Upload
jairo-beltran-assia
View
249
Download
0
Embed Size (px)
DESCRIPTION
Auditoria de sistemas,Hospital.Seguridad y aditoria para sistemas de hospital
Citation preview
PROYECTO DE AUDITORÍA PARA EL CENTRO MÉDICO SUSALUD S.A
ESTUDIANTES - INVESTIGADORES
JUAN CARLOS BUSTAMANTE MONTES
HÉCTOR ANDRÉS TRIANA LÓPEZ
ALBERTO JOSÉ URUETA CABEZA
PROF:
HUMBERTO CAICEDO BLANCO
UNIVERSIDAD DE CARTAGENA
FACULTAD DE INGENIERÍA
PROGRAMA DE INGENIERÍA DE SISTEMAS
CARTAGENA DE INDIAS, 2015
TABLA DE CONTENIDO
Introducción.....................................................................................................................................5
Objetivos..........................................................................................................................................6
Objetivo general...............................................................................................................................6
Objetivos específicos.......................................................................................................................6
Misión del informe..........................................................................................................................7
Visión del informe...........................................................................................................................8
1 Modelo TGS (Módulo Asignación de Citas, Medicina Especializada)........................................9
1.1 Entradas................................................................................................................................9
1.2 Procesos................................................................................................................................9
1.3 Caja Negra............................................................................................................................9
1.4 Salidas.................................................................................................................................11
1.5 Medio ambiente..................................................................................................................11
1.6 Rango..................................................................................................................................12
1.7 Sub-sistemas.......................................................................................................................12
1.8 Controles.............................................................................................................................12
1.9 Evento proveedor................................................................................................................13
1.10 Evento cliente.....................................................................................................................13
2. Constitución social del puesto de salud.....................................................................................19
2.1 Razón social de la empresa......................................................................................................19
2.2 Historia....................................................................................................................................19
3.3 Definición filosófica Puesto de salud San Pedro (Cartagena y Bolívar).................................23
3.3.1 Misión del Puesto de Salud...................................................................................................23
3.3.2 Visión del Puesto de Salud...................................................................................................23
3.3.3 Objetivos empresariales........................................................................................................23
3.3.4 Objeto social.........................................................................................................................24
3.4 Estructura orgánica (organigrama general).............................................................................24
3.5 Función Básica de desempeño.................................................................................................25
3.5.1 Servicios...............................................................................................................................25
3.5.2 Servicios complementarios...................................................................................................27
3.6 Planteamiento del problema....................................................................................................28
3.6.1 Caso de estudio.....................................................................................................................28
3.7 Justificación.............................................................................................................................30
3.8 Objetivos del puesto de salud..................................................................................................32
4. Guía de Seguridad......................................................................................................................34
4.1 Dominio...................................................................................................................................34
4.2 Seguridad física.......................................................................................................................34
5. Análisis de riesgos.....................................................................................................................37
5.1 Escenarios de riesgos...............................................................................................................37
5.2 Descripción de los procesos................................................................................................37
5.4 Priorización de procesos de cada área................................................................................38
5.5 Descripción de los escenarios de riesgo.............................................................................39
5.6 Riesgos inherentes al escenario..........................................................................................39
5.7 Diagramas de flujo..............................................................................................................39
5.7.1 Áreas de impacto Las áreas de impacto más propensas en los procesos son:.................40
5.8 Análisis de riesgos según los procesos dados..........................................................................41
6. Costos y presupuesto.................................................................................................................45
7. Matriz Delphi.............................................................................................................................52
7.1 Dominio: seguridad física........................................................................................................52
7.2 Matriz de amenazas.................................................................................................................54
7.3 Matriz ponderada:....................................................................................................................55
7.4 Lista de controles.....................................................................................................................56
7.5 Cubrimiento del control...........................................................................................................63
8. Plan de auditoria........................................................................................................................64
8.1 Objetivos de la auditoria..........................................................................................................64
8.2 Alcance....................................................................................................................................64
8.3 Procedimientos........................................................................................................................64
8.4 Recursos...................................................................................................................................64
8.5 Elaboración de listas de chequeo.............................................................................................65
Anexos...........................................................................................................................................67
Introducción
Este trabajo se hace con el fin de profundizar los conceptos de la auditoría de sistemas en el
análisis de un centro médico con el fin de estudiar sus características, debilidades y demás puntos
que se pueden tener en cuenta para el mejoramiento futuro desde la perspectiva de estándares y
normativas enfocadas hacia módulos específicos.
Objetivos
Objetivo general
Plantear un proyecto de auditoría general para la optimización de procesos de los módulos
operativos que conforman centro médico SuSalud S.A. con el fin de mejorar su rendimiento y
atención a los clientes
Objetivos específicos
-Analizar los procesos de asignación de citas y la seguridad física del centro médico para hacer
los estudios sistémicos pertinentes.
-Desarrollar modelos de flujo de trabajo de módulos del centro médico fundamentados en la
teoría general de sistema para lograr la eficiencia en los procesos.
-Realizar realimentaciones entre los modelos planteados en comparación con el trabajo real para
conseguir formulaciones prácticas que correspondan a la realidad.
Misión del informe
Elaborar una auditoria a la empresa SuSalud S.A para comprender los procesos que esta
realiza en su departamento de asignación de citas y recepción, para mejorar el servicio de
atención a los pacientes que ingresan a la entidad y prevenir malos funcionamientos en la misma.
Visión del informe
Posicionar la empresa de salud SuSalud S.A en una empresa de reconocimiento por excelente
atención de los pacientes que están afiliados a esta, manejando estándares de alta calidad en
todos sus servicios generando un buen crecimiento de la empresa.
1 Modelo TGS (Módulo Asignación de Citas, Medicina Especializada)
A continuación se trata el caso de estudio del sub-sistema asignación de citas, para esto se
procede a realizar cada uno de los elementos del sistema según el modelo TGS.
1.1 Entradas
• Lista de personal médico.
• Lista de Pacientes
• Lista de Tipo de citas
• Historias médicas
• Lista de EPS a las que se les autoriza l servicio
• Lista de consultorios
1.2 Procesos
• Programación de citas médicas.
Programación de horarios
Gestión de personal médico
Gestión de consultorio.
.
1.3 Caja Negra
• Verificación de derechos
• El administrador del sistema ingresa al sistema el número de identidad del paciente.
• El sistema verifica en la base de datos derechos de la EPS asociada en ese punto de salud
• El sistema verifica la afiliación vigente del paciente en la EPS.
• El sistema arroja resultados de la verificación de derechos a la atención
• Fin del proceso de verificación de derechos
• Asignación de citas:
Pre-requisitos: Proceso de Verificación de derecho con resultado afirmativo
i Empieza el trámite de asignación de cita
ii. La enfermera ingresa en el sistema el tipo de cita requerida
iii. El sistema da como salida un cuadro con la disponibilidad
iv. se escoge la cita de se preferencia
v. La enfermera reserva el espacio de cita.
vi. Sistema arroja un mensaje de éxito del proceso
• Programación de personal (Médicos y especialistas)
i. Administrador del puesto solicita lista de médicos disponibles a ESE HOSPITAL
Cartagena de Indias.
iii. Administrador del puesto verifica disponibilidad de consultorios.
iv. Administrador organiza el personal según profesión (Médicos y especialistas)
v. Administrador asigna médicos a los consultorios disponibles y aptos
1.4 Salidas
• Orden médica para el cumplimiento de la cita
• Historia clínica (actualización)
• Remisiones
• Ordenes de laboratorio
• Estadísticas de funcionamiento (Listado de Personal médico, Listado de pacientes
atendidos mensualmente, observaciones en general)
1.5 Medio ambiente
• Colombia
• Departamento de Bolívar
• Cartagena de Indias
• Barrio Torices
• Sector San Pedro
• Puesto de Salud local
• Consultorios
• Salas de espera
• Infraestructura hospitalaria
• Recursos humanos
1.6 Rango
El estudio del sistema está limitado al módulo de asignación de citas de un puesto de salud local.
1.7 Sub-sistemas
• Facturación: subsistema que se encarga de generar el papeleo de cobro por el servicio
prestado
• Atención: es la parte donde se encarga de recibir a los pacientes y ofrecerles los servicios
de asignación de citas o remisiones donde el medico
• Administración: es la parte de la recepción donde se encarga de facturar y administrar la
parte financiera del departamento.
• Ingreso a instalación: subsistema que se encarga de verificar que los pacientes entren a
los consultorios médicos para su atención.
• Asignación de Citas: parte que se encarga de generar, impartir y guardar las citas médicas
a los pacientes que ingresan al centro médico.
1.8 Controles
• Horario de citas 7 am a 12 pm y 2pm a 4pm
• Horario de asignación de citas 7am a 12 pm
• Capacitación del personal
• Reglamento interno del departamento de citas
• Protocolo de verificación de derechos
• Controles de acceso.
1.9 Evento proveedor
• ONU
• OMS
• Ministerio de Salud y Protección social
• ESE Hospital Cartagena de Indias
• Proveedores de servicios públicos
• Empresa de seguridad
• Laboratorio
• Población local
1.10 Evento cliente
• Pacientes subsidiados
• Pacientes de odontología
• Pacientes de citología
• Personal del programa PyP
• EPSs en convenio
Todo sistema además de tener unos elementos que lo conforman, también poseen unas
propiedades que los clasifican, aunque este caso las propiedades son relativas, estas dependen de
varios factores tales como el individuo que lo hace, el objetivo que se persigue y las
circunstancias particulares en las cuales se desarrolla. Basándonos en lo anterior y con los
objetivos planteados en un principio sobre el sub-sistema o sistema de asignación de citas en un
puesto de salud, las propiedades de dicho sistema son las siguientes:
a) Variables: b) Parámetros: c) Operadores
Clientes de la organización
rapidoXpress S.A
- Pasajeros
- Usuarios del servicio
de carga
- Usuarios del servicio
de mensajería
- Remisión hacía
departamento viajes.
- Remisión hacia
departamento de
carga.
- Remisión hacia
departamento de
mensajeria.
Viajes Ofertados. - Ciudades.
- Rutas
- Diferentes ciudades
en las cuales
rapidoXpress presta
su servicio(Ver
tabla1-anexos)
- Toda la información
de las diversas rutas
tomadas por el
- Fechas de viaje.
servicio de
transporte
- Fechas y horas
correspondientes a
cada destino.
Vehículos - De transporte de
pajeros.
- De carga.
- De mensajería.
- Uso único para el
transporte de
personas a las
diferentes Ciudades.
- Uso único para el
transporte de Carga
mayor a 5KG.
- Uso único para el
transporte de
mensajería Menor a
5KG.
Personal administrativo del
sistema
- Personal encargado
de la recepción de
pasajeros
-
- Personal encargado
de realizar las
asignaciones de
- Atender Usuarios
que requieran viajar
a un destino
específico.
- Gestionar el proceso
de recolección y
envió de carga
envió de carga
- Personal encargado
de giros.
- Administrar la
recolección de
dinero
d. Realimentación:
• El análisis y verificación de diferentes eventos que nos permitan verificar eventos tales
como: tiempo, seguridad, preparación, comunicación y transparencia; De esta manera se pueden
hacer mejoras y correcciones para usos futuros del sistema.
e. Homeostasis y entropía:
• Cambiar la asignación de citas a un sistema web, para que los usuarios puedan separar sus
citas desde su casa.
• Constante actualización de las bases de datos, para así evitar que atiendan pacientes que
no cumplan con el proceso de verificación de derechos y evitar que se les niegue la atención a
pacientes con sus derechos vigentes.
f. Permeabilidad:
• La permeabilidad nos permite concluir que el sistema es abierto al uso de personas en
derecho de atención y servicios y abierto al uso de personas de múltiples campos quienes aportan
al proceso de asignación de citas en un puesto de salud local, entre estos profesionales de la
salud, administrativos, equipo de seguridad, personal de aseo todos los demás entes que
participan en este proceso.
g. Integración e independencia:
• Este es un sistema integrado porque para poder ser puesto en marcha se necesita de la
ayuda de varios sistemas externos en diferentes áreas para operar distintos subprocesos del
sistema.
• Es dependiente debido a que el modo de operación depende directamente de lo ordenado
desde el ESE Hospital Cartagena de Indias.
h. Centralización y descentralización:
• Es un sistema descentralizado debido a que el núcleo de comando y decisión está
formado por varios subsistemas. En dicho caso el sistema no es tan dependiente, sino que puede
llegar a contar con subsistemas que actúan de reserva y que sólo se ponen en funcionamiento
cuando falla el sistema que debería actuar en dicho caso.
Por lo cual cuando falla el modo de asignación de citas por medio de lo digital, se lleva a cabo de
forma manual. Por otro lado el núcleo de decisión está formado por equipo administrativo y
supervisores de ESE hospital Cartagena de Indias.
i. Adaptabilidad:
• El modelo soporta cambios gracias a que está basado en la agilidad y acoplamiento a
procesos internacionales similares al propio, sin salirse de los requerimientos legales que exige el
lugar de uso.
j. Mantenibilidad:
• Es un sistema sostenible, puesto que varias entidades están constantemente supervisando
quienes ayudan a hacer el debido proceso de retroalimentación asegurándole su mejoría y
mantenibilidad cada vez más estable.
k. Estabilidad:
• Gracias a sus altos parámetros de seguridad el proceso es muy estable, además que
constantemente se verifica y corrige cualquier posible error. Aunque su estabilidad depende
directamente del hecho que la entidad ESE hospital Cartagena mantenga sus servicios y
convenios.
l. Armonía:
• Los niveles de compatibilidad del sistema con el medio ambiente es alto, debido a que se
asegura que la asignación de citas sea para personal local del barrio Torices.
m. Éxito:
• El éxito se puede considerar alto, debido a que este proceso está basado en procesos
anteriores del mismo tipo y se han corregido ya muchos errores, por lo cual se puede considerar
muy efectivo en cuanto a precisión de tiempos esperados, seguridad y conformidad por parte del
paciente.
• Podemos concluir que el programa ha logrado el éxito después de las siguientes acciones:
i. Finalización del proceso de verificación de derechos
ii. Confirmación que el paciente reside en el barrio Torices
iii. Asignación satisfactoria de cita al paciente que lo solicita.
2. Constitución social del puesto de salud
2.1 Razón social de la empresa
Centro médico SuSalud S.A
2.2 Historia
Distrito Turístico y Cultural de Cartagena de Indias según Acuerdo No 043 del 24 de
Diciembre de 1999, emanado del Honorable Concejo Distrital creó tres (3) Empresas Sociales
del Estado del primer nivel de atención. Estas empresas se denominaron: Centro médico SuSalud
S.A de Canapote, Centro médico SuSalud S.A de San Fernando y Centro médico SuSalud S.A de
La Esperanza, cuyo objeto social es la Prestación de Servicios de Salud, entendidos como
servicio público a cargo del Estado y como parte integrante del Sistema Local de Seguridad
Social en Salud.
Mediante un estudio técnico realizado por el Departamento Administrativo Distrital de Salud
arrojó como resultado que la existencia de estas tres (3) empresas ocasionaban mayores costos
administrativos que una (1) sola ESE, ya que con la creación de una nueva y única Empresa
Social del Estado del primer nivel de atención se disminuirían doce (12) miembros de Juntas
Directivas, dos (2) Gerencias, dos (2) Subgerencias Científicas, dos (2) Subgerencias
Administrativas, dos (2) Revisores Fiscales, dos (2) Asesores Jurídicos, dos (2) Almacenistas,
etc., lo cual permitiría un ajuste en el gasto de conformidad con los lineamientos establecidos en
la Ley 617 de 2000.
Igualmente, la existencia de una sola Empresa Social del Estado del primer nivel de atención
permitiría el favorecimiento de la libre escogencia de los usuarios de los servicios de salud y la
promoción de la calidad de estos. También, los procesos de referencia y contrarefencia de
pacientes, muestras y estudios quedarían simplificados con la consecuente disminución de
tiempo y costos administrativos. Así mismo, se facilitaría el ejercicio de las competencias y
responsabilidades asignadas por la Constitución y la ley al Departamento Administrativo
Distrital de Salud DADIS, en cuanto a la vigilancia y control.
Por último, se concluyó que con una sola Empresa Social del Estado se tendría un solo
Sistema de Información lo que permitiría la aplicación unificada de los Registros Individuales de
Prestación de Servicios- RIPS- e igualmente la obtención ágil y oportuna de la información para
la toma de decisiones tanto en la Empresa Social del Estado como para el Distrito en la
formulación y/o adecuación de políticas dentro del sector salud.
Como consecuencia de las anteriores consideraciones, el Alcalde Mayor del Distrito
Turístico y Cultural de Cartagena de Indias, mediante el Decreto 0421 del 29 de junio de 2001,
fusionó las Empresas Sociales del Estado creadas mediante el Acuerdo 043 del 24 de diciembre
de 1999 y creó una nueva empresa denominada “Centro médico SuSalud S.A”, la cual era
llamada anteriormente Hospital Local de la Esperanza.
La Centro médico SuSalud S.A constituye una categoría especial de entidad de derecho
público, descentralizada, del orden Distrital, con personería jurídica, patrimonio propio y
autonomía administrativa, adscrita al Departamento Administrativo Distrital de Salud –DADIS-
e integrante del Sistema General de Seguridad Social y sometida al régimen jurídico de la Ley
100, del Capítulo III, artículos 194, 195 y 196 y demás normatividad que los modifique,
adicionen, reformen, reglamenten o sustituyan. Se determinó que esta nueva empresa sería la
cabecera de la ESE y todas las demás Instituciones Prestadoras de Servicios del primer nivel de
atención de derecho público continuarían denominándose. Unidades Periféricas Asistenciales
UPA.
Las Unidades Periféricas Asistenciales de la Empresa Social del Estado Hospital Local
Cartagena de Indias están ubicadas en las zonas geográficas definidas así:
ZONA NORTE: La UPA Hospital Local de Canapote, UPA de la Boquilla, UPA de Daniel
Lemaitre, UPA San Pedro Libertad, UPA de Bayunca, UPAs de San Francisco I y II, UPA de
Fátima,UPAs de Tierra Bomba, Caño del Oro y Bocachica, UPA de Tierra Fuerte, UPA de Isla
del Rosario, UPAs de Barú y Santana, UPA de Manzanillo del Mar, UPA de Punta Canoa, UPA
de Arroyo de Piedra, UPA de Pontezuela, UPA de Arroyo Grande, UPA de Arroyo de las
Canoas, UPA de Punta Arena, UPA de Puerto Rey.
ZONA SURORIENTAL: El Hospital Local Cartagena de Indias, anteriormente denominado
Hospital Local de la Esperanza y cabecera de la ESE, UPA del Pozón, UPA La Magdalena, UPA
del Libano, UPA La Candelaria, UPA de Olaya Herrera, UPA de las Gaviotas, UPA Foco Rojo,
UPA de Fredonia, UPA de Boston, UPA de Ternera.
ZONA SUROCCIDENTAL: UPA Hospital Local de San Fernando, UPA del Nuevo Bosque,
UPA de El Bosque, UPA del Socorro, UPA Blas de Lezo, UPA de Arroz Barato, UPA de
Henequén, UPA de las Reinas, UPA de Albornoz, UPA de Los Cerros, UPA Escallón Villa,
UPA de Pasacaballos.
De esta forma es creada la EMPRESA SOCIAL DEL CENTRO MÉDICO SUSALUD S.A
mediante decreto número 0421 del 29 de Junio de 2001 expedido por el alcalde mayor de
Cartagena por facultades dadas por el honorable consejo Distrital mediante decreto 008 del 13 de
marzo del 2001 con categoría especial de entidad de derecho público , descentralizada, del orden
distrital, con personería jurídica , patrimonio propio y autonomía administrativa , adscrita al
departamento administrativo distrital de salud DADIS e integrante del sistema general de
seguridad social , sometida al régimen jurídico de la ley 100 de 1993. Esta Empresa Social del
Estado está conformada por 43 instituciones prestadoras de servicios de primer nivel de atención
de derecho público denominadas unidades periféricas de atención U.P.A, Ubicadas en las tres
localidades que conforman la división político administrativo de Cartagena.
El objeto de la Empresa Social del Estado Hospital Local Cartagena de Indias es la prestación
de los servicios de salud, entendidos como servicio público a cargo del estado y como parte
integrante del Sistema Local de Seguridad Social en Salud.
3.3 Definición filosófica Puesto de salud San Pedro (Cartagena y Bolívar)
3.3.1 Misión del Puesto de Salud
Somos una entidad prestadora de servicios integrales de salud de baja complejidad,
organizada en subredes que mediante procesos asistenciales y administrativos fundamentados en
políticas de humanización, seguridad y autocontrol, contribuye al mejoramiento de la calidad de
vida y bienestar de la población del Distrito de Cartagena.
3.3.2 Visión del Puesto de Salud
En el año 2022 Centro médico SuSalud S.A, será líder en la prestación de los servicios de
baja y mediana complejidad mediante procesos de optimización, centrados en la excelencia de la
atención al usuario, el respeto a la dignidad humana, cultura, innovación tecnología y el
autocontrol institucional.
3.3.3 Objetivos empresariales
1. Fortalecer los procesos de planeación y control de la gestión.
2. Racionalización y planificación de los recursos.
3. Maximizar la producción y venta de los servicios manteniendo altos niveles de calidad y
satisfacción de clientes y usuarios.
4. Formación de un equipo humano altamente calificado.
5. Rescate de la imagen y la credibilidad institucional.
6. Modelo de gestión.
7. Infraestructura física y tecnología.
8. Calidad del servicio: Implementar las políticas de humanización y seguridad en la atención
3.3.4 Objeto social
Nuestro propósito es prestar servicios de salud de baja complejidad, a través del desarrollo de
procesos implementados por un recurso humano actualizado y calificado, que trabajando
continuamente en la eficacia del sistema de gestión de la calidad busca satisfacer las necesidades
y expectativas razonables de los clientes centrados en la atención humanizada y segura.
3.4 Estructura orgánica (organigrama general)
3.5 Función Básica de desempeño
3.5.1 Servicios
Consulta medicina general: Capacidad Locativa y Dotación para 93 consultorios médicos,
ubicados según demanda de los CAP y UPA en su área de influencia; técnicamente dotados con
lo requerido.
Consulta Obstétrica y Pediátrica: Como apoyo a nuestros médicos generales contamos con
ginecobstetras y con los residentes de convenio docencia-servicios, con universidades de la
ciudad.
Atención de enfermería: Nuestros profesionales de enfermería, son personal especializado y
con experiencia para ejecutar las acciones administrativas, docentes, asistenciales e
investigativas, ubicados en cada uno de los centros de servicios auxiliares de enfermería,
entrenados en la atención de primer nivel.
Servicios:
• Administración de la atención en salud.
• Atención y consulta en PyP.
• Psicoprofilaxis del parto.
Promoción y prevención: En cumplimiento a la visión empresarial, enfatizamos la prestación del
servicio en cuatro grandes áreas y organizamos la población a atender, por grupos etéreos,
basados en la Resolución 0412 de 2000, y complementarios.
Servicios:
• Detección temprana.
• Protección específica.
• Atención a las enfermedades de interes en salud pública.
• Inducción a la demanda.
• Planificación familiar.
• Detección de alteraciones del embarazo.
• Control del crecimiento y desarrollo del menor de 5 años.
• PAI (vacunación).
• Atención de alteraciones cardiovasculares.
• Salud visual.
• Salud mental.
• Salud bucal.
• Atención médica de urgencia: 24 horas todo el año en nuestros 12 CAPs.
• Consulta médica de urgencias.
• Atención de enfermería.
• Servicios complementarios de urgencias (Laboratorio clínico, Rayos X.).
• Observación de urgencias.
3.5.2 Servicios complementarios
• Terapia respiratoria y física
A cargo de terapistas profesionales en el área encargados de servicios de:
• Fisioterapia.
• Nebulización en urgencias.
• Ejercicios respiratorios.
• Drenaje postural.
• Laboratorio clínico de baja complejidad
• Todos los centros de servicios cuentan con puestos para toma de muestras, para facilitar
la atención en urgencias; atendemos la demanda de los servicios que se generan en la UPA-CAP,
diariamente.
• Transporte Asistencial Básico (TAB)
• Movilización de pacientes estabilizados dentro del área urbana, rural y regional.
Imagenología
• Técnicos en radiología, médicos con reconocida trayectoria en el ejercicio profesional.
• Capacidad técnica instalada.
• Ecógrafos de última generación.
• Equipos de Rx.
• Centro diagnóstico por imágen.
• Ofrecemos todos los servicios de Rx de baja complejidad y ecografía obstética
Plan de desarrollo institucional en los anexos
3.6 Planteamiento del problema
3.6.1 Caso de estudio
Asignación de Citas en el puesto de salud de Torices sector San Pedro
El proceso empieza con la solicitud de una cita por parte de algún paciente, este debe
acercarse al puesto de salud entre las 7am y las 12am, allá un funcionario, por lo regular una
enfermera será quien lo atienda. La enfermera verifica que el paciente posea el derecho de
atención en esta sede, seguido de eso revisa el área de atención en que quiere ser atendido el
paciente, por último se le informa al paciente los datos de la cita asignada.
Áreas de atención:
• Medicina general
• Odontología
• Medicina PyP (Promoción y prevención)
• Citología
• Laboratorios
Para la verificación de derechos se consulta la EPS a la cual pertenece, para ratificar que se le
de atención a esta en la sede o se pide la carta de portabilidad que consiste en un acuerdo que se
hace con el ESE hospital Cartagena para atender personal de EPS ajena al convenio en la sede de
estudio.
Las EPSs u organizaciones de salud que tienen convenio con la sede son:
• Ambuq
• Cajacopi
• Caprecom
• Comfamiliar
• Comparta
• Coosalud
• Dadis
• Mutual ser
• Capital salud
Como apoyo para el manejo de asignación de citas se utiliza la plataforma virtual
HealthManager.
Luego de asignada las citas se da un recordatorio a veces impreso a veces manual que
contiene la siguiente información:
• Nombre del paciente
• Tipo de cita
• Médico o profesional asignado
• Fecha de la cita
• Hora de la cita
• Consultorio.
3.7 Justificación
La gestión de procesos en un centro médico constituye una problemática de sobresaliente
importancia para el sistema de salud de todo país, ya sea para una consulta a pediatría, pasando
por la receta de un medicamento hasta atender a un paciente por urgencias recién llegado en
ambulancia con el equipo de paramédicos y atención pre hospitalaria adecuado.
En el desarrollo de las tareas de los módulos que componen a una EPS o IPS representada en
un puesto de salud es complicada debido a factores humanos como incompetencia, negligencia y
corrupción desde portería hasta administración, desgraciadamente, la atención de pacientes es
una rutina que necesita ser depurado para lograr una calidad humana y la garantía de un servicio
integral.
Este proceso de auditoría general pretende realizar una serie de replanteamiento del
rendimiento de un servicio médico desde una perspectiva económica, porque los recursos pueden
ser distribuidos de una forma eficiente con más medicamentos para los distintos tipos de
patologías mediante cambios en el manejo de la caja. Una perspectiva tecnológica debido a que
se busca una sistematización robusta y eficiente que evite el uso de Excel para el manejo de
estadísticas, pedidos y facturas de productos farmacéuticos, sino que haga del sistema de
información “Salud_Services” un conjunto de módulos virtuales que ahorren tiempo en flujos de
trabajo entre los subsistemas, esto genera un cambio social debido a que los pacientes serían
mejor atendidos generando un ambiente con menos gente enferma y/o en el peor de los casos,
muerta.
Este proyecto busca ahondar en dos aspectos fundamentales como son la asignación de citas,
el estudio de estas busca comprender el flujo de rutinas entre la relación paciente-centro médico
para indagar alrededor de la temática y proponer soluciones que hagan la experiencia del cliente,
algo más cómodo; y la seguridad física, la integridad de cada parte de las instalaciones es
importante para que todo proceso de los módulos que componen el sistema que es el centro
médico se cumpla a cabalidad, para eso, hay reglas que deben cumplirse para que haya un estado
de estabilidad, por ejemplo, marcar zonas para urgencias, sitios estratégicos para extintores anti
incendio, etc.
Con el debido proceso de estudio se pueden conseguir resultados que pueden servir de
fundamentos para recomendaciones a seguir para otros centros médicos de la misma categoría en
un primer plano de análisis beneficiando a una población en su mayoría estrato cero, uno y dos,
que conforman el colombiano promedio que pasa necesidades en el ámbito social, económico y
humanitario de envergadura considerable.
Es por esto, que este proyecto de auditoría general pretende una mejor perspectiva de los
procedimientos modulares del centro médico SuSalud S.A. Con esto se pueden conseguir
cambios necesarios que sirvan para depuraciones venideras.
3.8 Objetivos del puesto de salud
1. Contribuir al desarrollo social del país mejorando la calidad de vida, y reduciendo la
morbilidad, la mortalidad, la incapacidad, el dolor y la angustia evitable en la población usuaria,
en la medida en que esto esté a su alcance.
2. Producir servicios de salud eficientes y efectivos que cumplan con las normas de calidad
establecidas, de acuerdo a la reglamentación que se expida para tal propósito.
3. Prestar los servicios de salud que la población requiera y que la empresa, de acuerdo con su
desarrollo y recursos disponibles, pueda ofrecer.
4. Garantizar, mediante un manejo gerencial adecuado, la rentabilidad social y financiera de la
empresa.
5. Ofrecer a las Entidades Promotoras de Salud y demás personas naturales o jurídicas que lo
demanden, servicios y paquetes de servicios a tarifas competitivas en el mercado.
6. Satisfacer los requerimientos del entorno, adecuando continuamente sus servicios y
funcionamiento.
7. Garantizar los mecanismos de participación ciudadana y comunitaria establecidos por la ley y
los reglamentos.
8. Prestar servicios de salud que satisfagan de manera óptima las necesidades y expectativas de la
población en relación con la promoción, el fomento y la conservación de la salud, y la
prevención, tratamiento y rehabilitación de la enfermedad.
9. Contribuir a la satisfacción de las necesidades esenciales y secundarias de salud de la
población usuaria, a través de acciones organizativas técnico – científicas, y técnico –
administrativas.
10. Desarrollar la estructura y capacidad operativa de la empresa mediante la aplicación de
principios y técnicas gerenciales que aseguren su supervivencia, crecimiento, calidad en la
utilización de sus recursos, capacidad competitiva en el mercado, y rentabilidad social y
financiera.
11. Contribuir a la formación del factor humano del sector salud.
12. Impulsar y desarrollar proyectos de investigación para mejorar la calidad en el servicio y la
gestión.
13. Promover la coordinación interinstitucional e intersectorial que permita un trabajo con fines
de impacto social.
4. Guía de Seguridad
4.1 Dominio
Políticas de seguridad
Objetivos:
Control:
Se deben revisar las prácticas de la Organización para la gestión de la seguridad de la
información y su implantación (por ej., objetivos de control, políticas, procesos y procedimientos
de seguridad) de forma independiente y a intervalos planificados o cuando se produzcan cambios
significativos para la seguridad de la información.
Recomendación: Utilizar Checklist de las diferentes áreas para mantener un control de las
personas autorizadas, equipos actualizados y asignar responsabilidades a las diferentes
situaciones presentadas.
4.2 Seguridad física
Áreas seguras:
- Las instalaciones para las asignaciones de citas (que es sistema de atención médica a los
paciente) deben ser ubicadas en zonas seguras y estar protegidas con las barreras de
seguridad y controles de entrada apropiados (como el acceso de personal no autorizado,
daño e interferencia)
- Los medios para la asignación de citas manejados por una secretaria que redacta e
imparte las citas deben tener todos los protocolos necesarios para mantener todos los
documentos en orden y en buen cuidado
- Los empleados solo deben acceder y salir de las instalaciones en el horario establecido,
las acciones de entrada y salida deben ser registradas, exigiendo una identificación
visible.
- La oficina donde labora la secretaria de atención para el recaudo de información,
procesamiento de citas y envió de estas deben ser discretos, mostrando el señalamiento
mínimo de su función.
Seguridad del equipamiento y muebles:
- Los equipos utilizados deben ser protegidos contra fallas o interrupciones en los servicios
de asignación de citas de manera digital para la ejecución de estos procesos de registros.
- Verificar que la ubicación de los equipos utilizados en del departamento de asignación de
citas no se encuentren amenazados por factores como robo, fuego, agua, interferencias
electromagnéticas, picos de voltaje, y amenazas naturales.
- Verificar que los muebles o enceres del departamento de asignación de citas estén en
buen estado (como las sillas de espera de los pacientes) con el fin de mantener una buena
presentación y atención de calidad.
- El mantenimiento de los equipos debe ser registrado mediante reportes, considerando
normas de control de acceso a usuarios no autorizados y las políticas de seguridad
establecidas.
5. Análisis de riesgos
5.1 Escenarios de riesgos
El escenario de riesgo es el área física del departamento de asignación de citas donde no se
puede dar su normal ejecución (seguridad física).
5.2 Descripción de los procesos
Este sistema consta de los siguientes subprocesos de seguridad física:
Seguridad de asignación de citas: Verificación de protocolos de redacción de asignación de las
citas médicas y su relación con los demás departamentos y personal que llega a la recepción,
normas a seguir con las citas previamente apartadas, normas, prevención y control para evitar el
fraude de citas médicas falsas.
5.3 Priorización de procesos
Seguridad de asignación de citas:
- El recepcionista encargado debe atender con prioridad las citas médicas apartadas
- Para la rápida asignación de citas deben haber diferentes formatos para remitir a médicos
generales o especialistas.
- El recepcionista encargado debe tener registro de la base de datos de las citas.
- Los departamentos que remitan a pacientes para citas se deben atender dependiendo el
grado de importancia que estos provean.
- Tener formatos únicos para la identificación de las citas médicas para evitar fraudes e
ingresos no autorizados.
- Asignación de turnos para expedición de citas.
- Después de una cita médica, el médico que atendió al paciente debe notificar de que se
realizó su cita con éxito y cierra historia clínica de forma manual o digital.
- Mantener siempre en la recepción con materiales para necesidades relacionadas con las
citas médicas
5.4 Priorización de procesos de cada área
Seguridad de asignación de citas:
- Para la elaboración de una cita médica el paciente debe estar asociado con una entidad de
salud (EPS) para su atención.
- Asignación de turno por orden de llegada en la recepción, sin excepción alguna.
- Servicio de atención médica particular.
- Se verifica que el paciente este registrado en la base de datos para asignarle la cita.
- Si es un equipo es utilizado para el registro de las citas y verificación de estas se debe
tener en cuenta lo siguiente:
a) Verificar la identidad del personal encargado.
b) Verificar que este ubicado en el lugar asignado dentro de las instalaciones.
5.5 Descripción de los escenarios de riesgo
- Área física de asignación de citas (departamento de citas)
- Recursos humanos para control y asignación de citas
- Medios, mecanismos y equipos para administración de datos (hardware, software, BD,
cableado, medios de comunicación)
- Clasificación y designación de clientes
5.6 Riesgos inherentes al escenario
- Perdida de la información
- Perdida de equipos por robos
- Daño y destrucción de equipos
- Credibilidad pública
5.7 Diagramas de flujo
Actividad: Infraestructura física
Inicio
Determinación de requerimientos de
infraestructura física
Puntos críticos:
Procesos con poco riesgo.
Procesos con posible riesgo.
5.7.1 Áreas de impacto
Las áreas de impacto más propensas en los procesos son:
Equipos de computoInfraestructura físicaAlgunos funcionarios del departamento (recepcionista y auxiliar)conectividad al servidor para el uso de la base de datos de citas medicasAsignación de turnos en la cola de espera de los pacientes
redacción y verificación de citas medicas.
Fin
¿Se compra?
Se tramita la obtención del
edificio
Contratación Empresa
Constructora o proveedores
¿Se remodela
SiNo
No
Si
Se usa infraestructura
actual
Medidas de seguridad para
ampliar el edificio
5.8 Análisis de riesgos según los procesos dados
Proceso: Seguridad física para la asignación de citas
Causas de riesgo Amenazas Riesgo Controles
existentes
Controles
propuestos
- Fallas en la
asignación de citas
- Atraso total o parcial
de las citas medicas
- Largos intervalos de
tiempo en la
asignación de citas
-Demoras en
asignación de
citas
- Pérdida de
imagen o
credibilidad
publica por
mala
atención
- Acciones
legales en
contra de la
empresa por
fallas en su
servicio.
- Pérdida de
clientes
- Respaldos
en físico y
digital de
las citas
asignadas
- Disponer de
herramienta
s y
materiales
durante la
asignación
de citas.
- Mantener la
base de
datos digital
actualizada
- Persona
auxiliar
en la
elaboraci
ón de las
citas
para
verificar
la
informac
ión
- Asignar
más
puestos
de
trabajo.
- Asignar
turnos
mediante
tiquetes
ordenado
s.
- Interrupción del
sistema debido a
fallas eléctricas.
- Desastres
o
sabotajes
- Uso
indebido
de
equipos.
- Mala
ubicación
de los
equipos de
computo
- Elementos
perjudicial
es para los
equipos
(comidas,
imanes,
- Daño y
perdida de
equipos
- Pérdida de
datos
- Interrupción
del negocio
total o
parcial
- Uso de una
UPS
- Verificació
n de las
normas para
la seguridad
de los
equipos
- Adquirir
e instalar
una
planta
eléctrica.
etc)
- Personal sin
experiencia
- Errores en la
asignación de las
citas de los pacientes
- Trasposición de citas
entre clientes
- Errores y
omisiones
- Perdida de
credibilidad
pública
- Exceso de
costos
- Capacitació
n de
personal
- Manual de
operaciones
- Asignar
citas con
confirmació
n de
nombre y
documento
de identidad
- Sistema
software
para
asignació
n más
rápido
las citas.
- Historial
de citas
de los
pacientes
- Control
de citas
- Registros en la base
de datos con
información
incompleta o errada
- Paciente no
registrado en la base
de datos
- Error en la
asignación
de cita
-Errores y
omisiones
- Pérdida de
datos.
-Pérdida de
credibilidad
pública
- Verificació
n de
información
de los
pacientes y
médicos
asignados
- Comprobaci
- Personal médico no
registro en la base de
datos
- Inconsistencias en
la asignación de
médicos a las citas
ón de datos
al momento
de digitar la
información
.
- Tránsito de clientes
en el área
- Acceso de
personal
no
autorizado
- Desorden
en el
departame
nto
- Perdida de
activos o
robo
- Vigilantes
para la
organizació
n de los
clientes que
llegan
- Número de
sillas
suficientes
para la
atención
por turnos
- Ampliar
zona de
asignació
n de citas
en caso
que esta
sea
pequeña
6. Costos y presupuesto
Nombre Marca Descripción Precio Unidades Total
Computador
de mesa
Hp pavilon
M2515
Manejo de
citas medicas
digitales
$700.000 3 $2’100.000
UPS
reguladora de
voltaje
Magom Protección de
equipos
$100.000 3 $300.000
Conexión a
internet 20
MB
Empresa
UNE
Comunicación
del
departamento
de citas con
otra sede de la
entidad
$200.000 1 $200.000
Sistema de
video
vigilancia
Empresa
vimarco
Seguridad del
departamento
$1’500.000 1 servicio
(incluye
varias
cámaras de
seguridad)
$1’500.000
Capacitación
y
actualización
Empresa
mejor
desempeño
Actualización
de personal
para mejorar
2’000.000 1 $2’000.000
de personal LTDA un mejor
servicio al
departamento
Infraestructura
necesaria para
los equipos de
computo
Muebles
jamar
Normas de
ubicación
correcta de los
equipos
$150.000 3 $450.000
Material de
respaldo de
papelería
Papelería
toro Ltda.
Respaldo
adicional de
material para
la asignación
de citas en
caso de error
$500.000 1 $500.000
Karpersky
small office
security
Karpersky
labs
Para evitar
software
malicioso en
la base de
datos
$270.000 1 $270.000
Personal
auxiliar
Recursos
humanos
Persona
auxiliar para
el apoyo y
verificación
de las citas
$800.000 1 $800.000
medicas
Cámara de
seguridad
interiores
domo
Exmor
Truvision
Cámara de
vigilancia
dentro de
instalaciones
$69.000 2 $138.000
Cámara de
seguridad
exterior
Sony Effio Cámara de
vigilancia
exterior
instalaciones
$114.000 2 $228.000
DVR 8
canales
Hikvision Conecta
cámaras de
seguridad ,
controla sus
funciones y
ver
grabaciones
$158.000 1 $158.000
Cable UTP
nivel 5
Systimax Cableado
estructurado
para mantener
cámaras
conectadas a
DVR y
equipos de
$750 (por
metro)
400
(metros)
$300.000
cómputo en
red
Conector
RJ45
Adalah Mantener
equipos
conectados
entre sí
$1.000 14 $14.000
Video Balún
300/600
Csvideo Permite
conectar
componentes
en un cable y
mantener
integridad de
señal
$5.000 2 $10.000
Disco duro
interno 1 Tb
Toshiba Almacenar
información
de video del
DVR
$160.000 1 $160.000
Central de
alarma
PowerSeries Sistema de
detección de
humo de fácil
control y
configuración
$420.000 1 $420.000
Vigilancia Vimarco Servicio de $1’250.000 3 $3’750.000
seguridad
contratada
Software
control
médico
Jagarmedical Sistema de
control de
citas y
actividades
médicas
$500.000 3 $1’500.000
Costeo de los controles:
Nombre del control Descripción Valor del control
Respaldo físico y digital de
los datos
Necesidad de respaldo físico
de las citas previamente
asignadas en caso de
pérdida o daño del
documento de verificación,
el respaldo puede ser en otro
documento físico y digital
Precio para el control:
$200.000
Mantenimiento del software
y hardware donde se
almacena la base de datos
Mantenimiento de equipos
de cómputo, de servidores y
la integridad de la base de
datos digital para su
correcto funcionamiento y
evitar la pérdida de datos e
Precio del control: $
100.000
ineficiencia
Sistema de tiquetes de
espera para la asignación de
citas
Sistema de delegación de
tiquetes, para cuando llegue
una persona guarde su turno
y no genere desorden en el
departamento.
Precio del control:
$300.000
Control de flujo eléctrico
continúo para hardware de
asignación de citas.
Unidad de potencia
ininterrumpida para apoyar
el sistema eléctrico durante
15-30 minutos durante caída
eléctrica.
Costo del control: $250.000
Capacitación de personal de
trabajo en uso de
herramientas de asignación
de citas y atención a
clientes.
Capacitación de personal
necesario para el trabajo del
departamento y de ejecución
de protocolos de seguridad
en los procesos
Costo del control:
$1’000.000
Capacitación de personal
relacionado con la seguridad
física en el área.
Capacitación de personal de
seguridad para la integridad
de la seguridad en el
departamento de asignación
de citas (cuidado del
personal y protocolos de
seguridad)
Costo del control:
$1’200.000
7. Matriz Delphi
7.1 Dominio: seguridad física
Componentes: instalaciones físicas, seguridad física, asignación citas, muebles y enceres, recurso humano, equipos y electrodomésticos.
Matriz de componentes:
seguridad seguridad
física física
Asignación 0 Asignación
citas 3 citas
muebles y 3 3 muebles y
enceres 0 0 enceres
recursos 1 3 1 recursos
humano 2 0 2 humano
Instalac. 2 2 3 1 Instalac.
Físicas 1 1 0 2 Físicas
equipos y 2 3 1 3 2 equipos y
electrónicos 1 0 2 0 1 electrónico
Asignación de citas: 14
seguridad física: 8
recurso humano: 8
instalaciones físicas: 6
muebles y enceres: 5
equipos y electrodomésticos: 4
7.2 Matriz de amenazas
Componentes: fallas en la seguridad, daño de equipos, errores y omisiones, acceso no autorizado,
fraude y sabotajes, perdida de datos.
Fraude y Fraude y
Sabotaje Sabotaje
daño de 2 daño de
Equipos 1 Equipos
errores y 2 1 errores y
omisiones 1 2 omisiones
Acceso no 1 2 1 Acceso no
autorizado 2 1 2 autorizado
Perdida de 1 2 2 2 Perdida de
datos 2 1 1 1 datos
Fallas en la 0 2 2 1 0 Fallas en la
Seguridad 3 1 1 2 3 Seguridad
Fallas en la seguridad: 10
daño de equipos: 8
errores y omisiones: 8
acceso no autorizado: 8
Fraude y sabotajes: 6
perdida de datos: 5
7.3 Matriz ponderada:
Fallas en la
seguridad
(10)
Daño de
equipos
(8)
Errores y
omisiones
(8)
Acceso no
autorizados(8)
Fraude y
sabotaje(7)
Perdida
de
datos
(5)
asignación
de citas(14)
6,91
5,53
5,53 5,53 2,05
1
,37
seguridad
física(8)
3,95
3,16
3,16 3,16 1,17
0
,78
recurso
humano(8)
3,95
3,16
3,16 3,16 1,17
0
,78
instalaciones
físicas(6)
2,96
2,37
2,37 2,37 0,88
0
,59
muebles y
enceres(5)
2,47
1,98
1,98 1,98 0,73
0
,49
asignación
de citas(14)
1,98
1,58
1,58 1,58 0,59
0
,39
Total 2
2,22
1
7,78
17,78 17,78 6,58
4
,39
Alto riesgo > 5.0%
Mediano riesgo entre 1.33% y 5.0%
Bajo riesgo < 1.33%
Nota: Cálculos de matriz Delphi en carpeta anexos, archivo llamado matriz delphi.xls
7.4 Lista de controles
Amenaza
s
Control
existente
Control
sugerido
Descripción funcionamient
o
Calificación
(N,R,1,2,3,4,5
)
Fallas en
la
seguridad
Vigilantes
del
departament
o
Cubrir la falta de
seguridad que
puede existir en el
departamento,
incluyendo
procesos
Ubicación de
personal de
vigilancia en
sitios
estratégicos en
el departamento
Creación de
permisos
5
administrativos
para el acceso a
documentos
Usuario
registrado
previamente
para el acceso a
la base de datos
Protocolos
de permisos
de entrada en
el
departament
o
Carné de
verificació
n de
trabajador
Entrada al
departamento de
asignación de citas
con normas de
verificación de
personal
Se verifica la
identificación
del trabajador
en sistema para
comprobar que
está en lista,
luego se pasa el
carné en un
escáner de
código de
barras para el
registro de su
asistencia y
entra.
4
Cámara de Circuito En caso de hurto o Se ubican 4
vigilancia cerrado de
televisión
posible hurto, se
debe quedar
registrado quien
fue el culpable del
acto
cámaras de
seguridad en el
departamento y
sensores de
alarmas para el
reconocimiento
de robos por
parte de
terceros
Daño de
equipos
Control de
flujo
eléctrico
Prevención de
subidas y caídas
de voltaje para
evitar el daño de
los aparatos
electrónicos
Luego de
instalar todos
los equipos
electrónicos en
el departamento
se proceden a
realizar pruebas
de voltaje con
la ayuda de
técnicos
expertos en el
tema, al ver que
todo está bien,
se le instalan
4
reguladores de
voltaje para
evitar el daño
de los equipos
Instalaciones
de redes
seguras de
internet
Se deberá instalar
redes seguras de
internet en el
departamento para
poder alojar las
citas en un
repositorio de
datos confiable e
inclusive el
usuario pueda
Al instalar los
computadores,
el cableado de
redes y los
equipos
respectivos en
la
infraestructura
del
departamento,
se configuran
los equipos para
el correcto
funcionamiento
de las redes y
segura conexión
a internet
4
Verificación
de malware
Se deberá buscar
en los equipos de
Se contratan
especialistas del
3
y errores en
el software
de citas y
base de datos
cómputo malware
o
malfuncionamient
o en el software de
asignación de citas
software para
pruebas del
aplicativo y
además de
búsqueda del
malware en el
equipo
Errores y
omisiones
Respaldos en
físico y
digital de las
citas
asignadas
Se deben realizar
diariamente
respaldos de las
citas médicas para
tener copias de
respaldos y tener
certeza de que se
realizan todos los
procesos bien y de
manera
transparente.
Para las citas en
físico de deberá
sacar copia
inmediata luego
de haberla
llenado con los
datos del
paciente y de la
cita.
para las citas en
digital se
deberá registrar
al tiempo que se
redacta la
citación en
físico y
4
verificar con un
auxiliar si todos
los datos están
bien digitados
Mantener la
base de datos
digital
actualizada
Se debe tener la
base de datos
digitales
actualizada para
poder verificar de
manera rápida las
citas pendientes
del dia y además
de llevar un
registro de las
citas realizadas en
el departamento
Primero
después de
verificar la
identidad del
usuario del PC,
se procede
junto con varios
auxiliares a
digitar las citas
que se crean en
el dia y tener
registro digital
de estas
3
Asignación
de personal
extra o
auxiliar para
evitar errores
en algunos
En caso que
existan muchos
errores en la
digitación o
escritura de citas,
se deberá contratar
Para contratar
más personal se
deberá verificar
cuales son los
procesos con
mas errores y
5
procesos más personal para
el control de
eficiencia de las
citas
asignar
mediante
ofertas de
empleo a nuevo
personal
Acceso no
autorizado
Numero de
sillas
suficientes
para la
atención por
turnos
Alto número de
sillas para cuando
este muy lleno el
departamento,
poder tener a los
pacientes sentados
en orden
esperando su turno
Se ubican las
sillas
uniformemente
cerca a la
recepción para
el control de
llegada y
salidas de las
personas
4
Ampliación
zona de
asignación
de citas para
evitar
combinar
personal no
autorizado
En caso que se
crezca la demanda
de más personas
se deberá ampliar
más el espacio del
departamento para
satisfacer la
necesidad
Al llevar el
registro de
asistencia se
verifica que la
cantidad de
personas supere
la capacidad
normal del
departamento y
3
se realizan
cartas con
permisos para
realizar un
remodelamiento
o ampliación en
este
Protocolos
de
verificación
de entrada y
salida
La entrada y salida
de personas se
deben verificar
siempre para
poder llevar un
registro de las
acciones de los
trabajadores
Se procede a
verificar la
identificación
de los
trabajadores de
manera manual
y digital
utilizando
escáneres de
código de barra
y tomando
asistencia de su
entrada y salida
respectivamente
(todas sus
acciones)
4
7.5 Cubrimiento del control
Nombre Porcentaje de cubrimiento del control
Grado de riesgo Controles en el rango Toma de decisiones
Fallas en la seguridad:
65% 35% 10.00 - 39.99 Los controles son suficientes
El control cumple con los requisitos para serutilizados
Daño de equipos
73.3% 26.6% 10.00 - 39.99 Los controles son suficientes
El control cumple con los requisitos para serutilizados
Errores y omisiones:
80% 20% 10.00 - 39.99 Los controles son suficientes
El control cumple con los requisitos para serutilizados
Acceso no autorizado:
73.3% 26.6% 10.00 - 39.99 Los controles son suficientes
El control cumple con los requisitos para ser utilizados
8. Plan de auditoria
8.1 Objetivos de la auditoria La auditoría en sistemas aplicada al departamento de asignación de citas en la clínica
SuSalud S.A es velar por el correcto funcionamiento de los procesos dados en dicho
departamento de citas médicas, como evitar riesgos en los procesos sistemáticos y protocolarios
que predominan en este, además de eso prevenir errores o amenazas mediante el refuerzo de
controles existentes que rigen en la empresa conllevando a una armonía en los procesos y
trabajos del departamento.
8.2 AlcanceLa auditoría en sistemas se realizara en la clínica SuSalud S.A y más específicamente en
el departamento de asignación de citas de la entidad donde se llevan todos los procesos
necesarios para su funcionamiento.
8.3 ProcedimientosPara el correcto entendimiento de los procesos que se llevan a cabo en la clínica SuSalud
S.A se debe tener seguimiento a todos los procesos importantes que este maneja, como los
pacientes que llegan al departamento, la creación de las citas médicas en físico y digitales, los
protocolos de verificación de identidad de personal, la remisión de los pacientes a las citas
médicas y la seguridad física del departamento, todo estos procesos de describiran con el fin de
aplicar todas las normas y componentes que rigen en la auditoria.
8.4 RecursosEntre los recursos utilizados para la auditoria de sistemas esta la teoría general de
sistemas para la descripción de todos los procesos, la norma ISO 17990 – 2005 para la aplicación
de normas de seguridad, el análisis de riesgos para verificar los procesos críticos en el
departamento, la matriz Delphi para encontrar los controles mas adecuados para el departamento
y por ultimo el modelo de auditoria donde se detallan informes de los resultados y prevenciones
que se le realizo al departamento de asignación de citas médicas.
8.5 Elaboración de listas de chequeo
CONCEPTO CONFORME OBSERVACION
SI NO
¿Se verificó que los trabajadores tengan su identificación?¿Se verificaron las listas de participación en las capacitaciones de personal en área de trabajo realizadas al personal?¿Se verificaron las listas de participación en las capacitaciones relacionados con la seguridad física?Verifique que el personal este identificado de acuerdo con la asignación y el cargo que está ocupando.¿Se verificaron el estado de las cámaras del sistema de video vigilancia?¿Se verificó que las instalaciones tengan servicio de aire acondicionado suficiente?¿Se verificó que el papel del turnador sea suficiente para asignar turnos mensualmente?Verificar que el software este parametrizado para asignar citas médicas.¿Se verificó que el sistema de sensor de humos este funcional?¿Se verificó que las instalaciones cuentan con los elementos necesarios para la instalación de equipos (escritorios, conexiones eléctricas, conexiones para red, PCs, y otros)?¿Se verificó que la infraestructura física de las instalaciones es adecuada en cuanto a su
distribución?¿Se verificó que los equipos de cómputo están en óptimas condiciones?¿Se verificó que la infraestructura física de las instalaciones cumple con las normas de cableado?Verifique el sistema eléctrico según las normas de la IEEE.Verifique la certificación de las líneas telefónicas utilizadas cumplen con las normas establecidas (preferiblemente nuevas) de parte de la empresa contratada para prestar el servicio.Verificar que los medios utilizados para transmisión y recepción de la información, estén instalados correctamente (lejos de humedad, luz solar, interferencias electromagnéticas, y roedores cerca de conexiones eléctricas).Verifique la existencia de al menos una UPS de gran capacidad por red eléctrica de cómputo.Verifique la existencia de copias de respaldo de la base de datos de citas médicas en físico y en digital.Verificar que haya una cantidad suficiente de sillas para la espera de turnos de los pacientes
Anexos
Anexo 1. Evidencia factura cotización