expuestos a riesgos de fraude específicos:

• Subvenciones.

• Contratación.

• Convenios.

• Medios Propios.

El resultado final de la evaluación del riesgo de fraude es la identificación de aquellos riesgos específicos sobre los que no se están efectuando suficientes esfuerzos para reducir a niveles aceptables la probabilidad de que se sucedan las actividades potencialmente fraudulentas.

Por lo tanto, el objetivo de la matriz es que la puntuación del riesgo neto obtenida, tanto para cada riesgo como para cada uno de los indicadores de riesgo asociados a ellos, sirva como referencia a la entidad para prevenir en cada riesgo identificado el posible fraude o la comisión de irregularidades y, en tal caso, establecer un plan de acción para incrementar el número de controles o su intensidad.

2.1.7.1.1. CATÁLOGO DE RIESGOS.

Los riesgos de fraude y conflicto de interés identificados y que deberán ser analizados, se corresponden con aquellos recogidos en el Anexo X del Plan de Medidas Antifraude del Gobierno de Canarias, “Listado de Banderas Rojas Asociadas a la Concesión de Fondos del PRTR”.

2.1.7.1.2. METODOLOGÍA PARA LA EVALUACIÓN DEL RIESGO DE FRAUDE Y CONFLICTO DE INTERÉS.

A través de la tabla para la evaluación del riesgo de fraude y conflicto de interés, se obtendrá la valoración tanto del Riesgo Bruto como del Riesgo Neto de cada una de las amenazas identificadas previamente:

• Riesgo Bruto: el riesgo bruto es el nivel de riesgo resultante sin tener en cuenta el efecto de los controles existentes o previstos en el futuro. La cuantificación del riesgo consiste básicamente en una combinación de la estimación de la probabilidad del riesgo y del impacto del mismo.

• Riesgo Neto: el riesgo neto se refiere al nivel de riesgo tras tener en cuenta el efecto de los controles existentes y su eficacia (es decir, la situación en el momento de realizar la evaluación).

2.1.7.1.2.1. DETERMINACIÓN DEL RIESGO BRUTO.

La evaluación de los riesgos de fraude y conflicto de interés identificados se realizará partiendo de la determinación de la probabilidad y del impacto (Riesgo = Probabilidad x Impacto), entendiendo por aquellos:

• Probabilidad: posibilidad de que se materialice el riesgo.

• Impacto: efectos que se producirían en la organización en caso de materializarse el riesgo. El impacto se considerará desde los puntos de vista financiero y no financiero.

A los anteriores se ha asignado una ponderación equitativa, fijada por tanto en un 50%, de tal forma que la probabilidad y el impacto tienen el mismo peso en el resultado.

2.1.7.1.2.2. DETERMINACIÓN DEL RIESGO NETO.

Según lo expuesto, el riesgo neto se obtendrá tras la valoración de la eficacia de los controles existentes para la minoración de los riesgos, sobre el resultado obtenido para el riesgo bruto.

Dada la naturaleza de los riesgos analizados y en atención a los diferentes factores que intervienen de cara a la materialización de los riesgos de fraude y conflictos de interés, sería incorrecto interpretar que la existencia del control elimina en su totalidad la posibilidad de que el riesgo concurra.

A título informativo, la herramienta calcula de forma automática un coeficiente que indica el riesgo total neto y el riesgo total objetivo por cada método de gestión. Estos coeficientes únicamente pretenden dar una imagen resumida de la situación que presenta la entidad frente al riesgo (en caso de que se añadan o supriman filas en la carátula de cada método de gestión y hojas correspondientes a nuevos riesgos, deberá de verificarse que la fórmula queda actualizada).

2.1.7.1.2.3. OBLIGACIONES DERIVADAS DE LA EVALUACIÓN DEL RIESGO.

Por lo tanto, en función de la puntuación del riesgo neto obtenida, la entidad deberá incluir controles adicionales en el Plan de Acción, de acuerdo con las siguientes reglas:

- Si el riesgo neto total es bajo (aceptable), en principio, no será necesario incluir controles adicionales a los ya existentes, salvo que la entidad considere que es conveniente. No obstante, sería recomendable adoptar medidas para mejorar o rediseñar los controles existentes en el caso de aquellos indicadores de riesgo concretos que pudieran presentar un riesgo elevado.

- Si el riesgo neto total es medio (significativo), deben incluirse los controles y medidas adicionales que se prevé aplicar con indicación de la unidad/persona responsable y del plazo para su puesta en práctica. Se considera adecuado un periodo a medio o corto plazo, en función de la naturaleza de las medidas, debiéndose tratar, en todo caso, de un plazo inferior a un año.

- Si el riesgo neto total es alto (grave), deben incluirse los controles y medidas adicionales que se van a aplicar con indicación de la unidad/persona responsable y del plazo para su puesta en práctica. En caso de riesgo neto alto se deberá actuar de manera inmediata, por lo que el plazo límite para la aplicación de los controles y medidas previstos debe ser lo más reducido posible.

Si bien es la puntuación del riesgo total neto de cada riesgo (el promedio de sus indicadores de riesgo) la que determina, principalmente, las actuaciones a realizar, la matriz ofrece la puntuación de cada indicador de riesgo a efectos de orientar a la entidad sobre las necesidades de control o hacia dónde dirigir el plan de acción. Por tanto, debe tenerse en cuenta que los controles y medidas de mejora propuestos deben dirigirse a paliar los riesgos en aquellos indicadores concretos en que no existen controles o los controles existentes no resultan eficaces.

2.1.7.1.2.4. PERIODICIDAD Y MEJORA CONTINUA.

La revisión periódica de la evaluación deberá realizarse en base a las siguientes reglas:

- Si el riesgo neto total obtuvo una puntuación de nivel aceptable se realizará una re-evaluación periódica anual. Podría realizarse cada dos años si el nivel de los riesgos identificados es muy bajo y durante el año anterior no se informó de casos de fraude, corrupción, conflictos de interés o doble financiación.

- Si el riesgo neto total obtuvo una puntuación de significativo o de grave se realizará una revisión de la evaluación una vez transcurrido el plazo límite establecido para la implementación de los controles y medidas adicionales. En el caso de riesgo neto grave debe ser de forma inmediata, en el plazo más breve posible.

Asimismo, se deberá proceder inmediatamente a la revisión de las partes pertinentes de la autoevaluación si aparece cualquier nuevo caso de fraude o si se producen cambios significativos en el entorno de la entidad tales como modificaciones normativas, cambios de procedimiento, tecnología, personal, etc.

2.1.7.2. Autoevaluación.

Adicionalmente, a la evaluación periódica de los citados riesgos se efectuará una autoevaluación de sus controles en el marco del desempeño de la función de control de gestión, al menos, una vez cada año de vigencia del Plan de Recuperación y Resiliencia.

La referida autoevaluación se efectuará mediante la cumplimentación por parte de los órganos gestores del cuestionario establecido por la Orden ministerial HFP/1030/2021, de 29 de septiembre.”

Dos.- Se modifica el Anexo V, que queda redactado en los siguientes términos:

“ANEXO V.- TABLA PARA LA EVALUACIÓN DE LOS RIESGOS DE FRAUDE.

Ver anexo en la página 18952 del documento Descargar

Se recoge a continuación una Guía para completar la tabla para la evaluación de riesgos de fraude por parte de los órganos gestores.

Conforme a lo previsto en el artículo 6.4 de la Orden ministerial HFP/1030/2021, de 29 de septiembre, por la que se configura el sistema de gestión del Plan de Recuperación, Transformación y Resiliencia (la “Orden”), se establece como una actuación obligatoria para los órganos gestores la realización de una evaluación del riesgo, impacto y probabilidad de riesgo de fraude en los procesos clave de la ejecución del Plan de Recuperación, Transformación y Resiliencia y su revisión periódica, bienal o anual según el riesgo de fraude y, en todo caso, cuando se haya detectado algún caso de fraude o haya cambios significativos en los procedimientos o en el personal.

CONCEPTOS UTILIZADOS EN LA EVALUACIÓN:

Riesgo: contratiempo/evento adverso, junto con sus consecuencias negativas asociadas.

Impacto del riesgo: impacto o coste (tanto económico como de reputación, operativo o en otros términos) que tendría para la organización el hecho de que el riesgo llegara a materializarse. Debe de valorarse de 1 a 4 de acuerdo con los siguientes criterios:

Ver anexo en las páginas 18952-18953 del documento Descargar

Probabilidad de que el riesgo se materialice. Debe de valorarse de 1 a 4 de acuerdo a los siguientes criterios:

Ver anexo en la página 18953 del documento Descargar

Riesgo Bruto: nivel de riesgo de cada uno de los riesgos predefinidos en la herramienta y de los indicadores de riesgo asociados a ellos, calculado a partir del impacto y de la probabilidad definidos de forma inicial sin tener en cuenta el efecto de los controles existentes o previstos en el futuro.

Indicador de Riesgo: hecho que revela información cualitativa o cuantitativa formada por uno o varios datos basados en hechos, opiniones o medidas, constituyéndose en indicadores o señales de alarma de la posibilidad de que exista el riesgo.

Controles: controles diseñados e implantados para mitigar el riesgo de los indicadores de cada uno de los riesgos.

Riesgo Neto: nivel de riesgo de cada uno de los riesgos predefinidos en la herramienta y de los indicadores de riesgo asociados a ellos, calculado a partir del impacto y de la probabilidad de cada riesgo una vez valorada la existencia y la eficacia de los controles implementados en la entidad para cada uno de los indicadores.

Plan de acción: controles a implementar por la entidad para reducir el riesgo neto a unos niveles de riesgo objetivo aceptables.

Riesgo objetivo o residual: nivel de riesgo de cada uno de los riesgos predefinidos en la herramienta y de los indicadores asociados a ellos, calculado teniendo en cuenta el efecto de los controles previstos por la entidad para reducir el riesgo neto.

INSTRUCCIONES PARA CUMPLIMENTAR LA TABLA:

El evaluador del riesgo debe de rellenar únicamente las casillas en gris de la tabla.

Los textos de las celdas en blanco correspondientes a las denominaciones y descripciones de los riesgos, los indicadores de riesgo y los controles también pueden modificarse por el equipo de autoevaluación para adaptarlos a la realidad de su gestión.

Tal y como se ha indicado, tanto los riesgos predefinidos para cada uno de los métodos de gestión como los indicadores asociados a ellos son solo ejemplos y cada entidad debe de adaptarlos a la realidad de su gestión. En caso de que se añadan nuevos riesgos (hojas) o indicadores de riesgo (filas), debe revisarse que las fórmulas correspondientes a las columnas de riesgo bruto, riesgo neto y riesgo objetivo de las filas finalmente establecidas están correctamente definidas, tomándose como referencia las fórmulas iniciales de la hoja de trabajo.

Las celdas de “Resultado de la Autoevaluación” que aparecen en las carátulas de cada uno de los métodos de gestión se calculan directamente al estar vinculadas con los resultados de las pestañas donde se desarrolla cada uno de los riesgos, por lo que su formulación también deberá revisarse en caso de que se modifiquen las distintas hojas de trabajo.

Pestañas que se presentan como portada de cada uno de los métodos de gestión.

Se deberán contestar todas las preguntas, indicando en cada caso a quién afecta cada riesgo y si dicho riesgo es interno, externo o resultado de una colusión.

Pestañas de cada uno de los riesgos predefinidos dentro de cada método de gestión.

El equipo de evaluación deberá definir el IMPACTO del riesgo de cada uno de los indicadores en caso de que llegara a materializarse, seleccionando en el menú desplegable una puntuación entre 1 y 4 de acuerdo con los criterios ya explicados anteriormente.

El equipo de evaluación deberá definir la PROBABILIDAD de que el riesgo de cada uno de los indicadores llegue a materializarse, seleccionando en el menú desplegable una puntuación entre 1 y 4 de acuerdo con los criterios ya explicados anteriormente.

A partir de las valoraciones indicadas del impacto y la probabilidad del riesgo, la herramienta de evaluación de riesgo calculará automáticamente el resultado del Riesgo Bruto de cada una de los indicadores de riesgo y el coeficiente total del Riesgo Bruto de cada uno de los riesgos predefinidos (calculado como promedio de los riesgos brutos de los distintos indicadores de riesgo).

Para los distintos controles asociados a cada uno de los indicadores de riesgo que aparecen predefinidos, el equipo de evaluación deberá indicar si existe constancia de la implementación de estos controles (eligiendo entre “Sí” o “No” en el menú desplegable) e indicando el grado de confianza que le merece la eficacia de este control (eligiendo entre “Alto”, “Medio” o “Bajo” en el menú desplegable).

En caso de seleccionar “No” por no haber ningún control constatado, la casilla se marcará automáticamente en rojo por lo que, independientemente de la valoración final del riesgo, se recomienda tomar medidas encaminadas a implantar sistemas de control dirigidos a paliar el riesgo de ese indicador en concreto.

De la misma manera, en caso de seleccionar “Bajo” en el grado de confianza en la eficacia del control, la casilla se marcará automáticamente en rojo por lo que, independientemente de la valoración final del riesgo, se recomienda que se tomen medidas para mejorar estos controles.

Por último, si no hay evidencias de que el control se haya efectuado y en la casilla de implementación se ha seleccionado “No”, es obvio que este control no se podrá evaluar, dejándose la casilla de la eficacia del control sin rellenar.

Teniendo en cuenta la respuesta a las preguntas anteriores y los niveles de confianza, el equipo evaluador debe indicar el efecto combinado que estos controles tienen sobre el IMPACTO y la PROBABILIDAD del riesgo de cada uno de los indicadores de riesgo, indicando hasta qué punto considera se han reducido con los controles existentes (para ello deberá de elegir entre -1 y -4 en el menú desplegable).

Si en las casillas anteriores se hubiese seleccionado “No” o se considerara que el control existente tiene un nivel de confianza tan bajo que no produce ningún impacto, esta casilla debe dejarse sin rellenar.

A partir de las valoraciones efectuadas, la herramienta de evaluación de riesgo calculará automáticamente el resultado del RIESGO NETO de cada uno de los indicadores de riesgo y el coeficiente total del RIESGO NETO de cada uno de los riesgos predefinidos (calculado como promedio de los riesgos netos de los distintos indicadores de riesgo).

En el caso de que el riesgo neto deba reducirse o si no hay controles o el nivel de confianza es bajo, el equipo evaluador deberá indicar cuál va a ser su Plan de Acción (nuevos controles previstos, persona o unidad responsable y plazo de aplicación), de acuerdo con las reglas que se indican en el apartado Conclusión.

Teniendo en cuenta estos nuevos controles a implementar por la entidad, el equipo evaluador deberá indicar el efecto combinado que prevé que estos nuevos controles tendrán sobre el IMPACTO y la PROBABILIDAD de cada riesgo, indicando hasta qué punto considera que se han reducido con los controles a implementar (para ello deberá de elegir entre -1 y -4 en el menú desplegable).

A partir de las valoraciones efectuadas, la herramienta de evaluación de riesgo calculará automáticamente el resultado del RIESGO OBJETIVO de cada uno de los indicadores de riesgo y el coeficiente total del RIESGO OBJETIVO de cada uno de los riesgos predefinidos (calculado como promedio de los riesgos netos de los distintos indicadores de riesgo).

Resultados.

Tal y como se ha indicado, la matriz permite obtener los resultados del RIESGO BRUTO, RIESGO NETO y RIESGO OBJETIVO para cada uno de los indicadores de riesgo asociados a cada riesgo y para cada uno de los riesgos predefinidos en los diferentes métodos de gestión (coeficiente total).

Clasificación riesgo:

Ver anexo en la página 18955 del documento Descargar

Matriz de riesgos

Ver anexo en la página 18956 del documento Descargar

Segundo.- Refundir en un único texto el Plan de Medidas Antifraude, incorporando las modificaciones aprobadas en el apartado anterior, que se inserta como anexo al presente Acuerdo.

Tercero.- Ordenar la publicación del Acuerdo y el Plan actualizado en el Portal de Transparencia del Gobierno de Canarias y en el Boletín Oficial de Canarias.

Ver anexo en las páginas 18957-19052 del documento Descargar