12 minutos de lectura

El registro de auditoría de la revisión en línea: lo que necesitan los sectores regulados

El registro de auditoría de la revisión en línea: lo que necesitan los sectores regulados

Y

Tienes un problema. Tanto si estás gestionando una investigación sobre la retirada de un producto, una revisión normativa de una promoción financiera o una auditoría de la FCA sobre materiales de marketing de seguros, la pregunta es la misma: ¿puedes demostrar exactamente quién aprobó este contenido, qué versión se autorizó y cuándo?

Para los equipos de los sectores farmacéutico, de bienes de consumo de alta rotación (FMCG), de seguros y de servicios financieros, esta pregunta no es hipotética. Conlleva consecuencias reales: conclusiones regulatorias, medidas coercitivas, daño a la reputación y, en algunos casos, responsabilidad por productos defectuosos. Sin embargo, la mayoría de las plataformas de revisión en línea de uso habitual se crearon para resolver un problema de colaboración, no de cumplimiento normativo. Se diseñaron para sustituir las cadenas de correos electrónicos y agilizar las revisiones creativas. El escrutinio regulatorio es una cuestión secundaria, si es que se tiene en cuenta.

Este artículo expone qué requiere un registro de auditoría de revisión en línea que cumpla verdaderamente con la normativa, en qué aspectos fallan la mayoría de las herramientas y qué deben tener en cuenta los equipos de los sectores regulados a la hora de elegir o revisar su infraestructura de aprobación.

¿Qué es un registro de auditoría de revisiones en línea? Un registro de auditoría de revisiones en línea es un registro seguro, con marca de tiempo y a prueba de manipulaciones de todas las acciones realizadas durante un proceso de revisión y aprobación de contenidos. Recoge quién revisó cada versión de un archivo, qué comentarios se aportaron, qué versión recibió la aprobación formal y cuándo se produjo cada uno de esos eventos. En los sectores regulados, este registro debe poder atribuirse a personas concretas, estar completo en todas las versiones y poder recuperarse bajo demanda para una inspección regulatoria o una auditoría interna.


Puntos clave

  • La mayoría de las herramientas de revisión en línea proporcionan registros de actividad, no verdaderos registros de auditoría; la diferencia es muy importante en contextos regulados.
  • Una pista de auditoría conforme a la normativa debe ser atribuible, completa, a prueba de manipulaciones y recuperable bajo demanda.
  • Los equipos de los sectores farmacéutico, de bienes de consumo de alta rotación (FMCG), de seguros y de servicios financieros se enfrentan a requisitos normativos distintos, pero comparten las mismas necesidades fundamentales en materia de registro de auditoría.
  • Entre las deficiencias más comunes se encuentran las sesiones de revisión anónimas, los historiales de versiones incompletos, los procesos de aprobación informales y los revisores externos que operan al margen del flujo de trabajo auditable.
  • Los equipos sujetos a regulación necesitan flujos de trabajo de revisión diseñados desde el principio para garantizar la rendición de cuentas, y no herramientas generales de colaboración creativa adaptadas a posteriori.

4

Por qué el registro de auditoría es un requisito normativo, y no un simple extra

Es comprensible el instinto de considerar el registro de auditoría como una carga administrativa. Cuando una campaña de diseño gráfico de envases cuenta con 14 partes interesadas en tres mercados, o una promoción financiera está siendo revisada simultáneamente por los departamentos jurídico, de cumplimiento normativo y de marketing, la prioridad parece ser obtener las aprobaciones, no documentarlas.

Pero para los sectores regulados, la documentación es el cumplimiento normativo. Los marcos normativos que rigen los materiales farmacéuticos, el etiquetado de alimentos, las comunicaciones de seguros y las promociones financieras no solo exigen que las personas adecuadas aprueben el contenido, sino que exigen pruebas de que lo hicieron, en el orden correcto y en el momento adecuado.

El contexto normativo

Los marcos específicos varían según el sector —la norma 21 CFR Parte 11 y el Anexo 11 de las BPF de la UE para el sector farmacéutico; el «Consumer Duty» de la FCA y el SM&CR para el sector de los seguros; la MiFID II y la Norma 2210 de la FINRA para los servicios financieros—, pero la expectativa subyacente es la misma en todos ellos. Los registros de aprobación deben generarse por ordenador, llevar un sello de fecha y hora, estar vinculados a personas concretas y estar protegidos contra modificaciones.

La implicación práctica es la siguiente: si su plataforma de revisión en línea genera un registro de actividades pero no puede responder a las preguntas que plantearía un organismo regulador, lo que tiene es una herramienta de visibilidad, no un registro de cumplimiento normativo.

Lo que ofrecen realmente la mayoría de las herramientas de revisión en línea

La mayoría de las plataformas de revisión en línea se diseñaron para resolver un problema de colaboración: demasiadas cadenas de correos electrónicos, demasiada confusión con las versiones y muy poca visibilidad sobre en qué punto se había estancado un proyecto. Lo hacen razonablemente bien. Pero los requisitos de cumplimiento plantean cuestiones diferentes.

Registros de actividad frente a registros de auditoría

Muchas plataformas ofrecen un feed de actividad que muestra las acciones recientes: comentarios añadidos, archivos subidos, cambios de estado realizados. Esto resulta útil para la gestión de proyectos. No es lo mismo que una pista de auditoría.

Un registro de auditoría auténtico está estructurado, es completo y permite recuperar cada registro individualmente. Los registros de actividad filtrados por fecha, que no vinculan cada acción a una versión específica del archivo, o que pueden ser editados o eliminados por los administradores, no son defendibles en un contexto de cumplimiento normativo.

Sesiones de revisión anónimas y compartidas

La atribución es un requisito fundamental para cualquier registro de aprobación que cumpla con la normativa. En los sectores farmacéutico y de servicios financieros, esto es explícito: las aprobaciones deben estar vinculadas a personas concretas, no a inicios de sesión compartidos ni a cuentas genéricas de equipo.

Si una promoción financiera fue aprobada mediante un inicio de sesión compartido entre tres personas, no se puede demostrar quién tomó la decisión. Según las normas de la FCA, que exigen un responsable de la aprobación identificado y autorizado para cada promoción financiera, esto no es solo una deficiencia administrativa, sino también normativa.

Historiales de versiones incompletos

Las plataformas que no aplican una gestión estricta de las versiones —numerando automáticamente cada iteración de un archivo, impidiendo la sobrescritura y manteniendo la secuencia completa de revisiones— crean lagunas que resultan imposibles de reconstruir posteriormente. Un regulador que revise una disputa sobre el diseño gráfico de un envase o la comunicación de un producto de seguros necesita ver todas las versiones que se distribuyeron, no solo el archivo final aprobado.

Ausencia de un mecanismo formal de aprobación

Muchas herramientas de revisión tratan la aprobación como un cambio de estado en el flujo de trabajo. Se trata de un desencadenante del proceso, no de un registro de cumplimiento normativo. Los entornos regulados exigen que las aprobaciones estén vinculadas a una identidad autenticada y se registren de forma que no puedan modificarse retroactivamente.

Lagunas en la conservación y la exportación

Las plataformas que carecen de informes de auditoría exportables, o que tienen políticas de conservación indefinidas, plantean problemas prácticos en el momento de la investigación o la revisión regulatoria.

Lo que realmente requiere un registro de auditoría conforme

1. Atribuibilidad

Cada acción debe estar vinculada a una persona identificada y autenticada. No se admiten credenciales compartidas. En entornos sujetos a normativas sobre firma electrónica o aprobación de promociones financieras, esto se amplía hasta exigir una nueva autenticación en el momento de la firma formal.

2. Exhaustividad

El registro debe abarcar todo el ciclo de vida de cada versión del archivo, desde la subida hasta cada ciclo de revisión, anotación, solicitud de revisión y aprobación o rechazo formal.

3. A prueba de manipulaciones

Los administradores no pueden editar ni eliminar registros de aprobación. El sistema registra el acceso al propio registro de auditoría. Se registra cualquier intento de modificar un registro cerrado.

4. Recuperabilidad

Se debe poder acceder en cuestión de minutos a un historial de aprobaciones completo y con marca de tiempo de cualquier activo, en un formato estructurado y legible, sin necesidad de realizar un esfuerzo manual para recopilarlo.

Marcas farmacéuticas y sanitarias

Los equipos de marketing y envasado del sector farmacéutico operan bajo algunos de los requisitos más estrictos en materia de registros electrónicos. La norma 21 CFR Parte 11 se aplica a los registros y firmas electrónicos utilizados en actividades reguladas en EE. UU., y establece requisitos específicos para la generación de registros de auditoría, los controles de acceso y las comprobaciones operativas. Los equipos con sede en la UE se enfrentan a obligaciones similares en virtud del Anexo 11 de las BPF.

La MHRA, la FDA y organismos equivalentes han identificado la revisión inadecuada de las pistas de auditoría como una deficiencia recurrente en las inspecciones. Para profundizar en cómo los equipos de marketing farmacéutico estructuran flujos de trabajo de aprobación que cumplen con la normativa, este artículo aborda las consideraciones clave.

Dalim regulated industries

Marcas de productos de gran consumo (FMCG) y bienes de consumo

Las marcas de bienes de consumo de rápida rotación (FMCG) se enfrentan a requisitos de cumplimiento que son menos prescriptivos en cuanto a las normas sobre registros electrónicos, pero no por ello menos exigentes en la práctica. Para conocer más de cerca cómo los equipos de FMCG gestionan las aprobaciones de envases a gran escala, este artículo aborda las consideraciones operativas clave.

En el caso de las marcas de bienes de consumo de rápida rotación (FMCG) presentes en múltiples mercados, la participación de agencias externas y proveedores de envases implica que una pista de auditoría que funcione dentro de un único equipo interno, pero que no pueda registrar las aprobaciones de las partes interesadas externas, es, por definición, incompleta.

Marcas y aseguradoras

El sector de los seguros es uno de los entornos de comunicación más estrictamente regulados, aparte del marketing farmacéutico, y las obligaciones de cumplimiento normativo en torno al contenido dirigido a los clientes se han vuelto significativamente más exigentes en los últimos años.

En el Reino Unido, el marco de «Deber hacia el Consumidor» (Consumer Duty) de la FCA exige a las empresas que demuestren resultados positivos para los clientes, una obligación que se extiende directamente al marketing y a las comunicaciones sobre los productos. Las aseguradoras deben poder demostrar que el contenido era preciso, claro y no engañoso en el momento en que se aprobó y distribuyó. El Régimen de Altos Directivos y Certificación (SM&CR) añade un nivel adicional de responsabilidad individual, exigiendo a las empresas que identifiquen a la persona concreta responsable de cada área de cumplimiento normativo.

Las implicaciones prácticas para los flujos de trabajo de aprobación son significativas. En virtud del «Consumer Duty» y del SM&CR, no basta con contar con una autorización general de cumplimiento para un contenido de marketing. El registro debe indicar qué persona concreta y autorizada lo aprobó, en qué versión y cuándo. Si posteriormente se comprueba que el contenido ha causado un perjuicio al consumidor, el regulador buscará precisamente este tipo de documentación.

Los requisitos de gobernanza de Solvencia II refuerzan de manera similar la necesidad de contar con pistas de auditoría claras en torno a las decisiones y comunicaciones relevantes, siendo el consejo de administración el responsable último de la idoneidad de la documentación y las estructuras de supervisión.

Para los equipos de seguros que gestionan grandes volúmenes de documentación sobre productos, documentos de pólizas, comunicaciones de renovación y contenido digital a través de múltiples canales y mercados, la capacidad de mantener un registro de aprobación estructurado y auditable de toda esa producción supone un reto tanto operativo como de cumplimiento normativo.

Empresas de servicios financieros

Podría decirse que el sector de los servicios financieros es aquel en el que las consecuencias de una documentación inadecuada sobre la aprobación de contenidos son más visibles de forma inmediata. Una promoción financiera que llega a los consumidores sin la debida autorización de cumplimiento normativo no es solo un riesgo regulatorio: en algunas jurisdicciones, constituye un delito.

En el Reino Unido, toda promoción financiera debe ser aprobada por una persona designada y autorizada por la FCA antes de ser comunicada al público. El «Conduct of Business Sourcebook» (COBS) de la FCA establece las normas, y el requisito de la pista de auditoría está implícito en la propia obligación: si se impugna una promoción, la empresa debe poder demostrar quién la aprobó, cuándo y sobre la base de qué versión.

En EE. UU., la Norma 2210 de la FINRA regula las comunicaciones de los corredores de bolsa con el público y exige que las comunicaciones dirigidas a los particulares sean aprobadas por un responsable registrado antes de su uso. Las inspecciones de la SEC y la FINRA suelen incluir solicitudes de registros de aprobación de contenidos. En Europa, la MiFID II exige que los registros de las comunicaciones de asesoramiento y marketing se conserven con protección a prueba de manipulaciones y marcas de tiempo claras, y que se mantengan durante un mínimo de cinco años.

Los tipos de contenido incluidos en el ámbito de aplicación son muy amplios. Los folletos de productos, los anuncios digitales, las campañas de correo electrónico, las publicaciones en redes sociales, las presentaciones de ventas y los informes dirigidos a los clientes pueden constituir promociones financieras o comunicaciones reguladas, dependiendo de su contenido y de su público. Cada uno de ellos requiere un registro de aprobación que identifique a la persona que lo autoriza, incluya la marca de tiempo de la aprobación y conserve la versión exacta que se aprobó.

Esto supone un reto en cuanto al volumen para los equipos de marketing y cumplimiento normativo de los servicios financieros. Las plataformas que automatizan la captura de los registros de aprobación como resultado del proceso de revisión —en lugar de requerir pasos de documentación independientes— son la única solución práctica a gran escala.

Un marco práctico: cómo crear un proceso de aprobación preparado para auditorías

  1. Identifica tu cadena de partes interesadas. Documenta a todas las personas y equipos que intervienen en un archivo durante el ciclo de vida de la aprobación, incluidas las agencias externas y los proveedores.
  2. Defina qué constituye una aprobación formal. Distinga entre un comentario de revisión, una recomendación de aprobación y una aprobación formal.
  3. Audita tu gestión actual de versiones. Comprueba si tu plataforma conserva todas las versiones distribuidas, bloquea las revisiones y evita la sobrescritura.
  4. Confirma los requisitos de atribución. Comprueba si todos los usuarios disponen de cuentas individuales y si existen inicios de sesión compartidos en alguna parte del flujo de trabajo.
  5. Prueba tu capacidad de exportación. Genera un informe de auditoría para un proyecto finalizado y evalúa si satisfaría a un organismo regulador o a un auditor interno.
  6. Armonice las políticas de conservación. La MiFID II exige un mínimo de cinco años; los requisitos de conservación en el sector farmacéutico dependen del ciclo de vida del producto.
  7. Incluya a revisores externos en el sistema. Incorpore a agencias y proveedores al flujo de trabajo auditable a través de portales de acceso controlado.

Tradicional frente a moderno: cómo han cambiado los flujos de trabajo de aprobación

Aspecto Tradicional (correo electrónico/impresión) Moderno (revisión específica)
Atribución A menudo ausente o poco fiable Cuentas de usuario individuales con autenticación obligatoria
Control de versiones Nombramiento manual de archivos; fácil perder la pista Numeración automática de versiones; versiones bloqueadas y conservadas
Exhaustividad Fragmentada entre hilos de correo electrónico y anotaciones Todas las anotaciones, decisiones y aprobaciones en un único registro
Protección contra la manipulación Sin protección contra la edición o la eliminación Registros generados por el sistema protegidos contra modificaciones
Recuperabilidad Recopilación manual; puede llevar días Informe de auditoría exportable generado bajo demanda

Consideraciones tecnológicas: qué hay que tener en cuenta

Los equipos sujetos a regulación en los sectores farmacéutico, de bienes de consumo de alta rotación (FMCG), de seguros y de servicios financieros deben considerar lo siguiente como requisitos básicos:

  • Autenticación individual de los usuarios: no se permiten inicios de sesión compartidos
  • Registro de auditoría automático generado por el sistema que el usuario no puede editar ni suprimir
  • Conservación íntegra de las versiones: cada archivo se almacena, se numera y se bloquea
  • Capacidad de aprobación formal vinculada a la identidad autenticada
  • Acceso de las partes interesadas externas con la misma atribución que los usuarios internos
  • Informes de auditoría bajo demanda en un formato estructurado y exportable
  • Políticas de retención configurables
  • Controles de acceso basados en roles con registro de eventos de acceso

Las capacidades de revisión y aprobación de DALIM FUSION se basan precisamente en este tipo de flujo de trabajo estructurado y orientado al cumplimiento normativo, que incluye registros de auditoría completos, historiales de revisiones bloqueados y controles de acceso basados en roles en procesos de revisión complejos en los que intervienen múltiples partes interesadas.

1

El papel de la automatización de flujos de trabajo en la integridad de la auditoría

Un factor que a menudo se subestima en la calidad de la pista de auditoría es el papel que desempeña la automatización del flujo de trabajo a la hora de garantizar que el registro esté completo. Cuando los pasos de revisión y aprobación son impuestos por el propio flujo de trabajo, la pista de auditoría se convierte en un resultado natural del proceso, en lugar de un ejercicio de documentación independiente. Para los equipos de servicios financieros que gestionan grandes volúmenes de promociones financieras, o para los equipos de seguros que gestionan documentación de productos en múltiples canales, esta distinción es muy importante desde el punto de vista operativo.

Para las marcas que gestionan amplias carteras de contenidos en múltiples mercados —tal y como se detalla en el caso práctico de ISDIN —, la combinación de flujos de trabajo estructurados y el registro automatizado de auditorías es lo que permite lograr una trazabilidad completa a gran escala.

Conclusión

Para los equipos de los sectores farmacéutico, de bienes de consumo de alta rotación (FMCG), de seguros y de servicios financieros, la diferencia entre un registro de actividades de uso general y un registro de auditoría que cumpla realmente con la normativa es significativa. La atribución, la exhaustividad, la protección contra la manipulación y la recuperabilidad no son mejoras opcionales. Son la base de un registro de aprobación defendible y, en algunos sectores, un requisito legal.

Defina sus requisitos de cumplimiento antes de evaluar las plataformas. ¿Puede la plataforma generar un registro de aprobación completo y estructurado bajo demanda? ¿Se incluyen a los revisores externos en el mismo flujo de trabajo atribuible que a los equipos internos? ¿Puede identificar a la persona concreta que aprobó una versión específica de un contenido concreto y generar ese registro en cuestión de minutos?

Si no se puede responder a estas preguntas con seguridad, la plataforma no es adecuada para un uso regulado.

Hable con el equipo de DALIM sobre cómo DALIM FUSION da soporte a operaciones de producción con estrictos requisitos de cumplimiento normativo en los sectores farmacéutico, de bienes de consumo de alta rotación (FMCG), de seguros y de servicios financieros.

Preguntas frecuentes

¿Cuál es la diferencia entre un registro de actividades y un registro de auditoría en la revisión en línea? Un registro de actividades recoge las acciones recientes para facilitar la visibilidad en la gestión de proyectos. Un registro de auditoría es un registro estructurado, completo y a prueba de manipulaciones de cada acción realizada en una versión específica de un archivo, vinculado a personas concretas con marcas de tiempo.

¿Deben las plataformas de revisión en línea cumplir con la norma 21 CFR Parte 11 para su uso en el sector farmacéutico? Si la plataforma gestiona registros o aprobaciones dentro del ámbito de aplicación de la Parte 11, sí: las funciones de pista de auditoría y firma electrónica deben ajustarse a los requisitos de la Parte 11. Los equipos deben llevar a cabo una evaluación formal.

¿Qué requisitos de registro de auditoría se aplican a las promociones financieras en el Reino Unido? Toda promoción financiera debe ser aprobada por una persona identificada y autorizada por la FCA. El registro debe identificar quién la autorizó, qué versión y cuándo. Una plataforma de revisión en línea utilizada en este contexto requiere autenticación individual, captura formal de la firma de aprobación y registros de aprobación con versión bloqueada.

¿Cómo afecta el «deber de protección del consumidor» a los flujos de trabajo de aprobación del marketing de seguros? Las aseguradoras deben demostrar que el contenido era preciso y no engañoso en el momento de su aprobación. En virtud del SM&CR, debe documentarse la responsabilidad individual de las decisiones de aprobación. Los flujos de trabajo de aprobación requieren registros con nombres y verificables para cada elemento de contenido.

¿Qué implicaciones tiene la MiFID II para los registros de aprobación de contenidos? Los registros de las comunicaciones de asesoramiento y marketing deben conservarse con protección a prueba de manipulaciones, marcas de tiempo claras y conservarse durante un mínimo de cinco años. El historial completo de aprobaciones de cada elemento de contenido regulado debe poder exportarse y presentarse durante una inspección.

¿Qué ocurre si una herramienta de revisión en línea no conserva todas las versiones de los diseños? Se crea una laguna en el registro de aprobación que puede hacer imposible determinar dónde se introdujo un error —y imposible de explicar a un auditor—.

¿Cómo deben incluirse las agencias externas en un flujo de trabajo de aprobación auditable? A través de cuentas de usuario individuales dentro de la misma plataforma, donde sus acciones se registren con el mismo nivel de exhaustividad que las de los usuarios internos.

¿Cuáles son los fallos más comunes en el registro de auditoría de los flujos de trabajo de contenidos regulados? Credenciales de inicio de sesión compartidas; versiones de archivos sobrescritas; aprobaciones informales por correo electrónico; revisores externos fuera del flujo de trabajo auditable; y cambios en el estado de aprobación que no constituyen una aprobación formal.

Revisión de maquetaciones: detección de errores de color y de cumplimiento normativo

1 minutos de lectura

Revisión de maquetaciones: detección de errores de color y de cumplimiento normativo

Un solo decimal que falta en una tabla nutricional. Un color Pantone que se ha desviado medio tono al aplicarse sobre un sustrato diferente. Un...

Read More
Flujo de trabajo de una agencia sanitaria: aprobación de la marca y de la normativa

1 minutos de lectura

Flujo de trabajo de una agencia sanitaria: aprobación de la marca y de la normativa

Las agencias del sector sanitario operan en un entorno realmente complicado. Por un lado, están los clientes, que quieren un trabajo rápido y...

Read More
Campañas de embalaje de temporada: cómo los equipos de productos de gran consumo superan el cuarto trimestre

1 minutos de lectura

Campañas de embalaje de temporada: cómo los equipos de productos de gran consumo superan el cuarto trimestre

El cuarto trimestre llega igual todos los años. Las fechas son fijas, los plazos de venta al por menor no son negociables y, en algún momento entre ...

Read More