Capítulo 7. Salvaguardar la integridad y gestionar los riesgos en la contratación del IMSS

El IMSS podría mejorar su estrategia de gestión de riesgos para la contratación pública si define expresamente sus metas y objetivos, en particular los relacionados con los riesgos de fraude y corrupción

La aprobación y firma del director general para el Programa de Trabajo de Administración de Riesgos, explicado antes, demuestra un gran compromiso con la gestión de riesgos y el control interno dentro del IMSS. También ayuda a marcar la pauta desde arriba respecto a las expectativas de la Dirección en cuanto a normas de conducta y a comunicar la importancia del control interno, como lo exige el Sistema de Control Interno Institucional. Sin embargo, el Plan de Trabajo Estratégico del IMSS para 2016-2018 omite mencionar la importancia del control interno y la gestión de riesgos para la eficacia, eficiencia e integridad de las actividades del IMSS, incluida la contratación. Otros documentos fundamentales, como el PTAR y la matriz de riesgos, tampoco mencionan de manera explícita la corrupción, el fraude ni la integridad.

El informe de la OCDE de 2013, Estudio sobre la contratación pública del Instituto Mexicano del Seguro Social: aumentar la eficiencia e integridad para una mejor asistencia médica, recomendó que el IMSS debía establecer una política de gestión de riesgos que coincidiera con objetivos organizacionales más amplios. La política tendría el objetivo de definir y dar a conocer el método del IMSS respecto al riesgo y ofrecería orientación de alto nivel sobre los procesos y procedimientos institucionales para moderar los riesgos (OCDE, 2014_[1]). El IMSS aún no implementa esta política; sin embargo, como alternativa, podría pensar en definir e incorporar objetivos de integridad en sus planes de trabajo, el PTAR y una guía que analice sus actividades de contratación. Esto ayudaría a demostrar a directores y empleados la importancia de gestionar los riesgos de corrupción y fraude en esta área de alto riesgo.

En particular, el IMSS podría definir objetivos expresos que destaquen explícitamente la importancia de una cultura de la integridad y la gestión de los riesgos de fraude y corrupción. Al mencionar la integridad y combatir la corrupción a nivel estratégico, además de enfatizar las áreas de alto riesgo, como la contratación, el IMSS puede establecer una pauta de alto nivel que contribuya a una gestión eficaz de los riesgos de fraude y corrupción. Esto también ayudaría al IMSS a coincidir mejor con el MECI, que ya incluye un principio exclusivo para gestionar riesgos de fraude y corrupción, señalando que las entidades deben considerar el potencial de fraude al evaluar riesgos para lograr objetivos (Mexico’s Ministry of Public Administration, 2016_[2]). El Recuadro 7.3 ofrece ejemplos de Estados Unidos de objetivos estratégicos exclusivos para la integridad.

Al definir objetivos de integridad, el IMSS también podría asegurarse de que se repitan en los objetivos secundarios de las actividades funcionales del IMSS, en particular en la contratación. Los objetivos secundarios se relacionan con las actividades funcionales del IMSS y sus departamentos, incluidas sus actividades de adquisición y contratación. La dirección es responsable de vincular objetivos de entidad con objetivos secundarios específicos y coordinarlos en todo el IMSS (Committee of Sponsoring Organizations of the Treadway Commission (COSO), 2013_[9]). Al fortalecer este vínculo, el IMSS podría articular con mayor claridad el valor de las actividades de control interno y de gestión de riesgos para lograr metas, objetivos y resultados. Esto también podría mejorar la titularidad de la gestión de esas actividades, como se analiza con mayor detalle a continuación.

Para complementar sus esfuerzos de crear una cultura de la integridad, el IMSS podría destacar más los mensajes que se centren en los valores de integridad en vez de las reglas

En México, desde el inicio de las principales reformas anticorrupción en 2014, durante tres años se han visto avances considerables en la integridad y rendición de cuentas del sector público. Desde principios de 2015, con la publicación de los decretos del presidente de México (orientados a manejar conflictos de intereses), el país ha tenido reformas destinadas a fortalecer la rendición de cuentas y la integridad del gobierno. El gobierno federal también cambió su código de ética (Código de Ética de la Administración Pública Federal, DOF 31/07/2002) y las reglas de integridad (Lineamientos de integridad y comportamiento ético, a través de Comités de Ética, DOF 6/03/2012) por el nuevo Código de Ética y Reglas de Integridad (DOF 20/08/2015). En consecuencia, todas las entidades públicas federales tienen la obligación de actualizar los códigos de sus dependencias. Las reformas incluyeron cuatro iniciativas para fortalecer la gestión en los procesos de contratación pública (OCDE, 2017_[6]):

• Protocolo para el comportamiento de los funcionarios de contratación (Protocolo de actuación en materia de contrataciones públicas, otorgamiento y prórroga de licencias, permisos, autorizaciones y concesiones). Esto está incluido en la Ley General de Responsabilidades Administrativas. Véase un análisis adicional en el capítulo 5.

• Registro de servidores públicos de la administración pública federal involucrados en procedimientos de contrataciones públicas, que incluye una clasificación según su nivel de responsabilidad y certificación.

• Una publicación en línea de proveedores sancionados, donde se especifica el motivo de la sanción.

• Mayor colaboración con el sector privado para fortalecer la transparencia de los procedimientos de contratación y toma de decisiones, y para reforzar la integridad mediante la participación de ciudadanos en la identificación de procesos y procedimientos vulnerables, además de la creación de acuerdos de cooperación con cámaras de comercio y organizaciones de la sociedad civil.

Para cumplir con los nuevos requisitos de integridad, el IMSS estableció un Código de Conducta y de Prevención de Conflictos de Interés de las y los Servidores Públicos del Instituto Mexicano del Seguro Social, que fue aprobado por el Consejo Técnico en diciembre de 2015. El Consejo Técnico es responsable de emitir las directrices que rigen a los funcionarios del IMSS, como las relacionadas con la prevención de actos de corrupción. Un anexo del Código de Conducta incluye las Reglas de Integridad para el Ejercicio del Servicio Público y contiene una sección titulada “Contratación Pública, Licencias, Permisos, Autorizaciones y Concesiones”. Esta sección estipula que los funcionarios que participen en procesos de contratación deben: 1) actuar con transparencia, imparcialidad y legitimidad, 2) centrar sus decisiones en las necesidades y los intereses de la sociedad, y 3) conseguir las mejores condiciones para el gobierno. También describe qué comportamientos infringirían esas reglas.

Además, la Ley del Seguro Social (LSS), el Reglamento Interno del Instituto Mexicano del Seguro Social (RIIMSS) y el Reglamento Interior de Trabajo del Contrato Colectivo de Trabajo para 2015-2017, estipulan en conjunto, según funcionarios del IMSS, que al cumplir con sus obligaciones los empleados están obligados a acatar “los principios de responsabilidad, ética profesional, excelencia, honestidad, lealtad, imparcialidad, eficiencia, calidez y calidad en la prestación de servicios y en la atención de la salud a los derechohabientes”. También señala que “estarán sujetos a responsabilidad civil o penal en la que podrían incurrir como personas a cargo de prestar un servicio público”.

Aunque el Protocolo de Conducta para Servidores Públicos en la Contratación Pública ayuda a elevar el perfil de la contratación como un área de alto riesgo, se basa en gran parte en reglas y no en valores (OCDE, 2017_[6]). Esta noción está reflejada en las leyes y reglamentos anteriores. Un método cuya base es acatar las reglas hace hincapié en la prevención del fraude y la corrupción al establecer normas con fuerza ejecutoria y decirles a los funcionarios qué hacer. En cambio, un método cuya base son los valores busca inspirar integridad e inducir cambios de comportamiento al crear conciencia sobre la ética, los valores y el interés público. El primer método corre el riesgo de socavar la motivación y el ánimo si los funcionarios sienten que se desconfía de ellos o se les percibe como corruptos. Por este motivo, la Recomendación del Consejo de la OCDE sobre Contratación Pública mencionada en el Recuadro 7.4, destaca la importancia de no crear temores infundados a las consecuencias (o aversión al riesgo) en el personal de contrataciones o en la comunidad de proveedores (OCDE, 2015_[10]).

Para promover una cultura que propicie la gestión del riesgo y aliente la titularidad de la gestión sobre el sistema de control interno se necesitan funcionarios motivados y que no sientan que los tratan como si fueran una amenaza. En sí, el IMSS podría pensar en insistir en un método cuyos mensajes estén basado en valores, y en impartir capacitación sobre el código de conducta y ética. Actualmente, las actividades de gestión de riesgos y control interno en el IMSS son en gran medida responsabilidad de equipos selectos y del OIC, con otros involucrados, según las circunstancias, para evaluaciones de riesgos y otras actividades. Sin embargo, la gestión de riesgos y responsabilidad del sistema de control interno deberían permear a toda la institución, vertical y horizontalmente. Al hacer hincapié en los métodos basados en valores, el IMSS ayudaría a promover esta idea. Además, si se agudiza la atención del ciclo de contratación en los valores de integridad, eso llevaría a que el IMSS coincida más con las normas internacionales, incluida la Recomendación del Consejo de la OCDE sobre Contratación Pública.

El IMSS podría desarrollar aún más su estrategia y actividades para el seguimiento y una evaluación más sistemática de la eficacia del sistema de control interno y las actividades de gestión de riesgos

Aunque el director deneral del IMSS tiene la responsabilidad definitiva del sistema de control interno según el MECI, otros actores de la institución desempeñan papeles importantes, como se detalla en el Manual de Organización de la Dirección de Administración de 2017 del IMSS (IMSS, 2017_[11]). La Dirección de Administración, y la Coordinación de Modernización y Competitividad dentro de esta, es responsable de dirigir la creación, emisión y actualización de políticas, normas, procedimientos y directrices relacionados con reglamentos y control interno, entre otras áreas. Además, la dirección tiene la obligación de establecer mecanismos para evaluar el estado del sistema de control interno y los procesos de gestión de riesgos.

Hay numerosas normas internacionales para el control interno y la gestión de riesgos, como Gestión de Riesgos: Principios y Directrices de la Organización Internacional de Normas (ISO) 3100, que exige el seguimiento y la evaluación planeadas como parte del proceso de gestión de riesgos (ISO, 2009_[12]), como se muestra en la Gráfica 7.2. Conforme a las normas ISO, el Manual del Sistema de Control Interno exige que la administración evalúe los resultados y elabore informes de avance trimestrales y un informe anual para el PTAR. Además, de acuerdo con el manual, la Dirección debe evaluar y documentar los resultados de autoevaluaciones y evaluaciones independientes para determinar si el control interno es eficaz y adecuado (Mexico’s Ministry of Public Administration, 2016_[2]). La Dirección también debe identificar cambios que hayan ocurrido en el control interno que puedan ser consecuencia de cambios institucionales o cambios en su entorno.

Gráfica 7.2. Normas internacionales para la gestión de riesgos

Fuente: Adaptado de (ISO, 2009[13]).

Durante las entrevistas, los funcionarios del IMSS describieron varias acciones para evaluar las actividades del sistema de control interno y la gestión de riesgos, pero se enfocan en gran medida en la evaluación más que en el seguimiento y no toman en cuenta la variedad de factores que podría influir en esas funciones. Por ejemplo, el IMSS publica una informe de evaluación anual centrado en los riesgos financieros en el Programa de Trabajo de Administración de Riesgos (Evaluación de los Riesgos Financieros Considerados en el Programa de Administración de Riesgos Institucionales). Además, los funcionarios señalaron que toman en cuenta las conclusiones de las auditorías de la SFP y de la ASF para determinar dónde están fallando los procesos. Con base en esos estudios, el IMSS lleva a cabo análisis de “causa raíz”, con el objetivo de corregir vulnerabilidades y mejorar políticas y procedimientos. El IMSS podría evaluar de manera más sistemática y estratégica estos procesos para comprender mejor las oportunidades de mejorar su sistema de control interno y gestión de riesgos.

La Secretaría de la Función Pública comunica los requerimientos y ofrece orientación sobre el momento adecuado y los objetivos del seguimiento y la evaluación en su Manual del Sistema de Control Interno, el MAAG-CI. Sin embargo, no es explícito en cuanto a los propósitos y las áreas potenciales para evaluación. De acuerdo con ISO 31000, Gestión de Riesgos: Principios y Directrices (ISO, 2009_[12]), los procesos de seguimiento y revisión del IMSS deben incluir todos los aspectos de la gestión de riesgos para:

• Asegurarse de que los controles sean eficaces y eficientes tanto en diseño como en operación.

• Obtener información adicional para mejorar la evaluación de riesgos.

• Analizar y aprender lecciones de acontecimientos (incluso “cuasi accidentes”), cambios, tendencias, éxitos y fracasos.

• Detectar cambios en el contexto externo e interno, incluidos cambios a los criterios de riesgos y el riesgo en sí, que pueden requerir la modificación de tratamientos y prioridades de riesgos.

• Identificar riesgos incipientes.

El IMSS podría mejorar su seguimiento y evaluación si no se limita a los riesgos financieros para examinar todos los aspectos del proceso de gestión de riesgos. Esto podría incluir revisiones del contexto externo e interno que pueden afectar la capacidad del IMSS para conseguir sus objetivos (Gráfica 7.3). Conforme a los objetivos estratégicos del IMSS, la Coordinación de Modernización y Competitividad y la Coordinación de Adquisición de Bienes y Contratación de Servicios podrían tomar medidas para mejorar las evaluaciones de la manera en que la Coordinación de Adquisición de Bienes y Contratación de Servicios valora los riesgos, y adaptar esos factores a la contratación, teniendo en mente el propósito anterior de las evaluaciones.

Gráfica 7.3. Contexto externo e interno para evaluación de las actividades de gestión de riesgos

Fuente: (ISO, 2009_[12]).

El IMSS podría mejorar sus evaluaciones de riesgos relacionadas con la contratación pública agudizando la atención en los riesgos de corrupción y de fraude, así como en otros riesgos estratégicos y operativos que pueden afectar todo el ciclo de contratación

El IMSS lleva a cabo evaluaciones de riesgos para áreas diferentes; sin embargo, podría reforzar sus evaluaciones de las funciones de contratación. Los riesgos relacionados con el ciclo de contratación identificados por el IMSS son válidos pero incompletos. El IMSS se enfoca principalmente en los riesgos estratégicos y operativos del ciclo de contratación. Podría considerar riesgos adicionales, en particular los relacionados con fraude y corrupción, para asegurar una explicación exhaustiva de los riesgos y las actividades de control existentes.

Durante las entrevistas, funcionarios del IMSS y del OIC destacaron varios riesgos que podrían influir en la eficacia y eficiencia del proceso de contratación, incluida la planeación insuficiente, la falta de conocimientos para elaborar requerimientos contractuales y la ausencia de colaboración entre las áreas contratantes y solicitantes, entre otras. Sin embargo, para 2017, la matriz de riesgos y el PTAR mencionan explícitamente riesgos de contratación en solo dos de los 13 riesgos generales identificados y excluye muchos de los que destacaron los funcionarios.

Un riesgo identificado en el PTAR es la falta de coordinación de procesos para hacer compras consolidadas; tanto la Coordinación de Adquisición de Bienes y Contratación de Servicios como la Coordinación de Control de Abasto se señalan como las dueñas del riesgo. Además, el IMSS identifica como riesgo los proyectos que se extralimitan de su fecha de finalización programada. El IMSS destacó la mala detección de muertes de pensionados como un riesgo potencial, pero no vincula esto a la integridad, el fraude o la corrupción. Por ejemplo, el riesgo de personas que roban la identidad de pensionados fallecidos para conseguir bienes y servicios cuyos requisitos de obtención no cumplirían de otro modo. Ni la matriz ni el Programa de Trabajo de Administración de Riesgos mencionan explícitamente riesgos relacionados con fraude, corrupción o integridad en ninguna de las actividades del IMSS, incluida la contratación.

Los funcionarios explicaron que el IMSS involucra a diversas unidades en sus evaluaciones de riesgos de contratación, incluidos equipos responsables no solo de la contratación, sino también de estudios de mercado, control y usuarios de productos. Para aumentar la atención sobre los riesgos de fraude y corrupción, el IMSS podría asegurarse de que quienes se hacen cargo directamente de la prevención de fraude y corrupción estén involucrados en la evaluación de riesgos (p. ej.: funcionarios contratantes), así como entidades externas, como contratistas, la Auditoría Superior de la Federación y órganos reguladores. Las quejas, las entidades similares y los testigos sociales también pueden ayudar a identificar riesgos (véase el capítulo 5). Las entrevistas, las encuestas y los grupos de opinión son solo algunos métodos que el IMSS podría utilizar para reunir información y aportaciones de esos interesados. El IMSS también podría analizar riesgos en licitaciones concretas. Este método podría cubrir todas las fases del ciclo de contratación, incluidas la previa a la licitación, la de licitación y la posterior a la adjudicación (véase análisis adicional sobre esos riesgos en el ciclo de contratación, Cuadro 7.1).

Como se indica en el cuadro anterior, la manipulación de licitaciones (es decir, licitación colusoria) también es un riesgo importante que puede afectar la fase de licitación. La manipulación de licitaciones sucede cuando “las empresas, que de lo contrario se esperaría que compitan, conspiran en secreto para aumentar los precios o disminuir la calidad de los bienes o servicios para los compradores que desean adquirir los productos o servicios mediante un proceso de licitación” (OECD, 2009_[15]). El IMSS puede ser particularmente vulnerable a esto, considerando las características actuales de las licitaciones consolidadas que dirige. Ciertamente, un alto volumen de contratación, aunado a procesos de licitación repetitivos y pocos cambios en el alcance de esas licitaciones de un año a otro, podría exponerlos a prácticas de manipulación. Puede haber manipulación y corrupción en la licitación al mismo tiempo y pueden reforzarse entre sí, pero cada una tiene elementos importantes que las hacen distintas. Por ejemplo, la manipulación de licitaciones es una relación horizontal entre oferentes que limita la competencia; en la contratación pública daña al comprador público. La corrupción implica una relación vertical entre uno o varios oferentes y uno o varios funcionarios de contratación. Es decir, un funcionario de contratación puede recibir sobornos o recompensas a expensas del comprador público (o del público en general) a cambio de favorecer a una empresa específica (OECD, 2012_[16]). Aunque hay diferencias en la índole de los esquemas, las actividades de control para gestionar el riesgo de manipulación y corrupción en la licitación pueden complementarse entre sí.

Además de los riesgos de fraude y corrupción, otros de importancia estratégica y operativa para el ciclo de contratación se pasaron por alto en la actual evaluación de riesgos del IMSS. Estos riesgos pueden deberse a una mala ejecución o a errores y no a faltas de integridad. Algunos ejemplos incluyen impugnaciones y quejas de licitaciones, mala calidad de productos, fallas de proveedores y términos y administración contractuales inadecuados. Además, gran parte de la función de contratación pública del IMSS está sumamente descentralizada; no obstante, las decisiones y estrategias importantes relacionadas con la función de contratación se han centralizado. La contratación centralizada conlleva riesgos que incluyen concentración del mercado y creación de estructuras monopólicas, riesgos de adecuación al objetivo de la estandarización excesiva de requerimientos y riesgos de receptividad a cambios en precios y tecnología médica. Al afinar sus evaluaciones de los riesgos estratégicos y operativos adicionales relacionados con el ciclo de contratación, el IMSS podría intervenir para prevenir o moderar su efecto en el desempeño de la contratación.

El IMSS podría definir mejor las tolerancias al riesgo para asignar recursos de manera más eficaz y determinar actividades de control

El Manual del Sistema de Control Interno exige que las entidades públicas federales definan su tolerancia al riesgo en relación con sus objetivos estratégicos. Además, pide a los titulares del riesgo que hagan un seguimiento de este mediante indicadores, para asegurarse de que se mantienen dentro de los niveles de tolerancia predeterminados (Mexico’s Ministry of Public Administration, 2016_[2]). En caso de que los riesgos rebasen los niveles de tolerancia, el titular del riesgo debe informar el cambio al director general y al coordinador de Control Interno. El Manual del Sistema de Control Interno menciona específicamente los riesgos de corrupción, pero destaca que las entidades no tienen que definir una tolerancia al riesgo para riesgos de corrupción (Mexico’s Ministry of Public Administration, 2016_[2]). Presuntamente, esto se debe a que la SFP está tratando de dar a entender que los directores deben tener cero tolerancia a todo riesgo que pudiera socavar la integridad de la institución.

La tolerancia al riesgo puede definirse como “el nivel aceptable de variación en la ejecución en relación con el logro de objetivos” (Government Accountability Office, 2015_[17]). Esta definición destaca la idea de que la gestión de riesgos no solo se trata de reducir al mínimo las amenazas, sino también de explotar las oportunidades. Por ejemplo, el IMSS puede identificar equipo médico que desea contratar a precio con descuento. La tolerancia al riesgo puede ayudar al IMSS a determinar si los controles vigentes son bastante eficaces (en relación con la tolerancia) para justificar un aumento en el volumen de compra para aprovechar el precio más bajo. La Gráfica 7.4 ilustra la aplicación práctica de la tolerancia al riesgo para ayudar a los directores a entender la exposición al riesgo y saber si se necesitan controles adicionales. Describe la relación entre riesgos inherentes, riesgos residuales y tolerancia al riesgo.

Gráfica 7.4. La relación entre riesgos inherentes, riesgos residuales y tolerancia al riesgo

Fuente: (UK HM Treasury, 2006_[18]).

La tolerancia al riesgo es un elemento crucial de las evaluaciones de riesgos eficaces porque puede ayudar al IMSS a tomar decisiones según el riesgo sobre estrategias de mitigación. Además, como los funcionarios del IMSS expresaron la necesidad de mejorar el equilibrio entre controles y eficiencia en el proceso de contratación, definir más la tolerancia al riesgo y dar una orientación respecto a cómo se usa podría ayudar al IMSS a tomar mejores decisiones en cuanto a agregar o reducir controles.

En 2014, el IMSS reforzó su marco de gestión de riesgos e incorporó la tolerancia al riesgo a su proceso de evaluación. El IMSS trata la tolerancia al riesgo de dos formas. La primera es la matriz de riesgos, donde indica la tolerancia para cada uno de los 13 riesgos en una escala de baja, moderada, alta y extrema. La segunda está en el Programa de Trabajo de Administración de Riesgos, donde el IMSS señala un “indicador asociado a la tolerancia al riesgo”, que vincula a uno de los 47 factores de riesgo que ha identificado el IMSS. Por ejemplo, el riesgo de procesos descoordinados al hacer compras consolidadas (uno de los 13 riesgos) incluye tres factores, cada uno de los cuales se asigna a un indicador de tolerancia al riesgo. El uso de la tolerancia al riesgo en la matriz y en el Programa de Trabajo de Administración de Riesgos son señales positivas de los intentos del IMSS de incorporar este concepto a la toma de decisiones para determinar actividades de control.

Sin embargo, el IMSS podría mejorar su uso de tolerancia al riesgo y orientación para asegurarse de que sean más que un formulario a llenar en respuesta a los requerimientos. Por ejemplo, el IMSS no define su tolerancia a los riesgos de corrupción y fraude, citando cero tolerancia para esos riesgos. Cero tolerancia a la corrupción y al fraude es un mensaje eficaz para transmitir un compromiso general con la integridad; no obstante, reducir esos riesgos a cero tiene poco valor práctico para efectos de gestionar riesgos. Como se explicó, hay necesidad de equilibrar los controles con la eficiencia, innovación y otros objetivos comerciales, y esto se aplica al ciclo de contratación. El IMSS podría crear una tolerancia al riesgo significativa para los riesgos de corrupción y fraude en procesos de contratación para tomar decisiones con conocimiento de causa sobre las actividades de control. Por ejemplo, al adquirir equipo médico urgentemente necesario, el IMSS podría definir una tolerancia “baja” en vez de una “muy baja”, con el efecto práctico de agilizar los procedimientos de contratación para proveedores que históricamente han tenido un alto desempeño.

El IMSS podría mejorar su orientación y herramientas para dirigir evaluaciones de riesgos relacionadas con la contratación y promover nuevas formas de análisis de licitaciones y procesos

De acuerdo con ISO 31000, las actividades de gestión de riesgos deben documentarse para ayudar a mejorar métodos, herramientas y procesos en general (ISO, 2009_[13]). Además, la Recomendación del Consejo de la OCDE sobre Contratación Pública pide que las entidades gubernamentales no solo publiquen estrategias de gestión de riesgos, sino que también aumenten la concientización y los conocimientos sobre la integración de la gestión de riesgos en el ciclo de contratación (OCDE, 2015_[10]). Para lograrlo, hace las siguientes recomendaciones:

• Interactuar en una comunicación para fortalecer la confianza entre los interesados y las actividades de control.

• Organizar campañas y actividades de concientización sobre la importancia de integrar actividades de gestión de riesgos en las prácticas comerciales cotidianas.

• Ofrecer sesiones y talleres de capacitación para informar a las entidades pertinentes de contratación pública sobre sus riesgos y las formas de manejar los riesgos identificados.

• Circular mensajes periódicos utilizando diversos medios (p. ej.: boletín informativo, cartel promocional, folletos, videos, manuales, etc.) entre los interesados pertinentes sobre las estrategias de gestión de riesgos.

• Difundir las mejores prácticas de estudios de caso de gestión de riesgos de instituciones importantes.

• Invitar a las entidades de contratación pública a convenciones y seminarios pertinentes sobre estrategias de gestión de riesgos.

El IMSS ha invertido recursos considerables en crear prácticas y evaluaciones sólidas de gestión de riesgos, de acuerdo con el Manual del Sistema de Control Interno y normas internacionales. Sin embargo, según los funcionarios, aún tiene que crear directrices o herramientas específicas para ayudar a identificar, hacer seguimiento y notificar riesgos en diversas etapas del proceso de contratación. Sin esa guía, se impone una fuerte carga a la Coordinación de Modernización y Competitividad para coordinar, consolidar y estandarizar las prácticas de gestión de riesgos, incluidas las evaluaciones de riesgos. La guía adicional para funcionarios de contratación pública ayudaría al IMSS a promover un método más coherente e informado para identificar y gestionar riesgos en contratos específicos. Para hacerlo, el IMSS podría aprovechar la experiencia del gobierno australiano (Cuadro 7.2).

Al crear la guía, el IMSS podría considerar explicar los procesos y definir términos clave reflejados en la Administración de Riesgos Institucionales, incluida la matriz y el mapa de riesgos y el Programa de Trabajo de Administración de Riesgos. Esos documentos tienen como fin ser herramientas para los gestores de riesgos, y hay vínculos entre ellos que podría esclarecer el IMSS. Por ejemplo, la matriz de riesgos parece incluir una evaluación de riesgos inherentes (riesgos por falta de medidas para abordar los riesgos) y riesgos residuales (exposición al riesgo después de aplicar estrategias de mitigación para abordar el riesgo). Después, los riesgos residuales se describen en un mapa de riesgos, una representación bidimensional estándar de riesgos específicos según su probabilidad y repercusiones. El Programa de Trabajo de Administración de Riesgos ofrece entonces información adicional sobre medidas de mitigación. La guía podría explicar esos vínculos, además de los conceptos de riesgo específico dentro de cada uno para ayudar a orientar e instruir a los gestores.

Evaluaciones y guías del riesgo mejoradas también pueden ofrecer oportunidades adicionales para que el IMSS utilice los resultados para el análisis de datos más avanzados, en particular de licitaciones. Los funcionarios indicaron que el IMSS recaba información sobre una variedad de riesgos de contratación y pretende aumentar sus esfuerzos para comprender de manera retroactiva cómo se llevaban a cabo las licitaciones. El IMSS podría utilizar los datos que ha recabado sobre riesgos de contratación para hacer más análisis de licitaciones específicas para agrupar riesgos a través de distintas entidades adquirientes (véase un ejemplo, Recuadro 7.5). La utilidad de este análisis depende de la calidad y estandarización de las evaluaciones de riesgos, que a su vez dependen de tener suficiente orientación para llevar a cabo el proceso.

El IMSS podría tomar medidas para incrementar la titularidad de la gestión del sistema de control interno y de las políticas y procesos de gestión de riesgos, incluidos cursos de capacitación y mensajes específicos para funcionarios de contratación

Las normas de la SFP subrayan la importancia del control interno y la gestión de riesgos, atribuyendo responsabilidad directamente a los directores de entidades gubernamentales (Mexico’s Ministry of Public Administration, 2016_[2]). Por ejemplo, el Modelo Estándar de Control Interno exige una función específica de gestión de riesgos de corrupción en las instituciones gubernamentales como parte de sus labores de gestión del riesgo, También exige que los gestores creen un programa y una política para promover la integridad y la prevención de la corrupción que incluya capacitación, difundir un código de ética y conducta y mecanismos de denuncia. Estas reformas coinciden con normas internacionales y reflejan los principios y las prácticas descritas por el Instituto de Auditores Internos, el Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO, Committee of the Sponsoring Organisation of the Treadway Commission) y otras (Gráfica 7.5).

Gráfica 7.5. Las tres líneas del modelo de aseguramiento

Fuente: Adaptado con insumos de A. Federation of European Risk Management Associations (FERMA)/ European Confederation of Institutes of Internal Auditing (ECIIA) Guidance on the 8th European Company Law Directive on Statutory Audit DIRECTIVA 2006/43/EC-Art 41-2b, 2010, B. Institute of Internal Auditors (IIA): Three Lines of Defence Model, 2013, y C. Assurance Maps Presentation, PICEU-28 Conference 2015.

El IMSS ha tomado medidas concretas para institucionalizar el sistema de control interno y las funciones de gestión de riesgos conforme a las tres líneas de defensa de la SFP, el Sistema de Control Interno Institucional y el Instituto de Auditores Internos (IIA, Institute of Internal Auditors). En el IMSS, los organismos contratantes representan la primera línea de defensa, mientras que las otras unidades conforman la segunda (p. ej.: la Gestión del Cambio y la Unidad de Competencia). El OIC es la tercera. Además, la Coordinación de Modernización y Competitividad tiene una unidad subalterna, llamada Coordinación Técnica de Evaluación y Control (CTEC), que se dedica por completo a mejorar el sistema de control interno y la gestión de riesgos del IMSS.

Entre sus múltiples responsabilidades, la CTEC crea estrategias, prácticas y mecanismos para fortalecer el control interno y la gestión de riesgos, incluido el seguimiento de las recomendaciones del OIC y de la ASF. La Coordinación Técnica de Evaluación y Control desempeña un papel importante para crear, implementar y evaluar el Programa de Trabajo de Control Interno y el Programa de Trabajo de Administración de Riesgos. La Coordinación Técnica de Evaluación y Control también es responsable de promover la formalización, estandarización y enfoques transversales, herramientas, metodologías y capacitaciones para la implementación eficaz del control interno y la gestión de riesgos en el IMSS.

Aunque el IMSS tomó medidas para institucionalizar el control interno y la gestión de riesgos como parte del sistema general de administración, todavía podría mejorar la titularidad de la dirección de estas funciones, en particular las relacionadas con procesos de contratación. Los desafíos que enfrenta el IMSS al reforzar la titularidad de la dirección se deben, en parte, a las políticas y a la estructura del sistema de control interno en México. Esta configuración designa a la SFP y a los OIC con un mandato que hace imprecisa la división entre las líneas de defensa. En particular, entrevistas con funcionarios del IMSS sugirieron que se depende demasiado del OIC para detectar la corrupción y el fraude. La omisión de los riesgos de corrupción y de fraude en la matriz de riesgos del PTAR sugiere, además, la necesidad de que los directores asuman la titularidad de esas funciones.

En 2013, la OCDE informó que en el IMSS hay la percepción de que las funciones de control interno y gestión de riesgos, incluidas las de prevención de la corrupción, son responsabilidad del OIC (OCDE, 2014_[1]). Para seguir solucionando este problema, el IMSS podría tomar medidas para asegurarse de que esas funciones no sean vistas como administrativas o de rutina, sino como un ejercicio valioso para promover los objetivos de la contratación y los objetivos institucionales más amplios. Definir y vincular aún más los objetivos y los objetivos subordinados, como se analizó antes, ayudaría a fomentar la titularidad por parte de la dirección.

Además, el IMSS podría crear capacitación específica dedicada a explorar y desarrollar conocimientos sobre la primera línea de defensa en el proceso de contratación. La OCDE ya ha recomendado diversas estrategias de comunicación, campañas de concientización y capacitación para promover la titularidad de la gestión (OCDE, 2017_[6]); (OCDE, 2014_[1]). La capacitación específica de funcionarios de contratación a nivel federal y estatal ayudaría a personalizar los mensajes de modo que induzcan mayor titularidad de la gestión. Esos cursos de capacitación podrían aprovechar los impartidos por la SFP sobre control interno y gestión de riesgos para funcionarios de contratación. Sin embargo, es importante que el IMSS diseñe e imparta sus propios cursos de capacitación para demostrar aún más que el OIC no es responsable del sistema de control interno. Se podrían usar los siguientes mensajes y actividades fundamentales en la capacitación y la orientación para ayudar a crear una cultura de la titularidad de la gestión del sistema de control interno:

• Justificar la titularidad de la gestión. El IMSS podría mejorar sus mensajes para vincular el sistema de control interno al éxito del ciclo de contratación. Las actividades de control interno son decisivas para la eficacia y eficiencia de los procesos de contratación; sin ellas, hay poca certeza de que se logren las metas y los objetivos. El IMSS podría transmitir la importancia de las actividades de control interno y de gestión de riesgos no solamente para prevenir el fraude y la corrupción, sino también para garantizar que los procesos de contratación se estén ejecutando según lo previsto.

• Tratar los aspectos conductuales necesarios para inducir el cambio. La titularidad de la gestión tiene un sólido componente conductual vinculado a las creencias, hábitos y motivaciones de las personas. El IMSS podría considerar métodos para cambiar comportamientos que primero identifiquen la resistencia al cambio y que luego formulen estrategias para superar los obstáculos. Se podrían cambiar los modelos administrativos y las estrategias de “extracción”, como las descritas en el Recuadro 7.6 para alentar a los directores a asumir la responsabilidad del sistema de control interno.

• Desmitificar y personalizar las funciones de control interno y gestión de riesgos. Los funcionarios de contratación pueden no darse cuenta realmente de que muchas de las evaluaciones y verificaciones que realizan son actividades de control. Por ejemplo, solicitar cotizaciones antes de comprar equipo sin una licitación competitiva, aunque es un procedimiento de adquisición común, es de hecho un control para reducir al mínimo los riesgos de un gasto excesivo y para promover conciencia sobre los costos. Al identificar y definir las contribuciones de los funcionarios al sistema de control interno, el IMSS puede replantear las percepciones del personal sobre sus contribuciones diarias a un sistema de control interno eficaz. Esto, además, podría ayudar a reforzar la noción de que el OIC no es responsable de actividades de control ni de la gestión del riesgo.

El IMSS y el OIC podrían tomar medidas para estipular con claridad las funciones y responsabilidades para la gestión de riesgos y el sistema de control interno. Esto podría incluir las afirmaciones de independencia del auditor

La estructura básica del OIC consta de un director, un jefe del Área de Responsabilidades, un jefe de Auditoría y un jefe del Área de Quejas. Aunque el OIC funciona como la unidad de auditoría interna del IMSS, está bajo el mando directo de la Secretaría de la Función Pública, no del director general del IMSS. En 2013, la OCDE recomendó que el IMSS creara un CCI de acuerdo con el Sistema de Control Interno Institucional, que sugiere que las entidades creen un Comité de Control y Desempeño Institucional (COCODI) para verificar la implementación del sistema de control interno (OCDE, 2014_[1]). Como no es obligatorio, el IMSS decidió no establecer un COCODI.

La presencia del OIC en el IMSS está organizada en seis áreas: i) Auditoría para Desarrollo y Mejora de la Gestión Pública; ii) Auditoría Interna; iii) Área de Responsabilidades; iv) Área de Quejas; v) Auditoría con Atención Especial a Servicios Médicos y; vi) Coordinación de Vinculación Operativa) (IMSS, 2017_[26]). Dos de esas áreas (Auditoría Interna y Auditoría con Atención Especial a Servicios Médicos) llevan a cabo auditorías en todo el IMSS, incluidas auditorías a contratación, construcción, transversales y de ingresos. Además de las áreas del OIC, delegados y comisarios públicos titulares (DC) contribuyen al seguimiento y control dentro el IMSS.

Según los funcionarios, las recientes reformas anticorrupción no han inducido cambios específicos en las funciones de auditoría interna, pero se ha esclarecido la división de trabajo dentro de las diversas entidades responsables de la auditoría para asegurar la implementación adecuada, incluso por organismos contratantes. No obstante, los manuales, las actividades de capacitación del OIC y las respuestas del IMSS y del OIC a las preguntas de la OCDE durante este estudio sugieren la necesidad de estipular con mayor claridad las funciones y responsabilidades del sistema de control interno. Por ejemplo, el Manual de Organización del Órgano Interno de Control para el IMSS señala que la Auditoría para el Desarrollo y Mejora de la Gestión Pública es responsable de “llevar a cabo la evaluación de riesgos que puede impedir el logro de metas y objetivos del Instituto Mexicano del Seguro Social”. Como se indica en la Error! Reference source not found., las normas internacionales sugieren que las entidades responsables de la auditoría deberían, a lo sumo, facilitar la identificación y evaluación de los riesgos. Para preservar su autonomía, las entidades de auditoría deben evitar diseñar o implementar procesos que pudieran estar sujetos a auditorías. Las responsabilidades segregadas de la dirección, así como las responsabilidades explícitas y definidas de manera formal y el trabajo imparcial son, sin excepción, elementos fundamentales de las normas internacionales para preservar la independencia de las entidades de auditoría (INTOSAI, 2010_[27]; INTOSAI, 2010_[28]).

Aunque otras divisiones del IMSS tienen la responsabilidad de gestionar los riesgos y efectuar evaluaciones de riesgos, aseveraciones como las que se encuentran en el Manual del Órgano Interno de Control plantean dudas respecto al grado e idoneidad de la participación del OIC en la conducción de las evaluaciones de riesgos. Además, esos manuales son herramientas de comunicación para el IMSS y el OIC. Por lo tanto, se debe tener cuidado de definir claramente las funciones del OIC frente a otras entidades del IMSS con responsabilidad de gestión de riesgos y controles internos. Para el IMSS y el OIC puede resultar instructiva la guía del Instituto de Auditores Internos para evaluar y esclarecer las funciones de auditoría interna en las actividades de gestión de riesgos del IMSS (Gráfica 7.6).

Gráfica 7.6. Función de la auditoría interna en la gestión de riesgos

Fuente: Adaptado de (The Institute of Internal Auditors, 2009[29]).

Las respuestas de los funcionarios del IMSS y del OIC al cuestionario de la OCDE también sugieren la necesidad de asegurar funciones y responsabilidades claras de quienes participan en el sistema de control interno. Por ejemplo, los funcionarios dijeron que los OIC están a cargo de implementar el sistema gubernamental de control y evaluación. Esta percepción de su función amenaza con socavar la titularidad de la gestión del sistema de control interno, así como los propios esfuerzos del OIC por institucionalizar responsabilidades para gestionar riesgos dentro del IMSS, incluidos los funcionarios de contratación.

El OIC debe esclarecer más sus funciones y responsabilidades en su manual, guía y capacitaciones. Sin este esclarecimiento, el IMSS y el OIC podrían hacer imprecisa la división entre las tres líneas de defensa antes descritas, y crear actividades de control interno y gestión de riesgos duplicadas, superpuestas y fragmentadas. Además, surge la posibilidad de problemas de independencia ante la falta de funciones y responsabilidades claras entre equipos operativos y la función de auditoría interna, según lo definido por normas internacionales. Por ejemplo, el OIC imparte varios cursos de capacitación para funcionarios de contratación, incluso uno llamado “Importancia de la promoción de las buenas prácticas en la contratación pública para mejora de la gestión pública”. Al impartir esos cursos, el OIC debe evitar la orientación prescriptiva sobre cómo implementar actividades de control interno y gestión de riesgos, ya que no le corresponde estar auditando las mismas políticas y prácticas que ayudó a crear. Para proteger aún más al OIC de amenazas a su independencia de auditoría, el OIC podría pensar en implementar declaraciones de independencia de los auditores internos.

La Secretaría de la Función Pública, los órganos internos de control y la Auditoría Superior de la Federación podrían reforzar la colaboración para supervisar en forma coherente y con mayor eficacia los procesos de contratación del IMSS

En 2017, la OCDE presentó un informe sobre los distintos modelos de control interno y gestión de riesgos elaborados por la SFP y la ASF (OECD, 2017_[25]), Como se hizo notar, la SFP creó su propio marco de control interno y gestión de riesgos llamado Sistema de Control Interno Institucional (SCII), acompañado de una herramienta de gestión de riesgos (Administración de Riesgos Institucionales, ARI) y una guía para los órganos internos de control. Además, en 2014, la ASF creó el Marco Integrado de Control Interno en el Sector Público (MICI), así como el Sistema Automatizado para la Administración de Riesgos (SAAR), que es una plataforma electrónica acompañada de dos guías de autoevaluación para ayudar a los profesionales de la gestión de riesgos.

En 2017, La OCDE recomendó una mayor homologación de esas normas creadas por la SFP y la ASF de México, reconociendo la posibilidad de que causen confusión entre auditores y auditados, y dejando a las entidades gubernamentales más vulnerables al fraude, derroche y abuso (OCDE, 2017_[30]). Funcionarios de la SFP y la ASF confirmaron que se están usando dos modelos diferentes al auditar las actividades del IMSS, citando una falta de coordinación entre esas entidades de auditoría interna y externa.

La coordinación entre la SFP y la ASF tiene varios beneficios, incluida la disminución del riesgo de fragmentar, superponer y duplicar, así como una mayor coherencia entre las conclusiones de la auditoría (p. ej.: evitar recomendaciones y conclusiones contradictorias). La cooperación eficaz entre la auditoría interna y externa, incluido el intercambio de información, también puede reducir el trabajo de auditoría a las entidades respectivas. Un estudio conjunto de la Organización de las Entidades Fiscalizadoras Superiores de Europa y la Confederación Europea de Institutos de Auditoría Interna ofrece ideas sobre cómo pueden fortalecer la coordinación las entidades de auditoría externas e internas Recuadro 7.7.

Un área fundamental en que la Auditoría Superior de la Federación y la Secretaría de la Función Pública podrían mejorar la coordinación es en las primeras etapas de los procesos de programación y planeación de auditoría. La SFP y la ASF tienen sus propios criterios para la programación de auditorías basadas en riesgos que se relacionan con el ciclo de contratación. Los criterios de los riesgos incluyen el volumen de compra, indicadores de desempeño, informes en los medios y quejas de proveedores, entre otros. Coordinar en las primeras etapas y pulir estos criterios ayudaría a la ASF y a la SFP a asegurar una cobertura eficaz del universo de auditorías, evitar la duplicación de labores e identificar temas de auditoría complementarios. Además, las entidades auditoras pueden ser inductores del cambio eficaces mediante las recomendaciones y conclusiones de sus auditorías. Con una mejor coordinación entre la ASF y la SFP, y usando sus trabajos entre sí como aportaciones para programar y planear, es más probable que el IMSS aproveche el trabajo de auditoría para resolver los problemas antes descritos. Esto podría incluir mejorar la titularidad de la gestión de sistemas de control interno en el proceso de contratación y perfeccionar la gestión de riesgos en el ciclo de contratación.

Garantizar estrategias eficaces de gestión de riesgos y su aplicación:

• Mejorar la estrategia de gestión de riesgos del IMSS para la contratación pública al definir expresamente sus metas y objetivos, en particular los relacionados con el fraude y la corrupción.

• Destacar los mensajes que se centren en valores de integridad en vez de hacerlo en las reglas, para complementar los esfuerzos por crear una cultura de integridad.

• Formular la estrategia y diseñar las actividades del IMSS para un seguimiento y evaluación más sistemáticos de la eficacia del sistema de control interno y las actividades de gestión de riesgos.

Mejorar las evaluaciones de riesgos relacionados con la contratación pública del IMSS:

• Agudizar la atención en los riesgos de fraude y corrupción, así como en otros riesgos estratégicos y operativos que pueden afectar el ciclo de contratación.

• Definir más las tolerancias al riesgo para asignar recursos y determinar con mayor eficacia las actividades de control.

• Mejorar la guía y herramientas del IMSS para dirigir evaluaciones de riesgos relacionadas con la contratación y promover nuevas formas de análisis de las licitaciones y procesos.

Esclarecer funciones y mejorar la coordinación:

• Incrementar la titularidad de la gestión del sistema de control interno y las políticas y procesos de gestión de riesgos, incluida la organización de cursos de capacitación y mensajes específicos para los funcionarios de contratación.

• Esclarecer las funciones y responsabilidades entre la Secretaría de la Función Pública, el OIC del IMSS y la Auditoría Superior de la Federación para la gestión de riesgos y el sistema de control interno, con la posibilidad de incluir declaraciones de independencia de los auditores.

• Fortalecer la colaboración entre la Secretaría de la Función Pública, los OIC y la Auditoría Superior de la Federación para supervisar en forma coherente y con mayor eficacia los procesos de contratación del IMSS.