Una guía rápida de una auditoría de integridad de datos
Explicamos los pasos a seguir para realizar una auditoría de integridad de datos en sectores altamente regulados.
La integridad de los datos es uno de los puntos que pueden presentar un alto riesgo y generar problemas de vulnerabilidad graves si no se gestiona con garantías.
Por ello, la auditoría de integridad de datos resulta fundamental para revisar y evaluar el cumplimiento de las condiciones adecuadas y recomendar elementos de mejora en este ámbito para cualquier empresa, entre ellas, las que trabajan en entornos altamente regulados, como la fabricación de medicamentos o de productos sanitarios.
La sofisticación de los entornos informatizados, en la era digital, hace que los problemas que afectan a estas organizaciones sean cada vez más complejos. Por estas razones, hoy queremos compartir una breve guía para realizar una auditoría de integridad de datos efectiva. Ésta será de gran ayuda tanto a organizaciones que emprenden por primera vez la tarea como para aquellas que desean mejorar sus principios y sus estrategias actuales.
Una guía rápida para la auditoría de integridad de datos
Mantener un dato íntegro no es una tarea fácil. Los factores de riesgo son muchos: el número de personas que pueden acceder a la información, virus, accesos remotos no autorizados, eventos naturales… Además, el objetivo de una auditoría de integridad de datos también es detectar cualquier dato o metadato existente que haya pasado desapercibido. Por esto, es necesario buscar dentro de los datos eliminados, los reprocesados, aquellos que se utilizan de forma incorrecta o los que no son revisados durante la etapa de disposición final de un lote.
Ante las dificultades que podemos encontrar en este proceso de auditoría de integridad de datos, seguir los siguientes 4 pasos facilita en gran medida la tarea:
Paso 1: Establecer objetivos para la auditoría de integridad de datos
Un buen punto de partida es definir las fuentes de infracciones o uso incorrecto de los datos. De esta forma, se tendrá una visión clara de las áreas que pueden presentar mayores problemas, lo que permitirá orientar las actividades y optimizar el uso del tiempo y de los recursos humanos, técnicos y económicos destinados a la auditoría de integridad de datos.
Identificar las circunstancias que facilitan problemas de cumplimiento puede ser más fácil para el auditor si se centra en los controles y requisitos del sistema en funcionamiento. El control de acceso, el control de administración, la estructura de los archivos y la administración de datos en todo el ciclo de vida de los mismos son algunos buenos puntos de partida para iniciar la tarea.
El paso siguiente es encontrar factores que puedan estar propiciando transgresiones a la integridad de los datos, ya sea a través de la cultura empresarial, los métodos o los procesos instaurados. Las políticas de las empresas en las que se fomenta o se recompensan los resultados rápidos son un ejemplo recurrente de esos factores.
Encontrar objetivos de alto riesgo, en donde se concentran la mayoría de los problemas, puede ser más fácil siguiendo estos consejos:
- Identificar productos que registren altas tasas de OOS (fuera de especificación), especialmente aquellos que se someten a investigaciones de fase II y productos que no concluyan en un error de laboratorio definitivo.
- Prestar especial atención a las especificaciones de estabilidad que son altamente restrictivas o comprometen el periodo de vencimiento establecido.
- Una vez que se han identificado las áreas de alto riesgo, seleccionar un amplio conjunto de datos, en un periodo de tiempo definido, y rastrear todos los datos desde el inicio hasta el final del informe. Si existe un problema de integridad de los datos, es muy probable que este proceso revele un indicador de algo en lo que se deba profundizar.
Paso 2: Realizar la auditoría
En todas las auditorías, no sólo en las de integridad de datos, es importante crear un ambiente cordial y colaborativo entre auditores y auditados. Es importante que los empleados auditados entiendan cuáles son las razones por las que se lleva a cabo una auditoría de integridad de datos, cuáles son los objetivos que se persiguen y qué expectativas se consideran al finalizar la tarea.
Así, la labor que se emprenda tendrá altas posibilidades de éxito. En la práctica, conviene seguir estos pasos:
- Consultar al administrador o director del área o departamento, para entender la estructura jerárquica. Así será más fácil identificar empleados “dueños de procesos” en los cuales se debe centrar la labor. Es muy normal encontrar gerentes o directores que insisten en responder las preguntas que se hacen a sus subalternos. Este es un comportamiento que debe considerase como sospechoso y encender las alertas para profundizar en la investigación.
- Adoptar un enfoque basado en el riesgo para priorizar las actividades de la auditoría de integridad de datos. Uno de los enfoques más prácticos para optimizar el tiempo es centrarse en los procesos que tienen mayor impacto en los productos y resultados. Es fácil identificarlos en los diagramas de flujo, por ejemplo.
- Desconfiar de los informes resumen. Estos son útiles para obtener una visión general sobre cómo se realiza un proceso o procedimiento, pero no son aceptables como evidencia de conformidad. Los componentes más importantes de las buenas prácticas de fabricación (GMP) sólo pueden evaluarse examinando datos en bruto.
- Ser conciliador y diplomático en el momento de afrontar discrepancias. En situaciones de inconsistencia de los datos, es preciso evitar emitir juicios o críticas. Lo más prudente es profundizar en la investigación y recopilación de información, procurando así aclarar el problema y establecer la causa raíz.
Este último es un aspecto clave de una auditoría: la recopilación de pruebas. La calidad de las investigaciones que se inicien a partir de los hallazgos o sospechas detectadas dependerá en gran medida de las evidencias que se recopilen cuando de descubre el problema por primera vez. Estas pruebas incluyen fotografías, copias electrónicas e incluso testimonios de los empleados responsables.
Paso 3: Documentar
Durante la fase final de auditoría, es necesario documentar todas las condiciones problemáticas o cuestionables descubiertas en la fase de evaluación e investigación.
No se ha de concluir definitivamente que no existen brechas de integridad de datos sólo porque no se registró ningún hallazgo que así lo evidenciase. Si las condiciones específicas sugieren que existen posibilidades de ocurrencia de problemas debido a la existencia de controles o incentivos inapropiados, esto se debe documentar y recomendar un seguimiento cercano.
Cuando se descubren “datos huérfanos” también es preciso anotar el hallazgo así como las condiciones que permitieron la existencia de tales datos. Ejemplos de esas condiciones pueden ser “datos eliminados como resultado de autorizaciones no restringidas para modificar datos” o “datos que residen en sistemas electrónicos, no declarados y no descubiertos debido a la falta de designación de archivos y de la revisión de los datos en un sistema electrónico”.
Paso 4: Acciones correctivas
Como respuesta a cualquier actividad posterior a la evaluación, es preciso emprender acciones correctivas y preventivas (CAPA, Corrective Actions and Preventive Actions).
Éstas resultan especialmente útiles en situaciones que requieren soluciones tecnológicas a largo plazo. Pueden incluir revisiones de rutina de conjuntos de datos de riesgo, una supervisión más amplia de los sistemas que han mostrado problemas o una revisión manual del reprocesamiento y la integración de datos, cuando los parámetros no están bajo el control adecuado.
Es probable que tu empresa necesite ayuda para definir e implementar una política de integridad de datos. En Oqotech contamos con más de diez años de experiencia en el apoyo a industrias en sectores altamente regulados. Contacta con nuestro equipo y te ayudaremos con todo lo necesario.