Claves de la auditoría interna en hospitales
Auditar un hospital tiene aspectos únicos. Se requiere de un tacto especial a la hora de obtener la información y tratar con el personal, es un espacio en el que prima el bienestar de los pacientes a todo costo y son pocos los profesionales que se acercan al campo de la administración. Es clave conocer el negocio y su entorno, entender el objetivo de estas instituciones; siempre se debe organizar el plan de trabajo según los riesgos que se encuentren, donde sea más potencial es por donde se debe empezar; para ejecutar el plan es vital recordar las buenas relaciones y el entendimiento con el personal; se puede generar valor a partir de las recomendaciones, destacando aquello que funciona de manera correcta.
Redacción INCP a partir del artículo publicado en Auditool
Para mayor información, puede revisar el artículo titulado “Auditoría interna en hospitales: los cinco retos de ejecutar la función” de la fuente Auditool.
Auditoría interna en hospitales: los cinco retos de ejecutar la función
A diferencia de otros sectores, en el hospitalario el auditor requiere sensibilizarse con la operación, tener mayor tacto y diplomacia con el personal para evaluar y recomendar acciones acordes a la realidad.
La función de Auditoría Interna ha ido tomando un papel cada vez más relevante en el día a día de las empresas: en la vigilancia de los procesos, en la confianza y certidumbre de la información financiera emitida y el control de las operaciones; sin embargo, el sector hospitalario, es el sector más complicado de administrar y dirigir, lo que nos enfrenta a retos importantes antes de lograr la implementación y ejecución de la función de auditoría interna con éxito.
Reto 1: Conocer el negocio
Como parte de la metodología internacional para el ejercicio de la auditoría interna emitida por The Institute of Internal Auditors de los Estados Unidos de América, la primera etapa consiste en conocer el negocio: sensibilizarse con la operación de la Organización, entender sus objetivos financieros, operacionales y de cumplimiento, para estar en posición de evaluar los procesos, los controles y emitir recomendaciones de calidad.
Cuando hablamos de un hospital, conocer el negocio se vuelve particularmente complicado, ya que no estamos enfocados en la eficiencia de una línea de producción, en la colocación y venta de un producto o en proporcionar un servicio; estamos hablando de la salud de una persona y, en muchos casos, de una vida.
Dicho lo anterior, es importante que el equipo de trabajo esté sensibilizado sobre la gran responsabilidad que implica la atención al paciente, por lo que los controles a evaluar y los que se recomienden para mitigar los riesgos existentes no deben, en ningún momento, entorpecer la calidad y oportunidad de dicha atención.
Durante el entendimiento, se considera que los siguientes aspectos son importantes para determinar el grado de madurez de la Institución y la amplitud de las pruebas a ejecutar:
- Existencia de controles compensatorios: en algunos procesos críticos, los controles tradicionales no funcionan como en otras industrias, por lo que este tipo de controles son utilizados (por ejemplo: usar vales autorizados para la salida de materiales en el almacén del servicio de Urgencias no funciona).
- Controles Gerenciales para analizar e identificar irregularidades en la operación (por ejemplo: análisis de relación Costo – Ingreso)
- Validar la integridad de las cuentas de los pacientes: no solo identificar omisiones en el cobro, sino también para observar cargos no procedentes en perjuicio del paciente.
- Eficiencia en los procesos de admisión y alta de los pacientes, que asegure la integridad de la información del paciente evite o minimice pérdidas económicas por omisión de cargos a pacientes o cobros indebidos; así como el grado de satisfacción del paciente.
- Efectividad de la cadena de suministros, oportunidad en la entrega de materiales y medicamentos para el paciente, y mecanismos definidos para las compras de urgencia o de materiales fuera del stock.
- La complejidad de la infraestructura tecnológica que soporta las operaciones y el intercambio de información entre los sistemas administrativos y clínicos.
- Una técnica eficiente para conocer los procesos del negocio son los “recorridos del proceso” (walkthroughs), durante los cuales se conoce la dinámica de la operación, se identifican los riesgos existentes y los controles implementados.
En estos recorridos se deben incluir las áreas, departamentos y servicios que integran al Hospital, por mencionar algunas:
Administrativas:
- Recursos Humanos.
- Tesorería.
- Activo fijo.
- Proyectos de inversión.
- Admisión y Caja.
Operativas:
- Almacén General (materiales) y Suministros.
- Farmacia Intrahospitalaria.
- Ropería.
- Medio Ambiente.
Clínicas/Médicas:
- Central de Equipo y Esterilizaciones (C.E. y E.)
- Laboratorio
- Hemodinamia
- Imagenología
- Medicina Critica (Terapia intensiva)
- Urgencias
- Fisiología Pulmonar
- Medicina Preventiva
Reto 2: El plan de auditoría, la priorización por riesgos
Una vez que se ha entendido el negocio y conocido los riesgos, las debilidades de control y algunas de las áreas de oportunidad existentes, se define el plan de auditoría, el cual incluirá las áreas/procesos a revisar durante el periodo definido, en este caso y de acuerdo a la metodología antes mencionada, se basó el plan en la evaluación de riesgos (considerando los riesgos estratégicos, de procesos, de sistemas de información y cumplimiento, entre otros).
El enfoque de evaluación de riesgos implica el priorizar el universo de auditoría en términos de probabilidad de ocurrencia e impacto, con la finalidad de cubrir las áreas/procesos más vulnerables en primer lugar, teniendo especial énfasis en aquellas áreas/procesos que tienen un impacto, directo o indirecto, en el paciente, como lo son: Compras, Inventarios, Admisión de pacientes, Administración de las cuentas de los pacientes, entre otras.
Además es necesario considerar los siguientes aspectos:
- Expectativas de la Administración del negocio sobre cómo la función de Auditoría Interna apoyará en la mejora y eficiencia en los procesos para la Organización.
- Alinear los objetivos de la auditoría interna con las iniciativas estratégicas del negocio.
- Incluir dentro del alcance de las revisiones los proyectos especiales o preocupaciones específicas del Comité de Auditoría o la Administración.
Cabe mencionar que los sistemas de información deben ser considerados dentro del plan anual de auditoría interna, ya que ellos representan, hoy en día, la médula espinal de toda Organización para la operación del negocio.
La auditoría de los sistemas de información puede ser tan extensa como compleja, ya que las revisiones se pueden enfocar en los Controles Generales del Computador (CGC), la revisión de perfiles de accesos de los usuarios a los sistemas, la segregación de funciones, la infraestructura tecnológica, las interfaces entre sistemas, entre otros; por ello es indispensable contar con personal especializado en la auditoría de sistemas, que aporten sus conocimientos y experiencia en cada revisión programada, ya sean de revisiones de procesos o exclusivas de Tecnología de la Información, lo que reforzará el control interno en la Organización.
Reto 3: La ejecución de la función en un ambiente dinámico
Una vez definido y aprobado el plan de auditoría por el Comité de Auditoría, su cumplimiento es responsabilidad del equipo de Auditoría Interna, la elaboración del programa de trabajo, el diseño de las pruebas y su ejecución; para lo cual la preparación técnica del equipo es importante, conforme a los roles y responsabilidades de cada integrante.
La habilidad del equipo para relacionarse con el personal juega un papel relevante: los Auditores deben estar conscientes de que en las áreas clínicas y médicas tratarán con personas que no tienen un enfoque administrativo en su mayoría, ya que:
- Son Jefes de Servicios Clínicos (Imagenología, Cirugía, Laboratorio, etc.) que tienen una preparación médica y clínica
- Es personal de Enfermería dedicado a la atención de varios pacientes simultáneamente.
Además se deben considerar las particularidades de algunos procesos dentro de la operación, lo que influirá en gran medida para la determinación en las horas a invertir en las revisiones y el alcance de las pruebas:
Compras:
- Se cuenta con un gran número de familias de productos: medicamentos, materiales, equipo médico e instrumental, activos fijos, perecederos, entre otros.
- Se tienen métodos particulares de compra: compras “a vistas” (materiales que se compran hasta después de que el médico los seleccionó y utilizó en la cirugía con la asistencia del proveedor), compras de materiales y medicamentos que no están dentro del stock definido y se hacen a solicitud del médico tratante, alto volumen de compras de emergencia, etc.
Ingresos:
- Diversidad en las fuentes de ingresos: Hospitalización, estudios clínicos y cirugías ambulatorias, venta de medicamentos, venta y renta de equipos, rentas de consultorios y “time-share”, por mencionar algunos
- Complejidad en la administración de las cuentas de los pacientes por las diversas fuentes de información para el cargo de los materiales, medicamentos, estudios clínicos y servicios proporcionados
Inventarios:
- Estructura centralizada en el Almacén General (materiales) y la Farmacia Intrahospitalaria (medicamentos) como proveedores internos principales y segregada en sub-almacenes como distribuidores finales a los servicios/departamentos.
- Alto volumen de operaciones registradas por salidas (cargo al paciente-costo o cargo al departamento-gasto) y transferencias entre almacenes internos o centros de distribución
Reto 4: Emisión de reportes y su seguimiento, presencia de la función después del trabajo de campo
Una vez que el trabajo de campo ha concluido, los hallazgos han sido revisados y aceptados por el área auditada y las recomendaciones fueron evaluadas conjuntamente para corroborar su viabilidad y funcionamiento, se emite el informe final, debiendo el área auditada dar respuesta a cada hallazgo con un plan de acción, donde designa a los responsables y fechas compromiso para su cumplimiento.
La responsabilidad de la función de Auditoría Interna no concluye con la emisión del informe, se debe evaluar que el plan de acción mitigue los riesgos identificados durante la auditoría, y que las propuestas de cambios en los procesos que consideren necesarios no generen nuevos riesgos, como pudieran ser la duplicidad de tareas o la inadecuada segregación de funciones.
El apoyo de la alta Dirección y los órganos de gobierno corporativo (como el Comité de Auditoría) es fundamental en el seguimiento de observaciones, ya que ellos son los responsables de ejercer presión en las áreas para que cumplan con sus propios compromisos. El departamento de Auditoría Interna debe designar tiempos para realizar el seguimiento de las observaciones dentro de su plan anual del año siguiente, además de monitorear constantemente el vencimiento de las fechas compromiso y pedir reportes de avance a las áreas auditadas, buscando que la presencia de la función sea una constante en las actividades diarias de la organización, más que una visita periódica de unas cuantas semanas.
Reto 5: La generación de valor desde la perspectiva del auditor
El término “valor” es muy relativo y subjetivo, depende del contexto en el que se utilice y las expectativas de la persona que lo recibe. En la experiencia, la generación de valor se da desde la conceptualización del plan de auditoría, cuando se comienza por cubrir las áreas de mayor riesgo para la Organización y de esta manera se asegura el cumplimiento de los objetivos establecidos; sin embargo, las muestras más representativas de cómo ofrecer “valor” a la Organización como una función de Auditoría Interna son:
Recomendaciones
Como auditores internos, no importa la forma en que se haya ejecutado el trabajo de campo, el número de pruebas realizadas, o el tamaño de las muestras que se tomaron, ni siquiera las metodologías o herramientas utilizadas, sino que las recomendaciones emitidas como opciones de solución a los hallazgos identificados funcionen para la Organización.
En el caso particular del sector hospitalario, y como se mencionó en la primera parte de este artículo, las características del negocio requieren que los controles “tradicionales” en áreas clínicas o médicas y las áreas de soporte, sean analizados bajo una nueva perspectiva, donde se le dé prioridad a la dinámica de la operación diaria más que al control de cada transacción, por ejemplo:
- La implementación de controles de seguimiento y análisis de tendencias en rubros como ingresos, costos y gastos.
- La utilización de sistemas tecnológicos de vanguardia que eliminen o reduzcan significativamente la utilización de formatos de papel, por ejemplo: códigos de barras, expediente clínico electrónico, solicitudes de estudios vía sistema, etc.
- Manejo de indicadores de desempeño para medir la eficiencia de la operación.
Lo anterior nos llevará a mejorar el control interno y generar información integra, sin sacrificar la oportunidad en el servicio o caer en la burocracia o cuellos de botella.
Valor agregado
Valor agregado implica “superar la expectativa de la Administración”, en mi experiencia, este concepto lo he materializado por medio de las siguientes actividades:
Revisiones de la eficiencia operacional: Con el apoyo de un equipo multidisciplinario, analizado integralmente las operaciones con un enfoque de procesos, lo que permite identificar las áreas de oportunidad que afectan el cumplimiento de los objetivos, emitiendo recomendaciones dirigidas a atender las causas de los problemas y no solo remediar los hallazgos, priorizando las actividades con base en el esfuerzo y su grado de complejidad.
Revisiones de Tecnología de la Información: Mediante un equipo especialista en Sistemas de la Información, se han realizado revisiones de Consultoría para apoyar en la mejora de su estructura tecnológica y los 10 dominios de los Controles Generales del Computador, así como emitir recomendaciones para elaborar un plan de recuperación de desastres (DRP) y el plan de continuidad del negocio (BCP).
Auditorías exprés: Revisiones de tiempo muy corto (no más de 3 horas) en cajas y almacenes, con el fin de detectar errores y vicios en la operación diaria, promoviendo el apego a los procedimientos y políticas establecidas, así como fortalecer el ambiente de control.
Lecciones aprendidas
La evolución de la función de Auditoría Interna nos ha llevado a tener un rol de Consultor del negocio más que de policía en los últimos años.
En el caso particular de un hospital, el auditor requiere sensibilizarse con la operación, tener mayor tacto y diplomacia con el personal, requiere “vivir” la operación para estar en posición de entenderla con la visión del tercero independiente, lo que nos permitirá evaluar y recomendar acciones acordes a la realidad del hospital y sobre todo, al beneficio directo del paciente.
Fuente: Auditool