A validação de sistemas computadorizados é voltada àqueles que tenham impacto nas Boas Práticas de Fabricação, de Laboratório e de Distribuição (BPx). “O procedimento deve ser realizado para sistemas que tenham influência direta ou indireta na qualidade final do produto”, assinala Daniela Cristina da Silva, diretora executiva da M&D Consultoria. Essa avaliação é decisiva na produção de medicamentos, faz coro Luciana Colli, professora de Garantia da Qualidade do ICTQ e da FGV. “Afinal, o software adotado pela empresa é que vai suportar todos os dados gerados e armazenados. É ele que garante a confiabilidade do sistema.”
Um sistema informatizado é formado por software, hardware e componentes de rede, somados às funções controladas e documentação relacionada. “O que se qualifica e se valida em sistemas computadorizados são softwares, equipamentos, redes e instalações”, resume Azi Maurício Guerra Ceccopieri, gerente de sistemas da qualidade da Unicharm do Brasil. Basicamente, a validação visa comprovar que o sistema cumpre suas funções de forma consistente e segura, considerando o impacto sobre a saúde do paciente, a qualidade do produto e a integridade dos dados. Exatidão dos registros de dados, aliás, é essencial no processo produtivo de medicamentos, abrangendo desde a área de pesquisa, passando por estudos pré-clínicos e clínicos, produção e controle de qualidade, até os setores de armazenamento e distribuição.
A comprovação da qualidade e segurança de um sistema computadorizado, segundo a Anvisa, não deve se restringir à realização de testes. Para confirmar o correto funcionamento de um software e suas interações com o hardware, precisam ser contemplados aspectos relacionados à infraestrutura, segurança e manutenção de dados. De acordo com a RDC 17/2010, a validação deve abranger todas as etapas do sistema computadorizado, que compreende planejamento, especificação, programação, teste, documentação, operação, monitoramento, manutenção e mudança ou descontinuidade. “A validação é empregada na aquisição ou modificação de um sistema e permanece durante todo o seu ciclo de vida”, explica Luciana Colli. Azi Maurício Guerra Ceccopieri lembra que a validação garante, além do controle de acesso, que os registros mestres (parâmetros do sistema) estejam seguros e somente sejam alterados por pessoas treinadas. Assegura que o processo executado pelo sistema gere resultados corretos e os registros auferidos estejam arquivados de forma segura.
De acordo com os especialistas, a validação de sistemas deve ser realizada por uma equipe multidisciplinar de técnicos qualificados, que entenda de software, hardware e infraestrutura e também do negócio. “Os processos de validação requerem, além do pessoal de TI, a colaboração mútua de todos os setores envolvidos, como controle de qualidade, pesquisa e desenvolvimento, produção e PCP, garantia da qualidade”, esclarece Ceccopieri. “Farmacêuticos e gerentes da qualidade, que conhecem o dia a dia da produção, são parceiros importantes do processo. Todos têm sua parcela de contribuição”, acrescenta Luciana Colli.
Barreiras a serem superadas
Apesar dos avanços dos últimos anos, o procedimento de validação de sistemas computadorizados ainda sofre alguns percalços nas empresas farmacêuticas. “Menos de 1% das companhias validam seus processos críticos”, salienta Azi Maurício Guerra Ceccopieri. “Há muitas falhas, especialmente de conhecimento sobre o conjunto do sistema computadorizado adotado na empresa e de comunicação entre as áreas. Na maioria dos casos, isso é fruto de um projeto equivocado, em que o usuário final não é contemplado, e da ausência de treinamento sobre os sistemas utilizados na companhia.” O executivo lembra que há problemas corriqueiros que acabam sendo negligenciados. “Em alguns casos, só se descobre que o no-break não está funcionando quando ocorre falta de energia”, exemplifica Ceccopieri. “Outro erro comum é não ter controle de acesso identificado. Ou seja, todos operadores e usuários possuem o mesmo login e senha para operar o sistema. Com isso não se consegue a rastreabilidade do sistema”, argumenta Daniela Cristina da Silva.
Para além de problemas triviais, falhas nos sistemas computadorizados podem levar a erros graves na fabricação de medicamentos. “O maior risco é o sistema não desempenhar a função para qual foi criado, podendo gerar danos na produção, com impacto na saúde do paciente”, adverte Luciana Colli. Tais danos podem incluir desde medicamentos adulterados, ensaios clínicos com resultados não confiáveis, até falhas no processo de produção e controle de qualidade.
O processo de validação contribui preventivamente para dirimir possíveis erros nos sistemas. As falhas podem ser detectadas em uma das principais etapas da validação − a análise e gerenciamento de risco. “Para isso utilizamos a GAMP 5, uma ferramenta qualitativa que mede se o risco é baixo, médio ou alto. Com ela, consegue-se mitigar o risco e propor ações para que as falhas não ocorram mais”, diz Daniela Cristina da Silva, lembrando que o gerenciamento de riscos deve ser periódico e constar em cronograma de revalidação dos sistemas.
Quais sistemas precisam ser validados?
Essa é a questão que mais gera dúvidas nas empresas farmacêuticas. Apesar da referência principal indicar que são validados apenas os sistemas que tenham impacto nas BPx, muitos profissionais ponderam que toda a empresa está interligada, incluindo os sistemas ligados à produção. Como definir, então, o que validar especificamente? O “Guia de Validação de Sistemas Computadorizados”, disponibilizado pela Anvisa, busca facilitar o entendimento e relaciona algumas questões as quais se a resposta for “sim” a qualquer uma delas o sistema precisa ser validado:
1. O sistema armazena dados que impliquem na rastreabilidade de produtos?
2. O sistema gerencia:
- Operação automatizada de equipamentos produtivos críticos ou de laboratórios individualmente − compressoras, secadores de leito fluidizado, HPLC, dissolutores?
- Operação automatizada da geração de utilidades críticas − água purificada, ar condicionado, ar puro, água para injetáveis?
- Cadastramento de apresentações, dosagens, matérias-primas, embalagens, potências, tamanho de lotes, etapas de produção, fórmulas mestras?
- Planejamento de produção − ordens de produção, números de lote, matérias-primas, embalagens?
- Processo de compras de materiais − qualificação de fornecedores, controle de pedidos de fornecedores previamente qualificados, quantidades, potências, especificações?
- Recebimento de materiais − número de lotes, plano de amostragem, condições físicas, registro de avarias?
- Armazenamento de materiais − status, endereçamento, movimentações e transferências, recolhimentos?
- Central de pesagem − ordens de pesagem, potências, fracionamento, recipientes, balanças, etiquetas e lacres, resultados das pesagens, operadores, lotes de produtos, lotes de materiais?
- Controle de produção − ordens de fabricação, controles em processo, registros, operadores, materiais, números de lotes, equipamentos utilizados, sequências de utilização e operação, alarmes, amostras?
- Serviço de atendimento ao cliente − reclamações, ações, eventos adversos?
- Documentação − emissão, distribuição, revisão, controle de versões obsoletas, treinamento?
- Sistemas de qualidade − resultados fora de especificação, autoinspeção, desvios, controle de mudanças, registros de resultados de análise de matéria prima, embalagem ou produtos, revisão periódica?
- Programa de treinamento − escopo, instrutores, listas de presença, certificados?
- Equipamentos − plano e execução de manutenção, plano e execução de calibração, plano e execução de qualificação?
A validação de sistemas computadorizados avalia, basicamente, o controle de acesso, assinatura eletrônica, gerenciamento de usuários e rastreabilidade dos dados. O guia da Anvisa determina três classes para os sistemas computadorizados: Classificação 1 (softwares de infraestrutura), Classificação 2 (produtos não configuráveis) e Classificação 3 (produtos customizáveis). “Devemos validar os sistemas com classificação 2 e 3 sempre pensando em software, hardware e infraestrutura”, observa Daniela Cristina da Silva, lembrando que a maioria das dúvidas dos profissionais da indústria sobre validação está justamente relacionada à classificação do sistema computadorizado, seguida de como realizar a validação propriamente dita. O que, segundo a executiva, leva muitas empresas a terceirizar tal atividade para consultorias especializadas. “A metodologia de execução e interpretação das normas são os pontos que mais geram dúvidas para os profissionais da indústria em relação à regulamentação das validações de sistemas”, observa Luciana Colli.
Primeiros passos
Após detectar que o sistema precisa da validação, é preciso descobrir se ele está em condições de ser validado. O primeiro passo a ser dado é realizar um inventário para identificar todos os sistemas existentes na empresa classificados segundo o impacto em BPx, “tanto os de formato padrão quanto os que podem ser customizados”, explica Luciana Colli. “A validação é aplicada em tudo que foi levantado como crítico”, sublinha Daniela Cristina da Silva. Definidos os pontos cruciais, deverá ser realizada uma validação individual para cada sistema, que deve conter documentos específicos: Requerimento do Usuário (URS), Plano Mestre de Validação (PMV), Análise de Risco (AR), Especificação Técnica Funcional (ETF), Qualificação de Instalação (QI), Qualificação de Operação (QO), Qualificação de Desempenho (QD) e Matriz de Rastreabilidade (MR).
O inventário deve contemplar também os sistemas computadorizados acoplados a um equipamento (compressora, estufa etc.), planilhas eletrônicas e infraestrutura de sistemas. Para um sistema novo é necessária uma avaliação completa, de forma a assegurar a qualidade e garantir que ele seja validável desde o seu desenvolvimento. Já para o sistema legado é preciso identificar se está atualizado e em conformidade com o projeto. “Para validar um sistema automatizado é pré-requisito que os instrumentos ou equipamentos utilizados estejam calibrados ou qualificados”, completa Azi Maurício Guerra Ceccopieri.
Plano de validação
Ponto de partida do trabalho, o Plano Mestre de Validação (PMV) contém a abordagem que será aplicada para a realização da validação. Ele poderá ser geral ou específico para sistemas, dependendo da estrutura documental da empresa. O plano descreve o que a companhia pretende fazer, quais sistemas serão validados e como isso será feito. Esse documento inclui, entre outros itens, a estratégia de validação, o controle de mudanças, as atividades principais e a definição das responsabilidades.
“O PMV deve ser conciso, claro e abranger os elementos-chave do programa de validação”, explica Azi Maurício Guerra Ceccopieri, destacando o que ele deve conter:
- Uma política de validação
- Estrutura organizacional das atividades de validação
- Sumário e relação das instalações, sistemas, equipamentos e processos que se encontram validados e dos que ainda deverão ser validados − status atual e programação
- Modelos de documentos
- Planejamento e cronograma. O PMV requer atualização contínua e deve prever treinamentos e outros requisitos específicos para a condução da validação
- Controle de mudanças
- Referências
Gerenciamento de riscos
Essa é uma das fases mais importantes do processo de validação, e avalia todo o ciclo de vida do sistema computadorizado, contemplando, inclusive, o seu processo de descontinuidade. O gerenciamento de riscos é uma sistemática de processos para a avaliação, controle, comunicação e revisão de riscos. Basicamente, visa definir, identificar e eliminar as possíveis falhas, problemas ou riscos potenciais que estejam envolvidos nos processos relacionados aos sistemas computadorizados.
Para realização do gerenciamento de riscos, cinco etapas são fundamentais:
1) Avaliação inicial de riscos e determinação dos impactos dos sistemas
2) Identificação das funções ou processos que têm impacto em BPx para o sistema ou módulos que foram detectados na etapa 1
3) Avaliação detalhada dos riscos das funcionalidades do sistema identificadas durante o mapeamento dos processos
4) Identificação, implementação e verificação dos controles para eliminação ou redução do risco
5) Revisão e monitoramento dos controles adotados na etapa 4, tarefa que pode ser realizada na correção periódica para manutenção do estado validado ou durante a avaliação dos riscos desencadeada por um controle de mudanças
A ideia da análise de risco é que se amplie o conhecimento sobre o sistema, de forma a assegurar que seus pontos críticos foram identificados e os impactos no processo analisados, bem como foi definida a sistemática de controle. “Isso leva a detectar o impacto da falha nas operações subsequentes, permitindo uma tomada de decisão rápida e eficaz, priorizando ações de manutenção preventiva e reduzindo custos”, afirma Azi Maurício Ceccopieri.
Relatório final
A validação compreende um relatório completo do sistema computadorizado adotado na empresa. As bases para esse documento podem ser encontradas no guia da Anvisa. Os especialistas lembram que toda documentação e atividades geradas durante a validação devem ser catalogadas e incluídas no relatório:
- Análise de riscos
- Protocolos de testes
- Desvios
- Avaliação dos resultados dos testes
- Controles de mudanças
- Matriz de rastreabilidade
- Adendos da documentação de validação
- Referência a outros documentos
De acordo com a orientação da Anvisa, a conclusão da validação do sistema deve ser elaborada levando-se em consideração os resultados obtidos nos testes aplicados nas qualificações de instalação, operação e desempenho. Devem ser considerados ainda os requisitos para atendimento às normas regulatórias aplicáveis, conforme estratégia estabelecida no plano de validação. A partir da data de aprovação do relatório final de validação, o sistema deve estar sujeito a controle de mudanças para quaisquer modificações ou implementações que se façam necessárias.
Benefícios da validação de sistemas
Para além das determinações regulatórias, o processo de validação de sistemas computadorizados traz benefícios adicionais à rotina da empresa. Entre eles, torna a equipe detentora de conhecimento técnico mais aprofundado sobre o sistema usado na companhia, evitando que isso fique inteiramente nas mãos do fornecedor; permite documentar as descobertas técnicas, evitando a perda do conhecimento na eventual saída dos profissionais da empresa; e facilita os procedimentos para a realização de um plano de contingência, em casos de quebras ou erros, reduzindo o tempo de parada da produção.
“Com a validação, é possível extrair todos os recursos disponíveis do sistema, aumentando a confiabilidade das informações do processo e evitando erros operacionais”, afirma Azi Maurício Guerra Ceccopieri. Além disso, segundo ele, o procedimento evita ou minimiza rupturas não planejadas, pagamento de multas ou despesas decorrentes da falta de disponibilidade dos sistemas, perda de produtividade e de lucro. “A validação incrementa a eficiência do negócio, gerando informação para tomada de decisão e segurança dos dados e da informação, sem contar a futura adequação do negócio com base nas mudanças planejadas”, assinala o executivo.