Publicado el por Robert-Jan van der Horst

¿Cuál es la diferencia entre la validación del sistema informático (CSV) y la garantía de software informático (CSA)?

La Validación del Sistema Informático (CSV) ha existido desde la introducción de la FDA 21 CFR Parte 11, 1997, los Principios Generales de validación de software. Con la intención de garantizar el correcto funcionamiento de los sistemas, CSV tenía el objetivo de garantizar que los auditores puedan obtener una visión detallada de cada aspecto de una aplicación utilizada en la producción. Hoy en día, ha mutado en un ejercicio oneroso para la prueba de auditorías, lo que resulta en enormes paquetes de documentación en papel con grandes volúmenes de capturas de pantalla o archivos adjuntos impresos.

CSA versus CSV

CSV se ha convertido en un punto importante en la preparación de auditorías, creando actividades y burocracia innecesarias. En el peor de los casos, incluso puede obstaculizar el progreso, al hacer que las actualizaciones o las nuevas soluciones de software sean increíblemente difíciles de implementar debido a los extensos requisitos de documentación. También bloquea los recursos en las tareas de documentación, al tiempo que descuida las pruebas y la intención original de garantizar que los sistemas sean aptos para su uso y su funcionamiento validado.

Entonces, ¿cuál es la diferencia entre CSV y CSA? La validación de sistemas informáticos o metodología CSV tiene equipos de validación que pasan el 80% de su tiempo documentando y solo el 20% del tiempo probando sistemas. La Administración de Alimentos y Medicamentos de los Estados Unidos (FDA) ha reconocido que el enfoque de «probar todo» se está volviendo obsoleto a medida que deja a las instalaciones de fabricación de GMP dedicando más tiempo a la documentación que a las pruebas reales. El objetivo es cambiar esto: centrarse en las pruebas y documentar cuando sea necesario. Por lo tanto, la FDA ha comenzado a promover lo que llama Computer Software Assurance o CSA. Con CSA, el 80% del tiempo debe dedicarse al pensamiento crítico y a la aplicación del nivel correcto de pruebas a actividades de mayor riesgo, mientras que solo el 20% del tiempo se dedica a la documentación. En este proceso, el pensamiento crítico debe centrarse en tres preguntas:

  1. ¿Afecta este software a la seguridad del paciente (Pharma) o la seguridad del consumidor (Food)?
  2. ¿Afecta este software a la calidad del producto?
  3. ¿Afecta este software a la integridad del sistema?

El uso de un enfoque basado en el riesgo es algo que la FDA ya aplica en sus auditorías. Es importante tener en cuenta que el próximo documento de orientación de CSA no trae ningún cambio a las regulaciones vigentes o a la guía de Buenas Prácticas de Fabricación de Automatización versión 5 (GAMP 5); los requisitos siguen siendo los mismos. Sin embargo, seguir el enfoque CSA significa que las actividades de validación se diseñan en torno a la prueba de los aspectos críticos de una manera eficiente y enfocada. El objetivo es evitar actividades y burocracia innecesarias. En su lugar, se utiliza el pensamiento crítico y un enfoque basado en el riesgo para garantizar que las pruebas se centren en las características y / o acciones que representan un riesgo de medio a alto para la seguridad del paciente y / o el consumidor, la calidad del producto y / o la integridad de los datos. Se presta menos atención a las características de menor riesgo del sistema. Se vuelve esencial la ejecución de una evaluación de riesgos de calidad adecuada antes de iniciar otras actividades de validación.

¿Dónde se aplica CSA?

La indicación actual es que el cambio hacia la ASAC debe considerarse para la validación de los siguientes sistemas (lista no limitativa):

  • Sistemas de planificación de recursos empresariales (ERP)
  • Sistemas Electrónicos de Gestión de Calidad (eQMS) con funcionalidades como
    • Gestión Documental
    • Gestión del aprendizaje
    • Gestión de eventos
  • Sistemas de Gestión de Información de Laboratorio (LIMS)
  • Sistemas de serialización

Un buen programa de CSA se puede implementar fácilmente y se beneficiará de un sólido Sistema de Gestión de Calidad. Con un enfoque CSA, estos sistemas se pueden implementar de una manera mucho más ágil que aplicando el enfoque CSV clásico. La aplicación de CSA ya no se considera una carga, sino que se convierte en un distintivo para el éxito, mientras que CSV es más el calificador.

Nuestras recomendaciones Q7 al aplicar CSA:

  1. Una auditoría exhaustiva de los proveedores puede proporcionar una justificación para aprovechar las pruebas de los proveedores. Esto significa que no es necesario repetir las pruebas ya realizadas por su proveedor. Si el proveedor tiene un sólido sistema de gestión de calidad o SGC y ya ha validado el sistema ofrecido, es posible que no haya ningún requisito para que el usuario vuelva a validar las características listas para usar.
  2. Utilice un enfoque basado en el riesgo para definir qué funciones, características o aspectos del sistema computarizado son de alto riesgo para la seguridad del paciente / consumidor, la calidad del producto y / o la integridad de los datos. Estas áreas de alto riesgo requieren pruebas intensivas si aún no han sido probadas por el proveedor calificado. Las funciones, características o aspectos de riesgo medio o bajo pueden requerir menos o incluso solo pruebas informales.
  3. Definir claramente el alcance de la validación. En caso de que se cambie un sistema existente, centre las pruebas principalmente en la funcionalidad cambiada. Siga un enfoque ágil para el desarrollo y considere las pruebas sin guion como parte del enfoque de validación para pruebas de bajo riesgo.
  4. Tenga una política clara y simple que diga cómo se realizan las pruebas (por ejemplo, la recopilación de evidencia documentada y la gestión de no conformidades de validación), cómo se realiza la capacitación y cómo se resume la validación. Esto facilitará la ejecución y hará que el enfoque sea transparente y comprensible para todos los involucrados en las pruebas.
  5. Siempre que sea posible, utilice herramientas de prueba para actividades de aseguramiento automatizadas en lugar de pruebas manuales. Las herramientas automatizadas proporcionan la ventaja de reducir los errores en las pruebas, maximizando el uso de los recursos y poder reducir el riesgo. Finalmente, asegúrese de conocer el uso previsto del sistema. Tenga esto en cuenta al definir lo que se requiere.

Para concluir, con la introducción de CSA, no hay ningún cambio en las regulaciones vigentes o en GAMP 5. Lo importante es hacer el cambio a la mentalidad correcta: centrarse en el pensamiento crítico y definir las áreas de alto riesgo. Las pruebas se centran en estas áreas correspondientemente.

Usar CSA es un distintivo para el éxito y mantenerse alejado de los ejercicios arduos de CSV. Si su empresa está lista para hacer el cambio, pero necesita apoyo en la implementación, Q7 Consulting estará encantada de ayudarle. Tenemos los recursos experimentados para apoyarlo en la transición a un enfoque de validación eficiente y tenemos más de dos décadas de historial exitoso en la implementación de CSV y CSA.