Qué se espera del Audit Trail de un Sistema Informatizado
En este artículo, analizamos qué se espera del audit trail de un sistema informatizado y mostramos un ejemplo práctico de cómo llevar a cabo la gestión del audit trail
Audit trails bien administrados son indicadores clave de buenos controles internos del negocio. Los audit trails han pasado de ser manuales a registros electrónicos automatizados que hacen que el histórico de información sea más preciso, fácilmente accesible y usable.
El Audit Trail de un Sistema Informatizado es una herramienta fundamental para tener control de la información y detectar y mitigar a tiempo violaciones de la seguridad de los datos, corrupción de los datos o el uso incorrecto de la información. Y requiere el compromiso de arriba hacia abajo, desde los niveles de gerencia, los departamentos afectados y el equipo de IT.
En este artículo, vamos a revisar lo que debe incluir el audit trail de un sistema informatizado y una propuesta de gestión de audit trail para sistemas informatizados regulados.
Qué es un audit trail
Los audit trails son registros electrónicos seguros que permiten la reconstrucción de eventos relacionados con la creación, modificación o eliminación de registros electrónicos.
Estos registros proporcionan documentación de respaldo e historial para autenticar acciones operativas y de seguridad, o para detectar y mitigar desviaciones. Es decir, proporcionan prueba de cumplimiento e integridad operacional. Son verificados en la validación del sistema informatizado, el audit trail es una herramienta para mantener la información y la integridad del sistema.
Qué debe incluir el audit trail de un sistema informatizado
Regulación
Tanto la FDA como la EMA recomiendan que las empresas adopten un enfoque basado en riesgos al determinar dónde aplicar (gestión de datos maestros y operaciones) el audit trail de un sistemas informatizado.
Según las recomendaciones de la EMA, en referencia al audit trail de un sistema informatizado, las regulaciones del Anexo 11 de Eudralex establecen que “se debe considerar, en función de una evaluación de riesgos, incorporar al sistema la creación de un registro de todos los cambios y eliminaciones relevantes a las GMP (un audit trail generado por el sistema)”.
Requisitos normativos
Requisitos del audit trail de un sistema informatizado:
- En el registro de las tareas reguladas debe quedar identificada la persona, sistema o equipo que genera el dato. Para hacer posible el cumplimiento de este requisito se solicita a los administradores del sistema la codificación correcta de los usuarios del sistema y los equipos de procesos integrados con el sistema, con el fin de que el código pueda identificar de forma única el usuario o equipo.
- En el registro de las tareas reguladas debe quedar identificada la persona o sistema que realiza la actividad, que genera o modifica datos.
- En el registro de las tareas reguladas debe quedar registro de los datos y metadatos necesarios.
- Datos y metadatos asociados al registro de audit trail: fecha/hora, usuario, entidad afectada, valor nuevo, valor antiguo y motivo de cambio (para modificaciones y bajas).
- Se encontrarán disponibles tanto los datos originales como las modificaciones posteriores y los resultados generados por el sistema.
Características del sistema de audit trail
Los audit trails se utilizan principalmente para garantizar la integridad de los registros electrónicos. De acuerdo con la información que aportan las regulaciones y guías de buenas prácticas, el sistema de audit trail debe reunir las siguientes características:
- Disponible: los audit trails deben mantenerse de tal forma que se asegure que están siempre disponibles para los organismos reguladores en un formato que pueda copiarse y revisarse.
- Automático: las entradas del audit trail no pueden ser actualizadas manualmente por los usuarios. El sistema informático debe capturarlas de forma automática cuando se crea, modifica o elimina un registro electrónico.
- Custodiado: el audit trail debe conservarse por tanto tiempo como sea requerido que perdure el registro electrónico correspondiente.
- Rastreable: cada entrada debe ser atribuible a la persona responsable de la entrada directa de datos. Las actualizaciones realizadas a los registros de datos no deben ocultar los valores anteriores y, cuando lo exija la regulación, también se debe registrar la razón para cambiar los datos.
- Contemporáneo: cada entrada debe tener marca de tiempo usando un sistema de reloj controlado que no se puede cambiar.
- Seguro: los datos del seguimiento de auditoría deben almacenarse de forma segura y no deben ser editables por ningún usuario.
Propuesta de gestión del audit trail
A continuación, mostramos una propuesta básica de gestión del audit trail (AT) de un sistema informatizado regulado (SI).
En la primera fase, se identifican las necesidades y funcionalidades críticas del sistema (datos maestros; procesos; usuarios, contraseñas y seguridades; registros generados, almacenados y/o procesados).
No se requiere el control de audit trail para toda la aplicación. Se usará la herramienta de análisis de riesgos para establecer la criticidad de datos maestros, procesos y seguridades a lo largo del proyecto de validación.
Las entidades y procesos que resulten críticos deberán contar con Audit Trail.
En la segunda fase, se configura el sistema de audit trail y se lleva a cabo el registro de los eventos relacionados con la creación, modificación o eliminación de registros electrónicos.
Configuración del audit trail: el sistema debe disponer de una pantalla de configuración de datos maestros con control de audit trail. El control podrá aplicarse a nivel de ficha general (se auditarán todos los campos de la pantalla) o por campo.
Un ejemplo puede ser la configuración de parámetros de la ficha de artículo, proveedores, clientes o tipos de almacén (estos datos se decidirán según un análisis de riesgos).
La configuración del audit trail podría ser la siguiente:
| Familia | Tipo | Campo | Descripción |
| Almacenes | F | – | – |
| Artículo | C | DESA | Descripción Artículo |
| Artículo | C | SECI | Sección |
En este ejemplo, se controlaría cualquier cambio en la configuración de almacenes y únicamente el cambio de descripción en la configuración del artículo.
Asimismo, será necesaria una pantalla de administración que permita definir los motivos de cambio aceptados.
Ejemplo:
| Código | Descripción del motivo |
| ERROR MANUAL | Error en la introducción manual del dato |
| NO CONFORMIDAD | Cambio de valor de parámetro debido al estudio de una no conformidad |
| I+D | Cambio de valor de parámetro debido a proyecto I+D |
Aplicación del audit trail: el sistema debe solicitar el motivo de modificación o baja. Podemos asociar motivos previamente parametrizados (para que en el momento de añadir la causa se muestre una lista desplegable) y una descripción libre del motivo con el fin de concretar cada caso.
Registros del audit trail: el sistema debe registrar el alta, modificación o baja de los parámetros que se consideren críticos para el proceso informatizado.
En este caso debe registrarse:
- Fecha y hora.
- Usuario que realiza la acción de alta, modificación o baja.
- Entidad en la que se realizan los cambios.
- Campo afectado de la entidad. Se realizará un registro por campo modificado.
- Tipo de acción realizada: alta, baja o modificación.
- Valor antiguo y valor nuevo.
- Motivo por el que el cambio ha sido realizado. Listado desplegable.
- Texto libre para describir el motivo (opcional).
Ejemplo de audit trail de un sistema informatizado:
Si necesitas ayuda para configurar e implementar audit trails en tu organización, en Oqotech contamos con más de 10 años de experiencia ayudando a empresas de sectores regulados a informatizar sus procesos, asegurar la integridad de sus datos y validar sus sistemas informatizados.
Contacta con nuestro equipo de consultores expertos.
