15.

VALIDACIÓN Y ASEGURAMIENTO
DE SISTEMAS COMPUTARIZADOS

Día a día somos testigos de cómo la presencia de sistemas computarizados es inevitable en los procesos
industriales, los cuales han beneficiado no solo la productividad de las organizaciones, sino en muchos casos, la
calidad de procesos, productos y servicios relacionados.

Dada esta situación, la industria farmacéutica debería asegurar que la interacción con los sistemas computarizados
es adecuada y controlada, incluyendo el indicar dentro de su Sistema de Validación e implícitamente en el Plan
Maestro de Validación, el hecho de que los sistemas computarizados se consideran sistemas de impacto a las

Documento elaborado por: Iniciativa Cluster Farmacéutico CCB – ASCIF - Grupo Terra Farma
BPM, por mencionar algunos casos, cuando están relacionados con transferencias de insumos, productos en
cualquier fase hasta llegar a producto terminado, disposición de los mismos (estado de retención temporal
y aprobado o rechazado), control de procesos y análisis, control de los elementos de apoyo (equipos, áreas,
condiciones ambientales, sistemas críticos, entre otros) o por afectación en la integridad de datos (manejo de
registros electrónicos de impacto sanitario y firmas electrónicas).

Es importante entender que la validación y aseguramiento de un sistema computarizado involucra mucho más
que el cumplimiento del registro y firmas electrónicas. Cuando estos están presentes, es solo una parte del
trabajo a realizar.

La evidencia de la validación y aseguramiento incluye las etapas de calificación que se manejan en un equipo o
sistema, esto es, calificación del diseño, instalación, operación o desempeño.

Para los sistemas computarizados, es vital tener claro el concepto de vida del mismo, el cual abarca 4 etapas
básicas (44): conceptualización (desarrollo de especificaciones, tanto de usuario, como funcionales y de diseño
o de configuración), proyecto (el cual entre otros incluye las actividades de validación y liberación oficial del
sistema), operación y retiro (o discontinuación).

Dado lo anterior, no podría trabajarse sin un enfoque de gestión del riesgo, en el cual la elección de un proveedor
adecuado para las dos primeras etapas del ciclo de vida es vital para asegurar el éxito, de ahí la importancia de
evaluarlo y aprobarlo, incluyendo no solo su experiencia en el tema, sino también la calidad de la documentación
a entregar y que después será base para la validación y aseguramiento del sistema computarizado involucrado.

Para comenzar con toda actividad hay que remitirse al documento base, el Plan Maestro de Validación. Dado el
alcance tan específico en este tipo de sistemas, en los cuales no forzosamente colaboran los mismos miembros
que cuando se califican áreas, sistemas como agua, vapor, HVAC o procesos de manufactura, por ejemplo,
muchas empresas deciden manejar un Plan Maestro solo para sistemas computarizados.

Dentro del mismo Plan Maestro, ya sea en forma integrada o específica debería indicarse la existencia de
protocolos e informes como evidencia de las pruebas individuales por sistema.

Para saber hasta donde se tienen que realizar los esfuerzos en validación, primeramente, se recomienda
clasificarlos bajo un enfoque hardware/software tomando como referencia guías internacionales como las
GAMP (44,45,46,58,59). De acuerdo con el nivel donde se ubique el sistema computarizado, será el esfuerzo y
detalle dado en la validación y aseguramiento.

Como parte de la documentación con la cual debería contar cada sistema y que generalmente se evalúa en
la calificación de la instalación se encuentran (dependiendo de la naturaleza de cada sistema), licencias,
procedimientos, manuales, diagramas, listado de hardware y software, interfaces definidas, contratos con

Guía: Validación de Procesos de Manufactura

63
 proveedores externos, programas de mantenimiento y limpieza, entre otros.

También aplica una inspección física de la infraestructura, esto como parte de la calificación de la instalación.

Al validar y asegurar se deberían cuidar entre otros aspectos, lo siguiente, lo cual generalmente se lleva a cabo en
la calificación de la instalación (verificación documental) y calificación de la operación (funcionalidad):

• Que se tienen procedimientos para asegurar la protección e integridad de los registros electrónicos durante
su tiempo de retención de acuerdo con lo marcado por la regulación.

• Que se tienen procedimientos para la administración de pérdidas o robos de la información. Incluyendo

plan de gestión de desastres o plan de continuidad de negocio.
Documento elaborado por: Iniciativa Cluster Farmacéutico CCB – ASCIF - Grupo Terra Farma

• Que las funciones, perfiles, transacciones más críticas definidas por gestión del riesgo se han probado con
el administrador del sistema.

• Que se tiene evidencia de que existen accesos a los sistemas autorizados y están establecidos los niveles
de autorización.

• Que se tienen registros generados por el sistema, rastreables de auditoría (audit trail) para registrar
independientemente la fecha y hora en la que el usuario realiza la entrada y las acciones que crea, modifica
o elimina de un registro electrónico.

• Que como parte de este audit trail, los cambios a los registros tienen rastreabilidad para reconstruir la
información original.

• Que se cuenta con herramientas para determinar la validez de la fuente de entrada de datos o
instrucciones operacionales.

• Que se tiene establecido que quien desarrolla, mantiene o usa los registros electrónicos / firmas electrónicas
está calificado.

• Que existe evidencia de que las firmas electrónicas están asociadas con sus registros electrónicos y que no
pueden ser copiadas o transferidos para falsificar información.

• Que se han realizado pruebas consideradas peor caso, por ejemplo, de estrés, volumen, tiempo de respuesta,
falla de suministro eléctrico.

Además de lo anterior, en la calificación del desempeño se debería considerar la participación obligatoria del
usuario en ambiente de negocios o producción y demostrar que realiza la operación del sistema computarizado
con base en el procedimiento específico de acuerdo con el perfil autorizado.

Tanto para las pruebas de la calificación de la operación, como de la calificación del desempeño se reconoce que
la verificación exhaustiva (100 % de las pruebas) para un sistema computarizado, es un concepto indefinido de
ejecutar debido al número de permutaciones de caminos (combinaciones), por lo que la organización debería
seleccionar las pruebas representativas que permitan asegurar confiabilidad de cada sistema computarizado
derivadas de la gestión del riesgo.

Un equipo, sistema crítico, instrumento o área que involucre un sistema computarizado no podrá considerarse
calificado si el sistema computarizado no está validado y asegurado.

Guía: Validación de Procesos de Manufactura

64
Pueden realizarse pruebas en paralelo o de acuerdo con la complejidad del sistema computarizado (por ejemplo,
si es comercial, configurable, si genera registros y/o firmas electrónicas de impacto en las BPM), podrá estar
incluida la validación del sistema computarizado como parte de la calificación del equipo, sistema crítico o
área, siempre y cuando estén perfectamente definidos los alcances y pruebas específicas en cada caso), o bien,
manejarse en un protocolo / informe por separado vinculado, trazable al equipo, área, o sistema crítico al que
pertenecen o del cual recopilen información, por ejemplo, casos de LIMS, MES o BMS.

Sistemas computarizados no vinculados a áreas, sistemas críticos/servicios, instrumentos o equipos, pero

relacionados con el proceso de manufactura en forma administrativa, también requieren estar validados
previamente, por ejemplo, sistemas ERP, si estos participan en la generación de ordenes e instrucciones de
manufactura, asignan lotes de insumos y producto, manejan ubicaciones de insumos y producto, gestionan
primeras caducidades-primeras salidas, entre otros.

Documento elaborado por: Iniciativa Cluster Farmacéutico CCB – ASCIF - Grupo Terra Farma
Al igual que las áreas, equipos y sistemas críticos/servicios, los sistemas computarizados están sujetos también
a la verificación del mantenimiento del estado validado y revalidación, referirse al numeral 13.5 de la presente
guía para tomar ejemplos de algunos aspectos aplicables, dado que el tema es lo suficientemente extenso para
abordarlo en esta guía cuyo objetivo principal es la CDPM.

Aunque el término oficialmente establecido en las regulaciones de BPM al momento de la publicación de esta guía
indica validación de los sistemas computarizados, ya hay artículos y tendencias preliminares que indican que el término
pueda cambiar o convivir con el concepto de aseguramiento de los sistemas computarizados.

En la validación de sistemas computarizados, la documentación es clave para demostrar el cumplimiento.

Las actividades de pruebas detalladas tienen que cubrir cada función del sistema (puede haber excepciones/
reducciones por gestión del riesgo) y documentarse exhaustivamente.

En el aseguramiento de los sistemas computarizados existe una mayor proporcionalidad entre la cantidad
de pruebas y documentación. Por ejemplo, favorece el uso de herramientas de prueba para automatizar las
actividades en lugar de realizar pruebas manuales y satisfacer las necesidades de la organización. Esto incluye
análisis de selección de soluciones, historial y datos de pruebas o recopilaciones realizadas por proveedores,
actividades de instalación, aceptación en fábrica y pruebas basadas en el riesgo que favorezcan documentar lo
critico únicamente.

Como referencias de apoyo en el tema de validación y aseguramiento de sistemas computarizados se recomiendan

los documentos 15,16,18,20,22,44,45,46,58,59,70, 90,100 y 106.

Guía: Validación de Procesos de Manufactura

65