Auditoría: Nuevo sistema de la CCSS tiene riesgo elevado de acceso de terceros sin autorización

La Auditoría Interna de la Caja Costarricense de Seguro Social (CCSS) aseguró que con la implementación del nuevo sistema informático ERP-SAP hay un riesgo elevado de acceso de parte de terceros.

De hecho, el principal riesgo detectado con respecto a usuarios y licencias son accesos no autorizados o indebidos a funciones críticas del sistema.

Además, al 30 de junio de 2025 hay más de 4.000 licencias sin uso, es decir, el 42% de las compradas. Estas tienen un costo aproximado de $1.5 millones, a lo que se suman $300.000 anuales por mantenimiento.

Por otro lado se identificó uso de cuentas compartidas, genéricas y con expiración hasta el 31 de diciembre de 9999.

Otros riesgos identificados relacionados con proveeduría son:

• Desabastecimiento institucional y pérdida de control de inventarios, suministros y medicamentos en las proveedurías institucionales.
• Procesos manuales que incrementan el riesgo de errores, pérdida de trazabilidad y debilitando el sistema de control interno.
• Ausencia de saldos reales y confiables en el sistema.
• Pérdida de control por parte de la Dirección de Aprovisionamiento y limitaciones en las proyecciones y pronósticos de consumo.

Para Ólger Sánchez, auditor interno de la CCSS, el éxito del sistema depende de una revisión técnica de un consultor externo especializado para asegurar que la configuración esté alineada con los requerimientos contractuales y técnicos.

"Es fundamental encargar a una firma especializada un diagnóstico experto sobre el funcionamiento, integridad y confiabilidad de los módulos y procesos operativos del ERP, priorizando la identificación de alertas que puedan afectar la continuidad y calidad de los servicios de salud", aseguró.