El presidente del Consejo de Cuentas, Mario Amilivia, presentó 16 informes en la Comisión de Economía y Hacienda del Parlamento autonómico, siete referidos al análisis de la seguridad informática en los ayuntamientos de Astorga, Béjar, Benavente, Ciudad Rodrigo, La Bañeza, Santa Marta de Tormes y Villaquilambre, y otros 9 relativos al análisis de la eficacia y eficiencia de la gestión recaudatoria en las diputaciones de la Comunidad.
La presentación de los trabajos de ambas áreas la realizó agrupadamente. A modo de balance, tras esta exposición quedan 14 informes pendientes de comparecencia en la Comisión. En el actual mandato del Consejo, Amilivia ha comparecido ya en 25 ocasiones para presentar 74 informes, un 31% del total histórico. La institución tiene en estos momentos 63 informes en distintas fases de tramitación, expresión del trabajo de control externo permanente que lleva a cabo.
Con relación a los informes sobre la seguridad informática, los primeros de este tipo que realiza el órgano de control externo, Amilivia resumió que “en líneas generales, el nivel de preparación de los ayuntamientos en materia de ciberseguridad no es proporcional a las amenazas”. Argumentó que “las administraciones públicas, a la hora de acometer el desafío de la administración electrónica o de la prestación de servicios de asistencia online, deben ser conscientes de que se convierten en garantes de los datos de los ciudadanos” y que “ahora todo pasa por la seguridad informática”.
Este análisis de carácter pionero, realizado durante 2020 y 2021, se centró en ocho controles básicos de seguridad, un conjunto priorizado de medidas de seguridad orientadas a mitigar los ataques más comunes y dañinos. Adicionalmente se valoraron las recomendaciones de las guías del Centro Criptológico Nacional.
“Los casos de ciberataques al Servicio Público de Empleo Estatal o a la Diputación Provincial de Segovia, que paralizaron durante semanas su actividad, son ejemplos -explicó- de lo necesario de estas revisiones en el marco de la auditoría operativa, no limitada exclusivamente a los sistemas de información contable y financiera”. “Si atendemos a las cifras oficiales, en 2019 se detectaron 3.172 ciber incidentes de peligrosidad muy alta, mientras que en 2020 se han duplicado. El Centro Criptológico Nacional ha detectado 82.530 incidentes durante 2020, mientras que en el año anterior se reportaron en torno a 43.000”, detalló.
Por ello, el efecto que se busca con las auditorías informáticas es el de “gota de aceite” para expandir la cultura de la ciberseguridad. “De hecho, estamos verificando que tras estas primeras fiscalizaciones otros ayuntamientos empiezan a contratar soluciones o a organizar servicios internos. Queda un largo camino que recorrer, pero no es algo optativo. La fiabilidad de la información de nuestras administraciones, que es la de los ciudadanos, está en juego”, apostilló.
En general, los ayuntamientos mostraron una actitud de colaboración, muy relevante en aquellos con sistemas de información internos con infraestructura propia y personal de tecnologías de la información escaso, que han visto el trabajo realizado como una oportunidad de poner el foco en carencias que llevan tiempo sufriendo y que, según estos técnicos, no han sido una prioridad para la dirección.
Entre otros problemas detectados, figuran la percepción propia de estos ayuntamientos como pequeños y por tanto sin necesidad de tener que cumplir con requisitos que solo ven proporcionados en administraciones de mayor tamaño, y la justificación en la falta de recursos, bien con el argumento de que la ciberseguridad no vende y/o por falta de impulso político, y la baja percepción del riesgo en algunos casos.
En lo relativo al entorno tecnológico, de los 7 ayuntamientos fiscalizados, 4 hacían uso de los servicios de su diputación provincial en materia de asistencia informática y 3 optaron por adoptar sus propias soluciones de manera independiente. Solo existía una estructura de tecnologías de la información y la comunicación (TIC) en dos ayuntamientos que, en ambos casos, no utilizan los servicios de la diputación. Sus recursos son insuficientes, sin disponer de tiempo para elaborar un procedimiento, documentar sus sistemas o mantener actualizados los inventarios si los hubiera.
Un tercer ayuntamiento que no utiliza los servicios de la diputación optó por una externalización completa, sin disponer de personal con conocimientos necesarios para mantener el control sobre la prestación. Con respecto a los 4 ayuntamientos que usan los servicios de la diputación, no existe personal técnico propiamente dicho en ninguno, realizando todos ellos contrataciones a empresas de mantenimiento informático para las tareas de gestión diaria.
Servicios TIC
En cuanto a la contratación de servicios TIC, en todos los casos se encontraron carencias muy relevantes y con respecto al uso de los servicios de la correspondiente diputación, los convenios son muy escuetos y los recursos se utilizan en otras ocasiones sin que se regulen formalmente las condiciones.
Durante la evaluación de los controles básicos de seguridad los resultados reflejaron deficiencias generalizadas en la implantación de la mayoría de los controles, no alcanzando ningún ayuntamiento un nivel de seguridad adecuado.
Se efectuaron 50 tomando en cuenta los 7 informes. Cuatro de ellas se dirigen a los 7 ayuntamientos. Por ejemplo, que el concejal competente debería impulsar las actuaciones necesarias para solventar los incumplimientos normativos y las deficiencias técnicas constatadas; que los alcaldes respectivos deberían asumir y promover un compromiso firme por parte del pleno con el cumplimiento de la normativa, elaborando una estrategia a largo plazo; que los alcaldes nombraran a los responsables de la información, del servicio y de la seguridad; y que el responsable de seguridad correspondiente elabore y lleve a aprobación el procedimiento sobre tareas, responsabilidades, registros o documentación, entre otros aspectos.
Además de estas recomendaciones, el Consejo trasladó algunas más específicas a los ayuntamientos de Astorga y Santa Marta de Tormes (acerca de las contrataciones realizadas); a los de Benavente y Villaquilambre (sobre el inventario y control de hardware y software, y el uso controlado de privilegios administrativos); a los de Benavente, La Bañeza y Villaquilambre (sobre el proceso continuo de identificación y corrección de vulnerabilidades); al de Benavente (sobre el uso controlado de los privilegios administrativos); a los de Benavente, La Bañeza y Villaquilambre (sobre el cumplimiento de la normativa en materia de protección de datos); a este último consistorio y al de Benavente (sobre las garantías del derecho al honor, intimidad personal y familiar, y a la propia imagen de los afectados); al de La Bañeza (sobre el cumplimiento del Reglamento General de Protección de Datos); al de Villaquilambre (sobre la cobertura definitiva del puesto de delegado de protección de datos) y, finalmente, al de La Bañeza y el de Villaquilambre (sobre el entorno tecnológico del ayuntamiento).
Eficacia de la gestión recaudatoria
En relación con los 9 informes sobre el análisis de la eficacia de la gestión recaudatoria que desempeñan las diputaciones provinciales para los ayuntamientos en función de las actuaciones, medidas y procedimientos adoptados, así como el coste que genera, Amilivia destacó que la fiscalización de los ingresos públicos no es normalmente un objetivo prioritario de los órganos de control externo. No obstante -afirmó- “los ingresos públicos constituyen una contribución coactiva del patrimonio de los ciudadanos por lo que su control resulta básico como medio de garantizar el sostenimiento de los gastos públicos”.
Ante ello subrayó la conveniencia de “ahondar en la fiscalización de los ingresos públicos, aspecto que abordan estos informes, centrados en el ámbito local y en unas entidades -las diputaciones- que tienen en Castilla y León una importancia capital en la vida de los pequeños ayuntamientos”.
Fiscalización operativa y novedosa en el contexto de los órganos de control externo del Estado, analizó cómo estas entidades realizan la gestión tributaria delegada, los procedimientos y sistemas existentes. Se comprobó además la eficacia de la gestión recaudatoria de los tributos municipales, analizándose el coste de dicha gestión.
-Conclusiones. En la Diputación de Ávila se constató la externalización de casi todas las funciones de gestión tributaria y recaudatoria a pesar de que tienen un organismo autónomo creado. El Consejo recomienda la debida gestión directa.
En la de Burgos varias entidades financieras colaboran en materia de recaudación. El Consejo recomienda que dichos servicios no sean remunerados, advirtiendo que en ningún caso las entidades de crédito pueden adquirir el carácter de órgano de recaudación.
En cuanto a los aspectos organizativos, tres diputaciones (Ávila, Salamanca y Valladolid) tienen un organismo específico de recaudación. El resto prestan el servicio integrado en la organización provincial. Las diputaciones con más personal asignado a la prestación del servicio de gestión tributaria y recaudación son las de León y Salamanca y, con menos, las de Ávila, Soria y Palencia.
Un porcentaje superior al 95% de los municipios de cada provincia delega a las diputaciones las facultades de gestión tributaria y recaudatoria, siendo muy habitual la delegación de la gestión en sentido amplio (gestión, liquidación, recaudación e inspección) y mayoritarios los casos en los que se delega tanto la recaudación voluntaria como la ejecutiva.
Cinco diputaciones (León, Salamanca, Soria, Valladolid y Zamora) cuentan con una ordenanza general de gestión tributaria y recaudatoria. Salvo Salamanca, las otras ocho cuentan con una ordenanza reguladora de la tasa por la prestación del servicio de recaudación. En relación con los procedimientos de inspección, generalmente relacionados con el Impuesto de Actividades Económicas (IAE), solo 4 diputaciones los desarrollan: Ávila, Salamanca, Segovia y Valladolid.
Con relación a la información sobre la gestión recaudatoria, en periodo voluntario los indicadores del grado de recaudación son muy altos, alrededor del 90% de lo puesto a cobro -en todas las diputaciones- sumando de forma agregada un total de 476 millones de euros. El desglose por diputaciones es el siguiente: Ávila 48,5 millones de euros; Burgos 63,5; León 103,3; Palencia 30,1; Salamanca 73,2; Segovia 46,6; Soria 22,3; Valladolid 54,1 y Zamora 34.
En fase ejecutiva el grado de recaudación es muy bajo en todas las diputaciones y tributos, apenas el 30% sobre la suma total de las 9 instituciones, siendo también muy bajo el número de actuaciones de apremio y embargo, así como el alto grado de créditos que se declaran incobrables.
Coste y rendimiento del servicio
En cuanto al análisis del coste y rendimiento del servicio, las diputaciones de Salamanca, León, Segovia y Burgos son las que perciben más ingresos por la tasa del servicio de gestión recaudatoria que prestan a los ayuntamientos. Estas mismas -salvo Burgos y Valladolid- son las que registran también mayor ingreso por municipio, siendo las de Ávila, Soria y Burgos las que menor ingreso tienen por municipio.
Las diputaciones donde se dan los mayores gastos por prestar el servicio son las de León, Salamanca, Ávila y Valladolid, siendo también las que registran mayor coste por municipio. Finalmente, significó, en las de Zamora, Segovia y Burgos los ingresos obtenidos por la tasa de prestación del servicio superan a los costes que genera dicha gestión.
El Consejo emitió 96 recomendaciones dirigidas a las 9 diputaciones y salvo algunas de carácter singular, en la mayoría de los casos contemplan aspectos bastante comunes orientadas a mejorar los procedimientos y corregir las principales deficiencias detectadas. Entre otras, para todas estas instituciones se recomienda que el responsable del Servicio de Recaudación promueva la adopción de medidas para mejorar las posibilidades de extracción, explotación y tratamiento de los datos incluidos en el sistema de información tributaria.
Se recomienda que el Pleno de las de Ávila, Burgos, Palencia y Segovia debería aprobar una ordenanza general específicamente reguladora de la gestión, liquidación, recaudación e inspección de los tributos locales delegados. En el caso de Burgos, dicha regulación debe incluir la relación con las entidades financieras colaboradoras, teniendo en cuenta el carácter no retribuido de esta colaboración.
A todas, excepto Salamanca, se recomienda que el órgano de recaudación incremente las actuaciones y procedimientos de verificación y comprobación tributarias. En las de Ávila, León y Segovia debería mejorarse el grado de recaudación en periodo voluntario de los impuestos ya que, con carácter general, se sitúa algo por debajo de la media.
También, el Consejo recomienda que en todas las diputaciones el órgano de recaudación debería mejorar la eficacia de sus actuaciones de apremio y embargo para el cobro de deudas en ejecutiva, y que en el caso de Ávila, Burgos, León, Palencia, Salamanca y Valladolid estas deberían incrementar la eficacia de la gestión recaudatoria promoviendo el aumento de ingresos mediante la repercusión de las costas del procedimiento de apremio a los obligados tributarios. Finalmente, subrayó que las diputaciones de Burgos, Palencia, Salamanca, Segovia, Soria y Zamora, conforme a una adecuada metodología de costes, debería vigilarse el binomio coste/rendimiento del servicio de gestión tributaria y recaudación, a los efectos de controlar que la tasa establecida, apoyada en un estudio económico, no rebasa dicho coste.