Un sistema sólido de control interno y la gestión de riesgos eficaz son elementos decisivos para lograr los objetivos del IMSS y salvaguardar la integridad de sus procesos de contratación. En este capítulo se exploran las fortalezas y oportunidades para mejorar las estrategias que guían las actividades de control interno y gestión de riesgos del IMSS. En particular, el IMSS podría esclarecer sus objetivos de gestión de riesgos para la contratación e incluso agudizar su atención en los riesgos de fraude y corrupción. El capítulo también destaca de qué manera el IMSS y los órganos internos de control podrían mejorar las herramientas y esclarecer las funciones para gestionar los riesgos en los procesos de contratación. Las prioridades incluyen perfeccionar sus procesos de evaluación de riesgos e incrementar la titularidad de la gestión del sistema de control interno.
Segundo Estudio de la OCDE sobre Contratación Pública en el Instituto Mexicano del Seguro Social (IMSS)
Capítulo 7. Salvaguardar la integridad y gestionar los riesgos en la contratación del IMSS
Abstract
La contratación pública es una actividad de alto riesgo debido al volumen y regularidad de las compras, además de lo complicado de los procesos para adquirir bienes y servicios. El fraude, la corrupción y el abuso pueden desgarrar la trama de integridad en los procesos de contratación. Los riesgos estratégicos y operativos, como las ineficiencias en el proceso de licitación, atrasos en las entregas o baja calidad en la ejecución del contrato, también pueden socavar la consecución de los objetivos de políticas y programas.
Por lo tanto, la eficacia del sistema de control interno y gestión de riesgos en el Instituto Mexicano del Seguro Social (IMSS) tiene relación directa con el éxito para lograr sus metas estratégicas. Como el mayor comprador público de productos farmacéuticos y otros materiales médicos en México, esto es pertinente en particular para las actividades de contratación del IMSS. Los gestores de riesgos, auditores internos y otros interesados en el sistema de control interno del IMSS desempeñan papeles fundamentales no solo para salvaguardar la integridad, sino también para garantizar que las actividades de contratación funcionen de manera eficaz y eficiente en beneficio de los ciudadanos.
En 2013, la OCDE estudió las actividades de contratación pública del IMSS y presentó un informe sobre los esfuerzos del Instituto para diseñar y poner en práctica un sistema de control interno eficaz para sus procesos de contratación (OCDE, 2014[1]). Desde ese estudio, el IMSS ha mejorado la gestión de riesgos y reforzado los controles internos de acuerdo con las normas mexicanas e internacionales. Por ejemplo, creó unidades especializadas para dirigir las actividades de gestión de riesgos, como las evaluaciones de riesgos, e incorporó riesgos de contratación específicos en sus matrices de riesgos. Si bien ha tomado medidas para mejorar la gestión de estos, podría adaptar todavía más esas actividades para abordar riesgos de contratación específicos, en particular los de fraude y corrupción.
Al aprovechar el estudio de la OCDE de 2013, este capítulo evalúa las dificultades y los riesgos actuales que enfrenta el IMSS y ofrece recomendaciones para que gestione los riesgos de manera más proactiva. Esto incluye esclarecer más los objetivos de integridad en su estrategia de gestión de riesgos y mejorar los esfuerzos para evaluar y hacer el seguimiento de la eficacia del sistema de control interno.
El capítulo se inicia con una perspectiva general del control interno y la gestión de riesgos en el IMSS, incluida su aplicación de normas gubernamentales. Luego identifica formas en que el IMSS podría mejorar su evaluación de riesgos y la orientación relacionada, además de mejorar la titularidad de la gestión del sistema de control interno. Finalmente, el capítulo ofrece ponderaciones para la Secretaría de la Función Pública (SFP) y la Auditoría Superior de la Federación (ASF) de México, como interesados clave del sistema de control interno, para que aumenten su apoyo a las iniciativas del IMSS de modo que se gestionen mejor los riesgos de la contratación. Esas ponderaciones incluyen esclarecer funciones y mejorar la coordinación. Las recomendaciones en este capítulo demuestran las conexiones entre la gestión de riesgos y las metas institucionales, y reconoce que los ciudadanos son, en última instancia, los beneficiarios de un sistema de control interno y de una función de gestión sólida de riesgos.
Perspectiva general del control interno y la gestión de riesgos en el IMSS
El control interno y la gestión de riesgos en el gobierno mexicano se sustentan en el Manual del Sistema de Control Interno de la Secretaría de la Función Pública (Acuerdo por el que se emiten las Disposiciones y el Manual Administrativo de Aplicación General en Materia de Control Interno, o MAAG-CI), publicado en el Diario Oficial de la Federación el 2 de noviembre de 2016. El MAAG-CI presenta el Sistema de Control Interno Institucional (SCII) como el marco de control interno y gestión de riesgos de México para las entidades públicas federales. El IMSS, como institución gubernamental autónoma, está sujeto a los requisitos descritos en el Manual del Sistema de Control Interno y el Sistema de Control Interno Institucional. El Sistema de Control Interno Institucional tiene los siguientes tres componentes (véanse detalles adicionales en el Recuadro 7.1):
El Modelo Estándar de Control Interno (MECI).
La Administración de Riesgos Institucionales (ARI).
El Comité de Control y Desempeño Institucional (COCODI).
Recuadro 7.1. El Sistema de Control Interno Institucional y sus componentes
Como se detalla en el Manual del Sistema de Control Interno (MAAG-CI) de la SFP, el Sistema de Control Interno Institucional (SCII) puede definirse como un conjunto de procesos, mecanismos y otros elementos organizativos que interactúan entre sí (Mexico’s Ministry of Public Administration, 2016[2]). Una institución puede aplicar el SCII a diversos niveles, incluida la planeación, organización, ejecución, dirección, información y el seguimiento de sus procesos de gestión. Esto es para asegurar que la toma de decisiones se conduzca de manera que apoye y promueva la mejora continua, la calidad, la eficiencia, el acatamiento de la ley y la consecución de las metas y los objetivos institucionales en un entorno ético e integral.
Uno de los tres componentes del SCII, el Modelo Estándar de Control Interno (MECI), coincide con el Marco Integrado de Control Interno en el Sector Público (MICI) creado por la Auditoría Superior de la Federación (ASF). El MECI, según funcionarios de la Secretaría de la Función Pública, fue un intento de homologar las normas de control de la SFP y la ASF. El Modelo Estándar de Control Interno incluye tres distintos niveles de control: estratégico, ejecutivo y operativo. Con base en el Marco Integrado de Control Interno del Comité de la Organización Patrocinadora de la Comisión Treadway, el sistema se creó alrededor de los siguientes componentes: entorno de control, evaluación de riesgos, actividades de control, información y comunicación, y actividades de seguimiento.
Los cinco componentes del MECI se estructuran en torno a 17 principios para ayudar a los funcionarios a crear un sistema de control interno eficaz. La integración exitosa de los principios contribuye a la operación eficaz de los componentes generales y, en consecuencia, a la operación eficaz del sistema de control interno total de la entidad. Además, los principios tienen el fin de ayudar a hacer juicios informados al evaluar la madurez y el grado de implementación de diversos componentes. Al aplicar el sistema, los administradores deben saber que se espera que creen controles apropiados y a la medida, ya que no están articulados en el Modelo Estándar de Control Interno.
Además del MECI, el Manual del Sistema de Control Interno también introdujo la Administración de Riesgos Institucionales (ARI), que ofrece un marco y metodología de gestión de riesgos. De manera específica, la ARI describe las actividades que debe emprender una entidad para identificar, evaluar y moderar los riesgos de corrupción.
Fuente: (Mexico’s Ministry of Public Administration, 2016[2]).
La Dirección de Administración del IMSS y un equipo de esta, denominado Coordinación de Modernización y Competitividad (MC), son los responsables de dirigir la creación, emisión y actualización de políticas, normas, procedimientos y directrices relacionados con reglamentos y control interno, entre otras áreas. Otros actores apoyan el sistema de control interno en el IMSS, incluido el Órgano Interno de Control (OIC), una extensión de la SFP. Las normas para el control interno en México asignan una función predominante a los OIC para contribuir a las actividades de control interno y gestión de riesgos.
El Manual del Sistema de Control Interno exige que las entidades públicas federales creen una matriz de gestión de riesgos anual y un plan de acción, denominado Programa de Trabajo de Administración de Riesgos (PTAR). En el IMSS, el PTAR es creado y firmado por el director general, el coordinador de Control Interno (CCI) y el Enlace de Gestión de Riesgos. Esto de acuerdo con el Modelo Estándar de Control Interno que asigna responsabilidad por el seguimiento del funcionamiento del sistema de control interno a los titulares de las instituciones gubernamentales (es decir, el director general del IMSS) o, cuando corresponda, a los Órganos Rectores (Mexico’s Ministry of Public Administration, 2016[2]). El MECI también exige que el director general acuerde la metodología de gestión de riesgos con el coordinador de Control Interno. Este último es responsable de coordinar, implementar y hacer el seguimiento de las actividades del PTAR, incluida la matriz de riesgos y los planes de acción, además de informes de avance y un informe anual sobre el comportamiento de los riesgos.
La Coordinación de Modernización y Competitividad evalúa varios servicios del IMSS, que documenta en su Plan de Calidad y Seguridad del Paciente. Como sugiere el nombre del plan, la evaluación de riesgos se concentra en los riesgos y desafíos que podrían afectar la calidad de la atención médica y la seguridad de los pacientes, como el manejo de materiales peligrosos, así como la gestión y el uso de medicamentos (IMSS, 2016[3]). La Coordinación de Modernización y Competitividad concentra sus evaluaciones en los riesgos operativos y se coordina con otras direcciones del IMSS, así como con el OIC, para dar apoyo metodológico y seguimiento a otras direcciones en sus propias evaluaciones.
Cada dirección, incluida la función de contratación, es responsable de analizar los riesgos pertinentes para su área. En general, el método del IMSS refleja un “enfoque en riesgos específicos”, mediante el cual se identifican riesgos dentro de unidades específicas. Esto en contraste con un método de factores de riesgo, que implica identificar factores de riesgo comunes en la mayoría de las unidades del Instituto, si no es que en todas (Wright, 2013[4]). De acuerdo con los funcionarios, el IMSS depende en gran medida del MECI, la ARI y el manual de la SFP descrito en el Recuadro 7.1 para estructurar sus evaluaciones de riesgos, de acuerdo con los pasos descritos en la Error! Reference source not found. Como consecuencia de este proceso, en 2017 el IMSS identificó 13 riesgos estratégicos y operativos vinculados a 47 factores de riesgo en total, en una variedad de actividades incluidas en su plan de trabajo para 2014-2018. Por ejemplo, el IMSS identificó como riesgo estratégico el no digitalizar documentos y servicios que pueden mejorar la calidad de los servicios que se prestan a los ciudadanos (IMSS, 2017[5]); véase el Capítulo 3. ). Otros riesgos se enfocaron en los servicios médicos, como el de la mala aplicación de medidas para prevenir enfermedades, lo que llevaría a más altos índices de mortalidad durante las hospitalizaciones.
La Coordinación de Adquisición de Bienes y Contratación de Servicios (CABCS) regula la función de contratación del IMSS y es responsable de evaluar los riesgos relacionados con actividades de contratación. Con el apoyo de la Coordinación de Modernización y Competitividad, la CABCS identifica riesgos en el ciclo de contratación utilizando el proceso descrito. Evalúa la probabilidad y el efecto de los riesgos, y determina si las actividades de control son suficientes para moderar riesgos dentro de una tolerancia al riesgo definida (véase más sobre tolerancia al riesgo en la siguiente sección). La Coordinación de Modernización y Competitividad analiza cada trimestre el avance en la solución de esos riesgos, y de otros, y también consolida los riesgos en una sola matriz, en una gráfica y en el Programa de Trabajo de Administración de Riesgos. La matriz funciona en gran medida como registro de riesgos (Recuadro 7.2) y, como tal, el proceso de evaluación de riesgos del IMSS refleja la experiencia de otros países.
Recuadro 7.2. Creación y gestión de registros de riesgos, ejemplo de la Dirección Ejecutiva de los Servicios de Salud de Irlanda
La Dirección Ejecutiva de los Servicios de Salud crea registros de riesgos para gestionarlos y obtener un panorama general de alta calidad sobre la situación de riesgo de los servicios en un momento determinado. El registro sirve como una herramienta eficaz para rastrear riesgos y describe el sistema de riesgos en su totalidad y la situación de las medidas de moderación de riesgos.
Cada supervisor directo es responsable de crear un registro de riesgos en su área de responsabilidad. Al terminarlo, se comparte con todos los empleados de la entidad de manera clara y comprensible, tomando en cuenta su nivel de capacitación, conocimientos y experiencia.
Un plan de acción es la parte decisiva de un registro de riesgos. Se crea para abordar los controles adicionales necesarios para reducir el riesgo a un nivel satisfactorio. Los controles complementarios que no pueden gestionarse a nivel del servicio se deben transferir al siguiente nivel de gestión. La Dirección Ejecutiva de los Servicios de Salud reconoce que, por diversos motivos, no pueden eliminarse todos los riesgos. En consecuencia, en cualquier etapa del proceso puede decidirse “vivir con ellos” o aceptar un cierto nivel de riesgo. Cuando no se pueda eliminar por completo un riesgo, debe incluirse en el registro de riesgos junto con una lista de controles con el objetivo de reducirlo a un nivel aceptable. Luego se hará el seguimiento de esos riesgos de manera sistemática.
Se identificaron cuatro elementos como requisitos previos para crear un registro de riesgos sólido:
Disponibilidad de especialización en riesgos. El personal que apoye el proceso necesita capacitación e instrucción adecuadas.
Uso de materiales y herramientas de apoyo aprobados. Para asegurar la uniformidad en todo el proceso, se deben usar varias herramientas y documentos aprobados al crear un registro.
Compromiso y titularidad. El compromiso visible de la alta dirección es el factor clave para el éxito en el proceso.
Contar con apoyo en el lugar. Se necesita apoyo administrativo para organizar talleres y la coordinación general.
Como la evaluación de riesgos es un proceso dinámico, los riesgos y sus medidas de control deben estudiarse, verificarse y corregirse de manera continua. El seguimiento o verificación puede llevarse a cabo a nivel del servicio, del área de servicio o para asegurar la autonomía.
Fuente: (Irish Health Service Executive, 2009[7]).
Asegurar estrategias eficaces de gestión de riesgos y su aplicación
El IMSS podría mejorar su estrategia de gestión de riesgos para la contratación pública si define expresamente sus metas y objetivos, en particular los relacionados con los riesgos de fraude y corrupción
La aprobación y firma del director general para el Programa de Trabajo de Administración de Riesgos, explicado antes, demuestra un gran compromiso con la gestión de riesgos y el control interno dentro del IMSS. También ayuda a marcar la pauta desde arriba respecto a las expectativas de la Dirección en cuanto a normas de conducta y a comunicar la importancia del control interno, como lo exige el Sistema de Control Interno Institucional. Sin embargo, el Plan de Trabajo Estratégico del IMSS para 2016-2018 omite mencionar la importancia del control interno y la gestión de riesgos para la eficacia, eficiencia e integridad de las actividades del IMSS, incluida la contratación. Otros documentos fundamentales, como el PTAR y la matriz de riesgos, tampoco mencionan de manera explícita la corrupción, el fraude ni la integridad.
El informe de la OCDE de 2013, Estudio sobre la contratación pública del Instituto Mexicano del Seguro Social: aumentar la eficiencia e integridad para una mejor asistencia médica, recomendó que el IMSS debía establecer una política de gestión de riesgos que coincidiera con objetivos organizacionales más amplios. La política tendría el objetivo de definir y dar a conocer el método del IMSS respecto al riesgo y ofrecería orientación de alto nivel sobre los procesos y procedimientos institucionales para moderar los riesgos (OCDE, 2014[1]). El IMSS aún no implementa esta política; sin embargo, como alternativa, podría pensar en definir e incorporar objetivos de integridad en sus planes de trabajo, el PTAR y una guía que analice sus actividades de contratación. Esto ayudaría a demostrar a directores y empleados la importancia de gestionar los riesgos de corrupción y fraude en esta área de alto riesgo.
En particular, el IMSS podría definir objetivos expresos que destaquen explícitamente la importancia de una cultura de la integridad y la gestión de los riesgos de fraude y corrupción. Al mencionar la integridad y combatir la corrupción a nivel estratégico, además de enfatizar las áreas de alto riesgo, como la contratación, el IMSS puede establecer una pauta de alto nivel que contribuya a una gestión eficaz de los riesgos de fraude y corrupción. Esto también ayudaría al IMSS a coincidir mejor con el MECI, que ya incluye un principio exclusivo para gestionar riesgos de fraude y corrupción, señalando que las entidades deben considerar el potencial de fraude al evaluar riesgos para lograr objetivos (Mexico’s Ministry of Public Administration, 2016[2]). El Recuadro 7.3 ofrece ejemplos de Estados Unidos de objetivos estratégicos exclusivos para la integridad.
Recuadro 7.3. Definir objetivos de integridad: el método de los Centros para Servicios de Medicare y Medicaid de Estados Unidos
Los Centros para Servicios de Medicare y Medicaid constituyen un organismo federal del Departamento de Salud y Servicios Humanos responsable de administrar Medicare, Medicaid y el Programa de Seguro Médico Infantil. Al crear su estrategia, los Centros para Servicios de Medicare y Medicaid se aseguran de que coincida bien con el plan estratégico actualizado por el Departamento de Salud y Servicios Humanos cada cuatro años. Esto hace posible un método de implementación integrado y que las prioridades más recientes se reflejen como corresponde en la estrategia de los Centros.
Los Centros para Servicios de Medicare y Medicaid definen su plan estratégico de manera integral, así como los objetivos estratégicos y los resultados deseados. Los objetivos estratégicos de los Centros determinan las mejoras que se necesitan para conseguir resultados específicos y así hacer un seguimiento para saber si se han logrado avances. Con la asistencia del Consejo de Planeación y Gestión Estratégica, el organismo identificó objetivos que cubren las siguientes perspectivas organizativas: capacidad organizativa, procesos internos, administradores financieros, clientes e interesados.
Según la estrategia de los Centros para Servicios de Medicare y Medicaid, el Objetivo 6.0, Fortalecer la Integridad del Programa, apoya la administración financiera a la vez que ayuda a aprovechar al máximo el valor y la eficacia dentro de los recursos disponibles. Las mejoras en la administración financiera ayudan posteriormente a lograr los resultados deseados para los clientes y los interesados, y apoyan los objetivos y la visión del organismo en su totalidad.
La estrategia de los Centros para Servicios de Medicare y Medicaid describen, además, el objetivo de “Reforzar la Integridad del Programa” mediante las siguientes características y elementos:
Mejor rendición de cuentas financiera debido a la supervisión federal y estatal apropiada de los gastos de Medicaid.
Cooperación con los órganos de procuración de justicia.
Mejorar la detección de malos actores, identificar pagos indebidos, perfeccionar los procesos de inscripción.
Tomar en cuenta recursos normativos y mecanismos antifraudes en una etapa inicial de la creación del reglamento.
Mejorar la postura proactiva mediante supervisión eficaz del programa y gestión de riesgos total.
Perfeccionar la aplicación mediante actividades de cumplimiento y supervisión.
Mejorar la prevención de fraudes, desperdicio y abuso mediante un proceso de detección específico.
Gestión de riesgos eficaz e inversiones estratégicas que produzcan un alto rendimiento y tengan un gran efecto.
Mejores procesos de auditoría que reduzcan las incompatibilidades de frecuencia de auditoría.
Se utilizan datos consolidados y bien alineados para la toma de decisiones.
Mejorar la colaboración con los estados en la ejecución de la reforma para la atención de la salud.
Mantener la rendición de cuentas, confiabilidad y transparencia de los Centros para Servicios de Medicare y Medicaid ofreciendo a las autoridades acceso a su información financiera.
Actividades proactivas y coherentes para la integridad de programa del organismo.
Además, se destaca todavía más la importancia de la integridad al incluirla en la estrategia de los Centros para Servicios de Medicare y Medicaid como uno de los valores fundamentales que guían sus actos. Esto hace hincapié en su compromiso con las más altas normas de comportamiento ético y honestidad.
Fuente: (CMS, 2016[8]).
Al definir objetivos de integridad, el IMSS también podría asegurarse de que se repitan en los objetivos secundarios de las actividades funcionales del IMSS, en particular en la contratación. Los objetivos secundarios se relacionan con las actividades funcionales del IMSS y sus departamentos, incluidas sus actividades de adquisición y contratación. La dirección es responsable de vincular objetivos de entidad con objetivos secundarios específicos y coordinarlos en todo el IMSS (Committee of Sponsoring Organizations of the Treadway Commission (COSO), 2013[9]). Al fortalecer este vínculo, el IMSS podría articular con mayor claridad el valor de las actividades de control interno y de gestión de riesgos para lograr metas, objetivos y resultados. Esto también podría mejorar la titularidad de la gestión de esas actividades, como se analiza con mayor detalle a continuación.
Para complementar sus esfuerzos de crear una cultura de la integridad, el IMSS podría destacar más los mensajes que se centren en los valores de integridad en vez de las reglas
En México, desde el inicio de las principales reformas anticorrupción en 2014, durante tres años se han visto avances considerables en la integridad y rendición de cuentas del sector público. Desde principios de 2015, con la publicación de los decretos del presidente de México (orientados a manejar conflictos de intereses), el país ha tenido reformas destinadas a fortalecer la rendición de cuentas y la integridad del gobierno. El gobierno federal también cambió su código de ética (Código de Ética de la Administración Pública Federal, DOF 31/07/2002) y las reglas de integridad (Lineamientos de integridad y comportamiento ético, a través de Comités de Ética, DOF 6/03/2012) por el nuevo Código de Ética y Reglas de Integridad (DOF 20/08/2015). En consecuencia, todas las entidades públicas federales tienen la obligación de actualizar los códigos de sus dependencias. Las reformas incluyeron cuatro iniciativas para fortalecer la gestión en los procesos de contratación pública (OCDE, 2017[6]):
Protocolo para el comportamiento de los funcionarios de contratación (Protocolo de actuación en materia de contrataciones públicas, otorgamiento y prórroga de licencias, permisos, autorizaciones y concesiones). Esto está incluido en la Ley General de Responsabilidades Administrativas. Véase un análisis adicional en el capítulo 5.
Registro de servidores públicos de la administración pública federal involucrados en procedimientos de contrataciones públicas, que incluye una clasificación según su nivel de responsabilidad y certificación.
Una publicación en línea de proveedores sancionados, donde se especifica el motivo de la sanción.
Mayor colaboración con el sector privado para fortalecer la transparencia de los procedimientos de contratación y toma de decisiones, y para reforzar la integridad mediante la participación de ciudadanos en la identificación de procesos y procedimientos vulnerables, además de la creación de acuerdos de cooperación con cámaras de comercio y organizaciones de la sociedad civil.
Para cumplir con los nuevos requisitos de integridad, el IMSS estableció un Código de Conducta y de Prevención de Conflictos de Interés de las y los Servidores Públicos del Instituto Mexicano del Seguro Social, que fue aprobado por el Consejo Técnico en diciembre de 2015. El Consejo Técnico es responsable de emitir las directrices que rigen a los funcionarios del IMSS, como las relacionadas con la prevención de actos de corrupción. Un anexo del Código de Conducta incluye las Reglas de Integridad para el Ejercicio del Servicio Público y contiene una sección titulada “Contratación Pública, Licencias, Permisos, Autorizaciones y Concesiones”. Esta sección estipula que los funcionarios que participen en procesos de contratación deben: 1) actuar con transparencia, imparcialidad y legitimidad, 2) centrar sus decisiones en las necesidades y los intereses de la sociedad, y 3) conseguir las mejores condiciones para el gobierno. También describe qué comportamientos infringirían esas reglas.
Además, la Ley del Seguro Social (LSS), el Reglamento Interno del Instituto Mexicano del Seguro Social (RIIMSS) y el Reglamento Interior de Trabajo del Contrato Colectivo de Trabajo para 2015-2017, estipulan en conjunto, según funcionarios del IMSS, que al cumplir con sus obligaciones los empleados están obligados a acatar “los principios de responsabilidad, ética profesional, excelencia, honestidad, lealtad, imparcialidad, eficiencia, calidez y calidad en la prestación de servicios y en la atención de la salud a los derechohabientes”. También señala que “estarán sujetos a responsabilidad civil o penal en la que podrían incurrir como personas a cargo de prestar un servicio público”.
Aunque el Protocolo de Conducta para Servidores Públicos en la Contratación Pública ayuda a elevar el perfil de la contratación como un área de alto riesgo, se basa en gran parte en reglas y no en valores (OCDE, 2017[6]). Esta noción está reflejada en las leyes y reglamentos anteriores. Un método cuya base es acatar las reglas hace hincapié en la prevención del fraude y la corrupción al establecer normas con fuerza ejecutoria y decirles a los funcionarios qué hacer. En cambio, un método cuya base son los valores busca inspirar integridad e inducir cambios de comportamiento al crear conciencia sobre la ética, los valores y el interés público. El primer método corre el riesgo de socavar la motivación y el ánimo si los funcionarios sienten que se desconfía de ellos o se les percibe como corruptos. Por este motivo, la Recomendación del Consejo de la OCDE sobre Contratación Pública mencionada en el Recuadro 7.4, destaca la importancia de no crear temores infundados a las consecuencias (o aversión al riesgo) en el personal de contrataciones o en la comunidad de proveedores (OCDE, 2015[10]).
Recuadro 7.4. Integridad y Recomendación del Consejo de la OCDE sobre Contratación Pública
III. RECOMIENDA que los Adherentes conserven la integridad del sistema de contratación pública mediante normas generales y salvaguardas específicas para procesos de contratación.
A tal fin, los Adherentes deberán:
i) Exigir que todas las partes interesadas actúen con un elevado grado de integridad a lo largo del ciclo de contratación. Sería útil para ello ampliar (p. ej., mediante pactos de integridad) el ámbito de aplicación de las normas que forman parte de los marcos legales o reglamentarios o de los códigos de conducta por los que se rigen los empelados del sector público (como los relativos a la gestión de conflictos de intereses, la revelación de información y demás normas deontológicas).
ii) Poner en práctica, en el conjunto del sector público, instrumentos de aseguramiento de la integridad y adaptarlos oportunamente a los riesgos concretos del ciclo de contratación (p. ej., a los riesgos especialmente elevados de las relaciones entre sector público y privado, o a la responsabilidad fiduciaria en la contratación pública).
iii) Desarrollar programas de formación en materia de integridad dirigidos al personal de contratación pública, tanto del sector público como del privado, para concientizarlos sobre las amenazas a la integridad, como la corrupción, el fraude, las prácticas colusorias y la discriminación, para generar conocimientos sobre las posibles vías para hacer frente a estos riesgos y fomentar una cultura de la integridad dirigida a prevenir la corrupción.
iv) Establecer requisitos para controles internos, medidas de aseguramiento del cumplimiento y programas anticorrupción, dirigidos a los proveedores, incluido el oportuno seguimiento. Los contratos públicos deberán contener garantías de exención de corrupción y llevar aparejadas medidas de comprobación de la veracidad de las declaraciones y garantías de los proveedores de que no participan en comportamientos corruptos en relación con el contrato y de que se abstendrán de este tipo de conductas. Dichos programas deberán igualmente exigir el adecuado grado de transparencia en la cadena de suministro para favorecer la lucha contra la corrupción en la subcontratación; además, habrán de exigir que el personal de los proveedores reciba formación en materia de integridad.
Fuente: (OCDE, 2015[10]).
Para promover una cultura que propicie la gestión del riesgo y aliente la titularidad de la gestión sobre el sistema de control interno se necesitan funcionarios motivados y que no sientan que los tratan como si fueran una amenaza. En sí, el IMSS podría pensar en insistir en un método cuyos mensajes estén basado en valores, y en impartir capacitación sobre el código de conducta y ética. Actualmente, las actividades de gestión de riesgos y control interno en el IMSS son en gran medida responsabilidad de equipos selectos y del OIC, con otros involucrados, según las circunstancias, para evaluaciones de riesgos y otras actividades. Sin embargo, la gestión de riesgos y responsabilidad del sistema de control interno deberían permear a toda la institución, vertical y horizontalmente. Al hacer hincapié en los métodos basados en valores, el IMSS ayudaría a promover esta idea. Además, si se agudiza la atención del ciclo de contratación en los valores de integridad, eso llevaría a que el IMSS coincida más con las normas internacionales, incluida la Recomendación del Consejo de la OCDE sobre Contratación Pública.
El IMSS podría desarrollar aún más su estrategia y actividades para el seguimiento y una evaluación más sistemática de la eficacia del sistema de control interno y las actividades de gestión de riesgos
Aunque el director deneral del IMSS tiene la responsabilidad definitiva del sistema de control interno según el MECI, otros actores de la institución desempeñan papeles importantes, como se detalla en el Manual de Organización de la Dirección de Administración de 2017 del IMSS (IMSS, 2017[11]). La Dirección de Administración, y la Coordinación de Modernización y Competitividad dentro de esta, es responsable de dirigir la creación, emisión y actualización de políticas, normas, procedimientos y directrices relacionados con reglamentos y control interno, entre otras áreas. Además, la dirección tiene la obligación de establecer mecanismos para evaluar el estado del sistema de control interno y los procesos de gestión de riesgos.
Hay numerosas normas internacionales para el control interno y la gestión de riesgos, como Gestión de Riesgos: Principios y Directrices de la Organización Internacional de Normas (ISO) 3100, que exige el seguimiento y la evaluación planeadas como parte del proceso de gestión de riesgos (ISO, 2009[12]), como se muestra en la Gráfica 7.2. Conforme a las normas ISO, el Manual del Sistema de Control Interno exige que la administración evalúe los resultados y elabore informes de avance trimestrales y un informe anual para el PTAR. Además, de acuerdo con el manual, la Dirección debe evaluar y documentar los resultados de autoevaluaciones y evaluaciones independientes para determinar si el control interno es eficaz y adecuado (Mexico’s Ministry of Public Administration, 2016[2]). La Dirección también debe identificar cambios que hayan ocurrido en el control interno que puedan ser consecuencia de cambios institucionales o cambios en su entorno.
Durante las entrevistas, los funcionarios del IMSS describieron varias acciones para evaluar las actividades del sistema de control interno y la gestión de riesgos, pero se enfocan en gran medida en la evaluación más que en el seguimiento y no toman en cuenta la variedad de factores que podría influir en esas funciones. Por ejemplo, el IMSS publica una informe de evaluación anual centrado en los riesgos financieros en el Programa de Trabajo de Administración de Riesgos (Evaluación de los Riesgos Financieros Considerados en el Programa de Administración de Riesgos Institucionales). Además, los funcionarios señalaron que toman en cuenta las conclusiones de las auditorías de la SFP y de la ASF para determinar dónde están fallando los procesos. Con base en esos estudios, el IMSS lleva a cabo análisis de “causa raíz”, con el objetivo de corregir vulnerabilidades y mejorar políticas y procedimientos. El IMSS podría evaluar de manera más sistemática y estratégica estos procesos para comprender mejor las oportunidades de mejorar su sistema de control interno y gestión de riesgos.
La Secretaría de la Función Pública comunica los requerimientos y ofrece orientación sobre el momento adecuado y los objetivos del seguimiento y la evaluación en su Manual del Sistema de Control Interno, el MAAG-CI. Sin embargo, no es explícito en cuanto a los propósitos y las áreas potenciales para evaluación. De acuerdo con ISO 31000, Gestión de Riesgos: Principios y Directrices (ISO, 2009[12]), los procesos de seguimiento y revisión del IMSS deben incluir todos los aspectos de la gestión de riesgos para:
Asegurarse de que los controles sean eficaces y eficientes tanto en diseño como en operación.
Obtener información adicional para mejorar la evaluación de riesgos.
Analizar y aprender lecciones de acontecimientos (incluso “cuasi accidentes”), cambios, tendencias, éxitos y fracasos.
Detectar cambios en el contexto externo e interno, incluidos cambios a los criterios de riesgos y el riesgo en sí, que pueden requerir la modificación de tratamientos y prioridades de riesgos.
Identificar riesgos incipientes.
El IMSS podría mejorar su seguimiento y evaluación si no se limita a los riesgos financieros para examinar todos los aspectos del proceso de gestión de riesgos. Esto podría incluir revisiones del contexto externo e interno que pueden afectar la capacidad del IMSS para conseguir sus objetivos (Gráfica 7.3). Conforme a los objetivos estratégicos del IMSS, la Coordinación de Modernización y Competitividad y la Coordinación de Adquisición de Bienes y Contratación de Servicios podrían tomar medidas para mejorar las evaluaciones de la manera en que la Coordinación de Adquisición de Bienes y Contratación de Servicios valora los riesgos, y adaptar esos factores a la contratación, teniendo en mente el propósito anterior de las evaluaciones.
Mejorar las evaluaciones de riesgos relacionados con la contratación pública
El IMSS podría mejorar sus evaluaciones de riesgos relacionadas con la contratación pública agudizando la atención en los riesgos de corrupción y de fraude, así como en otros riesgos estratégicos y operativos que pueden afectar todo el ciclo de contratación
El IMSS lleva a cabo evaluaciones de riesgos para áreas diferentes; sin embargo, podría reforzar sus evaluaciones de las funciones de contratación. Los riesgos relacionados con el ciclo de contratación identificados por el IMSS son válidos pero incompletos. El IMSS se enfoca principalmente en los riesgos estratégicos y operativos del ciclo de contratación. Podría considerar riesgos adicionales, en particular los relacionados con fraude y corrupción, para asegurar una explicación exhaustiva de los riesgos y las actividades de control existentes.
Durante las entrevistas, funcionarios del IMSS y del OIC destacaron varios riesgos que podrían influir en la eficacia y eficiencia del proceso de contratación, incluida la planeación insuficiente, la falta de conocimientos para elaborar requerimientos contractuales y la ausencia de colaboración entre las áreas contratantes y solicitantes, entre otras. Sin embargo, para 2017, la matriz de riesgos y el PTAR mencionan explícitamente riesgos de contratación en solo dos de los 13 riesgos generales identificados y excluye muchos de los que destacaron los funcionarios.
Un riesgo identificado en el PTAR es la falta de coordinación de procesos para hacer compras consolidadas; tanto la Coordinación de Adquisición de Bienes y Contratación de Servicios como la Coordinación de Control de Abasto se señalan como las dueñas del riesgo. Además, el IMSS identifica como riesgo los proyectos que se extralimitan de su fecha de finalización programada. El IMSS destacó la mala detección de muertes de pensionados como un riesgo potencial, pero no vincula esto a la integridad, el fraude o la corrupción. Por ejemplo, el riesgo de personas que roban la identidad de pensionados fallecidos para conseguir bienes y servicios cuyos requisitos de obtención no cumplirían de otro modo. Ni la matriz ni el Programa de Trabajo de Administración de Riesgos mencionan explícitamente riesgos relacionados con fraude, corrupción o integridad en ninguna de las actividades del IMSS, incluida la contratación.
Los funcionarios explicaron que el IMSS involucra a diversas unidades en sus evaluaciones de riesgos de contratación, incluidos equipos responsables no solo de la contratación, sino también de estudios de mercado, control y usuarios de productos. Para aumentar la atención sobre los riesgos de fraude y corrupción, el IMSS podría asegurarse de que quienes se hacen cargo directamente de la prevención de fraude y corrupción estén involucrados en la evaluación de riesgos (p. ej.: funcionarios contratantes), así como entidades externas, como contratistas, la Auditoría Superior de la Federación y órganos reguladores. Las quejas, las entidades similares y los testigos sociales también pueden ayudar a identificar riesgos (véase el capítulo 5). Las entrevistas, las encuestas y los grupos de opinión son solo algunos métodos que el IMSS podría utilizar para reunir información y aportaciones de esos interesados. El IMSS también podría analizar riesgos en licitaciones concretas. Este método podría cubrir todas las fases del ciclo de contratación, incluidas la previa a la licitación, la de licitación y la posterior a la adjudicación (véase análisis adicional sobre esos riesgos en el ciclo de contratación, Cuadro 7.1).
Cuadro 7.1. Integridad, riesgos de corrupción y fraude en el ciclo de contratación
Riesgos en la fase previa a la licitación |
Necesita evaluación |
|
Planeación y presupuestación |
|
|
Elaboración de especificaciones/requisitos |
|
|
Elección del procedimiento de contratación |
|
|
Riesgos en la fase de licitación |
Solicitud de propuesta/oferta |
|
Presentación de ofertas |
- licitaciones encubiertas - supresión de licitaciones - rotación de licitaciones - asignación de mercados |
|
Evaluación de ofertas |
- familiaridad con oferentes a través del tiempo - intereses personales como obsequios o empleo futuro/adicional - no hay una implementación eficaz del “principio de cuatro ojos” |
|
Adjudicación del contrato |
|
|
Riesgos en la fase posterior a la adjudicación |
Gestión/ejecución del contrato |
- Cambios sustanciales en las condiciones del contrato para dar más tiempo o permitir precios más altos para el oferente - Sustitución de productos o trabajo inferior al estándar o servicios que no cumplen con las especificaciones del contrato - Robo de nuevos activos antes de su entrega al usuario final y antes de que se registren Supervisión deficiente de funcionarios públicos o colusión entre contratistas y funcionarios supervisores - Subcontratistas y socios elegidos con opacidad o a quienes no se les exige rendición de cuentas |
Pedido y pago |
- Contabilidad falsa y asignación ineficiente del costo o migración de costo entre contratos - Pagos retrasados de las facturas
|
Fuente: (OECD, 2016[14]).
Como se indica en el cuadro anterior, la manipulación de licitaciones (es decir, licitación colusoria) también es un riesgo importante que puede afectar la fase de licitación. La manipulación de licitaciones sucede cuando “las empresas, que de lo contrario se esperaría que compitan, conspiran en secreto para aumentar los precios o disminuir la calidad de los bienes o servicios para los compradores que desean adquirir los productos o servicios mediante un proceso de licitación” (OECD, 2009[15]). El IMSS puede ser particularmente vulnerable a esto, considerando las características actuales de las licitaciones consolidadas que dirige. Ciertamente, un alto volumen de contratación, aunado a procesos de licitación repetitivos y pocos cambios en el alcance de esas licitaciones de un año a otro, podría exponerlos a prácticas de manipulación. Puede haber manipulación y corrupción en la licitación al mismo tiempo y pueden reforzarse entre sí, pero cada una tiene elementos importantes que las hacen distintas. Por ejemplo, la manipulación de licitaciones es una relación horizontal entre oferentes que limita la competencia; en la contratación pública daña al comprador público. La corrupción implica una relación vertical entre uno o varios oferentes y uno o varios funcionarios de contratación. Es decir, un funcionario de contratación puede recibir sobornos o recompensas a expensas del comprador público (o del público en general) a cambio de favorecer a una empresa específica (OECD, 2012[16]). Aunque hay diferencias en la índole de los esquemas, las actividades de control para gestionar el riesgo de manipulación y corrupción en la licitación pueden complementarse entre sí.
Además de los riesgos de fraude y corrupción, otros de importancia estratégica y operativa para el ciclo de contratación se pasaron por alto en la actual evaluación de riesgos del IMSS. Estos riesgos pueden deberse a una mala ejecución o a errores y no a faltas de integridad. Algunos ejemplos incluyen impugnaciones y quejas de licitaciones, mala calidad de productos, fallas de proveedores y términos y administración contractuales inadecuados. Además, gran parte de la función de contratación pública del IMSS está sumamente descentralizada; no obstante, las decisiones y estrategias importantes relacionadas con la función de contratación se han centralizado. La contratación centralizada conlleva riesgos que incluyen concentración del mercado y creación de estructuras monopólicas, riesgos de adecuación al objetivo de la estandarización excesiva de requerimientos y riesgos de receptividad a cambios en precios y tecnología médica. Al afinar sus evaluaciones de los riesgos estratégicos y operativos adicionales relacionados con el ciclo de contratación, el IMSS podría intervenir para prevenir o moderar su efecto en el desempeño de la contratación.
El IMSS podría definir mejor las tolerancias al riesgo para asignar recursos de manera más eficaz y determinar actividades de control
El Manual del Sistema de Control Interno exige que las entidades públicas federales definan su tolerancia al riesgo en relación con sus objetivos estratégicos. Además, pide a los titulares del riesgo que hagan un seguimiento de este mediante indicadores, para asegurarse de que se mantienen dentro de los niveles de tolerancia predeterminados (Mexico’s Ministry of Public Administration, 2016[2]). En caso de que los riesgos rebasen los niveles de tolerancia, el titular del riesgo debe informar el cambio al director general y al coordinador de Control Interno. El Manual del Sistema de Control Interno menciona específicamente los riesgos de corrupción, pero destaca que las entidades no tienen que definir una tolerancia al riesgo para riesgos de corrupción (Mexico’s Ministry of Public Administration, 2016[2]). Presuntamente, esto se debe a que la SFP está tratando de dar a entender que los directores deben tener cero tolerancia a todo riesgo que pudiera socavar la integridad de la institución.
La tolerancia al riesgo puede definirse como “el nivel aceptable de variación en la ejecución en relación con el logro de objetivos” (Government Accountability Office, 2015[17]). Esta definición destaca la idea de que la gestión de riesgos no solo se trata de reducir al mínimo las amenazas, sino también de explotar las oportunidades. Por ejemplo, el IMSS puede identificar equipo médico que desea contratar a precio con descuento. La tolerancia al riesgo puede ayudar al IMSS a determinar si los controles vigentes son bastante eficaces (en relación con la tolerancia) para justificar un aumento en el volumen de compra para aprovechar el precio más bajo. La Gráfica 7.4 ilustra la aplicación práctica de la tolerancia al riesgo para ayudar a los directores a entender la exposición al riesgo y saber si se necesitan controles adicionales. Describe la relación entre riesgos inherentes, riesgos residuales y tolerancia al riesgo.
La tolerancia al riesgo es un elemento crucial de las evaluaciones de riesgos eficaces porque puede ayudar al IMSS a tomar decisiones según el riesgo sobre estrategias de mitigación. Además, como los funcionarios del IMSS expresaron la necesidad de mejorar el equilibrio entre controles y eficiencia en el proceso de contratación, definir más la tolerancia al riesgo y dar una orientación respecto a cómo se usa podría ayudar al IMSS a tomar mejores decisiones en cuanto a agregar o reducir controles.
En 2014, el IMSS reforzó su marco de gestión de riesgos e incorporó la tolerancia al riesgo a su proceso de evaluación. El IMSS trata la tolerancia al riesgo de dos formas. La primera es la matriz de riesgos, donde indica la tolerancia para cada uno de los 13 riesgos en una escala de baja, moderada, alta y extrema. La segunda está en el Programa de Trabajo de Administración de Riesgos, donde el IMSS señala un “indicador asociado a la tolerancia al riesgo”, que vincula a uno de los 47 factores de riesgo que ha identificado el IMSS. Por ejemplo, el riesgo de procesos descoordinados al hacer compras consolidadas (uno de los 13 riesgos) incluye tres factores, cada uno de los cuales se asigna a un indicador de tolerancia al riesgo. El uso de la tolerancia al riesgo en la matriz y en el Programa de Trabajo de Administración de Riesgos son señales positivas de los intentos del IMSS de incorporar este concepto a la toma de decisiones para determinar actividades de control.
Sin embargo, el IMSS podría mejorar su uso de tolerancia al riesgo y orientación para asegurarse de que sean más que un formulario a llenar en respuesta a los requerimientos. Por ejemplo, el IMSS no define su tolerancia a los riesgos de corrupción y fraude, citando cero tolerancia para esos riesgos. Cero tolerancia a la corrupción y al fraude es un mensaje eficaz para transmitir un compromiso general con la integridad; no obstante, reducir esos riesgos a cero tiene poco valor práctico para efectos de gestionar riesgos. Como se explicó, hay necesidad de equilibrar los controles con la eficiencia, innovación y otros objetivos comerciales, y esto se aplica al ciclo de contratación. El IMSS podría crear una tolerancia al riesgo significativa para los riesgos de corrupción y fraude en procesos de contratación para tomar decisiones con conocimiento de causa sobre las actividades de control. Por ejemplo, al adquirir equipo médico urgentemente necesario, el IMSS podría definir una tolerancia “baja” en vez de una “muy baja”, con el efecto práctico de agilizar los procedimientos de contratación para proveedores que históricamente han tenido un alto desempeño.
El IMSS podría mejorar su orientación y herramientas para dirigir evaluaciones de riesgos relacionadas con la contratación y promover nuevas formas de análisis de licitaciones y procesos
De acuerdo con ISO 31000, las actividades de gestión de riesgos deben documentarse para ayudar a mejorar métodos, herramientas y procesos en general (ISO, 2009[13]). Además, la Recomendación del Consejo de la OCDE sobre Contratación Pública pide que las entidades gubernamentales no solo publiquen estrategias de gestión de riesgos, sino que también aumenten la concientización y los conocimientos sobre la integración de la gestión de riesgos en el ciclo de contratación (OCDE, 2015[10]). Para lograrlo, hace las siguientes recomendaciones:
Interactuar en una comunicación para fortalecer la confianza entre los interesados y las actividades de control.
Organizar campañas y actividades de concientización sobre la importancia de integrar actividades de gestión de riesgos en las prácticas comerciales cotidianas.
Ofrecer sesiones y talleres de capacitación para informar a las entidades pertinentes de contratación pública sobre sus riesgos y las formas de manejar los riesgos identificados.
Circular mensajes periódicos utilizando diversos medios (p. ej.: boletín informativo, cartel promocional, folletos, videos, manuales, etc.) entre los interesados pertinentes sobre las estrategias de gestión de riesgos.
Difundir las mejores prácticas de estudios de caso de gestión de riesgos de instituciones importantes.
Invitar a las entidades de contratación pública a convenciones y seminarios pertinentes sobre estrategias de gestión de riesgos.
El IMSS ha invertido recursos considerables en crear prácticas y evaluaciones sólidas de gestión de riesgos, de acuerdo con el Manual del Sistema de Control Interno y normas internacionales. Sin embargo, según los funcionarios, aún tiene que crear directrices o herramientas específicas para ayudar a identificar, hacer seguimiento y notificar riesgos en diversas etapas del proceso de contratación. Sin esa guía, se impone una fuerte carga a la Coordinación de Modernización y Competitividad para coordinar, consolidar y estandarizar las prácticas de gestión de riesgos, incluidas las evaluaciones de riesgos. La guía adicional para funcionarios de contratación pública ayudaría al IMSS a promover un método más coherente e informado para identificar y gestionar riesgos en contratos específicos. Para hacerlo, el IMSS podría aprovechar la experiencia del gobierno australiano (Cuadro 7.2).
Cuadro 7.2. Guía australiana para identificar y gestionar riesgos de contratación
Fuentes de riesgo |
Ejemplos de riesgo |
---|---|
Capacidad de gestión del contrato |
|
Desempeño del contratista |
|
Cambios en las circunstancias o los requerimientos |
|
Relaciones de los interesados |
|
Fuente: (Australia National Audit Office, 2012[19]).
Al crear la guía, el IMSS podría considerar explicar los procesos y definir términos clave reflejados en la Administración de Riesgos Institucionales, incluida la matriz y el mapa de riesgos y el Programa de Trabajo de Administración de Riesgos. Esos documentos tienen como fin ser herramientas para los gestores de riesgos, y hay vínculos entre ellos que podría esclarecer el IMSS. Por ejemplo, la matriz de riesgos parece incluir una evaluación de riesgos inherentes (riesgos por falta de medidas para abordar los riesgos) y riesgos residuales (exposición al riesgo después de aplicar estrategias de mitigación para abordar el riesgo). Después, los riesgos residuales se describen en un mapa de riesgos, una representación bidimensional estándar de riesgos específicos según su probabilidad y repercusiones. El Programa de Trabajo de Administración de Riesgos ofrece entonces información adicional sobre medidas de mitigación. La guía podría explicar esos vínculos, además de los conceptos de riesgo específico dentro de cada uno para ayudar a orientar e instruir a los gestores.
Evaluaciones y guías del riesgo mejoradas también pueden ofrecer oportunidades adicionales para que el IMSS utilice los resultados para el análisis de datos más avanzados, en particular de licitaciones. Los funcionarios indicaron que el IMSS recaba información sobre una variedad de riesgos de contratación y pretende aumentar sus esfuerzos para comprender de manera retroactiva cómo se llevaban a cabo las licitaciones. El IMSS podría utilizar los datos que ha recabado sobre riesgos de contratación para hacer más análisis de licitaciones específicas para agrupar riesgos a través de distintas entidades adquirientes (véase un ejemplo, Recuadro 7.5). La utilidad de este análisis depende de la calidad y estandarización de las evaluaciones de riesgos, que a su vez dependen de tener suficiente orientación para llevar a cabo el proceso.
Recuadro 7.5. Extracción de datos para identificar corrupción en la contratación pública de la Unión Europea
En años recientes, un equipo de sociólogos creó un nuevo sistema para identificar posible corrupción en la contratación pública en Europa. El equipo de investigación creó un “Índice de Riesgos de Corrupción” (IRC) para extraer información disponible sobre contrataciones públicas para identificar posibles problemas de corrupción.
Para crear el IRC, el investigador principal habló con expertos en contratación pública para identificar 13 “señales de alerta” que podrían indicar corrupción en un contrato o licitación específicos. Esas señales de alerta incluyen periodos de licitación muy cortos (p. ej., una licitación publicada un viernes y adjudicada el lunes siguiente), licitaciones muy específicas o sospechosamente complicadas en comparación con otras en la misma área, modificaciones a la licitación que produjeron contratos más grandes, documentos de licitación inaccesibles y muy pocos oferentes en mercados altamente competitivos.
Luego se ponderaron las señales de alerta para determinar una clasificación de riesgo para cada contratista o empresa. En una demostración conceptual realizada con datos de Hungría, Eslovaquia y la República Checa, el equipo de investigación descubrió que empresas con más alto IRC ganaban más dinero que las empresas con un IRC más bajo; también era más probable que se involucraran en ellas políticos como directores o propietarios y que estuvieran registradas en paraísos fiscales.
Fuente: (University of Cambridge, 2015[20]).
Esclarecer funciones y mejorar la coordinación
El IMSS podría tomar medidas para incrementar la titularidad de la gestión del sistema de control interno y de las políticas y procesos de gestión de riesgos, incluidos cursos de capacitación y mensajes específicos para funcionarios de contratación
Las normas de la SFP subrayan la importancia del control interno y la gestión de riesgos, atribuyendo responsabilidad directamente a los directores de entidades gubernamentales (Mexico’s Ministry of Public Administration, 2016[2]). Por ejemplo, el Modelo Estándar de Control Interno exige una función específica de gestión de riesgos de corrupción en las instituciones gubernamentales como parte de sus labores de gestión del riesgo, También exige que los gestores creen un programa y una política para promover la integridad y la prevención de la corrupción que incluya capacitación, difundir un código de ética y conducta y mecanismos de denuncia. Estas reformas coinciden con normas internacionales y reflejan los principios y las prácticas descritas por el Instituto de Auditores Internos, el Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO, Committee of the Sponsoring Organisation of the Treadway Commission) y otras (Gráfica 7.5).
El IMSS ha tomado medidas concretas para institucionalizar el sistema de control interno y las funciones de gestión de riesgos conforme a las tres líneas de defensa de la SFP, el Sistema de Control Interno Institucional y el Instituto de Auditores Internos (IIA, Institute of Internal Auditors). En el IMSS, los organismos contratantes representan la primera línea de defensa, mientras que las otras unidades conforman la segunda (p. ej.: la Gestión del Cambio y la Unidad de Competencia). El OIC es la tercera. Además, la Coordinación de Modernización y Competitividad tiene una unidad subalterna, llamada Coordinación Técnica de Evaluación y Control (CTEC), que se dedica por completo a mejorar el sistema de control interno y la gestión de riesgos del IMSS.
Entre sus múltiples responsabilidades, la CTEC crea estrategias, prácticas y mecanismos para fortalecer el control interno y la gestión de riesgos, incluido el seguimiento de las recomendaciones del OIC y de la ASF. La Coordinación Técnica de Evaluación y Control desempeña un papel importante para crear, implementar y evaluar el Programa de Trabajo de Control Interno y el Programa de Trabajo de Administración de Riesgos. La Coordinación Técnica de Evaluación y Control también es responsable de promover la formalización, estandarización y enfoques transversales, herramientas, metodologías y capacitaciones para la implementación eficaz del control interno y la gestión de riesgos en el IMSS.
Aunque el IMSS tomó medidas para institucionalizar el control interno y la gestión de riesgos como parte del sistema general de administración, todavía podría mejorar la titularidad de la dirección de estas funciones, en particular las relacionadas con procesos de contratación. Los desafíos que enfrenta el IMSS al reforzar la titularidad de la dirección se deben, en parte, a las políticas y a la estructura del sistema de control interno en México. Esta configuración designa a la SFP y a los OIC con un mandato que hace imprecisa la división entre las líneas de defensa. En particular, entrevistas con funcionarios del IMSS sugirieron que se depende demasiado del OIC para detectar la corrupción y el fraude. La omisión de los riesgos de corrupción y de fraude en la matriz de riesgos del PTAR sugiere, además, la necesidad de que los directores asuman la titularidad de esas funciones.
En 2013, la OCDE informó que en el IMSS hay la percepción de que las funciones de control interno y gestión de riesgos, incluidas las de prevención de la corrupción, son responsabilidad del OIC (OCDE, 2014[1]). Para seguir solucionando este problema, el IMSS podría tomar medidas para asegurarse de que esas funciones no sean vistas como administrativas o de rutina, sino como un ejercicio valioso para promover los objetivos de la contratación y los objetivos institucionales más amplios. Definir y vincular aún más los objetivos y los objetivos subordinados, como se analizó antes, ayudaría a fomentar la titularidad por parte de la dirección.
Además, el IMSS podría crear capacitación específica dedicada a explorar y desarrollar conocimientos sobre la primera línea de defensa en el proceso de contratación. La OCDE ya ha recomendado diversas estrategias de comunicación, campañas de concientización y capacitación para promover la titularidad de la gestión (OCDE, 2017[6]); (OCDE, 2014[1]). La capacitación específica de funcionarios de contratación a nivel federal y estatal ayudaría a personalizar los mensajes de modo que induzcan mayor titularidad de la gestión. Esos cursos de capacitación podrían aprovechar los impartidos por la SFP sobre control interno y gestión de riesgos para funcionarios de contratación. Sin embargo, es importante que el IMSS diseñe e imparta sus propios cursos de capacitación para demostrar aún más que el OIC no es responsable del sistema de control interno. Se podrían usar los siguientes mensajes y actividades fundamentales en la capacitación y la orientación para ayudar a crear una cultura de la titularidad de la gestión del sistema de control interno:
Justificar la titularidad de la gestión. El IMSS podría mejorar sus mensajes para vincular el sistema de control interno al éxito del ciclo de contratación. Las actividades de control interno son decisivas para la eficacia y eficiencia de los procesos de contratación; sin ellas, hay poca certeza de que se logren las metas y los objetivos. El IMSS podría transmitir la importancia de las actividades de control interno y de gestión de riesgos no solamente para prevenir el fraude y la corrupción, sino también para garantizar que los procesos de contratación se estén ejecutando según lo previsto.
Tratar los aspectos conductuales necesarios para inducir el cambio. La titularidad de la gestión tiene un sólido componente conductual vinculado a las creencias, hábitos y motivaciones de las personas. El IMSS podría considerar métodos para cambiar comportamientos que primero identifiquen la resistencia al cambio y que luego formulen estrategias para superar los obstáculos. Se podrían cambiar los modelos administrativos y las estrategias de “extracción”, como las descritas en el Recuadro 7.6 para alentar a los directores a asumir la responsabilidad del sistema de control interno.
Desmitificar y personalizar las funciones de control interno y gestión de riesgos. Los funcionarios de contratación pueden no darse cuenta realmente de que muchas de las evaluaciones y verificaciones que realizan son actividades de control. Por ejemplo, solicitar cotizaciones antes de comprar equipo sin una licitación competitiva, aunque es un procedimiento de adquisición común, es de hecho un control para reducir al mínimo los riesgos de un gasto excesivo y para promover conciencia sobre los costos. Al identificar y definir las contribuciones de los funcionarios al sistema de control interno, el IMSS puede replantear las percepciones del personal sobre sus contribuciones diarias a un sistema de control interno eficaz. Esto, además, podría ayudar a reforzar la noción de que el OIC no es responsable de actividades de control ni de la gestión del riesgo.
Recuadro 7.6. Cambiar los paradigmas de la gestión para fortalecer la titularidad de la gestión de un sistema de control interno
Diversos factores pueden socavar la implementación eficaz del control interno y la gestión de riesgos, entre otros los legados institucionales, no comprender la complejidad y la falta de apoyo de la jefatura. La institucionalización también tiene un fuerte componente conductual que implica las creencias, hábitos y motivaciones de las personas. Los elementos conductuales comunes al afrontar el cambio incluyen (Stoop, 2016[21]):
Sentirse amenazado por el cambio debido a las consecuencias en las estructuras de poder, el prestigio, las oportunidades individuales o la carrera profesional.
No comprender la necesidad de cambio ni sus implicaciones.
No tener confianza en los promotores del cambio.
Hay innumerables modelos de gestión del cambio que podrían aplicarse para mejorar la titularidad de la gestión y, en última instancia, a las funciones de control interno y de gestión del riesgo. Por ejemplo, en la década de 1950, el reconocido psicólogo Kurt Lewin sugirió que un cambio eficaz exige completar satisfactoriamente un proceso de tres pasos: “descongelar” la conducta existente, avanzar a un nuevo nivel y “volver a congelarla” en ese nuevo nivel (Hayes, 2014[22]). A través de los años, el proceso ha cambiado en distintos contextos para incluir actividades concretas en cada paso. La teoría de Lewin argumenta que las estrategias de “tirón”, mediante las cuales se eliminan fuerzas limitantes para reforzar una cultura de integridad, son más eficaces que las estrategias de “empujón” (es decir, presión externa para el cambio), porque es más probable que aumenten el compromiso y produzcan un cambio permanente (Hayes, 2014[22]).
Otro modelo de cambio sobresaliente, creado por el catedrático John Kotter de la Universidad de Harvard, emplea un proceso de ocho pasos (Kotter, 1996[23]):
Crear un sentido de urgencia.
Conformar una coalición orientadora.
Formar una visión estratégica e iniciativas.
Reclutar un ejército de voluntarios.
Propiciar la acción al eliminar obstáculos.
Generar victorias a corto plazo.
Mantener la aceleración.
Instituir el cambio.
Hay otros modelos de la teoría del cambio que pueden ayudar a las entidades a abordar estas cuestiones y comprender “dónde están” y “a dónde quieren ir” respecto a la titularidad de la gestión y a crear una cultura de la integridad. Uno de los beneficios de aplicar paradigmas de gestión del cambio es que pueden ser bastante flexibles para adaptarlos a los contextos específicos de las instituciones. También se basan en la noción de que el cambio no es un estado final al que se pueda llegar mediante pasos programados, sino más bien un proceso continuo (Paton & McCalman, 2008[24]). Dentro del IMSS, la gestión del cambio puede ayudar a unir la teoría a la práctica, como se define en las nuevas normas y directrices. También aporta ideas de cómo manejar la resistencia al cambio, lo que podría incluir las siguientes técnicas (adaptadas de (Stoop, 2016[21])):
Demostrar que no se puede mantener el estado de las cosas y por qué.
Reunir las inquietudes de información y la justificación de la situación actual y dar respuestas fácticas.
Comprender y usar la resistencia al cambio para hacer mejoras.
Integrar a quienes están promoviendo el cambio.
Crear nuevas perspectivas que sean viables, establecidas a mediano y largo plazo, no solo a corto plazo.
Fuente: (OECD, 2017[25]).
El IMSS y el OIC podrían tomar medidas para estipular con claridad las funciones y responsabilidades para la gestión de riesgos y el sistema de control interno. Esto podría incluir las afirmaciones de independencia del auditor
La estructura básica del OIC consta de un director, un jefe del Área de Responsabilidades, un jefe de Auditoría y un jefe del Área de Quejas. Aunque el OIC funciona como la unidad de auditoría interna del IMSS, está bajo el mando directo de la Secretaría de la Función Pública, no del director general del IMSS. En 2013, la OCDE recomendó que el IMSS creara un CCI de acuerdo con el Sistema de Control Interno Institucional, que sugiere que las entidades creen un Comité de Control y Desempeño Institucional (COCODI) para verificar la implementación del sistema de control interno (OCDE, 2014[1]). Como no es obligatorio, el IMSS decidió no establecer un COCODI.
La presencia del OIC en el IMSS está organizada en seis áreas: i) Auditoría para Desarrollo y Mejora de la Gestión Pública; ii) Auditoría Interna; iii) Área de Responsabilidades; iv) Área de Quejas; v) Auditoría con Atención Especial a Servicios Médicos y; vi) Coordinación de Vinculación Operativa) (IMSS, 2017[26]). Dos de esas áreas (Auditoría Interna y Auditoría con Atención Especial a Servicios Médicos) llevan a cabo auditorías en todo el IMSS, incluidas auditorías a contratación, construcción, transversales y de ingresos. Además de las áreas del OIC, delegados y comisarios públicos titulares (DC) contribuyen al seguimiento y control dentro el IMSS.
Según los funcionarios, las recientes reformas anticorrupción no han inducido cambios específicos en las funciones de auditoría interna, pero se ha esclarecido la división de trabajo dentro de las diversas entidades responsables de la auditoría para asegurar la implementación adecuada, incluso por organismos contratantes. No obstante, los manuales, las actividades de capacitación del OIC y las respuestas del IMSS y del OIC a las preguntas de la OCDE durante este estudio sugieren la necesidad de estipular con mayor claridad las funciones y responsabilidades del sistema de control interno. Por ejemplo, el Manual de Organización del Órgano Interno de Control para el IMSS señala que la Auditoría para el Desarrollo y Mejora de la Gestión Pública es responsable de “llevar a cabo la evaluación de riesgos que puede impedir el logro de metas y objetivos del Instituto Mexicano del Seguro Social”. Como se indica en la Error! Reference source not found., las normas internacionales sugieren que las entidades responsables de la auditoría deberían, a lo sumo, facilitar la identificación y evaluación de los riesgos. Para preservar su autonomía, las entidades de auditoría deben evitar diseñar o implementar procesos que pudieran estar sujetos a auditorías. Las responsabilidades segregadas de la dirección, así como las responsabilidades explícitas y definidas de manera formal y el trabajo imparcial son, sin excepción, elementos fundamentales de las normas internacionales para preservar la independencia de las entidades de auditoría (INTOSAI, 2010[27]; INTOSAI, 2010[28]).
Aunque otras divisiones del IMSS tienen la responsabilidad de gestionar los riesgos y efectuar evaluaciones de riesgos, aseveraciones como las que se encuentran en el Manual del Órgano Interno de Control plantean dudas respecto al grado e idoneidad de la participación del OIC en la conducción de las evaluaciones de riesgos. Además, esos manuales son herramientas de comunicación para el IMSS y el OIC. Por lo tanto, se debe tener cuidado de definir claramente las funciones del OIC frente a otras entidades del IMSS con responsabilidad de gestión de riesgos y controles internos. Para el IMSS y el OIC puede resultar instructiva la guía del Instituto de Auditores Internos para evaluar y esclarecer las funciones de auditoría interna en las actividades de gestión de riesgos del IMSS (Gráfica 7.6).
Las respuestas de los funcionarios del IMSS y del OIC al cuestionario de la OCDE también sugieren la necesidad de asegurar funciones y responsabilidades claras de quienes participan en el sistema de control interno. Por ejemplo, los funcionarios dijeron que los OIC están a cargo de implementar el sistema gubernamental de control y evaluación. Esta percepción de su función amenaza con socavar la titularidad de la gestión del sistema de control interno, así como los propios esfuerzos del OIC por institucionalizar responsabilidades para gestionar riesgos dentro del IMSS, incluidos los funcionarios de contratación.
El OIC debe esclarecer más sus funciones y responsabilidades en su manual, guía y capacitaciones. Sin este esclarecimiento, el IMSS y el OIC podrían hacer imprecisa la división entre las tres líneas de defensa antes descritas, y crear actividades de control interno y gestión de riesgos duplicadas, superpuestas y fragmentadas. Además, surge la posibilidad de problemas de independencia ante la falta de funciones y responsabilidades claras entre equipos operativos y la función de auditoría interna, según lo definido por normas internacionales. Por ejemplo, el OIC imparte varios cursos de capacitación para funcionarios de contratación, incluso uno llamado “Importancia de la promoción de las buenas prácticas en la contratación pública para mejora de la gestión pública”. Al impartir esos cursos, el OIC debe evitar la orientación prescriptiva sobre cómo implementar actividades de control interno y gestión de riesgos, ya que no le corresponde estar auditando las mismas políticas y prácticas que ayudó a crear. Para proteger aún más al OIC de amenazas a su independencia de auditoría, el OIC podría pensar en implementar declaraciones de independencia de los auditores internos.
La Secretaría de la Función Pública, los órganos internos de control y la Auditoría Superior de la Federación podrían reforzar la colaboración para supervisar en forma coherente y con mayor eficacia los procesos de contratación del IMSS
En 2017, la OCDE presentó un informe sobre los distintos modelos de control interno y gestión de riesgos elaborados por la SFP y la ASF (OECD, 2017[25]), Como se hizo notar, la SFP creó su propio marco de control interno y gestión de riesgos llamado Sistema de Control Interno Institucional (SCII), acompañado de una herramienta de gestión de riesgos (Administración de Riesgos Institucionales, ARI) y una guía para los órganos internos de control. Además, en 2014, la ASF creó el Marco Integrado de Control Interno en el Sector Público (MICI), así como el Sistema Automatizado para la Administración de Riesgos (SAAR), que es una plataforma electrónica acompañada de dos guías de autoevaluación para ayudar a los profesionales de la gestión de riesgos.
En 2017, La OCDE recomendó una mayor homologación de esas normas creadas por la SFP y la ASF de México, reconociendo la posibilidad de que causen confusión entre auditores y auditados, y dejando a las entidades gubernamentales más vulnerables al fraude, derroche y abuso (OCDE, 2017[30]). Funcionarios de la SFP y la ASF confirmaron que se están usando dos modelos diferentes al auditar las actividades del IMSS, citando una falta de coordinación entre esas entidades de auditoría interna y externa.
La coordinación entre la SFP y la ASF tiene varios beneficios, incluida la disminución del riesgo de fragmentar, superponer y duplicar, así como una mayor coherencia entre las conclusiones de la auditoría (p. ej.: evitar recomendaciones y conclusiones contradictorias). La cooperación eficaz entre la auditoría interna y externa, incluido el intercambio de información, también puede reducir el trabajo de auditoría a las entidades respectivas. Un estudio conjunto de la Organización de las Entidades Fiscalizadoras Superiores de Europa y la Confederación Europea de Institutos de Auditoría Interna ofrece ideas sobre cómo pueden fortalecer la coordinación las entidades de auditoría externas e internas Recuadro 7.7.
Recuadro 7.7. Directrices de la Organización de las Entidades Fiscalizadoras Superiores de Europa para las normas de control interno del sector público
En 2014, la Organización de las Entidades Fiscalizadoras Superiores de Europa (EUROSAI) y la Confederación Europea de Institutos de Auditoría Interna (ECIIA) publicaron un estudio conjunto que examinó los mecanismos y dificultades de la cooperación y coordinación entre entidades de auditoría externa e interna. El informe presentó resultados de una investigación en 25 instituciones de auditoría superior y 42 entidades del sector público, todas afiliadas a la ECIIA, responsables de la función de auditoría interna.
El informe mostró que la mayoría de las instituciones de auditoría superior examinadas coinciden con las normas internacionales sobre coordinación y cooperación con las instituciones de auditoría interna. La mayoría consulta las Normas Internacionales de Entidades Fiscalizadoras Superiores (ISSAI), las Normas Internacionales de Auditoría (NIA) y las normas GOV de INTOSAI, como ISSAI 1610, ISA 610, INTOSAI GOV 9140 e INTOSAI GOV 9150. Solo una minoría de las instituciones examinadas tiene reglas internas explícitas por escrito, como manuales de auditoría, normas, guías, procedimientos o listas de verificación, que documenten y formalicen los canales de coordinación y cooperación.
La coordinación y cooperación entre las instituciones de auditoría superior y los auditores internos a menudo fueron descritas como “informales”, lo que puede hacer difícil evaluar o asegurar la calidad de la coordinación. Los beneficios más comunes de la cooperación y coordinación citadas son:
Promover la buena gobernanza mediante el intercambio de ideas y conocimientos.
Auditorías más eficaces y eficientes basadas en una comprensión más clara de las respectivas funciones de fiscalización, con mejor actividad de auditoría interna y externa derivada de una planeación y comunicación coordinadas.
Ámbito de fiscalización depurado para las instituciones de auditoría superior y los auditores internos.
Sin embargo, casi la mitad de las instituciones de auditoría superior declaró que experimentan riesgos o identifican riesgos potenciales en la coordinación y cooperación. Una mayoría de las instituciones de auditoría superior procuró la coordinación y cooperación en gran medida en las siguientes áreas:
Evaluar el marco de control interno y las medidas de gestión de riesgos de la entidad auditada.
Evaluar el acatamiento de las leyes y reglamentos por parte de la entidad.
Documentar los sistemas y procesos operativos de la entidad.
Fuente: (EUROSAI & ECIIA, 2014[31]).
Un área fundamental en que la Auditoría Superior de la Federación y la Secretaría de la Función Pública podrían mejorar la coordinación es en las primeras etapas de los procesos de programación y planeación de auditoría. La SFP y la ASF tienen sus propios criterios para la programación de auditorías basadas en riesgos que se relacionan con el ciclo de contratación. Los criterios de los riesgos incluyen el volumen de compra, indicadores de desempeño, informes en los medios y quejas de proveedores, entre otros. Coordinar en las primeras etapas y pulir estos criterios ayudaría a la ASF y a la SFP a asegurar una cobertura eficaz del universo de auditorías, evitar la duplicación de labores e identificar temas de auditoría complementarios. Además, las entidades auditoras pueden ser inductores del cambio eficaces mediante las recomendaciones y conclusiones de sus auditorías. Con una mejor coordinación entre la ASF y la SFP, y usando sus trabajos entre sí como aportaciones para programar y planear, es más probable que el IMSS aproveche el trabajo de auditoría para resolver los problemas antes descritos. Esto podría incluir mejorar la titularidad de la gestión de sistemas de control interno en el proceso de contratación y perfeccionar la gestión de riesgos en el ciclo de contratación.
Propuestas de acción
Dentro del IMSS, diversos interesados contribuyen al diseño e implementación de un sistema de control interno eficaz. En este capítulo se examinaron las actividades que involucran a personal del IMSS, al OIC y la ASF, que abarcan cuatro líneas de defensa (incluida la auditoría externa). El primer grupo de recomendaciones se centra en iniciativas estratégicas para el IMSS, seguido de otras recomendaciones para mejorar las herramientas y la cultura de la gestión de riesgos. Finalmente, el OIC y la ASF también tienen oportunidades de mejorar el control interno y la gestión de riesgos para perfeccionar los procesos de contratación del IMSS.
Garantizar estrategias eficaces de gestión de riesgos y su aplicación:
Mejorar la estrategia de gestión de riesgos del IMSS para la contratación pública al definir expresamente sus metas y objetivos, en particular los relacionados con el fraude y la corrupción.
Destacar los mensajes que se centren en valores de integridad en vez de hacerlo en las reglas, para complementar los esfuerzos por crear una cultura de integridad.
Formular la estrategia y diseñar las actividades del IMSS para un seguimiento y evaluación más sistemáticos de la eficacia del sistema de control interno y las actividades de gestión de riesgos.
Mejorar las evaluaciones de riesgos relacionados con la contratación pública del IMSS:
Agudizar la atención en los riesgos de fraude y corrupción, así como en otros riesgos estratégicos y operativos que pueden afectar el ciclo de contratación.
Definir más las tolerancias al riesgo para asignar recursos y determinar con mayor eficacia las actividades de control.
Mejorar la guía y herramientas del IMSS para dirigir evaluaciones de riesgos relacionadas con la contratación y promover nuevas formas de análisis de las licitaciones y procesos.
Esclarecer funciones y mejorar la coordinación:
Incrementar la titularidad de la gestión del sistema de control interno y las políticas y procesos de gestión de riesgos, incluida la organización de cursos de capacitación y mensajes específicos para los funcionarios de contratación.
Esclarecer las funciones y responsabilidades entre la Secretaría de la Función Pública, el OIC del IMSS y la Auditoría Superior de la Federación para la gestión de riesgos y el sistema de control interno, con la posibilidad de incluir declaraciones de independencia de los auditores.
Fortalecer la colaboración entre la Secretaría de la Función Pública, los OIC y la Auditoría Superior de la Federación para supervisar en forma coherente y con mayor eficacia los procesos de contratación del IMSS.
Bibliografía
[19] Australia National Audit Office (2012), Developing and Managing Contracts: Getting the right outcome, achieving value for Money, Commonwealth of Australia 2012, http://www.anao.gov.au.
[8] CMS (2016), “CMS Strategy: The Road Forward 2013-2017”, https://www.nadona.org/wp-content/uploads/2016/05/CMS-Strategy.pdf (consultado el 14 de noviembre de 2017).
[9] Committee of Sponsoring Organizations of the Treadway Commission (COSO) (2013), Internal control-integrated framework.
[31] EUROSAI & ECIIA (2014), “Coordination and Cooperation between Supreme Audit Institutions and Internal Auditors in the Public Sector”, http://www.eciia.eu/wp-content/uploads/2014/05/EUROSAI_ECIIA_Joint_Paper_05052014.pdf.
[17] Government Accountability Office (2015), A Framework for Managing Fraud Risks in Federal Programs, http://www.gao.gov/assets/680/671664.pdf.
[22] Hayes, J. (2014), The theory and practice of change management, Palgrave, Reino Unido, https://he.palgrave.com/page/detail/The-Theory-and-Practice-of-Change-Management/?K=9781137275349#.
[3] IMSS (2016), Norm that establishes the dispositions for the implementation and maintenance of the institutional model for competitiveness, [Norma que establece las disposiciones para la implementacion y mantenimiento del modelo insticucional para la competivedad], 1000-001-003, http://www.imss.gob.mx/sites/all/statics/pdf/manualesynormas/1000-001-016_0.pdf.
[11] IMSS (2017), Organisational manual of the directorate of administration, [Manual de organazación de la dirección de administración], 1000-002-001, validated 22 June 2017, http://www.imss.gob.mx/sites/all/statics/pdf/manualesynormas/1000-002-001_1.pdf (consultado el 15 de noviembre de 2017).
[5] IMSS (2017), Risk matrix and working programme of risk management [Programa de trabajo de administracion de riesgos].
[26] IMSS (2017), Manual of organization of the internal control body [Manual de organización del órgano interno de control en el IMSS], 0900-002-001, validated 2 February 2017.
[27] INTOSAI (2010), INTOSAI GOV 9100 – Guidelines for Internal Control Standards for the Public Sector, http://www.intosai.org/issai-executive-summaries/view/article/intosai-gov-9100-guidelines-for-internal-control-standards-for-the-public-sector.html (consultado el 22 de noviembre de 2017).
[28] INTOSAI (2010), INTOSAI GOV 9140 – Internal Audit Independence in the Public Sector, http://www.intosai.org/issai-executive-summaries/view/article/intosai-gov-9140-internal-audit-independence-in-the-public-sector.html (consultado el 22 de noviembre de 2017).
[7] Irish Health Service Executive (2009), Developing and Populating a Risk Register Best Practice Guidance, http://hse.ie/eng/About/Who/OQR010_20090422_v_11Developing_and_populating_a_Risk_Register_BPG.pdf.
[12] ISO (2009), ISO 31000:2009 - Risk management -- Principles and guidelines, https://www.iso.org/standard/43170.html (consultado el 14 de noviembre de 2017).
[13] ISO (2009), ISO 31000 Risk management, https://www.iso.org/standard/43170.html.
[23] Kotter, J. (1996), Leading Change.
[2] Mexico’s Ministry of Public Administration (2016), Agreement on the Manual for Internal Control (“Acuerdo por el que se emiten las Disposiciones u el manual Administrativo de Aplicacion General en material de Control Interno”), https://www.gob.mx/cms/uploads/attachment/file/174036/acuerdo-disposiciones-manual-CI.pdf (consultado el 14 de noviembre de 2017).
[15] OECD (2009), OECD Guidelines for Fighting Bid Rigging in Public Procurement: Helping governments to obtain the best value for money, https://www.oecd.org/competition/cartels/42851044.pdf.
[16] OECD (2012), Session III Improving Effective Public Procurement: Fighting Collusion and Corruption, https://one.oecd.org/document/DAF/COMP/LACF(2012)15/en/pdf (consultado el 14 de noviembre de 2017).
[1] OCDE (2014), Estudio sobre la contratación pública del Instituto Mexicano del Seguro Social: Aumentar la eficiencia e integridad para una mejor asistencia médica, Estudios de la OCDE sobre Gobernanza Pública, OECD Publishing, Paris, http://dx.doi.org/10.1787/9789264200364-es.
[10] OCDE (2015), OCDE Recomendación del consejo sobre contratación pública, https://www.oecd.org/gov/ethics/OCDE-Recomendacion-sobre-Contratacion-Publica-ES.pdf.
[14] OECD (2016), Preventing Corruption in Public Procurement, http://www.oecd.org/gov/ethics/Corruption-in-Public-Procurement-Brochure.pdf.
[25] OECD (2017), Brazil’s Federal Court of Accounts: Insight and Foresight for Better Governance, OECD Public Governance Reviews, OECD Publishing, Paris, http://dx.doi.org/10.1787/9789264279247-en.
[6] OCDE (2017), Estudio de la OCDE sobre integridad en México: Adoptando una postura más firme contra la corrupción, Estudios de la OCDE sobre Gobernanza Pública, OECD Publishing, Paris, http://dx.doi.org/10.1787/9789264280687-es.
[30] OCDE (2017), El Sistema Nacional de Fiscalización de México: Fortaleciendo la Rendición de Cuentas para el buen Gobierno, Estudios de la OCDE sobre Gobernanza Pública, OECD Publishing, Paris, http://dx.doi.org/10.1787/9789264268975-es.
[24] Paton, R. & J. McCalman (2008), Change Management: A Guide to Effective Implementation, Third Edition, SAGE Publications, London.
[21] Stoop, P. (2016), Concepts for facilitating and managing change: challenges in institutional and organisational development, with respect to the processes of regionalisation of a Supreme Audit Institution, presentation.
[29] The Institute of Internal Auditors (2009), “IIA Position Paper: The Role of Internal Auditing in Enterprise-Wide Risk Management”, https://na.theiia.org/standards-guidance/Public%20Documents/PP%20The%20Role%20of%20Internal%20Auditing%20in%20Enterprise%20Risk%20Management.pdf (consultado el 14 de noviembre de 2017).
[18] UK HM Treasury (2006), Thinking about risk - Managing your risk appetite: A practitioner's guide, November 2006, http://webarchive.nationalarchives.gov.uk/20130107005526/http://www.hm-treasury.gov.uk/d/tar_practitioners_guide.pdf (consultado el 14 de noviembre de2017).
[20] University of Cambridge (2015), Mining for Corruption, https://www.cam.ac.uk/research/features/mining-for-corruption (consultado el 26 de octubre de 2017).
[4] Wright, R. (2013), The Internal Auditor’s Guide to Risk Assessment, The Institute of Internal Auditors Research Foundation, Altamonte Springs, FL.