DIRA Data Integrity Risk Assessment para auditorías GMP

DIRA Data Integrity Risk Assessment: cómo hacerla audit-proof

Durante las auditorías de EMA, FDA y PIC/S, la Integridad de los Datos es uno de los primeros aspectos evaluados. La DIRA – Data Integrity Risk Assessment es la herramienta con la que los inspectores verifican la capacidad de la empresa para identificar y controlar los riesgos relacionados con los datos.
Una DIRA débil o inexistente puede generar observaciones críticas, especialmente cuando faltan controles sobre ALCOA+, audit trail, backups y el ciclo de vida de los datos.

Marco normativo: qué exigen las autoridades

  • WHO 2021: exige una DIRA para todos los sistemas y procesos que generan datos GxP.
  • PIC/S PI 041: la Data Governance debe incluir la evaluación y mitigación de riesgos de Data Integrity.
  • EMA Annex 11 / EU GMP: requiere controles proporcionales a la criticidad de los datos.
  • FDA 21 CFR Part 211/11: integridad de registros, audit trail, accesos individuales.

Los inspectores verifican que la DIRA esté documentada, actualizada, completa y vinculada a CAPAs reales.

Qué buscan los inspectores

1. Mapeo claro del flujo de datos

Los auditores suelen preguntar: “Muéstrenme dónde nace este dato.”
Quieren comprobar que la empresa conoce todo el ciclo de vida del dato y sus puntos vulnerables.

2. Evaluación de riesgos basada en ALCOA+

La falta de análisis de Attributable, Original o Available casi siempre conlleva una observación.

3. Controles técnicos y organizativos coherentes

Ejemplos:

  • audit trail activo y revisado regularmente
  • accesos individuales
  • backups verificados y testeados
  • SOP actualizadas y aplicadas correctamente

4. Acciones de mitigación realmente implementadas

Los inspectores solicitan pruebas: capturas de pantalla, logs, registros, formación.

5. Actualización y gobernanza

Una DIRA con 3 años sin revisiones se considera no conforme.

Cómo evitar observaciones críticas

Estrategias extraídas de la guía:

✔️ 1. Vincular cada riesgo a una fase del Data Lifecycle

A los inspectores les gustan los análisis que muestran riesgos reales:
pérdida de datos en el archivado, manipulaciones en el procesamiento, backdating en el registro, etc.

✔️ 2. Identificar claramente la criticidad de los datos

Los datos de liberación de lote y los ensayos de QC tienen un riesgo intrínseco alto.

✔️ 3. Aplicar controles robustos sobre el audit trail

Las Warning Letters citan con frecuencia audit trails inactivos o no revisados.

✔️ 4. Validar hojas Excel y cálculos manuales

Los auditores siempre solicitan la validación de los cálculos críticos.

✔️ 5. Eliminar cuentas compartidas

Infracción directa del atributo ALCOA Attributable → observación garantizada.

🗂️ Audit Readiness: documentos esenciales

  • DIRA completa y firmada
  • mapa del data flow
  • lista de riesgos con puntuaciones
  • evidencia de mitigaciones implementadas
  • actas del Data Integrity Committee
  • registros de revisión del audit trail
  • pruebas de backup & restore
  • CAPA relacionadas y estado de avance

🔴 Error típico → ✔️ Acción correctiva recomendada

Error: DIRA genérica con puntuaciones “medio” sin justificación
Corrección: definir criterios numéricos e incluir ejemplos concretos de failure modes

Error: no vincular la DIRA a los procesos reales
Corrección: mapear flujos de datos reales con capturas de pantalla o referencias del sistema

Error: mitigaciones no implementadas
Corrección: abrir CAPA, definir responsables y monitorizar en el Quality Council

Conclusión

Una DIRA sólida demuestra al inspector que la empresa conoce sus datos, sus riesgos y sus vulnerabilidades — y que dispone de un sistema de Data Governance maduro.
Mantén tu empresa audit-ready. Descubre la guía completa en GuideGxP.com

Regresar al blog

¿Buscas algo específico?

DESCUBRE TODO EL CATÁLOGO GXP