I. El modelo de control interno local español
El modelo de control interno (1) en el ámbito local se ha mantenido, durante tres décadas, anclado en el marco conceptual establecido por la Ley General Presupuestaria de 4 de enero de 1977. (2) El vigente Real Decreto Legislativo 2/2004, de 5 de marzo, por el que se aprueba el Texto Refundido de la Ley Reguladora de las Haciendas Locales —TRLRHL—, mantuvo sustancialmente la regulación original del Título VI (Presupuesto y gasto público) establecido por la Ley 39/1988 de 28 de diciembre, reguladora de las Haciendas Locales de 1988 (LRHL). Si consideramos específicamente el Capítulo IV (Control y fiscalización) podemos concluir que el TRLRHL introdujo modificaciones puntuales de la función interventora, pero que no afectaban en absoluto las bases conceptuales del modelo.
La Ley 27/2013, de 27 de diciembre, de racionalización y sostenibilidad de la Administración Local (LRSAL) modificó puntualmente el Texto Refundido, aunque tampoco alteró sus bases conceptuales. (3)
El RCIESPL ha modernizado de un plumazo el modelo de control interno local, mimetizándolo sustancialmente con el del Estado. El RCIESPL es una copia, notablemente fiel, del Real Decreto 2188/1995, de 28 de diciembre, por el que se desarrolla el régimen del control interno ejercido por la Intervención General de la Administración del Estado. (4) Adicionalmente, se incorpora al ámbito local el acervo normativo técnico del ejercicio del control financiero elaborado por la IGAE (artículo 29.4 RCIESPL). Esta última opción del legislador es particularmente valiosa para evitar el anquilosamiento del modelo de control interno local, aunque, a mi juicio, tiene algunos problemas que trataremos posteriormente.
El RCIESPL ha modernizado de un plumazo el modelo de control interno local
Lo cierto es que esta modernización es relativa, en tanto el modelo que adopta es, en parte obsoleto. Quizás esta afirmación es excesiva, o, al menos, no es pertinente formularla sin algún desarrollo que la explique. Dejemos pues, de momento, la cuestión en que nuestro modelo está «desajustado» con el vigente en los países de nuestro entorno.
El modelo español (que, en puridad, es —o era, por lo que veremos a continuación— el modelo francés), era el establecido por la Comunidad Económica Europea desde su inicio. El modelo sufrió su particular prueba de esfuerzo cuando, a finales de los años 90 del siglo pasado, se extendieron las acusaciones de mala práctica financiera —e incluso corrupción— de la Comisión presidida por Jacques Santer. El 14 de enero de 1999 el Parlamento Europeo adoptó una resolución para la mejora de las prácticas financieras de la Comisión, solicitando la creación de una comisión de expertos independientes. Esta Comisión, constituida el 27 de enero, emitió su primer informe el 15 de marzo de 1999. Este primer informe, fundamentalmente de diagnóstico de la situación, criticaba los métodos de gestión financiera de la Comisión, concluyendo que existía una falta de control adecuado sobre la administración comunitaria. La rotundidad de las críticas determinó la dimisión de la Comisión ese mismo día.
El 10 de septiembre de 1999 el Comité de Expertos emitió su segundo informe, en el que se presentaban diversas propuestas para la mejora de la gestión del presupuesto comunitario, entre las cuales se encontraba la de un cambio sustancial del modelo de control interno. Fruto de este Informe es el Reglamento 1605/2002 del Consejo, de 25 de junio de 2002, por el que se aprueba el Reglamento financiero aplicable al presupuesto general de las Comunidades Europeas, que altera sustancialmente el modelo de control interno. Siguiendo la regulación del Reglamento Financiero vigente desde 2019 (Reglamento 2018/1046 de 18 de julio), podemos considerar sus aspectos sustanciales los siguientes:
- a) Un control interno desarrollado en todos los niveles de la organización (artículo 36).
- b) El auditor interno, al que corresponde (artículo 118):
- • Evaluar la adecuación y eficacia de los sistemas de gestión internos, así como los resultados obtenidos por los servicios en la ejecución de las políticas, programas y acciones en relación con los riesgos que entrañan.
- • Evaluar la eficacia y eficiencia de los sistemas de control interno y de auditoría aplicables a cada operación de ejecución presupuestaria.
A partir del modelo expuesto la Unión Europea desarrolló el modelo de Control Financiero Interno Público (o Public Internal Financial Control —PIFC—), establecido como estándar de control interno de la actividad económico-financiera pública para todos los países que accedieron en 2004 y los que eventualmente lo hagan en el futuro.
La Unión Europea desarrolló el modelo de Control Financiero Interno Público
Por otro lado, y casi al mismo tiempo Francia (cuyo modelo de control interno inspiró el modelo español) iniciaba un proceso de modificación sustancial de sus finanzas públicas. La Ley Orgánica relativa a las leyes financieras de 1 de agosto de 2001 pretende modificar sustancialmente la gestión financiera pública, permitiendo su evolución desde el modelo burocrático weberiano a un modelo alineado con el paradigma de la Nueva Gestión Pública. Con esta Ley, aplicada por primera vez al Presupuesto de 2006, se inicia un proceso de evolución todavía no finalizado. En lo que se refiere al control interno, el Consejo de Cuentas (Cour des Comptes) ha venido incluyendo entre las «reservas sustanciales» de sus certificaciones anuales de las cuentas del Estado la referida al control interno (o, más específicamente, a la ausencia del mismo).
En respuesta a estas «reservas sustanciales» la legislación francesa ha evolucionado hacia un modelo de control interno muy similar al establecido por la Unión Europea (y que, como veremos, se alinea con el estándar existente en el sector privado). El artículo 170 del Decreto 2012-1246 de 7 de noviembre de 2012 relativo a la gestión presupuestaria y la contabilidad pública impone que en cada ministerio se establezca un sistema de control presupuestario interno y otro de control contable interno, con objeto de controlar los riesgos asociados a la calidad de la información contable y la buena gestión financiera. Por su parte, el Decreto 2011-775 de 28 de junio relativo a la auditoría interna en la Administración implanta en cada ministerio un sistema de auditoría interna, que define como «(…) una actividad que se realiza de forma independiente y objetiva, lo que le da a cada ministro una seguridad sobre el grado de control de sus operaciones y le brinda consejos para mejorarlo. La auditoría interna asegura así que los sistemas de control interno sean eficaces» (artículo 1).
II. ¿Es obsoleto el modelo español de control interno local? Una explicación
En el epígrafe anterior hemos señalado que el modelo español de control interno local (cabría afirmar lo mismo del estatal, aunque seguiré el refrán que dice «zapatero, a tus zapatos» (5) ) está «desajustado». Se ha apuntado, igualmente, que el modelo es «obsoleto». Una afirmación que mantengo en lo sustancial, aunque merece ciertas puntualizaciones.
Si observamos las formas de ejercicio del control interno (artículo 3 RCIESPL) a la luz de los modelos implantados en los países de nuestro entorno, podemos concluir que el órgano interventor desarrolla dos grupos de actuaciones cuya naturaleza y funcionalidad en el modelo es sustancialmente diferente:
- a) La función interventora es, sustancialmente, una actividad de control (aunque posteriormente haremos referencia a esta cuestión, baste de momento señalar que las referidas actividades son «acciones establecidas a través de políticas y procedimientos que contribuyen a garantizar que se lleven a cabo las instrucciones de la dirección para mitigar los riesgos que incidan en la consecución de los objetivos» —COSO (2013:15)—). Se trata de un control previo de legalidad, predeterminado por el legislador y aplicable a todas las Entidades Locales.
- b) El control financiero se identifica (al menos parcialmente) con la auditoría interna. Debo reconocer que esta afirmación es, en la situación actual, excesivamente voluntarista, aunque de alguna manera, y en gran medida ese es el propósito de este trabajo, existen en nuestra legislación los mimbres necesarios para que el control financiero pueda identificarse (aunque no plenamente) con la auditoría interna tal y como es definida por el Instituto de Auditores Internos desde 1999: «Actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de una organización. Ayuda a una organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno».
Como veremos posteriormente, el control financiero, desde este punto de vista, no se asimilaría a una actividad de control sino a la supervisión del control interno con objeto de determinar su eficacia. (6)
La confluencia de las dos funciones conforma un modelo híbrido, cuyas inconsistencias le impiden funcionar como un sistema
La confluencia de las dos funciones conforma un modelo híbrido, cuyas inconsistencias le impiden funcionar como un sistema. Consideramos a continuación algunas cuestiones relevantes:
- A) En lo referido a la función interventora, sus principales problemas fueron expuestos en el Segundo Informe (1999). Sin ánimo de profundizar sobre las razones del desajuste de la función interventora en la Administración (que se reducen, en lo esencial, a que es un instrumento de control concebido para una Administración Pública conceptualmente diferente de la actual), los problemas fundamentales que genera en el ámbito local son, a mi juicio, los siguientes:
- • El principal es, sin duda, que descarga, en la práctica, al gestor de responsabilidad. En el Segundo Informe (1999:115) se señala (§ 4.6.2) que «(…) cualquier retención del control ex ante se tropieza con la objeción crucial de que, de facto, si no de iure, desplaza la responsabilidad de la regularidad financiera de la persona que gestiona efectivamente el gasto a la persona que lo aprueba (que lo fiscaliza). Este desplazamiento de la responsabilidad tiene como efecto que nadie es, en último extremo, responsable».
- • No es efectiva, en tanto la propia evolución administrativa ha requerido, para evitar el colapso de los órganos interventores, la restricción de la función interventora. Ello implica que ámbitos relativamente amplios de la actividad financiera pública estén exentas de fiscalización previa o esta sea limitada, circunscrita a la comprobación de aspectos puntuales del expediente.
- • Drena una parte sustancial de los recursos de los órganos interventores locales en una actuación de limitado valor añadido.
- B. En lo referido al control financiero, es preciso enfatizar la profunda evolución que este ha sufrido en los últimos años, fundamentalmente por la incorporación por parte de la IGAE de instrumentos y metodologías de evaluación alineadas con el modelo COSO ya a partir de las NASP y que ha culminado con la adopción de las NIAS-ES-SP. La utilización de estos «instrumentos discretos» de modernización, como los ha denominado algún autor, (7) pueden servir de palanca efectiva para la implantación de un modelo de control interno moderno.
Nuestra legislación vigente en materia financiera y presupuestaria no impone a los gestores la implantación de un modelo de control interno
Aunque debe reconocerse la capacidad modernizadora de estos elementos, no puede olvidarse que el control financiero, de alguna manera, funciona en el vacío. Nuestra legislación vigente en materia financiera y presupuestaria no impone a los gestores la implantación de un modelo de control interno. Como señala Miaja Fol (2019), es posible identificar aspectos de los componentes del control interno según el modelo COSO en la gestión financiera del Sector Público español, aunque esto no significa «(…) que su presencia tenga la intensidad necesaria para que podamos hablar de un sistema de control interno completo y eficaz». Y esto es debido, precisamente, a la inexistencia de una obligación legal específica. Siguiendo al citado autor, «(…) cuando la norma establece procedimientos o actividades concretas de control, toda la administración tiende a conducirse conforme a estas pautas. Pero cuando la norma se limita a establecer principios generales, suelen ser pocos los órganos de la Administración que desarrollan las políticas y procedimientos adecuados para llevarlos a cabo».
El problema, por lo tanto, es doble:
- • La ausencia, como hemos dicho, de un sistema integrado de control interno, impuesto normativamente al Sector Público.
- • La gestión económica pública se vincula casi exclusivamente al cumplimiento normativo en la utilización de los medios (legalidad del gasto y el ingreso) y no a los objetivos que con los mismos se pretenden conseguir.
III. Un modelo «moderno» de control interno
Hemos señalado en el apartado anterior que el principal problema para la implantación de un modelo «moderno» de control interno es, precisamente, la falta de un esfuerzo normativo sistemático. La legislación de los últimos años en materia de gestión económico-financiera pública ha sido pródiga en la incorporación de principios vinculados a la buena gestión financiera y ha incorporado mandatos orientados a una gestión pública más eficiente, pero no ha alterado en lo sustancial los cimientos culturales de la gestión de las Administraciones Públicas españolas. En lo que se refiere al control interno local, el RCIESPL ha destapado ámbitos de actuación relativamente dormidos (el control financiero), ha incorporado nuevas exigencias (control interno eficaz, planificación a largo plazo), un marco conceptual (basado en el riesgo) e incluso un nuevo modelo de relación con los órganos gestores (a través del informe resumen y el plan de acción). Este nuevo escenario incorpora amenazas: los Interventores tenemos un nuevo idioma, el del riesgo, que los órganos gestores no conocen porque, por así decirlo, no están normativamente obligados a ello; pero también el comentado nuevo modelo de relación implica una oportunidad de diseminar los principios e instrumentos vinculados a la nueva gestión pública en nuestras organizaciones.
En esta parte final del trabajo pretendo abordar dos cuestiones:
- a) Describir un modelo de control interno moderno, como objetivo final de un proceso de evolución a largo plazo, cuestión que abordaré en este epígrafe.
- b) Plantear una metodología realista para iniciar el camino para lograr la implantación de ese modelo.
Conviene, antes de describir el modelo de control interno, realizar unas precisiones terminológicas previas. La terminología, en este caso, es crucial, porque la definición de «control» en español no coincide con el sentido con el que es usado en los países anglosajones. La experiencia francesa es, en este sentido, muy interesante (la palabra «control» deriva del francés «contrôle»). En francés, como en español, la palabra control se define como «comprobación, inspección, fiscalización, intervención», mientras que en inglés control se define como «ejercer influencia sobre la consecución de un objetivo». De este modo, el control interno no es una comprobación o una inspección, sino «un proceso integrado y global de gestión de las actividades —Sandrin y Guarnieri (2012)—. En cuanto a tal no es un control en el sentido estricto francés (o español) del término, aunque puede incluir controles» —Direction Générale de la Comptabilité Publique (2005)—.
El control interno es un sistema de gestión de riesgos integral
De este modo, según Cohen (2010), «el Control Interno es, por lo tanto, todos los medios, de cualquier naturaleza, implementados por un gerente para lograr sus objetivos».
Solventada la cuestión terminológica, debemos realizar algunas consideraciones conceptuales. La primera, y fundamental, es que el control interno (cualquiera que sea el marco conceptual que se utilice, COSO es actualmente el más utilizado, aunque existen otros, desarrollados con propósitos específicos, COBIT para el control de las TI, o con alcance nacional CADBURY, en Gran Bretaña) es un sistema de gestión de riesgos integral. (8)
Esta cuestión es relevante porque la introducción formal de este control interno «moderno» en la Administración Local se está produciendo de una manera parcial, vinculado en gran medida a la información financiera (NIA-ES-SP 1200 y, especialmente, NIA-ES-SP 1315) y con un enfoque propio de un auditor externo.
En segundo lugar, un sistema de control interno requiere de unos objetivos que vienen dados externamente (bien por la legislación —vinculados a la información financiera o de cumplimiento— o por los órganos de gobierno de la entidad —operativos—). COSO expresa esta relación en los siguientes términos: «la dirección, bajo la supervisión del consejo de administración, establece objetivos a nivel de organización que se alinean con la misión, visión y estrategias de la organización. Estos objetivos de alto nivel reflejan las opciones elegidas por la dirección y el consejo de administración con respecto a la manera en que la organización trata de crear, conservar y materializar el valor para sus grupos de interés» COSO (2013:7).
Como veremos a continuación, la función más relevante del auditor interno (del órgano interventor) en el modelo es la verificación del mismo —determinar si está correctamente concebido—. Una cuestión importante es la de si esta función de verificación debe limitarse a considerar los objetivos (especialmente los operativos) como dados, o debe incluir la evaluación de los mismos (o, al menos, de las metodologías mediante las que se ha llegado a los mismos).
La legislación española impone al órgano interventor local la verificación del cumplimiento de los principios de buena gestión financiera lo que obliga a ampliar el ámbito de análisis, en tanto el concepto impone el cumplimiento de los principios que lo conforman tanto en la adopción de políticas públicas como en su desarrollo (ámbito en el que se ubicaría el control interno). Este planteamiento tiene un problema y es que, mientras la verificación de la fortaleza del control interno es un ámbito relativamente controlable para el órgano interventor, la evaluación de la racionalidad de los objetivos (fundamentalmente de los operativos) es una función de gran complejidad, por dos motivos fundamentales:
- a) Por un lado, porque mientras los instrumentos y metodologías para la implantación del control interno pueden ser complejos, pero conforman un ámbito relativamente cerrado (y por lo tanto controlable), la evaluación de políticas públicas es un ámbito multidisciplinar y difícilmente controlable por los órganos interventores. Cabe señalar que la función de control interno tal y como se encuentra regulada en nuestro derecho no requeriría tanto una evaluación de la política en si —lo que en algún caso podría llegar a implicar un juicio de oportunidad, vedado al órgano interventor— como de la regularidad de las metodologías utilizadas para definirla y de los indicadores elaborados para determinar su eficacia.
- b) Pero aun limitando el campo de actuación del interventor en los términos señalados en el apartado anterior, nos encontramos con el problema adicional de la ausencia casi total de tradición evaluadora de nuestro sector público, lo que determina la escasez de referentes metodológicos. (9)
Realizadas las puntualizaciones terminológicas y conceptuales precedentes, intentaremos a continuación definir un modelo de control interno que, como hemos indicado, puede plantearse como un ideal a largo plazo de transformación de la gestión pública.
El marco conceptual de control interno más extendido en la actualidad es el modelo COSO
Como hemos adelantado, el marco conceptual de control interno más extendido en la actualidad es el modelo COSO, cuya versión vigente (2013) (10) exponemos brevemente a continuación —para una consideración más amplia del modelo, Miaja Fol (2019)—.
El control interno se define como «un proceso llevado a cabo por el consejo de administración, la dirección y el resto del personal de una organización, diseñado con el objeto de proporcionar un grado de aseguramiento razonable para la consecución de los objetivos relativos a las operaciones, a la información y al cumplimiento».
El control interno tiene como finalidad asegurar razonablemente el cumplimiento de los objetivos de la organización, que el modelo clasifica en tres categorías: operacionales (incluida la protección de los activos), de información (relativos al suministro de información financiera y no financiera, tanto interna como externa) y de cumplimiento (de las leyes y otras regulaciones que le sean aplicables a la organización). Debe tenerse en cuenta que ciertos objetivos pueden ser transversales, esto es, pueden incardinarse en dos o tres de las categorías enunciadas.
El modelo se conforma a partir de cinco componentes, que para garantizar la eficacia de aquel deben funcionar integrada e iterativamente. El contenido de cada componente se conforma a partir de varios principios que definen su funcionalidad en el modelo. Los componentes son los siguientes:
- a) Entorno de control. Se define como el conjunto de normas, procesos y estructuras que constituyen la base sobre la que se desarrolla el control interno. Conforma lo que se denomina el «tone at the top», el ambiente de control que se difunde desde los órganos de gobierno al resto de la organización. Incluye principios como el compromiso con la integridad y los valores éticos, la selección y formación del personal o la definición de responsabilidades.
- b) Evaluación de riesgos. El riesgo se define como la posibilidad de que un evento ocurra y afecte negativamente a la consecución de los objetivos. (11)
- c) Actividades de control. Se definen como tales las acciones establecidas a través de políticas y procedimientos que contribuyen a garantizar que se lleven a cabo las instrucciones de la dirección para mitigar los riesgos que incidan en el cumplimiento de los objetivos.
- d) Información y comunicación. Se define la comunicación como un proceso (proceso continuo e iterativo para obtener, proporcionar y compartir la información). La información debe ser relevante y de calidad para apoyar el funcionamiento del control interno.
- e) Actividades de supervisión. La evaluación continua, las evaluaciones independientes o una combinación de ambas se utilizan para determinar si cada uno de los cinco componentes del control interno señalados anteriormente están presentes y funcionan adecuadamente.
COSO (2013) establece un marco conceptual (un modelo, si se prefiere) de control interno, pero no define como debe estructurarse en la organización.
Para ofrecer unas pautas organizativas para la implantación efectiva del control interno recurriremos al denominado «modelo de las tres líneas». (12) Las tres líneas es un modelo de gestión de riesgos, que en su versión actual abandona el concepto inicial de «defensa» para centrarse en la creación de valor. Su conformación se describe en la Fig. 1.
Fig. 1. Modelo de las tres líneas.
Mostrar/Ocultar 
Fuente: Instituto de Auditores Internos (2020) y elaboración propia.
El modelo se fundamenta en seis principios (que definen las funciones y responsabilidades de los roles) y tres roles (las «tres líneas»). Estos roles son:
- a) Primera línea: La dirección (propietaria de los procesos y de los riesgos asociados a los mismos) tiene la responsabilidad fundamental de gestionar los riesgos vinculados a las operaciones. Es, además, responsable de diseñar y poner en práctica los controles.
- b) Segunda línea:
- • Facilita y supervisa la implementación de prácticas efectivas de gestión del riesgo, asistiendo a la dirección en la definición, evaluación y comunicación de riesgos.
- • Supervisa el cumplimiento de las regulaciones aplicables (compliance). A este rol se adscriben las funciones vinculadas a prevención de riesgos laborales, sostenibilidad, calidad y compliance.
- c) Tercera línea: La tercera línea ofrece un aseguramiento independiente y objetivo sobre la efectividad del modelo de gestión de riesgos y de control interno.
Es importante puntualizar:
- • El modelo de las tres líneas no establece una estructura organizativa determinada. Las tres líneas son en realidad roles, que en función de las capacidades de la organización pueden compartirse entre la primera y segunda línea o incluso, en el caso de la segunda línea, externalizarse. La tercera línea (la auditoría interna) en todos los casos debe ser independiente de la dirección. En las organizaciones públicas locales el equivalente sería el órgano interventor (al menos en lo que se refiere al ámbito económico financiero, aunque podría ampliarse con objeto de alinear sus funciones a las del auditor interno en el ámbito privado —ex. artículo 6.3 RD 128/2018—).
- • Las líneas mantienen abiertos permanentemente canales de comunicación y de colaboración. Esto es especialmente necesario en el rol de la auditoría interna. Como se señala en Instituto de Auditores Internos (2020), «la independencia de la auditoría interna de la administración garantiza que esté libre de obstáculos y sesgos en su planificación y en la realización de su trabajo (…). Sin embargo, la independencia no implica aislamiento. Debe haber una interacción regular entre la auditoría interna y la administración para garantizar que el trabajo de auditoría interna sea relevante y esté alineado con las necesidades estratégicas y operativas de la organización».
La articulación de los roles en el modelo de las tres líneas con COSO (2013) es relativamente intuitivo —Anderson y Eubank (2015)—. Se presenta en la Fig. 2.
Fig.2. Articulación de COSO y el modelo de las tres líneas. Elaboración propia
Mostrar/Ocultar
Como puede observarse, los órganos de gobierno (que no es un elemento estructural del modelo de las tres líneas porque le corresponde configurarlo de acuerdo con la naturaleza de la organización) establecen los fundamentos del modelo. Establecen los objetivos de la organización, definen las estrategias de alto nivel y configuran la estructura de gobernanza para la gestión de los riesgos. Atribuyen los roles de acuerdo con las características propias de la organización (y en el Sector Público, adicionalmente, con arreglo a las leyes).
La primera línea es la auténtica protagonista del modelo de control interno. Tiene un papel relevante en todos los elementos de COSO, excepto el entorno de control.
La segunda línea se ocupa (aunque no exclusivamente) del elemento «actividades de supervisión». Como hemos señalado, esta línea asiste a la dirección en el diseño y desarrollo de procesos y controles para la gestión del riesgo, supervisa las actividades de control e identifica y supervisa los factores que cambian la estructura o la naturaleza de los riesgos que afronta la organización.
La tercera línea, por último, no se integra en el modelo, sino que lo evalúa, para ofrecer a los órganos de gobierno una visión independiente y profesional de la calidad del modelo y del grado de implementación del mismo.
IV. Por dónde empezar. Una propuesta
Una conclusión fundamental de la exposición realizada en el apartado anterior es que el control interno no es responsabilidad del órgano interventor, como señala el artículo 3.1 RCIESPL. Bajo el marco conceptual de COSO el órgano interventor tiene dos funciones fundamentales: la responsabilidad de un control (la función interventora) y el desarrollo de la evaluación del sistema para determinar sus debilidades y deficiencias, con objeto de que sean corregidas y, en su caso proponer mejoras en la gestión.
La responsabilidad de que las deficiencias señaladas sean corregidas (o que las mejoras sugeridas sean implantadas) corresponde específicamente al plan de acción (artículo 38 RCIESPL).
La relación entre el informe resumen y el plan de acción convierte al órgano interventor en el protagonista destacado del proceso de implantación del modelo de control interno
La relación entre el informe resumen y el plan de acción convierte al órgano interventor en el protagonista destacado del proceso de implantación del modelo de control interno. En un territorio inexplorado en la Administración Local, como es el del control interno según el modelo COSO, el enfoque que adopte el órgano interventor en el desarrollo de sus funciones (esencialmente del control financiero) determinará el éxito de la organización en la implantación del modelo.
Por lo tanto, la primera recomendación que cabe realizar es que el órgano interventor elabore un plan (estratégico) de implantación del modelo. Puesto que el artículo 4.3 RCIESPL vincula la existencia de un control interno «eficaz» al control de la totalidad del presupuesto consolidado de la Entidad en un período de tres años, parece razonable que este sea el horizonte estratégico del plan. Es, en mi opinión, recomendable, que el plan sea debatido con los órganos de gobierno de la Entidad.
La experiencia en la implantación del modelo en el sector privado pone de manifiesto múltiples problemas, derivados, fundamentalmente, de la necesidad de replantear no sólo los procesos, sino la cultura de control existente.
En general, es recomendable abordar la implantación mediante un proyecto piloto —Graham (2008) —, que permita desarrollar la implantación de los elementos del modelo en un entorno (al menos mínimamente) colaborativo. Se presentan a continuación algunos consejos prácticos para elegir el alcance del proyecto:
- a) Utilizar un enfoque de procesos. La vinculación entre COSO y la información financiera (13) ha motivado que muchos proyectos de implantación se hayan enfocado en función de las rubricas de las cuentas anuales (inmovilizado material, existencias, gastos de personal, etc.). En algunos casos la implantación del modelo se ha intentado sobre la estructura organizativa existente (áreas, servicios). Ambos enfoques tienen un problema fundamental, y es que tienden al tratamiento del modelo COSO en silos (que es, precisamente, lo contrario de la pretensión global del modelo). Por otro lado, el concepto de proceso tiene indudables semejanzas con el de procedimiento en el ámbito administrativo, lo que facilita su tratamiento.
No obstante, es importante que esa semejanza no concluya en la identificación de los dos conceptos. Un proceso es un conjunto de actividades relacionadas, iniciado en respuesta a un acontecimiento desencadenante, que logra un resultado específico para una parte interesada —Damelio (2011)—. La identificación de procesos requiere considerar tanto las particularidades de las organizaciones públicas en general, como las de la organización en la que estemos en particular.
En cualquier caso, el proyecto debe centrarse en uno o varios procesos relevantes. Para la determinación de la relevancia, ahora sí, puede ser interesante referirse a la entidad del procedimiento en términos presupuestarios, o tener en cuenta los reparos u observaciones que se han producido en ejercicios anteriores en relación con resoluciones vinculadas a ese proceso. Es importante, no obstante, mantener la perspectiva de las tres categorías de objetivos cuyo cumplimiento pretende asegurar el modelo (información financiera, cumplimiento, operativos) y elegir el o los procesos en función de una consideración equilibrada de los riesgos potenciales.
- b) Una posibilidad interesante es centrar el proyecto en una sociedad pública (o entidad pública empresarial) del sector público local. Uno de los obstáculos más relevantes en la evolución a un modelo de control interno como COSO es, como hemos señalado anteriormente, la traslación de responsabilidad que se produce del gestor al interventor, lo que sin duda provoca un elevado nivel de rechazo a un modelo que explicita que la responsabilidad fundamental del control interno corresponde al gestor. Esto no ocurre en el sector público empresarial.
Una ventaja importante de esta opción es la posibilidad de implantar el modelo de forma integral (incluyendo los principios vinculados al entorno de control, que en mi opinión son los más complejos de desarrollar). Otra ventaja relevante es la posibilidad de desarrollar «casos de éxito» que marquen la pauta de la implantación en el sector público administrativo.
No es objeto de este trabajo considerar en profundidad una metodología para la implantación de COSO. Sin embargo, conviene tener en cuenta, en la implantación del modelo señalado, algunos retos relevantes:
1. Entorno de control
El «tone at the top» se articula en la práctica en dos ámbitos fundamentales:
- a) El desarrollo de la estructura de la organización. En este punto es especialmente relevante definir los niveles de autoridad y las responsabilidades —una cuestión que, en la Administración Local, a mi juicio, no se suele enfocar adecuadamente—. También es relevante configurar los flujos de información y la política general en materia de TI.
- b) El desarrollo de las normas de conducta (código ético). La normativa existente en nuestro país está todavía poco desarrollada y, en general, no se ha concretado en el desarrollo de códigos éticos o códigos de conducta particulares para cada Entidad. Un adecuado entorno de control exige la existencia de un programa ético, que incluye tanto la aprobación de códigos éticos específicos de cada organización, la comunicación de los mismos a la organización y su efectiva implantación mediante un sistema de sanciones y recompensas.
2. Evaluación de riesgos
Se ha señalado anteriormente que la evaluación de riesgos es un elemento fundamental del modelo COSO. Algunas cuestiones que deben tenerse en cuenta son:
- • Antes de abordar una evaluación de riesgos, es preciso que todos los implicados (que incluye, como hemos visto, a todo el personal) manejen una terminología común y, sobre todo útil. La adopción de listas prefabricadas de riesgos, por ejemplo, es totalmente desaconsejable, aunque estas listas en el ámbito de la información financiera o del cumplimiento normativo puedan ser puntos de referencia interesantes para el análisis. Sin embargo, estas listas suelen centrarse en el riesgo en sí y no en lo que la ISO 31000:2018 denomina «fuentes de riesgo». Aunque el riesgo (consecuencia) sea estándar, las causas pueden no serlo, y esto influye determinantemente sobre la elaboración de controles.
-
La evaluación de riesgos es un elemento fundamental del modelo COSO
- • La evaluación de riesgos es un proceso desarrollado por toda la organización. Cuando este proceso se intenta pilotar desde la Intervención suelen ocurrir tres cosas: que los gestores se limitan a responder al análisis realizado (ajustando los eventuales incumplimientos que se manifiestan en la evaluación del interventor —algo similar a lo que ocurre con la fiscalización e intervención limitada previa de requisitos básicos—), que la gestión de riesgos se convierte en un proceso mecánico (poner marcas en un formulario) y que muchos riesgos —o muchas fuentes de riesgo— quedan ocultas.
La implicación de toda la organización en el proceso de evaluación no solo ayuda a definir mejor los riesgos y las fuentes de riesgo, sino que también desarrolla lo que LEITCH denomina una «generación dinámica» de controles. Como señala este autor, pensar en riesgos es pensar en controles, y esta dinámica es lo que denomina un «control que genera controles».
- • Es conveniente enfocar el riesgo de forma global. Tanto si nuestro proyecto piloto es uno o varios procesos de una Entidad, como si es la Entidad en su conjunto, el análisis de riesgos debe incluir los riesgos vinculados a todos los objetivos del modelo. Este enfoque es complejo (por lo general los riesgos sobre la información y el cumplimiento son riesgos más familiares o están más estandarizados) pero tiene dos efectos fundamentales: se interioriza la necesidad de atender al objetivo operativo y se evita la gestión de riesgos en silos. Vinculado a este último problema es importante considerar los riesgos trasversales, que se vinculan a varios procesos o a varias Entidades y deben ser tratados desde esa perspectiva.
- • Aunque existen metodologías de evaluación tanto cualitativas como cuantitativas, las primeras suelen ser utilizadas para la evaluación de riesgos vinculados a la información y al cumplimiento, mientras las segundas se vinculan a los objetivos operativos. La modelización cuantitativa de riesgos permite considerar objetivamente las variables y los efectos de su evolución sobre el objetivo. Adicionalmente evita el efecto «silo» (las interrelaciones entre las variables se modelizan) y enfoca el riesgo, de manera más eficiente para su gestión, como incertidumbre —ausencia de conocimiento— que como un elemento existente en la realidad.
- • La evaluación de riesgos es un proceso continuo. Las evaluaciones deben ser revisadas al menos anualmente y siempre que se produzcan acontecimientos (aprobación de legislación, ejercicio de nuevas competencias) que alteren la estructura de riesgos de la organización.
- • En el análisis es necesario incorporar los riesgos derivados de actividades relevantes externalizadas por la Entidad (concesionarios, ciertos proveedores).
- • Deben considerarse de forma especial dos categorías específicas de riesgos:
- 1. Riesgo de fraude. Este es un riesgo transversal, que debe ser considerado en relación con los tres objetivos del modelo. Los estudios muestran que la forma más eficaz de limitar este riesgo es la implantación de controles preventivos.
- 2. Riesgo vinculados a las TI. Aunque puede afirmarse que las Administraciones Locales se encuentran todavía lejos de una auténtica transformación digital, las TI tienen una presencia cada vez más central en su actividad y general riesgos que suelen no ser identificados adecuadamente.
3. Actividades de control
El diseño de actividades de control requiere un conocimiento del proceso, para lo que recomendable su mapeo. En este sentido la utilización del proceso como base permite la utilización de metodologías BPM (Business process management) para detectar ineficiencias y, en su caso, rediseñarlo. Incidentalmente cabe señalar que la experiencia pone de manifiesto como la transformación digital (o, al menos, la implantación de la administración electrónica) en las Entidades Locales se ha desarrollado sin tener en cuenta consideraciones vinculadas al control interno y dejando de lado el BPM, lo que en muchos casos ha limitado estos proyectos a la implantación de un repositorio documental con la posibilidad añadida de que cada usuario genere tareas de forma discrecional.
El diseño de actividades de control requiere un conocimiento del proceso, para lo que es recomendable su mapeo
El desarrollo de controles presupone la formulación de políticas (declaraciones de alto nivel desarrolladas por los órganos de gobierno vinculadas al control interno) y procedimientos (medidas de desarrollo de la política).
Hemos señalado antes que el diseño de actividades de control (de controles) debe ser específico para cada entidad, y vinculado estrechamente con el análisis de riesgos realizado. La participación del propietario del proceso (o del riesgo) es crucial, para evitar controles estereotipados y sin capacidad efectiva de disminuir el riesgo.
En este elemento es crítica la documentación. Políticas, procedimientos y controles deben ser documentados. La documentación:
- • Permite a los trabajadores que se incorporan a la organización entender como funcionan las cosas, la relación de su puesto de trabajo con otros de la organización y sus responsabilidades. Evita la existencia de nichos de conocimiento, trabajadores que se erigen en únicos poseedores de un determinado conocimiento más o menos crítico para la organización.
- • Permite a la dirección la supervisión del modelo (comparando las previsiones documentadas con la realidad).
Dentro de las actividades de control tiene especial relevancia la segregación de tareas. La adecuada implementación de este control limita las posibilidades de fraude o error. Una adecuada segregación de tareas requiere su diseño sobre roles y diseminar las funciones críticas de forma que se limiten las posibilidades de colusión.
4. Información y comunicación
Una de las características del modelo de gestión pública actual (como hemos visto, vinculado en exclusiva al cumplimiento normativo y focalizado en los medios) es la escasa atención que se presta a la masa de datos con los que la Administración entra en contacto en el desarrollo de su actividad. La Administración es ineficiente captando y almacenando datos, y esto tiene efectos relevantes sobre la capacidad de generar información adecuada.
El funcionamiento del modelo de control interno requiere de información adecuada para funcionar adecuadamente y, sobre todo, para retroalimentar su mejora continua.
El funcionamiento del modelo de control interno requiere de información adecuada para funcionar adecuadamente
Personalmente, creo que la implantación de un modelo de información para el control interno no puede desarrollarse de forma aislada. Es recomendable, en este sentido, abordar un proyecto global para evolucionar hacia una organización data-driven. Esta evolución, que a mi modo de ver se inserta en la transformación digital, requiere, sobre todo, un cambio cultural sustancial (evidentemente el soporte físico —software— es relevante, pero no, como suele ser habitual en este tipo de proyectos, lo único necesario). Conseguida la evolución hacia este modelo, la generación y diseminación de la información relevante para el control interno se integrará sin dificultad en el sistema. La elaboración de un modelo ad hoc de información tiene, a mi juicio, dos problemas fundamentales:
- • Supone trabajo adicional, lo que puede conllevar rechazo por quienes deban elaborar y comunicar la información, afectando a la eficacia y calidad de la misma.
- • Los sistemas ad hoc suelen deteriorarse con facilidad, por falta de una atención adecuada para su mantenimiento.
5. Actividades de supervisión
Las actividades de supervisión constituyen el elemento fundamental para garantizar que el modelo de control interno funcione y evolucione a medida que las circunstancias lo exijan. En este sentido podemos considerar dos tipos de actividades de supervisión:
V. Conclusión
El modelo de control interno existente en la Administración Local adolecía de una doble obsolescencia: la propia del modelo aplicado por el Sector Público español —que puede considerarse único en Europa tras su abandono tanto por la Unión Europea como por Francia, su inspirador— y la derivada de la falta de adecuación de las disposiciones del TRLRHL a la evolución experimentada por el modelo estatal.
La aprobación del RCIESPL no solo solventa la primera de las causas de obsolescencia apuntadas, sino que permite, por la incorporación al ámbito local del acervo regulatorio emanado de la Intervención General de la Administración del Estado, que el modelo se mantenga al día y evolucione en paralelo al modelo estatal.
Aunque el legislador no se ha decidido todavía a hacer evolucionar el modelo de forma sistemática, abandonando el modelo de control de legalidad previo y desarrollando modelo alineado con el del resto de países europeos, la progresiva incorporación por la IGAE de elementos de estos modelos abre una ventana de oportunidad para la modernización del control interno local y, sobre todo, para reconvertir al órgano interventor en un elemento relevante de mejora de la gestión pública.
La adopción de las NIAS-ES-SP, aunque pueda ser criticable, instaura de facto el modelo COSO como referencia del control interno, que cambia, además, su definición, de la tradicional como función que desarrolla el Interventor a la más ajustada a la Nueva Gestión Pública como proceso desarrollado por la organización. Tanto el Tribunal de Cuentas como los OCEX, por la adopción de las ISSAI, utilizan también el modelo citado para evaluar la calidad del control interno de las Entidades públicas fiscalizadas.
El reto que los órganos interventores enfrentan es el de ser prescriptores
El reto que los órganos interventores enfrentan es, por lo tanto, el de ser prescriptores de este nuevo modelo.
La incorporación efectiva del modelo COSO exige una planificación a largo plazo. Para iniciar la implantación, y enfrentar los innumerables problemas que lleva aparejada, es recomendable desarrollar un proyecto piloto, que permita a la organización experimentar con las metodologías asociadas y adecuarlas a sus circunstancias específicas.
VI. Referencias
• Anderson, D. y Eubank, G. Leveraging COSO across the three lines of defense. IIA-COSO 2015.
• Bezes, P. (2005). Capítulo 2 : «Rationalisation salariale dans l’administration française: Un instrument indiscret». En: Pierre Lascoumes ed.,Gouverner par les instruments (pp. 71-122). Paris: Presses de Sciences Po.
• Boullanger, H. (2013). «L’audit interne dans le secteur public». Revue française d’administration publique, 148(4), 1029-1041. https://doi.org/10.3917/rfap.148.1029
• Cohen, A., «Une nouvelle façon de gérer l’Etat et l’Administration: contrôle interne et audit publics», Politiques et management public (En línea), Vol 27/2|2010. Recuperado de http://journals.openedition.org/pmp/2271.
• Committee of Independent Experts (1999). Second report on the reform of the Commission. Analysis of current practice and proposals for tackling mismanagement, irregularities and fraud. 10 de septiembre de 1999.
• COSO (2013). Control Interno-Marco Integrado.
• Damelio, R. The basics of process mapping. 2ª Ed. CRC Press, 2011.
• Direction Générale de la Comptabilité Publique. «Lexique du contrôle interne comptable». septiembre 2005.
• Graham, L. (2008) Internal controls. Guidance for private, government and nonprofit entities. Wiley, 2008.
• Graham, L. (2015) Internal control audit and compliance. Wiley, 2015.
• Institute of Internal Auditors (2020). The IIA´s three lines model. An update of the three lines of defense.
• Leitch, M. Intelligent internal control and risk management. Gower 2008.
• Miaja Fol, M. (2010). «Las tendencias actuales en los sistemas de control interno de las organizaciones. Implicaciones para las Administraciones Públicas». Documentación Administrativa 286-287, enero-agosto 2010, 207-238.
• Miaja Fol, M. (2019). «Presente y futuro del control interno en las Administraciones Públicas». Auditoría Pública, 74 (2019), 85-98.
• Moeller, R.R. Brink´s modern internal auditing. Wiley, 2016.
• Racz N., Weippl E., Seufert A. (2010) «A Frame of Reference for Research of Integrated Governance, Risk and Compliance (GRC)». En: De Decker B., Schaumüller-Bichl I. (eds) Communications and Multimedia Security. CMS 2010. Lecture Notes in Computer Science, vol. 6109. Springer, Berlin, Heidelberg. https://doi.org/10.1007/978-3-642-13241-4_11.
• Sandrin, G. y Guarnieri, F. (2012) «Setting up internal control in French state administration: deficiencies and prospects for a performance instrument». 33rd Annual Conference of the European Group for Public Administration of IIAS, Sep 2012, Bucarest, Rumania.
• UNE-ISO 31000:2018. Gestión del riesgo. Directrices. AENOR.