El documento tardará unos segundos en cargarse. Espere, por favor.

La revisión del sistema de control interno por el órgano interventor. Especial consideración de la evaluación de los controles

José Claudio ÁLVAREZ-VILLAZÓN

Interventor-Tesorero de Administración Local. Categoría Superior

Coordinador del Portal de Control Interno de COSITAL

El Consultor de los Ayuntamientos, Nº I, Sección Opiniones, Abril 2021, pág. 49, Wolters Kluwer

LA LEY 3663/2021

Comentarios
Resumen

El control financiero puede traducirse en términos del Marco Conceptual del Control Interno de COSO como las actividades de control del buen funcionamiento del sistema de control interno. Dentro de esta evaluación, adquiere especial importancia la consideración del diseño y adecuado funcionamiento de los controles establecidos en los procesos de la organización. Un adecuado conocimiento de los mismos permite mejorar la eficiencia de la actuación del órgano interventor.

I. ¿Qué es el Marco Conceptual de Control Interno de COSO?

La Comisión Nacional sobre Información Financiera Fraudulenta (National Commission on Fraudulent Financial Information), comúnmente denominada Treadway Commission en honor de su primer Presidente (James C. Treadway Jr.) fue una iniciativa de las cinco mayores asociaciones de contadores públicos de los Estados Unidos para respaldar las reformas iniciadas a mediados de la década de 1970 por el Congreso de los Estados Unidos para evitar malas prácticas corporativas en materia financiera.

En 1987 la Comisión emitió un informe sobre el sistema de información financiera corporativa vigente en los Estados Unidos. Fruto de este informe fue la constitución del Committee of Sponsoring Organizations (COSO), que encargo a Coopers & Lybrand el estudio de los problemas detectados en aquel y la redacción de un informe sobre un marco integrado de control interno. En septiembre de 1992, finalizados los trabajos, la Comisión editó el que denominó «Control Interno: Marco Integrado», que fue publicado nuevamente en 1994 con correcciones menores.

En 2004 COSO publicó «Administración de Riesgos Empresariales: Marco Integrado» (Enterprise Risk Management-Integrated Framework), que ha sido denominado coloquialmente COSO II, pero que en realidad es un marco para la gestión de riesgos empresariales.

En mayo de 2013 se publicó la actualización del Marco Integrado de Control Interno (COSO III, en su denominación coloquial), que actualiza el modelo de 1992.

«Control Interno: Marco Integrado» (COSO en adelante) ofrece una definición de control interno y un marco conceptual para evaluar y mejorar los sistemas de control interno.

COSO define el control interno como «(…) un proceso llevado a cabo por el Consejo de Administración, la dirección y el resto del personal de una organización, diseñado con el objeto de proporcionar un grado de aseguramiento razonable para la consecución de los objetivos relativos a las operaciones, a la información y al cumplimiento».

El control interno se conforma en torno a cinco componentes: entorno de control, evaluación de riesgos, actividades de control, información y comunicación y actividades de supervisión. Cada componente tiene asociados unos principios que representan los conceptos fundamentales asociados a los componentes, hasta un total de 17.

II. Importancia de COSO para el Sector Público Local

Al contrario que en la Unión Europea y, en general, en sus Estados miembros, (1) la legislación española no impone a las entidades que conforman el Sector Público la implantación de un sistema de control interno consistente con las directrices de COSO. Sin embargo, paradójicamente, este es el estándar utilizado de forma general para la evaluación de la existencia y calidad del control interno de estas entidades. Tanto la GPF-OCEX (Guía práctica de fiscalización de los OCEX. Aprobada por la conferencia de Presidentes de ASOCEX el 18 de noviembre de 2015) 1316 —El conocimiento requerido del control interno de la Entidad—, como la NIA-ES-SP 1315 (Identificación y valoración de los riesgos de incorrección material mediante el conocimiento de la Entidad y su entorno) utilizan COSO como estándar para la evaluación por el auditor público de los sistemas de control.

III. El órgano interventor

El problema fundamental que plantea la situación reflejada en el apartado anterior es el de definir adecuadamente el papel del órgano interventor en el modelo.

El problema fundamental es el de definir adecuadamente el papel del órgano interventor en el modelo

El análisis tanto del Capítulo V del Título VI Real Decreto Legislativo 2/2004 de 5 de marzo, que aprueba el Texto Refundido de la Ley reguladora de las Haciendas Locales (TRLRHL en adelante), como, especialmente, del Real Decreto 424/2017 28 de abril, por el que se regula el régimen jurídico del control interno en las entidades del Sector Público Local (RCIESPL en adelante) que lo desarrolla, nos permite concluir que en el desarrollo de sus funciones, el órgano interventor desarrolla un control dentro del sistema de control interno de la Entidad (en muchas ocasiones «el control», habida cuenta de la escasa sensibilidad hacia esta materia que observan por lo general los gestores) y, por otro lado, actúa como evaluador del modelo.

Si bien esta solución me parece satisfactoria en relación con el control (que no sería otro que el ejercicio de la función interventora), el encaje el control financiero en la supervisión del modelo suscita algunas dudas, fundamentalmente en lo que se refiere encaje en el marco COSO.

Para resolver el problema, quizás sea conveniente plantear la situación en el sector privado, especialmente en relación con los roles que desempeñan los auditores internos y los auditores externos en las organizaciones. Podemos resumirlas en el siguiente cuadro:

Auditoría ExternaAuditoría Interna
Informa aPartes interesadas externasDirección política y técnica de la Entidad
ObjetivosAñadir credibilidad y confianza a las cuentas anuales de la Entidad ofreciendo su opinión sobre las mismasEvaluar y mejorar la eficacia de la gobernanza, la gestión de riesgos y los procedimientos de control
ÁmbitoInformación financiera y sus riesgosTodas las categorías de riesgos y su gestión
Responsabilidad en la mejoraComunicar deficiencias en el control internoMejora mediante la emisión de recomendaciones a la dirección política

(1) NIA-ES-SP 1265

Partamos de la base de que la definición del control financiero sitúa al órgano interventor más en la órbita de la auditoría interna que en el de la externa. En efecto, el art. 3.3 RCIESPL señala que:

«El control financiero tiene por objeto verificar el funcionamiento de los servicios del sector público local en el aspecto económico financiero para comprobar el cumplimiento de la normativa y directrices que los rigen y, en general, que su gestión se ajusta a los principios de buena gestión financiera, comprobando que la gestión de los recursos públicos se encuentra orientada por la eficacia, la eficiencia, la economía, la calidad y la transparencia, y por los principios de estabilidad presupuestaria y sostenibilidad financiera en el uso de los recursos públicos locales».

Las consideraciones precedentes permiten, a mi juicio, traducir el control financiero en COSO reconduciéndolo a las siguientes funciones:

  • 1.- Evaluar la gestión del riesgo desarrollada por la organización.
  • 2.- Evaluar el sistema de control interno. En este punto la evaluación puede ser global (vinculada a la primera de las funciones enunciadas) o limitarse a la supervisión de los controles —para verificar su adecuado diseño, que están implantados y que funcionan adecuadamente—. Debe tenerse en cuenta, con objeto de no adulterar la función de intervención en este punto, recordar que la evaluación que desarrolla es puntual y ajustada a la planificación basada en el riesgo (arts. 4.3 y 31 RCIESPL). Esta evaluación no elimina la necesidad de que los propios gestores desarrollen evaluaciones continuas de los controles.
En entidades locales con modelos de control interno poco desarrollados, las funciones del órgano interventor se centrarán inicialmente en la supervisión de los controles

En entidades locales con modelos de control interno poco desarrollados las funciones del órgano interventor se centrarán inicialmente en la supervisión de los controles, para ir evolucionando, a medida que el modelo madure, a evaluaciones de la gestión del riesgo y alineación del sistema con las conclusiones obtenidas de dicha evaluación.

En este trabajo nos centraremos, por lo tanto, en la segunda de las funciones, y, específicamente, en la supervisión de los controles a efectos de la determinación de su existencia, adecuado funcionamiento y eficacia.

IV. Supervisión de controles

De acuerdo con COSO, (2) una supervisión efectiva se basa en tres elementos (Fig. 1):

  • 1. Establecer los fundamentos de la supervisión, incluida una estructura organizativa eficaz, y un punto de inicio o «línea de base» consistente en el conocimiento del sistema de control interno.
  • 2. Diseñar y ejecutar procesos de supervisión sobre la base de una «información persuasiva» sobre la operativa de los controles clave relacionados con los riesgos organizativos relevantes.
  • 3. Evaluar e informar sobre los resultados, lo que incluye evaluar la gravedad de las deficiencias identificadas e informar a las partes interesadas a efectos de permitir acciones correctivas.

Cabe señalar que, a efectos de su supervisión, COSO presupone la existencia de un sistema de control, por así decirlo, «premeditado», o, dicho en otros términos, específicamente diseñado y puesto en funcionamiento por la Entidad. Este es quizás el primero de los obstáculos al que se enfrenta el órgano interventor en la mayoría de las Entidades Locales. En mayor o menor medida el sistema de control se conforma a partir de la trasposición directa, caso a caso, de las previsiones legales vigentes. Esto tiene a mi juicio tres efectos sustanciales:

  • a) La inevitable existencia de «puntos ciegos», en aquellos ámbitos en los que la Ley no configura elementos de control adecuados.
  • b) La diversidad de sistemas de control que se derivan inevitablemente de la traducción de las previsiones legales a la realidad de manera no homogénea.
  • c) La falta de tratamiento de aspectos operativos en el modelo de control, en tanto la legislación no establece previsiones específicas sino sólo principios generales.

Mostrar/Ocultar Mostrar/Ocultar

Planteada así la cuestión, el primer reto al que se enfrenta el órgano interventor es, precisamente, integrar las exigencias previas de COSO a la realidad de su Entidad (entendida esta como la propia Entidad Local y sus organizaciones instrumentales).

Por lo tanto, consideremos con carácter previo las exigencias planteadas anteriormente:

  • a) Para la adecuada evaluación del sistema es preciso, como hemos señalado, disponer de «información persuasiva». Dicha información tiene dos características:
    • La información debe ser adecuada, esto es, útil para el propósito para el que se recaba. Para ello la información debe ser relevante, confiable y oportuna.
    • La información debe ser suficiente.
  • b) La «línea de base» del control interno (Fig. 2). Toda Entidad, incluso cuando no lo haya establecido de forma explícita, tiene un sistema de control interno.

Mostrar/Ocultar Mostrar/Ocultar

La línea de base sirve de referencia para la evaluación comparativa. Su evaluación permite validar el modelo (es adecuado según la evaluación de riesgos realizada) o establecer las recomendaciones necesarias para su mejora.

V. Supervisión de controles. Fases

El ciclo de la actividad de supervisión se conforma en los términos que se aprecian en la Fig. 3.

Mostrar/Ocultar Mostrar/Ocultar

Desarrollaremos a continuación las fases, aunque es preciso tener en cuenta varias cuestiones:

  • a) La evaluación no es necesariamente un proceso secuencial, como se recoge en la Fig. 3 por necesidades expositivas. A medida que el órgano interventor desarrolla las actuaciones señaladas incrementa su conocimiento del sistema, lo que llevará eventualmente a identificar nuevos controles, determinar nuevas fuentes de información o desechar otras por no reunir los requisitos comentados anteriormente, o considerar deficiencias en controles inicialmente evaluados como suficientes.
  • b) La priorización de riesgos se nutre de la evaluación de riesgos del sistema de control interno. A partir del análisis existente, la priorización de los procesos (3) cuyos controles van a ser evaluados requiere la consideración de cuestiones como:
    • La existencia de cambios normativos que afecten al proceso.
    • Información proveniente de otros ámbitos (ejercicio de la función interventora, supervisión continua) que permita considerar la existencia de deficiencias de los controles.
  • c) A la hora de evaluar los controles es preciso tener en cuenta que más controles no implican necesariamente mejores controles (o más control). El diseño de controles debe tener en cuenta el equilibrio coste-mitigación del riesgo. Por otro lado, más evaluación no implica mejor evaluación. Una cuidadosa priorización de riesgos es esencial para focalizar la evaluación en aquellos procesos (o controles) más susceptibles de crear deficiencias materiales en caso de mal funcionamiento.
  • d) Los controles pueden atender al cumplimiento de varios objetivos. (4) Cuando tal cumplimiento exija intensidades diferentes del control, la verificación deberá producirse al nivel de la máxima exigencia.

VI. Consideración de las fases

1. Priorización del riesgo

No hemos de perder de vista que las actividades de supervisión se incardinan en el sistema, uno de cuyos elementos es, precisamente, la evaluación de riesgos. De este modo, la función del órgano interventor se articula en dos niveles:

  • a) Evaluación de la gestión de riesgos de la Entidad. El desarrollo de la evaluación implica considerar si la metodología empleada por la Entidad es capaz de tomar en consideración los riesgos materiales a los que esta se enfrenta (en relación, lógicamente, a los objetivos que la dirección haya determinado o le vengan impuestos internamente) y si la respuesta dada a los mismos es coherente con el apetito y tolerancia al riesgo establecidos por la Entidad.
  • A la hora de priorizar riesgos es importante tener en cuenta el riesgo tecnológico
  • b) En el desarrollo de actividades de supervisión, el riesgo fundamenta la planificación del control financiero, tal y como determina el art. 31 RCIESPL. En este caso la modelización del riesgo le viene dada al órgano interventor. La priorización, en este caso, puede producirse en dos niveles:
    • Por lo general el órgano interventor utilizará el modelo de riesgos diseñado como elemento de control interno para configurar las actividades anuales de supervisión.
    • La priorización del riesgo, como elemento autónomo del proceso de supervisión deberá producirse cuando se produzca una alteración (de origen interno o externo), que incida sobre el modelo de riesgo de la Entidad. El órgano interventor debe considerar los efectos de la alteración producida para reconsiderar la planificación de la supervisión de controles previamente realizada. Por ejemplo:
      • 1. Un cambio normativo modifica los objetivos de información financiera o cumplimiento normativo de la Entidad (o incide sobre los objetivos operativos).
      • 2. El tratamiento de reparos y observaciones pone de manifiesto un ámbito de actuación de la Entidad en la que se incrementa el riesgo de deficiencias en los controles.
      • 3. La Entidad desarrolla actividades que, sin suponer la necesidad de desarrollar nuevos procesos, generan riesgos no modelizados adecuadamente (por ejemplo, una línea de subvenciones con destinatarios-actividades subvencionadas diferentes de las que son habituales).

A la hora de priorizar riesgos es importante tener en cuenta el riesgo tecnológico. COSO presta una especial atención a este riesgo (el Principio 11 del Marco señala «la organización define y desarrolla actividades de control a nivel de organización sobre la tecnología para apoyar la consecución de objetivos»). La priorización del riesgo tecnológico debe vincularse al proceso general de priorización de riesgos (por ejemplo, ante un cambio normativo que afecte a los parámetros legales para la liquidación de un tributo deberá evaluarse la modificación del algoritmo de la aplicación informática con la que el tributo se gestione).

2. Identificar los controles clave que tratan los riesgos priorizados

La evaluación se deberá focalizar hacia los controles clave, esto es, aquellos que respalden de manera efectiva la eficacia del modelo de control interno para garantizar razonablemente la consecución de los objetivos fijados por la Entidad.

Como regla general los controles clave tienen una de las dos siguientes características:

  • Su mal funcionamiento afecta de forma relevante la consecución de los objetivos de la organización y este fallo no puede ser detectado oportunamente por otros controles.
  • Su correcto funcionamiento previene fallos en otros controles o permite detectarlos oportunamente.

La detección de controles clave requiere el análisis pormenorizado del proceso. En general la existencia de un proceso definido y adecuadamente documentado es presupuesto del desarrollo del control interno.

La existencia de un proceso definido y adecuadamente documentado es presupuesto del desarrollo del control interno

Los controles clave deberían en principio haber sido determinados y documentados en la fase de implantación del modelo. No obstante, es importante destacar que, como venimos señalando en este trabajo, el modelo debe ser dinámico como la organización es dinámico. A partir de esta hipótesis los controles clave no se deben presuponer, puesto que la alteración del esquema de riesgo que habitualmente pone en funcionamiento la evaluación de controles puede determinar que un control clave pierda su carácter, o que la alteración del esquema haya dejado al procedimiento sin controles clave o con controles clave inadecuados para cumplir su función.

Por lo tanto, con carácter previo a la evaluación de los controles, será preciso:

  • Comprobar la adecuación del proceso realmente desarrollado por la organización con el proceso documentado.
  • Comprobar el carácter clave de los procesos que figuran descritos como tales.

Una forma práctica de evaluar un control como clave consiste en determinar si concurren en él las características que enunciaremos a continuación.

  • 1. Complejidad. Los controles que requieren habilidades específicas o una formación de alto nivel son más susceptibles de fallar que los controles simples (el ejercicio de la función interventora en las fases de autorización y disposición del gasto es más complejo que en la fase de reconocimiento de la obligación).
  • 2. Juicio. Los controles que requieren un alto nivel de juicio dependen de la experiencia y formación de quienes los desarrollan (la valoración de un inmovilizado requiere de la emisión de un juicio formado por quien vaya a realizarla).
  • 3. Manual vs automatizado. Los controles manuales son más susceptibles de error humano que los controles automatizados.
  • 4. Fallos previos conocidos. Como hemos señalado anteriormente, la detección de un fallo en el control habitualmente será indicativo de la necesidad de realizar una evaluación del control.
  • 5. Competencia y experiencia del personal. Vinculado a las características reseñadas como 1 y 2, aunque debe considerarse con entidad propia. En general una inadecuada formación del personal que realiza el control (instrucciones verbales no soportadas en un manual del proceso, instrucciones contradictorias) puede considerarse indicio de potenciales fallos en el control.
  • 6. Potencial de anulación por la dirección. La existencia de esta característica indica una inadecuada configuración del entorno de control, lo que exige una supervisión más intensa del control.
  • 7. Vinculación entre controles. En la medida de que controles vinculados puedan señalar la existencia de deficiencias en el control considerado, este dejará de ser clave a efectos de evaluación.

3. Identificar la información que indique si el control está operando eficazmente

La información puede ser directa (puede establecerse si el control funciona o no funciona —la más obvia será la revisión de operaciones—) o indirecta (que no permite concluir si el control funciona o no lo hace pero ofrece pautas sobre esta circunstancia —por ejemplo, en el pago de prestaciones sociales a los empleados de la organización, la frecuencia anormal con la que un empleado o grupo de empleados perciba tales prestaciones—. En general, la detección de alteraciones sobre el comportamiento normal de un parámetro suele ser una información indirecta de gran efectividad).

Para desarrollar esta fase se llevarán a cabo las siguientes tareas:

a) Identificar la naturaleza del control clave que será objeto de evaluación

Un elemento fundamental en esta etapa es definir los elementos que conforman el control clave a evaluar. Algunos tendrán un solo elemento, fácilmente comprobable, mientras en otros será preciso considerar múltiples elementos. Por ejemplo:

  • Un control consistente en que «para los contratos menores de valor estimado superior a 3.000,00 € deben solicitarse un mínimo de tres ofertas» se compone de un solo elemento y es sencillo de comprobar.
  • La identificación de todos los elementos constitutivos del control a evaluar permite considerar todas las posibles debilidades
  • Un control de acceso a una aplicación informática se compone de varios elementos: un elemento de programación incluido en la aplicación que permite el acceso a quienes se identifiquen adecuadamente y registra la actividad de cada acceso, la definición de la política de acceso y las condiciones en las que se produce la autorización individual (el empleado es instruido previamente sobre la política y procedimientos de seguridad).
  • Un control consistente en que «los cambios en los pliegos de cláusulas administrativas tipo se acordarán cuando se produzca un cambio normativo o exista nueva jurisprudencia interpretativa de la norma. Se desarrollarán por un equipo formado por X personas de los Servicios Y» incorpora varios elementos constitutivos complejos: la efectiva existencia de cambio normativo o jurisprudencia, la competencia del equipo y la adecuación del cambio acordado.

Puede observarse que la identificación de todos los elementos constitutivos del control a evaluar permite considerar todas las posibles debilidades que puedan producirse en el funcionamiento del mismo.

b) Determinar si el control clave objeto de evaluación está siendo ya evaluado

Esta es una circunstancia que, en mi experiencia, no suele producirse en las Entidades Locales, aunque debe tenerse en cuenta. A la hora de determinar que alcance tiene esta cuestión (es decir, si debe limitarse la evaluación, o incluso no es necesaria realizarla) deben tenerse en cuenta las siguientes circunstancias:

  • ¿Es el evaluador competente, objetivo y es consciente de estar practicando una evaluación?
  • ¿Cuándo se identifica una debilidad, son evaluadas y comunicadas como deficiencias del control de forma que pueda ser evaluado su impacto en el sistema global de control?

Por ejemplo, la existencia de una empresa de control de calidad de las obras que asista aleatoriamente a la comprobación de unidades de obra que deban quedar permanentemente ocultas es una evaluación de un control (la asistencia del Director Facultativo) cuya efectividad derivará del procedimiento que haya sido establecido para la comunicación del resultado de las comprobaciones.

4. Determinar la información disponible para la evaluación

En general, la información directa sobre un control es evidente y fácil de obtener, una vez determinados los elementos del control. La información directa adopta la forma de evidencia (expresándolo en términos de auditoría) lo que incluirá revisiones del funcionamiento del control y/o revisión de los resultados obtenidos por la aplicación del mismo.

La obtención de información indirecta es más problemática porque debe darse una fuerte correlación entre la información y el control, correlación que debe ser valorada por el órgano interventor. Por ejemplo, el aumento de los recursos contra liquidaciones de un determinado tributo puede ser indicativo de que en el proceso de liquidación se ha producido un fallo humano o de la aplicación, pero esta correlación no es evidente. Deberán evaluarse cuestiones como si ha existido un cambio en la normativa previo, o si la empresa suministradora ha actualizado el software recientemente.

La obtención de información indirecta es más problemática porque debe darse una fuerte correlación entre la información y el control

Este tipo de información estará constituida, habitualmente, por indicadores, por lo que, con carácter previo a aceptar esta información deberá evaluarse la corrección del indicador, el origen de los datos que lo componen y la forma en que estos datos son recopilados. Por ejemplo, un indicador de la existencia de una debilidad en el control de la práctica de liquidaciones de un tributo puede ser la existencia de valores anormales en un determinado ejercicio o incluso en un determinado colectivo homogéneo dentro de un ejercicio. Para dar valor a este indicador deberán considerarse la fuente de datos (si se obtiene directamente de la aplicación o existe una previa descarga de los mismos para su tratamiento) y la forma de elaboración (se elabora directamente por la aplicación, sin intervención humana, o un funcionario se encarga de preparar el indicador.

5. Determinar la viabilidad de desarrollar una evaluación automática

Es importante destacar que, cuando el órgano interventor desarrolla evaluaciones de los controles lo hace en el desarrollo del control financiero. La evaluación de los controles, como hemos señalado, puede ser desarrollada por la propia dirección (en cuyo caso estaríamos en el propio sistema de control interno), mientras que la evaluación del órgano interventor se desarrolla con objeto de evaluar el sistema de control interno. Desde este punto de vista la tarea de la dirección de la organización será la de intentar desarrollar controles automáticos, que permitan la evaluación (monitorización) continua de la actividad, mientras que la intervención se centrará en el desarrollo de un modelo de auditoría continua. Ambas actuaciones pueden tener puntos en común —fundamentalmente en lo referido a los datos que se obtendrán del proceso evaluado—, pero la finalidad de las mismas es notablemente diferente.

6. Definir e implementar una evaluación de controles eficiente en términos de coste

Probablemente como consecuencia de factores culturales, existe una elevada tendencia entre los órganos interventores a configurar la evaluación de los controles mediante actuaciones de comprobación (en definitiva, repetición de la actuación del órgano interventor), bien generalizada (sobre toda la población analizada) o bien, cuando esta es grande, a utilizar muestras.

La evaluación (como toda actividad de control financiero) debe ser eficiente (el art. 4 RCIESPL impone al órgano interventor establecer un modelo «eficaz»). En una situación como la actual en la mayor parte de las intervenciones locales, puede decirse que se producirá como consecuencia de la eficiencia con la que el órgano interventor plantee sus actuaciones, lo que implica tanto una correcta evaluación del riesgo —dirigir adecuadamente el esfuerzo de control— como un adecuado diseño de las actividades de control.

En el diseño de las evaluaciones debemos desarrollar las siguientes tareas:

a) Determinar la frecuencia y el método para realizar las evaluaciones

Para ello, será preciso contestar tres cuestiones:

  • ¿Cuál es la naturaleza del control? Ya hemos incidido sobre esta cuestión, aunque merece la pena reiterarlo: la mayor complejidad del control deriva en una mayor posibilidad de fallo.
  • ¿Cómo se va a evaluar el control? Debe definirse la técnica adecuada para la evaluación del control, adecuada a su naturaleza. Como se ha indicado anteriormente, la obtención de evidencia sobre el funcionamiento del control puede producirse por métodos directos o indirectos. Un buen diseño de este aspecto (que incluiría la frecuencia) permite al órgano interventor centrarse en aquellos controles que inciden sobre actividades con riesgo inherente alto y hacerlo eficientemente.
  • ¿Qué mix de información directa e indirecta debe utilizarse?
  • ¿Puede desarrollarse un control continuo? En este caso, la implementación de un control de estas características sería responsabilidad de la dirección, pero puede ser objeto de una recomendación del órgano interventor. Un control continuo podría modificar el enfoque del control financiero en el futuro (por ejemplo, incidiendo exclusivamente en el funcionamiento del control, o definiendo un riesgo de control menor que influye sobre el plan anual de control financiero.

b) Definir las conclusiones a partir de la información obtenida

Hemos señalado que una evaluación eficiente requiere ponderar la cantidad de información a obtener, o, lo que es lo mismo, definir las conclusiones que pueden obtenerse sobre el funcionamiento del control a partir de la información obtenida.

Una evaluación eficiente requiere ponderar la cantidad de información a obtener

Esto implica emitir juicios sobre:

  • La probabilidad de que la deficiencia resulte en un mal funcionamiento del control.
  • La existencia de otros controles que puedan actuar como compensación del control cuyo funcionamiento se evalúa.
  • El efecto potencial de las deficiencias sobre la consecución de los objetivos.
  • El efecto agregado de múltiples deficiencias.

VII. Conclusiones

La traslación del ejercicio del control financiero a un sistema de control interno basado en el Marco de COSO se traduce en dos actuaciones fundamentales:

  • Evaluar el modelo de gestión de riesgos de la organización, con objeto de determinar si la metodología empleada asegura dentro de lo razonable la identificación y valoración de los riesgos relevantes en relación con los objetivos de la organización.
  • Evaluar el sistema de control interno y su adecuación al modelo de gestión de riesgos implantado.

Dentro de la evaluación del sistema de control interno tiene especial importancia la evaluación de los controles implantados en los procesos de la organización: su adecuado diseño —lo que abarca tanto consideraciones de eficacia como de eficiencia— y su correcto funcionamiento.

Un buen desarrollo de la evaluación de los controles exige un análisis cuidadoso de su naturaleza y estructura, así como de las interrelaciones con otros controles, con objeto de optimizar las fuentes y fiabilidad de la información sobre su funcionamiento. De este modo es posible alternar distintas fórmulas de evaluación, priorizando aquellas que tengan carácter automático, haciendo el control financiero más eficiente.

(1)

Sobre esta cuestión me remito a mi trabajo «El control interno en el sector público local. Limitaciones actuales. Una propuesta de implantación de un modelo efectivo de control interno», publicado en esta Revista, n.o 2/2021.

Ver Texto
(2)

«Committee of sponsoring organizations of the Treadway Commission», Guidance on monitoring internal control systems. Volumen II. 2009.

Ver Texto
(3)

Soy partidario de desarrollar el sistema de control interno basándose en los procesos de la organización. En algunos casos, sobre todo a la hora de evaluar el sistema desde el punto de vista de la información financiera, algunos autores utilizan como referencia los elementos de las cuentas anuales. Lo que no es recomendable en ningún caso es utilizar las unidades organizativas como referencia.

Ver Texto
(4)

Por ejemplo, en los Municipios de régimen común, el control que realiza el funcionario de Intervención sobre las facturas recibidas se enmarca en dos objetivos: la fiabilidad de la información contable y el cumplimiento normativo. El control de la factura incorporará la verificación del cumplimiento de las afirmaciones contables sobre la transacción (NIA-ES-SP 1315), verificando que a la factura se acompaña acreditación documental del cumplimiento de la prestación —ocurrencia— y de la legalidad (verificando que corresponde a un gasto previamente aprobado).

Ver Texto