Sistemas Informatizados

CURSO DE VALIDACIÓN DE
HOJAS DE CÁLCULO UTILIZANDO OQOSAFE

Mayte Garrote Gallego

CTO, Oqotech
@Mayte Garrote Gallego
 Índice

01. Utilización de libros

MS Excel
02. Normativas y buenas
prácticas aplicables
03. Proyecto de
Validación

Debilidades de los
04. libros MS Excel 05. OQOSAFE 06. Proyecto de
Validación con
OQOSAFE

07. Demo OQOSAFE

3 Sistemas informatizados
 Utilización de libros MS Excel
Situación actual

✓Facilidad de uso. ✓Manipulación de diseño, cálculos o datos

✓No requiere mucho entrenamiento. registrados.
✓Permite realizar documentos de diversos ✓Control de Acceso.
niveles de complejidad. ✓Copias de documentos no controladas. Uso de
versiones obsoletas.
✓Duplicidad de datos de la organización.

4 Sistemas Informatizados
 Principio GxP
Las hojas de cálculo MS Excel requieren ser validadas.

• En caso de que los libros MS Excel almacenen o gestionen información relacionada con
actividades reguladas requieren ser validados.
• Las decisiones sobre la extensión de la validación y de los controles de la integridad de
datos deben basarse en una evaluación de riesgos del sistema informatizado justificada y
documentada.

5 Sistemas Informatizados
 Normativa y guías aplicables
Hojas de cálculo MS Excel

AEMPS – https://www.aemps.gob.es/industria-farmaceutica/guia-de-normas-de-correcta-fabricacion/
• Anexo 11, Sistemas informatizados.
• Anexo 15, Cualificación y Validación.
• Capítulo 4, Documentación
• ICH guideline Q9 on quality risk management
EDQM – https://www.edqm.eu/sites/default/files/guidelines-omcl-computerised-systems-annex1-march2018.pdf
• Validation of Computerised Systems Annex 1 – Validation of Excel Spreadsheets PA/PH/OMCL (08) 87 R6
• Validation of Computerised Systems Annex 1: Validation of computerised calculation systems: example of validation of in-house software PA/PH/OMCL
(08) 87 2R
• Validation of Computerised Systems Annex 2 – Validation of Complex Computerised Systems PA/PH/OMCL (08) 88 R5
ISPE – https://ispe.org
• GAMP5, A Risk-Based Approach to Compliant GxP Computerized Systems. Appendix S3.
• Good Practice Guide, A Risk-Based Approach to Testing of GxP Systems.
• Good Practice Guide, Data Integrity – Key Concepts. Appendix 13.
FDA – https://www.accessdata.fda.gov/scripts/cdrh/cfdocs/cfcfr/CFRSearch.cfm?CFRPart=11
• 21 CFR Part 11, Electronic Records; Electronic Signatures — Scope and Application

6 Sistemas Informatizados
 Buenas prácticas en el diseño de Excels
Hojas de cálculo MS Excel

• Bloquear todas las celdas que no sean de

introducción de datos.
• Identificación de celdas de introducción
de datos y de representación de resultados
mediante un código de color.
• Validación de datos con mensajes de error
(por ejemplo, control de valor numérico en
un rango determinado).
• Insertar comentarios, no editables, en las
celdas de introducción de datos de los
Libros MS Excel para indicar las
especificaciones del dato a registrar.

7 Sistemas Informatizados
 Requisitos de operación y seguridad
Hojas de cálculo MS Excel

• Deben incorporarse controles físicos y/o lógicos para restringir el acceso a los sistemas informatizados a personas
autorizadas.
• La creación, cambio y la cancelación de una autorización de acceso debe registrarse.
Gestión de usuarios, perfiles de seguridad, control de acceso, gestión de contraseñas y Audit Trail.

• Los sistemas de gestión de datos y de documentos deben diseñarse para registrar la identidad de los operarios
que entran, cambian, confirman o eliminan datos, incluyendo fecha y hora. Diseño de los registros y audit trail.

• Para la entrada manual de datos críticos, debe existir una comprobación adicional de la exactitud de los datos.
Esta comprobación puede realizarse por un segundo operario o por medios electrónicos validados. La gestión de
riesgos debe incluir la criticidad y las consecuencias potenciales de una entrada errónea o incorrecta de datos en
el sistema. Flujo de revisión de un documento y funcionalidad de validación de datos. Opción de bloqueo de
campos que una vez introducidos no deberían ser modificados.

8 Sistemas Informatizados
 Requisitos de operación y seguridad
Hojas de cálculo MS Excel

• Debe considerarse, en base a la gestión de riesgos, incorporar en el sistema la creación de un registro de todos los
cambios y eliminaciones relevantes relacionados con NCF (un registro de auditoría generado por el sistema). Debe
documentarse el motivo del cambio o de la eliminación de datos relevantes relacionados con NCF. El registro de
auditoría tiene que estar disponible y en general, ser convertible en un formato inteligible, así como revisarse
regularmente. Audit Trail.

• Gestión de cambios y configuración. Cualquier cambio a un sistema informatizado incluyendo las configuraciones
de sistema sólo debe realizarse de manera controlada de acuerdo con un procedimiento definido. Audit Trail.

• Tiene que ser posible obtener copias impresas claras de los datos electrónicos almacenados.
• Para los registros en los que se basa la liberación de lotes debe ser posible la generación de impresiones que
pongan de manifiesto que un dato se ha cambiado respecto de la entrada original. Control de usuarios, perfiles de
seguridad, control de impresión y visualización de datos originales y modificaciones.

9 Sistemas Informatizados
 Requisitos de operación y seguridad
Hojas de cálculo MS Excel

• Los registros electrónicos pueden firmarse electrónicamente. Respecto de las firmas electrónicas se espera que:
(a.) tengan el mismo impacto que las firmas manuscritas en el ámbito de la compañía, (b.) estén
permanentemente ligadas al respectivo registro y (c.) incluyan la hora y el día en el que se realizaron. Firmas
electrónicas.

• Liberación de lotes. Cuando se utiliza un sistema informatizado para registrar la certificación y liberación de lotes,
el sistema sólo debe permitir a las Personas Cualificadas certificar la liberación de lotes y debe identificar
claramente y registrar la persona que ha liberado o certificado los lotes. Esto debe realizarse usando una firma
electrónica. Gestión de usuarios, perfiles de seguridad, diseño del documento y firma electrónica.

10 Sistemas Informatizados
 Proyecto de Validación
Ciclo de Vida de hojas de cálculo MS Excel

Retirada,

Mantenimiento migración y
Mínima Criterios de
Cualificación del estado de gestión del
Definición Aceptación
control tiempo de

archivo

11 Sistemas Informatizados
 Mínima definición de las hojas de cálculo MS Excel
Clasificación y riesgos de hojas de cálculo MS Excel.

Inventario Categoría Impacto

Código y título AR

Versión MS Excel Cat.3: Almacenan datos. Procesan datos Riesgo: Seguridad del Paciente,
(relaciones entre celdas u operadores aritméticos)
Plantilla y versión Calidad del Producto e Integridad
Cat.4: Procesan datos (funciones estadísticas,
Alcance plantillas complejas, booleanos). Configurables. de Datos
Categoría.

Responsable Cat.5: Procesan datos (macros, funciones

Complejidad y Novedad
anidadas, aplicaciones en red). Hechas a medida.
Localización Administración bajo control de

cambios

12 Sistemas Informatizados
 Criterios de Aceptación de la Validación
Hojas de cálculo MS Excel

VALIDACIÓN MS. Excels

Plan de Validación Aplica si categoría 3 (con impacto alto), 4 o 5

Requerimientos de usuario (URS) Aplica, en el propio documento

Aplica, registro número de versión en inventario y
Cualificación de la instalación (IQ)
procedimientos de instalación aprobados
Matriz de trazabilidad (MX) Aplica si categoría 4 o 5

Procedimientos normalizados de trabajo (PNTs) Realizar, en el propio documento

Sistema de gestión de cambios (CC) Aplica

Cualificación de la operación (OQ) Aplica

Definir gestión de usuarios
Aplica
y perfiles de puesto informatizado
Elaboración y ejecución del plan de formación Aplica

Cualificación del proceso (PQ) Aplica

Matriz de trazabilidad final (MX) Aplica si categoría 4 o 5

Informe de aceptación y liberación Aplica

13 Sistemas Informatizados
 Requerimientos de Usuario (URS) para Excel
Definición de la estrategia

URS en el propio documento, en una hoja aparte con permisos de solo lectura.
• Diseño y estructura general
• Propósito
• Vínculo a fuente de datos externas.
• Cálculos y Funciones.
2. Configuración. • Relaciones.
• Macros.
• Parámetros.

1. Datos de entrada. 3. Datos de salida.

• Datos a introducir. • Resultados (numéricos, gráficos, etc.).

(Definición por • Cálculos intermedios.
• Tipo de entrada (valor numérico, Exportaciones.
Celda o Rango.) •
texto, listado desplegable, fecha). • Informes.
• Validación de datos.
• Responsable de la introducción.

14 Sistemas Informatizados
 Requerimientos de Usuario (URS) para Excel
Definición de la estrategia

15 Sistemas Informatizados
 PNTs para Excel
Definición de la estrategia

16 Sistemas Informatizados
 Cualificación de la Operación (OQ) para Excel
Definición de la estrategia

• Los cálculos deben verificarse de forma independiente al documento. Puede usarse calculadora,
software comercial validado o datos publicados.

• Si la hoja de cálculo se usara en ordenadores con diferentes versiones de los libros MS Excel, se requiere
que se realice la validación de la funcionalidad utilizando cada una de las versiones. Algunas de las
versiones de los libros MS Excel no son compatibles de forma completa con versiones anteriores de los
libros MS Excel.

• Verificación apropiada con enfoque basado en riesgos.

• Estrategia de testeo: establece el entorno a recrear para realizar la prueba, seguridades, pasos a realizar,
criterio de aceptación por paso y captura a realizar.
• Ejecución del testeo: ejecución de la estrategia de testeo, aportando resultados y evidencias que
determinan si la operación se ha desarrollado conforme estaba previsto.

17 Sistemas Informatizados
 Debilidades de libros MS Excel para la Validación
Puntos críticos de hojas de cálculo MS Excel

Posibilidad de aplicar configuración de seguridad y a través de programación a medida aplicar

controles de:

✘ Control de acceso al libro, hojas y celdas del Excel.

✘ Control de usuarios y perfiles de seguridad.
✘ Audit trail. Aplicado a datos de configuración (como registro de usuarios, configuración de
seguridades y registro de acceso) y de gestión del proceso (alta, modificación y baja de datos).
✘ Flujo de revisión de entrada de datos manuales. Opción de bloqueo de datos una vez iniciado el
proceso de revisión.
✘ Firmas electrónicas.
✘ Control de impresión y exportación de datos.

Opciones como el audit trail y las firmas electrónicas difícilmente pueden ser alcanzados de forma
estándar por las hojas de cálculo. Con programación a medida aplicada a cada Libro MS Excel sería
posible abarcar parte del control, pero en caso de alcanzar el cumplimiento requerido, su
mantenimiento a lo largo del tiempo puede ser realmente complicado.

18 Sistemas Informatizados
 ¿Qué Proponemos?
OQOSAFE

Plataforma que almacena y gestiona

los Libros MS Excel regulados.

Aporta las funcionalidades Los usuarios acceden a los Libros

de seguridad para que MS Excel a través de OQOSAFE.
puedan ser validables. Una vez abiertos, el uso de los
mismos no se ve afectado.

19 Sistemas Informatizados
 ¿Por qué lo proponemos?
Optimización de la Validación.

Plataforma para la centralización y el control de libros MS Excel.

No afecta al procesamiento de la información y aplica una administración de seguridad centralizada.

✓ Gestión centralizada de usuarios, perfiles de seguridad y contraseñas.

✓ Bloqueo automático del libro MS Excel y desbloqueo de rangos con control de Audit Trail.
✓ Audit Trail automático de la configuración de seguridad y el uso de Oqosafe y Excels.
✓ Control de acceso centralizado a los libros MS Excel, hojas, rangos y celdas.
✓ Asegura que los usuarios utilicen la versión de los libros MS Excel que hayan sido verificados y que estén
controlados por la seguridad.
✓ Flujo de revisión de entrada de datos manuales. Opción de bloqueo de datos una vez iniciado el proceso
de revisión.
✓ Gestión de firma electrónica para la aprobación de la información.
✓ Control de impresión de los libros MS Excel.

Configuración centralizada en Oqosafe, tanto de parámetros globales como por libro MS Excel.

Requiere validación de Oqosafe. El mantenimiento de la validación es más sencillo.

20 Sistemas Informatizados
 Validación del Sistema informatizado
Definición de la estrategia

• Definición del Sistema Informatizado

Aporta el procesamiento Aporta las funcionalidades

de la información. de seguridad.

• Alcance de la Validación del Sistema Informatizado

Afecta a todos los libros MS Excel que almacenen o procesen información regulada por las GxP y al sistema
informatizado OQOSAFE en todo su ciclo de vida.

21 Sistemas Informatizados
 Validación del Sistema informatizado
Definición de la estrategia

VALIDACIÓN
OQOSAFE MS. Excels
MS. EXCELS + OQOSAFE

Requerimientos de usuario (URS) Aplica Aplica, en el propio documento

Aplica, registro número de versión en
Cualificación de la instalación (IQ) Aplica inventario y procedimientos de instalación
aprobados
Matriz de trazabilidad (MX) Aplica Aplica si categoría 4 o 5

Procedimientos normalizados de trabajo (PNTs) Aplica Realizar, en el propio documento

Cualificación del diseño (DQ) Aplica No aplica

Sistema de gestión de cambios (CC) Aplica Aplica

Cualificación de la operación (OQ) Aplica Aplica

Definir gestión de usuarios
Aplica No aplica
y perfiles de puesto informatizado
Elaboración y ejecución del plan de formación Aplica Aplica

Cualificación del proceso (PQ) Aplica No aplica

Matriz de trazabilidad final (MX) Aplica Aplica si categoría 4 o 5

Informe de aceptación y liberación Aplica Aplica

22 Sistemas Informatizados
¡Gracias por su atención!
¡Veamos OQOSAFE!
Mayte Garrote Gallego
mayte@oqotech.com