Amilivia urge a las Cortes a aprobar el Plan Anual de Fiscalizaciones para este año

El presidente del Consejo Consultivo, Mario Amilivia, urge a las Cortes de Castilla y León a celebrar una sesión de la Comisión de Economía y Hacienda para la aprobación del Plan Anual de Fiscalizaciones (PAF) de 2024.“De lo contrario se podrían paralizar algunos de los trabajos”, advertía durante una comparecencia en este órgano parlamentario para presentar el informe ‘Análisis de la seguridad informática del Ayuntamiento de Valladolid, ejercicio 2022’.

En ese sentido, y una vez que ya ha sido calificado por la Mesa, Amilivia pedía que se reúna cuanto antes la Comisión de Economía y Hacienda para que pueda ser aprobado. En concreto, recoge auditorías a la Gerencia de Servicios Sociales, a la gestión de los gastos de funcionamiento de los centros docentes públicos y concertados de Enseñanza Secundaria Obligatoria y profundizará en el análisis del endeudamiento de la administración autonómica, entre las 28 previstas para este año.

En conjunto, contempla 52 informes, cinco que proceden del plan de 2022, 19 del mismo de 2023 y 28 de carácter legal y especial. Además, el órgano de control ha concluido 15 informes en el año 2023 y tiene prevista la finalización de 13 fiscalizaciones más en el primer cuatrimestre del año 2024.

Como área de relevancia social especial, en colaboración con el Tribunal de Cuentas, el Consejo destaca una fiscalización que alcance a la promoción y gestión de la vivienda protegida en la Comunidad de Castilla y León.

También, una vez finalizado el examen de la gestión del programa de Deuda Pública correspondiente al Plan 2023, junto con el informe legal acerca de la fiabilidad de la Cuenta General, se aprobará conjuntamente otro que analice más pormenorizadamente la situación y evolución de la deuda pública a la vez que verifique aspectos de legalidad, entre otros el cumplimiento de las reglas fiscales.

Recuerda el Consejo que ya realizó el año anterior una auditoría sobre la Gerencia Regional de Salud en el ámbito sanitario, que ahora amplía con otra en materia de ciberseguridad. En el mismo sentido, se hará otra fiscalización para el Organismo Pagador de la Comunidad, la Consejería de Agricultura, Ganadería y Desarrollo Rural, que gestiona los gastos de la Política Agraria Común.

Completa las fiscalizaciones especiales el análisis de los planes estratégicos de subvenciones de la Comunidad Autónoma, ejercicios 2013-2023. A ellas se unen las de mandato legal, como es la Cuenta General de la Comunidad Autónoma y la Contratación administrativa celebrada en el ámbito de la administración general e institucional de la Comunidad Autónoma, ejercicio 2023.

En el ámbito local, prevé la fiscalización de las mancomunidades de municipios, de los consorcios, y de otras entidades asociativas de Castilla y León, como fórmulas alternativas a la reducción de la planta local y las relativas a la seguridad informática de los ayuntamientos de Segovia, Soria y Zamora.

Otras fiscalizaciones, en el mismo ámbito, se refieren a los procedimientos de estabilización de empleo temporal de las entidades locales, el establecimiento de zonas de bajas emisiones en los municipios en colaboración con el Tribunal de Cuentas y a determinadas áreas del Ayuntamiento de San Andrés del Rabanedo ante el incremento de su endeudamiento.

Nueve informes pendientes.

Se trata de a cuarta comparecencia de este mes de enero de Amilivia, ya que se ha habilitado como periodo extraordinario de sesiones para diversos asuntos. Actualmente, el Consejo uenta con nueve informes pendientes de comparecencia, después de los cinco aprobados este mes, y 36 están en tramitación.

En ella ha presentado dos informes, el de análisis de la seguridad informática del Ayuntamiento de Valladolid, ejercicio 2022, y la fiscalización de los expedientes justificados al Fondo de Compensación Interterritorial (FCI), ejercicio 2021.

Amilivia reiteró con relación a este Fondo, creado en 1980 en el marco de la Ley Orgánica de Financiación de las Comunidades Autónomas (LOFCA), que su dotación económica para Castilla y León –19,3 millones de euros en proyectos financiados en 2021, con una ejecución del 100%- es a todas luces insuficiente para contribuir como instrumento de inversión pública a corregir los desequilibrios económicos interterritoriales y a hacer efectivo el principio de solidaridad recogido por la Constitución en su artículo 158.2.

En tal sentido, al tratarse de un Fondo que ha venido careciendo de relevancia cuantitativa para acabar siendo un instrumento marginal de la política regional, abogó por impulsar un aumento significativo de su dotación, con unos criterios de reparto en los que se dé mayor peso a variables como la despoblación y el envejecimiento que caracterizan a territorios como Castilla y León.

Con esta fiscalización sobre el ejercicio 2021 se comprueba si la naturaleza económica de los gastos incluidos en las certificaciones responde a lo previsto en la Ley 22/2001, reguladora de los FCI. Según la ley, el Fondo “se destinará a financiar gastos de inversión en los territorios comparativamente menos desarrollados, que promuevan directa o indirectamente la creación de renta y riqueza en el territorio beneficiario”.

Respecto del Fondo Complementario al FCI, la ley determina igualmente que “se destinará a financiar gastos de inversión que promuevan directa o indirectamente la creación de renta y riqueza en el territorio beneficiario”. Añadiendo, no obstante, que, a solicitud de los territorios beneficiarios, “podrá destinarse a financiar gastos necesarios para poner en marcha o en funcionamiento las inversiones financiadas” con cargo a estos fondos durante un periodo máximo de dos años.

En esta línea, Amilivia remarcó que los proyectos de inversión del FCI se determinan de común acuerdo entre la Administración General del Estado y las 10 comunidades autónomas y dos ciudades con estatuto de autonomía que participan en los mismos. Se dota anualmente con una cuantía que no podrá ser inferior al 22,5% de la base de cálculo constituida por la inversión pública, entendiendo por tal el conjunto de los gastos del ejercicio incluidos en los Presupuestos Generales del Estado y sus organismos autónomos, correspondientes a inversiones nuevas de carácter civil.

En el caso de Castilla y León, explicó, los proyectos de inversión de los FCI no corresponden a proyectos concretos de gasto, sino a determinados subprogramas gestionados por las consejerías de Agricultura y Ganadería; Fomento y Medio Ambiente; Educación; por la Gerencia Regional de Salud y por el Instituto Tecnológico Agrario. Incluyendo como gasto elegible para los FCI todos sus gastos de inversión o, en su caso, de funcionamiento necesarios para la puesta en marcha de las inversiones durante un plazo máximo de dos años.

Amilivia precisó que la dotación de estos fondos en 2021 en el Estado se mantuvo en 432,4 millones de euros, igual que en los 3 ejercicios precedentes. En términos absolutos, Andalucía fue la comunidad que recibe mayor importe (37,2%), seguida de Canarias (13,4%), la Comunidad Valenciana (12,4%) y Galicia (8,9%).

La comunidad que experimentó el mayor aumento fue Canarias (15,3%) y la que sufrió mayor disminución, Extremadura, con una variación negativa del 11,3%.

Por su parte, añadió, Castilla y León mantiene el octavo lugar en porcentaje con un 4,5% del importe total y una dotación de 19.254.240 euros, lo que supone un incremento del 2,6% respecto al ejercicio anterior, debido principalmente a la corrección por renta, compensada, en cierta medida por la población.

Dentro de la cantidad asignada a la Comunidad se destinan 7,7 millones (40,3% del total) a la financiación de proyectos de infraestructuras sanitarias competencia de la Consejería de Sanidad; 5,3 millones (27,5%) a proyectos de infraestructuras para la educación a cargo de esta Consejería; 3,7 (19,4%) a proyectos de infraestructuras agrarias cuya gestión corresponde a la Consejería de Agricultura, Ganadería y Desarrollo Rural; y 2,5 millones (12,8%) a proyectos de infraestructuras viarias gestionados por Fomento y Medio Ambiente. En todos los casos, las cuantías experimentan de forma lineal el incremento general del 2,6% registrado por la Comunidad con respecto al ejercicio 2020.

El grado de ejecución de los superproyectos financiados alcanzó el 100%. En cuanto a la distribución por provincias de estos recursos, las más beneficiadas fueron Soria (al igual que en 2020) con un 16%; seguida de Salamanca, Ávila y Burgos, las tres con un 12%. La menos beneficiada fue Palencia (en 2020 fue Zamora), con el 6% de la dotación total de los fondos.

Teniendo en cuenta la evolución histórica de la dotación de los FCI por provincias desde el ejercicio 2004 al de 2021, Burgos con el 16%, seguida de León con el 14%; Salamanca con el 13% y Valladolid con el 12% fueron las que más inversiones ejecutaron con cargo a estos fondos.

Considerando los últimos 5 años, la provincia más beneficiada es Salamanca, que recibió el 19%; seguida de Valladolid (15%) y en tercer lugar León y Soria con una inversión del 10%. El resto de las provincias oscilan entre el 7% de Palencia y Ávila y el 9% de Segovia.

En cuanto a la evolución general de los FCI en Castilla y León durante el periodo 1990-2021, las dotaciones experimentaron una disminución del 59,8%, correspondiendo el mayor importe a 2008 con 85,1 millones de euros. Los recursos fueron descendiendo en cada anualidad a partir de 2009 y desde 2015 el importe de la dotación ha tenido pocas variaciones, sin superarse anualmente los 20 millones.

En el periodo 2009-2021 en Castilla y León se ha producido una minoración de la asignación de los recursos en un 77,1%, lo que supone una disminución de 64 millones de euros.

Los superproyectos de infraestructuras agrarias tuvieron la máxima dotación en 2009 con 25,2 millones, siendo en 2021 de 3,7. En infraestructuras viarias la máxima dotación se registró en 2008 (61,4 millones), siendo el importe en 2021 de 2,5. Los superproyectos de infraestructuras sanitarias y de infraestructuras para la educación alcanzaron sus mayores dotaciones en 2009 con 14,4 y 14,2 millones respectivamente, reduciendo sus asignaciones en 2021 hasta 7,8 y 5,3 millones.

El Consejo de Cuentas constata en su opinión que, con carácter general, “se cumple la legalidad respecto de la ejecución de los proyectos FCI en 2021 en lo que respecta a la naturaleza de los gastos realizados”.

La opinión refleja también que “la Comunidad no lleva una contabilidad separada de los proyectos individuales susceptibles de financiarse con los FCI, si bien la certificación se realiza a nivel de superproyectos”. En este sentido, se mantienen las debilidades de control interno relacionadas con la gestión de estos fondos, detectadas en las fiscalizaciones de años anteriores.

Respecto de los derechos, el Consejo opina que “su contabilización ha sido adecuada, excepto por las diferencias puestas de manifiesto en las dos entidades que gestionan las infraestructuras agrarias”. A este respecto, “la gestión y contabilidad de los fondos correspondientes a Infraestructuras Agrarias, como en ejercicios anteriores, no se ha efectuado correctamente al no corresponderse los derechos reconocidos con los gastos justificados”.

A la vista de todo ello, el Consejo mantiene las dos recomendaciones de ejercicios anteriores a la Consejería de Economía y Hacienda. Por un lado, adoptar las medidas necesarias para que la contabilidad que refleja la ejecución de los proyectos financiados con cargo a los FCI proporcione una información pormenorizada de cada proyecto incluido a nivel de superproyectos en el Anexo a la Sección 36 de los Presupuestos Generales del Estado.

Por otro, adoptar las medidas necesarias para que la gestión y contabilidad de los fondos correspondientes a infraestructuras agrarias se efectúe correctamente, correspondiéndose los derechos reconocidos con los gastos justificados, tanto en el ITA como en la propia Consejería de Agricultura.

Seguridad inforática del Ayuntamiento de Valladolid

Respecto al análisis de la seguridad informática del Ayuntamiento de Valladolid, este informe se enmarca en los trabajos de revisión de los controles básicos de ciberseguridad que, de forma pionera, viene realizando el Consejo de Cuentas.

Tras una primera serie publicada en 2021 correspondiente a siete ayuntamientos de tamaño intermedio, se están abordando las capitales de provincia de la Comunidad. El análisis del Ayuntamiento de Valladolid es la cuarta auditoría a una capital de provincia después de las de Ávila, Burgos y Palencia, estando ya publicados también los relativos a Salamanca y León. Además, el Plan de fiscalizaciones de este año contempla los de los consistorios de Segovia, Soria y Zamora.

Mediante esta fiscalización se analizaron las actuaciones, medidas y procedimientos adoptados para la efectiva implantación de los controles básicos de ciberseguridad, así como el grado de efectividad alcanzado por estos controles.

Todos los ayuntamientos capitales de provincia, significó Amilivia, han sufrido una transformación digital que debe cumplir unos requisitos mínimos de seguridad en sus sistemas de información al ser estos el soporte de los procesos básicos de gestión que los ayuntamientos llevan a cabo, incluyendo algunos tan relevantes como la gestión contable y presupuestaria, la recaudación de tributos o la gestión del padrón municipal.

En este caso, se ha analizado la situación existente hasta el pasado ejercicio 2023, sin perjuicio de comprobaciones realizadas en años anteriores. El Consejo de Cuentas realizó 8 controles básicos de seguridad: dispositivos hardware de la red; inventario y control de software; vulnerabilidades; privilegios administrativos en ordenadores, redes y aplicaciones; configuración de seguridad de dispositivos; registros de eventos que pueden ayudar a detectar, entender o recuperarse de un ataque; realización de copia de seguridad de la información crítica y cumplimiento normativo como el del Esquema Nacional de Seguridad o la Ley Orgánica de Protección de Datos y de Garantía de los Derechos Digitales.

Amilivia anotó las principales conclusiones del informe, entre ellas, que, en lo relativo al entorno tecnológico, se deduce que la concejalía de Planificación y Recursos no realiza todas las acciones necesarias para una dirección efectiva de la política de seguridad informática, especialmente en el ámbito de impulso de la cobertura de plazas, del nombramiento de los principales responsables de la gestión y seguridad informática. Así, la entidad dispone de 18 puestos relacionados con las tecnologías de la información, estando cubiertos 12.

El ayuntamiento tiene en general, dada su estructura y dimensión, un sistema con una adecuada protección perimetral, redundancia en los accesos a internet, equipamiento y configuración de la red local. Sin embargo, se observan algunas carencias en cuanto a la ubicación de cierto equipamiento ante contingencias que pudieran afectar a la red.

Con relación a las conclusiones relativas a la implantación de los controles básicos de ciberseguridad, los resultados reflejaron deficiencias generalizadas en la mayoría de ellos, no alcanzando un nivel de seguridad adecuado en el momento en que se practicó esta auditoría. Estos controles están definidos por la Asociación de Órganos de Control Externo Autonómicos –de la que forma parte el Consejo de Cuentas—y se evalúan según el modelo de madurez de procesos, que establece 6 niveles (de cero a 5).

En este sentido, se considera que la actividad organizativa de los controles debe alcanzar como mínimo el nivel 3, que implica un proceso “bien definido y estandarizado”. En el momento de realizarse la auditoría, el ayuntamiento reflejaba globalmente un nivel de madurez 2.

Sobre dicho nivel se calcula el índice de cumplimiento que servirá de referencia para la evaluación global de los controles de ciberseguridad. El índice mínimo de madurez se considera que es del 80%, alcanzando el ayuntamiento un 67%. De los controles revisados, destaca como el mejor implantado el 7 (copias de seguridad).

La última conclusión refiere los avances en la aplicación del Real Decreto 311/2022, por el que se regula el Esquema Nacional de Seguridad, constatándose que la entidad está trabajando en la adaptación a este nuevo Esquema Nacional siguiendo el plan de adecuación elaborado por la Oficina Técnica de Seguridad, con el perfil de cumplimiento para ayuntamientos de gran tamaño. El consistorio dispone de esta Oficina desde octubre de 2022.

Diez son las recomendaciones efectuadas al ayuntamiento. Primeramente, que el alcalde debería impulsar las actuaciones necesarias para solventar los incumplimientos normativos y las deficiencias técnicas constatadas en la revisión. Debería asimismo promover un “compromiso firme por parte del pleno del ayuntamiento con el cumplimiento de la normativa”, elaborando una estrategia a largo plazo, estableciendo una “gobernanza de tecnologías de la información adecuada” comenzando por solventar la situación en cuanto a plazas relevantes como la de responsable de seguridad.

Con relación al entorno tecnológico, se recomienda el impulso por parte del alcalde de la adecuada dotación de las plazas contempladas en la RPT para garantizar una estructura que cumpla los principios de seguridad como función diferenciada y que tenga capacidad de asumir las tareas requeridas para la gestión de sus sistemas de información. Por su parte, el responsable de seguridad que se determine debería garantizar que existe una documentación suficiente del entorno de tecnologías de la información del ayuntamiento para asegurar que el conocimiento sobre los sistemas de información está disponible con independencia de las personas que formen el departamento.

Sobre el inventario y control de activos y el uso controlado de privilegios administrativos, se recomienda que el alcalde debiera impulsar una planificación a largo plazo de las necesidades de renovación tecnológica.

En lo referente al proceso continuo de identificación y corrección de vulnerabilidades, el primer edil debería impulsar la inclusión en la contratación de los servicios informáticos de las cláusulas que permitan realizar un control de cómo se llevan a cabo los servicios y el uso y control de los privilegios de administración, de acuerdo con lo especificado en el Esquema Nacional de Seguridad.

También, el responsable de seguridad debería participar junto con el responsable del sistema en las decisiones que conllevan el empleo de herramientas automatizadas para la detección de vulnerabilidades.

Finalmente, en cuanto al cumplimiento normativo, el Consejo recomienda que “el Pleno siga liderando las actuaciones ya iniciadas para dotar a la entidad de una adecuada política de seguridad y una declaración de aplicabilidad, de acuerdo con lo especificado en el Esquema Nacional de Seguridad”.

El Pleno también debería aprobar una normativa que garantice que el registro de actividad de los usuarios se realiza de acuerdo con lo establecido en el Esquema Nacional de Seguridad, “con plenas garantías del derecho al honor, a la intimidad personal y familiar y a la propia imagen de los afectados, y de acuerdo con la normativa sobre protección de datos personales, de función pública o laboral”.

Finalmente, el alcalde debería requerir al delegado de protección de datos la supervisión del cumplimiento del Reglamento General de Protección de Datos.

Con la de hoy, el presidente del Consejo de Cuentas ha comparecido en las Cortes en 48 ocasiones para presentar 121 informes, lo que supone el 43 por ciento de toda la serie histórica.