Cliente: Laboratorio Clínico Provida.

Memorándum de recomendaciones de control interno en los procesos de

negocio y sistemas de información computarizados al día lunes 13 de marzo de
2023.
Se ha hecho una revisión de los sistemas de control interno de los procesos de
negocio del Laboratorio Clínico Provida. Como parte de nuestra revisión, hemos hecho
pruebas y análisis en los controles manuales y automáticos asociados al proceso de
gestión de abonos, creación de facturas, creación de notas a crédito, administración y
configuración de exámenes y cultivos, administración de usuarios con sus roles y tareas,
control y gestión de facturas y resultados en el servicio en la nube y el proceso de subida
de datos de la maquina local a la nube.
El análisis sobre el ambiente de control interno de los procesos del sistema se hizo
tal como lo requieren las normas de auditoría de aceptación general.
El objetivo de la evaluación del ambiente de control de los procesos de gestión del
Laboratorio Clínico Provida, es proveer una razonable, pero no absoluta seguridad en
cuanto a la protección de los activos de información contra pérdidas por uso o disposición
no autorizados, y la confiabilidad de los registros administrativos para la preparación de
los estados financieros y la existencia de elementos para identificar los ingresos, también
para la gestión optima de la data concerniente a los exámenes, cultivos, clientes y
facturas en general. El concepto de seguridad razonable reconoce que el costo de un
sistema de control no debería exceder del monto de los beneficios que se derivan del
mismo, y además reconoce que la evaluación de estos factores necesariamente requiere
estimación y juicios por parte de la directiva de la empresa.
El estudio determinó las siguientes fallas que consideramos importantes:

1. Revisar la información contenida en el módulo de facturación:

- Por políticas de la empresa el campo cedula de la tabla clientes debe tener

siempre como inicio del documento una letra (V para locales, E para
extranjeros, J para convenios) seguidos de un guion y el documento en sí. Esto
no se esta siguiendo de manera expedita en, al menos, 15 clientes registrados,
existiendo casos de duplicación de las letras iniciales, guiones, espacios en
blanco si guiones, etc.

Esto puede tener como consecuencia que la factura salga con errores en los
datos del cliente y así aumentar el riesgo de sanciones o multas por
incumplimientos de la legibilidad de la factura que exige el SENIAT.
 A su vez, puede generar errores en el guardado de datos en la nube y
obstaculizar las búsquedas masivas de información para esos clientes con
errores en el campo cedula.

- La sección de pagos en la factura posee en ciertos escenarios errores de

guardado de los registros de pago en la base de datos que pueden generar
errores de cálculos por perdida de montos o duplicación de los mismos tanto
en los cierres de caja como en los detalles de factura que se puedan ver en el
servicio de la nube.

2. Módulo de gestión de exámenes y cultivos

- Se encontraron pruebas duplicadas inhabilitadas que tienen diferentes valores

de referencia.

Esta duplicación tiene como consecuencia que se pueda generar una

confusión cuando se configure un examen, eligiendo una prueba para este que
tenga un valor de referencia desactualizado y, por lo tanto, no confiable para
mostrarlo como resultados.

Esto se guardaría erróneamente en la instancia en la nube, bajando el nivel de

fiabilidad de la data considerablemente.

- Se encontraron exámenes con precio 0 que están habilitados para facturarse.

Esto se debe a que, si bien, los exámenes con valor 0 están por definición
inhabilitados y no se pueden habilitar hasta no darles un precio, los
administradores pueden hacer excepciones y permitir la facturación de
exámenes gratuitamente que complementan a otros que si tienen precios. El
problema ocurre cuando el examen de precio 0 empieza a tener valor real
cuando se factura, generando un riesgo elevado de perdida de ingresos debido
a que no se esta generando el costo real de ese examen.

Se recomienda llevar un seguimiento mas detallado de los exámenes que

sufren cambios en los precios de manera dinámica o arbitraria dependiendo
de la situación, así como generar 2 exámenes que, según el caso, sirvan o
como complemento de un examen a facturar o como examen único con precio
a facturar.

- No existe un historial de valores de referencia por resultado obtenido.

 Esto es de alto riesgo, debido a que, si se necesita cambiar los valores de
referencia para un resultado nuevo, todos los valores de referencia de
resultados anteriores se actualizarán.

Esto tiene una solución ya que el sistema en la nube guarda de manera no

relacional todo el resultado, incluyendo el valor de referencia. De manera que
se mantiene el valor en el tiempo. Pero se recomienda generar un historial o
un campo de valor de referencia para los resultados.

- Faltan fórmulas de cálculo automatizadas en el sistema.

Los bioanalistas deben generar unos cálculos entre ciertas pruebas para darle
valor a otras, esto es engorroso y aumenta el tiempo de proceso de resultados.

Se recomienda automatizar el proceso por medio de cálculos automáticos con

las formulas usadas por los bioanalistas en las pruebas que necesiten.

3. Modulo de gestión de usuarios:

- Creación ineficaz de roles y tareas.

Si bien la gestión de roles y tareas por usuarios existe para los

administradores, la creación de nuevos roles y tareas no funcionan en el
sistema, se debe llamar a los técnicos para que, desde la DB, hagan efectivo
ese cambio.

Se debe generar a nivel de api un controlador que genere la relación entre la

tarea, el rol y el modulo nuevo al que puede acceder un usuario.

4. Proceso de subida de datos a la nube:

- Error de llave duplicada.

Existe un error común que imposibilita la garantía de subida de datos constante

y sin interrupciones de la DB local a la nube, este error es una duplicación de
llaves que existe entre la llave generada en la DB local con una llave exacta
que ya existe en la DB en la nube.

Esto corta el proceso de subida de lotes de información debido a que si

encuentra un error todo el lote no se sube. Si bien el proceso de subida es
cada 2 minutos, si el error sucede el api se interrumpe, haciendo que se deba
activar manualmente.
 Se recomienda encapsular el documento que posea llave duplicada, eliminarlo
y volverlo a insertar en la DB local e intentar subirlo la veces que sean
necesarias hasta que la llave no este duplicada.

Este proceso se debe hacer de esa forma ya que el documento es un BJSON

de mongoDB y, por axioma de configuración de la base de datos, una vez
creado el documento la llave no puede ser modificada.

Recomendamos definir una estructura organizacional con un nivel jerárquico

adicional por debajo del administrador, esto para garantizar la seguridad de información
importante ya que en el futuro puede ser necesario la delegación de funciones
administrativas a transcriptores o a los propios desarrolladores para detectar posibles
soluciones y garantizar la información critica del sistema.