Claves de la auditoría interna en

hospitales
Auditar un hospital tiene aspectos únicos. Se requiere de un tacto especial a la hora de obtener
la información y tratar con el personal, es un espacio en el que prima el bienestar de los
pacientes a todo costo y son pocos los profesionales que se acercan al campo de la
administración. Es clave conocer el negocio y su entorno, entender el objetivo de estas
instituciones; siempre se debe organizar el plan de trabajo según los riesgos que se encuentren,
donde sea más potencial es por donde se debe empezar; para ejecutar el plan es vital recordar
las buenas relaciones y el entendimiento con el personal; se puede generar valor a partir de las
recomendaciones, destacando aquello que funciona de manera correcta.
Redacción INCP a partir del artículo publicado en Auditool
Para mayor información, puede revisar el artículo titulado “Auditoría interna en hospitales:
los cinco retos de ejecutar la función” de la fuente Auditool.
Auditoría interna en hospitales: los cinco retos de ejecutar la función
A diferencia de otros sectores, en el hospitalario el auditor requiere sensibilizarse con la
operación, tener mayor tacto y diplomacia con el personal para evaluar y recomendar acciones
acordes a la realidad.

La función de Auditoría Interna ha ido tomando un papel cada vez más relevante en el día a día
de las empresas: en la vigilancia de los procesos, en la confianza y certidumbre de la
información financiera emitida y el control de las operaciones; sin embargo, el sector
hospitalario, es el sector más complicado de administrar y dirigir, lo que nos enfrenta a retos
importantes antes de lograr la implementación y ejecución de la función de auditoría interna
con éxito.

Reto 1: Conocer el negocio

Como parte de la metodología internacional para el ejercicio de la auditoría interna emitida por
The Institute of Internal Auditors de los Estados Unidos de América, la primera etapa consiste
en conocer el negocio: sensibilizarse con la operación de la Organización, entender sus
objetivos financieros, operacionales y de cumplimiento, para estar en posición de evaluar los
procesos, los controles y emitir recomendaciones de calidad.

Cuando hablamos de un hospital, conocer el negocio se vuelve particularmente complicado, ya

que no estamos enfocados en la eficiencia de una línea de producción, en la colocación y venta
de un producto o en proporcionar un servicio; estamos hablando de la salud de una persona y,
en muchos casos, de una vida.

Dicho lo anterior, es importante que el equipo de trabajo esté sensibilizado sobre la gran
responsabilidad que implica la atención al paciente, por lo que los controles a evaluar y los que
se recomienden para mitigar los riesgos existentes no deben, en ningún momento, entorpecer la
calidad y oportunidad de dicha atención.

Durante el entendimiento, se considera que los siguientes aspectos son importantes para
determinar el grado de madurez de la Institución y la amplitud de las pruebas a ejecutar:
 Existencia de controles compensatorios: en algunos procesos críticos, los controles
tradicionales no funcionan como en otras industrias, por lo que este tipo de controles son
utilizados (por ejemplo: usar vales autorizados para la salida de materiales en el almacén
del servicio de Urgencias no funciona).
 Controles Gerenciales para analizar e identificar irregularidades en la operación (por
ejemplo: análisis de relación Costo – Ingreso)
 Validar la integridad de las cuentas de los pacientes: no solo identificar omisiones en el
cobro, sino también para observar cargos no procedentes en perjuicio del paciente.
 Eficiencia en los procesos de admisión y alta de los pacientes, que asegure la integridad de
la información del paciente evite o minimice pérdidas económicas por omisión de cargos a
pacientes o cobros indebidos; así como el grado de satisfacción del paciente.
 Efectividad de la cadena de suministros, oportunidad en la entrega de materiales y
medicamentos para el paciente, y mecanismos definidos para las compras de urgencia o de
materiales fuera del stock.
 La complejidad de la infraestructura tecnológica que soporta las operaciones y el
intercambio de información entre los sistemas administrativos y clínicos.
 Una técnica eficiente para conocer los procesos del negocio son los “recorridos del
proceso” (walkthroughs), durante los cuales se conoce la dinámica de la operación, se
identifican los riesgos existentes y los controles implementados.
En estos recorridos se deben incluir las áreas, departamentos y servicios que integran al
Hospital, por mencionar algunas:

Administrativas:

 Recursos Humanos.
 Tesorería.
 Activo fijo.
 Proyectos de inversión.
 Admisión y Caja.

Operativas:

 Almacén General (materiales) y Suministros.

 Farmacia Intrahospitalaria.
 Ropería.
 Medio Ambiente.

Clínicas/Médicas:

 Central de Equipo y Esterilizaciones (C.E. y E.)

 Laboratorio
 Hemodinamia
 Imagenología
 Medicina Critica (Terapia intensiva)
 Urgencias
 Fisiología Pulmonar
 Medicina Preventiva

Reto 2: El plan de auditoría, la priorización por riesgos

Una vez que se ha entendido el negocio y conocido los riesgos, las debilidades de control y
algunas de las áreas de oportunidad existentes, se define el plan de auditoría, el cual incluirá las
áreas/procesos a revisar durante el periodo definido, en este caso y de acuerdo a la metodología
antes mencionada, se basó el plan en la evaluación de riesgos (considerando los riesgos
estratégicos, de procesos, de sistemas de información y cumplimiento, entre otros).

El enfoque de evaluación de riesgos implica el priorizar el universo de auditoría en términos de

probabilidad de ocurrencia e impacto, con la finalidad de cubrir las áreas/procesos más
vulnerables en primer lugar, teniendo especial énfasis en aquellas áreas/procesos que tienen un
impacto, directo o indirecto, en el paciente, como lo son: Compras, Inventarios, Admisión de
pacientes, Administración de las cuentas de los pacientes, entre otras.

Además es necesario considerar los siguientes aspectos:

 Expectativas de la Administración del negocio sobre cómo la función de Auditoría Interna

apoyará en la mejora y eficiencia en los procesos para la Organización.
 Alinear los objetivos de la auditoría interna con las iniciativas estratégicas del negocio.
 Incluir dentro del alcance de las revisiones los proyectos especiales o preocupaciones
específicas del Comité de Auditoría o la Administración.
Cabe mencionar que los sistemas de información deben ser considerados dentro del plan anual
de auditoría interna, ya que ellos representan, hoy en día, la médula espinal de toda
Organización para la operación del negocio.

La auditoría de los sistemas de información puede ser tan extensa como compleja, ya que las
revisiones se pueden enfocar en los Controles Generales del Computador (CGC), la revisión de
perfiles de accesos de los usuarios a los sistemas, la segregación de funciones, la infraestructura
tecnológica, las interfaces entre sistemas, entre otros; por ello es indispensable contar con
personal especializado en la auditoría de sistemas, que aporten sus conocimientos y experiencia
en cada revisión programada, ya sean de revisiones de procesos o exclusivas de Tecnología de
la Información, lo que reforzará el control interno en la Organización.

Reto 3: La ejecución de la función en un ambiente dinámico

Una vez definido y aprobado el plan de auditoría por el Comité de Auditoría, su cumplimiento
es responsabilidad del equipo de Auditoría Interna, la elaboración del programa de trabajo, el
diseño de las pruebas y su ejecución; para lo cual la preparación técnica del equipo es
importante, conforme a los roles y responsabilidades de cada integrante.

La habilidad del equipo para relacionarse con el personal juega un papel relevante: los
Auditores deben estar conscientes de que en las áreas clínicas y médicas tratarán con personas
que no tienen un enfoque administrativo en su mayoría, ya que:

 Son Jefes de Servicios Clínicos (Imagenología, Cirugía, Laboratorio, etc.) que tienen una
preparación médica y clínica
 Es personal de Enfermería dedicado a la atención de varios pacientes simultáneamente.
 Además se deben considerar las particularidades de algunos procesos dentro de la operación, lo
que influirá en gran medida para la determinación en las horas a invertir en las revisiones y el
alcance de las pruebas:

Compras:
 Se cuenta con un gran número de familias de productos: medicamentos, materiales, equipo
médico e instrumental, activos fijos, perecederos, entre otros.
 Se tienen métodos particulares de compra: compras “a vistas” (materiales que se compran
hasta después de que el médico los seleccionó y utilizó en la cirugía con la asistencia del
proveedor), compras de materiales y medicamentos que no están dentro del stock definido y
se hacen a solicitud del médico tratante, alto volumen de compras de emergencia, etc.
Ingresos:
 Diversidad en las fuentes de ingresos: Hospitalización, estudios clínicos y cirugías
ambulatorias, venta de medicamentos, venta y renta de equipos, rentas de consultorios y
“time-share”, por mencionar algunos
 Complejidad en la administración de las cuentas de los pacientes por las diversas fuentes de
información para el cargo de los materiales, medicamentos, estudios clínicos y servicios
proporcionados
Inventarios:
 Estructura centralizada en el Almacén General (materiales) y la Farmacia Intrahospitalaria
(medicamentos) como proveedores internos principales y segregada en sub-almacenes
como distribuidores finales a los servicios/departamentos.
 Alto volumen de operaciones registradas por salidas (cargo al paciente-costo o cargo al
departamento-gasto) y transferencias entre almacenes internos o centros de distribución
Reto 4: Emisión de reportes y su seguimiento, presencia de la función después del trabajo
de campo
Una vez que el trabajo de campo ha concluido, los hallazgos han sido revisados y aceptados por
el área auditada y las recomendaciones fueron evaluadas conjuntamente para corroborar su
viabilidad y funcionamiento, se emite el informe final, debiendo el área auditada dar respuesta
a cada hallazgo con un plan de acción, donde designa a los responsables y fechas compromiso
para su cumplimiento.

La responsabilidad de la función de Auditoría Interna no concluye con la emisión del informe,

se debe evaluar que el plan de acción mitigue los riesgos identificados durante la auditoría, y
que las propuestas de cambios en los procesos que consideren necesarios no generen nuevos
riesgos, como pudieran ser la duplicidad de tareas o la inadecuada segregación de funciones.

El apoyo de la alta Dirección y los órganos de gobierno corporativo (como el Comité de

Auditoría) es fundamental en el seguimiento de observaciones, ya que ellos son los
responsables de ejercer presión en las áreas para que cumplan con sus propios compromisos. El
departamento de Auditoría Interna debe designar tiempos para realizar el seguimiento de las
observaciones dentro de su plan anual del año siguiente, además de monitorear constantemente
el vencimiento de las fechas compromiso y pedir reportes de avance a las áreas auditadas,
buscando que la presencia de la función sea una constante en las actividades diarias de la
organización, más que una visita periódica de unas cuantas semanas.

Reto 5: La generación de valor desde la perspectiva del auditor

El término “valor” es muy relativo y subjetivo, depende del contexto en el que se utilice y las
expectativas de la persona que lo recibe. En la experiencia, la generación de valor se da desde
 la conceptualización del plan de auditoría, cuando se comienza por cubrir las áreas de mayor
riesgo para la Organización y de esta manera se asegura el cumplimiento de los objetivos
establecidos; sin embargo, las muestras más representativas de cómo ofrecer “valor” a la
Organización como una función de Auditoría Interna son:

Recomendaciones
Como auditores internos, no importa la forma en que se haya ejecutado el trabajo de campo, el
número de pruebas realizadas, o el tamaño de las muestras que se tomaron, ni siquiera las
metodologías o herramientas utilizadas, sino que las recomendaciones emitidas como opciones
de solución a los hallazgos identificados funcionen para la Organización.

En el caso particular del sector hospitalario, y como se mencionó en la primera parte de este
artículo, las características del negocio requieren que los controles “tradicionales” en áreas
clínicas o médicas y las áreas de soporte, sean analizados bajo una nueva perspectiva, donde se
le dé prioridad a la dinámica de la operación diaria más que al control de cada transacción, por
ejemplo:

 La implementación de controles de seguimiento y análisis de tendencias en rubros como

ingresos, costos y gastos.
 La utilización de sistemas tecnológicos de vanguardia que eliminen o reduzcan
significativamente la utilización de formatos de papel, por ejemplo: códigos de barras,
expediente clínico electrónico, solicitudes de estudios vía sistema, etc.
 Manejo de indicadores de desempeño para medir la eficiencia de la operación.
Lo anterior nos llevará a mejorar el control interno y generar información integra, sin sacrificar
la oportunidad en el servicio o caer en la burocracia o cuellos de botella.

Valor agregado
Valor agregado implica “superar la expectativa de la Administración”, en mi experiencia, este
concepto lo he materializado por medio de las siguientes actividades:

Revisiones de la eficiencia operacional: Con el apoyo de un equipo multidisciplinario,

analizado integralmente las operaciones con un enfoque de procesos, lo que permite identificar
las áreas de oportunidad que afectan el cumplimiento de los objetivos, emitiendo
recomendaciones dirigidas a atender las causas de los problemas y no solo remediar los
hallazgos, priorizando las actividades con base en el esfuerzo y su grado de complejidad.

Revisiones de Tecnología de la Información: Mediante un equipo especialista en Sistemas de la

Información, se han realizado revisiones de Consultoría para apoyar en la mejora de su
estructura tecnológica y los 10 dominios de los Controles Generales del Computador, así como
emitir recomendaciones para elaborar un plan de recuperación de desastres (DRP) y el plan de
continuidad del negocio (BCP).

Auditorías exprés: Revisiones de tiempo muy corto (no más de 3 horas) en cajas y almacenes,
con el fin de detectar errores y vicios en la operación diaria, promoviendo el apego a los
procedimientos y políticas establecidas, así como fortalecer el ambiente de control.

Lecciones aprendidas
La evolución de la función de Auditoría Interna nos ha llevado a tener un rol de Consultor del
negocio más que de policía en los últimos años.
En el caso particular de un hospital, el auditor requiere sensibilizarse con la operación, tener
mayor tacto y diplomacia con el personal, requiere “vivir” la operación para estar en posición
de entenderla con la visión del tercero independiente, lo que nos permitirá evaluar y
recomendar acciones acordes a la realidad del hospital y sobre todo, al beneficio directo del
paciente.

Fuente: Auditool
FacebookTwitterLinkedInSuscribirse
https://www.incp.org.co/claves-de-la-auditoria-interna-en-hospitales/