---

name: conduct-gxp-audit description: > Realizar una auditoría GxP de sistemas informatizados y procesos. Cubre planificación de la auditoría, reuniones de apertura, recopilación de evidencias, clasificación de hallazgos (crítico/mayor/menor), generación de CAPA, reuniones de cierre, redacción de informes y verificación de seguimiento. Usar para auditorías internas programadas, auditorías de calificación de proveedores, evaluaciones de preparación previa a la inspección, auditorías por causa desencadenadas por desviaciones o preocupaciones de integridad de datos, o revisiones periódicas del estado de cumplimiento de sistemas validados. locale: es source_locale: en source_commit: 6f65f316 translator: claude-sonnet-4-6 translation_date: 2026-03-16 license: MIT allowed-tools: Read Write Edit Bash Grep Glob metadata: author: Philipp Thoss version: "1.0" domain: compliance complexity: advanced language: multi tags: gxp, audit, capa, inspection, compliance, quality-assurance

Realizar Auditoría GxP

Planificar y ejecutar una auditoría GxP de sistemas informatizados, prácticas de integridad de datos o procesos regulados.

Cuándo Usar

• Auditoría interna programada de un sistema informatizado validado
• Auditoría de calificación de proveedor/vendedor para software relevante para GxP
• Evaluación de preparación previa a la inspección antes de una auditoría regulatoria
• Auditoría por causa desencadenada por una desviación, reclamación o preocupación de integridad de datos
• Revisión periódica del estado de cumplimiento de un sistema validado

Entradas

• Requerido: Alcance de la auditoría (sistema, proceso o instalación a auditar)
• Requerido: Regulaciones aplicables (21 CFR Parte 11, EU Anexo 11, GMP, GLP, GCP)
• Requerido: Informes de auditorías anteriores y elementos CAPA abiertos
• Opcional: Documentación de validación del sistema (URS, VP, IQ/OQ/PQ, matriz de trazabilidad)
• Opcional: SOPs, registros de formación, registros de control de cambios
• Opcional: Áreas de riesgo específicas o preocupaciones que desencadenan la auditoría

Procedimiento

Paso 1: Desarrollar el Plan de Auditoría

# Audit Plan
## Document ID: AP-[SYS]-[YYYY]-[NNN]

### 1. Objective
[State the purpose: scheduled, for-cause, supplier qualification, pre-inspection]

### 2. Scope
- **System/Process**: [Name and version]
- **Regulations**: [21 CFR Part 11, EU Annex 11, ICH Q7, etc.]
- **Period**: [Date range of records under review]
- **Exclusions**: [Any areas explicitly out of scope]

### 3. Audit Criteria
| Area | Regulatory Reference | Key Requirements |
|------|---------------------|------------------|
| Electronic records | 21 CFR 11.10 | Controls for closed systems |
| Audit trail | 21 CFR 11.10(e) | Secure, computer-generated, time-stamped |
| Electronic signatures | 21 CFR 11.50 | Manifestation, legally binding |
| Access controls | EU Annex 11, §12 | Role-based, documented |
| Data integrity | MHRA guidance | ALCOA+ principles |
| Change control | ICH Q10 | Documented, assessed, approved |

### 4. Schedule
| Date | Time | Activity | Participants |
|------|------|----------|-------------|
| Day 1 AM | 09:00 | Opening meeting | All |
| Day 1 AM | 10:00 | Document review | Auditor + QA |
| Day 1 PM | 13:00 | System walkthrough | Auditor + IT + System Owner |
| Day 2 AM | 09:00 | Interviews + evidence collection | Auditor + Users |
| Day 2 PM | 14:00 | Finding consolidation | Auditor |
| Day 2 PM | 16:00 | Closing meeting | All |

### 5. Audit Team
| Role | Name | Responsibility |
|------|------|---------------|
| Lead Auditor | [Name] | Plan, execute, report |
| Subject Matter Expert | [Name] | Technical assessment |
| Auditee Representative | [Name] | Facilitate access and information |

Esperado: Plan de auditoría aprobado por la dirección de calidad y comunicado al auditado al menos 2 semanas antes de la auditoría. En caso de fallo: Reprogramar si el auditado no puede proporcionar la documentación o el personal requeridos.

Paso 2: Realizar la Reunión de Apertura

Orden del día:

1. Presentar al equipo auditor y sus roles
2. Confirmar alcance, cronograma y logística
3. Explicar el sistema de clasificación de hallazgos (crítico/mayor/menor)
4. Confirmar acuerdos de confidencialidad
5. Identificar acompañantes del auditado y custodios de documentos
6. Responder preguntas

Esperado: Reunión de apertura documentada con registro de asistencia. En caso de fallo: Si el personal clave no está disponible, reprogramar las actividades de auditoría afectadas.

Paso 3: Recopilar y Revisar Evidencias

Revisar la documentación y los registros frente a los criterios de auditoría:

3a. Revisión de Documentación de Validación

• La URS existe y está aprobada
• El plan de validación coincide con la categoría del sistema y el riesgo
• Los protocolos IQ/OQ/PQ ejecutados con resultados documentados
• La matriz de trazabilidad vincula los requisitos con los resultados de prueba
• Las desviaciones documentadas y resueltas
• El informe de resumen de validación aprobado

3b. Revisión de Controles Operacionales

• Los SOPs actuales y aprobados
• Los registros de formación demuestran competencia para todos los usuarios
• Los registros de control de cambios completos (solicitud, evaluación, aprobación, verificación)
• Los informes de incidentes/desviaciones gestionados según el SOP
• La revisión periódica realizada según el cronograma

3c. Evaluación de Integridad de Datos

• El registro de auditoría habilitado y no modificable por los usuarios
• Las firmas electrónicas cumplen los requisitos regulatorios
• Los procedimientos de copia de seguridad y recuperación documentados y probados
• Los controles de acceso hacen cumplir los permisos basados en roles
• Los datos son atribuibles, legibles, contemporáneos, originales y precisos (ALCOA+)

3d. Revisión de Configuración del Sistema

• La configuración de producción coincide con el estado validado
• Cuentas de usuario revisadas — sin cuentas compartidas, cuentas inactivas deshabilitadas
• Los relojes del sistema sincronizados y precisos
• Los parches de seguridad aplicados según el control de cambios aprobado

Esperado: Evidencias recopiladas como capturas de pantalla, copias de documentos, notas de entrevista con marcas de tiempo. En caso de fallo: Registrar "no se puede verificar" como una observación y anotar el motivo.

Paso 4: Clasificar los Hallazgos

Clasificar cada hallazgo por severidad:

Clasificación	Definición	Respuesta Requerida
Crítico	Impacto directo en la calidad del producto, seguridad del paciente o integridad de datos. Fallo sistemático de un control clave.	Contención inmediata + CAPA en 15 días hábiles
Mayor	Desviación significativa de los requisitos GxP. Potencial de impactar la integridad de datos si no se corrige.	CAPA en 30 días hábiles
Menor	Desviación aislada del procedimiento. Sin impacto directo en la integridad de datos o calidad del producto.	Corrección en 60 días hábiles
Observación	Oportunidad de mejora. No es un requisito regulatorio.	Opcional — seguido para análisis de tendencias

Documentar cada hallazgo:

## Finding F-[NNN]
**Classification:** [Critical / Major / Minor / Observation]
**Area:** [Audit trail / Access control / Change control / etc.]
**Reference:** [Regulatory clause, e.g., 21 CFR 11.10(e)]

**Observation:**
[Objective description of what was found]

**Evidence:**
[Document ID, screenshot reference, interview notes]

**Regulatory Expectation:**
[What the regulation requires]

**Risk:**
[Impact on data integrity, product quality, or patient safety]

Esperado: Cada hallazgo tiene clasificación, evidencia y referencia regulatoria. En caso de fallo: Si la clasificación está en disputa, escalar al responsable del programa de auditoría para arbitraje.

Paso 5: Realizar la Reunión de Cierre

Orden del día:

1. Presentar el resumen de hallazgos (no deben plantearse nuevos hallazgos)
2. Revisar las clasificaciones de los hallazgos
3. Analizar las expectativas preliminares de CAPA y los plazos
4. Confirmar los próximos pasos y el cronograma del informe
5. Reconocer la cooperación del auditado

Esperado: Reunión de cierre documentada con asistencia. El auditado reconoce los hallazgos (reconocimiento ≠ acuerdo). En caso de fallo: Si el auditado disputa un hallazgo, documentar el desacuerdo y escalar según el SOP.

Paso 6: Redactar el Informe de Auditoría

# Audit Report
## Document ID: AR-[SYS]-[YYYY]-[NNN]

### 1. Executive Summary
An audit of [System/Process] was conducted on [dates] against [regulations].
[N] findings were identified: [n] critical, [n] major, [n] minor, [n] observations.

### 2. Scope and Methodology
[Summarize audit plan scope, criteria, and methods used]

### 3. Findings Summary
| Finding ID | Classification | Area | Brief Description |
|-----------|---------------|------|-------------------|
| F-001 | Major | Audit trail | Audit trail disabled for batch record module |
| F-002 | Minor | Training | Two users missing annual GxP training |
| F-003 | Observation | Documentation | SOP formatting inconsistencies |

### 4. Detailed Findings
[Include full finding details from Step 4 for each finding]

### 5. Positive Observations
[Document areas of good practice observed during the audit]

### 6. Conclusion
The overall compliance status is assessed as [Satisfactory / Needs Improvement / Unsatisfactory].

### 7. Distribution
| Recipient | Role |
|-----------|------|
| [Name] | System Owner |
| [Name] | QA Director |
| [Name] | IT Manager |

### Approval
| Role | Name | Signature | Date |
|------|------|-----------|------|
| Lead Auditor | | | |
| QA Director | | | |

Esperado: Informe emitido dentro de los 15 días hábiles posteriores a la reunión de cierre. En caso de fallo: Si se supera el plazo de 15 días, notificar a las partes interesadas y documentar el motivo.

Paso 7: Hacer Seguimiento de las CAPA y Verificar la Efectividad

Para cada hallazgo que requiere una CAPA:

## CAPA Tracking
| Finding ID | CAPA ID | Root Cause | Corrective Action | Due Date | Status | Effectiveness Check |
|-----------|---------|------------|-------------------|----------|--------|-------------------|
| F-001 | CAPA-2025-042 | Configuration oversight during upgrade | Enable audit trail, verify all modules | 2025-04-15 | Open | Scheduled 2025-07-15 |
| F-002 | CAPA-2025-043 | Training matrix not updated | Complete training, update tracking | 2025-05-01 | Open | Scheduled 2025-08-01 |

Esperado: Las CAPA están asignadas, se les hace seguimiento y su efectividad se verifica según el cronograma definido. En caso de fallo: Las CAPA sin resolver se escalan a la dirección de Aseguramiento de Calidad y se señalan en el siguiente ciclo de auditoría.

Validación

• Plan de auditoría aprobado y comunicado antes de la auditoría
• Las reuniones de apertura y cierre documentadas con asistencia
• Evidencias recopiladas con marcas de tiempo y referencias de fuente
• Cada hallazgo tiene clasificación, evidencia y referencia regulatoria
• Informe de auditoría emitido en 15 días hábiles
• CAPA asignadas con fechas de vencimiento para todos los hallazgos críticos y mayores
• Las CAPA de auditorías anteriores verificadas para cierre efectivo

Errores Comunes

• Expansión del alcance: Ampliar el alcance de la auditoría durante la ejecución sin acuerdo formal lleva a cobertura incompleta y disputas.
• Hallazgos basados en opiniones: Los hallazgos deben hacer referencia a requisitos regulatorios específicos, no a preferencias personales.
• Tono adversarial: Las auditorías son ejercicios colaborativos de mejora de la calidad, no interrogatorios.
• Ignorar los aspectos positivos: Reportar solo los hallazgos sin reconocer las buenas prácticas socava la confianza.
• Sin verificación de efectividad: Cerrar una CAPA sin verificar que la corrección realmente funciona es una cita regulatoria recurrente.

Habilidades Relacionadas

• perform-csv-assessment — evaluación del ciclo de vida CSV completo (URS hasta resumen de validación)
• setup-gxp-r-project — estructura del proyecto para entornos R validados
• implement-audit-trail — implementación de registro de auditoría para registros electrónicos
• write-validation-documentation — redacción de protocolos e informes IQ/OQ/PQ
• security-audit-codebase — auditoría de código enfocada en seguridad (perspectiva complementaria)