Check list para auditoría de sistemas computarizados

Este check list intenta ser una guía para auditar el cumplimiento de CSV en el
laboratorio (o en su proveedor). Esperamos que le sirva de ayuda.

1. Desarrollo del Sistema

o Proveedores

• Verificar si hay un método para aceptar el producto, incluyendo los

requerimientos técnicos y de calidad del producto.
• Verificar como los requerimientos técnicos y de calidad son considerados por el
proveedor y/o sub contratado. ¿Hay un proceso definido? ¿El mismo es
cumplido?
• En el caso de sub contratar actividades, verificar la experiencia y calificación del
mismo (por ej. verificar entrenamientos o certificaciones).
• Si la evaluación del proveedor involucró una auditoria, verificar el estatus de los
hallazgos.
• ¿Dispone de un procedimiento para la evaluación de proveedores?, ¿dicho
procedimiento es seguido?
• Si el Sistema es provisto por un proveedor, verificar si el mismo ha sido
evaluado.
• Verificar si el Sistema fue elaborado “In House” o desarrollado por un
proveedor.
o Requerimientos
• Verificar que todos los requerimientos GMP del proceso, incluyendo la parte 11
(firmas y registros electrónicos) han sido incluidos.
• Verificar que los requerimientos son revisados y aprobados por los
departamentos apropiados, incluyendo como mínimo responsable del proceso de
negocios y al responsable de QA.
o Diseño y codificación
• Verificar que existe un documento de diseño cubriendo todos los requerimientos
del usuario y la trazabilidad entre los requerimientos y los elementos del diseño.
• Verificar que la especificación de diseño es revisada y aprobada por los
departamentos apropiados.
• Confirmar que la especificación de diseño fue aprobada antes de que el
codificado comience.
• Confirmar que existe un estándar de codificado (por ej. Java, etc.). En caso de no
haberlo, debe haber una justificación adecuada.
• Verificar que la revision de código fue efectuada.
• Determinar si todo el código es revisado o si es revisado una muestra, en éste
ultimo caso, determinar como fue seleccionada la muestra.
• Confirmar que los revisores de código son independientes y están
adecuadamente calificados.
• Confirmar que los defectos encontrados durante la revisión son corregidos y las
acciones correctivas tomadas para evitar su re ocurrencia.
o Testeo
• Revisar la documentación de testeo asociada con el Sistema a auditar.
• Verificar que existe una estrategia de testeo explicando los testeos efectuados en
cada etapa de desarrollo (ej. Testeos de módulo, testeo de integración, testeos de
interface) y testeos de aceptación.
• Confirmar a través del proceso de testeo que los requerimientos funcionales
críticos han sido testeados.
• Verificar que los testeos cubren condiciones límites, fallas y estrés, así como
pruebas diseñadas para confirmar que el sistema funciona como se espera.
Además, que incluye el control de seguridad de accesos lógicos.
• Verificar que los testeos sean efectuados por personal independiente y calificado
(el desarrollador y el autor de los ensayos).
• Confirmar que los scripts de testeo están escritos, y que los mismos contienen
claramente los criterios de aceptación.
• Verificar que los resultados de los ensayos han sido documentados y se dispone
de la evidencia adecuada. Donde hay desvíos los mismos son documentados.
• Verificar que el test que falló ha sido evaluado respecto de la criticidad del
requerimiento funcional.
• Verificar que cuando un test ha fallado la funcionalidad requerida no es crítica
para el proceso ni para el cumplimiento GMP. Confirmar que existe una
solución de procedimiento adecuada.
• Si es utilizada una herramienta automatizada para los testeos, verificar que la
misma ha sido calificada para asegurar que funciona correctamente, que hay
procedimientos para su uso, que las firmas de las aprobación de los scripts de
testeos son registradas y que los cambios a la herramienta o scripts electrónicos
son controlados y aprobados.
o Entregables de Validación
• Verificar que hay un conjunto de documentos de validación consistente con una
clara relación de los mismos a los requerimientos.
• Verificar que los entregables de validación son declarados en el plan de
validación, han sido completados y están resumidos en el reporte de validación.
• Verificar que las excepciones (si aplica) del reporte de validación han sido
registradas como acciones para su seguimiento.
o Liberación
• Revisar como es liberado el Sistema para el uso.
• Verificar los controles y chequeos utilizados para asegurar que todas las
actividades fueron completadas.
• Verificar que los roles y responsabilidades para la liberación están claras y se
han cumplido.
• Verificar que todos los entregables requeridos fueron parte del paquete de
liberación, por ej. un código de construcción del Sistema, certificado de
liberación, manuales de uso, material de entrenamiento.
2. Gestión del sistema
o General

• Establecer como es provisto el soporte al Sistema, confirmar que los roles y

responsabilidades del hepdesk, de los administradores y soporte técnico están
claramente definidas. Asegurar que el entrenamiento adecuado para cada rol fue
suministrado.
• Verificar que el Sistema tiene un propietario que lo maneja con suficiente
autoridad y con un presupuesto para su mantenimiento.
o Manejo de problemas
• Confirmar que hay un procedimiento vigente para el reporte de problemas, con
registro, investigación y resolución de los mismos.
• Verificar que las acciones correctivas y preventivas son implementadas.
• Verificar que hay una relación entre el reporte de incidentes y la gestión de
cambios para el Sistema.
o Gestión de cambio
• Asegurar que los procedimientos para iniciar, autorizar y documentar los
cambios del Sistema están vigentes.
• Confirmar que los cambios son evaluados para asegurar que el impacto sobre las
funcionalidades relacionadas es entendido.
• Asegurar que la gestión de los cambios incluye la actualización de la
documentación del Sistema, instrucciones de uso, entrenamiento, datos maestros
como la funcionalidad técnica.
• Asegurar que los testeos hechos como soporte de los cambios del Sistema
confirman que las funciones relacionadas no son adversamente afectadas y
además aseguran que los cambios requeridos son alcanzados.
o Accesos y seguridad
• Revisar que las medidas de seguridad físicas están definidas para el Sistema y
están en uso efectivo. Verificar como son controlados los accesos físicos al
hardware.
• Revisar que las medidas de seguridad del software están definidas para el
Sistema. Verificar como son controlados los accesos a las funcionalidades
críticas son restringidas a los usuarios apropiados. Verificar que donde la
capacidad de enmendar datos maestros ha sido restringida.
• Verificar la existencia de un procedimiento para otorgar y remover los accesos al
Sistema de los usuarios. Verificar que los accesos son revisados periódicamente
para asegurar que solo tengan acceso al Sistema los usuarios requeridos.
• Asegurar que los ambientes de desarrollo, de testeo y productivo son
rutinariamente revisados en búsqueda de virus.
• Determinar si los elementos del Sistema tales como Sistema operativo, base de
datos y aplicaciones del software son mantenidos con los últimos parches de
seguridad disponibles.
o Datos maestros
• Asegurar que existe un proceso para el mantenimiento de los datos maestros
requeridos por el Sistema.
• Confirmar que los roles y responsabilidades están claras respecto a la gestión y
aprobación de datos maestros.
• Verificar si los datos maestros son chequeados periódicamente para verificar su
exactitud.
 o Planeamiento de Business Continuity /Disaster Recovery (incluyendo
back up y recuperación)
• Verificar que el Sistema tiene un plan de continuidad del negocio (BC), y que el
mismo tiene en cuenta la criticidad del sistema.
• Verificar que el Sistema tiene un plan de disaster recovery (DR), y que el mismo
tiene en cuenta la criticidad del sistema.
• Verificar que existe un régimen de back up y recuperación para el Sistema y que
el mismo está documentado, mantenido y testeado. Verificar si el mismo tiene
en cuenta la criticidad del Sistema.

3. Revisión periódica

• Verificar que el Sistema es sujeto a revisiones periódicas para determinar que

actividades tienen que ser efectuadas para mantener el estado validado.
• Confirmar que los resultados de la revisión son registrados y cualquier acción es
seguida hasta que se complete.