[Guia para TI] Validação de sistemas computadorizados em empresas de saúde

A validação de sistemas computadorizados é um processo que consiste em desafiar e documentar um sistema e todo o seu meio ambiente, a fim de garantir e evidenciar que ele atenda a um conjunto de requisitos definidos.

As empresas de saúde, como indústrias farmacêuticas, farmoquímicas, de produtos médicos e hospitalares, cosmética, gases medicinais e toda a sua cadeia de fornecimento e distribuição, devem submeter à validação qualquer sistema que impacte nas Boas Práticas (BPx) garantindo assim a segurança do consumidor, a rastreabilidade e integridade das informações, a qualidade do produto ou processo e a qualquer outro quesito de conformidade regulatória.

Para as empresas certificadas pela ANVISA, há legislações específicas para obtenção do certificado em Boas Práticas como por exemplo a Resolução da Diretoria Colegiada (RDC) 17/2010 que dispõe sobre as Boas Práticas de Fabricação de Medicamentos ou ainda a RDC 16/2013 para Boas Práticas de Fabricação de Produtos Médicos. São essas RDC’s que propõem a exigência da validação dos sistemas computadorizados.

Em abril de 2010 a ANVISA publicou o Guia de Validação de Sistemas Computadorizados que provê uma descrição das atividades e responsabilidades para esta validação. Este guia é a principal referência da ANVISA para validação de sistemas.

Existem outras importantes referências que podem ser utilizadas como a FDA 21 CFR Parte 11 e EMA Anexo 11, Seção 4.

Importância da Validação de Sistemas Computadorizados

A validação de sistemas computadorizados é mais do que entregar um requisito de conformidade regulatória e permitir que as empresas obtenham o certificado de Boas Práticas.

A validação de sistemas computadorizados é uma excelente oportunidade para a empresa revisar seus sistemas, maximizando a eficácia e melhorando a qualidade. Entrega outros importantes valores, como por exemplo: evitar que os sistemas utilizados possam comprometer a qualidade de produtos e consequentemente a segurança do consumidor, evitar que dados sejam alterados, excluídos ou manipulados por pessoas não autorizadas, evitar ou reduzir riscos de parada total ou parcial dos processos e indisponibilidade ou perda da integridade dos dados.

Tipos de Sistemas Computadorizados

Sistemas computadorizados podem ser encontrados em diversas áreas, desempenhando diversas funções. É interessante classificarmos os tipos de cada um deles, que poderão ser:

• Sistemas de Infraestrutura: são os sistemas que tratam da parte física e tecnológica, utilizados para gerenciamento da operação do ambiente. Os exemplos mais comuns são os Sistemas Operacionais, Sistema Gerenciadores de Bancos de Dados, Linguagens de Programação, Sistemas de Monitoramento e Gerenciamento de Redes e Sistemas de Gerenciamento de Backups.
• Sistemas de Informação: são os sistemas que organizam e gerenciam informações utilizadas pela empresa. Geralmente têm como principal característica a sua interação com um banco de dados. São exemplos destes sistemas: ERPs, Sistemas de Gestão de Documentos da Farmacovigilância, Sistemas de Atendimento ao Consumidor (SAC), entre outros.
• Sistemas de Automação: são os sistemas que interagem com equipamentos, como por exemplo sistemas supervisórios, sistemas de chão de fábrica, HPLCs e outros.
• Planilhas e Aplicações de Usuário: são pequenas aplicações e bancos de dados gerados normalmente pelo usuário que possuem fórmulas ou macros.

Tipos de Validação de Sistemas

Há basicamente dois diferentes tipos de validação de sistemas, Prospectiva para sistemas novos e Concorrente para sistemas em uso. Cada um possui diferentes ciclos de vida.

Validação Prospectiva: seu ciclo de vida segue desde as etapas de análise e definição da demanda, seguido por planejamento, aquisição, configuração, desenvolvimento, testes e liberação de uso e manutenção do estado validado.

Validação Concorrente: o principal objetivo é evidenciar que o sistema não oferece riscos e seu ciclo de vida segue as etapas de planejamento, adequação, testes, liberação de nova versão (quando aplicável) e manutenção do estado validado.

Planejamento da Validação de Sistemas Computadorizados

Em geral, podemos seguir as seguintes etapas necessárias à realização do processo de validação de sistemas computadorizados.

• Estruturação de Políticas e Procedimentos: detalhes de como a empresa deseja trabalhar, quais os requisitos de conformidade deverá obedecer, contemplando cada ponto mencionado no ciclo de vida de validação.
• Inventário Geral de Sistemas Computadorizados: documento que identifica todos os sistemas atualmente em uso e pretendidos.
• Plano Mestre de Validação de Sistemas Computadorizados: documento de nível geral que determina ou orienta a abordagem que será adotada para validação de sistemas computadorizados.
• Avaliação de Criticidade Regulatória: avaliação formal do impacto que cada sistema possui em boas práticas – BPx.
• Cronograma de Validação: definição de datas e prazos para validação dos sistemas e suas atividades de acordo com priorização estabelecida pela avaliação de criticidade regulatória.
• Definição de Papéis e Responsabilidades: descrição dos papéis e responsabilidades para cada uma das atividades desenvolvidas ao longo do processo de validação.
• Definição de Requisitos de Usuários: definição clara e precisa do que o usuário necessita que o sistema faça.
• Especificação Funcional e/ou de Projeto: documentação formal do entendimento do fornecedor em relação às funcionalidades que o sistema deverá apresentar.
• Especificação de Design ou Técnica: documentação formal das exigência de hardware, software e infraestrutura necessários ao suporte e operação do sistema.
• Qualificação de Fornecedores: controle de toda a cadeia produtiva de um sistema computadorizado, baseada em informações confiáveis e documentadas a respeito dos fornecedores.
• Testes de Desenvolvimento e Aceitação: Documentação dos testes realizados na fase de desenvolvimento no próprio ambiente do devolvedor ( testes de desenvolvimento) e no ambiente de testes da empresa com a participação dos usuários (testes de aceitação).
• Plano de Validação do Sistema: define as atividades previstas para a validação de um sistema computadorizado específico, contendo o impacto regulatório deste sistema e deve ser controlado de acordo com a estrutura de cada empresa.
• Gerenciamento de Riscos: Sistemática de processos para avaliação, controle, comunicação e gerenciamento de riscos durante todo o ciclo de vida de um sistema computadorizado.
• Qualificação de Infraestrutura, de Instalação, de Operação e de Desempenho: processo formal e documentado de testes e verificações que garantirá que os requisitos processuais foram atendidos.
• Matriz de Rastreabilidade: tem por finalidade estabelecer a relação entre dois ou mais documentos assegurando que requisitos sejam rastreados às respectivas configurações, elementos ou atividades do processo de validação.
• Manutenção do Estado Validado: planejamento e controle estabelecidos por procedimentos que assegurem que o sistema, uma vez validado, permaneça com seu estado de validado atualizado.
• Descontinuidade do Sistema: procedimento formal que estabelece como a empresa irá retirar um sistema de operação, garantindo que informações críticas sejam retidas pelo período necessário.

Outras considerações importantes

A validação de sistemas computadorizados não acompanha o sistema, ou seja, não se pode adquirir um sistema que já esteja validado, pois envolve a avaliação de estruturas, políticas, procedimentos e processos que são características únicas de cada empresa. Ainda é importante destacar que a validação é um processo que deve ser executado em cada departamento, unidade ou site que a empresa possua. É um esforço multidisciplinar, com participação ativa da garantia de qualidade, do departamento de tecnologia da informação, dos fornecedores de sistemas computadorizados (internos ou externos), de especialistas em validação de sistemas e de todas as outras áreas e usuários que utilizam os sistemas.

Cada empresa estabelece a suas próprias políticas, regras e atividades de validação, devendo os fornecedores de sistemas e serviços adequarem-se.

Uma última dica importante é ter atenção para que tudo que foi escrito (em normas, políticas, procedimentos) seja executado, além de que todo processo seja documentado.

Confira mais sobre a Validação de Softwares.