CCSS gasta más de $1.4 millones en licencias de sistema informático que no se utilizan

La Auditoría Interna de la Caja Costarricense de Seguro Social (CCSS) halló una condición "crítica" con respecto a las licencias adquiridas del sistema informático ERP-SAP.

De acuerdo con el informe, había 4.903 licencias sin usarse, lo que en términos económicos representa un total de $1.4 millones y una subutilización de los recursos tecnológicos adquiridos.

Además, dichas licencias tienen un costo de mantenimiento anual que supera los $320 mil, es decir, la CCSS podría incurrir en un gasto adicional por servicios que no se están utilizando.

"Podría limitar el aprovechamiento de las funcionalidades contratadas y generar implicaciones presupuestarias relevantes", aseguró Olger Sánchez, auditor interno.

Por otro lado, se resaltó que la situación deja un 41% de licencias disponibles. "Incide en el aprovechamiento de los recursos invertidos al sistema ERP-SAP", manifestó el órgano auditor.

Otras problemáticas con licencias

La Auditoría Interna también identificó usuarios sin identificación personal con "privilegios críticos", entre ellos la ejecución de pagos y la migración de datos.

Esta situación impide establecer la trazabilidad de las acciones y compromete el control interno. Además, se evidenció que muchos roles presentan vigencias indefinidas, incrementando el riesgo de accesos no autorizados por cambios en la situación laboral de los usuarios.

Asimismo, hallaron una alta concentración de privilegios en cuentas con más de 100 roles asignados, duplicidad de funciones y perfiles sin descripción.

Para el órgano auditor, la asignación de roles administrativos a usuarios no privilegiados amplía las posibilidades de ataque del sistema y pone en riesgo la integridad de la infraestructura tecnológica.

Ante este panorama, el informe advierte sobre la necesidad de adoptar medidas correctivas inmediatas para fortalecer el modelo de gobernanza de accesos, garantizar la seguridad de la información y mitigar riesgos operativos y financieros.

La CCSS puso en marcha el sistema SAP-ERP el pasado 2 de junio. No obstante, su implementación ha estado marcada por problemas.

De hecho, desde setiembre de 2024 se alertó de serias deficiencias en el proceso de capacitación previo a la puesta en funcionamiento del sistema.

Se resaltó que la capacitación —señalada desde el cartel de licitación como "el factor más relevante para el éxito del proyecto y su posterior sostenimiento"— no contaba con una estrategia ni un plan definido para replicar los conocimientos entre los aproximadamente 11 mil usuarios.

Entre las observaciones más relevantes hechas por la Auditoría están:

• Estrategia y plan para réplica de capacitaciones sin definir (11 mil usuarios).
• Posibilidad de que capacitadores no posean las características o habilidades necesarias para el proceso de réplica.
• Probabilidad de que existan cambios en la configuración del ERP y que podrían afectar la operatividad del sistema tras su implementación.
• Ausencia de informes ejecutivos ante la administración mostrando los resultados de la actividad de capacitación para la toma de decisiones.

Además, el informe detalla que, "de conformidad con lo descrito por el Plan de Innovación, existe la posibilidad de que algunos funcionarios seleccionados por las unidades institucionales para ser capacitadores (usuarios claves) no posean las características o habilidades necesarias, lo que podría comprometer la calidad de la capacitación y la correcta replicación del conocimiento".

La Auditoría advirtió que estas debilidades podrían haber impactado negativamente la operación del ERP, un sistema esencial para procesos administrativos clave dentro de la institución.