Três elementos fundamentais: Controles, validação e arquivamento

Além de fornecer sistemas de monitoramento e validação, nós frequentemente analisamos questões que surgem para nossos clientes quando estão interpretando regulamentos e orientações. Recebemos muitas perguntas sobre a Parte 11 e o Anexo 11 do CFR 21. Neste artigo, oferecemos uma visão geral de três pontos fundamentais de ambos os “Onzes”, incluindo: Controles do sistema, validação e arquivamento.

É importante observar que a Parte 11 é um requisito nos EUA, enquanto o Anexo 11 é um documento de orientação na UE.

Tanto a Parte 11 quanto o Anexo 11 incluem os seguintes elementos:

• Validação
• Cópias legíveis
• Proteção e retenção de registros
• Pistas de auditoria
• Acesso restrito para usuários autorizados apenas
• Verificações de autoridade
• Verificações de dispositivos
• Treinamento
• Procedimentos escritos
• Documentação do sistema

Um olhada na lista mostra que cada um é em parte um método para controlar a função e as saídas de um sistema.

No CFR 21 Parte 11 “Controles para sistemas fechados”, afirma:
(b) “A capacidade de gerar cópias precisas e completas de registros, em formato eletrônico e legível, adequado para inspeção, revisão e cópia pela agência.”

O fato de haver uma regulamentação específica em relação a cópias legíveis demonstra como a tecnologia evoluiu. Hoje seria difícil imaginar um sistema fácil de usar que não permitisse a impressão de documentos e dados.

Para a maioria dos sistemas de monitoramento, os registros de interesse são os valores reais de monitoramento histórico. E criar uma cópia legível provavelmente significa que os dados históricos e registros de eventos podem ser impressos em um formato seguro.

No CFR 21 Parte 11 (e) na “Seção 11.10 - Controles para sistemas fechados, lemos:

“Uso de pistas de auditoria seguras, geradas por computador e carimbadas com horário, para registrar de forma independente a data e a hora das entradas e ações do operador que criam, modificam ou excluem registros eletrônicos. As alterações de registro não devem camuflar as informações registradas anteriormente. Essa documentação de pista de auditoria deve ser mantida por um período pelo menos tão longo quanto exigido para os registros eletrônicos do assunto, e deve estar disponível para revisão e cópia pela agência.”

Em termos de suas aplicações de monitoramento ambiental, isso significa simplesmente que, para que seus registros estejam conformes, os registros eletrônicos (dados e eventos) não podem ser modificados ou excluídos manualmente.

Além disso, a pista de auditoria do seu sistema precisa capturar quaisquer alterações nos metadados (modelos de relatórios e cronogramas) e dados de configuração sem camuflar as entradas anteriores. Se seu sistema não permitir alterações a valores registrados, ele está em conformidade com as seções da Parte 11 e do Anexo 11.

Como sistema fechado, o seu sistema de monitoramento precisa limitar o acesso apenas a “indivíduos autorizados”. Esse é o item (d) na Seção 11.10 da Parte 11. Normalmente, isso significa que todos os que têm acesso ao sistema possuem um nome de usuário e uma senha segura. Muitas vezes, um sistema se integra em sua autenticação do sistema operacional para utilizar as ferramentas de gerenciamento de senha pré-existentes usadas habitualmente

Com respeito à validação, a Parte 11 estabelece a necessidade de validação no primeiro item da Seção 11.10: “Controles para sistemas fechados”:

(a) “Validação de sistemas para assegurar a exatidão, confiabilidade, desempenho consistente e pretendido e a capacidade de discernir os registros inválidos ou alterados.”

No Anexo 11, a seção “Fase do projeto” abrange a validação em oito pontos breves e diretos:

• Use avaliação de risco para justificar padrões, protocolos, critérios de aceitação, procedimentos e registros
• Use a prática de documentação de controle de alterações correta para relatar desvios
• Mantenha um inventário de seus sistemas computadorizados com descrições, interfaces, processos, software e hardware
• Use avaliação de risco para avaliar o impacto de GMP das Especificações de Requisitos do Usuário
• Auditoria dos sistemas de gestão da qualidade dos fornecedores
• A validação de sistemas informatizados abrange todo o ciclo de vida do sistema
• Teste de documentos
• Validação da transferências de dados

Observamos que o Anexo 11 é mais explícito nas recomendações de validação.

Para os sistemas da Vaisala, fornecemos um conjunto de protocolos IQOQ e, se o cliente desejar, também executamos.

A proteção e a retenção de registros, conforme descritas na Seção 11.10 da Parte 11 (c) significa que qualquer dado que seu sistema produza, não pode ser alterado. Além disso, para atender ao requisito de “recuperação pronta ao longo do período de retenção de registros”, seus dados precisam ser arquivados de forma que possam ser acessados convenientemente - não deixe um auditor esperando,

Se você armazenar os dados permanentemente no seu banco de dados, este deve ser criado de forma que o desempenho do sistema não se degrade à medida que o banco de dados aumente ao longo do tempo. Como você atende a este requisito do CFR 21 Parte 11 pode ter tanto a ver com o projeto do seu sistema como o faz com as políticas de administração do sistema em relação aos arquivos.

No Anexo 11 em “Armazenamento de dados”, recomenda-se que os dados sejam armazenados de forma segura e sejam copiados, tanto física quanto eletronicamente, e verifique regularmente a acessibilidade, legibilidade e precisão. O Anexo 11 também menciona a necessidade de validação de capacidades de restauração de dados do sistema.

A Parte 11 e o Anexo 11 foram introduzidos para tratar das principais diferenças entre os sistemas informatizados e manuais, e criar registros eletrônicos equivalentes a registros em papel, como comprovação de qualidade de execução do processo. Hoje, os sistemas de monitoramento ambiental mais usados em empresas compatíveis com o Guia de boas práticas são inerentemente consistentes com os requisitos dos “Onzes”. No entanto, o risco não decorre dos próprios sistemas, mas em como são implementados e mantidos.

Embora o seu sistema de monitoramento inclua provavelmente manuais e CDs do Usuário e Administrador, bastante fáceis de integrar no seu Sistema de gerenciamento de documentos, os procedimentos que controlam a documentação ainda são de sua responsabilidade. Independentemente da boa qualidade do seu sistema de monitoramento (e, se você tiver um sistema Vaisala, é realmente incrível!), apenas os procedimentos do seu Sistema de Qualidade o mantêm em conformidade com a Parte 11/Anexo 11.

Nós não abordamos Assinaturas Eletrônicas porque essa é uma função de software especializado. Existe um software empresarial especializado para implementar Assinaturas Eletrônicas dentro de um Sistema eletrônico de gerenciamento de documentos (Electronic Document Management System, EDMS). Para a solução de monitoramento da Vaisala, nós usamos um sistema “híbrido”, o que significa que ele usa registros eletrônicos combinados com assinaturas manuscritas, nas quais as saídas de PDF podem ser importadas e EDMS.

Aqui está um artigo técnico: “A conformidade do sistema de monitoramento contínuo da Vaisala com os requisitos do CFR 21 Parte 11 e o Anexo 11” e consulte nossa Base de Conhecimento para obter mais artigos regulatórios e notas de aplicação.