Borrador de Auditoría y Cumplimiento

por

Manual de Auditoría y Cumplimiento para Hospitales Privados Pequeños

Documentos Técnicos de Servicio Social en Contaduría

Septiembre 2025

Contexto y Disclaimer

En agosto 2025 intenté implementar un Expediente Clínico Electrónico (ECE) en un hospital sin computadoras funcionales.

Ante la falta de infraestructura mínima (ni una computadora funcional), el proyecto fue inviable. Sin embargo, generé una serie de documentos técnicos que pueden servir como referencia para estudiantes, auditores o consultores enfrentando condiciones similares.

Este manual integra documentos de trabajo que no fueron entregados pero que abordan aspectos críticos de cumplimiento hospitalario desde la perspectiva contable-administrativa, especialmente para verificaciones COFEPRIS en hospitales privados pequeños.

1. Seguridad y Prevención de Riesgos Físicos

1.1 Detección y Extinción de Incendios

La protección contra incendios debe ser específica para cada área, tomando en cuenta la NOM-002-STPS-2010, que establece las condiciones mínimas de seguridad.

Farmacia y Almacenes de Medicamentos: El riesgo aquí es alto debido a la presencia de alcohol y otros líquidos inflamables (fuegos Clase B). Es crucial tener extintores de Dióxido de Carbono (CO2) o de Agente Limpio. Estos extintores sofocan el fuego sin dañar los medicamentos. Es inaceptable que no haya un extintor en esta área.

Quirófanos: Son zonas de riesgo extremo por la combinación de gases médicos y equipos eléctricos. La mejor práctica es tener un enfoque dual:

  • Extintor de CO2 cerca de los equipos para fuegos eléctricos.
  • Extintor de Polvo Químico Seco (PQS) tipo ABC para otros tipos de incendios, como los que involucran textiles o materiales sólidos.

Oficinas y Habitaciones: Estas áreas presentan riesgos de fuegos comunes (Clase A) y eléctricos (Clase C). Un extintor de PQS tipo ABC es el más versátil y suficiente.

Sistemas de Detección: Los detectores de humo deben ser obligatorios en todas las áreas. Es un error grave tener detectores solo en los pasillos de pisos con múltiples consultorios u oficinas. La norma de seguridad recomienda instalar un detector de humo dentro de cada espacio cerrado, especialmente en quirófanos.

Si un incendio se originara en una oficina o consultorio con la puerta cerrada y no fuera detectado a tiempo por un detector en el pasillo, el hospital tendría una gran dificultad para justificar que su sistema de detección era «adecuado». Por lo tanto, aunque la norma lo deja a «criterio», en la práctica, instalar un detector en cada espacio cerrado es la única forma de cumplir con el espíritu de la ley, mitigar riesgos y proteger a los pacientes.

1.2 Rutas de Evacuación y Señalización

Las rutas de evacuación deben ser claras, directas y accesibles para todos, especialmente para los pacientes.

Señalización: Todas las rutas de evacuación y salidas de emergencia deben estar claramente marcadas y ser visibles en todo momento.

Puertas: Como regla general, todas las puertas que formen parte de una ruta de evacuación deben abrir hacia afuera, en la dirección del flujo de salida. Esto es fundamental para evitar que una multitud empujando impida la apertura de la puerta en una emergencia. Esta norma aplica a todas las puertas, incluyendo la entrada principal.

1.3 Capacitación del Personal

La infraestructura de seguridad no sirve de nada sin un personal capacitado.

Brigadas de Emergencia: Es vital contar con una brigada de emergencia organizada con roles y responsabilidades claras. Como medida visible, sugiero usar una pizarra en cada piso que identifique quién está a cargo de la brigada ese día.

Capacitación Continua: El personal debe participar en simulacros de incendio y, de ser posible, en cursos con el cuerpo de bomberos. Esto no solo cumple con las normativas, sino que prepara al personal para actuar de manera eficiente y coordinada bajo presión.

Registros: Todos los simulacros, capacitaciones y revisiones de equipo deben estar documentados y almacenados para futuras auditorías de COFEPRIS o Protección Civil.

2. Gestión Documental y Control de Proveedores

2.1 Riesgos con Empleados (Personal de planta y Honorarios)

Expedientes completos y actualizados: Es fundamental tener un expediente digital de cada empleado y médico. Esto va más allá de un currículum; debe incluir:

  • Identificación oficial: INE o pasaporte.
  • Comprobante de domicilio: Preferentemente nominativo, con vigencia de 4 meses
  • Cédula profesional y especialidad: Verificación de su validez y que estén registradas ante las autoridades competentes.
  • Contrato: Ya sea por nómina o un contrato de prestación de servicios por honorarios.
  • Cartas de referencia: De empleos o instituciones anteriores.
  • Capacitaciones y certificaciones: Documentación de cursos de reanimación, manejo de equipo, etc.
  • Avisos de privacidad firmados: Que el personal entiende y acepta las políticas de confidencialidad del paciente y LGPDPPSO.
  • Seguro de responsabilidades médicas: Para médicos, si se requiere.
  • Comprobante de NO Antecedentes penales: Únicamente para cirugía plástica y ginecólogos.
  • CMCPER Para Cirujanos Plásticos: La certificación por el Consejo Mexicano de Cirugía Plástica, Estética y Reconstructiva (CMCPER). Costo alrededor de 300 USD en MXN
  • CMGO Para Ginecólogos/obstetra: Consejo Mexicano de Ginecología y Obstetricia (CMGO). Costo alrededor de 300 USD en MXN

Políticas y manuales de operación: La documentación de estos manuales no es solo para el entrenamiento, sino para proteger al hospital en caso de incumplimiento. Se debe tener registro de que cada empleado y médico los ha leído y aceptado.

  • Código de conducta: Reglas claras sobre el comportamiento ético y profesional.
  • Protocolos de seguridad: Manejo de residuos biológicos, incendios, etc.
  • Manual de uso de equipo médico: Asegura que solo personal capacitado utilice ciertas máquinas.

2.2 Riesgos con Proveedores y Equipo Médico

Contratos y Pólizas de Servicio: Todo servicio de mantenimiento, limpieza o equipo debe estar respaldado por un contrato formal.

  • Contratos de mantenimiento: Especificar las fechas de servicio, los tipos de mantenimiento (preventivo, correctivo) y la responsabilidad del proveedor en caso de falla.
  • Pólizas de seguro del equipo: Documentar las pólizas de los equipos costosos. ¿Están asegurados contra daño, robo o fallas? Es vital tener los números de póliza, las fechas de vigencia y los contactos de los agentes.

Facturación (CFDI): Es crucial que todos los pagos por servicios o equipos estén respaldados por un Comprobante Fiscal Digital por Internet (CFDI) válido.

  • Registro de CFDI: Crear un repositorio digital donde se almacenen todos los CFDI de proveedores.
  • Conciliación de pagos: Asegurarse de que cada pago a un proveedor, ya sea por mantenimiento o servicio, tenga su CFDI correspondiente para evitar problemas fiscales.

Certificaciones de proveedores: Documentar si los proveedores de mantenimiento o equipo médico tienen las certificaciones necesarias para trabajar con maquinaria hospitalaria. Esto protege al hospital en caso de un incidente causado por un mantenimiento defectuoso.

3. Protocolos Clínicos y Documentación

3.1 Control de Caídas de Pacientes

La confusión sobre qué constituye el «control de caídas» en un hospital revela una falta grave de capacitación del personal de enfermería. El control de caídas no se refiere al cansancio del personal, sino a la prevención, registro y seguimiento de caídas de pacientes.

¿Qué es el Control de Caídas?

El control de caídas es un sistema obligatorio de prevención y documentación que busca:

  • Identificar pacientes en riesgo: Edad avanzada, medicamentos que causan mareo, debilidad, problemas de movilidad.
  • Implementar medidas preventivas: Barandales en camas, pisos antideslizantes, iluminación adecuada.
  • Documentar todos los incidentes: Cualquier caída, por menor que sea, debe registrarse inmediatamente.

Documentación Obligatoria:

El registro debe incluir:

  • Nota de enfermería detallada: Hora, lugar, circunstancias de la caída.
  • Evaluación médica post-caída: Lesiones, tratamiento requerido.
  • Notificación a familiares: Registro de comunicación con responsables.
  • Reporte de incidente: Documento formal para administración y seguros.
  • Medidas correctivas: Qué se implementó para prevenir futuras caídas.

Riesgo Legal:

Una caída no documentada adecuadamente expone al hospital a demandas por negligencia. COFEPRIS puede sancionar severamente la falta de protocolos de seguridad del paciente.

La capacitación del personal de enfermería sobre estos protocolos no es opcional, es una obligación regulatoria fundamental.

4. Sistemas de Información y Digitalización

4.1 Por qué escanear sigue siendo esencial, incluso con un ECE funcional

Valor probatorio: La firma autógrafa escaneada es lo que convierte un consentimiento o nota médica en un documento legalmente válido ante COFEPRIS, tribunales o aseguradoras.

Protección institucional: Si hay una queja, auditoría o litigio, el hospital necesita demostrar que el paciente fue informado, que el médico firmó, y que el documento existió en su forma original.

Captura incompleta: No todos los datos se capturan digitalmente. Hay campos sensibles, trazabilidad clínica, y decisiones médicas que no pueden reducirse a checkboxes.

Rotación de personal: En un entorno donde el personal cambia constantemente, el escaneo garantiza continuidad documental, incluso si el capturista no completó el sistema.

4.2 Política técnica recomendada

La propuesta debe quedar documentada como parte del diseño del ECE, incluyendo una política técnica que establezca:

«Todo documento clínico que contenga firma autógrafa debe ser escaneado y adjuntado al expediente digital, como respaldo legal y clínico obligatorio.»

Y justificarlo con:

  • NOM-004-SSA3-2012 (expediente clínico)
  • NOM-024-SSA3-2012 (sistemas electrónicos)
  • Ley de Protección de Datos Personales
  • Principio de trazabilidad clínica y legal

5. Casos Especiales: Procedimientos Reproductivos Irreversibles

5.1 Grabación por consentimiento irreversible

Nota: Esta práctica ha sido observada en implementaciones específicas donde fue previamente validada por asesoría legal especializada. No es aplicable universalmente y requiere evaluación caso por caso según la normativa local y el marco legal específico de cada institución.

Estructura propuesta de grabación:

1. Identificación inicial:

  • En caso de ser video, el video se registra a pared sin caras o partes del cuerpo, solo nombre completo del paciente
  • Fecha y hora exacta

2. Confirmación del procedimiento:

  • Nombre del procedimiento específico (salpingoclasia/vasectomía)
  • Confirmación clara de irreversibilidad – esto es clave

3. Verificaciones críticas:

  • «¿Tiene alguna alergia a medicamentos, anestésicos o sustancias?»
  • «¿Comprende que este procedimiento es irreversible?»
  • «¿Autoriza el procedimiento descrito?»

4. Cierre:

  • Identificación del médico responsable
  • Decir «Este archivo se genera para expediente electrónico, y es para uso interno del hospital sujeto a la ley de datos personales vigente.»
  • Confirmación de fecha y hora

Beneficios específicos del formato:

  • Trazabilidad completa – quién, qué, cuándo, con quién
  • Énfasis en irreversibilidad – elemento crucial para estos procedimientos
  • Identificación médica – responsabilidad profesional documentada
  • Timestamp preciso – valor legal y administrativo

Sugerencia adicional: Considerar incluir una frase como «Declaro que he leído y firmado el consentimiento informado escrito» para conectar explícitamente con la documentación tradicional. Si el cliente quiere repetir o grabar, o no hacerlo, se hace una nueva grabación o se borra el archivo.

Esto reforzaría que el audio/video es complementario, no sustituto de las firmas requeridas.

6. Control de Permisos COFEPRIS

6.1 Verificación Obligatoria de Documentos Sanitarios

Los permisos COFEPRIS son documentos críticos que requieren verificación constante. Se recomienda revisar tres veces por semana que estén exhibidos correctamente:

  • COFEPRIS-05-036: Aviso de funcionamiento (hospital)
  • COFEPRIS-05-056: Modificaciones al establecimiento
  • COFEPRIS-05-006: Funcionamiento de farmacia
  • Permisos de banco de sangre (si aplica)

6.2 Requisitos de Exhibición

La exhibición debe incluir ambas hojas del documento:

  • Primera hoja: Datos generales del establecimiento
  • Segunda hoja: Domicilio físico completo y condiciones específicas

Exhibir solo la primera hoja constituye incumplimiento normativo.

6.3 Verificación de Horarios del Responsable Sanitario

Es crucial verificar que el horario del responsable sanitario sea consistente en los tres permisos principales (036, 056, 006). Las discrepancias pueden generar:

  • Riesgo contable-fiscal: Según el Código de Comercio y las leyes del SAT, las autoridades pueden requerir el registro contable de operaciones para verificar horarios de operación, independientemente de las implicaciones fiscales directas.
  • Inconsistencias operativas que comprometen la validez de los permisos.

6.4 Riesgos Identificados

Riesgo Legal Crítico: Operar sin exhibir correctamente los Avisos de Funcionamiento es una no-conformidad mayor con la Ley General de Salud. Las sanciones incluyen:

  • Multas administrativas severas
  • Clausura parcial o total del establecimiento
  • Suspensión de servicios

Impacto Contable (NIF B-1 – Negocio en Marcha):

La falta de registro sanitario válido crea incertidumbre sobre la capacidad operativa futura del hospital. Esto contraviene el principio contable de «negocio en marcha», que requiere demostrar capacidad de operación sostenible.

Contingencias financieras derivadas de este riesgo deben revelarse en los estados financieros según NIF B-1.

6.5 Medidas de Control

  • Designar responsable de verificación semanal
  • Mantener copias digitales actualizadas de todos los permisos
  • Verificar consistencia en horarios del responsable sanitario
  • Documentar las verificaciones realizadas
  • Establecer proceso de renovación oportuna antes del vencimiento

7. Protocolo de Emergencia Nocturna

7.1 Protocolo Nocturno de Incendios

Es imposible tener una brigada completa si solo hay una o dos personas. En este caso, la brigada no existe como tal, pero debe haber un protocolo de emergencia claro y formal para esa única persona. La prioridad no es combatir el incendio, sino asegurar que los servicios de emergencia sean alertados de inmediato y de manera efectiva.

7.2 Protocolo de Emergencia para el Turno Nocturno

1. Activación de la Alarma y Notificación:

  • El velador debe estar capacitado para activar el sistema de alarma contra incendios de manera manual si detecta humo o fuego.
  • Su primera acción, sin importar la hora, es llamar a los servicios de emergencia (bomberos).

2. Protocolo de Llamada:

  • Debe tener un listado de números de emergencia a la mano, incluyendo el número de la administración del hospital y de los médicos de guardia.
  • La llamada debe ser concisa: «Hay un incendio en el hospital [Nombre del Hospital], en la calle [Dirección]. La emergencia es en el [Piso 3, por ejemplo]».

3. Verificación de Pacientes:

  • Dado que casi nunca hay pacientes, su primera tarea al detectar la alarma es hacer una rápida verificación en las áreas de camas para confirmar que no haya nadie. Si hay un paciente, su prioridad es intentar evacuarlo a un lugar seguro.

4. Función de Guía:

  • La responsabilidad del velador es ser el primer contacto para los bomberos y guiar a los servicios de emergencia al punto exacto del incidente. Debe esperar en la entrada principal para recibirlos.

5. Documentación:

  • Este protocolo debe estar por escrito en el Manual de Seguridad del hospital y el velador debe haber firmado que lo ha leído y entendido.
  • Se debe tener un registro de las capacitaciones y simulacros para una sola persona, que puede ser tan simple como practicar la llamada de emergencia y el uso de un extintor.

La clave es que, aunque no se pueda tener una brigada completa, sí se debe contar con un plan de acción para cada persona en el edificio. El rol del velador es el de gestor de la emergencia y no el de combatiente.

8. Dimensionamiento de Brigadas de Emergencia

8.1 Clasificación de Riesgo Alto para Hospitales

Un hospital con un nivel de riesgo alto requiere consideraciones especiales. La clasificación, el control de personal, el croquis, las lámparas de emergencia y los simulacros son todos requisitos críticos que no pueden ser opcionales.

8.2 Tamaño Ideal de la Brigada de Emergencia

Para un hospital pequeño con aproximadamente 20 empleados y cuatro pisos, una brigada de cuatro a cinco miembros por turno sería una meta ideal. La justificación es la siguiente:

Uno por Piso: En un hospital, la evacuación debe ser por fases. Tener un brigadista por piso asegura que haya una persona capacitada para iniciar la respuesta en el lugar exacto del siniestro, ya sea en el estacionamiento (Planta Baja), los consultorios (Piso 1), las camas (Piso 2) o el quirófano (Piso 3).

Roles Especializados: La brigada no debe ser un solo grupo. Los brigadistas deben tener roles específicos para maximizar la eficiencia:

  • Brigada de Evacuación: Encargada de mover a los pacientes a zonas seguras. En el Piso 2 (camas), esta es la función más crítica.
  • Brigada de Combate de Incendios: Encargada de usar los extintores y los gabinetes contra incendio. Es esencial en los quirófanos y la farmacia.
  • Brigada de Primeros Auxilios: Debe estar lista para atender a heridos en cualquier lugar.

Cobertura 24/7: La NOM-002-STPS-2010 exige que el plan de emergencia sea funcional en todos los turnos. Es crucial que haya miembros de la brigada en cada turno (día, tarde y noche), incluso si el número de empleados en la noche es menor. La seguridad no se detiene a las 5 de la tarde.

En resumen, una brigada de cuatro a cinco personas por turno es un tamaño realista y efectivo para un hospital de 8 camas, y se alinea perfectamente con la idea de tener una persona capacitada en cada área para una respuesta inmediata.

Conclusiones

Este manual integra los aspectos críticos de auditoría y cumplimiento para hospitales privados pequeños desde una perspectiva contable-administrativa. Los documentos aquí compilados reflejan situaciones reales encontradas durante evaluaciones de campo y pueden servir como referencia para:

  • Estudiantes de contaduría realizando servicio social en instituciones de salud
  • Auditores internos evaluando cumplimiento normativo
  • Consultores enfrentando proyectos de implementación en entornos con limitaciones de infraestructura
  • Administradores hospitalarios buscando fortalecer sus sistemas de control interno

La experiencia demuestra que el cumplimiento normativo en hospitales pequeños requiere un enfoque integral que combine conocimiento técnico, comprensión de riesgos operativos y aplicación práctica de principios contables fundamentales como el negocio en marcha.

Documento compilado de materiales de trabajo generados durante proyecto de servicio social no concretado – Septiembre 2025