Audytowanie dostawców systemów skomputeryzowanych powinno być wpisane w politykę zarządzania systemami jako element systemu zapewnienia jakości. Polityka zarządzania systemami skomputeryzowanymi odnosi się do głównych elementów cyklu życia systemów i nadzorowania nimi na każdym etapie – począwszy od projektowania, planowania, przez testy, eksploatację i utrzymanie systemu, kończąc na wycofaniu systemu z użytkowania. W umowach z dostawcami oprogramowania i sprzętu koniecznie należy pamiętać o zapisie pozwalającym klientowi na przeprowadzenie audytu u dostawcy oraz o pisemnym informowaniu klienta przez dostawcę o zmianie poddostawców.

Podział na dostawców usług IT oraz producentów oprogramowania i sprzętu

W zakresie audytowania dostawców należy odrębnie rozpatrywać dostawców usług informatycznych oraz producentów oprogramowania i sprzętu.

Usługi informatyczne mogą dotyczyć m.in. wykonania walidacji oprogramowania, wykonania kwalifikacji sieci/infrastruktury, wsparcia konsultantami na jakimkolwiek z etapów cyklu życia systemu, np.: wsparcie w projektowaniu, powdrożeniowe usługi serwisowe, wsparcie podczas wykonywania testów w zarządzaniu zmianami. W takim przypadku, na audycie kontrolnym u dostawcy usługi, weryfikujemy zdolność tego dostawcy do wykonania ustalonych w umowie zadań. Konieczne jest sprawdzenie kompetencji pracowników. Dotyczy to w szczególności programu cyklicznych szkoleń dostawcy oraz udokumentowanego doświadczenia w dotychczasowej działalności konsultingowej.

Niektóre z usług mogą mieć charakter tymczasowy, czyli wsparcie na konkretny ustalony okres w cyklu życia systemu lub też mogą mieć charakter permanentny, jako umowa świadczenia na stałe usługi wsparcia serwisowego z dokładnie ustalonym zakresem odpowiedzialności – Serwis Level Agreement. W obu przypadkach konieczne jest ustalenie umowami konkretnych odpowiedzialności obu stron wraz ze sposobem przekazywania informacji, zgłoszeń i raportów z wykonanej pojedynczej aktywności w ramach usługi.

W przypadku producentów oprogramowania i sprzętu audyt wygląda trochę inaczej. Sprawdzając producenta, wymagać należy udokumentowanego wdrożonego systemu jakości, według którego produkt wytwarzany dla nas spełnia nasze wymagania. Warto sprawdzić, czego producent (dostawca) wymaga od klienta zanim przedstawi ofertę. Pytania, jakie może nam zadać, to: czy jest wdrożony program szkoleń? czy programiści są na bieżąco zapoznawani z aktualizacją wymagań dla oprogramowania w branży farmaceutycznej? czy etap projektowania i testów projektowych jest właściwie dokumentowany i sprawdzany? czy funkcjonuje odpowiednia polityka dokumentowania, wersjonowania rozwiązań informatycznych? z jakich poddostawców korzysta producent? czy kwalifikuje swoich poddostawców elementów oprogramowania i sprzętu?

Kompetencje personelu dostawcy, doświadczenie i kwalifikacje konsultantów

Zespół, który przeprowadza audyt, powinien być odpowiednio dobrany i składać się z doświadczonych specjalistów, ekspertów. Bardzo istotne jest doświadczenie i wiedza na temat walidacji i zarządzania systemami skomputeryzowanymi. Wartościowa jest znajomość zasad audytowania, aby audyt dostawcy był wymierny i skuteczny.

Po stronie dostawcy doświadczenie we współpracy z producentami w sektorze farmaceutycznym oraz znajomość wymagań prawnych dla branży farmaceutycznej to dodatkowe atuty podczas oceny dostawcy. Rekomendacje od innych klientów danego dostawcy są również dobrym argumentem na korzyść dostawcy. Wdrożone systemy jakości na zgodność z normą ISO 9001 lub inne standardy jakości są gwarancją, że firma postępuje według ogólnie przyjętych zasad i posiada usystematyzowane procesy pod kontrolą, zwłaszcza te, które dotykają współpracy z odbiorcą produktu informatycznego czy usługi IT.

W ramach oceny dostawcy usług informatycznych firma farmaceutyczna będzie wymagała udokumentowanych kompetencji konsultantów dostawcy.  

Cały artykuł został opublikowany w numerze 6/2015 magazynu "Przemysł Farmaceutyczny"

Fot. www.photogenica.pl