Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ELECTRÓNICA
1
INDICE
1. INTRODUCCIÓN ........................................................................................................... 4
2. DEFINICIÓN DEL PROBLEMA ........................................................................................ 5
2.1. Planteamiento del Problema .................................................................................... 5
2.2. Formulación del Problema ....................................................................................... 5
3. MARCO REFERENCIAL .................................................................................................. 6
3.1. Marco Contextual ..................................................................................................... 6
3.1.1. Datos de la Empresa .......................................................................................... 6
3.1.2. Misión ................................................................................................................. 6
3.1.3. Visión .................................................................................................................. 6
3.1.4. Organigrama ....................................................................................................... 6
3.1.5. Descripción Aplicativo....................................................................................... 7
4. DESARROLLO DE LA AUDITORÍA ............................................................................... 10
4.1. Fase 1 - Elaboración del Plan de Auditoría ........................................................... 10
4.1.1. Objetivos........................................................................................................... 10
4.1.2. Plan de Auditoría.............................................................................................. 11
4.1.3. Recursos........................................................................................................... 14
4.2. Fase 2 - Ejecución del Plan de Auditoría .............................................................. 15
4.2.1. Proceso de Recolección de Información y Planeamiento de Actividades ... 15
4.2.2. Cuestionario Cuantitativo ................................................................................ 15
4.2.3. Entrevistas........................................................................................................ 15
4.2.4. Técnicas y Herramientas Utilizadas................................................................ 15
4.2.5. Valoración del Riesgo ...................................................................................... 15
4.2.6. Matriz de Probabilidad e Impacto.................................................................... 16
4.2.7. Hallazgos Producidos por efecto de la Auditoría .......................................... 16
4.3. Fase 3 – Informe de la Auditoría ............................................................................ 19
4.3.1. Introducción al Informe ................................................................................... 19
4.3.2. Principales Observaciones.............................................................................. 19
4.3.3. Recomendaciones y Plan de Acción / Mejoras .............................................. 19
5. CONCLUSIONES ........................................................................................................... 20
6. RECOMENDACIONES ................................................................................................... 20
7. ANEXOS: ....................................................................................................................... 21
ANEXO A: CUESTIONARIO CUANTITATIVO ............................................................... 21
ANEXO B: ENCUESTAS ................................................................................................ 23
ANEXO C: ANALISIS DE LAS ENCUESTAS REALIZADAS ......................................... 24
2
ANEXO D: MATRIZ DE RIESGO .................................................................................... 28
3
1. INTRODUCCIÓN
Los Sistemas Informáticos se han constituido en las herramientas más poderosas para
materializar uno de los conceptos más vitales y necesarios para cualquier organización
empresarial, la gestión de datos.
Es por ello el centro de salud Madre de Dios el año pasado decidió migrar su sistema de
gestión de historias clínicas de pacientes el cual se ha venido desarrollando de manera
manual, con las siguientes falencias que esta conlleva, data duplicada, perdida de
información sensible para el paciente, información privada vulnerada por terceros, etc.
Se desarrolló e implemento un sistema integral para la gestión de historias clínicas de
pacientes del centro de salud. Este sistema integra las siguientes áreas: caja, admisión,
estadística y unidades prestadoras de servicio de salud (médicos especialistas).
Nuestro trabajo de auditoria se abocará en analizar dicha implementación y migración de
la gestión de las historias clínicas, buscando comprobar la integridad de los datos ahora
manejados por el sistema, así como, los perfiles de usuario que tienen acceso a dicha
data. Con ello poder entregar un informe del impacto positivo o negativo que esta
migración de gestión de historias clínicas ha tenido en el centro de salud, para la
respectiva toma de decisiones de la alta gerencia.
4
2. DEFINICIÓN DEL PROBLEMA
5
3. MARCO REFERENCIAL
3.1.2. Misión
Lograr la satisfacción y confianza de nuestros pacientes y colaboradores.
3.1.3. Visión
Consolidarnos dentro de los más importantes centros de salud privado, con
personal altamente capacitado, motivado y apoyado en la tecnología médica
actual.
3.1.4. Organigrama
6
3.1.5. Descripción Aplicativo
El aplicativo de gestión de historias clínicas tuvo como objetivo general, la
agilización del manejo de las historias clínicas entre las distintas especialidades y
la fácil comunicación de este documento entre el staff medico en sus distintas
especialidades según se requiera y así mismo las documentaciones adyacentes
de manera manual anteriormente, diseñando e implementando un sistema
integral automatizado que agilice y optimice la gestión de atención hacia los
pacientes.
Se describen a continuación algunos objetivos específicos del aplicativo:
Módulo de Ingreso
7
Pantalla Principal
8
Módulo de Ingreso de Pacientes
9
4. DESARROLLO DE LA AUDITORÍA
4.1.1. Objetivos
4.1.1.3 Alcance
Parte de hardware:
Parte de Software:
10
- Manual del Usuario.
- Registros de Capacitación.
- Validación de resultados esperados y no esperados.
- Control de Acceso, Roles y Perfiles del sistema.
11
4.1.2.2 Recolección de Información
A) Observación:
Identificar los factores que intervienen dentro del funcionamiento del
software y el hardware necesario que permita obtener la información
relevante sobre el comportamiento del sistema, de las funciones y
actividades, los procedimientos y operación y de cualquier hecho que
ocurra en el área.
B) Cuestionario:
Serán preguntas impresas en formatos o fichas en que el auditado
responderá de acuerdo con su criterio, de esta manera se obtiene
información que posteriormente se clasificará e interpretará por medio de
la tabulación y análisis, para evaluar lo que se está auditando y emitir
una opinión sobre el aspecto evaluado. Estará incluido dentro de la
encuesta que se le aplicará al equipo de Ti, usuario del sistema.
(Ver anexo A)
C) Encuesta:
Se recolectará información sobre aspectos como el servicio, el
funcionamiento del sistema, la facilidad de los usuarios al momento de
registrar nuevos datos. (Ver anexo B)
A) Evaluación e Inspección
La evaluación se efectuará mediante pruebas de calidad y cumplimiento
de funciones, actividades y procedimientos que se realizan. Se verificará
la forma de realizar los procesos, evaluar la aplicación de técnicas,
métodos o procedimientos de trabajo, el resultado de las operaciones,
comprobar la operación correcta del sistema y otros aspectos relevantes.
Se evaluará la eficiencia y eficacia del sistema, en cuanto a operación y
procesamiento de datos para reducir los riesgos y unificar el trabajo
hasta finalizarlo. La inspección se realizará a cualquiera de las
actividades, operaciones y componentes que rodean al aplicativo.
(Ver anexo C)
12
B) Matriz de Evaluación de Riesgos
Se recolectará la información sobre los procesos y actividades del
sistema auditado, reconociendo los riesgos inherentes a estos, así como
si se están o no aplicando controles, identificaremos los factores que
producen estos riesgos y que efecto tienen en el centro de salud, se
especificara un rango de métricas para valorizar el impacto de estas y se
propondrá y confrontara los riesgos con controles y soluciones para
mitigarlas lo máximo posible.
13
4.1.2.8 Informe Final de la Auditoria
4.1.3. Recursos
4.1.3.1 Materiales
Los materiales a usar son 5 portátiles (Laptop), impresora, papel, lapiceros
y los documentos a mención:
● Manual de procedimientos de los sistemas.
● Descripción genérica.
● Diagramas de entrada, archivos, salida del software.
● Fecha de instalación del sistema.
4.1.3.2 Tecnológicos
El servidor del sistema de soporte se encuentra en un cuarto con aire
acondicionado, además de otros servidores como de servicios de impresión,
antivirus, y otros sistemas de otras áreas. Además se cuenta con equipos de
cómputo actualizados.
4.1.3.3 Financieros
La Auditoría es financiada por el contratista la Clínica Madre de Dios.
4.1.3.4 Cronograma
14
4.2. Fase 2 - Ejecución del Plan de Auditoría
Para la elaboración del cuestionario realizado al personal del área de TI, técnico
y administrativo del sistema, nos brindara una mejor vista de que se tiene
actualmente y que es lo que faltaría realizarse.
4.2.3. Entrevistas
Para este punto se tiene en cuenta el impacto presentado por las encuestas
realizadas al jefe de sistemas, el cual nos dará la probabilidad de ocurrencia en
el modo de alto, medio y bajo riesgo, mostrándose según su nivel de impacto.
15
4.2.6. Matriz de Probabilidad e Impacto
Nivel de Impacto
Los hallazgos encontrados permiten determinar las partes más vulnerables que
tiene el área auditada para que posteriormente sean informados y corregido
correctamente.
Acceso de usuarios
16
Backup (respaldo) dentro del mismo servidor principal
17
Adaptación lenta al nuevo sistema
18
Migración incompleta
19
diagramar la red local y perimetral para tener una rápida identificación y
acción ante una posible falla de algún componente de red.
5. CONCLUSIONES
● La auditoría ha sido realizada cumpliendo el alcance del servicio y se dio en las áreas
de negocio del sistema auditado, las cuales fueron Área de TI soporte y
mantenimiento y el Área de Archivo y Documentación Clínica.
● La auditoría se llegó a cumplir con los puntos indicados y en las fechas pactadas con
previa coordinación del cliente.
6. RECOMENDACIONES
● Las conformidades y oportunidades de mejoras deben ser analizadas por las
diferentes partes interesadas del centro de Salud.
20
7. ANEXOS:
21
22
ANEXO B: ENCUESTAS
Nuestra población fue de 05 personas técnicos / especialistas que utilizan el sistema día
a día y han acompañado el proceso de implementación del sistema de gestión de
historias de la clínica.
23
ANEXO C: ANALISIS DE LAS ENCUESTAS REALIZADAS
Escala valorativa
1 Muy malo
2 Malo
3 Regular
4 Bueno
5 Muy bueno
24
2. Importancia de los sistemas de
información dentro de la clínica
Encuestado 1 3
Encuestado 2 3
Encuestado 3 4
Encuestado 4 4
Encuestado 5 5
Total 4
Resultado Bueno
Encuestado 1 4
Encuestado 2 5
Encuestado 3 3
Encuestado 4 3
Encuestado 5 5
Total 4
Resultado Bueno
25
6. Cuentan con alta disponibilidad el
sistema de gestión de clínicas
Encuestado 1 4
Encuestado 2 5
Encuestado 3 3
Encuestado 4 3
Encuestado 5 5
Total 4
Resultado Bueno
26
10. El funcionamiento del sistema de
gestión de historias clínicas es optimo
Encuestado 1 4
Encuestado 2 4
Encuestado 3 3
Encuestado 4 3
Encuestado 5 5
Total 4
Resultado Bueno
Guía de evaluación:
27
ANEXO D: MATRIZ DE RIESGO
Nivel de Impacto
Nivel de Riesgo: Producto de la probabilidad de ocurrencia de un riesgo y nivel de impacto de sus consecuencias
Identificación de Riesgos
Riesgo Causas Agente Efecto Probabilidad Consecuencia Nivel Controles Cronograma Indicador
Generador (0.00 – 1.00) (0.00 – 1.00) de
Riesgo
Acceso de -Mal manejo Falta de -Ingreso de 0.30 0.80 0.24 -Establecer los Anual. -Listado de
Usuarios de perfil de administración funciones de perfiles de perfil de
usuario. de los perfiles de otros usuarios. accesos de los usuario.
usuario. -Cambio de usuarios en el
datos en la base. sistema.
-Problemas de
seguridad
Backup -Discos duros -Falta de Pérdida de 0.50 0.80 0.40 -Implementar un Anual -Estructura
(respaldo) con limitados presupuesto. información, servidor de la red de
dentro del almacenaje. pérdidas Backups datos.
mismo servidor económicas, descentralizado.
principal podría afectar la
continuidad de
la empresa.
28
Uso de red - Red ya . Corte en las 0.50 0.70 0.35 -Implementar un 6 meses. -plano de la
implementada implementada comunicaciones mapeo de toda la red
anteriormente en la cual no entre las áreas red. estructurada
hay suficientes involucradas, del centro
datos sobre su alta latencia, de salud.
esquema o vulnerabilidad
como esta ha de la red.
sido
implementada.
Adaptación -Falta de -Falta de -Mal manejo del 0.40 0.50 0.20 -Realizar un 3 meses. -manual de
lenta al nuevo capacitación al implementación sistema. cronograma de actividades
sistema personal. de capacitación -No se utiliza la capacitación. del sistema.
por parte de la capacidad del -Implementar
Administración. sistema al 100% cronograma de
capacitación.
Capacidad de -Falta de Saturación de la 0.80 0.50 0.40 -Ampliar la Anual. -Registro de
almacenamiento -No estimar el implementación información. capacidad de almacenaje
de información crecimiento de de capacidad de -Perdida de almacenamiento de la
limitada. los datos almacenamiento información. de los discos información.
de la -Colapso del duros.
información. sistema.
29