Está en la página 1de 63

Evaluación periódica de sistemas

informatizados, auditorías

Mayte Garrote Gallego


CTO, Oqotech
@Mayte Garrote Gallego
Índice

Entorno
1. 2. Objetivos, factores de riesgo
Regulatorio y estrategia.

Revisión periódica del Revisión periódica de los


3. 4.
estado de la validación de proveedores de servicio
Sistemas Informatizados tecnológico

Revisión periódica del


5.
cumplimiento de la
integridad de datos

4 Evaluación periódica de sistemas informatizados, auditorías.


Entorno Regulatorio
Normativas y guías aplicables.

AEMPS – https://www.aemps.gob.es/industria-farmaceutica/guia-de-normas-de-correcta-fabricacion/
• Anexo 11, Sistemas informatizados.
• Capítulo 9, Autoinspección.
• Anexo 15, Cualificación y Validación.
• Capítulo 4, Documentación
• ICH guideline Q9 on quality risk management
PIC/S –https://www.picscheme.org/en/publications?tri=all#selSection_Guidance%20documents
• PI-011-3, Good practices for computerized systems in regulated GxP environments.
ISPE – https://ispe.org
• GAMP5, A Risk-Based Approach to Compliant GxP Computerized Systems.
• Good Practice Guide, A Risk-Based Approach to Testing of GxP Systems.
• Records and Data Integrity GUIDE
• Good Practice Guide. Data Integrity – Key Concepts
FDA – https://www.accessdata.fda.gov/scripts/cdrh/cfdocs/cfcfr/CFRSearch.cfm?CFRPart=11
• 21 CFR Part 11, Electronic Records; Electronic Signatures — Scope and Application
AENOR – https://www.aenor.com/certificacion/tecnologias-de-la-informacion/seguridad-informacion
• ISO 27001, Sistemas de gestión de la seguridad de la información.

5 Evaluación periódica de sistemas informatizados, auditorías.


Principio GxP
Capítulo 9, Autoinspección

Principio
Será necesario realizar autoinspecciones para comprobar el grado de aplicación y cumplimiento de las NCF y proponer las
necesarias medidas correctoras.
9.1 Los siguientes aspectos tendrán que examinarse periódicamente siguiendo un programa preestablecido para verificar su
conformidad con los principios de Garantía de Calidad: asuntos de personal, locales, equipos, documentación, producción,
control de calidad, distribución de medicamentos, medidas de tratamiento de reclamaciones y retiradas de productos y
autoinspección.
9.2 Las autoinspecciones tendrán que ser realizadas de forma independiente y pormenorizada por una persona o personas
competentes nombradas a tal efecto por la empresa. También pueden ser útiles las inspecciones independientes realizadas
por expertos ajenos a la empresa.
9.3 Todas las autoinspecciones deberán quedar registradas. Los informes incluirán todas les observaciones realizadas
durante las inspecciones y, en su caso, las propuestas de medidas correctoras. También quedarán registradas las
declaraciones sobre las actividades emprendidas como consecuencia de la autoinspección.

6 Evaluación periódica de sistemas informatizados, auditorías.


Principio GxP
Anexo 11, Sistemas Informatizados

11. Evaluación periódica


Los sistemas informatizados deben evaluarse periódicamente para confirmar que se mantienen en un estado válido y que
cumplen con las NCF. Estas evaluaciones deben incluir, cuando proceda, el alcance actual de funcionalidades, registros de
desviaciones, incidentes, problemas, historial de actualizaciones, rendimiento del sistema, fiabilidad, seguridad e informes
de estado de la validación.

7 Evaluación periódica de sistemas informatizados, auditorías.


Objetivos

Las revisiones periódicas se realizan durante la vida operativa del sistema informatizado con el fin de verificar:

• Cumplimiento requisitos reglamentarios


• Apto para el uso previsto
• Cumplimiento de las políticas y procedimientos de la compañía
• Los procesos de soporte y mantenimientos requeridos implantados y en uso
• Validaciones y cualificaciones establecidas y actualizadas

8 Evaluación periódica de sistemas informatizados, auditorías.


Factores de riesgo

Las variables que pueden afectar al estado de control son las siguientes:

• Sistemas de gestión de procesos


• Infraestructura informática
• Equipos
• Transferencia de información
• Datos
• Proveedores de servicio tecnológico

• Equipo de validación
• Documentación: procedimientos y registros

9 Evaluación periódica de sistemas informatizados, auditorías.


Estrategia

El plan maestro de validación de sistemas informatizados debe contemplar el proceso de revisión periódica.
Debe definir procedimientos, normas de calidad y criterios de aceptación para la planificación, ejecución y
seguimiento de las acciones correctoras asociadas.

Esta actividad debe estar integrada en el procedimiento de auditoría interna de la organización.

Tipos de auditoría:

DI

Auditoría interna del estado Auditoría a proveedores de Auditoría de cumplimiento


de la validación de los servicio críticos de integridad de datos.
Sistemas Informatizados Regla ALCOA+

10 Evaluación periódica de sistemas informatizados, auditorías.


Auditoría Interna del estado
de la Validación de los
Sistemas Informatizados
Definición de las revisiones periódicas, auditorías
Estrategia

Control de los Establecimiento Definición de la Preparación de la Ejecución revisión Documentar Definición


Sistemas de la periodicidad política de revisión resultados medidas
Informatizados de revisión auditoría obtenidos correctoras
existentes

Equipo de auditoría

12 Evaluación periódica de sistemas informatizados, auditorías.


Definición de las revisiones periódicas, auditorías
Estrategia

Control de los Establecimiento Definición de la Preparación de la Ejecución revisión Documentar Definición


Sistemas de la periodicidad política de revisión resultados medidas
Informatizados de revisión auditoría obtenidos correctoras
existentes

Equipo de auditoría

13 Evaluación periódica de sistemas informatizados, auditorías.


Responsabilidades

• Es responsabilidad del equipo de validación asegurar que se programen, realicen y


documenten las revisiones periódicas de los sistemas informatizados.
• El diseño, ejecución y análisis de la auditoría se debe realizar teniendo en cuenta los
diferentes factores que pueden afectar al uso previsto del sistema pudiendo intervenir
Equipo de auditoría diferentes especialistas para su correcta evaluación: procesos, software, infraestructura
informática y sistema de calidad.

14 Evaluación periódica de sistemas informatizados, auditorías.


Definición de las revisiones periódicas, auditorías
Estrategia

Control de los Establecimiento Definición de la Preparación de la Ejecución revisión Documentar Definición


Sistemas de la periodicidad política de revisión resultados medidas
Informatizados de revisión auditoría obtenidos correctoras
existentes

Equipo de auditoría

15 Evaluación periódica de sistemas informatizados, auditorías.


Control de los SI existentes

• Codificación y nombre del sistema informatizado.


• Situación conforme al PMV (validado, en proceso de
validación, retirado en proceso de archivo..).
• Vínculo a cada ficha del sistema informatizado.

Inventario • Responsable.
Plan Maestro de general SI
Validación de Sistemas • Proceso.
Informatizados
• Identificación SI: software, hardware y parte industrial.
• Proveedor de servicios.
• Documentación disponible.
Ficha por SI

Análisis de riesgos para establecer la


criticidad de los sistemas informatizados
16 Evaluación periódica de sistemas informatizados, auditorías.
Control de los SI existentes
Alcance, sistemas informatizados:
• En uso
• Retirados en proceso de archivo
• En proceso de selección

Enfoque basado en el riesgo:


• Participación en el proceso como parte de las actividades reguladas. (por ejemplo, aprovisionamiento de materias
primas y materiales de acondicionamiento, almacenamiento, producción, distribución, control de calidad, garantía
de la calidad y/o mantenimiento)
• Categoría según GAMP5.
• Prioridad del dato o resultado. Clasificación de registro según el impacto GxP.
• Impacto del fallo en registros o atributos de calidad. Afectación en la trazabilidad o requisito GxP.
• Servicio del proveedor tecnológico. Documentación aportada como soporte a la validación y acuerdo de calidad del
de servicio.

17 Evaluación periódica de sistemas informatizados, auditorías.


Control de los SI existentes
Gestión de riesgos en la fase de estrategia de la validación.

Participación en el (P)roceso como parte de las (I)mpacto del fallo en registros y atributos de Acuerdo de (C)alidad del proveedor de Documentación aportada por el proveedor de
Categoría (G)AMP 5 Prioridad del (D)ato/resultado.
actividades reguladas. calidad. servicios (S)ervicios tecnológicos.

3: Registros de estabilidades de asignación de caducidades,


3: Afecta a datos críticos del registro y 3: Ausencia de acuerdo de calidad con
3: El sistema interviene en el proceso 3: Categoría 5. El sistema informatizado se ha desarrollado a producto final, liberación de lotes, resultados analíticos de
afecta gravemente a uno o varios proveedor de servicios. Sin posibilidad No aplica
directamente. medida según las necesidades del cliente. validación, control en proceso de productos con liberación
compromisos GMP. de auditar servicio.
paramétrica.

AR
2: Categoría 4. El sistema informatizado en ocasiones muy
2: Registros de equipos relacionados con productos intermedios,
complejo debe ser configurado por el usuario para satisfacer 2: Ausencia de acuerdo de calidad con
2: El sistema interviene en el proceso, pero de materiales de partida, materiales de acondicionamiento, 2: Afectación a varios datos del registro o 2: El proveedor no tiene ni aporta documentación
las necesidades específicas del proceso a gestionar. El proveedor de servicios. con posibilidad
forma indirecta. primario, cualificaciones y registros GMP de equipos donde se atributos de calidad, pero a ninguno crítico. soporte para la validación.
equipo y sistema no son modificados respecto al estándar de auditar servicio.
almacena producto terminado.
aportado por el fabricante.

1: Categoría 3. El sistema informatizado asociado no 1: Registros GMP mostrados por los equipos cuya importancia no 1: existencia de un acuerdo de calidad
1: No existe afectación al resultado final ni 1: El proveedor tiene y aporta aporta
1: El sistema no interviene en el proceso. requiere de una configuración para adaptarse al proceso que se relaciona con productos finales ni intermedios. firmado con proveedor de servicios.
a la trazabilidad. documentación soporte para la validación.
deben ejecutar. con posibilidad de auditar servicio.

18 Evaluación periódica de sistemas informatizados, auditorías.


Definición de las revisiones periódicas, auditorías
Estrategia

Control de los Establecimiento Definición de la Preparación de la Ejecución revisión Documentar Definición


Sistemas de la periodicidad política de revisión resultados medidas
Informatizados de revisión auditoría obtenidos correctoras
existentes

Equipo de auditoría

19 Evaluación periódica de sistemas informatizados, auditorías.


Establecimiento de la periodicidad de la revisión

La periodicidad de las revisiones debe definirse con un enfoque basado en riesgos.

Los métodos aceptables de definición de la periodicidad incluyen:


• La revisión y análisis regular del inventario de sistemas informatizados.
• Un proceso de decisión basado en eventos específicos, planificados o no planificados.
• Un proceso de decisión basado en el número de solicitudes de cambio del sistema.

Cualquiera que sea el método, o combinación de métodos, elegido, el proceso debe ser documentado y aprobado.

20 Evaluación periódica de sistemas informatizados, auditorías.


Definición de las revisiones periódicas, auditorías
Estrategia

Control de los Establecimiento Definición de la Preparación de la Ejecución revisión Documentar Definición


Sistemas de la periodicidad política de revisión resultados medidas
Informatizados de revisión auditoría obtenidos correctoras
existentes

Equipo de auditoría

21 Evaluación periódica de sistemas informatizados, auditorías.


Definición de la auditoría

El plan maestro de validación de sistemas informatizados debe contemplar el proceso de revisión periódica.
• El proceso de revisión periódica debe ser genérico y aplicable a todos los sistemas informatizados.
• La profundidad y el rigor de la revisión deben basarse en el impacto del sistema informatizado o el incidente que
desencadena la revisión.

Teniendo en cuenta la Así como los criterios de aceptación Se establece un formulario de


metodología establecida en el según el impacto GxP del sistema y auditoría del estado de la validación
Plan Maestro de Validación su clasificación GAMP5 con el fin de verificar la ejecución y su
mantenimiento a lo largo del tiempo

22 Evaluación periódica de sistemas informatizados, auditorías.


Diseño del formulario de la auditoría
El alcance de la revisión debe ser el ciclo de vida del sistema informatizado.

Plan Maestro de Validación de Sistemas


Informatizados y Planes de Validación
específicos por Sistema.

Validación de Sistemas Informatizados y


Cualificación de la Infraestructura
Informática.

Mantenimiento del estado de control a


través de procedimientos de gestión y
revisiones periódicas.

Gestión de la retirada de sistemas


informatizados, tiempo de archivo y migración
de la información a nuevos sistemas.

23 Evaluación periódica de sistemas informatizados, auditorías.


Estrategia
Formulario de la auditoría

Plan Maestro de Validación de SI


Marca la estrategia a seguir y los criterios de aceptación de los • Determina los sistemas informatizados e
sistemas informatizados de la compañía en todo el ciclo de vida.
infraestructura informática afectados por el plan y el
alcance de todo su ciclo de vida. Con una mínima
definición.

Plan de Validación por SI o grupo de SIs • Identifica la normativa y buenas practicas aplicables.
Marca la estrategia a seguir y los criterios de aceptación de los • Identifica el equipo de validación.
sistemas informatizados afectados por una validación en todo su
ciclo de vida.
• Establece la criticidad por sistema informatizado y por
elemento de la infraestructura informática.
• Determina criterios de aceptación para la validación.

Plan de Cualificación de IT • Determina la metodología de validación requerida para


Marca la estrategia a seguir y los criterios de aceptación de los los sistemas informatizados en todo su ciclo de vida.
elementos de la infraestructura informática en todo su ciclo de vida.
• Establece una planificación temporal, definiendo
sistemas y responsables.

24 Evaluación periódica de sistemas informatizados, auditorías.


Estrategia
Formulario de la auditoría

Plan Maestro de Validación de SI


Marca la estrategia a seguir y los criterios de aceptación de los • Determina los sistemas informatizados y procesos
sistemas informatizados de la compañía en todo el ciclo de vida.
afectados por la validación.
• Establece la metodología de validación a seguir: pasos a
seguir, responsables y secuencias de ejecución. Así como

Plan de Validación por SI o grupo de SIs los criterios de aceptación.


Marca la estrategia a seguir y los criterios de aceptación de los • Establece la metodología para el mantenimiento
sistemas informatizados afectados por una validación en todo su
ciclo de vida.
posterior del estado de control.
• Tiene en cuenta el escenario existente: tipo de sistema,
en uso, comunicación con otros sistemas informatizados,

Plan de Cualificación de IT comunicación con equipos de proceso y proveedores de


Marca la estrategia a seguir y los criterios de aceptación de los servicio.
elementos de la infraestructura informática en todo su ciclo de vida.

25 Evaluación periódica de sistemas informatizados, auditorías.


Estrategia
Formulario de la auditoría

Plan Maestro de Validación de SI


Marca la estrategia a seguir y los criterios de aceptación de los • Determina los elementos de la infraestructura
sistemas informatizados de la compañía en todo el ciclo de vida.
informática afectados por la cualificación.
• Establece la metodología de cualificación a seguir:
pasos a seguir, responsables y secuencias de ejecución.

Plan de Validación por SI o grupo de SIs Así como los criterios de aceptación.
Marca la estrategia a seguir y los criterios de aceptación de los • Establece la metodología para el mantenimiento
sistemas informatizados afectados por una validación en todo su
ciclo de vida.
posterior del estado de control.
• Tiene en cuenta el escenario existente: diseño de la
infraestructura, comunicaciones, seguridades y

Plan de Cualificación de IT proveedores de servicio.


Marca la estrategia a seguir y los criterios de aceptación de los
elementos de la infraestructura informática en todo su ciclo de vida.

26 Evaluación periódica de sistemas informatizados, auditorías.


Validación
Formulario de la auditoría

Requerimientos de Usuario, URS


Definición del uso previsto del sistema informatizado a través • Definen, de forma clara y precisa, lo que la compañía
del estudio de los procesos.
regulada requiere del sistema. Uso previsto.
• Deben ir asociados al proceso de negocio (si aplica).
• Son independientes de la solución informatizada a

Acuerdos con proveedores de servicio implantar / utilizar.


Define el acuerdo de calidad del servicio establecido con el • Deben ser específicos, medibles, realizables, realistas
proveedor.
y testeables.
• Pueden ser de diferente tipología: tecnológicos,
informáticos, funcionales, regulatorios, integridad de datos,

Cualificación de la Instalación, IQ de servicio y estratégicos.


Marca la estrategia a seguir y los criterios de aceptación de los
elementos de la infraestructura informática en todo su ciclo de vida.

27 Evaluación periódica de sistemas informatizados, auditorías.


Validación
Formulario de la auditoría
• Descripción de la empresa.

Requerimientos de Usuario, URS • Descripción de los servicios prestados.


Definición del uso previsto del sistema informatizado a través • Documentación del sistema informatizado requerida.
del estudio de los procesos.
• Documentación de procedimientos internos del proveedor
de servicios requerida.
• Especificación de entornos de trabajo disponibles y uso
Acuerdos con proveedores de servicio previsto de los mismos.
Define el acuerdo de calidad del servicio establecido con el
• Política de versionado y actualización del software a seguir.
proveedor.
• Gestión de control de cambios en el sistema informatizado.
• Gestión de incidencias en el sistema informatizado.
• Revisión periódica del servicio prestado. Auditorías.
Cualificación de la Instalación, IQ • Periodo de aplicación de los servicios.
Verificación de características, instalación y configuración del • Modificaciones o ampliaciones de los servicios
entorno informatizado final y entorno de test.
• Precio y modalidades de pago.
• Protección de datos de carácter personal.
• Propiedad de los trabajos y propiedad intelectual.
• Confidencialidad
28 Evaluación periódica de sistemas informatizados, auditorías.
Validación
Formulario de la auditoría

Requerimientos de Usuario, URS


Definición del uso previsto del sistema informatizado a través • Establece especificaciones técnicas de los elementos
del estudio de los procesos.
del sistema informatizado.
• Determina el procedimiento a seguir para la instalación
y configuración de los elementos del sistema

Acuerdos con proveedores de servicio informatizado.


Define el acuerdo de calidad del servicio establecido con el • Establece la criticidad de los elementos del sistema
proveedor.
informatizado.
• Establece los criterios de aceptación de la instalación y
configuración de los elementos críticos y no críticos del

Cualificación de la Instalación, IQ sistema informatizado.


Verificación de características, instalación y configuración del • Centraliza y evidencia las verificaciones realizadas.
entorno informatizado final y entorno de test.
• Dictamina el resultado final de la cualificación.

29 Evaluación periódica de sistemas informatizados, auditorías.


Validación
Formulario de la auditoría

Matriz de Trazabilidad, MX
Marca la estrategia a seguir y los criterios de aceptación de los • Identifica y relaciona los procesos / funcionalidades de
sistemas informatizados de la compañía en todo el ciclo de vida.
los sistemas informatizados con la documentación
generada y actualizada del proyecto de validación. Como
mínimo de la documentación generada del proceso de DQ,

Procedimientos Normalizados de Trabajo IQ, OQ y PQ.


Define la administración y uso por parte de los usuarios.

Cualificación de Diseño, DQ
Verificación del diseño operativo, técnico y de seguridad del sistema
informatizado.

30 Evaluación periódica de sistemas informatizados, auditorías.


Validación
Formulario de la auditoría

Matriz de Trazabilidad, MX
Marca la estrategia a seguir y los criterios de aceptación de los • Permite definir alcance del sistema informatizado sobre el
sistemas informatizados de la compañía en todo el ciclo de vida.
proceso.
• Determina el procedimiento a seguir de forma estándar
y en caso de que se produzcan incidencias controladas.

Procedimientos Normalizados de Trabajo • Identifica casos especiales.


Define la administración y uso por parte de los usuarios. • Detalla de forma clara la configuración necesaria, el uso
previsto por parte de los usuarios finales y el registro
completo de la tarea.
• Detalla de forma clara la administración y

Cualificación de Diseño, DQ mantenimiento del sistema informatizado.


Verificación del diseño operativo, técnico y de seguridad del sistema
informatizado.

31 Evaluación periódica de sistemas informatizados, auditorías.


Validación
Formulario de la auditoría

Matriz de Trazabilidad, MX
Marca la estrategia a seguir y los criterios de aceptación de los • Identifica cambio de diseño del sistema informatizado
sistemas informatizados de la compañía en todo el ciclo de vida.
respecto a los requerimientos de usuario iniciales.
• Establece los criterios de aceptación del diseño del
sistema informatizado.

Procedimientos Normalizados de Trabajo • Verifica que los cambios de diseño, en caso de que
Define la administración y uso por parte de los usuarios. existan, no ponen en riesgo la calidad del producto,
gestión y control del proceso e integridad de datos.
• Centraliza y evidencia las verificaciones realizadas.
• Dictamina el resultado final de la cualificación.

Cualificación de Diseño, DQ
Verificación del diseño operativo, técnico y de seguridad del sistema
informatizado.

32 Evaluación periódica de sistemas informatizados, auditorías.


Validación
Formulario de la auditoría

Control de Cambios
Control del ciclo de vida de los cambios. • Registra y detalla las solicitudes de cambio.
• Registra y detalla la evaluación del cambio.
• Registra y detalla la toma de decisión de los cambios.
• Registra y detalla los desarrollos realizados.
• Registra y detalla los planes de acción.
Inventario de equipos críticos de los SI
Elementos que funcionan de forma integrada con el sistema • Registra y detalla la liberación del cambio.
informatizado para el desarrollo del proceso.
• Registra y detalla su seguimiento.

Cualificación de la Operación, OQ
Verificación de la operación del sistema informatizado. Asegurando de
forma documentada que el sistema está configurado y funciona de
acuerdo con las especificaciones descritas y previamente aprobadas

33 Evaluación periódica de sistemas informatizados, auditorías.


Validación
Formulario de la auditoría

Control de Cambios
Control del ciclo de vida de los cambios. • Determina y registra codificación de los equipos.
• Vinculado a las funcionalidades del sistema.
• Controla su localización.
• Centraliza la documentación: instalación y configuración,
calibración, administración y uso, mantenimiento,
Inventario de equipos críticos de los SI
Elementos que funcionan de forma integrada con el sistema cualificación, validación de método y validación del sistema.
informatizado para el desarrollo del proceso.
• Identifica al proveedor de servicios.
• Identifica el acuerdo de calidad del servicio.
• Control de accesos para administración y configuración del

Cualificación de la Operación, OQ equipo y para su uso.


Verificación de la operación del sistema informatizado. Asegurando de • Registro de datos. Con datos y metadatos.
forma documentada que el sistema está configurado y funciona de
acuerdo con las especificaciones descritas y previamente aprobadas
• Seguridad y audit trail.
• Determina la disponibilidad de equipos auxiliares.

34 Evaluación periódica de sistemas informatizados, auditorías.


Validación
Formulario de la auditoría

Control de Cambios
Control del ciclo de vida de los cambios. • Define la criticidad de las funcionalidades utilizadas por la
compañía aplicando la herramienta de análisis de riesgos.
• Establece los criterios de aceptación para las
funcionalidades críticas y no críticas.
• Justifica la adecuación del entorno de ejecución de
Inventario de equipos críticos de los SI
Elementos que funcionan de forma integrada con el sistema pruebas, a ser posible, un entorno de test.
informatizado para el desarrollo del proceso.
• Verifica la operación de las funcionalidades que pueden
derivar a fallos con un efecto crítico en la calidad del
producto, seguridad del paciente, control del proceso e

Cualificación de la Operación, OQ integridad de datos.


Verificación de la operación del sistema informatizado. Asegurando de • Centraliza y evidencia las verificaciones realizadas.
forma documentada que el sistema está configurado y funciona de
acuerdo con las especificaciones descritas y previamente aprobadas
• Dictamina el resultado final de la cualificación.

35 Evaluación periódica de sistemas informatizados, auditorías.


Validación
Formulario de la auditoría

Gestión de Usuarios y Seguridades


Marca la estrategia a seguir para declarar los usuarios y perfiles de • Establece y registra la política de gestión de usuarios que
seguridad del sistema.
permita identificarlos de forma única en la compañía.
• Establece y registra los usuarios con rol de
administrador, de forma diferenciada e intentando, en la

Formación medida de lo posible, asignar a usuarios no involucrado en


Marca la estrategia a seguir para la capacitación de los usuarios. el proceso.
• Establece y registra la política de gestión de contraseñas.
• Establece y registra el control de acceso.
• Determina y registra el audit trail de usuarios, contraseñas

Seguridad de la Información y perfiles de seguridad.


Marca la estrategia a seguir y los criterios de aceptación de la
integridad de datos.

36 Evaluación periódica de sistemas informatizados, auditorías.


Validación
Formulario de la auditoría

Gestión de Usuarios y Seguridades


Marca la estrategia a seguir para declarar los usuarios y perfiles de • Establece y registra el plan de formación.
seguridad del sistema.
• Establece y registra las actas de formación.
• Establece y registra las verificaciones de la formación.

Formación
Marca la estrategia a seguir para la capacitación de los usuarios.

Seguridad de la Información
Marca la estrategia a seguir y los criterios de aceptación de la
integridad de datos.

37 Evaluación periódica de sistemas informatizados, auditorías.


Validación
Formulario de la auditoría

Gestión de Usuarios y Seguridades


Marca la estrategia a seguir para declarar los usuarios y perfiles de • Establece y registra los criterios de aceptación de la
seguridad del sistema.
integridad de datos del sistema.
• Verifica el cumplimiento de la integridad de datos del
proceso informatizado.

Formación • Centraliza y evidencia las verificaciones realizadas.


Marca la estrategia a seguir para la capacitación de los usuarios. • Dictamina el resultado final de la revisión.

Seguridad de la Información
Marca la estrategia a seguir y los criterios de aceptación de la
integridad de datos.

38 Evaluación periódica de sistemas informatizados, auditorías.


Validación
Formulario de la auditoría

Cualificación de Proceso, PQ
Verificar la integración de todos los elementos que componen el • Verifica las ejecución de las fases anteriores de la
proceso informatizado, asegurando la gestión, control y trazabilidad
validación. Revisión de que se han realizado
del proceso.
completamente, estén aprobadas y sin desviaciones
Mantenimiento críticas.

Procedimientos de gestión • Verifica la correcta gestión, control y trazabilidad del


Marca la estrategia a seguir en el día a día para el mantenimiento del proceso.
estado de control.
• Centraliza y evidencia las verificaciones realizadas.
• Dictamina el resultado final de la cualificación.

Revisiones periódicas
Marca la estrategia a seguir de forma periódica para el
mantenimiento del estado de control.

39 Evaluación periódica de sistemas informatizados, auditorías.


Validación
Formulario de la auditoría

Cualificación de Proceso, PQ
Verificar la integración de todos los elementos que componen el • Determina el procedimiento de seguridad física y lógica.
proceso informatizado, asegurando la gestión, control y trazabilidad
• Determina el procedimiento de gestión de usuarios y
del proceso.
perfiles de seguridad.
Mantenimiento • Determina el procedimiento de formación.

Procedimientos de gestión • Determina el procedimiento de monitorización del


Marca la estrategia a seguir en el día a día para el mantenimiento del sistema informatizado.
estado de control.
• Determina el procedimiento de copias de seguridad y
restauración de datos.
• Determina el plan de contingencia y recuperación en
caso de desastre.
Revisiones periódicas
Marca la estrategia a seguir de forma periódica para el
mantenimiento del estado de control.

40 Evaluación periódica de sistemas informatizados, auditorías.


Validación
Formulario de la auditoría

Cualificación de Proceso, PQ
Verificar la integración de todos los elementos que componen el • Establece y registra auditorías internas.
proceso informatizado, asegurando la gestión, control y trazabilidad
• Establece y registra auditorías a proveedores de servicio
del proceso.
tecnológico.
Mantenimiento • Establece y registra auditorías de integridad de datos.

Procedimientos de gestión
Marca la estrategia a seguir en el día a día para el mantenimiento del
estado de control.

Revisiones periódicas
Marca la estrategia a seguir de forma periódica para el
mantenimiento del estado de control.

41 Evaluación periódica de sistemas informatizados, auditorías.


Definición de las revisiones periódicas, auditorías
Estrategia

Control de los Establecimiento Definición de la Preparación de la Ejecución revisión Documentar Definición


Sistemas de la periodicidad política de revisión resultados medidas
Informatizados de revisión auditoría obtenidos correctoras
existentes

Equipo de auditoría

42 Evaluación periódica de sistemas informatizados, auditorías.


Preparación de la revisión

Preparación de la revisión teniendo en cuenta:


EQUIPO DE SISTEMA
USUARIOS
PROCESO INFORMATIZADO • Uso previsto del sistema
5 3 1
• Requisitos reglamentarios
• Procedimientos de administración y uso del sistema
PROCESO
• Estrategia, ejecución y mantenimiento de la validación

6 4 2 • Estado de la validación, cambios producidos e incidencias


INTEGRIDAD PROVEEDORES INFRAESTRUCTURA detectadas
DE DATOS DE SERVICIOS INFORMÁTICA
• Servicio ofrecido por los proveedores de servicio
tecnológico

Se deben definir los objetivos, personal y la agenda de la revisión. El equipo de la revisión debe asegurarse que la
documentación de referencia y las personas necesarias estén disponibles.

43 Evaluación periódica de sistemas informatizados, auditorías.


Preparación de la revisión

La información relevante debe estar disponible para la revisión. Siendo los más habituales:
• Documentación del sistema: planes, especificaciones, verificaciones, trazabilidad, documentación de gestión de
riesgos.
• Procedimientos normalizados de trabajo.
• Documentación de la formación.
• Registro de incidencias.
• Controles de cambio.
• Informes de validación.
• Acuerdos con proveedores de servicio tecnológicos

44 Evaluación periódica de sistemas informatizados, auditorías.


Definición de las revisiones periódicas, auditorías
Estrategia

Control de los Establecimiento Definición de la Preparación de la Ejecución revisión Documentar Definición


Sistemas de la periodicidad política de revisión resultados medidas
Informatizados de revisión auditoría obtenidos correctoras
existentes

Equipo de auditoría

45 Evaluación periódica de sistemas informatizados, auditorías.


Ejecución de la revisión

• Se debe considerar:
• La documentación debe estar completa, actualizada, correcta y disponible.
• Controles de cambio documentados.
• Acciones pendientes derivadas del proceso de validación.
• Procedimientos en vigor estén implantados de manera efectiva. Tanto de administración como de uso.
• Personal, incluyendo formación, experiencia y continuidad.
• Copias de seguridad y restauración de datos.
• Planes de contingencia.
• Servicio por parte de los proveedores

46 Evaluación periódica de sistemas informatizados, auditorías.


Definición de las revisiones periódicas, auditorías
Estrategia

Control de los Establecimiento Definición de la Preparación de la Ejecución revisión Documentar Definición


Sistemas de la periodicidad política de revisión resultados medidas
Informatizados de revisión auditoría obtenidos correctoras
existentes

Equipo de auditoría

47 Evaluación periódica de sistemas informatizados, auditorías.


Documentar resultados obtenidos

Se debe dejar constancia de una forma documentada el resultado obtenido, detallando:


• Tiempo de revisión
• Personal involucrado
• Desviaciones y no conformidades identificadas
• Criticidad de las deficiencias y las acciones correctoras resultantes.

48 Evaluación periódica de sistemas informatizados, auditorías.


Definición de las revisiones periódicas, auditorías
Estrategia

Control de los Establecimiento Definición de la Preparación de la Ejecución revisión Documentar Definición


Sistemas de la periodicidad política de revisión resultados medidas
Informatizados de revisión auditoría obtenidos correctoras
existentes

Equipo de auditoría

49 Evaluación periódica de sistemas informatizados, auditorías.


Definición medidas correctoras

• Las acciones correctoras pueden impactar sobre el uso previsto del propio sistema u otros sistemas o equipos
relacionados. Pudiendo afectar por tanto al proceso y por consiguiente al producto. Para llevar a cabo las medidas
correctoras, estando el sistema en uso, debe aplicarse un control de cambios.
• El control de cambios debe documentarse, revisarse, aprobarse y seguirse.

50 Evaluación periódica de sistemas informatizados, auditorías.


Auditoría a proveedores
de servicio tecnológico
Definición de las revisiones periódicas, auditorías
Estrategia

Control de los Establecimiento Definición de la Preparación de la Ejecución revisión Documentar Definición


proveedores de de la periodicidad política de revisión resultados medidas
servicio críticos de de revisión auditoría obtenidos correctoras
los Sistemas
Informatizados
existentes

Equipo de auditoría

52 Evaluación periódica de sistemas informatizados, auditorías.


Control de los proveedores de servicio tecnológicos

• Codificación y nombre del sistema informatizado.


• Situación conforme al PMV (validado, en proceso de
validación, retirado en proceso de archivo..).
• Vínculo a cada ficha del sistema informatizado.

Inventario • Responsable.
Plan Maestro de general SI
Validación de Sistemas • Proceso.
Informatizados
• Identificación SI: software, hardware y parte industrial.
• Proveedor de servicios.
• Documentación disponible.
Ficha por SI

Análisis de riesgos para establecer la


criticidad de los proveedores de servicio
53 Evaluación periódica de sistemas informatizados, auditorías.
Control de los proveedores de servicio tecnológicos
Los acuerdos deben concretar el nivel de la calidad y gestión del servicio contratado.

Siendo los puntos recomendados a concretar:


• Descripción de la empresa proveedora de servicios y equipo de proyecto asociado.
• Descripción de los servicios prestados.
• Documentación del sistema informatizado requerida.
• Documentación de procedimientos internos del proveedor de servicios requerida.
• Especificación de entornos de trabajo disponibles y uso previsto de los mismos.
• Política de versionado y actualización del software a seguir.
• Gestión de control de cambios en el sistema informatizado.
• Gestión de incidencias en el sistema informatizado.
• Revisión periódica del servicio prestado. Auditorías.
• Periodo de aplicación de los servicios.
• Modificaciones o ampliaciones de los servicios
• Precio y modalidades de pago.
• Protección de datos de carácter personal.
• Propiedad de los trabajos y propiedad intelectual.
• Confidencialidad

Quedando reflejados en los puntos anteriormente citados los roles y responsabilidades de cada una de las partes.

54 Evaluación periódica de sistemas informatizados, auditorías.


Control de los SI existentes
Gestión de riesgos en la fase de estrategia de la validación.

AR

55 Evaluación periódica de sistemas informatizados, auditorías.


Formulario de la auditoría

Visión general de la empresa


Experiencia en el servicio por parte del proveedor. • Tamaño de la compañía, estructura y resumen de su
historia.
• Historia del producto / servicio.
• Resumen de los productos / servicios bajo auditoría.

Documentación • Plan de desarrollo de producto / servicio.


Documentación requerida al proveedor.

Organización y sistema de calidad


Sistema de calidad del proveedor.

56 Evaluación periódica de sistemas informatizados, auditorías.


Formulario de la auditoría

Visión general de la empresa


Experiencia en el servicio por parte del proveedor. • Documentos de instalación y configuración del sistema.
• Documentos de uso y administración del sistema.
• Documentos de interface con otros equipos o sistemas.

Documentación
Documentación requerida al proveedor.

Organización y sistema de calidad


Sistema de calidad del proveedor.

57 Evaluación periódica de sistemas informatizados, auditorías.


Formulario de la auditoría

Visión general de la empresa


Experiencia en el servicio por parte del proveedor. • Estructura y organización del proveedor.
• Sistema de calidad.
• Impacto del sistema de gestión de calidad sobre el
producto o servicio.

Documentación • Control de la documentación del sistema de gestión de


Documentación requerida al proveedor. calidad.
• Plan de formación a los trabajadores.
• Subcontratas.

Organización y sistema de calidad


Sistema de calidad del proveedor.

58 Evaluación periódica de sistemas informatizados, auditorías.


Formulario de la auditoría

Proyecto
Plan de proyecto acordado con el proveedor. • Definición de actividades, responsables y entregables.
• Control del estado de la documentación.
• Gestión y seguimiento del proyecto.
• Revisión de acuerdos
Servicio • Calidad e informes de proyecto.
Metodología del servicio acordada con el proveedor.

59 Evaluación periódica de sistemas informatizados, auditorías.


Formulario de la auditoría

Proyecto
Plan de proyecto acordado con el proveedor. • Gestión de entornos de trabajo disponibles.
• Versionado y actualización del sistema.
• Control de cambios.
• Incidencias.
Servicio • Desarrollos.
Metodología del servicio acordada con el proveedor.

60 Evaluación periódica de sistemas informatizados, auditorías.


Auditoría de cumplimiento
de la integridad de datos
Definición de las revisiones periódicas, auditorías
Estrategia

Control de los Establecimiento Definición de la Preparación de la Ejecución revisión Documentar Definición


flujos de de la periodicidad política de revisión resultados medidas
información de de revisión auditoría obtenidos correctoras
los procesos
críticos de
negocio

Equipo de auditoría

62 Evaluación periódica de sistemas informatizados, auditorías.


¡Gracias!

ALCOA +

https://www.linkedin.com/groups/8902028/
https://www.linkedin.com/company/oqotech
63 Cómo aplicar análisis de riesgos en un sistema informatizado en entornos regulados.

También podría gustarte