Auditoría Pública nº 81. Revista de los órganos autonómicos de control externo

127 Evaluación de riesgos en los Planes de Integridad versus su utilización en la planificación de las actuaciones de control financiero en las entidades locales La gradación en el orden de prioridad de la acción discrimina los riesgos moderados que son resultado de una combinación de alto impacto y baja probabilidad del resto de riesgos de nivel moderado que presentan una probabilidad de que sucedan media o alta. De este modo, aquellos riesgos con mayor probabilidad de que ocurran quedan priorizados por encima del que marca la matriz sin priorizar. 3. El análisis de riesgos en la planificación del control financiero La aprobación del Real Decreto 424/17, de 28 de abril, por el que se regula el régimen jurídico del control interno en las entidades del Sector público local, ha supuesto importantes novedades en la configuración del modelo de control interno de las entidades locales, donde la gestión del riesgo se convierte en una pieza angular del sistema. Ya sea en la configuración del modelo, donde se ha de destacar la obligatoriedad de asegurar un modelo de control efectivo, estableciéndose unos umbrales temporales míni- mos, o como herramienta para la planificación de las actua- ciones de control financiero a seleccionar anualmente por el órgano interventor, el riesgo se convierte en una pieza determinante en el ejercicio del control interno. El artículo 31.2 del RD 424/2017 define el riesgo como la posibilidad de que se produzcan hechos o circunstancias en la gestión sometida a control susceptible de generar incumplimientos de la normativa aplicable, falta de fiabilidad de la información financiera, inadecuada protección de los activos o falta de eficacia y eficiencia en la gestión. Señala, además, que, una vez identificados los riesgos, será necesario seleccionar actuaciones a realizar. Por eso, se deberá realizar una evaluación para estimar la importancia del riesgo, utilizando tanto criterios cuantitativos como cualitativos, atendiendo a la conveniencia de seleccionar controles con regularidad y rotación, e evitando tanto repetir controles en actividades económico-financieras calificadas sin riesgo, como que se generen debilidades precisamente por la ausencia reiterada de control Pese a que el análisis de riesgos se convierte en una importante herramienta que contribuye a la planificación, análisis y monitorización de las actuaciones de control financiero a realizar por parte del órgano interventor de la entidad local, ni el RD 424/2017, ni las normas de control financiero y de auditoria vigentes en el sector público estatal, a las cuales nos remite el artículo 29.4 de dicho Real Decreto, aportan metodología para el análisis de riesgos. En cualquier caso, ya sea aplicando criterios de gestión de riesgos generalmente aplicados, como la Norma ISO 31000 de Gestión de riesgos (ISO, 2009) o la propia literatura sobre la materia, INTOSAI (2004), Garcia (2018) o Miaja (2018), entre otros, la gestión de riesgos debe entenderse como un proceso para identificar los riesgos que pueden amenazar los objetivos establecidos, diseñando un sistema de control que minimice dichos riesgos y que, por lo tanto, mejore la posibilidad del cumpli- miento de los mismos. En este contexto, si las entidades locales tuvieran establecido sus objetivos y un sistema asociado de gestión de riesgos, las actuaciones de control se podrían seleccionar tomando como referencia el mapa de riegos corporativo. Esa no es la situación habitual, por lo que en estos primeros años de vigencia del RD 424/2017, el órgano interventor ha tenido que elaborar su propio mapa de riesgos, detallando el catálogo concreto de riesgos detectados y las actuaciones de control a realizar. Por ello, y dada la elevada coincidencia en la metodología y los indicadores de riesgo detectados en la Guía para la implantación de planes de integridad en las entidades locales elaborada por la FTBGL, la Intervención general de la Diputación de Girona ha valorado positivamente su participación en el proceso de desarrollo de un modelo común de indicadores de riesgos corporativo que permita reforzar el marco de integridad institucional de la entidad local y, al mismo tiempo, contribuir al diseño de las actuaciones de control financiero y el seguimiento de sus resultados. Los pasos a seguir para evaluar el riesgo Es importante que el proceso de evaluación de riesgos sea estructurado y estandarizado para poder detectar, evaluar y gestionar los riesgos de forma continuada en la organización, y que defina los roles y responsabilidades de los diferentes actores implicados. Los pasos que se han seguido en la evaluación del riesgo son los siguientes: ¡ Paso 1. Identificar los ámbitos a analizar. En este sentido, es importante incluir aquellos ámbitos de gestión relevantes en la organización y en los que esté implicada de forma más clara la asignación de recursos y presupuesto. Así, se recomienda que, al menos, se incluyan los ámbitos de contratación, subvenciones, recursos humanos, gestión presupuestaria y patrimonial y, en aquellas organizaciones que ejerzan la competencia, urbanismo.