Posts tagged ‘Control de Cambios’

Control de cambios es un término común para describir el proceso del manejo de cómo los cambios son introducidos dentro de un sistema controlado.

La mayoría de los problemas de los softwares y sistemas computarizados son introducidos cuando son efectuados cambios durante el uso de los mismos. El control de cambios es requerido para asegurar que los sistemas validados permanecen bajo control aun cuando son sometidos a cambios.

La falta de documentación y pobres testeos después de los cambios son unas de las principales observaciones de las auditorías. De ahí la importancia de disponer de un sistema de control de cambios robusto.

El proceso de control de cambios

cambio

Los sistemas computarizados no son estáticos y requieren un programa de mantenimiento robusto luego de la validación inicial. Un procedimiento de control de cambios es crítico para asegurar que los cambios son evaluados, documentados, efectuados y seguidos consistentemente a lo largo de su ciclo de vida. Este procedimiento define el proceso a seguir para evaluar la implementación de los cambios.

El proceso de control de cambios está típicamente definido por medio de la propuesta de necesidad de un cambio, la aprobación del mismo, la ejecución del cambio y la aprobación final de todas las actividades y el cierre del control de cambio.

Veamos cada una de las etapas:

  1. Cambio propuesto: el solicitante del cambio efectúa el requerimiento formal del mismo, el cual necesita ser evaluado para asegurar que es apropiado y que el cambio propuesto no impactará negativamente sobre otros aspectos o capacidades del sistema.

El cambio debe ser clasificado, por ej. de emergencia, de rutina, etc. Algunos cambios no esenciales pueden ser reunidos y ejecutados de manera conjunta. Esta clasificación indicará el ritmo de implementación y las actividades asociadas. Es esencial que el procedimiento de control de cambios provea una vía expeditiva para los cambios de emergencia. Estos cambios, frecuentemente son necesarios para corregir problemas en el software o reestablecer operaciones del proceso rápidamente. Si bien los cambios deben ser completados en un período de tiempo muy corto, deben ser implementados de forma controlada. Los cambios de emergencia deben estar sujetos a controles similares a los cambios de rutina. Sin embargo el proceso puede ser relativamente abreviado para el requerimiento del cambio, su evaluación y aprobación para asegurar que los cambios queden hechos rápidamente.

Siempre que sea posible, los cambios de emergencia deben ser testeados antes de la implementación.

Si IT no está plenamente disponible para testear las modificaciones de emergencia antes de su instalación, es crítico que se disponga de apropiados back up de archivos y programas, como también tener un plan de back out in place.

  1. Aprobación y planeamiento: Un equipo multifuncional debe determinar como el cambio podría afectar al sistema antes que el cambio sea efectuado. Este equipo debe incluir al menos al Propietario del sistema, Aseguramiento de Calidad e IT. Dependiendo del análisis de riesgo del cambio, el nivel y rigor de la documentación y los testeos a efectuar.

La aprobación para avanzar con el cambio debe ocurrir antes que cualquier cambio en el sistema sea efectuado.

En el caso de cambio de emergencia (situación urgente) un cambio podría ser aceptado antes de completar el proceso formal del control de cambio. Sin embargo, el mismo debe ser documentado de la misma forma de acuerdo a lo indicado en el procedimiento de control de cambios.

La decisión sobre si aceptar o rechazar un cambio podría ser basada en una serie de preguntas:

  • El cambio es inevitable?
  • El cambio aumenta el beneficio general de la organización?
  • El equipo está disponible para hacer tal cambio?
  • Es mejor hacer el cambio ahora o puede ser mejor diferirlo?
  • El cambio impactará otras áreas o sistemas?

La determinación del impacto ayudará a definir el nivel de testeos requeridos para el sistema.

Adicionalmente la matriz de trazabilidad (MT) es un documento que vincula formalmente los requerimientos de diseño y los testeos a través del proceso de validación.

El análisis de regresión podría indicar la funcionalidad que requiere testeos de regresión así como también un racional sólido para excluir aquellas funciones que no son impactadas por el cambio.

Los siguientes documentos deben ser evaluados para el impacto potencial debido al cambio y sus actualizaciones deberían ser planeadas si son requeridas;

  • Paquete de validación incluyendo URS, especificación de requerimiento técnico (TRS), TM, DQ, IQ, OQ, PQ y plan y reporte de validación
  • Procedimientos para el uso y mantenimiento del sistema

Los cambios deben ser planeados y ejecutados mínimamente involucrando a IT y QA y al propietario del sistema o del negocio. Los cambios deben ser comunicados a todas las áreas y funciones afectadas.

  1. Ejecución del cambio: el cambio es en esta etapa efectuado en un entorno de testeo de manera que puede ser testeado antes de la implementación en productivo. El cambio (y otros aspectos del sistema que pueden haber sido afectados) es testeado para asegurar la exactitud del sistema, confianza y asegurar una performance consistente acorde a su propósito.

El ensayo debe ser documentado y los resultados deben conducir a correcciones y testeos adicionales o confirmar que los resultados finales después del cambio son lo que se pretendía. La documentación asociada con el cambio debe ser además completada.

Los cambios deben ser inicialmente implementados lejos del entorno de producción del sistema validado. Esto asegurará que no son efectuados cambios en el entorno de producción hasta que ellos han sido completamente validados y funcionan bien.

En relación a los sistemas computarizados es recomendable tener algunos entornos virtuales como por ejemplo:

  • Entorno de desarrollo (a veces se lo llaman “sandbox” o arenero), un entorno virtual donde un código / configuración experimental toma lugar, como el configurador / desarrollador está probando diferentes soluciones haciendo testeos preliminares, etc.
  • Sistema de testeo, un entorno virtual usado para testear preliminares del sistema conducidos por IT.
  • Validación, un entorno virtual que está congelado y es representativo de producción, seteado para el testeo de validación y controlado y NO modificable a lo largo de los testeos de validación.
  • Entrenamiento, no siempre usado por todos las compañías para todos los sistemas, un entorno virtual usado para manejar entrenamientos sobre un sistema nuevo o revisado.
  • Producción, es el entorno del negocio vivo o “instancia” del sistema.

El testeo debe verificar lo siguiente:

  • La performance del sistema luego que los cambios son efectuados y que los nuevos cambios no introducen errores que mantienen el sistema fuera de la performance buscada.
  1. Aprobación final / implementación del cambio: la aprobación final para liberar la nueva versión a productivo es concedida basada sobre los resultados de testeos exitosos y luego de disponer del paquete documental completo.

Si es requerido entrenamiento, el personal afectado (por ej. Usuarios, super-users, soporte de IT) deben ser entrenados antes que ellos estén notificados para el uso del sistema o antes de la implementación del sistema en el entorno productivo.

La aprobación final es típicamente concedida por medio del propietario del sistema y aprobada por personal autorizado de QA e IT.

La nueva versión del sistema es entonces liberada para el entorno productivo.

Cuando en una auditoría es incluida la inspección de cualquier sistema computarizado utilizado para un propósito regulado, los inspectores revisan típicamente la documentación del sistema, incluyendo los registros de los cambios, como fueron evaluados y la documentación de los mismos.

Resumiendo:

El proceso de control de cambios es importante para asegurar y evitar potenciales riesgos del negocio. Un proceso de toma de decisión objetivo debe ser usado para determinar el nivel y la complejidad de los cambios propuestos. El nivel del impacto que el cambio podría tener debe ser además determinado y esto nos indicará la profundidad de los testeos y  documentación requerida.

Un proceso de control de cambios es necesario para prevenir inapropiadas modificaciones o modificaciones que conducirán a efectos adversos. Un control de cambio efectivo es un aspecto importante para mantener el estado validado de los sistemas, permitiendo continuas mejoras y previniendo gaps de compliance.

  1. Hay una separación clara de responsabilidades y cooperación entre todo el personal relevante tal como propietario del proceso de negocios, propietario del sistema, una persona calificada de QA e IT?
  2. Hay un Análisis de riesgo documentado efectuado a lo largo del ciclo de vida del sistema computarizado, teniendo en cuenta la justificación para la validación, seguridad del paciente, integridad de datos y la calidad del producto?
  3. La documentación de validación incluye los registros de Controles de Cambios (si los hay) y los reportes sobre cualquier desvío observado durante el proceso de validación?
  4. Hay una URS para cada sistema, donde se describen las funciones esperadas por los usuarios y estas son trazables a lo largo del ciclo de vida de los documentos?
  5. Para la validación de SC customizados / categoría 5 GAMP5, hay un proceso “in place” para asegurar el análisis formal y el reporte de calidad y medidas de la performance para todas las etapas del ciclo de vida del SC?
  6. En el caso que sean transferidos datos a otro formato de datos o sistema. La validación incluye la verificación que los datos no han sido alterados en valor y/o significado durante el proceso de migración?
  7. En el caso que el SC intercambie datos electrónicamente con otros sistemas. Hay chequeos incorporados apropiados para verificar el correcto y seguro ingreso y proceso de los datos, de manera de minimizar los riesgos?
  8. En el caso que sean ingresados datos de forma manual. Hay una verificación adicional efectuada por una segunda persona o medio electrónico validado para asegurar la exactitud de los mismos? La criticidad y las consecuencias potenciales de potenciales errores o datos ingresados de forma incorrecta debería ser cubierta por la gestión de riesgo.
  9. Cómo es la seguridad de los datos frente al daño (tanto física como electrónica)? Los datos almacenados deberían ser chequeados para su accesibilidad, lectura y exactitud. El acceso a los datos debe ser asegurado a lo largo del período de retención.
  10. Es efectuado un back up de los datos de forma regular? La integridad y exactitud del back up de datos y la capacidad para recuperar datos debe ser verificada durante la validación y el monitoreo periódico.
  11. Es posible obtener copias impresas de datos almacenados electrónicamente de forma clara?
  12. Para registros que soportan la liberación del lote, es posible generar impresiones indicando si alguno de los datos ha sido cambiado desde la entrada original?
  13. Hay un “Audit Trail” diseñado dentro del sistema el cual registra todo cambio GMP relevante y las eliminaciones?
  14. Todos los cambios y eliminaciones de datos GMP relevantes son documentadas con una justificación?
  15. Los audit trails están disponibles y convertibles a un formulario comprensible?
  16. Los cambios a un SC son incluidos en un sistema de configuración hecho en una forma controlada de acuerdo a un procedimiento definido?
  17. Todos los SC son periódicamente evaluados para confirmar que ellos se mantienen en un estado validado y están en cumplimiento de las GMP? Las evaluaciones deberían incluir, si es apropiado, el rango actual de funcionalidad, el registro de los desvíos, incidentes, problemas, historial de las actualizaciones, performance, confiabilidad y reportes de estatus de validación.
  18. Hay controles físicos y lógicos, “In Place” para restringir el acceso a los SC a las personas autorizadas? Por ejemplo, uso de claves, tarjetas, código personal con contraseñas, biométricas, para restringir el acceso a áreas del equipamiento computarizado y almacenamiento de datos.
  19. Los sistemas de gestión de datos y documentos están diseñados para registrar la identidad de los operadores que ingresan, cambian, confirman o borran datos incluyendo la fecha y la hora?
  20. Cómo son reportados y evaluados los incidentes? La causa raíz del incidente debe ser identificada y debe ser la base de la acción correctiva (CAPA).
  21. Ha sido efectuada la evaluación de la parte 11 para los sistemas relevantes?
  22. Hay un procedimiento que confirma que la firma electrónica tiene el mismo impacto que las formas manuscritas dentro de los límites de la compañía?
  23. Las firmas electrónicas permanecen relacionadas a sus respectivos registros electrónicos?
  24. Cuando el sistema computarizado es usado para la certificación y liberación de lotes, el sistema permite solo personas calificadas para certificar la liberación de los lotes y claramente identificada y registra la persona que libera y certifica los lotes? Esto podría ser efectuado utilizando una firma electrónica.
  25. Los datos han sido chequeados para su accesibilidad, disponibilidad e integridad?

CSV

Si Ud. quiere mejorar tiene que hacer algo diferente.

A continuación le dejamos un cuestionario sobre 10 temas GMP:

Políticas y Procedimientos:

  1. Sus procedimientos son escritos por los usuarios y para los usuarios?
  2. Están disponibles en los lugares de trabajo?
  3. Sus políticas describen el por qué (visión general) y sus procedimientos el cómo (detalles)?
  4. Utiliza figuras, esquemas y flujogramas para darles más claridad?
  5. Tienen el nivel de detalle apropiado para el usuario?
  6. Ensaya los procedimientos claves antes de implementarlos?
  7. Revisa, corrige y mejora los procedimientos claves después de 6 meses de uso?

Educación:

  1. Hace foco en la educación (cambios de conducta) NO solo en cumplir con el entrenamiento?
  2. Tiene una estrategia de educación a 3-5 años?
  3. Dispone de un presupuesto para educación?
  4. Sus programas de educación están diseñados para satisfacer todos los estilos de aprendizaje?
  5. La mayoría de su educación ocurre en el lugar de trabajo, o sea fuera de la sala de capacitación?
  6. evita que el entrenamiento termine en la presentación?
  7. Hace foco en proveer el fundamento básico (el porqué)?
  8. El repaso de las GMP, se renueva anualmente?

Gestión de Riesgos de Calidad (GRC):

  1. Aplica la GRC para la priorización y la mejora continua y NO para apagar incendios, manejar las crisis o cuando las cosas salen mal?
  2. Acepta que no existe el riesgo cero?
  3. Los principios y las prácticas de la GRC son entendidas a todos los niveles (desde el Gerente de la Planta hasta los operadores de la misma)?
  4. Usa la GRC a lo largo del ciclo de vida del producto? Por ejemplo:
  • Para enfocar sus actividades de validación?
  • Para escalar los eventos de calidad?
  • Para optimizar sus recursos de auditorías?
  • Para clasificar los desvíos o reclamos de clientes?
  • Para optimizar el monitoreo ambiental?
  • Para proporcionar un marco para la toma de decisiones basado en el riesgo?
  1. Hay un excelente conocimiento de sus procesos y productos a lo largo de su empresa… sin el cual es imposible la GRC?
  2. NUNCA usa la GRC para justificar lo que sabe que es de baja calidad?

Manejo de desvíos y sistema CAPA:

  1. Tiene una cultura abierta, libre de culpables, donde las personas son alentadas a reportar los desvíos?
  2. Los incidentes son reportados inmediatamente, sin demoras?
  3. Efectúa una clasificación de los incidentes objetivamente dentro de 24 hs. Para priorizar los recursos y efectuar las investigaciones?
  4. Inicia sus investigaciones dentro de un día de trabajo hábil, como máximo?
  5. Investiga proporcionalmente al riesgo, en vez de tratar cada incidente de la misma forma?
  6. Las investigaciones son efectuadas donde ocurre el incidente, o son manejadas detrás de un escritorio?
  7. Las investigaciones son hechas por personas con conocimiento de los procesos y productos, o sólo por QA?
  8. Los CAPAs están focalizados en prevenir la re-ocurrencia en vez de ocuparse de los síntomas superficiales?
  9. Implementa CAPAs tan pronto como es posible, o cae en asignarle por regla 30 días?
  10. Cree que el error humano es la “consecuencia” y rara vez la “causa” de los desvíos?
  11. Lleva una tendencia de los eventos repetidos?
  12. Comparte incidentes y CAPAs a lo largo de la organización para fomentar la mejora continua?
  13. Arma una agenda para verificar la efectividad de cada CAPA para evaluar cuan exitosos han sido para prevenir la re-ocurrencia del desvío?

Métricas de Calidad y KPI (Indicadores Claves de Performance):

  1. Tiene métricas orientadas a la mejora de los procesos?
  2. Usa usted el enfoque de “Pareto”, centrándose en el 20% de las métricas que proporcionan el 80% del beneficio?
  3. Son sus métricas de “propiedad” de los usuarios? Las mismas se ven impulsadas hacia arriba, no de arriba hacia abajo?
  4. Los datos son compartidos con los usuarios y los grupos de interés para impulsar la mejora continua?

Auditorías internas y autoinspecciones:

  1. Su programa está basado en el riesgo?
  2. Tiene un proceso de escalada rápido y efectivo para las observaciones críticas y las tendencias negativas?
  3. Sus auditores están plenamente calificados, educados a partir de todas las áreas, no sólo de aseguramiento de calidad?
  4. Sus auditores ofrecen consejos prácticos y soluciones, no solo críticas?
  5. Las inspecciones son usadas para agregar valor, no solo por el bien de compliance?
    • Para ayudar a prevenir problemas
    • Para compartir las mejores prácticas en todas las áreas
    • Para expulsar a la complejidad, no crearla
  6. Hace una tendencia de los hallazgos de la auditoría para evaluar la imagen completa?
  7. Sus programas de auditorías internas y autoinspecciones aseguran que está listo para ser inspeccionado en todo momento?

Sistema de control de cambios:

  1. Su sistema de control de cambios ha sido diseñado con la participación activa de todas las partes interesadas y no solo QA?
  2. Su sistema de control de cambios es simple y entendible para todos?
  3. El control de los cambios es considerado vital para la mejora del negocio y la gestión de los riesgos o solo se lo considera por un tema de cumplimiento de las regulaciones?
  4. El sistema tiene un requerimiento del cambio el cual es revisado y aprobado en hs o días, no meses?
  5. Su sistema de control de cambios utiliza una evaluación de impacto basada en los riesgos como soporte para la aprobación o el rechazo de las solicitudes de cambios?
  6. Efectúa el seguimiento de todos los cambios aprobados para asegurarse que los mismos fueron efectivos?

Validación:

  1. Sus actividades de validación están bajo un Plan?
  2. Dispone de los recursos necesarios para el cumplimiento de las actividades de validación?
  3. Realmente entiende la variabilidad el proceso?
  4. Cada uno entiende o conoce los puntos críticos de control del proceso?
  5. Cada uno entiende los atributos claves del producto, aquellos que impactan en la seguridad del paciente?
  6. Sus métricas confirman un proceso bajo control? “Cero” retrabajos y/o reprocesos, 100% correcto a la primera vez?

Integridad de datos:

  1. Todo su personal entiende que una pobre integridad de los datos, genera pérdida de confianza regulatoria?
  2. Tiene back up y archivo de sus datos?
  3. Rutinariamente revisa y comprueba la integridad de los datos?
  4. Rutinariamente desafía todas las transacciones (audit trail)?
  5. Tiene validados sus sistemas de gestión de datos?

Su Cultura de Calidad:

  1. Qué hace la gente cuando nadie la observa?
  2. QA está integrado a la planta?
  3. Los supervisores dedican más tiempo a la planta que a las reuniones?
  4. Cada uno tiene objetivos personales de performance de calidad?
  5. Sus líderes predican con el ejemplo y demuestran las conductas de calidad correctas?
  6. La gente habla sobre Calidad, no solo sobre resultados?
  7. Desarrolla, recompensa y retiene los conocimientos en lugar de permitir que dejen la organización cada vez que vean algo mejor?
  8. Trata a sus proveedores como una extensión de su línea de producción?
  9. Selecciona a sus proveedores en base a calidad, no en base a precio?
  10. Cada uno se siente conectado al paciente?
  11. Regularmente compara sus estándares con los del mejor en su categoría?

Si alguna de las respuestas no fue del todo satisfactoria, Ud. ha detectado una oportunidad de mejora sobre alguno de los 10 temas, asegúrese tener un plan de acciones de remediación.

Desde cGMPdoc podemos darle soporte en entrenamientos, implementación o actualización de procesos, auditorías, evaluación de sus proveedores, consulte en info@cgmpdoc.com

 

 

 

 

QRM_SCF

Dentro de estos requerimientos básicos, les dejamos 10 tips claves, esenciales para asegurar la integridad de los datos dentro de los límites de un sistema de datos electrónicos:

images_dataintegrity1

  1. Identidad única para cada usuario:

Para sistemas basados en papel, siguiendo las Buenas Prácticas de Documentación la identificación de cada analista puede ser alcanzada a través de que cada persona firme o coloque sus iniciales sobre una impresión o notebook de laboratorio. Con los sistemas electrónicos, este principio debe ser mantenido por medio de la identidad única del usuario.

Las cuentas de usuarios no deben ser compartidas, por ej. Una cuenta de usuario establecida para dos analistas para el acceso a un software de laboratorio de un sistema HPLC.

Las identidades de los usuarios no deben ser reusadas, si una persona deja el laboratorio o la compañía, esa identidad del usuario (ID) debe ser removida del uso y cualquier nuevo usuario debe ser habilitado con un nuevo y único número de cuenta de usuario.

  1. Implementar controles de passwords adecuados:

Los passwords deben ser efectivos de manera que no puedan ser adivinados por otros, por ej. Su nombre / dirección / fecha de cumpleaños, etc. pero no lo demasiado complejos de manera que el usuario lo tiene que tener escrito para poder recordarlo.

Los passwords NO deben ser compartidos bajo ninguna circunstancia. Cuando las credenciales de registro son compartidas, los individuos específicos no pueden ser identificados a través de la actividad de registro y por consiguiente se pierde la integridad de datos.

  1. Establecer diferentes tipos de usuarios con diferentes privilegios de acceso:

Los accesos a los sistemas o equipos deben ser limitados solo a individuos autorizados, por ej. Analistas, administradores.

Cada tipo de usuario debe ser asignado con diferentes privilegios de acceso de acuerdo al rol que efectuará en el sistema. Debe haber protocolos de seguridad de datos en los cuales se describe el rol del usuario y sus responsabilidades en términos de privilegios de acceso, cambio, modificación, creación y eliminación de proyectos y datos. Solo personal senior debe tener cuentas que le permiten administración completa del sistema, incluyendo la edición de los métodos y de los proyectos.

El rol del administrador del sistema debe asegurar que cualquier requerimiento de cambio, eliminación, etc. es cuidadosamente registrado, y atribuido a un individuo para asegurar que la trazabilidad es mantenida.

  1. Establecer y mantener una lista de los usuarios actuales e históricos:

Una lista de los usuarios del sistema actuales y de los previos necesita ser establecida y mantenida, si un miembro del personal ha dejado de serlo, entonces la cuenta debe ser inmediatamente puesta como no disponible.

  1. Control de cambios del sistema:

Relacionado con la asignación de privilegios de accesos está la capacidad de un usuario de hacer cambios. Los cambios deben ser solo efectuados por medio de los individuos autorizados, ej. Cambios de métodos, parámetros de integración y línea de base. Esto debe ser posible para identificar cuáles individuos hicieron los cambios para determinar si ellos tienen el apropiado entrenamiento, educación y experiencia.

  1. Solamente personal entrenado debe operar el sistema:

Hay un requerimiento para que todo el personal tenga la combinación de educación, entrenamiento y experiencia para efectuar su trabajo. Una parte clave de cualquier programa de entrenamiento es que debe hacer foco sobre la generación de datos y que los cambios solo pueden ser hechos de acuerdo a procedimientos predefinidos para prevenir una acusación de falsificación o fraude.

Los usuarios de instrumentos o equipos deben poder demostrar su capacidad de uso frente a las agencias regulatorias cuando es requerido, dentro de su descripción de rol.

  1. Registrar toda la información

Los registros de laboratorio deben incluir datos completos derivados de todos los ensayos necesario para asegurar el cumplimiento con las especificaciones y estándares establecidos. Esta es la clave para establecer la integridad de los datos en un sistema de captura de datos electrónicos, a pesar de las situaciones que nos pueden ocurrir, errores, mal funcionamiento de un equipo, etc.

Los datos crudos, “raw data”, (ej. Cromatogramas, pesadas del estándar y de muestras, cálculos, estándares, reactivos, información del instrumento) deben estar disponibles siguiendo la ejecución del trabajo para permitir que una investigación pueda ser llevada a cabo eficientemente y para confirmar la autenticidad y confiabilidad de los datos durante la inspección efectuada por la agencia regulatoria. Todos los datos deben ser registrados de manera que las actividades puedan ser cuidadosamente reconstruidas.

  1. Definir y documentar registros electrónicos para el sistema

Para registros electrónicos los usuarios deben determinar cuáles datos serán definidos como “raw data”, como mínimo, todos los datos sobre los cuales se basa la toma de decisiones de calidad deben ser definidos como raw data.

Toda la documentación creada durante el análisis la cual incluye un registro es considerada como evidencia de una actividad, de este modo, los archivos de datos creados durante una corrida analítica son registros.

Muchos documentos (instrucciones y/o registros) pueden existir en formatos híbridos, por ej. Algunos elementos como electrónicos y otros en papel. No importa si un registro es generado en papel, existe con firmas manuscritas y le sigue una impresión de un registro electrónico (sistema híbrido) o si es mantenido completamente electrónico.

Controles apropiados deben están en uso para asegurar la integridad de los registros a lo largo del período de retención. Debe estar claramente definido cual registro está relacionado con cada actividad de ensayo y donde es localizado el registro. Controles de seguridad deben estar en uso para asegurar la integridad de los registros a lo largo del período de retención y validado cuando sea apropiado.

  1. Revisión de las entradas al audit trail para cada lote

Parte de los datos completos de un sistema de datos cromatográfico en las corridas analíticas incluyen el audit trail, y hay un requerimiento bajo las cGMP para la firma o iniciales de una segunda persona para mostrar que el trabajo ha sido hecho correctamente y conforme a los estándares.

Los cambios no deben tapar los datos registrados previamente (sobre escritura).

  1. Copia de seguridad del Sistema regular

Copias de seguridad (BackUp) regulares de toda la información relevante debe ser llevada a cabo. Típicamente esto se hace diariamente. La integridad y la exactitud de los datos de back up y la capacidad para recuperarlos datos debe ser verificada durante la validación y monitoreada periódicamente. Cuando el back up es efectuado, los registros del back up deben ser chequeados para ver cuando fue efectivo. El back up necesita ser validado, y periódicamente debe efectuarse una recuperación de los datos para ver que el hardware, por ej. CDs, son aún leíbles.

¿Cómo conducir una revisión anual de productos efectiva?

Antes de comenzar quiero volver sobre una idea mencionada anteriormente y que supongo la habrán escuchado muchas veces y en distintos lugares: el APR es más que un requerimiento regulatorio, es una revisión que le permite al elaborador entender más su proceso y tomar acciones de mejora.

Las cGMP necesitan una evaluación anual de los estándares de calidad de los productos para determinar la necesidad de ajustar sus especificaciones y los procedimientos de elaboración y de control.

Las guidelines acentúan la importancia del análisis de las investigaciones o desvíos conducidos y los reclamos de productos recibidos, mientras el reporte de APR debe explorar, en profundidad, las causas de recalls y de devoluciones de productos, si las hubiera.

De manera general, el mandato de las Agencias regulatorias (por ej. FDA) es mirar a través y sistemáticamente por todas las áreas de mejora y alinear los procesos consistentemente a la elaboración de productos de calidad.

Por estas mismas razones generales, las GMP requieren a los elaboradores analizar previa revisión, examinar los resultados del análisis de productos terminados y los controles en procesos críticos y revisar: lotes fallidos, desvíos, CAPAs, controles de cambio, estudios de estabilidad, devoluciones, reclamos, calificaciones en equipos críticos y acuerdos de calidad.

Los CAPAs de la revisión anual de productos necesitan ser comunicados al Senior Management y completados de manera efectiva y a tiempo, su efectividad debe ser chequeada por medio de las auditorías internas.

Estructura de un informe de APR:

Puede variar según la compañía, o incluso el producto. La idea de seguir un template o modelo asegura que todos los aspectos requeridos son evaluados.

Pero un APR es un documento que evoluciona.

Estructura de informe de APR: http://wp.me/p1Hn5Y-fs

Cambios y correcciones

La Revisión de los cambios puede ser desglosada en: cambios de materia prima, en los componentes de empaque, en especificaciones y documentos maestros. La sección de no conformidades y desvíos necesita ser revisada sobretodo considerando las acciones correctivas y su efectividad. Cualquier CAPA vencido o inefectivo necesita ser discutido en el informe. Este es uno de los aspectos fundamentales.

Cualquier tendencia observada necesita ser direccionada, no solo las que son OOS.

Racionalización de los datos de origen y administración del APR

Compilar los datos crudos es siempre un esfuerzo de equipo, pero el departamento de QA debe tomar el liderazgo y ser el último responsable de la administración del programa.

Un comité de APR podría típicamente incluir un representante de QA, QC, validaciones, operaciones, estabilidad, ingeniería, y logística. Un borrador de informe es completado sobre el análisis crítico de los datos crudos, luego se discute en una reunión del comité de APR para determinar los CAPAs efectivos.

Otro desafío para el administrador de APR es la recuperación de datos para el propósito de la revisión.

Las empresas con sistemas de adquisición de datos calificados pueden usar sus bases de datos, mientras los elaboradores que se manejan con papeles pueden tener que revisar los documentos de lote en forma individual para ver los parámetros del proceso, los controles en proceso, los análisis finales, los rendimientos, etc. En cualquiera de las dos formas, los datos crudos usados para el análisis deben ser exactos de manera de completar una análisis/evaluación efectivo. Si son observadas desviaciones del proceso durante la revisión, puede ser requerido colectar información adicional para justificar dichos hallazgos.

Los datos deben estar disponibles para el administrador del APR en el momento oportuno. Todos ellos deben ser verificados por una segunda persona si son colectados manualmente.

Si son utilizadas planillas de cálculo, las mismas deben estar validadas previo a su uso.

Conclusiones

Efectuar un APR es un requerimiento para los mercados regulados. Pero más que eso, la revisión ayuda al elaborador a entender y conocer mejor sus procesos y para reunir información adicional para posteriores mejoras.

Es una enorme ayuda en la determinación si un producto aún cumple las especificaciones, si necesita un cambio de formulación, modificación del empaque, una revisión de especificación, o un proceso más robusto. Una conclusión de APR es un paso previo al desarrollo futuro del producto y por lo tanto debería ser exacto y respaldado mediante datos adecuados.

Las guías de validación de procesos de la FDA piden la verificación continua del proceso. Así, un programa de APR puede servir como un sistema on going (etapa 3: verificación continua del proceso) para colectar y analizar los datos del producto / proceso que relaciona la calidad del producto.

Las necesidades del APR son parte del plan de mitigación de riesgos de acuerdo a las recomendaciones del ICH Q9.

La información reunida y las tendencias observadas pueden ayudar al desarrollo de un nuevo producto como tal y entonces esto es esencial para distribuir el reporte a todas las partes pertinentes e interesadas. El esfuerzo puede además ser revisado y compartido con equipos de mejora continua (lean process) mientras el desarrollo de CAPAs de un APR son críticos en evitar riesgos potenciales para un producto en el futuro.

Les dejo un artículo adicional:http://wp.me/p1Hn5Y-f3

Desde cGMPdoc, le ofrecemos la posibilidad de una promoción compuesta de 1 SOP para el manejo de los APR el cual incluye un informe modelo y una capacitación powerpoint con notas aclaratorias y su respectivo cuestionario de evaluación: http://wp.me/p1Hn5Y-3R

Además si Ud. Lo necesita podemos ofrecerle efectuar la revisión anual de sus productos, consultenos aquí.

TOP 10 – de las deficiencias más frecuentemente citadas en los informes nacionales de inspección de ANVISA (Abril 2012)

 

  1. Diseño y mantenimiento de instalaciones, equipos y servicios
    • Sistema de aire: tipo de equipo e instalaciones inadecuadas, monitoreo microbiológico y de partículas inadecuados, calificaciones no realizadas.
    • Sistema de agua: falta de revisión del sistema, no hay análisis de tendencias, diagramas técnicos inexistentes, calificaciones incompletas o inadecuadas.
    • Aire comprimido: Sin calificación. No hay filtración en línea.
  2. Asuntos Regulatorios
    • Los planos de la planta no han sido aprobados por la Autoridad Regulatoria.
  3. Gestión y Control de Cambios
    • Identificación de los cambios en equipos, sistemas, procesos o procedimientos calificados / validados cuyo impacto no ha sido previamente validado y manejado vía un procedimiento de control de cambios.
  4. Auditoría y Calificación de Proveedores
    • Uso de proveedores no calificados de acuerdo con los requerimientos del procedimiento de calificación, no hay un plan de evaluación de proveedores en vigencia.
  5. Validación de la limpieza
    • Validación de limpieza no completada para todas las líneas de producción. No existe una definición de criterios para los tiempos de espera (sucio, limpio, campañas).
  6. Documentación – Procedimientos.
    • Falta de procedimientos, procedimientos incompletos, o no hay registro de actividades observadas.
  7. Validación de procesos
    • No completa, el proceso validado ya no corresponde completamente al que se elabora comercialmente.
  8. Validación de métodos analíticos
    • No finalizados. El uso de los métodos de Farmacopeas sin verificar si los mismos son adecuados (Sección 209 – Sección primera).
  9. Muestreo
    • No se efectúa el test de identidad del 100% de los recipientes de la materia prima ingresante.
  10. Calificación de equipos
    • Equipos no calificados, no existen criterios para la recalificación de los mismos.

Antes de comenzar a hablar sobre el sistema de manejo de desvíos, quiero darles una definición sobre Producto No Conforme:

“aquel que no cumple con las especificaciones preestablecidas cuando se lo testea o que ha sido fabricado usando un procedimiento no aprobado o con alguna desviación”

Pero hoy (quizás ampliando un poco más la perspectiva) queremos enfocarnos sobre uno de los sistemas de calidad que es de suma importancia y deberíamos tener en nuestro laboratorio, porque espero coincidan conmigo, todos tenemos desvíos y me atrevería a decirles que… tendremos.

Nuestro objetivo es poder mostrarles, más allá de los requerimientos regulatorios, cuáles son las ventajas de tener un buen manejo de los desvíos.

Además este sistema está vinculado muy estrechamente a otros Sistemas de Calidad. Por ejemplo: un desvío ocurrido durante la manufactura conduce a una investigación para identificar la causa del mismo. Una vez que la misma fue identificada una acción correctiva es tomada para evitar la recurrencia. La aplicación del CAPA (Acción correctiva y/o acción preventiva) puede requerir de un Control de Cambio y todas esas actividades son finalmente reportadas en la revisión anual de producto (APR).

Pero volviendo al sistema, e intentando revisar las etapas del proceso: adjuntamos este flujograma de proceso donde hemos intentado describir las etapas principales del sistema de manejo de desvíos:

Ahora desde el punto de vista documental necesitamos:

  • Un SOP para el manejo de los desvíos (fundamental para estandarizar el proceso)
  • Una planilla o reporte de investigación de desvíos, la misma debe ser amigable. Todas las actividades deben estar claramente documentadas, desde la descripción detallada del desvío hasta la resolución final.
  • Una base de datos de los desvíos, pudiendo ser desde un software específico hasta una planilla Excel, pero es muy útil para poder efectuar evaluación de tendencias, muchas veces se suceden desvíos de poco impacto pero que se repiten sistemáticamente, estos son fácilmente detectados a través de un análisis de los mismos.
  • Un Informe periódico, bimestral o trimestral, dirigido a la Dirección para informarlos sobre la evolución del sistema.

Si vamos un poco más lejos, deberíamos además pensar en que cosas pueden ser potenciales causantes de problemas que el sistema pueda tener y que podrían causar un desvío. Deberían ser efectuados intentos para permitir la operación de grupos de interacción y sugerencia de mejoras que puedan ser efectuadas posteriormente. Aunque este tema está quizás más relacionado a la revisión anual de productos (APR).

Conclusión:

Los desvíos o incidentes son inevitables en cualquier operación de una planta farmacéutica, cosmética, alimenticia, etc. La investigación efectuada luego del evento debería ayudarme a encontrar la causa raíz o una causa probable. Sin embargo, un enfoque proactivo debería minimizar la frecuencia de ocurrencias de los mismos.

Las agencias regulatorias le dan suma importancia a los procedimientos para el manejo de los desvíos, buscando que contemple todas las etapas mencionadas anteriormente en el flujograma el proceso.

Finalmente todas las actividades efectuadas deben estar claramente documentadas y el desvío cerrado antes de la decisión sobre el lote, la cual debe basarse en un análisis de riesgo.

El correcto uso de este sistema, sin duda nos permitirá alcanzar mejoras en la calidad de nuestros productos.

Muchos aspectos de la manufactura farmacéutica descansan sobre la estabilidad, consistencia y mantenimiento de un estado de control para asegurar que un producto seguro, eficaz y de calidad es producido para el paciente.
Durante años el foco de muchos Sistemas de Control de Cambios, ha sido puesto principalmente sobre la documentación en vez de comprender el cambio, aspecto clave para el análisis del impacto del mismo.

Las agencias regulatorias reconocen que el cambio es inevitable y el control de cambios es crítico para sostener un alto nivel de calidad en los productos farmacéuticos.

Ahora veamos algunas preguntas y respuestas que suelen aparecer cuando pensamos en la implementación de un Sistema de Control de Cambios.

  • ¿Que cambios necesitan ser controlados?

Cualquier cambio que pueda afectar la calidad del producto o impactar sobre el estado validado debe ser manejado mediante un sistema de control de cambios.

La clave entonces para un sistema de Control de Cambios basado en el conocimiento es identificar las distintas variables (por ej. materias primas, instalaciones y equipos, métodos analíticos, etapas del proceso, especificaciones, proveedores, sistemas computarizados, instrucciones y procedimientos) y determinar el impacto potencial del cambio sobre las mismas.

  • ¿Quién debería aprobar el cambio?

Las regulaciones establecen claramente que para los cambios que potencialmente podrían impactar al producto, la aprobación final es responsabilidad de la Unidad de Calidad. Sin embargo puede ser requerida la revisión y aprobación de otros departamentos de la Planta.

Los cambios generalmente deberían ser aprobados antes de que sean implementados. Sin embargo, pueden existir situaciones de “cambios de emergencia”, los cuales requieren la implementación inmediata por presentar un evento peligroso a partir de su ocurrencia, pero dada su complejidad hablaremos en otro momento.

  • ¿Cómo implementar un proceso de Control de Cambios?

Para implementar un Sistema de Control de Cambios, son requeridos algunos elementos básicos, como en primera instancia disponer de un procedimiento escrito, el cual debe definir el proceso, las distintas responsabilidades, y cómo se clasifican, documentan y son seguidos los cambios.

Todos los cambios deben ser formalmente requeridos por escrito, con una clara declaración del cambio propuesto, la justificación del mismo y la información de soporte.

Luego debe ser efectuado y documentado un análisis de riesgo para determinar el impacto potencial del cambio y la probabilidad que el mismo ocurra. El nivel de análisis de riesgo debería ser acorde al nivel del cambio.

Debe prepararse un plan de implementación con actividades, plazos de cumplimiento y responsables.

La evaluación de impacto y el plan de implementación son sometidos a la evaluación de los expertos en el tema y de la Unidad de Calidad. Después que las aprobaciones son obtenidas, el cambio puede ser implementado, la implementación debe incluir todas las acciones definidas en el plan de implementación incluyendo la revisión de documentos, capacitación, y actividades regulatorias en el caso que sean requeridas.

Una debilidad bastante común de los sistemas de control de cambios es efectuar un cambio sin hacer la adecuada capacitación del personal sobre los mismos.

Finalmente una vez que todas las actividades del control de cambios fueron completadas el cambio debería ser formalmente cerrado. El cierre debería incluir la firma final de la Unidad de Calidad indicando que el cambio fue implementado, completado y que el producto y/o proceso es aceptable para el uso.

CONCLUSIONES

Los cambios son inevitables y necesarios para la mejora continua y para mantener un sistema de calidad.

Un sistema de Control de Cambios exitoso se construye sobre un conocimiento o entendimiento científico del proceso o producto.

El conocimiento permite efectuar un buen Análisis de Riesgo y una mejor evaluación de los cambios que son críticos para la mejora continua de los controles y la producción de productos efectivos y seguros con alta calidad.