Editorial: Riesgos del IVM

“El tema fundamental es la transparencia, porque no hay. Es muy opaco el manejo del IVM. Es inconveniente que un seguro de esta magnitud tenga esas carencias. Simplemente, las cifras que tenemos no son fiables. Debe darse un proceso de limpieza para saber qué es cierto y qué no”, afirma Edgar Robles, exsuperintendente de pensiones.

Las declaraciones responden a las deficiencias señaladas por la última auditoría a los estados financieros del Régimen de Invalidez, Vejez y Muerte (IVM), administrado por la Caja Costarricense de Seguro Social (CCSS). Se trata del sistema de pensiones más grande del país, con 372.671 jubilados, 1.740.935 de trabajadores afiliados y 77.752 patronos cotizantes.

Sus reservas rondan el 7% del producto interno bruto y es difícil entender cómo un fondo de esa magnitud mantiene “una alta exposición a situaciones fraudulentas”, amén de que “la presentación de la información contable podría no reflejar fielmente la situación financiera”, según la Superintendencia de Pensiones (Supén).

La queja de Robles sobre la falta de transparencia no es nueva. Se remonta al ejercicio del economista en la Supén entre el 2002 y el 2010. Tampoco son novedosas las deficiencias de los sistemas informáticos de la CCSS. Lo asombroso es la persistencia de esos males tanto tiempo después y tratándose de una materia tan importante.

En un país que es constante víctima de intrusiones cibernéticas y sufrió un ataque de grandes proporciones hace apenas un par de años, la auditoría no logró corroborar quiénes tienen acceso a los sistemas de créditos, inversiones y pensiones del IVM, o si el acceso es adecuado para sus funciones. Tampoco existe un control periódico de revisión de privilegios para el ingreso a los sistemas.

La necesidad de controlar el acceso a los sistemas y los privilegios concedidos a quienes lo tienen es, quizá, la lección primordial de los ataques ejecutados por el grupo de delincuentes cibernéticos conocido como Conti, cuyos programas extorsivos secuestran información de servidores y la liberan a cambio del pago de un rescate.

El grupo ruso no es el único dedicado a este tipo de extorsiones. Cada uno tiene su forma particular de operar, pero la debilidad del control de accesos y privilegios es una ventaja invaluable para sus actividades. Precisamente, entre las instituciones atacadas en esa época estuvo la CCSS y una de las líneas de investigación fue un posible descuido en cuanto a contraseñas.

Pero el riesgo de ataques de ese tipo no es el único motivo de preocupación. Para ejemplificar las oportunidades de desviación y fraude, Robles citó la posibilidad de imputar cuotas a personas que nunca las pagaron. “Eso es muy preocupante, sobre todo por el proceso reciente para permitir la pensión adelantada. Puede ser que no haya seguridad de haber cobrado lo correcto”.

No hace falta el señalamiento de un experto para imaginar las oportunidades creadas por el descontrol de las bases de datos del régimen y los sistemas utilizados para la gestión de créditos hipotecarios por más de ¢81.401 millones o el seguimiento de ¢2.495.516 millones en inversiones.

Sin necesidad de fraude, las debilidades detectadas por la auditoría representan un peligro simplemente por la imposibilidad de conocer, a ciencia cierta, la situación financiera del régimen. Hay distintos modelos de estimación para las cuentas incobrables, debilidades en el seguimiento de las cuentas por cobrar y en la ejecución presupuestaria.

La superintendenta Rocío Aguilar trasladó a la Junta Directiva de la CCSS una petición de acciones correctivas, con señalamiento del periodo de cumplimiento y los funcionarios responsables. El documento debe ser entregado en el plazo de 20 días hábiles, pero cabe preguntar si al fin verá la luz un plan después de tantos años de arrastrar deficiencias.