Posts tagged ‘proveedores’

El acceso remoto por parte del proveedor ofrece muchas ventajas al mantener el software, solucionar problemas e instalar nuevas funcionalidades. Sin embargo, ¿qué regulaciones deben existir para el acceso remoto de los proveedores de servicios a los sistemas críticos de GxP? ¿Qué requisitos de integridad de datos se deben incluir?

¿Cómo se puede hacer que este proceso sea compatible con GxP?

El acceso remoto permite a los proveedores de servicios acceder a sistemas computarizados a través de una conexión de red para corregir errores o cambiar la configuración. Si se accede a un sistema computarizado crítico GxP de forma remota, las actividades del proveedor de servicios o la compañía de servicios pueden modificar el sistema de tal manera que el estado validado ya no se mantenga. Por lo tanto, el acceso remoto y las acciones realizadas durante esta sesión deben controlarse y documentarse. Esto significa que el acceso debe ser habilitado activamente por el RU (usuario regulado). Además, esto debe hacerse a través de una conexión de red segura y se debe mantener un registro de las actividades realizadas. Si es necesario, se debe iniciar un proceso de control de cambios.

El objetivo es mantener y controlar el estado validado del sistema.

Publicado en el Boletín GMP de la ECA (6/5/2020)

Aplicaciones en la Nube | Enkicode

Les dejo este artículo relacionado sobre aplicaciones en la nube.

La semana pasada estaba en un taller sobre Validación de Procesos y el tema que estábamos tratando era como disminuimos la variación natural del proceso, cuando el proceso está bajo control, pero la variación es importante y el CpK no es lo que nos gustaría que fuera. Entre tantos temas, uno de ellos fue la calidad de las materias primas, con lo cual comenzamos a discutir sobre el tema del manejo de proveedores.

En otros artículos del blog hemos hablado al respecto, en este caso quiero reforzar algunos principios de la Gestión de Proveedores, ya que es sumamente importante contar con proveedores que nos entregan materiales que cumplan consistentemente con los requerimientos y que dispongan de sistemas de calidad “in place” y comprendan los principios de las cGMP.

  1. Aprobación del proveedor

La aprobación de un proveedor para determinado insumo puede constar de tres elementos de evaluación: la investigación del proveedor, los resultados de la auditoria y los ensayos efectuados sobre el material.

Para ser aprobado un proveedor debe alcanzar para cada una de los tres elementos la calificación de bueno / satisfactorio o más.

  • Investigación del proveedor, por ejemplo considera la Reputación del proveedor en la industria, si hay experiencia previa con el proveedor en la organización, si dispone de Certificaciones GMP locales, internacionales u otro tipo de certificaciones, etc.
  • Auditoría al proveedor (instalaciones y el sistema de calidad del Proveedor)
  • Ensayos del material, se evalúan los resultados analíticos. Se relevan los últimos 10 ingresos de la mercadería o los ingresos del último año. En función de los resultados se lo califica. En el caso de no contar con un historial de suministro, se debe solicitar al proveedor tres muestras de material de tres lotes diferentes. Estas muestras deben analizarse y usar sus resultados como datos para generar la revisión de resultados requerida.
  1. Base de datos y estados del proveedor

Una lista con información del proveedor, la misma debe ser mantenida actualizada dentro del área de Calidad.

Uno de los campos de la lista, es el estado del proveedor.

A los proveedores se les asignan los siguientes estados: Aprobado, Aprobado con observaciones, en Evaluación o Rechazado.

  • Proveedor Aprobado:

Es aquel que fue sometido a evaluación para proveer un material específico o tipo de suministro y logró resultados satisfactorios.

  • Proveedor Aprobado con observaciones:

Es aquel Proveedor que fue sometido a una evaluación y si bien ha sido aprobado presenta oportunidades de mejora, el mismo debe presentar un plan de acción y demostrar el compromiso para superar los resultados obtenidos en la evaluación.

  • Proveedor en Evaluación:

Es aquel Proveedor que está siendo evaluado por el Laboratorio.

  • Proveedor Rechazado:

Es aquel Proveedor que no ha alcanzado los requerimientos mínimos para ser aprobado. No deben ser colocadas órdenes de compra de dichos materiales a estos proveedores hasta que mejoren su estatus o exista una autorización por parte de Aseguramiento de Calidad previo análisis de riesgo sobre el mismo.

  1. Acuerdo de Calidad (QAA)

Una vez aprobado el proveedor, se confecciona un acuerdo de calidad.

El acuerdo define las responsabilidades para la provisión del material y/o servicio y es firmado por los responsables de ambas partes: proveedor y el Laboratorio.

El acuerdo incluye por ejemplo lo siguiente:

  • Especificación completa, incluyendo métodos de control, para el material o producto.
  • Rótulo del contenedor con detalles de información del rótulo
  • Detalles de peso neto y bruto y números de componentes suministrados
  • Para productos, se debe definir las responsabilidades de suministro y control de materias primas y materiales de empaque.
  • Cualquier condición especial de manipuleo, almacenamiento o transporte.
  • Provisión de un certificado de análisis de aprobación o cumplimiento de cada lote liberado.
  • Provisión de muestras por parte del Proveedor de acuerdo a un plan de muestreo acordado, donde sea requerido por el cliente.
  • Flujo de información en el caso de cualquier suceso que pueda tener un impacto sobre la calidad final de los productos terminados, como mezclas de etiquetas, contaminación, cambios en los procesos, etc.
  • Manejo y respuesta a rechazos y reclamos.
  • Debe prohibir cualquier cambio en el proceso de fabricación, características / calidad de los materiales o especificaciones, a menos que se haya acordado formalmente por escrito con el cliente. Si se efectuaran cambios, se debe establecer un procedimiento de control de cambios con toda la documentación disponible.
  1. Condiciones para la compra

La compra de materiales y productos es una operación de gran importancia e involucra personal con un conocimiento particular y profundo de los Proveedores.

Los materiales y productos deben ser comprados solo a Proveedores Aprobados por el Laboratorio. Siempre que sea posible, el material debe ser comprado al fabricante.

En el caso que para una compra en particular NO exista un proveedor aprobado por Aseguramiento de Calidad, el personal de Compras debe solicitar información sobre el material y el proveedor y enviarla a Aseguramiento de Calidad para su evaluación. Aseguramiento de Calidad podrá Aprobar o Rechazar, por escrito, la compra de ese material a ese proveedor. Este dictamen es valedero sólo para una orden de compra. De surgir nuevas compras de ese material en las mismas condiciones, deben volver a evaluarse por el mismo mecanismo y en un breve lapso aprobar al proveedor para ese material.

Todos los materiales y productos comprados deben tener un pedido de compra.

  1. Monitoreo del Proveedor:

Los Proveedores deben ser monitoreados sobre una base periódica para asegurar que continúan cumpliendo con los estándares del Laboratorio:

  • Análisis de riesgos de calidad del proveedor

De forma anual todos los proveedores del listado son sometidos a un Análisis de Riesgo de Calidad. Dicho análisis revisa todos los aspectos del desempeño del proveedor y es un elemento utilizado para evaluar la performance del proveedor y modificar su estatus.

Deben estar en vigencia procedimientos para evaluar cambios en los procesos del Proveedor, instalaciones, organización y estado de cumplimiento regulatorio, cuando éstos sean reportados.

Aseguramiento de Calidad tiene la autoridad para modificar el estatus a un Proveedor basado en rechazos, historial pobre, resultados de la auditoría insatisfactorios, o estado de cumplimiento regulatorio inaceptable.

Cualquier incumplimiento que modifique alguna de estas dos variables (resultados analíticos y ARC), hace que el proveedor modifique su estado de aprobación. Todo incumplimiento debe ser comunicado al área de compras y a los responsables de áreas técnicas del laboratorio.

Para mantener el estado aprobado un proveedor debe tener resultados analíticos al menos categorizados como satisfactorios y su ARC satisfactorio, unos resultados al menos satisfactorios y un ARC medianamente aceptable, le da al proveedor un estado de aprobado con observaciones y cualquier resultado inferior a los mencionados, ya sea resultados analíticos o en el ARC, le da un estado de rechazado al proveedor.

Conclusión:

El proveedor de un material o el “socio” como suelen algunos llamarlo, debe estar alineado con los objetivos del laboratorio, compartiendo los objetivos y fundamentalmente teniendo una excelente comunicación con el Laboratorio.

Hace tiempo incluimos un Check de verificación del estatus de CSV (Validación de sistemas computarizados) y parte 11 (Firmas y registros electrónicos), acá les dejo el link.

Este check que estamos incluyendo en este artículo intenta ser una guía para auditar el cumplimiento de CSV en el laboratorio (o en su proveedor). Esperamos que le sirva de ayuda.

auditoria_3

  1. Desarrollo del Sistema
    • Proveedores
  • Verificar si hay un método para aceptar el producto, incluyendo los requerimientos técnicos y de calidad del producto.
  • Verificar como los requerimientos técnicos y de calidad son considerados por el proveedor y/o sub contratado. ¿Hay un proceso definido? ¿El mismo es cumplido?
  • En el caso de sub contratar actividades, verificar la experiencia y calificación del mismo (por ej. verificar entrenamientos o certificaciones).
  • Si la evaluación del proveedor involucró una auditoria, verificar el estatus de los hallazgos.
  • ¿Dispone de un procedimiento para la evaluación de proveedores?, ¿dicho procedimiento es seguido?
  • Si el Sistema es provisto por un proveedor, verificar si el mismo ha sido evaluado.
  • Verificar si el Sistema fue elaborado “In House” o desarrollado por un proveedor.
    • Requerimientos
  • Verificar que todos los requerimientos GMP del proceso, incluyendo la parte 11 (firmas y registros electrónicos) han sido incluidos.
  • Verificar que los requerimientos son revisados y aprobados por los departamentos apropiados, incluyendo como mínimo responsable del proceso de negocios y al responsable de QA.
    • Diseño y codificación
  • Verificar que existe un documento de diseño cubriendo todos los requerimientos del usuario y la trazabilidad entre los requerimientos y los elementos del diseño.
  • Verificar que la especificación de diseño es revisada y aprobada por los departamentos apropiados.
  • Confirmar que la especificación de diseño fue aprobada antes de que el codificado comience.
  • Confirmar que existe un estándar de codificado (por ej. Java, etc.). En caso de no haberlo, debe haber una justificación adecuada.
  • Verificar que la revision de código fue efectuada.
  • Determinar si todo el código es revisado o si es revisado una muestra, en éste ultimo caso, determinar como fue seleccionada la muestra.
  • Confirmar que los revisores de código son independientes y están adecuadamente calificados.
  • Confirmar que los defectos encontrados durante la revisión son corregidos y las acciones correctivas tomadas para evitar su re ocurrencia.
    • Testeo
  • Revisar la documentación de testeo asociada con el Sistema a auditar.
  • Verificar que existe una estrategia de testeo explicando los testeos efectuados en cada etapa de desarrollo (ej. Testeos de módulo, testeo de integración, testeos de interface) y testeos de aceptación.
  • Confirmar a través del proceso de testeo que los requerimientos funcionales críticos han sido testeados.
  • Verificar que los testeos cubren condiciones límites, fallas y estrés, así como pruebas diseñadas para confirmar que el sistema funciona como se espera. Además, que incluye el control de seguridad de accesos lógicos.
  • Verificar que los testeos sean efectuados por personal independiente y calificado (el desarrollador y el autor de los ensayos).
  • Confirmar que los scripts de testeo están escritos, y que los mismos contienen claramente los criterios de aceptación.
  • Verificar que los resultados de los ensayos han sido documentados y se dispone de la evidencia adecuada. Donde hay desvíos los mismos son documentados.
  • Verificar que el test que falló ha sido evaluado respecto de la criticidad del requerimiento funcional.
  • Verificar que cuando un test ha fallado la funcionalidad requerida no es crítica para el proceso ni para el cumplimiento GMP. Confirmar que existe una solución de procedimiento adecuada.
  • Si es utilizada una herramienta automatizada para los testeos, verificar que la misma ha sido calificada para asegurar que funciona correctamente, que hay procedimientos para su uso, que las firmas de las aprobación de los scripts de testeos son registradas y que los cambios a la herramienta o scripts electrónicos son controlados y aprobados.
    • Entregables de Validación
  • Verificar que hay un conjunto de documentos de validación consistente con una clara relación de los mismos a los requerimientos.
  • Verificar que los entregables de validación son declarados en el plan de validación, han sido completados y están resumidos en el reporte de validación.
  • Verificar que las excepciones (si aplica) del reporte de validación han sido registradas como acciones para su seguimiento.
    • Liberación
  • Revisar como es liberado el Sistema para el uso.
  • Verificar los controles y chequeos utilizados para asegurar que todas las actividades fueron completadas.
  • Verificar que los roles y responsabilidades para la liberación están claras y se han cumplido.
  • Verificar que todos los entregables requeridos fueron parte del paquete de liberación, por ej. un código de construcción del Sistema, certificado de liberación, manuales de uso, material de entrenamiento.
  1. Gestión del sistema
    • General
  • Establecer como es provisto el soporte al Sistema, confirmar que los roles y responsabilidades del hepdesk, de los administradores y soporte técnico están claramente definidas. Asegurar que el entrenamiento adecuado para cada rol fue suministrado.
  • Verificar que el Sistema tiene un propietario que lo maneja con suficiente autoridad y con un presupuesto para su mantenimiento.
    • Manejo de problemas
  • Confirmar que hay un procedimiento vigente para el reporte de problemas, con registro, investigación y resolución de los mismos.
  • Verificar que las acciones correctivas y preventivas son implementadas.
  • Verificar que hay una relación entre el reporte de incidentes y la gestión de cambios para el Sistema.
    • Gestión de cambio
  • Asegurar que los procedimientos para iniciar, autorizar y documentar los cambios del Sistema están vigentes.
  • Confirmar que los cambios son evaluados para asegurar que el impacto sobre las funcionalidades relacionadas es entendido.
  • Asegurar que la gestión de los cambios incluye la actualización de la documentación del Sistema, instrucciones de uso, entrenamiento, datos maestros como la funcionalidad técnica.
  • Asegurar que los testeos hechos como soporte de los cambios del Sistema confirman que las funciones relacionadas no son adversamente afectadas y además aseguran que los cambios requeridos son alcanzados.
    • Accesos y seguridad
  • Revisar que las medidas de seguridad físicas están definidas para el Sistema y están en uso efectivo. Verificar como son controlados los accesos físicos al hardware.
  • Revisar que las medidas de seguridad del software están definidas para el Sistema. Verificar como son controlados los accesos a las funcionalidades críticas son restringidas a los usuarios apropiados. Verificar que donde la capacidad de enmendar datos maestros ha sido restringida.
  • Verificar la existencia de un procedimiento para otorgar y remover los accesos al Sistema de los usuarios. Verificar que los accesos son revisados periódicamente para asegurar que solo tengan acceso al Sistema los usuarios requeridos.
  • Asegurar que los ambientes de desarrollo, de testeo y productivo son rutinariamente revisados en búsqueda de virus.
  • Determinar si los elementos del Sistema tales como Sistema operativo, base de datos y aplicaciones del software son mantenidos con los últimos parches de seguridad disponibles.
    • Datos maestros
  • Asegurar que existe un proceso para el mantenimiento de los datos maestros requeridos por el Sistema.
  • Confirmar que los roles y responsabilidades están claras respecto a la gestión y aprobación de datos maestros.
  • Verificar si los datos maestros son chequeados periódicamente para verificar su exactitud.
    • Planeamiento de Business Continuity /Disaster Recovery (incluyendo back up y recuperación)
  • Verificar que el Sistema tiene un plan de continuidad del negocio (BC), y que el mismo tiene en cuenta la criticidad del sistema.
  • Verificar que el Sistema tiene un plan de disaster recovery (DR), y que el mismo tiene en cuenta la criticidad del sistema.
  • Verificar que existe un régimen de back up y recuperación para el Sistema y que el mismo está documentado, mantenido y testeado. Verificar si el mismo tiene en cuenta la criticidad del Sistema.
  1. Revisión periódica
  • Verificar que el Sistema es sujeto a revisiones periódicas para determinar que actividades tienen que ser efectuadas para mantener el estado validado.
  • Confirmar que los resultados de la revisión son registrados y cualquier acción es seguida hasta que se complete.

Continuando con el tema de las auditorías, generalmente al desarrollar el tema surgen algunas preguntas, cómo quién o qué debe ser auditado, quién debe ser el auditor, donde y cuando ha de ser efectuada la auditoría y finalmente el porqué de una auditoría GMP, en las próximas líneas vamos a tratar de dar respuestas a las mismas.

  • ¿Quién debería ser auditado?

Además de los procesos de Auditorías internas requeridas por las cGMP, los Proveedores (internos y externos) deberían ser auditados para ver su cumplimiento con los requerimientos de las regulaciones GMP y con los estándares de la industria. Dentro de los proveedores podemos mencionar (a modo de ejemplo) a quienes nos suministran:

  1. Activos (APIs) (estériles y no estériles)
  2. Productos (estériles y no estériles)
  3. Excipientes
  4. Componentes de empaque (en contacto con producto y sin contacto con producto cuando es requerido)
  5. Materias primas
  6. Contratistas / elaboradores
  7. Proveedores de servicios críticos

Además las auditorías nos permiten evaluar un potencial o nuevo proveedor o vendedor, evaluar cambios claves en los proveedores / vendedores o contratistas o investigar problemas específicos que hayan experimentado para determinar la causa.

Estas auditorías determinan el nivel de calidad y cumplimiento de una operación particular.

La auditoría debe ser llevada a cabo siguiente un programa de auditoría.

  • ¿Quién es responsable de la auditoría?

El responsable de calidad del laboratorio es quien debe disponer de un plan de auditorías y de personal responsable de ejecutarlas. Dicho plan debe ser seguido en su ejecución, así como los hallazgos de los proveedores a través de un CAPA Plan aprobado por el auditor.

  • ¿Cuándo son efectuadas las auditorías?

Hay auditorías que son efectuadas como respuesta a un evento relacionado a compliance.

Generalmente la frecuencia de la auditoría es definida luego de efectuar un análisis de riesgo del proveedor. Variaciones a esta frecuencia definida en el Análisis de Riesgo pueden ser permitidas sobre la base de la performance del proveedor.

Las auditorías de QA deben ser efectuadas sobre una base regular para asegurar que los sistemas de calidad están bajo control y en cumplimiento.

documentin

  • ¿Por qué efectuar auditorías GMP?

Efectuar auditorías de calidad de productos, procesos y sistemas, es importante para asegurar que todos los laboratorios y los proveedores que dan soporte a las operaciones de los mismos, son revisadas para verificar que están alineados y en cumplimiento con las cGMP.

Una auditoría GMP es una herramienta de evaluación para:

  • Verificar si las políticas locales o del laboratorio y los procedimientos están siendo seguidos.
  • Verificar que los sistemas y controles requeridos están in place e in compliance con las regulaciones GMP.

Los objetivos específicos de la auditoría GMP son:

  • Determinar si las actividades de QA, de producción y demás sistemas cumplen con las GMPs, regulaciones de las agencias regulatorias y los requerimientos de los laboratorios.
  • Identificar de forma temprana de problemas de las instalaciones
  • Ayudar a determinar la profundidad del problema identificado en el área como también el alcance del mismo en la empresa.
  • Investigar y determinar la causa raíz del problema o deficiencia.
  • Asegurar compliance con los requerimientos de las agencias regulatorias
  • Dar información del nivel del cumplimiento de la planta y de los proveedores respecto de las cGMP.
  • Recomendar aprobar y certificar un proveedor.

Cada auditoría que es conducida debe estar basada en hechos.

Los auditores son buscadores de hechos!

Toda observación de una auditoría debe tener disponible la referencia a las GMP y el estándar de la industria actual. Una auditoría debe estar balanceada e incluir las buenas prácticas como también las desviaciones. Si son encontradas desviaciones, las mismas deben ser reportadas. Una auditoría es una herramienta para mejorar las operaciones del laboratorio o las operaciones del proveedor para asegurar que los productos del laboratorio son de un grado de calidad, efectividad y pureza aceptables.

Los beneficios tangibles y a largo plazo de una auditoría incluyen:

  • Identificar, eliminar y prevenir problemas de una forma temprana. En el diseño y vida de un proceso o sistema a través de la proactividad.
  • Disminuir el número de descartes, recalls, y lotes reprocesados o retrabajados.
  • Disminuir el número de reclamos de clientes.
  • Mejorar continuamente los sistemas GMP y potencialmente transferir las mejoras prácticas a través de todos los sectores del laboratorio y sus socios.
  • Proporcionar una gestión con feedback objetivo basado en hechos que puedan ayudar a identificar debilidades críticas que requieran recursos (capital y/o personal). Efectuar un Risk assessment.
  • Asegurar que los clientes del laboratorio reciben productos de una calidad, eficacia y seguridad aceptables.

Recuerde que el auditado es el primer beneficiario de la auditoría.

La agencia regulatoria Inglesa (MHRA= Medicines and Healthcare products Regulatory Agency). Ha publicado en su página un reporte donde analiza los hallazgos principales sobre un número de 303 inspecciones realizadas durante el último año.

De allí surgieron:

26 observaciones críticas

644 observaciones mayores

Luego del análisis efectuado por la Agencia, quedó consolidado el siguiente listado conteniendo el top 10 de categorías con deficiencia:

1. Investigación de anomalías

2. Quality Management – Control de cambios

3. Investigación de anomalías – CAPA

4. Reclamos y Recall de productos

5. Quality Management

6. Auditoría a proveedores y contratados

7. Contaminación, fisicoquímica  (potencial)

8. Documentación – PSF/Procedimientos/Acuerdos Técnicos

9. Documentación – Manufactura

10. Validación de procesos

Les envío el enlace a la presentación, donde además podrán encontrar el desarrollo de cada una de las deficiencias con ejemplos de las situaciones hallados, muy interesante para que podamos ver como estamos posicionados en esos temas.

Presentación MHRA