Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
Red General Europea OMCL (GEON) DOCUMENTO DE GESTIÓN DE CALIDAD PA/PH/OMCL (08) 69 R7 VALIDACIÓN DE SISTEMAS COMPUTARIZADOS DOCUMENTO BÁSICO Título completo del documento y referencia Validación de Sistemas Computarizados – Documento base PA/PH/OMCL (08) 69 R7 Tipo de Documento Guía Base legislativa - Fecha de la primera adopción mayo de 2009 Fecha de entrada en vigor original julio de 2009 Fecha de entrada en vigor de la revisión documento agosto 2018 Títulos anteriores/otros referencias / última versión válida PA/PH/OMCL (08) 69 3R Custodio Organización El presente documento fue elaborado por la Red OMCL / EDQM del Consejo de Europa Red en cuestión geón Traducido del inglés al español - www.onlinedoctranslator.com https://www.onlinedoctranslator.com/es/?utm_source=onlinedoctranslator&utm_medium=pdf&utm_campaign=attribution PA/PH/OMCL (08) 69 R7 – Validación de Sistemas Computarizados – Documento base VALIDACIÓN DE SISTEMAS COMPUTARIZADOS DOCUMENTO BÁSICO Nota: Los requisitos obligatorios en esta guía y sus anexos se definen utilizando los términos «deberá» o «debe». El uso de «should» indica una recomendación. Para estas partes del texto son aceptables otros enfoques debidamente justificados. El término «puede» indica una posibilidad o un ejemplo con carácter no vinculante. 1 ALCANCE Esta guía define los principios básicos para la validación de los sistemas informáticos utilizados en los Laboratorios Oficiales de Control de Medicamentos (OMCL) y que tienen impacto en la calidad de los resultados, el control de documentos y el almacenamiento de datos [1]. El objetivo de esta validación es garantizar la confianza en los datos de laboratorio capturados, procesados, informados o almacenados por sistemas informáticos. Un sistema validado garantiza resultados precisos y reduce los riesgos para la integridad de los datos. Este documento se aplica a todos los tipos de sistemas informáticos utilizados en OMCL. Sin embargo, dependiendo de su complejidad, el alcance de las pruebas y la documentación diferirá. Los sistemas informáticos se pueden categorizar en tres tipos: exentos, simples y complejos (ver tabla I en la sección 3). Este documento describe un enfoque de validación escalable para sistemas computarizados simples y complejos. 2. INTRODUCCIÓN Esta directriz describe los principios generales de validación para los sistemas computarizados de OMCL de acuerdo con ISO/IEC 17025. Define los requisitos mínimos generales para la validación de diferentes tipos de sistemas computarizados y, además, brinda recomendaciones para la implementación práctica y ejemplos prácticos específicos para OMCL. El alcance de las actividades de validación debe definirse en función de la evaluación de riesgos, teniendo en cuenta la dependencia de la corrección y la trazabilidad de los resultados de las pruebas de la OMCL en los sistemas informáticos. Debido a la gran variedad de sistemas informáticos disponibles, no es posible enunciar en un único documento todos los elementos específicos de validación que son de aplicación. Esta guía está destinada a los OMCL que trabajan bajo Sistemas de Gestión de Calidad basados en la norma ISO/ IEC 17025, que utilizan sistemas computarizados para una parte o la totalidad de los procesos relacionados con el control de calidad de los medicamentos. Para simplificar la guía, el presente documento central contiene una introducción general y requisitos generales para diferentes tipos de sistemas computarizados. Este documento central se complementa con anexos relacionados con el sistema que contienen requisitos adicionales y/o ejemplos prácticos de documentación de validación, que deben usarse en combinación con los requisitos generales que se dan aquí. Este documento debe considerarse como una guía para los OMCL para planificar, realizar y documentar la validación de sus sistemas informáticos. Se deja al criterio profesional y la experiencia previa de cada OMCL decidir sobre los procedimientos más relevantes que se llevarán a cabo para demostrar que sus sistemas informáticos funcionan correctamente y son apropiados para el uso previsto. pág.2/10 PA/PH/OMCL (08) 69 R7 – Validación de Sistemas Computarizados – Documento base 3. DEFINICIONES Las siguientes definiciones deben usarse para hablar el mismo idioma en los documentos de la OMC. Algunos de estos términos también se utilizan en entornos sujetos a requisitos de buenas prácticas de fabricación (GMP). Se enfatiza que los requisitos de GMP no se aplican a los OMCL, aunque por razones prácticas, los términos comúnmente utilizados también se usan en este documento. Sistema informático: Un sistema que contiene una o más computadoras y software asociado. sistema informatizado: Una amplia gama de sistemas que incluyen, entre otros, equipos de laboratorio automatizados, gestión de información de laboratorio y sistemas de gestión de documentos. El sistema computarizado consta de los componentes de hardware, software y red, junto con las funciones controladas y la documentación asociada. Comercial (apagado-la-estante, configurable) sistema computarizado: software definido por una necesidad impulsada por el mercado, comercialmente disponible y cuya idoneidad para el uso ha sido demostrada por un amplio espectro de usuarios comerciales; también conocido como COTS. En-casa desarrollada (personalizada-hecho o a medida) sistema informatizado:un sistema producido para un cliente, específicamente a pedido, para cumplir con un conjunto definido de requisitos de usuario establecidos en un requisito de usuario especificación. Especificaciones de requisitos de usuario (URS):describe lo que el sistema debe hacer. Los requisitos del usuario contienen aspectos científicos, comerciales, legales, reglamentarios, de seguridad, de rendimiento y de calidad del futuro sistema. Los requisitos del usuario sirven como base para la calificación de desempeño (PQ). Caja negra: una caja negra en esta guía es un sistema cuyo funcionamiento interno se desconoce. Plan de validación del Sistema Informático:El plan de validación debe ser un documento aprobado que describa las actividades y responsabilidades de validación. El plan de validación especifica el Sistema Informático sujeto a validación y recopila las actividades de validación a realizar y los objetivos/criterios de validación a cumplir. El plan de validación debe prepararse y aprobarse antes de realizar la prueba. DQ (Cualificación de Diseño): Verificación documentada de que el diseño propuesto de instalaciones, sistemas y equipos es adecuado para el propósito previsto IQ (cualificación de la instalación): Verificación documentada de que un sistema está instalado de acuerdo con las especificaciones escritas y aprobadas previamente OQ (cualificación operativa): Verificación documentada de que un sistema funciona de acuerdo con las especificaciones escritas y aprobadas previamente en los rangos operativos especificados por el cliente. PQ (Calificación de rendimiento) o Prueba de aceptación del usuario (UAT): Verificación documentada de que un sistema es capaz de realizar las actividades de los procesos que debe realizar, de acuerdo con especificaciones escritas y aprobadas previamente, dentro del alcance del proceso comercial y el entorno operativo. Negro-Validación de caja: Validación basada en el hecho de que, para un determinado sistema informático, su código fuente o diseño es desconocido para el usuario. La validación se realiza desde el punto de vista del usuario del sistema informático o del sistema informático. Negro-Prueba de caja: Verificación periódica de una computadora, sistema computarizado o sistema computarizado basado en el enfoque de validación de caja negra. Las pruebas de caja negra examinan la funcionalidad de un sistema sin mirar su estructura o funcionamiento interno. pág.3/10 PA/PH/OMCL (08) 69 R7 – Validación de Sistemas Computarizados – Documento base Tabla I: Categorización desistemas computarizados (basado en la Referencia 6) Definición Ejemplos Acción Calculadora, microscopio, cámara de fotos o video, PC estándar de oficina, Microondas, etc. Sin calibración función Sistema operativo (por ejemplo, Windows, Linux, Unix), software de red, software de seguridad (control de virus, cortafuegos), software de aplicaciones de oficina (Word, Excel), software de base de datos (por ejemplo, Oracle, SQL, Access), etc. NingunoExentado Marco/en capas software medidor de pH, oxidantes, incubadora, procesador de titulación, colorímetro, termo higrógrafo/higrómetro, balanza, calibrador de partículas, espectrómetro UV/VIS, contador de centelleo líquido, analizador TLC, AAS, contador de microplacas, analizador de imágenes, polarímetro, CombiStats, etc. pequeña parte de software Simplificado - Calibración - Prueba de control de funciones validación Simple Restringido personalización LIMS (Sistema de gestión de información de laboratorio), ERP (Planificación de recursos empresariales), eDMS (Sistema de gestión de documentos electrónicos), ELN (Cuadernos electrónicos de laboratorio), Excel desarrollado por el usuario hoja de cálculo, aplicación Access desarrollada por el usuario, sistemas automatizados de procesamiento de muestras, cromatógrafo de líquidos (LC, HPLC), cromatógrafo de gases (GC) que incluye muestreador automático y sistemas de detección (UV, VIS, IR, MS, NMR, monitor de radiactividad o fluorescencia, etc. ), analizador biológico, ECG, etc. Cantidad extendida de funcionalidad software Complejo Validación Extendido personalización Observación: Los sistemas operativos, las aplicaciones ofimáticas, las bases de datos y los paquetes de marcos como Windows, Excel, Oracle, SAS no tienen que ser validados por la OMCL. Sin embargo, las aplicaciones de usuario escritas dentro o por medio de estos paquetes, como los procedimientos SAS, las aplicaciones ORACLE y las hojas de cálculo de Excel (incluidos los cálculos complejos y las macros), deberán ser validadas. 4. REQUISITOS GENERALES PARA SISTEMAS INFORMÁTICOS a)Inventario Deberá estar disponible un inventario o una lista equivalente de todos los sistemas computarizados. En el inventario de sistemas informáticos se incluirá la siguiente información mínima: - identificación y versión - propósito - estado de validación - ubicación física o de almacenamiento (unidad y ruta de archivos) del sistema computarizado y la documentación relacionada - Responsable o persona de contacto. Para el software del equipo, esta información se puede registrar en el libro de registro del equipo. En el caso de instalación local (estación de trabajo), cada copia individual del software instalado en varias computadoras necesita su propia identificación única (por ejemplo, licencia). pág.4/10 PA/PH/OMCL (08) 69 R7 – Validación de Sistemas Computarizados – Documento base b)Validación Antes del uso rutinario, el sistema computarizado deberá ser validado. El propósito de la validación es confirmar que las especificaciones del sistema computarizado se ajustan a las necesidades del usuario y los usos previstos mediante el examen y la provisión de evidencia objetiva y que los requisitos particulares se pueden cumplir de manera consistente. El alcance de la validación dependerá de la complejidad y el uso previsto del sistema informático que se va a validar. El esfuerzo de validación se puede escalar y adaptar al tipo de sistema justificado por una evaluación de riesgos documentada. Las categorías mencionadas en esta guía (consulte la tabla I en la Sección 3) se pueden utilizar en los OMCL para la evaluación de riesgos. URS, planes de validación, prueba y lanzamiento también se pueden realizar de forma continua, si se utiliza un proceso iterativo (desarrollo de software ágil). Uso de las actividades del proveedor Los documentos de validación y los resultados de las pruebas realizadas por el proveedor del software se pueden incorporar al archivo de validación de la OMCL y no es necesario que la OMCL los repita nuevamente. El proveedor debe estar sujeto a la evaluación del proveedor (por ejemplo, mediante un cuestionario o una auditoría). Los documentos de validación verificarán el desempeño del sistema computarizado, confirmando que el sistema está funcionando correctamente y según las especificaciones estándar. Mediante el uso de documentos de validación del proveedor, la validación en los OMCL se puede reducir a la fase de calificación de desempeño (PQ) y controles continuos que indican que el sistema está funcionando correctamente. Plan de validación Para asegurar la correcta implementación de una validación, se necesita un plan. El plan de validación describe todas las actividades, como la revisión del URS, la revisión del plan de desarrollo (diseño), la estrategia de prueba, la verificación de la migración de datos (si corresponde), la revisión de los documentos de validación y las pruebas de aceptación de todo el sistema. El plan incluye la fecha, la persona responsable y los criterios de aceptación para cada revisión o prueba, o al menos una referencia a estas pruebas. El plan de validación debe ser autorizado por una persona responsable antes de iniciar la validación. Los casos de prueba y las descripciones se pueden describir más adelante, si se utiliza un proceso iterativo. Black-Box Validation es un enfoque para establecer mediante pruebas adecuadas que el sistema computarizado cumple con las necesidades del usuario y el uso previsto, y puede involucrar: (1)Comprobación de la exactitud de los cálculos y fórmulas y/o resultados analíticos para muestras, referencias y calibradores dedicados; y/o (2)Cálculo manual de los datos de cálculo del sistema informático (ver Anexo 1); y/o (3)Usar una segunda herramienta de sistema computarizado independiente para revisar la exactitud de los cálculos y/o resultados analíticos; p.5/10 PA/PH/OMCL (08) 69 R7 – Validación de Sistemas Computarizados – Documento base y/o (4)Documentación de simulaciones de entrada de datos inválidos o fuera de servicio y señales de error/marcado. Para la validación de un sistema informático que no pertenezca a la OMCL (por ejemplo, un sistema informático de la Agencia/Autoridad), la OMCL puede realizar una validación simplificada (por ejemplo: una prueba de control de funciones), teniendo en cuenta las funcionalidades específicas para el OMCL, para comprobar el cumplimiento de los requisitos de ISO 17025 y las directrices de OMCL. Si existe una interfaz entre los sistemas informáticos, por ejemplo, el intercambio de información entre un sistema analítico y LIMS, se debe considerar la validación de la interfaz. i. Validación de sistemas simples La validación de sistemas computarizados simples, por ejemplo, sistemas sin personalización o con personalización limitada, generalmente se basará en la calibración del instrumento y/o una prueba de funcionamiento del sistema, según el tipo de sistema. Para los instrumentos analíticos en los que el usuario no puede modificar los datos sin procesar (p. ej., una balanza independiente, un medidor de pH), la calibración del instrumento se considera suficiente para demostrar que el sistema es adecuado para su propósito. Para aplicaciones estándar, comerciales o suministradas por una agencia/autoridad pública, el usuario deberá realizar una prueba de funcionamiento para demostrar que la aplicación funciona correctamente en el entorno OMCL. A continuación se proporciona un ejemplo de este enfoque para CombiStats. El proveedor verifica previamente y demuestra la idoneidad y exactitud de los cálculos realizados por CombiStats (principalmente mediante la comparación con los datos publicados en el libro de DJ Finney [7], una referencia estándar para estadísticas en bioensayos) para que el sistema computarizado puede considerarse apto para el propósito (es decir, cumple con los requisitos del usuario). Sin embargo, un OMCL deberá verificar que CombiStatsfuncione correctamente en su configuración de hardware, una vez descargado del sitio web de EDQM. Esto se puede hacer comparando la salida del mismo ejemplo reportado tanto en el Manual de Usuario (en formato .pdf, esa será la “Referencia”) como en el Directorio de “ejemplos” (en formato .epa) descargado automáticamente en cada usuario Disco duro de la computadora. Se documentará la conclusión sobre el estado de validación basada en esta comparación. Las plantillas y hojas de datos de CombiStats deben estar protegidas contra errores y ediciones accidentales. Hay cuatro niveles diferentes de protección disponibles (cada uno con o sin el uso de una contraseña). El Manual del usuario puede ser utilizado por la OMCL para obtener más detalles y elegir la estrategia, según la política interna y la decisión. ii. Validación de sistemas complejos La validación de sistemas informáticos complejos comienza con la definición de la Especificación de requisitos del usuario (URS), que servirá de base para los requisitos de validación. Se necesita un plan de validación, basado en la evaluación de riesgos, que describa las diferentes actividades de validación planificadas para el sistema y las responsabilidades de las diferentes personas involucradas en el proceso de validación. Luego, se prepararán protocolos de prueba para IQ, OQ y PQ teniendo en cuenta los requisitos del usuario y los criterios de aceptación. Los protocolos de prueba o las listas de verificación proporcionadas por el proveedor se pueden usar para IQ y OQ, cuando estén disponibles. El proceso finaliza tras la emisión de los distintos informes de ensayo y un informe final de validación con la declaración de que el sistema informático es apto para el uso previsto. Si pág.6/10 PA/PH/OMCL (08) 69 R7 – Validación de Sistemas Computarizados – Documento base las desviaciones se identifican durante la validación, deben abordarse y se debe evaluar el impacto en el funcionamiento adecuado del sistema. En el caso de un sistema computarizado para procedimientos analíticos como un ensayo, el software es una parte integrada del procedimiento de prueba. El SOP respectivo debe incluir o hacer referencia a la muestra, el patrón de referencia, las preparaciones de los reactivos, el uso del aparato y su sistema computarizado como una unidad, la generación de la curva de calibración por medio de una herramienta del sistema computarizado, el uso de fórmulas de cálculo, etc. Se dan ejemplos de validación de sistemas complejos para hojas de cálculo de Excel (ver Anexo 1) y LIMS/ELN/ERP/CDS (ver Anexo 2). C)Registro de problemas Se debe mantener un registro de los problemas identificados por los usuarios y las acciones tomadas. d)Cambio de control En caso de cambios en el sistema informático, incluidas las actualizaciones de versión, lo ideal es que se realicen primero en un entorno de prueba, después de lo cual se debe restablecer el estado de validación. Si se necesita una revalidación, debe realizarse no solo para validar el cambio individual, sino también para determinar el alcance y el impacto de ese cambio en todo el sistema computarizado. El alcance de la revalidación dependerá de la evaluación de los cambios, que deberán documentarse. Un enfoque posible podría ser el uso de libros de registro como se hace con los equipos y/o el uso de un procedimiento de control de cambios documentado. Idealmente, las actualizaciones automáticas del sistema deben ser controladas por TI o un administrador del sistema e instaladas en fechas predefinidas para minimizar tanto la interrupción como el comportamiento inesperado del sistema. Puede ser necesario comprobar el funcionamiento del sistema informático después de cualquier actualización del sistema. mi)Revisión periódica La OMCL debe respaldar una política para verificar el sistema informático periódicamente, para evitar cualquier error y garantizar el mantenimiento del estado validado del sistema. La frecuencia de las revisiones debe definirse con un enfoque basado en el riesgo. Los sistemas informáticos estarán cubiertos por la estrategia de auditoría interna. F)Seguridad y condiciones ambientales Los sistemas informáticos deben estar protegidos contra cualquier intrusión que pueda modificar los datos y afectar a los resultados finales. Las salas de servidores deben tener acceso restringido y contar con las condiciones necesarias para asegurar el correcto funcionamiento de los equipos (control de temperatura, medidas contra incendios, Sistema de Alimentación Ininterrumpida - UPS, etc.). Los sistemas deben ser accedidos únicamente por personal autorizado, usando cuentas personalizadas y contraseña o método de identificación equivalente. Debe evitarse el uso de cuentas compartidas y genéricas para garantizar que las acciones documentadas en los sistemas informáticos puedan atribuirse a un único individuo. Cuando las cuentas personales no estén disponibles o no sean factibles, se deben usar combinaciones de registros electrónicos y en papel para rastrear las acciones hasta el personal responsable. pág.7/10 PA/PH/OMCL (08) 69 R7 – Validación de Sistemas Computarizados – Documento base Solo la(s) persona(s) responsable(s) o el personal de TI designado deben tener derechos administrativos para implementar actualizaciones y/o instalaciones del sistema computarizado, cambiar la configuración crítica del sistema (p. ej., registro de auditoría, hora/fecha) y administrar permisos para otros usuarios. Todas las tareas rutinarias, como las de análisis, deben basarse en una cuenta de usuario y una contraseña que no tenga derechos administrativos. Los derechos administrativos deben documentarse y otorgarse únicamente al personal con funciones de mantenimiento del sistema (p. ej., TI) que sean totalmente independientes del personal responsable del contenido de los registros (p. ej., analistas de laboratorio, gestión del laboratorio). Cuando estas asignaciones de roles de seguridad independientes no sean factibles, se deben usar otras estrategias de control para reducir los riesgos de integridad de datos. Las computadoras deben bloquearse después de su uso y los usuarios no deben poder cambiar la configuración de fecha y hora. El hardware utilizado debe cumplir con los requisitos técnicos para que se pueda llevar a cabo el trabajo a realizar. Dichos requisitos incluyen, por ejemplo, los requisitos mínimos del sistema indicados por el fabricante del equipo. Estos requisitos deben predefinirse de acuerdo con el uso previsto. Los componentes de hardware deben ser instalados por personal calificado (por ejemplo, personal de la Unidad de Tecnología de la Información (TI), un técnico del fabricante del equipo u otro personal capacitado), y deben verificar su funcionalidad y compararse con los requisitos. Los sistemas computarizados que forman parte del equipo de prueba deben etiquetarse sin ambigüedades y se deben mantener registros sobre la configuración, instalación y cambios de hardware relevantes. Estos registros se pueden ingresar en el libro de registro/registro del equipo del equipo de prueba. gramo)Pista de auditoría El sistema computarizado debe mantener un registro de cualquier acción crítica que ocurra, por ejemplo, quién accedió y cuándo, cualquier eliminación o cambio de datos, etc. Si un sistema computarizado no registra automáticamente un registro de auditoría, se debe mantener un registro alternativo. por la OMCL. No se permitirá a los usuarios modificar o desactivar las pistas de auditoría o los medios alternativos para proporcionar la trazabilidad de las acciones de los usuarios. Se debe considerar la necesidad de implementar una funcionalidad de seguimiento de auditoría adecuada para todos los sistemas computarizados nuevos. Cuando un sistema computarizado existente carezca de pistas de auditoría generadas por computadora, el personal debe usar medios alternativos, como el uso de libros de registro controlados por procedimientos,control de cambios, control de versiones de registros u otras combinaciones de registros en papel y electrónicos para cumplir con el requisito de trazabilidad para documentar el qué, quién, cuándo y por qué de una acción. h)Firmas Electrónicas Si se utilizan firmas electrónicas, debe estar disponible una declaración sobre la equivalencia de la firma electrónica a la firma manuscrita o una declaración legal similar. i)Respaldo La trazabilidad debe garantizarse desde los datos sin procesar hasta los resultados de las pruebas. Si toda o parte de la trazabilidad de los parámetros relevantes para la calidad de los resultados está disponible solo en forma electrónica, se debe implementar un proceso de respaldo para permitir la recuperación del sistema después de cualquier falla que p.8/10 PA/PH/OMCL (08) 69 R7 – Validación de Sistemas Computarizados – Documento base compromete su integridad. La frecuencia de la copia de seguridad depende de la criticidad de los datos, la cantidad de datos almacenados y la frecuencia de generación de datos. Con base en la evaluación de riesgos y considerando la dependencia de los sistemas computarizados, los OMCL deben contar con una política y un procedimiento para garantizar la integridad de las copias de seguridad (ubicación de almacenamiento segura, separación adecuada de la ubicación de almacenamiento principal, tiempo de retención, etc.). ser parte de un 'plan de recuperación de desastres' más general. También debe existir un procedimiento para la prueba periódica de los datos de respaldo (prueba de restauración), para verificar la integridad adecuada, la legibilidad del registro electrónico y la precisión de los datos. Esta prueba de restauración se puede integrar en la revisión periódica del sistema. j)Archivo de versiones de sistemas computarizados reemplazados Las versiones reemplazadas del software deben archivarse en un formato recuperable si es necesario para acceder a los datos históricos, de acuerdo con la directriz OMCL "Gestión de documentos y registros". Para el software comercial estándar, la obligación de archivar las versiones de software reemplazadas puede estar sujeta al contrato con el proveedor. k)Capacitación Se garantizará el uso correcto y la validación del sistema informático. Esto se puede hacer mediante una capacitación adecuada y documentada o mediante información detallada en los SOP relevantes o información relacionada con el contexto en el software. La capacitación debe realizarse antes del primer uso y después de cada cambio importante en el software (por ejemplo, actualización de versión). Las personas responsables de la validación deberán tener capacitación sobre el proceso de validación. l)Documentación Tabla II:Documentación del sistema informatizado Información/documentación que deberá estar disponible Exentado Simple Complejo Lista de inventario, Nombre, versión e identificación única del sistema informático X X X Archivos originales (CD-ROM…) o ubicación de almacenamiento para instalar el sistema informático y sistema informático para gestionar el entorno informático X X Fecha en que se puso en funcionamiento el sistema informático X X Responsable a cargo del sistema informatizado X X Nombre del fabricante, número de licencia y número de serie u otra identificación única, cuando corresponda X X Condiciones de funcionamiento del sistema informático, en su caso (hardware, sistema operativo,…) X X Certificado de validación del fabricante, si está disponible X X Instrucciones del fabricante, si están disponibles, o referencia a su ubicación X X Documentación sobre validación de configuraciones/modificaciones realizadas por el usuario que puedan impactar en los resultados X Nombre de la persona que desarrolló y validó el sistema informático y la fecha de validación X Código fuente (si está disponible) (X) Instrucciones de funcionamiento (POE) X X Documentación sobre la revisión periódica del sistema informático y los resultados de las auditorías X Documentación sobre validación de sistemas informatizados X p.9/10 PA/PH/OMCL (08) 69 R7 – Validación de Sistemas Computarizados – Documento base Información/documentación que deberá estar disponible Exentado Simple Complejo Seguimiento de los fallos encontrados, mantenimiento del proceso, cambios, actualizaciones de versiones y, en su caso, gestión de la configuración X X Registros de entrenamiento (dependiendo de la complejidad del sistema) (X) X Registros de las pruebas periódicas de los datos de copia de seguridad (prueba de restauración) X X 5. REFERENCIAS Y LECTURAS ADICIONALES [1] EN ISO/IEC 17025. [2] Buenas Prácticas para Sistemas Informáticos en entornos regulados “GXP”. Convenio de Inspección Farmacéutica/Esquema de Cooperación de Inspecciones Farmacéuticas (PIC/S). [3] Directrices de la UE sobre buenas prácticas de fabricación (GMP). Anexo 11. Sistemas Informáticos. [4] Serie de la OCDE sobre Principios de Buenas Prácticas de Laboratorio y Supervisión del Cumplimiento. Número 17. La aplicación de los principios de BPL a los sistemas informáticos. Monografía de Medio Ambiente núm. 13 (2016). [5] Principios generales de validación de sistemas computarizados de la Agencia de Medicamentos y Alimentos de los Estados Unidos (FDA); FDA Glosario de sistemas computarizados y terminología de desarrollo de sistemas computarizados. [6] AGIT - Validación de Sistemas Computarizados, V 2.0 (2007). [7] DJ Finney - "Método estadístico en ensayo biológico", 3ª edición, Griffin, Londres (1978). [8] OMS TRS 996 Anexo 5 - Orientación sobre buenas prácticas de gestión de datos y registros (2016). 6. LISTA DE ANEXOS Se aplica la última versión: - Anexo 1: Validación de Hojas de Cálculo Excel - PA/PH/OMCL (08) 87; - Anexo 2: Validación de sistemas informáticos complejos - PA/PH/OMCL (08) 88. pág.10/10 July 2009 August 2018 VALIDATION OF COMPUTERISED SYSTEMS CORE DOCUMENT Note: Mandatory requirements in this guideline and its annexes are defined using the terms «shall» or «must». The use of «should» indicates a recommendation. For these parts of the text other appropriately justified approaches are acceptable. The term... 1. SCOPE 2. INTRODUCTION 3. DEFINITIONS 4. GENERAL REQUIREMENTS FOR COMPUTERISED SYSTEMS a) Inventory In the case of local installation (workstation), each individual copy of the software installed on several computers needs its own unique identification (e.g. license). b) Validation c) Logging of issues d) Change control e) Periodic review f) Security and environmental conditions g) Audit trail The computerised system should keep a record of any critical actions that occur, for example who has accessed it and when, any deletion or change of data, etc. If a computerised system does not automatically record an audit trail, an alternative recor... Users shall not be allowed to amend or switch off the audit trails or alternative means of providing traceability of user actions. The need for the implementation of appropriate audit trail functionality should be considered for all new computerised systems. Where an existing computerised system lacks computer-generated audit trails, personnel shall use alternative means such as ... h) Electronic Signatures If electronic signatures are used, a statement about the equivalence of the electronic signature to the handwritten signature or similar legal statement must be available. i) Backup j) Archive of superseded computerised system versions Superseded versions of software should be archived in a retrievable form if required for access to historical data, according to the OMCL Guideline “Management of Documents and Records”. For commercial off-the shelf software, the obligation to archive... k) Training Correct use and validation of the computerised system shall be ensured. This can be done either by appropriate and documented training or through detailed information in the relevant SOPs or context related information in thesoftware. Training shall be performed before first use and after every major change in the software (e.g. version upgrade). The persons responsible for the validation shall have training on the validation process. l) Documentation Table II: Computerised system documentation 5. REFERENCES AND FURTHER READING 6. LIST OF ANNEXES
Compartir