Validación de sistemas informáticos

Todas las empresas dependen en la actualidad del uso de las tecnologías de la información y la comunicación para realizar sus procesos de negocio y establecer comunicaciones tanto internas como externas.

La validación de sistemas informáticos permite garantizar que la infraestructura de la empresa, sus herramientas y aplicaciones, y sus procesos de gestión y control, cumplen con un nivel mínimo de calidad según marcan estándares internacionales.  

La validación de sistemas informáticos es un procedimiento importante para demostrar el control y la fiabilidad de todos sus procesos y procedimientos informatizados de cualquier organización o empresa. 

El conocido como sector regulado, con empresas de producto sanitario, laboratorios y farmacéuticas, hacen uso de la validación de sistemas informáticos para asegurar que sus procesos cumplen con las expectativas de funcionamiento, se siguen las mejores prácticas de fabricación y gestión, e incrementan la seguridad de la información sensible que manejan. 

Qué es la validación de sistemas informáticos 

La validación de sistemas informáticos es un proceso que permite asegurar que una tecnología informática produce los resultados esperados y que utiliza las mejores prácticas de la industria donde es utilizado. Esta validación incluye el funcionamiento del hardware y el software, así como su integración con los procesos, gestión y control empresarial. 

Existen muchos tipos de sistemas informáticos como los sistemas de planificación de recursos empresariales (ERP), los sistemas de gestión de relaciones con clientes (CRM), los gestores documentales (EDMS), los sistemas de supervisión, control y adquisición de datos (SCADA), sistemas de gestión de almacén (SGA), instrumentación de laboratorio… entre otros. En el ámbito internacional hay una serie de normativas vinculadas a la calidad del software como son: 

• ISO 12207 - Procesos del ciclo de vida del software. 
• ISO/IEC 9126 - Características de la calidad de un producto software. 
• ISO/IEC 12119 - Productos software: evaluación y test. 
• ISO/IEC 20000 - Gestión de Servicios de Tecnología Informática. 
• ISO/IEC 27001 - Seguridad de la Información y protección de activos Informáticos. 
• CMM y CMMI - Capability Maturity Model. 
• SPICE – ISO / IEC TR 15504 - Software Process Improvement Capability Determination. 

Por otro lado, las normativas 21 CFR Part 11  de la FDA, el Anexo 11 de las EU GMP y la ISO 13485 de Productos Sanitarios, establece la necesidad de validar los sistemas informáticos relacionados con los procesos relacionados con el producto elaborado o distribuido. 

La validación, pues, es la evidencia documentada de que un sistema funciona según el uso previsto. Por ejemplo, si nos centramos en un sistema de gestión documental, la validación se centra en evidenciar que ha sido diseñado y configurado para llevar a cabo las acciones y los flujos definidos para cada tipo de documento.   

Un sistema electrónico de gestión documental (EDMS, del inglés Electronic Document Management System), está diseñado para almacenar, administrar y controlar el flujo de documentos dentro de una empresa u organización. La mayoría de estos productos tienen la capacidad de mantener un registro de las distintas versiones y modificaciones de los documentos que vayan llevando a cabo los usuarios. 

Cómo validar un sistema informático 

Para poder validar un sistema informático es necesario la participación de una empresa o profesionales de la auditoría y validación informática que dispongan de las herramientas y capacitación necesaria para realizar dicha validación. 

La siguiente figura muestra de forma esquemática el flujo a seguir para poder validar un sistema informático: 

Fuente de la imagen: CSV Experts 

El primer paso de la validación de un sistema informático es la planificación donde se establecen las acciones que se van a realizar, quiénes son los responsables y cuáles son los objetivos para realizar la evaluación. Este aspecto se recoge en el Plan de Validación. La validación informática se basará en el análisis de todos los procesos y los riesgos asociados con el fin de asegurar la integridad de los datos y la calidad del producto. 

Se deben definir las necesidades desde el punto de vista tecnológico, informático, funcional y normativo para conocer cuáles son las metas a cumplir mediante el sistema informatizado. Estas necesidades se recogen en el documento de especificación de requerimientos de usuarios URS (User Requirements Specifications), donde se describe lo que se espera que el sistema haga. 

Cada requerimiento debe ser clasificado y calificado en función de si influye directamente en la calidad del producto y su seguridad.  A continuación, se seguirá la secuencia de la validación con las siguientes actividades: 

Cualificación de diseño (DQ), o Design Review (DR) 

La cualificación de diseño DQ (Design Qualification) consiste en la aplicación de un protocolo de verificación para asegurar que el diseño propuesto cumple con los requisitos y normas de seguridad marcados por la ley, además de cumplir con las expectativas del producto en cuanto a su funcionalidad y requisitos operativos marcados por el cliente. 

En esta cualificación se deben tener en cuenta especificaciones funcionales, cumplimiento de requerimientos (como normas de fabricación GMP), especificaciones técnicas de los equipos y componentes del sistema y planos y esquemas técnicos (equipos, flujos, zonas, entre otros). 

Cualificación de instalación (IQ) 

La cualificación de instalación IQ (Installation Qualification) establece que cada equipo, pieza o componente es recibida e instalada en el sistema como ha sido diseñada y especificada en su pedido. Esta cualificación asegura la correcta instalación en un entorno propicio para dar un uso adecuado del componente, software o equipo informático. 

En este proceso de validación se deben comprobar números de serie, modelos, especificaciones, dimensiones, conexiones de entrada y salida, además de otras comprobaciones relacionadas. 

Antes de iniciar las pruebas funcionales se deberá verificar que el sistema instalado cumple con el diseño aprobado y con las recomendaciones del fabricante. En la IQ se incluye: 

• Caracterización del entorno (Test / Producción). 
• Caracterización de los componentes de Hardware y Software. 
• Caracterización de software desarrollado (si aplica). 
• Verificación de la configuración de seguridad, usuarios, backup, etc. 
• Disponibilidad de procedimientos.

Cualificación operacional (OQ)

La Calificación operacional OQ (Operational Qualification) garantiza el buen funcionamiento del sistema instalado en el entorno seleccionado. Esta validación permite comprobar mediante la ejecución de pruebas y test, que los componentes, equipos o software son capaces de operar dentro de los límites de tolerancia marcados.  

En esta fase tendrán lugar pruebas específicas para cada equipo en función de sus distintas características, realizadas en condiciones normales de uso, así como en situaciones más exigentes, para poder evaluar su respuesta y rendimiento. 

Algunas pruebas típicas son, si tomamos el ejemplo del EDMS: 

• Ciclo de vida de la documentación (creación, revisión, aprobación y vigencia). 
• Flujos configurados (nueva creación, versionado o renovación). 
• Administración de flujos. 
• Gestión de usuarios (acceso y privilegios). 
• Firma electrónica. 
• Almacenamiento de datos. 
• Copias controladas. 
• Edición de documentación. 
• Interfases con otros sistemas.

Cualificación de Funcionamiento (PQ)

La cualificación de funcionamiento PQ (Performance Qualification) se realiza concluida la cualificación operacional OQ y tiene como propósito verificar que el sistema responde de forma aceptable en condiciones normales de operación. 

Control de cambios y control de documentos 

La validación de sistemas informáticos debe lleva implícito el control de la documentación de validación. Esta gestión de documentos e informes generados durante el proceso de validación y pruebas de los sistemas es crucial para cualquier empresa, ya que es un sistema de gestión de la información del negocio que garantiza la seguridad, eficiencia, desarrollo, confianza, trazabilidad, calidad de la información. 

El control documental es un requisito para poder obtener certificaciones ISO, como la ISO 9001 (norma de sistemas de gestión de la calidad), además de los requisitos derivados del sistema de calidad farmacéutico y de producto sanitario. 

El ciclo de vida de la validación del software comienza definiendo la especificación de los requisitos y la planificación del diseño (que se recogen en el plan maestro de validación). A continuación se realiza la implementación e instalación de los sistemas, llevándose a cabo pruebas y tests para asegurar y validar el buen funcionamiento, y poder aplicar modificaciones o añadir nuevas funciones.  

Durante todo el proceso de validación de un sistema informático debe llevarse un control minucioso de la documentación e informes generados en cada una de las cualificaciones realizadas. Las cualificaciones y pruebas deben ser llevadas a cabo por profesionales distintos a los que realizaron la instalación del sistema para así poder obtener unos resultados objetivos y reales. 

La validación de sistemas informáticos aporta muchos beneficios a las empresas como el incremento de la calidad de sus productos y servicios, el cumplimiento de normativas legales, la seguridad de la información, la mejora continua, la disminución de costes al optimizar y automatizar procesos, y la reducción de errores en el funcionamiento de su sistema informático gracias a la estandarización y normalización de procesos. 

AMBIT BST 

En AMBIT somos expertos desde hace más de 15 años en el desarrollo de estrategias y soluciones IT para tu compañía. Somos consultores e integradores en múltiples ámbitos, y si quieres conocer más de las soluciones que te podemos ofrecer, no dudes en ponerte en contacto con nosotros.