BLOG para cGMPdoc.com

Una gestión de cambios eficiente debe ser ejecutada conjuntamente con la gestión de configuración. Los elementos claves incluyen:

1. Descripción documentada y beneficios del cambio para el negocio

2. Confirmación de la disponibilidad de recursos

3. Evaluación del impacto del cambio sobre la aplicación, la infraestructura necesaria, personal (usuarios, staff de soporte de Ingeniería) y la documentación

4. Aprovechamiento de la información del análisis de riesgos del proyecto original y evaluar cualquier riesgo nuevo introducido por el cambio para definir la estrategia de mantenimiento, esto incluye la necesidad de cualquier testeo de regresión.

5. Evaluación del cambio desde finanzas, IT (o ingeniería) y la perspectiva de cumplimiento al más bajo nivel de competencia técnica antes de gestionar la aprobación

6. Establecer y mantener la distinción entre cambios a nivel del sistema de calidad farmacéutico (impacto sobre el ciclo de vida del producto medicinal) vs cambios a nivel de la gestión del servicio de IT

7. Minimizar el número de puntos de aprobación en el proceso

8- Documentar y comunicar la decisión

9. Ejecutar y verificar el cambio, usando trazabilidad para identificar testeos existentes que aplican

10. Cerrar los registros del cambio en tiempo y forma

Debilidades en los sistemas de gestión de cambio que pueden llevar a ineficiencias, incluyen:

1. Falta de escalada de los cambios, ej cambios menores o de componentes de infraestructura que cambian regularmente

2. Falla en la ejecución de las etapas de gestión del cambio en la secuencia apropiada

3. Falla en la agenda de actividades o en identificar dependencias

4. Abuso o aplicación errónea de un proceso de cambios de emergencia

5. Falta de habilidad para prevenir cambios innecesarios

6. Falla en mantener las especificaciones vigentes

7. Falla para aprovechar documentación relativa a análisis de riesgos y control, matriz de trazabilidad o protocolos

8. Falta de seguimiento del proceso para cerrar un registro de cambio

9. Procesos de cambio independientes llevan a duplicar esfuerzos para procesos, equipos y Sistemas Computarizados.

10. La aplicación inadecuada de los principios de “like for like” en gestión de cambio.

11. Inadecuada gestión de cambios conducidos por un proveedor, conducen a ciclos de vida de documentos y registros de gestión de configuración que están fuera de fecha

12. Falta de un adecuado seguimiento de los cambios de emergencia

Basado en la GAMP5 edición 2 (julio 2022)

En Julio 2022, fue publicada la segunda edición de la Guía ISPE GAMP® 5: un enfoque basado en el riesgo para sistemas computarizados compatibles con GxP.
Esta segunda edición de ISPE GAMP 5 resalta la importancia de los proveedores de servicios, del mayor uso de herramientas de software y automatización para lograr un mayor control, una mayor calidad y menores riesgos a lo largo del ciclo de vida y además destaca la importancia del “pensamiento crítico”.
En este punto quiero detenerme y dejarles un resumen de un artículo escrito por Charlie C. Wakeham, sobre Por qué necesitamos el pensamiento crítico:
Puede parecer que las únicas cosas que la industria farmacéutica ama más que los acrónimos son las nuevas frases de moda. Y eso puede ser verdad. Pero a veces, detrás de la frase de moda, hay beneficios reales, fuertes y alcanzables para nuestro trabajo, nuestra industria y nuestros pacientes finales.
El pensamiento crítico es una de esas frases de moda. Originadas fuera de nuestra industria y adoptadas con entusiasmo por instituciones académicas y consultores a nivel mundial, la mayoría de las definiciones son algo ininteligibles y difíciles de relacionar con la vida real.
Charlie menciona que hay no menos de 11 definiciones, pero me voy a quedar con la que para él es su propia definición:
Es elegir sabiamente, excluyendo la burocracia, la jerarquía, el ego, el sesgo y la ambición del proceso de toma de decisiones.
Se está enfocando en lo que importa, que tiene que ser la calidad en lugar del cumplimiento y la documentación. Obtenga la calidad correcta y el cumplimiento estará allí de todos modos.
Me parece más importante lograr que la industria utilice el pensamiento crítico que debatir las complejidades del paradigma.
Veamos algunos ejemplos de pensamiento crítico con sistemas computarizados GxP:
ESPECIFICACIONES DE REQUISITOS
Todos estamos de acuerdo en que necesitamos capturar lo que debe hacer un sistema computarizado cuando estamos planeando un nuevo sistema, es decir, la funcionalidad que proporcionará para respaldar un proceso de negocios en particular. Esto significa que debemos definir qué regulaciones se aplican y qué requisitos individuales deben cumplirse dentro del marco regulatorio general. Necesitamos requisitos para definir la funcionalidad específica que el sistema debe proporcionar en relación con el proceso comercial; cómo controlará una actividad, analizará una muestra, calculará un resultado y almacenará los datos. Puede haber restricciones particulares o requisitos de infraestructura: alojamiento en la nube, funcionamiento en una sala limpia, conexión o interfaz con un sistema existente.
Todos estos son tremendamente importantes y deben ser capturados como requisitos.
Requisitos sobre cuántos niveles de submenú se permiten en el sistema. Requisitos para “rápido, fácil, fácil de usar”. Estos no tienen sentido para el proceso comercial e inútiles para el paciente final.
¿Qué hay de capturar los requisitos en un documento de Word en lugar de utilizar una herramienta de gestión de requisitos? ¿Qué elección de logotipo, fuente, interlineado? ¿Serán los requisitos firmados a mano o aprobados electrónicamente? Nada de esto tiene ningún impacto en la calidad del producto o la seguridad del paciente. Siempre que los requisitos estén controlados, aprobados, protegidos contra cambios no autorizados, disponibles y actualizados durante toda la vida del sistema, el formato, los medios y la apariencia de la información tampoco tienen impacto en la integridad de los datos.
Mencioné “aprobado” en la lista anterior. Revisión por el propietario del proceso y el propietario del sistema, absolutamente. Revisión por otras cuatro personas sin conocimiento de sistemas o procesos que solo querían su nombre en el documento, sin sentido. Mi registro personal en un proyecto CSV era un cliente que demandaba un total de nueve revisores y aprobadores. Si un revisor no va a leer el contenido o entender el contenido, ¿qué representa su firma: un autógrafo para la posteridad? ¿Una confirmación de que creen que el crítico anterior probablemente lo leyó? No ayuda….
PRUEBAS
Se pueden obtener grandes beneficios al aplicar el pensamiento crítico a las pruebas y, por lo tanto, no sorprende que la excelente instigación de la FDA de los enfoques de Computer Software Assurance (CSA) tenga un enfoque significativo en las pruebas.
Yo estimaría de forma conservadora que los scripts de prueba detallados click a click tardan cinco veces más en escribirse que en ejecutarse. La mayor proporción de defectos encontrados por dichos scripts de prueba son, sin duda, errores en los propios scripts. Veamos la motivación para scripts de prueba tan detallados.
Motivación Pensamiento Crítico
Debe desafiar una ruta o rama específica en el software; las instrucciones detalladas aseguran que llegue al camino o ramal. Esto aporta valor en la detección de defectos y beneficios finales para la seguridad del paciente.
El evaluador no sabe cómo operar el software, por lo que necesita las instrucciones de click a click.

En más de una ocasión, sobre todo en los talleres de Validación de planillas Excel, suele aparecer la discusión sobre si las mismas son validables, hablamos de su inviolabilidad y generalmente llegamos a la conclusión que las planillas Excel, no son a prueba de balas, pero las necesitamos.

Diseñar e implementar una hoja de cálculo debería ser la última opción. La decisión final de encargar el desarrollo y la implementación de las hojas de cálculo debe basarse en una investigación elaborada con respecto a la disponibilidad de software “existente” y probado, que ya está destinado a ser utilizado dentro de las industrias sanitarias reguladas.
Se recomienda realizar cálculos en entornos seguros y validados con funciones para cumplir con las regulaciones aplicables, por ejemplo: sistemas de datos cromatográficos (CDS), sistemas de gestión de información de laboratorio (LIMS).
Existen en el mercado softwares que le dan a las planillas Excel la posibilidad de una mayor seguridad y funcionalidad de compliance, por ejemplo, Audit Trail, firmas electrónicas, gestión de usuarios, control de versiones.

Ahora nuestra realidad, es que tenemos muchas planillas Excel, las cuales utilizamos para calcular Atributos críticos de calidad, planillas con impacto sobre la calidad de nuestros productos y mientras esto sea así, tenemos que hacer todo lo posible para tener planillas Excel correctas y seguras, por eso tenemos que validarlas y luego implementar una excelente administración y seguimiento de las mismas.

Pero ojo, no debemos validar el software Excel (la aplicación), el cual ya esta probado por el uso y es confiable, pero si todo aquello que hemos configurado, todo lo que nosotros decidimos que la planilla hará.

Estos 5 conceptos claves son aplicados a lo largo de la GAMP5:

• Comprensión de productos y procesos

Una comprensión del proceso soportado es fundamental para determinar los requisitos del sistema. La comprensión de productos y procesos es la base para tomar decisiones basadas en la ciencia y el riesgo para garantizar que el sistema sea adecuado para el uso previsto.

Los esfuerzos para garantizar la aptitud para el uso previsto deben centrarse en aquellos aspectos que son críticos para la seguridad del paciente, la calidad del producto y la integridad de los datos. Estos aspectos críticos deben ser identificados, especificados y verificados.

Los sistemas dentro del alcance de la GAMP5 admiten una amplia gama de procesos, incluidos ensayos clínicos, estudios toxicológicos, producción de API, producción de productos formulados, almacenamiento, distribución y farmacovigilancia.

Para algunos sistemas de fabricación, los requisitos del proceso dependen de una comprensión profunda de las características del producto. Para estos sistemas, la identificación de Atributos de calidad críticos (CQA) y los Parámetros críticos de proceso (CPP) relacionados permiten la definición de los requisitos de control de proceso.

La especificación de requerimientos debe estar enfocada en aspectos críticos. El alcance y el detalle de la especificación de requisitos deben ser acordes con el riesgo, la complejidad y la novedad asociados del sistema.

La comprensión incompleta del proceso dificulta el cumplimiento efectivo y eficiente y el logro del beneficio comercial.

• Enfoque del ciclo de vida dentro de un QMS

Adoptar un ciclo de vida completo del sistema computarizado implica definir las actividades de una manera sistemática desde la concepción del sistema hasta su retiro. Esto permite el control de la gestión y un enfoque coherente en todos los sistemas.

El ciclo de vida debe formar parte intrínseca del QMS de la empresa, que debe mantenerse actualizado a medida que se desarrollan nuevas formas de trabajo.

A medida que se adquiere experiencia en el uso del sistema, el sistema de gestión de la calidad del servicio (QMS, por sus siglas en inglés) debe permitir mejoras continuas en el proceso y en el sistema basadas en revisiones y evaluaciones periódicas, datos operativos y de rendimiento, y análisis de causas de fallas. Las mejoras identificadas y las acciones correctivas deben seguir a la gestión del cambio.

Un ciclo de vida adecuado, aplicado adecuadamente, permite garantizar la calidad y la aptitud para el uso previsto, y lograr y mantener el cumplimiento de los requisitos reglamentarios. Un ciclo de vida bien gestionado y comprendido facilita la adopción de un enfoque QbD.

El enfoque del ciclo de vida es fundamental para la GAMP5 y representa cada uno de los otros conceptos claves.

• Actividades escalables del ciclo de vida

Las actividades del ciclo de vida se deben escalar de acuerdo con:

1. Impacto del sistema en la seguridad del paciente, la calidad del producto y la integridad de los datos (evaluación de riesgos)
2. Complejidad y novedad del sistema (arquitectura y categorización de los componentes del sistema).
3. Resultado de la evaluación del proveedor (capacidad del proveedor)

El impacto sobre el negocio también puede influir en la escala de las actividades del ciclo de vida.

La estrategia debe estar claramente definida en un plan y seguir las políticas y procedimientos establecidos y aprobados.

• Gestión de riesgos de calidad basada en la ciencia

La gestión de riesgos de calidad es un proceso sistemático para la evaluación, control, comunicación y revisión de riesgos.

La aplicación de Quality Risk Management permite que el esfuerzo se centre en aspectos críticos de un sistema computarizado de manera controlada y justificada.

La gestión de riesgos de calidad debe basarse en una clara comprensión del proceso y un impacto potencial en la seguridad del paciente, la calidad del producto y la integridad de los datos. Para los sistemas que controlan o monitorean los CPP, estos deben ser rastreados a los CQA y, en última instancia, a las presentaciones reglamentarias relevantes para los sistemas de fabricación.

Se pueden utilizar técnicas cualitativas o cuantitativas para identificar y gestionar los riesgos. Los controles están desarrollados para reducir los riesgos a un nivel aceptable. Los controles implementados son monitoreados durante la operación para asegurar la efectividad continua.

• Aprovechamiento de la participación del proveedor

Las compañías reguladas deben tratar de maximizar la participación del proveedor a lo largo del ciclo de vida del sistema para aprovechar el conocimiento, la experiencia y la documentación, sujeto a una evaluación satisfactoria del proveedor.

Por ejemplo, el proveedor puede ayudar con la recopilación de requisitos, las evaluaciones de riesgos, la creación de especificaciones funcionales y de otro tipo, la configuración del sistema, las pruebas, el soporte y el mantenimiento.

La planificación debe determinar la mejor manera de utilizar la documentación del proveedor, incluida la documentación de prueba existente, para evitar duplicación de  esfuerzos. La justificación para el uso de la documentación del proveedor debe ser proporcionada por el resultado satisfactorio de las evaluaciones del proveedor, que puede incluir auditorías del proveedor.

La documentación debe evaluarse para determinar su idoneidad, precisión y exhaustividad. Debe haber flexibilidad con respecto a las prácticas aceptables de formato, estructura y documentación.

ISPE GAMP 5 A Risk Based Approach to Compliant GxP Computarized Systems (2008).

La nueva disposición de la ANMAT tiene establecidos requerimientos para los sistemas computarizados o informatizados en el Anexo 6 Sistemas Informatizados de la nueva Disposición.

Este Anexo aplica a todas las formas de sistemas informatizados usados como parte de las actividades reguladas por las BPF y se utilicen para crear, modificar, mantener,  archivar, obtener o distribuir registros electrónicos.

Además de Validar las aplicaciones, debemos calificar la Infraestructura  informatizada (IT).

La inclusión de un sistema informatizado en la manufactura no debe aumentar el riesgo total del proceso.

Estos lineamientos de la nueva GMP están basados en la GAMP5 (ISPE) A Risk-based Approach to Compliant GxP Computarized Systems.

Como parte del sistema de gestión de riesgos, las decisiones sobre la extensión de la validación y de los controles de la integridad de datos deben basarse en una evaluación de riesgos del sistema informatizado justificada y documentada.

La norma menciona diferentes figuras que deben existir, como: el propietario del proceso (process owner), el propietario del sistema (system owner), las Personas Calificadas e IT. Obviamente todo el personal debe estar calificado, con su nivel de acceso y definidas sus responsabilidades.

Los proveedores de sistemas informatizados deben estar evaluados y debe disponerse de acuerdos técnicos y acuerdos de confidencialidad (ppalmente. para acceso remoto). La necesidad de auditarlos debe estar basada en un análisis de riesgo del mismo.

Debe disponerse de un inventario de los sistemas computarizados del laboratorio.

La Validación debe ser proporcional al riesgo del sistema (clasificación del riesgo, por ejemplo Categoría GAMP5 y calificación del proveedor), a más riesgo más esfuerzos de validación.

La transferencia de datos debe ser efectuada de forma segura.

En cuanto a la Operación de los SC, debemos asegurar que los datos son guardados regularmente de forma integra durante el período de conservación de los mismos. Debe haber un Audit Trail y debe ser considerada la Gestión de cambios y configuración.

Los sistemas informatizados deben ser revisados periódicamente para verificar la validez de la validación. Esta revisión incluye por ejemplo documentos de operación, validación, cambios, eventos, accesos y manejo de back up, por ej.

También hace referencia a otros temas de importancia como el manejo de firmas electrónicas, plan de Disaster Recovery, etc.

Desde cGMPdoc les ofrecemos distintas alternativas como:

1. Entrenamientos “In Company” para capacitar a su personal
2. La implementación del proceso de CSV (Validación de Sistemas Computarizados), lo cual incluye la discusión del procesos internamente con el laboratorio, la confección de los SOPs necesarios, el entrenamiento del personal, la confección del PMV de sistemas computarizados y la ejecución de una validación a modo de ejemplo, de manera que Uds. puedan luego continuar con las actividades del Plan.
3. La validación de un sistema computarizado
4. Asesoramiento en la revisión de su proceso de CSV si lo necesita
5. Pack de SOPs y documentos modelos sobre CSV

Espero que les resulte de utilidad.

La GAMP5 pone particular énfasis en dar lineamientos sobre un enfoque efectivo para compliance y para demostrar que el sistema es adecuado para sus propósitos de uso.

Por tal motivo da lineamientos sobre:

• Un enfoque completo de ciclo de vida de los sistemas computarizados como parte de un sistema de gestión de calidad, desde la conceptualización del mismo hasta su retiro.
• Un enfoque de escalado para alcanzar y mantener el cumplimiento GxP direccionado a la novedad, complejidad, riesgo al paciente, calidad del producto y de integridad de datos.
• Clarificar el rol de la unidad de calidad y e introducir otros roles como Propietario del proceso, Propietario del sistema y SME (Subject Matter Expert).
• En el entorno GMP, esfuerzos para disponer de claros requerimientos basados en el conocimiento del sistema y de los atributos críticos de calidad del proceso / producto, para facilitar la adopción de un enfoque de Quality by Design.
• Aprovechar la documentación del proveedor y el conocimiento, si es posible, de forma de evitar duplicarlas de forma innecesaria.
• Mejorar la eficiencia por medio de promover una interpretación práctica y efectiva de esta guía.
• Maximizar el uso de documentación desde actividades, tales como desarrollo y commissioning, como evidencia de verificación.
• La importancia de un seguimiento efectivo para alcanzar y mantener el cumplimiento.
• Identificar oportunidades para mejorar de procesos y sistemas basados en la revisión periódica, análisis de causa raíz, y CAPA.

La guía intenta actualizarse a un entorno de cambio, además de buscar cumplir con las GxP vigentes y hacer foco en la Gestión de riesgos de Calidad.

 

He pensado en tomarme unos minutos para hablar sobre este tema, ya que es muy frecuente que discutamos sobre el tema central, la validación de las planillas Excel, pero siempre que tenemos la oportunidad, en talleres, en cursos o simplemente cuando hacemos una evaluación de riesgo para saber como estamos en este tema, surge la pregunta…

¿Cómo administramos las planillas Excel?, ¿Lo hacemos de una forma segura?

Veamos un poco el tema.

Les recuerdo que hemos hablamos de la importancia de determinar el impacto GMP de una planilla Excel (PE), considerando,  si la misma tiene impacto directo sobre la  pureza, seguridad, eficacia, identidad del producto, o la medición o monitoreo de estos atributos, o si el Excel produce datos que serán usados para aceptar o rechazar el producto, o también si los resultados obtenidos del Excel interactúan con otros sistemas que tienen efecto directo sobre la calidad del producto.

También mencionamos la construcción de las planillas y las actividades de validación para asegurar que las mismas, fórmulas, instrucciones, macros, etc., cumplan con las especificaciones y sean seguras.

Pero hoy quiero hacer foco en dos aspectos muy importantes:  la administración de las planillas y el uso apropiado de las mismas.

 

Pero que pasa luego que la planilla ya está validada y el personal del laboratorio está entrenado en su uso?

El responsable de administrar las planillas del laboratorio (usualmente QA), debe proteger las planillas, usualmente asignarles una codificación, podría ser por ejemplo:

PE-NNN vXX

Donde:

PE: acrónimo de Planilla de cálculo Excel

NNNN: número único para cada PE, comenzando por el 001

V: correspondiente a versión

XX: número de

Luego QA registra la información de la PE en un listado o inventario de planillas Excel del laboratorio conteniendo las planillas validadas vigentes.

Desprotege la PE y workbook.

Asegura que cada impresión del worksheet incluye la siguiente información en cada página:

• Nombre del archivo / nombre del worksheet (hoja) en el encabezado
• Número de página en el pié de página
• Estado y fecha de vigencia en el pié de página
• Ruta donde está la planilla de cálculo Excel en el pié de página
• Fecha y hora de impresión

Verifica que la información agregada no altera el número de páginas impresas (ajusta de forma necesaria para mantener el número de páginas como está testeada y documentada en los test del usuario de la PE).

Respeta los códigos de color establecidos para la fuente y las celdas.

Setea la PE para ser compartida, de la siguiente manera, accede al ítem menú: Tools>share workbook y chequea el ítem “permitir cambios por más de un usuario al mismo tiempo”.

Protege la PE y el workbook con un password. Ingresa al menú Herramientas / proteger Hoja y hace click, ingresa la contraseña y luego presiona “enter” o click en el botón aceptar. Registra el password (s) en el inventario de planillas validadas vigentes.  Salva el archivo y lo cierra. Coloca la PE validada en la carpeta de la red dedicado para ese propósito y liberada para su uso.

Para efectuar la administración de las Planillas Excel, suelen crearse carpetas para ubicar a las planillas según su status, por ejemplo:

• Planillas Validadas y vigentes
• Planillas No vigentes
• Planillas en modificación / validación
• Templates o modelos (como por ej. Especificación de diseño, protocolo de validación, etc.)

Los permisos de acceso a tales carpetas son los siguientes:

Posición	Validadas/vigentes	No vigentes	En modificación/validación
Supervisor QC	Solo lectura	No acceso	Copia/borra/modifica
Usuario	Solo lectura	No acceso	No acceso
Personal QA	Acceso completo	Acceso completo	Acceso completo
Adm. IT	Backup / recovery	Backup / recovery	Backup / recovery

Uso de las planillas Excel validadas:

Cada usuario debe verificar que la planilla está disponible en la carpeta de planillas de cálculo Excel vigentes.

Cada impresión de planilla debe incluir los nombres del archivo y planilla, la información del número de página, la fecha y la hora de impresión, el estado de la planilla y la fecha de vigencia.

En cuanto al uso de las mismas, quiero que recuerden que dado que las planillas Excel “perse” no cumplen con la parte 11, el uso esperado es abrir la planilla, completar los campos necesarios con datos, generar una impresión, revisarla y firmarla.

No está permitido que los usuarios finales salven la PE de manera de permitir que el archivo sea cargado de la misma forma cada vez que se accede a él.

Cambios a una PE existente, los mismos deben ser efectuados a través del sistema de control de cambios o a través de un log de cambios de la planilla, de manera que las modificaciones sean documentadas y aprobadas antes de ser efectuadas.

Una vez aprobado el cambio, QA efectúa una copia de la planilla existente para que sea efectuada la nueva versión, luego de creada la misma sigue el mismo camino que vimos anteriormente.

La planilla modificada reemplaza a la anterior, la cual es retirada a obsoleta.

Espero que les resulte útil.

1. Hay una separación clara de responsabilidades y cooperación entre todo el personal relevante tal como propietario del proceso de negocios, propietario del sistema, una persona calificada de QA e IT?
2. Hay un Análisis de riesgo documentado efectuado a lo largo del ciclo de vida del sistema computarizado, teniendo en cuenta la justificación para la validación, seguridad del paciente, integridad de datos y la calidad del producto?
3. La documentación de validación incluye los registros de Controles de Cambios (si los hay) y los reportes sobre cualquier desvío observado durante el proceso de validación?
4. Hay una URS para cada sistema, donde se describen las funciones esperadas por los usuarios y estas son trazables a lo largo del ciclo de vida de los documentos?
5. Para la validación de SC customizados / categoría 5 GAMP5, hay un proceso “in place” para asegurar el análisis formal y el reporte de calidad y medidas de la performance para todas las etapas del ciclo de vida del SC?
6. En el caso que sean transferidos datos a otro formato de datos o sistema. La validación incluye la verificación que los datos no han sido alterados en valor y/o significado durante el proceso de migración?
7. En el caso que el SC intercambie datos electrónicamente con otros sistemas. Hay chequeos incorporados apropiados para verificar el correcto y seguro ingreso y proceso de los datos, de manera de minimizar los riesgos?
8. En el caso que sean ingresados datos de forma manual. Hay una verificación adicional efectuada por una segunda persona o medio electrónico validado para asegurar la exactitud de los mismos? La criticidad y las consecuencias potenciales de potenciales errores o datos ingresados de forma incorrecta debería ser cubierta por la gestión de riesgo.
9. Cómo es la seguridad de los datos frente al daño (tanto física como electrónica)? Los datos almacenados deberían ser chequeados para su accesibilidad, lectura y exactitud. El acceso a los datos debe ser asegurado a lo largo del período de retención.
10. Es efectuado un back up de los datos de forma regular? La integridad y exactitud del back up de datos y la capacidad para recuperar datos debe ser verificada durante la validación y el monitoreo periódico.
11. Es posible obtener copias impresas de datos almacenados electrónicamente de forma clara?
12. Para registros que soportan la liberación del lote, es posible generar impresiones indicando si alguno de los datos ha sido cambiado desde la entrada original?
13. Hay un “Audit Trail” diseñado dentro del sistema el cual registra todo cambio GMP relevante y las eliminaciones?
14. Todos los cambios y eliminaciones de datos GMP relevantes son documentadas con una justificación?
15. Los audit trails están disponibles y convertibles a un formulario comprensible?
16. Los cambios a un SC son incluidos en un sistema de configuración hecho en una forma controlada de acuerdo a un procedimiento definido?
17. Todos los SC son periódicamente evaluados para confirmar que ellos se mantienen en un estado validado y están en cumplimiento de las GMP? Las evaluaciones deberían incluir, si es apropiado, el rango actual de funcionalidad, el registro de los desvíos, incidentes, problemas, historial de las actualizaciones, performance, confiabilidad y reportes de estatus de validación.
18. Hay controles físicos y lógicos, “In Place” para restringir el acceso a los SC a las personas autorizadas? Por ejemplo, uso de claves, tarjetas, código personal con contraseñas, biométricas, para restringir el acceso a áreas del equipamiento computarizado y almacenamiento de datos.
19. Los sistemas de gestión de datos y documentos están diseñados para registrar la identidad de los operadores que ingresan, cambian, confirman o borran datos incluyendo la fecha y la hora?
20. Cómo son reportados y evaluados los incidentes? La causa raíz del incidente debe ser identificada y debe ser la base de la acción correctiva (CAPA).
21. Ha sido efectuada la evaluación de la parte 11 para los sistemas relevantes?
22. Hay un procedimiento que confirma que la firma electrónica tiene el mismo impacto que las formas manuscritas dentro de los límites de la compañía?
23. Las firmas electrónicas permanecen relacionadas a sus respectivos registros electrónicos?
24. Cuando el sistema computarizado es usado para la certificación y liberación de lotes, el sistema permite solo personas calificadas para certificar la liberación de los lotes y claramente identificada y registra la persona que libera y certifica los lotes? Esto podría ser efectuado utilizando una firma electrónica.
25. Los datos han sido chequeados para su accesibilidad, disponibilidad e integridad?

La validación es mandatoria para los sistemas GxP.

El nivel de la validación dependerá de la configuración del software y de cómo el proveedor diseñó, desarrolló y testeó el sistema computarizado (hardware y software).

La evaluación del proveedor y la categoría del software (de acuerdo a la GAMP5) son claves en el proceso de análisis de riesgo e influenciarán en la determinación de cuanto esfuerzo será requerido para la validación del sistema computarizado.

Les dejo los flujogramas propuestos para las actividades de validación de las categorías 3, 4 y 5, de acuerdo a la GAMP5 (2008).

Flujograma para un sistema de categoría 3.

Flujograma para un sistema de categoría 4 (adaptado).

 

Flujograma para un sistema de Categoría 5 (a medida).

 

¿Qué tipos de sistemas computarizados debemos considerar?

En principio los relacionados a las actividades de controles del proceso, los relacionados al laboratorio, las aplicaciones de IT y lo relacionado a infraestructura.

Espero que les haya resultado interesante.