Álvaro Álvarez Álvarez *
Técnico de auditoría de la Sindicatura de Cuentas del Principado de Asturias
*El trabajo expone en exclusiva los juicios de valor del autor y sus propuestas personales
El control interno en un entorno informatizado
RESUMEN El tratamiento informatizado de los datos ha generado incuestionables ventajas pero también pueden ser múltiples las dificultades que genera. Este trabajo pretende realizar una recopilación de los aspectos más significativos obtenidos en las actuaciones realizadas por el OCEX y que afecten en mayor o menor grado a fiscalizaciones de control interno. Sólo van a tenerse en cuenta las actuaciones del órgano interventor cuando estén vinculadas, condicionadas o, al menos, influidas por aspectos informáticos. Este artículo quiere analizar la compatibilidad de los programas informáticos con el respeto debido a la legalidad que rige el control interno y al trasfondo jurídico de los actos así como la situación actual de la implantación de procedimientos electrónicos en nuestro ámbito de fiscalización y los problemas derivados. Así, hay problemas de diseño de los programas informáticos y problemas derivados de la falta de integración de programación informática.
ABSTRACT The computerized treatment of the data has generated unquestionable advantages but the difficulties that it generates can also be multiple. This work aims to compile the most significant aspects obtained in the actions carried out by the OCEX and that affect internal control audits to a greater or lesser extent. Only the actions of the intervening will be taken into account when they are linked, conditioned or, at least, influenced by computer aspects. This article wants to analyze the compatibility of the computer programs with respect due to the legality that governs the internal control and the legal background of the acts as well as the current situation of the implementation of electronic procedures in our area of control and the derived problems. Thus, there are problems of computer program design and problems derived from the lack of integration of computer programming
Palabras Clave: Control interno; tratamiento informático; legalidad; administración informática; intervención
Key Words: Internal control; computer treatment; legality; computer administration; intervention
INTRODUCCIÓN
En los últimos años la administración pública ha evolucionado desde el tradicional papel a la era electrónica, aunque con mayor o menor grado de implantación. La fiscalización del control interno también se ha visto afectada por estos avances y el tratamiento informático de los datos ha generado incuestionables ventajas, pero también son múltiples las dificultades que genera. Los obstáculos pueden derivarse de una implantación parcial o incompleta de las tecnologías de la información o bien de un inadecuado diseño del programa informático. Lo que hay que tener claro, en todo caso, es que la informática es una herramienta para facilitar el cumplimiento de la Ley. Es decir, nunca puede ser una excusa para que no se cumpla el ordenamiento ni puede sustituirlo. La informática debe adaptarse a la Ley y nunca al revés, por caro que salga. En ningún caso la ejecución de un decreto de control interno debe sufrir el más mínimo avatar por impedimentos informáticos.
La necesaria evolución: situación actual de la implantación de la nueva administración informatizada
Las bases para la evolución de la administración en papel hacia la electrónica ya estaban implantadas desde hace al menos dos décadas. No obstante, a fecha actual la administración electrónica aún está en fase muy incipiente en determinados casos. Por ejemplo, aún se está iniciando la tramitación electrónica de los expedientes de contratación en algunas administraciones.
Es habitual que se esté trabajando con un programa de contabilidad pero no con un gestor de expedientes. Esta situación obliga necesariamente a simultanear la tramitación electrónica y la tramitación tradicional en soporte papel.
Una situación de transitoriedad en la que los programas informáticos no están plenamente implantados obliga a encontrar soluciones transitorias a las dificultades y, como tales, nunca serán plenamente satisfactorias, aunque permitan parcialmente el logro de los fines administrativos.
En definitiva, existen programas de contabilidad, coexisten programas antiguos y nuevos, existe firma electrónica (sólo en algunos casos), puede que no existan gestores de expedientes pero sí restricciones presupuestarias para adaptar los programas informáticos a la variada casuística legal y existe falta de integración entre programas.
Problemas
Los principales problemas detectados son:
a) Problemas de diseño del programa:
Cuando se dictan normas jurídicas de contabilidad, estas deben desvincularse de los actos puramente materiales de aplicación o uso del programa informático, debiendo integrarse estos últimos en una guía práctica sin efectos jurídicos que ayude al manejo del programa.
Una administración, al dictar normas contables, lo que debe perseguir es regular cómo se contabilizan los actos administrativos y las operaciones económicas, bien a través de un programa informático concreto o de cualquier otro. Es decir, no debe vincularse una norma contable a un programa informático.
En determinados casos se ha constatado la pretensión de sustituir un acto administrativo por la autorización de un documento contable en el programa informático. No debe olvidarse que la contabilidad es simplemente, y nada más ni nada menos, un sistema de información para la toma de decisiones. De la contabilidad o de la autorización de un documento contable no pueden, en ningún caso, inferirse consecuencias jurídicas puesto que es un acto meramente material “ad intra”, un acto de mera anotación en el sistema de información que en sí mismo no genera derechos y obligaciones para terceros.
La estructura habitual de un programa contable es a través de una serie de bandejas autorizadas para usuarios predeterminados y no sustituibles de forma que cada uno de esos usuarios (servicios) sólo puede utilizar su propia bandeja y no el resto.
Por ejemplo, el servicio proponente de un expediente lo registra de inicio en su bandeja y lo envía a la del servicio de tramitación. Este lo envía a la bandeja informática del interventor (sólo si el expediente fue tramitado por el gestor como sometido a fiscalización previa), posteriormente a la del órgano autorizador y, finalmente, al órgano de contabilidad.
Otro caso. La calificación jurídica de un contrato como menor depende de que se tramite como exento de fiscalización en el programa informático. Supongamos, además, que dicha tramitación exenta depende de la voluntad del órgano gestor, no de la intervención, y que esta última nunca llegue a pronunciarse sobre dicha calificación. Es una situación que puede suponer una ausencia de control interno sobre un gasto que puede llegar a ser millonario. En relación con este mismo hecho, supongamos un acuerdo marco con cientos de contratos basados que el sistema de información contable dice que son menores sólo porque el programa informático codifica como menores todos los contratos tramitados por el gestor como no sometidos a fiscalización previa[1].
Puede darse el caso de que por imposición del programa informático, para lograr más sencillez o menos coste, es menos dificultoso que esté configurado de forma que identifique los contratos menores por el hecho de tramitarlos como exentos de fiscalización. Si el órgano de control interno solicita una relación de los contratos menores tramitados en un periodo de tiempo simplemente podrá obtener un listado de los expedientes tramitados como exentos sin que, en consecuencia, todos ellos sean contratos menores. En este caso, el sistema de información contable tiene una carencia que dificulta cumplir su función primordial de suministro de información veraz y útil para la toma de decisiones. En esa situación, el control interno no podrá realizar adecuadamente su tarea primordial de control de los fondos públicos.
En toda administración hay expedientes en los que se suscita la duda competencial para su fiscalización ante la intervención general o bien ante la intervención delegada correspondiente. Supongamos que el programa contable permite que el órgano gestor tramite el expediente ante el órgano interventor que considere según su buen saber y entender sin exigir un pronunciamiento previo de la intervención general al respecto. El programa informático está permitiendo que el gestor elija inicialmente el órgano competente para la fiscalización y este hecho puede acabar determinando qué intervención va a fiscalizar sin un criterio uniforme a adoptar por la intervención general.
Otro problema del programa informático surge cuando el decreto de control interno regula que en caso de establecer observaciones en el trámite de fiscalización previa dichas carencias no invalidantes deben ser subsanadas y remitidas a intervención y, en caso contrario, se entiende formulado el correspondiente reparo suspensivo. Si el programa informático no impone en su secuencia de bandejas el necesario reenvío de la documentación subsanada a la intervención, como paso necesario para la continuación de la tramitación informática, sin que exista posibilidad de opción por el gestor, el programa está tolerando la continuación del expediente sin cumplir las prescripciones del decreto de control interno.
Otro ejemplo. Un caso en el que el único programa informático existente es el de contabilidad, sin que exista un gestor de expedientes propiamente dicho. Esta situación obliga necesariamente a simultanear la tramitación electrónica y la tramitación tradicional en soporte papel. En esta situación el órgano de control interno-externo encontrará dificultades inherentes al tener que controlar el expediente en papel y, simultáneamente, fiscalizar la parte del expediente que se tramite electrónicamente. Dificultades que pueden derivar de que la documentación en papel puede no estar referida al mismo momento procedimental de la tramitación que la electrónica.
La implantación de la tramitación electrónica de los expedientes exige que existan equipos mixtos integrados por interventores y empleados informáticos a través de los que permanentemente se tratará de adaptar las funcionalidades del programa informático a los aspectos de legalidad. Estas actuaciones están sometidas a limitaciones porque cada nueva funcionalidad que se pretenda requiere más gasto y no siempre existe consignación presupuestaria para afrontarlo.
Debe intentarse, en todo caso, que los equipos mixtos referidos estén integrados por varios interventores que realicen una tarea de intermediación entre el resto de interventores no integrantes del equipo con el personal informático. Es importante que existan varios interventores en el equipo para evitar que cualquier ausencia provoque una debilidad insalvable en el control interno que ponga en riesgo cierto a toda la organización.
Las dificultades derivadas del diseño del programa informático pueden ser de tal relevancia que limiten puntualmente la función principal de cualquier sistema de información, que es la de proporcionar información veraz para la toma de decisiones.
A este respecto imaginemos que el programa informático codifica por defecto todos los pedidos de suministros que realiza un organismo como contratos menores. Es decir, que cuando el interventor solicita información del consumo del crédito presupuestario habilitado para financiar un expediente contractual ordinario no reflejará la realidad porque parte de dichos consumos se han imputado como menores. Esa calificación predeterminada exigiría la existencia de personal funcionario para corregir al programa e imputar el consumo al crédito presupuestario correcto. Toda esta forma de trabajo provocaría retrasos y problemas por falta de crédito adecuado.
Ciertamente no existirá responsabilidad contable porque todo lo contratado ha sido suministrado y ha sido pagado, pero el programa informático no permite obtener datos fiables y útiles del seguimiento de la ejecución de los contratos para la toma de decisiones.
Otro aspecto que suscita dudas es el relativo a los efectos jurídicos de la validación que el órgano de control interno realice sobre un expediente contable. Si acudimos a la normativa reguladora de la firma electrónica, dicha validación no cumple con los requisitos que se le exigen a aquella. Este hecho, no obstante, no debe privarle de eficacia interna habida cuenta de que el artículo 44.2 de la Ley 40/2015 de 1 de octubre de régimen jurídico del sector público, relativo al “intercambio electrónico de datos en entornos cerrados de comunicación”, establece que “1. Los documentos electrónicos transmitidos en entornos cerrados de comunicaciones establecidos entre Administraciones Públicas, órganos, organismos públicos y entidades de derecho público serán considerados válidos a efectos de autenticación e identificación de los emisores y receptores en las condiciones establecidas en este artículo”.
En el punto 4 se indica que, en todo caso, deberá garantizarse la seguridad del entorno cerrado de comunicaciones y la protección de los datos que se transmitan.
Otra curiosidad, pensemos que el interventor no quiere emplear su tiempo en “dar a la tecla” para que en su bandeja informática el expediente conste como fiscalizado y así se traslade automáticamente a la bandeja predeterminada del siguiente usuario informático. Supongamos a este respecto que el interventor entiende, no sin fundamento, que su actuación debe ser fiscalizar el trasfondo jurídico y económico de los expedientes contables y que dar a la tecla es una actuación meramente material que entiende que corresponde a un auxiliar administrativo. Esta actuación puede tener además su justificación en el tiempo que es necesario para validar decenas o cientos de documentos contables (miles al cabo del año).
No obstante, el programa informático está predeterminado para que el usuario sea el interventor y no otro funcionario que ocupe un puesto de inferior nivel de clasificación. ¿Es legalmente admisible que físicamente valide la fiscalización una persona distinta que no sea interventor siendo éste quien consta en el programa como único usuario? Aunque la validación informática del expediente no sea una firma electrónica pero sí pueda llegar a tener sus efectos y, en consecuencia, este caso podría considerarse un acceso no autorizado.
Otro aspecto a considerar es la responsabilidad del interventor en cuanto al alcance de la fiscalización y cómo aquella, en ningún caso, puede verse limitada por los formatos preestablecidos que imponga el programa informático. Si la bandeja informática tiene unos campos predeterminados que el interventor puede elegir para incorporar al formato de su informe y así enumerar los aspectos sometidos a fiscalización, no por ello su responsabilidad se limita a los resultados de dicha elección, tal como explícitamente se indica en el artículo 214.2 del TRLRHL (“Todo acto, documento o expediente” al referirse al alcance de la intervención previa) y en los decretos de hacienda autonómica.
Por otra parte, toda fiscalización previa limitada exige un control financiero a posteriori sobre una muestra representativa de los expedientes. No es infrecuente que por falta de medios humanos o por falta de conocimiento mismo de la existencia de esa segunda fase no se lleve a puro y debido efecto. Esta situación podría evitarse en muchos casos si el programa informático estableciese un íter predeterminado y de cumplimiento preceptivo que impidiese materialmente la continuación de la tramitación del expediente si no se incluye referencia al plan de control financiero, que debió ser aprobado a priori para completar la fiscalización.
Relajación del control interno
El programa informático debe permitir ejecutar con fidelidad los mandatos de la norma legal. Entonces, si el programa informático está bien diseñado y permite llevar a cabo sólo aquello que la norma prescribe, ¿no resulta prescindible la actuación del interventor? ¿No deberían centrarse todos los esfuerzos de fiscalización en la fase constructiva del programa informático? ¿Cabría sustituir la fiscalización del expediente por la fiscalización de las funcionalidades del programa informático?
A este respecto, la rigidez del sistema informático conduce inexorablemente a una relajación de la fiscalización. Si el programa permitió hacerlo, entonces podríamos deducir que no puede haber problemas de legalidad.
Al tramitarse los expedientes por vía electrónica existe un íter normalizado de forma que no cabe realizar el trámite subsiguiente sin haber cumplimentado el anterior. Los gestores del ente fiscalizado utilizarán este argumento para pretender acreditar la legalidad de las actuaciones. No obstante, el programa informático no tiene por qué estar diseñado con el respeto suficiente a toda la casuística que contemple la respectiva norma jurídica ni tampoco la cumplimentación material de un trámite garantiza la validez de las cuestiones de fondo del expediente.
Sí podría admitirse la relajación del control interno si la actuación a cumplimentar es preceptiva, puramente material y sin que pueda sujetarse a modalidades su ejecución.
Relacionado con este último aspecto, la conformación de las facturas ha sufrido un cambio radical con la implantación de la factura electrónica. Para fiscalizar la fase O, relativa al reconocimiento de la obligación, el control interno pasó de verificar la regla del servicio hecho mediante la firma manuscrita e identificable del Jefe del Servicio del órgano gestor del contrato a la verificación de la misma mediante consulta en el programa informático.
Este cambio supuso la existencia de estadios intermedios. Inicialmente, había jefes de servicio que conformaban de forma manuscrita sobre el pdf de la factura electrónica, por la desconfianza hacia el programa informático y para así garantizar la constancia de dicha conformidad de cara al órgano de control interno.
No carece de importancia que la comprobación informática por la intervención de la existencia de dicha conformación puede precisar recorrer una secuencia telemática no menor que requiere ser aprendida.
A este respecto hemos de comentar que al utilizar el programa informático la fiscalización de la conformación de las facturas, puede resultar bastante más compleja que sobre el papel en una fase inicial de implantación. El simple acceso a la visualización de la factura en pdf puede requerir de un íter largo e imposible de recorrer de forma intuitiva sin una guía escrita que con frecuencia no basta por sí misma.
Al interventor se le planteará, al menos inicialmente, la duda del grado de confianza que debe o puede depositar en el programa informático. Dudas tales como: si el programa informático ha incorporado la factura electrónica, ¿ésta debe darse por válida por intervención? Si se llega a la fase de visualización del pdf electrónico de la factura, ¿existió un paso previo electrónico de preceptivo cumplimiento que obligó a firmarla por el órgano gestor? En caso afirmativo, ¿podemos confiar en que si el programa informático nos permite visualizar la factura, entonces ésta ha sido conformada?
Estas dudas se plantean sobre todo en la fase de implantación de los programas y, en consecuencia, requieren de un efecto aprendizaje hasta que el personal que ejerce el control interno conozca las funcionalidades que le permitan despejar las dudas que le van surgiendo.
Contratación centralizada y acuerdos marco
La Sindicatura de Cuentas del Principado de Asturias aprobó un informe el 30/10/2014 en el que se consideraba sin lugar a dudas como imprescindible el sometimiento a fiscalización previa de los pliegos integrantes del expediente precontractual de un acuerdo marco. Tal postura era contraria a la forma de actuación preestablecida por la intervención.
La intervención no fiscalizaba los pliegos rectores del acuerdo marco bajo el argumento de que en fase precontractual no conllevaban gasto por no tramitarse un documento contable en dicha fase. A la Sindicatura le resultó más que razonable que una cosa es que no se tramite documento contable y otra muy distinta que carezca de contenido económico, que sin duda alguna lo tiene aún en fase precontractual.
Además, el programa informático de contabilidad sólo permite la tramitación de expedientes acompañados de documento contable. Así pues, la fiscalización de la fase precontractual no puede tramitarse a través del programa informático contable.
Consecuencia del mencionado informe de control externo, la administración auditada incorporó, mediante la aprobación del correspondiente decreto, como parte del procedimiento la fiscalización previa de los PCAP de los acuerdos marco.
También en este caso el órgano de control interno se encuentra con la disyuntiva de la competencia para la fiscalización del expediente prescindiendo del programa informático, habida cuenta de que la asignación ordinaria de los expedientes entre intervención general y delegada se efectúa en función del importe económico.
Así pues, aunque el programa informático no permitía la tramitación a la bandeja de la intervención por falta de documento contable, el órgano de control interno tuvo que fiscalizar la fase precontractual como ya hacía con la adjudicación del acuerdo marco y también con la firma de los contratos derivados.
Perfil del contratante
Durante algunos trabajos se han detectado problemas en el perfil del contratante en la publicación de contratos menores derivados del formato de la información suministrada por el programa informático. Es decir, para publicar la información relativa a los contratos menores, el programa informático sólo permitía la extracción de listados con formatos predeterminados que incluían información genérica que era insuficiente para cumplir la finalidad legal de dicha publicación al no permitir conocer el objeto del contrato.
Estos problemas eran aún más manifiestos al diferir entre distintos organismos de la misma administración motivados por los distintos grados de implantación y de integración del programa informático en cada uno de ellos. El órgano de control interno deberá poner de manifiesto la deficiencia de los sistemas informáticos de gestión que impide el cumplimiento de la legalidad.
Se han detectado otros problemas derivados del programa informático. En cada ejercicio presupuestario se empleaba entre 15 y 20 días del mes de enero para cargar el nuevo presupuesto en el programa informático de contabilidad. Este hecho impedía tramitar expedientes durante ese ínterin y, en caso de inaplazable necesidad, exigía al órgano gestor un incremento de la contratación menor en el último mes del ejercicio presupuestario anterior, contrariando la normativa contractual. Idéntica consecuencia tenía el retraso en cargar en el programa informático los precios unitarios de los acuerdos marco ya que los distintos organismos peticionarios debían acudir a la contratación menor al no estar habilitado el procedimiento mediante el programa informático.
Se han detectado a lo largo de los años innumerables casos de ausencias de módulos concretos del programa informático que permitirían el cumplimiento de obligaciones legales diversas. Es el caso del módulo de gastos con financiación afectada, módulo de inventarios de bienes inmuebles a efectos de contabilizar amortizaciones a título de ejemplo. Es decir, no se cumplían las obligaciones contables porque el programa no tenía habilitado el módulo necesario y hacerlo requería disponer de crédito presupuestario para ello.
Es decir la configuración preestablecida de un programa puede generar dificultades de cumplimiento de la legalidad “stricto sensu”.
b) Falta de integración de programas
Puede ser que en el marco de la necesaria evolución hacia una mejora en la prestación de los servicios se incorporen nuevos programas más avanzados que los preexistentes. Eso podría ocasionar problemas de integración hasta la total sustitución del programa preexistente por el nuevo. Por ejemplo, si el organismo gestiona sus compras a través de un programa e incorpora otro nuevo para la gestión contable y no es integrable con el primero. Es decir, el traspaso de las compras al programa de contabilidad desde el de compras se efectúa de forma defectuosa porque, por ejemplo, todas las compras se integran por defecto como contratos menores por imposición del diseño del programa contable. Este hecho obliga a efectuar correcciones manuales de dicha calificación y de ello se derivan retrasos en la gestión de los suministros. A la vez, se dificulta la gestión de los créditos presupuestarios de los expedientes contractuales. Sería necesario integrar dichos programas manualmente durante un tiempo y, como solución transitoria, emplear recursos humanos para traspasar la información correcta del primer programa al segundo. De ello se derivarían problemas en la gestión de las compras y también problemas en el suministro de una adecuada información contable para la toma de decisiones.
Es decir, una inadecuada integración de programas informáticos genera dificultades de cumplimiento de la normativa contable y contractual y el interventor simplemente puede poner de manifiesto tal carencia.
Compatibilidad de archivos informáticos
Caso en el que un interventor tenga que fiscalizar los gastos de personal de distintos organismos. Además, parte de esos organismos gestiona el personal con un programa informático distinto de los otros y no integrable con el resto. El interventor podrá llegar a conocer los programas informáticos y podrá manifestar su opinión favorable sobre la legalidad del fondo de los actos, sólo en algunos casos. No obstante, necesariamente deberá manifestar una opinión desfavorable al conjunto de la gestión puesto que los programas no permiten que sea integrada y que exista una información adecuada para la toma de decisiones acertadas de mejora[2].
CONCLUSIÓN
La experiencia nos indica que existen, sobre todo, dos fuentes de problemas para el desempeño adecuado del control interno en un entorno informatizado:
1.- El propio diseño del programa informático en caso de programas polivalentes que no hayan sido creados “ad hoc” para la administración. Se utilizan programas concebidos para usuarios diversos y la adaptación suficiente para el cumplimiento de toda la normativa aplicable a una administración es dificultosa en términos materiales y económicos.
2.- La falta de integración de programas informáticos preexistentes con otros de nueva implantación.
Ambos aspectos deben ser tenidos muy en cuenta en la correspondiente auditoría informática.
Estas dificultades son subsanables pero es preciso superar dos escollos:
1.- La detección del problema. Muchas veces transcurren años o más de una década puesto que la organización simplemente funciona y las consecuencias negativas del diseño o falta de integración permanecen latentes hasta que la falta de control que conllevan se materializa en un quebranto económico efectivo.
2.- Requiere la existencia de crédito presupuestario adecuado y suficiente.
BIBLIOGRAFÍA
Informe definitivo sobre la fiscalización de los contratos de procedimiento negociado y de la c-tratación menor en las antiguas Consejerías de Educación y Ciencia y de Administraciones Públi-cas y Portavoz del Gobierno. Aprobado el 30 /10/2014.(http://www.sindicastur.es/upload/informes/IDContratosConsejer%C3%ADas546.pdf)
Informe definitivosobre la fiscalizaciónde la gestión de personal del Servicio de Salud del Principado de Asturias (SESPA), ejercicio 2015. Aprobado el 23/10/2017. http://www.sindicastur.es/upload/informes/ID-Personal_SESPA156641.pdf
Informe definitivo sobre la fiscalización del control interno de los ayuntamientos de Laviana, Lena, Salas y Villayón, ejercicio 2016. Aprobado el 30/10/2018 http://www.sindicastur.es/upload/informes/IDControlinterno4Aytos16557.pdf
Informe definitivo sobre la fiscalización de la contración de medicamentos, ejercicio 2017. Aprobado el 24/09/2019. http://www.sindicastur.es/upload/informes/IDContrataci%C3%B3n_medicamentos17.pdf
Diversos informes definitivos de la Cuena General del Principado de Asturias.
[1] Constatado en un informe de fiscalización de los contratos menores aprobado por el Consejo de la Sindicatura de Cuentas del Principado de Asturias el 30 /10/ 2014
[2] Informe de la Sindicatura de Cuenta del Principado de Asturias aprobado el 23/ 10/ 2017