¿Qué es la Validación de Sistemas Informáticos?

La Validación de Sistemas Informáticos se compone de una serie de documentos que aseguran que el software, equipo, servicio, infraestructura u hoja de cálculo cumplen con el proceso, con el fin de garantizar la seguridad del paciente o consumidor, la calidad del producto y la integridad de los datos.

De manera más simple, demuestra que el sistema funciona de acuerdo con el uso para el que fue diseñado (uso previsto), de manera consistente y con calidad.

"Si no está registrado, es solo un rumor".

Esta declaración subraya la importancia crucial de la validación. Cuando un proceso, sistema o los datos pasan por el proceso de validación adecuado, siendo registrados y aprobados oficialmente, se adquiere confiabilidad y el estado 'validado'.

La buena noticia es que las regulaciones en todo el mundo están armonizadas, por lo que las reglas son similares en organismos reguladores como FDA, EMA y OMS.

¿Necesito validar todos los sistemas en una industria regulada?

¡La respuesta es, no! Ni todos los sistemas requieren validación, solo aquellos que son relevantes para BPx (impacto en producto, calidad, seguridad del paciente/consumidor e integridad de los datos).

Lea más...
Por ejemplo, en un sitio de investigación y desarrollo o de fabricación, es probable que haya varios sistemas BPx relevantes debido a su conexión directa con el producto.

Por otro lado, si su empresa opera con distribución, simplemente valide los sistemas aplicables. Algunos ejemplos son WMS (Warehouse Management System), QMS (Quality Por ejemplo, en un sitio de investigación y desarrollo o de fabricación, es probable que haya varios sistemas BPx relevantes debido a su conexión directa con el producto.

Por otro lado, si su empresa opera con distribución, simplemente valide los sistemas aplicables. Algunos ejemplos son WMS (Warehouse Management System), QMS (Quality Management System) y sistemas de monitoreo de temperatura, así como hojas de cálculo (si aplicable).

¿Cómo validar?

En todo el mundo, aunque cada país tenga su propia regla reglamentaria, la mayor parte de las industrias de las Ciencias de la Vida utiliza GAMP5® como un guión para la validación de sistemas informáticos.GAMP5® fue desarrollado por ISPE® (Sociedad Internacional de Ingeniería Farmacéutica).

La versión 5 de la guía se publicó en 2008 y recientemente, en 2022, se ha lanzado la segunda edición de la publicación, que aporta ideas que pueden ser muy útiles para la empresa.

Lea más...
La principal fuente de "inspiración" para los profesionales de la Validación de Sistemas Informáticos tiene como eje central la estrategia de validación basada en el riesgo ("A Risk Based Approach to Compliant GxP Computerized Systems"). GxP o BPx es un término general para la aplicación de buenas prácticas. La 'x' indica el área en la que se relacionan las buenas prácticas (fabricación, distribución, investigación clínica, laboratorio etc.).

Validación basada en riesgos es esperada por los organismos reguladores. Se espera que se planifiquen acciones de mitigación para los riesgos clasificados como 'medios' y 'altos'. Si la mitigación o la actualización no son posibles, se debería considerar principalmente la sustitución del sistema en casos de riesgos altos.

La guía GAMP5® detalla el ciclo de vida exacto requerido para cada tipo de sistema, ya sea categoría 1 (infraestructura), categoría 3 (off-the-shelf), categoría 4 (configurado) y categoría 5 (personalizado).

Incluso cuando una industria opta por adquirir paquetes de documentos de validación o calificación puestos a disposición por los propios fabricantes de equipos o sistemas, es importante recordar que estos paquetes son parciales. Es decir, es responsabilidad de la industria revisar lo que se le ha entregado y aún desarrollar gran parte del ciclo que se queda por completar la validación o calificación, de acuerdo con lo recomendado por los organismos reguladores.

En estos casos, FIVE también se presenta como parcero de la industria, poniéndose a su disposición para asistirla en la revisión técnica de la documentación proporcionada por el proveedor, así como para la conclusión del ciclo de validación o calificación.

Ciclo de Vida de un Sistema de Categoría 4 según GAMP5®

La siguiente lista de documentos (o entregables) es común en un ciclo de validación. Sin embargo, después de la publicación de la segunda edición de la guía GAMP5®, se hizo evidente que los nombres de los documentos, principalmente durante las fases de prueba, no son estrictamente obligatorios; el contenido es el aspecto más relevante.

En algunas empresas que adoptan enfoques ágiles, los requisitos pueden denominarse "historias". Además, para ciertos sistemas, las fases de Calificación de Instalación, Operación y Desempeño pueden referirse como Unit Testing Configuration, Functional Testing, UAT (User Acceptance Testing), Acceptance Testing (including FAT/SAT), Module Testing, Integration Testing, System Integration Testing (SIT), Data Migration Testing, o Requirements Testing.

La Especificación de Requisitos del Usuario define clara y objetivamente todos los requisitos necesarios que debe cumplir un sistema informático y puede ser utilizado como un documento contractual. Normalmente es redactado por el usuario, pero interesantemente, es creado por un equipo multidisciplinario y se somete a revisión y aprobación por parte de los usuarios pertinentes, incluyendo la Garantía de Calidad.
Se debe realizar Evaluación Inicial de Riesgos basada en una comprensión de los procesos y evaluaciones de riesgos comerciales, los requisitos del usuario, los requisitos reglamentarios y las áreas funcionales conocidas. Los resultados de esta evaluación inicial de riesgos deben incluir la decisión sobre si el sistema es regulado por BPx (evaluación BPx). Generalmente, cuando hay impacto, esta evaluación se hace referencia dentro del Plan de Validación.
El Plan de Validación registra los estándares, métodos y personal involucrado para garantizar la calidad a lo largo del ciclo de vida de desarrollo de un sistema y establece la adecuación de su rendimiento. La planificación de la validación debe iniciarse lo antes posible y puede revisarse y actualizarse en etapas posteriores del proyecto. El tamaño del Plan de Validación debe ser proporcional a la complejidad del proyecto. Toda la documentación utilizada durante el trabajo de validación debe citarse aquí, y se debe mantener todo el historial de revisiones y aprobaciones. Para la adopción del marco Ágile en validación es interesante que la estrategia de lanzamiento por sprints y configuraciones se detallen en el plan.
La Especificación Funcional es un tipo de entregable y debe definir clara y completamente lo que hace el sistema informático y que funciones e instalaciones se proporcionan para satisfacer las necesidades descritas en los Requisitos del Usuario. La Especificación Funcional generalmente es producida por un proveedor, ya sea interno o externo a la empresa y debe ser revisada y aprobada por el contratista, y puede considerarse un documento contractual. Para “sistemas listos” para usar, este documento puede ser reemplazado por el manual del sistema. El objetivo principal de este entregable es proporcionar una explicación clara del proceso de desarrollo para las configuraciones del sistema, personalizaciones e interfaces, así como cualquier interacción con otros sistemas. La mayor fuente de incertidumbre con respecto a este entregable suele estar relacionada con el nivel de profundidad y detalle requerido. Sin embargo, es práctico identificar lo que debería documentarse de manera que un profesional técnico con el mismo conocimiento pueda mantener o modificar las configuraciones sin necesidad de consultar a los expertos que participaron en la implementación original del sistema.
El Hardware Design es otro tipo de entregable (conocido también como Especificación Técnica) que debe detallar el diseño y los requisitos relacionados con los componentes de infraestructura tecnológica en los que se instalará el sistema informático para uso, ya sea que esta infraestructura esté en la nube o no. Este documento o entregable debe contemplar las especificaciones previstas y adecuadas para un sistema, contemplando todos los componentes, software y hardware que componen la infraestructura. La Especificación Técnica se basa en los requisitos técnicos necesarios para la instalación y configuración de un sistema informático con el fin de garantizar su integridad, seguridad y rendimiento en su entorno operativo y de prueba.
La gestión de riesgos es la estrategia principal delineada en GAMP5®, tanto en la primera como en la segunda edición, lo que incluye una evaluación de los riesgos que plantea el sistema en el proceso que está gestionando, incluyendo posibles acciones de mitigación (o medidas de control). Los riesgos más altos pueden requerir un mayor nivel de rigor en las pruebas y documentación. La verificación de la implementación del control continúa a lo largo del ciclo de vida de validación, y se espera que los riesgos de nivel medio (beneficiosos) y alto (obligatorios) se mitiguen y verifiquen durante la fase de pruebas para demostrar el cumplimiento, permitiendo que el sistema alcance el estado 'validado'.
El alcance de este entregable es verificar el cumplimiento del sistema con los requisitos de URS y las especificaciones del sistema. Verificación documentada de que el diseño propuesto para las instalaciones, sistemas y equipos es adecuado para su propósito. Aplicable para sistemas GAMP5® categorías 4 y 5.
El protocolo de pruebas es el documento que guía la fase de prueba de la calidad y seguridad del sistema informático. Puede incluir el alcance, el plan de prueba, la estrategia, la definición de muestreo, los participantes, los criterios de aceptación y cómo se abordarán las fallas o los cambios durante la fase de prueba.
El objetivo es verificar y documentar que los componentes del sistema se combinan e instalan de acuerdo con las especificaciones, la documentación del proveedor y los requisitos locales y globales. También puede incluir evidencia de la aceptación de la documentación del proveedor, como especificaciones, manuales y dibujos. Para sistemas y equipos de producción o automatización industrial, esta fase también puede denominarse Calificación de Instalación (CI).
Este informe resume los resultados de las actividades de los estudios de validación realizados en el sistema durante la fase de Pruebas de Configuración.
El protocolo de pruebas es el documento que guía la fase de verificación del sistema en cuanto a las operaciones de acuerdo con las especificaciones escritas y preaprobadas en toda su gama de operaciones. Puede incluir el alcance, el plan de prueba, la estrategia, la definición de muestreo, los participantes, los criterios de aceptación y como se abordarán las fallas o los cambios durante la fase de prueba.
Este documento tiene como objetivo referenciar, verificar y documentar las condiciones de operación del sistema y si cumple satisfactoriamente con los requisitos predefinidos para su operación. Este script debe demostrar el cumplimiento de la Especificación Funcional, demostrar la existencia de procedimientos aprobados para las funcionalidades con impacto en BPx, seguridad y mantenimiento del sistema, demostrar la compatibilidad de sus componentes con las funcionalidades a calificar, permitir la verificación de la capacidad tecnológica, permitir la verificación del cumplimiento de las normas BPx y otras normas técnicas aplicables, demostrar que el sistema está funcionando correctamente a través de desafíos documentados basados en el Análisis de Riesgos. Para sistemas y equipos de producción o automatización industrial, esta fase también puede denominarse Calificación de Operación (CO).
Este informe resume los resultados de las actividades de los estudios de validación realizados en el sistema durante la fase Pruebas Funcionales. Puede ser elaborado para todo el sistema o parcialmente, permitiendo en el marco Ágile, que parte del sistema se libere para su uso en producción en cumplimiento (go live).
El protocolo de prueba es el documento que guía la fase de prueba del sistema de las operaciones definidas en los requisitos. Las pruebas realizadas en la fase anterior no se vuelven a ejecutar completamente en esta etapa.
Es esta etapa, el objetivo de las pruebas es referenciar, verificar y documentar que el sistema informático, después de instalarse en el entorno de producción y parametrizarse adecuadamente, cumple satisfactoriamente con los requisitos predefinidos por la Especificación de Requisitos del Usuario y/o la Especificación Funcional. Además, tiene como objetivo demostrar la existencia de procedimientos aprobados para las funcionalidades con impacto en BPx, permitir la verificación del cumplimiento de las normas BPx y otras normas técnicas aplicables, permitir la gestión de la seguridad. Para sistemas y equipos de producción o automatización industrial, esta fase también puede denominarse Calificación de Desempeño (CD).
Este informe resume los resultados de las actividades de los estudios de validación llevados a cabo en el sistema durante la fase de pruebas.
La matriz de trazabilidad establece la relación entre dos o más entregables que se desarrollan durante el proceso de validación. La matriz garantiza que se cumplan los requisitos y se pueda rastrearlos hasta las configuraciones respectivas y/o elementos de diseño del sistema y también hasta la prueba que verifica que se han cumplido los requisitos. Una matriz también puede permitir una mayor eficacia en la gestión de riesgos, facilitar la evaluación del impacto potencial y gestionar riesgos para un cambio previsto. La Matriz de Trazabilidad debe estar aprobada y debe integrarse en el ciclo de vida del sistema.
El Informe Final de Validación de sistema debe elaborarse teniendo en cuenta los resultados obtenidos en las distintas fases de pruebas. También deben considerarse los requisitos para el cumplimiento de las normas reguladoras aplicables, de acuerdo con la estrategia establecida en el Plan de Validación. Después de obtener la aprobación del Informe de Validación, cualquier modificación al sistema debe llevarse a cabo a través del procedimiento establecido de control de cambios.

El diagrama de flujo a continuación se inspiró en la figura 11.7 de la guía de la segunda edición de GAMP5®: enfoque basado en riesgos para sistemas configurados (categoría 4).

Marco Ágile en Validación

Una práctica muy común, principalmente debido al excesivo trabajo resultante de la validación en papel, o validación manual digital (basada en editor de texto), es el uso del modelo Waterfall (en cascada) para la entrega del proyecto.

Lea más...
El modelo de cascada no es exactamente un problema, hay varios proyectos exitosos en este formato, la cuestión es la adaptación y la flexibilidad para los cambios.

Como se mencionó anteriormente, ISPE GAMP5® guía las buenas prácticas para los sistemas BPx relevantes y en su nueva versión ha incorporado varios conceptos del marco Ágile, apoyando el uso de enfoques incrementales, iterativos y evolutivos para el desarrollo de productos de aplicaciones personalizadas.

Ágile es un proceso controlado al igual que en el enfoque en cascada, si se ejecuta mal y carece de controles, es inaceptable.
 

Herramientas en lugar de documentos

Este es un punto crítico que puede impactar positivamente en el negocio. La segunda edición de la Guía GAMP5® fomenta y recomienda el uso de herramientas de software para apoyar las prácticas ágiles que pueden brindar oportunidades para mejorar el enfoque de documentación tradicional que presenta barreras y potencialmente introduce riesgos de incumplimiento (el papel acepta todo y es difícil de rastrear).

Lea más...
Los documentos impresos pueden ser susceptibles a inexactitudes y difíciles de rastrear, mientras que los formatos electrónicos, cuando se gestionan con herramientas de gestión de documentos, pueden presentar el riesgo de permitir que el ejecutor de pruebas realice cambios no autorizados en un guión previamente aprobado.

Una herramienta que ya está adaptada al marco Ágile en validación, de acuerdo con FDA, EMA y OMS es el GO!FIVE®, siendo una excelente opción para proyectos ágiles:

• Crear/definir los elementos por línea de la matriz;

• Crear paquetes de elementos (requisitos, riesgos, especificaciones o pruebas);

• Liberación parcial (por sprint, módulo, proceso, producto, etc.);

• Un Plan de Validación y varios informes parciales.

Pinche aquí y obtenga más información sobre el sistema que brinda cumplimiento ágil y capacita a los equipos.

Haga clic aquí para saber cómo podemos colaborar

 

GAMP5® es una guía que tiene sus derechos intelectuales reservados a ISPE. Disponible para su compra en el sitio web ispe.org.