CCSS implementó sistema informático mediante un “circuito cerrado de comunicación y control”
Edificio de la Caja Costarricense de Seguro Social (CCSS)
La Contraloría General de la República (CGR) realiza una investigación respecto a la implementación del sistema informático ERP-SAP en la Caja Costarricense de Seguro Social. Uno de los principales hallazgos es que se implementó mediante un "circuito cerrado de comunicación y control".
De acuerdo con el informe de la CGR, la Presidencia Ejecutiva de la CCSS concentró en una misma estructura las funciones relacionadas con el sistema, lo que generó un debilitamiento del sistema de control interno de la institución.
Las advertencias sobre los riesgos del sistema llegaban desde las áreas técnicas de la CCSS, la Auditoría Interna, la firma asesora y las unidades de salud. Dichos avisos detallaban fallas en la operación institucional y en la confiabilidad de la información, pero nunca fueron canalizados hacia las instancias que debían corregirlas, sino que llegaban de nuevo a la Presidencia Ejecutiva.
"Las advertencias volvían una y otra vez al mismo centro que había tomado las decisiones originales", aseguró la Contraloría.
Pese a que cada alerta recibía respuestas formales y compromisos de mejora, no llegaban las acciones para corregirlas. El tiempo pasaba, el sistema se agravaba y los riesgos se materializaron: pérdida de trazabilidad en inventarios y pagos, suspensión de cirugías, atrasos en farmacias, entre otros.
La comunicación de las fallas del sistema se convirtió en "un ciclo de advertencias sin efecto", porque las advertencias se conocían, pero no eran corregidas. Las gerencias Financiera y Logística eran la primera línea de defensa, pero la Presidencia se encargó de que perdieran su capacidad de control.
De hecho, en sesión de Junta Directiva, pocos días antes de la implementación, las gerencias alertaron que el sistema ERP-SAP no tenía las condiciones técnicas ni operativas para implementarse.
"La advertencia fue conocida, pero la Junta, a propuesta de la Presidencia, decidió tratarla como un asunto 'técnico y administrativo propio' de esas dependencias, instruyéndolas a continuar con el plan de salida en coordinación con la Dirección del Plan, sin adoptar medidas preventivas ni suspender el lanzamiento", reveló la CGR.
Posterior a la implementación
El sistema ERP-SAP se activó el pasado 2 de junio e, inmediatamente, las advertencias comenzaron a replicarse. En poco tiempo, el Hospital México y el Hospital Nacional de Niños (HNN) reportaron afectaciones en su funcionamiento.
En el HNN, la situación se tornó tan crítica que la Dirección dejó constancia de descargo de responsabilidad administrativa ante el riesgo operativo. Lamentablemente, los dos informes de los hospitales que alertaban de vidas en riesgo simplemente fueron conocidos por la Junta Directiva y se remitieron nuevamente a la Presidencia Ejecutiva.
"La ausencia de una respuesta institucional diferenciada impidió la adopción de medidas preventivas oportunas y permitió que las fallas se materializaran, afectando la continuidad de las operaciones. Las funciones de control preventivo y correctivo se diluyeron dentro del propio circuito que gestionaba el proyecto medular: los órganos que tomaban las decisiones fueron los mismos que manejaban sus consecuencias, reduciendo a las gerencias a un papel reactivo y sin autoridad sobre los procesos de su competencia", estableció la CGR en su investigación.
Otro hallazgo relevante es que se limitó el acceso a evidencia crítica de las fallas, la Junta Directiva y las gerencias dejaron de tenerlo. La propia Auditoría señaló que los informes emitidos no se refirieron a los directivos ni gerentes, todo se concentró en manos de la presidencia.
La CCSS contrató a una firma asesora recomendó postergar la salida en vivo para no poner en riesgo la operación institucional, pero la recomendación fue ignorada.
Desde la Presidencia se limitó el trabajo de todas las líneas de defensa. Pese a que la Auditoría alertó desde el 2023 de riesgos, todo se ignoró y no se tomaron medidas de mitigación. "El debilitamiento del rol de la Auditoróa se agravó, cuando la Dirección del Plan de Innovación -dependiente de la Presidencia Ejecutiva- asumió directamente la atención de las observaciones, función que correspondía a las gerencias operativas", dice el informe.
En el informe se le dieron una serie de órdenes a la CCSS, las cuales están suspendidas por el momento debido a la interposición de una medida cautelar.