Una parte fundamental de tener un Software y/o Servicio IT GxP bajo control, es conocer cómo los distintos proveedores llevan a cabo las operaciones asociadas al Ciclo de Vida de ese software o servicio.
Las diferentes autoridades sanitarias ponen el foco en las Auditorías periódicas a los proveedores IT GxP. En el caso de ANMAT, similar a EMA, se establece:
La competencia y la fiabilidad del Proveedor son factores claves a la hora de seleccionar un producto o Proveedor de servicios. La necesidad de realizar una auditoría debe basarse en una evaluación de riesgos.
ANMAT, Disposición 3602/2018.
Proceso de Auditoría a Proveedores IT GxP
GAMP®5, entre otros, definen una guía práctica para la Evaluación de Proveedores. En base a este conocimiento, desde Pharmware recomendamos el siguiente proceso:
1. PRE AUDITORÍA: antes de comenzar
La fase inicial de la Auditoría a Proveedores comienza con la determinación de la rigurosidad requerida para ese Proveedor. Esta rigurosidad determinará el grado de evaluación, revisión y posterior seguimiento, basada en una evaluación del Nivel de Riesgo del proveedor.
Para lograr la determinación del Nivel de Riesgo, GAMP propone realizar el análisis en base a dos variables:
- Madurez del Proveedor
- Novedad del Producto
En base a esta matriz de doble entrada, GAMP define los siguientes cuadrantes:
RIESGO BAJO: La rigurosidad y alcance en casos potenciales de falla es más baja. Las evaluaciones de vigilancia se dan con menor frecuencia.
RIESGO MEDIO: La rigurosidad y alcance deben extenderse hacia términos intermedios y las evaluaciones de vigilancia deben darse con mayor frecuencia.
RIESGO ALTO: La rigurosidad y el alcance en este punto deben ser más exigentes y la frecuencia de las evaluaciones de vigilancia deben establecerse con una periodicidad inferior. Las evidencias toman relevancia para dar soporte a las evaluaciones.
1.1. Tipos de Auditorías
Una vez que se ha determinado la rigurosidad requerida para el Proveedor sujeto de análisis en base a su madurez y la novedad del producto, debe seleccionarse el tipo de Auditoría a realizar.
- Auditoría en base a Información disponible: Este tipo de Auditoría es básica y no contempla en su proceso la retroalimentación(feedback) del proveedor auditado. La metodología radica en que el mismo Equipo Auditor responde y completa el cuestionario de Auditoría a partir de la información que pueda encontrarse en los canales públicos del Proveedor.
- Auditoría de Escritorio / Postal: En este caso, se enviará el cuestionario de Auditoría al Proveedor de forma física (postal) o electrónica para que el Proveedor dé respuesta de forma asincrónica, dentro de un rango de tiempo acordado. Las respuestas y contra-preguntas, así como la solicitud de evidencia y documentos de respaldo, serán un flujo constante hasta que el Equipo Auditor se considere apto para realizar un dictamen.
- Auditoría presencial / Online: En este tipo de Auditoría, el Equipo Auditor acuerda un encuentro sincrónico (presencial u online) donde ambas partes lleven a cabo el cuestionario, profundizando donde el equipo auditor así lo requiera.
En principio, pero no estrictamente, puede decirse que la relación Nivel de Riesgo – Tipo de Auditoría es la siguiente:
Cabe aclarar que aquellos Proveedores que se hayan dictaminado como de Nivel de Riesgo alto no se recomienda que deban ser rechazados automáticamente. Es aconsejable evaluarlos con mayor rigurosidad, especialmente cuando se trate de productos y/o servicios tecnológicos innovadores.
2. PLANIFICACIÓN: definición y estrategia
La fase de planificación, recomendamos dividirla en cuatro:
2.1 ALCANCE DE LA AUDITORÍA: Definición del alcance de la auditoría con el fin de cumplir con los objetivos evaluatorios al proveedor. En el alcance se detallarán los puntos a ser evaluados, como por ejemplo:
- Sistema de Gestión de Calidad del Proveedor.
- Certificaciones de Calidad y habilitaciones (ISO, GMP, etc.).
- Actividades asociadas al Ciclo de Vida del Software y/o Servicio GxP que genera la necesidad de auditoría.
2.2 EQUIPO AUDITOR: El Equipo Auditor está compuesto por las personas que llevarán adelante la auditoría. El equipo debe ser multidisciplinario en la medida que los integrantes tengan las capacidades y competencias de poder identificar y evaluar las actividades del Proveedor. Cuando los Equipos sean de más de dos personas, se recomienda que haya un Auditor Líder.
El Equipo Auditor puede ser interno de la Organización Regulada o bien puede ser un equipo externo especializado que opere en nombre de los intereses de esta. En este último caso, se recomienda que el Proveedor sea notificado para poder discutir y pactar todos los puntos de relevancia en los que se ponga en peligro la confidencialidad y se esclarezcan posibles conflictos de intereses, contemplando que es un tercero quien ejecutará la auditoría
2.3 CUESTIONARIO PARA LA AUDITORÍA: Listado con preguntas y apartados que la compañía regulada requiere conocer y comprender en base al Software y/o Servicio que busca implementar y al alcance de la auditoría.
Se recomienda que el cuestionario cuente con ponderación en base al impacto GxP de cada uno de los puntos evaluados, para luego poder realizar un puntaje a la hora de realizar el dictamen final.
El cuestionario debe abarcar todos los puntos necesarios para poder tener un conocimiento detallado del proveedor (descripción de actividades, organigrama, descripciones de puesto, procedimientos críticos, gestión de ciclo de vida del producto, proceso de transferencia de conocimiento, soporte y mantenimiento, liberación de nuevas versiones, administración de recupero ante desastre, entre otros).
2.4 NOTIFICACIÓN AL PROVEEDOR: Una vez establecidos los pasos anteriores, el último pase de esta fase es notificar al proveedor de las actividades a realizar, incluyendo:
- Presentación del Equipo Auditor.
- Razón que dispara la auditoría.
- Propuesta de Modalidad de Auditoría (tipo de auditoría).
- Propuesta de fecha de auditoría (si aplica según tipo).
- Envío de cuestionario (si aplica según tipo).
3. AUDITORÍA: conociendo al proveedor
En esta fase se ejecuta la Auditoría propiamente dicha. Esta etapa aplica principalmente para las Auditorías de tipo Presencial / Online, ya que hace referencia a la acción de reunirse con el Proveedor con el fin de realizar las tareas definidas durante la Planificación.
Esta fase, a su vez, recomendamos dividirla en cuatro etapas:
3.1 REUNIÓN DE AUDITORÍA: Encuentro formal, previamente acordado entre ambas partes. El Auditor Líder deberá presentar el propósito, alcance y agenda de la auditoría.
Se sugiere al Proveedor ofrecer una presentación de las instalaciones a los auditores para familiarizarlos con las instalaciones, procesos, productos de interés y personal clave.
3.2 REVISIÓN E INSPECCIÓN: Proceso formal de evaluación de los puntos definidos como parte del Cuestionario de Auditoría. El objetivo de este punto es verificar y evaluar la capacidad del proveedor y sus procesos, relevando puntos de debilidad, en caso que se los detecte.
El Equipo Auditor debe entrevistar a todas las personas que considere necesarias por la responsabilidad de un proceso o una tarea específica.
Si dentro de la evaluación, el Equipo Auditor cree que es necesario profundizar en un punto al que no se le había dado la suficiente profundidad durante la etapa de planificación, puede y debe hacerlo con el objetivo de asegurar la calidad e integridad del resultado de la auditoría.
3.3. EVIDENCIA DE LA AUDITORÍA: Las respuestas provistas para cada punto del cuestionario no tendrán valor si no cuentan con las evidencias respaldatorias que apoyen cada una de las respuestas brindadas. Las evidencias y ejemplos de casos reales deben ser solicitados al Proveedor siempre que sea posible. Estas evidencias deben ser objetivas, verificables y su origen debe ser trazable. En otras palabras, deben cumplir con las Buenas Prácticas Documentales y de Integridad de Datos (ALCOA y ALCOA+).
3.4 REUNIÓN DE CIERRE: Este encuentro da lugar tanto al Auditor Líder a exponer los hallazgos, ya sean positivos o puntos de preocupación, como también al staff del Proveedor para dar respuesta sobre ellos. Se recomienda que no queden puntos sin resolver a partir de este momento, ya que es la última instancia para documentar cualquier tipo de información significativa para confeccionar el reporte de Auditoría.
Los puntos que se discutan y resuelvan durante esta instancia deben ser documentados. Adicionalmente, este momento es cuando el Equipo Auditor detalla cuáles son los siguientes pasos de la evaluación, notificando al Proveedor sobre el tiempo estimado que demorará emitir el Reporte de Auditoría.
4. POS AUDITORÍA: conclusión y dictamen
Una vez finalizada la evaluación formal del Proveedor, y con una idea clara del Sistema de Gestión de Calidad y el grado de cumplimiento que la operación del Proveedor tiene con este, llega el momento de confeccionar el Reporte de Auditoría.
4.1 REPORTE DE AUDITORÍA: Este reporte es el documento formal que reúne, analiza y genera los puntajes de cada uno de los puntos en base a los hallazgos y la ponderación previa. Más allá del detalle de cada uno de los hallazgos del Equipo Auditor, el Reporte debe determinar claramente el dictamen de la auditoría, es decir, el resultado de ese Proveedor.
El reporte debe ser tratado como confidencial entre el Equipo Auditor y el Proveedor. Este documento debe estar disponible ante futuras auditorías.
El reporte podrá contener, entre otros:
- Detalle del alcance de la auditoría.
- Organización de la auditoría llevada a cabo: Agenda, Criterios, Participantes, etc.
- Detalle del Tipo de Auditoría ejecutada.
- Evidencias y Hallazgos.
- Registro de Reunión de Cierre.
- Conclusiones.
En caso de que la Auditoría tenga un dictamen favorable, la compañía regulada puede decidir:
- Proseguir con el Proveedor y sus servicios ofrecidos.
- Limitarse a utilizar los servicios de forma limitada.
- Postergar la utilización de los servicios en base a Plan de Acciones Correctivas (CAPAs).
Por el contrario, en caso de la que auditoría no haya tenido un dictamen de aceptación, la compañía regulada podría:
- Acordar un Plan de Mitigación en base a los hallazgos.
- Prohibir el uso del proveedor salvo nueva auditoría.
4.2 ACCIONES CORRECTIVAS Y SEGUIMIENTO: En el caso de que el Proveedor deba tomar Acciones Correctivas o de prevención a partir de el resultado de la auditoría, la Compañía deberá acordar un Plan de Acción para mitigar dichas incongruencias. La modalidad de este seguimiento dependerá de la criticidad de los puntos de preocupación. Su registro debe estar apoyado por nuevas evidencias anexadas. Si el Proveedor tampoco cumpliera satisfactoriamente esta instancia, puede replanificarse una nueva estrategia de auditoría.
4.3 RE-EVALUACIÓN / EVALUACIÓN PERIÓDICA: Finalmente, una vez aceptado el Proveedor, la Compañía regulada debe planificar evaluaciones periódicas. Estas suelen enfocarse en áreas específicas y, mientras no sea necesario, no repasan módulos generales o administrativos sino más bien inquietudes concretas.
Puede darse el caso de que una re-evaluación sea devenida en una re-auditoría completa cuando algún punto crítico se vea alterado, por ejemplo:
- Cambios, adquisiciones y/o fusiones de propiedad del Proveedor.
- Cambios en la estructura administrativa, técnica u operacional del Proveedor.
- Cambios en el Sistema de Gestión de Calidad del Proveedor.
- Cambios en el modelo de licenciamiento y/o soporte de los productos (como transición de un software de código cerrado a uno abierto).
La frecuencia de las re-evaluaciones será planificada en base a sus resultados y acordada con el Proveedor.
En conclusión, contar con un proceso de Auditoría a Proveedores IT GxP es un requisito regulatorio explícito, que llevado adelante de una forma controlada tiene la potencialidad de agregar valor al proceso integral de la organización.