«El control interno, marco integrado COSO» surgió para modificar la idea de control interno y la forma de abordarlo, abriendo paso a un nuevo marco conceptual y de desarrollo del mismo en las organizaciones. Se hablaba ya de risck management y de prevención del fraude. Recuerdo que la primera vez que oí hablar de risck management en las obras públicas fue en Copenhage en el año 2005 en la Conferencia «Risks facing. Públic Organitzacions. Now and the future» organizada por la Union des Dirigeants Territoriaux de l’Europe (UDITE), organización de la que forma parte COSITAL (www.udite.eu) y la compañia MARSH y donde importantes aportaciones de la International City Manager Association norteamericana (ICMA) nos enseñaban otra manera de entender el control interno en las organizaciones locales.  

Para situarnos, recordemos que en España la legislación penal –también la mercantil-  aún con retraso acometen reformas importantes, entre ellas la introducida en el año 2015 en el Código Penal que articula la responsabilidad penal de las personas jurídicas, y en la que se exigen los programas de Compliace –prevención y cumplimiento- como elementos que permiten mitigar esta responsabilidad y cuyo origen está, precisamente, en COSO. Aquí, la reforma penal, como la legislación sobre transparencia, llega tarde y con deficiencias. Ha ocurrido lo mismo con la conocida como Ley de alertadores.

Vayamos directo. COSO nos dice que: «Es responsabilidad de la administración y de los directivos desarrollar un sistema que garantice el cumplimiento de los objetivos de la empresa y se convierta en una parte esencial de la cultura organizacional».

El control interno se define así no como un simple haz de competencias y atribuciones –esas que nos suelen llevar a la pregunta «¿que ha fallado?»-sino como un proceso integrado y dinámico llevado a cabo por la administración, la dirección y el personal de la entidad, diseñado con el propósito de proporcionar un grado de seguridad razonable en cuanto a la consecución de los objetivos relacionados con las operaciones, la información y el cumplimiento.

Estamos pues ante una función inherente a la administración. A toda la administración. Retengamos esto. Aquí esta integrado el funcionamiento organizacional y la dirección institucional. El control interno es pues mucho más que una función que se atribuye a un área sectorial o concreta de la organización. No está sólo en «la séptima planta del edificio» -para que me entiendan-; de manera que el sistema de control interno debe orientarse a promover todas las condiciones necesarias para que la organización –toda la organización, insistimos– se oriente a lograr los resultados fijados de acuerdo con una planificación adecuada.

Han sido muchos los países que, influenciados por COSO, han acometido reformas importantes. Aquí hasta ahora y a pesar del posicionamiento del  Instituto de Auditores Internos de España (IAIE) en favor de las recomendaciones de COSO (III) no podemos decir que se hayan dado pasos significativos en la configuración de un sistema de control interno en clave de organización -de toda la organización- como defendemos. 

Según COSO el sistema de control interno que promueve requiere atender cinco grandes ejes de actuación:

  1. Un entorno de control, constituido por el conjunto de normas internas, estructuras organizativas, procedimientos y valores que identifican una organización determinada.
  2. La evaluación de riesgos en función de las características y de los objetivos de la organización.
  3. Las actividades de control propiamente dichas  dirigidas a evitar o minimizar los riesgos que previamente se hayan identificado.
  4. La información y la comunicación dirigida a toda la organización sobre el nivel  de cumplimiento de los objetivos.  
  5. La supervisión de todos los elementos del control interno con el fin de comprobar si funcionan correctamente o si deben introducirse  modificaciones.

Pensemos ahora en un ente local que identifica un riesgo de cumplimiento como consecuencia de la aprobación de una nueva Ley. Imagínense la Directiva Wistleblowing o de alertadores, a cuya entrada en vigor –como les decía hace un instante – han respondido sólo un pequeño porcentaje de entes locales, según los datos de la Oficina Antifraude de Cataluña. Pues bien, para mitigar o situar ese riesgo en términos de cumplimiento, la organización se obliga a diseñar nuevas actividades que tendrían que ser informadas convenientemente a todos los afectados, integrándose en su agenda ordinaria. Esto afecta también al cambio en los canales de información interno o en los procedimientos de toma decisiones que resultaran afectados.

A todas estas cuestiones debe atender el nuevo mapa de riesgos que la entrada en vigor de una Ley puede abrir en la organización. Sin embargo todos sabemos de las insuficiencias con que afrontamos esto en nuestras administraciones locales. La Directiva Bolkestein, las Directivas de Contratación de 2014,la Directiva de Protección de Datos de 2016, etc. Preguntémonos si nuestras organizaciones locales han puesto alguna vez en marcha estos cinco elementos interdependientes con el fin de prepararla adecuadamente o si su implantación no ha sido, por el contrario, una lucha entre unidades según fuera su responsabilidad directa en la materia.

Siguiendo ahora con las propuestas COSO, la implementación de un sistema de control interno eficiente requiere de un conjunto de elementos que la organización debe asegurar. De ellos destacamos los siguientes: 1) La consecución de objetivos de rentabilidad y rendimiento para prevenir la pérdida de recursos; 2) El desarrollo de tareas y actividades continuas, concebidas y programadas como un medio para llegar a un fin; 3) El control interno efectuado por las personas de la entidad y las acciones que estas aplican en cada nivel de la organización( Insistimos nosotros, en cada nivel de la organización); 4) La elaboración de informes financieros fiables para la toma de decisiones; 5) Asegurar el cumplimiento de las leyes y las regulaciones aplicables.

Cuando COSO habla del «entorno de control» se refiere al «conjunto de normas, procesos y estructuras que constituyen la base sobre la que llevar a cabo el control interno de la organización. (COSO 2013, p. 35)». En el caso de la Administración General del Estado, este entorno lo conforman las normas, instrucciones, directrices o manuales que desarrollan su organización, procedimientos y el régimen estatutario de sus empleados, pero también las prácticas administrativas establecidas o las políticas, formalizadas o no, que se siguen por las distintas unidades que la integran. Esas prácticas y la cultura organizativa que las alimenta son esenciales en la construcción permanente de un entorno de control.

Se trata de esto y no tanto de un dietario normativo exhaustivo; de poco sirve éste si no se articula organizativamente su cumplimiento y se detectan a tiempo las desviaciones para corregirlas sin daño a la organización. Por ello consideramos imprescindible generar esa cultura organizativa capaz de promover y preservar el «entorno de control» como algo propio en toda la organización. Este entorno de control requiere:

  1. La integridad y los valores éticos de identifican a la organización y a sus miembros.
  2. La competencia profesional y un sistema de delegación de responsabilidades adecuado.
  3. El compromiso con la excelencia y la transparencia.
  4. Un clima de confianza mutua en la organización y un estilo de dirección identificable de acuerdo con los valores éticos.
  5. Una estructura y un plan organizacional dotado con reglamentos o manuales de procedimientos que aseguren una acción en términos de cumplimiento.
  6. Unas políticas transparentes en materia de recursos humanos.
  7. Y finalmente, un órgano de control.

Respecto del segundo eje al que aludíamos anteriormente – el relativo a la evaluación de riesgos- hemos de convenir de buen principio en que en nuestro sector público local las organizaciones que tienen una política de riesgos bien definida son una excepción. No nos referimos aquí a las medidas de control sobre determinadas operaciones en que el propio legislador marca la actuación de control o cuando, en el ámbito de una actuación de control financiero permanente o de auditoria pública, el auditor señala una debilidad del sistema de control y propone medidas para resolverla. Nos estamos refiriendo a una auténtica evaluación de riesgos y a una planificación y programación específicamente dirigida a evitarlos o minimizarlos. Con carácter general, la evaluación de riesgos en estos términos no existe en nuestra administración local o, en el mejor de los casos, es aún una experiencia incipiente.

En cuanto a las actividades de control, se definen como «las acciones establecidas a través de políticas y procedimientos que contribuyen a garantizar que se lleven a cabo las instrucciones de la dirección para mitigar los riesgos que incidan en el cumplimiento de los objetivos (COSO, 2013, p.101)».

Un sistema coherente de la actividad de control integrado requiere de  una política de la organización dirigida al «cumplimiento de los objetivos». De aquí que la planificación y la programación sean vitales.

Con matices, la IGAE ha sabido adaptarse a esa nuevas orientaciones en materia de control interno que COSO abrió hace décadas. Es nuestra  Administración Local la que necesita cambios que permitan implantar con carácter general estas nuevas orientaciones.

Por último y en cuanto a las actividades de supervisión hemos de tener en cuenta que la organización debe tener un objetivo básico de cumplimiento. Es decir debe desarrollar su actividad de acuerdo con el cumplimiento de las leyes y, en general, de acuerdo con la regulación legal a la que esta sujeta la actividad de la organización.

Dicho esto, si la  supervisión de un sistema de control interno tiene como finalidad esencial la comprobación de que sus elementos objetivos y subjetivos y las estructuras organizativas en las que se asienta y desarrolla funcionan adecuadamente, habremos de convenir en una necesidad constante de realizar tareas de evaluación y diagnóstico para detectar las insuficiencias o desajustes e implementar medidas que las corrijan. Algo que se nos presenta como elemental no lo es en la realidad de nuestras organizaciones locales.

La Administración General del Estado dispone de un mayor margen operativo en este ámbito, pero en el ámbito local la realidad presenta deficiencias  a pesar de las mejoras introducidas en el estatuto profesional de los interventores municipales a partir del estatuto profesional aprobado en 2018.

Naturalmente hay limitaciones que pueden menoscabar un sistema de control interno, aunque esté diseñado adecuadamente para minimizar los riesgos. En efecto, estas limitaciones pueden presentarse por la concurrencia de uno o varios factores tales como una deficiente planificación, o por el desacierto en los criterios profesionales en los que se haya basado la decisión o por la capacidad efectiva del personal directivo o de otros miembros de la organización para impedir, minimizar o, simplemente, eludir los controles.

De ahí que COSO requiera de un criterio profesional en el diseño, implementación, y conducción del control interno y la evaluación de su efectividad. Insistimos en esta exigencia de criterio profesional.

Llegados a este punto conviene preguntarse sobre si nuestras organizaciones disponen de ese entorno de control, de esa visión global que requiere la efectividad del control; una visión que evita el agolpamiento atolondrado de más y más controles cuando el riesgo ya se ha convertido en daño y afecta la reputación de la organización.

¿Abre este Marco Integrado de Control Interno (COSO) otras posibilidades a nuestro sistema de control interno en el ámbito local?. Entendemos que sí; rotundamente, si; y debemos explorarlas.

En nuestra opinión la efectividad y la eficiencia del futuro control interno en nuestras organizaciones –al menos en las locales- pasa por alguna de las propuestas que COSO nos ofrece. Pero para que se nos entienda bien la principal pasa por que el control interno no sea sólo una «cosa de la intervención» o de «la séptima planta del edificio» sino algo que atañe a toda la organización, a todos sus cuadros gestores y directivos y a los responsables operativos, ocupen o no responsabilidades políticas. Es esta la «visión de organización» a la que nos referíamos al principio. Pero COSO requiere un entorno de control, ligado al buen gobierno y a la buena administración. Y aquí nos queda mucho por recorrer.

Ese entorno de control del que tratamos comporta un cambio sustancial en la cultura de nuestras organizaciones. Debemos aprovechar el cambio tecnológico y las nuevas ventanas que nos abre la contabilidad para articular un sistema de control interno cuya responsabilidad en cuanto a la consecución de objetivos corresponda a toda la organización. No es ya -insistimos- sólo una «cosa de la Intervención». En el ámbito estatal – y a pesar de las distancias en el camino recorrido – tampoco debiera de ser sólo una cosa de la IGAE, sino de toda la AGE.

La necesidad de una reforma en la dirección que apuntamos ya ocupó hace años parte del Informe del Instituto de Auditores Internos de España(2016), centrado en la aplicación del Marco Integrado de Control Interno (COSO) porque afirmaba que daba respuestas a las carencias de nuestro sistema de control interno. Estas reformas aún esperan a pesar de los movimientos que se han producido en Francia y en la propia Unión Europea. 

Resulta fácil comprender así las dificultades que tiene especialmente nuestro sector público local para programar en clave presupuestaria plurianual con la visión de políticas fiscales, inversoras y de objetivos que por ejemplo influye en la Ley Orgánica de Estabilidad Presupuestaria y Sostenibilidad Financiera o las dificultades que todos conocemos para aprobar un plan normativo, un plan de contratación o incluso un plan estratégico de subvenciones que superen ese papel rituario e irrelevante típico de los recursos formales y se conviertan en elementos esenciales de la planificación estratégica, del buen gobierno y de la competitividad de nuestro sector público.

El entorno de cumplimiento requiere instrumentos que normalicen los procedimientos de control y de verificación sobre su grado de cumplimiento o necesidad de modificación o reforma. Las insuficiencias en esta materia nos ayudan a comprender también que el compliance officer debe ser algo más que un recurso estético en el sector público empresarial local y que quizás el compliance deba jugar un papel más importante en el futuro de los gobiernos locales.

En otro orden de cosas, entendemos que este terreno de cambio al que nos referimos debe aprovechar la oportunidad de los compromisos sobre innovación y la implantación de la administración electrónica para que los procedimientos de control interno se integren y asuman en toda la organización. La actuación aquí es una necesidad que reclama atención de la agenda política e inversión urgente.

Por cuanto al ámbito local se refiere, no podemos obviar – ya lo hemos apuntado en otras ocasiones–la falta de dotación de recursos técnicos y de personal cualificado. La persistente situación de vacantes en las plantillas de FHN de nuestros entes locales carece de justificación e impide mejorar el escenario que el Tribunal de Cuentas dibuja año tras año.

Los procedimientos de control integral del Plan de Recuperación, Transformación y Resiliencia están influidos por COSO. En el apartado 4.6 del Plan «Control y Auditoria» se determina que esos procedimientos se aplican los más altos estándares de control y auditoria y define de forma diferenciada unos niveles de control para los que asigna obligaciones y responsabilidades. Así en el nivel 1 se incluye el control interno del órgano ejecutor u órgano responsable de la gestión; en el nivel 2, el control interno de órgano independiente (IGAE, interventores de las CC.AA e interventores de las entidades locales); en el nivel 3, el régimen de auditoria y controles ex post nacionales (asignado a la IGAE); y finalmente, las auditorias sobre las solicitudes de pago enviadas a la Comisión y diversas auditorias sobre medidas para prevenir, detectar y corregir el fraude, la corrupción y los conflictos de interés.

En fin, la urgencia de las respuestas de nuestro sector público a las demandas de transparencia y buen gobierno por parte de los ciudadanos requieren cambios sólidos y efectivos,no patadas a seguir ni recurrentes proclamas a la modernización y a la innovación sin credibilidad; cambios en la función pública, cambios en la arquitectura institucional de la transparencia, y en el régimen jurídico del sector público que empujen a la reforma de nuestro sistema de administración económica y financera en general y de los sistemas de control interno en particular.

Mejorar las técnicas de control interno en el ámbito local (I)

Artículos relacionadosMás del autor

No hay comentarios

Dejar respuesta

Información básica de protección de datos. Responsable del tratamiento: Fundación esPublico. Finalidad: permitir la publicación de comentarios a los artículos del blog. Base jurídica: consentimiento que se entenderá otorgado al pulsar el botón "Publicar comentario". Destinatarios: público en general, la información que introduzca en el formulario será visible por todos los visitantes del blog. Ejercicio de derechos: de acceso, rectificación, supresión, oposición, limitación y portabilidad a través de dpd@espublico.com o en la dirección postal del responsable del tratamiento. Más información: Política de privacidad