siga-nos
auditoria-de-fornecedor-de-software-para-industria-farmaceutica-como-tratar

Auditoria de fornecedor de software para Indústria Farmacêutica: Como tratar?

Esta pergunta está na TOP 5 de dúvidas de clientes e mentorados que recebemos na consultoria.

Vou te revelar como tratar o fornecedor de software em apenas 4 etapas!

Mas fique atento, pois têm algumas informações relevantes que você precisa entender antes disso…

Esse tópico foi abordado no Perguntas e Respostas da RDC nº 658/2022 da ANVISA, e se refere aos artigos 11 ao 14 e 16 da Instrução Normativa nº 134/2022 de Validação de Sistemas Computadorizados.

E é um tópico muito relevante e cada vez mais visado pelos Auditores Regulatórios, e vamos discorrer ao longo deste artigo.

Quero te contar um segredo: Quase ninguém está gerenciamento esse assunto da forma correta! E por isso, você precisa saber dessa informação de forma definitiva!

A atividade de avaliação e qualificação do fornecedor é considerada vital dentro do conceito de Validação de Sistema Computadorizado (VSC), onde pode impactar em todas as fases do ciclo de vida (projeto, operacional e aposentadoria). E a conformidade com a legislação vigente, especialmente no que diz respeito à IN nº 134/2022, é essencial para garantir a qualidade e segurança dos produtos e processos na indústria farmacêutica.

A partir de agora, você vai descobrir, através das evidências regulatórias, a abordagem da ANVISA, que vai facilitar o seu entendimento para auditar um fornecedor de software.

Para isso, preciso ressaltar a descrição do IN nº 134/2022, conforme:

“Art. 11. Quando fornecedores, prestadores de serviços ou outros terceiros são usados para fornecer, instalar, configurar, integrar, validar, manter, modificar ou armazenar um sistema computadorizado ou serviço relacionado, ou para fins de processamento de dados, devem existir contratos entre o fabricante e quaisquer terceiros, em que constem declarações claras das responsabilidades do terceiro.

Parágrafo único. Os departamentos de tecnologia de informação do contratante e do contratado devem ser considerados análogos.”

Durante o Perguntas e Respostas da RDC nº 658/2022, referente ao Art. 11, a Agência Nacional de Vigilância Sanitária do Brasil (ANVISA) realizou as seguintes recomendações, após o questionamento do público:

Pergunta 20. Art. 11, caput

Pergunta pública: A entidade irá propor algum mecanismo de avaliação e/ou orientação relacionada aos requisitos mínimos necessários e/ou orientações quanto à forma de avaliação e implementação dessa atividade? Como será cobrado nas inspeções?

Resposta da ANVISA: Nas inspeções será avaliada a participação de empresas terceirizadas nas atividades associadas aos sistemas computadorizados e como a empresa terceirizada atuou para atender ao que está preconizado no Capítulo VIII da RDC 658/2022, Arts. 298 a 318.

Pergunta 21. Art. 11, caput

Pergunta pública: Existe algum guia e/ou diretriz que pode ser utilizada como base que conste de forma clara as informações que serão requeridas por parte da entidade para essa atividade?

Resposta da ANVISA: As diretrizes gerais de atividades terceirizadas estão definidas no Capítulo VIII da RDC 658/2022, Arts. 298 a 318.

Dessa forma, deixo como complemento para maior esclarecimento, a descrição completa dos artigos citados acima, sobre a RDC nº 658/2022:

Art. 298. Qualquer atividade terceirizada, cujo escopo esteja sujeito às BPF, deve ser adequadamente definida, acordada e controlada, a fim de evitar mal-entendidos que possam resultar em um produto ou operação de qualidade insatisfatória.

Art. 318. O contrato deve permitir que o Contratante audite atividades terceirizadas executadas pelo Contratado, ou seus subcontratados mutuamente acordados.

Seguindo ainda, com outras perguntas/ respostas entre público e ANVISA:

Pergunta 22. Art. 11, parágrafo único

Pergunta pública: Qual a proposta da entidade para avaliação para as áreas de TI do contratante e contratado de forma a comprovar que ambos são análogos frente aos conhecimentos relacionados à área industrial farmacêutica? O que seria departamentos de tecnologia de informação análogos?

Resposta da ANVISA: Deve haver acordo formal entre a empresa contratante e a empresa contratada, no qual os papéis e responsabilidades sejam claramente estabelecidos. Um requisito importante para que isto possa ocorrer é que os departamentos de TI da empresa contratante e empresa contratada possuam qualificação equivalente no que diz respeito a todas as atividades relacionadas aos sistemas computadorizados, podendo ocorrer o caso em que o contratado seja até mais qualificado do que a contratante.

Para interpretar o Art. 12, da IN nº 134/2022, segue conforme:

Art. 12. Competência e a confiabilidade de um fornecedor são consideradas elementos essenciais durante a seleção do produto ou do prestador de serviço, onde a determinação destas por meio de uma auditoria deve ter a necessidade estabelecida por uma avaliação de risco documentada.”

Pergunta 25. Art. 12

Pergunta pública: No caso de software comercial pronto para uso, devemos qualificar a empresa que presta suporte ou a empresa que desenvolveu o sistema?

Resposta da ANVISA: Idealmente, ambas deveriam ser qualificadas, mas considerando as possíveis dificuldades de acesso à empresa desenvolvedora, a empresa prestadora do suporte deve ser qualificada. Contudo, a empresa contratante deve avaliar os riscos associados a não realização da qualificação da empresa desenvolvedora, visto o risco que isto poderia potencialmente implicar para a continuidade do negócio, caso seja adquirido um sistema que poderia futuramente apresentar problemas, o que, dependendo do nível de conhecimento e acesso ao código fonte pela empresa prestadora de serviço, poderia inviabilizar a continuidade da utilização do sistema.

Continuando com a definição dos artigos da IN nº 134/2022:

Art. 13. A documentação fornecida com softwares comerciais prontos para uso deve ser revisada por usuários qualificados para verificar se os requerimentos do usuário são atendidos.

Art. 14. Informações sobre os sistemas de gestão da qualidade e sobre auditorias realizadas em fornecedores ou desenvolvedores de software e sistemas implantados devem ser disponibilizados aos inspetores sempre que solicitadas.

Art. 16. Os fabricantes devem justificar seus padrões, protocolos, critérios de aceitação, procedimentos e registros com base em sua avaliação de risco.

Seguindo ainda, com mais quatro artigos adicionais citados no Pergunta de Respostas entre público e ANVISA:

Pergunta 26. Arts. 12, 13 e 14

Pergunta pública: Gostaria de saber se é necessário realizar auditoria em fornecedor que vende software para a empresa, uma vez que serão realizados todos os testes de validação pela empresa que está adquirindo o sistema, garantindo assim a segurança e confidencialidade dos dados gerados pelo sistema. Por exemplo, se eu tenho uma empresa 3°, que presta serviço para a minha empresa, e que utiliza o software dela para armazenamento de dados (software para pesquisa clínica), é necessário auditar o fornecedor? Ou seria suficiente somente ter um contrato/acordo de qualidade e avaliar criticamente a documentação de validação do sistema que utilizamos do terceiro, garantido assim que o sistema é seguro?

Resposta da ANVISA: A atividade de avaliação/qualificação do fornecedor é considerada atividade vital dentro do conceito de ciclo de vida do sistema computadorizado e com forte impacto em todas as fases do ciclo de vida (projeto, operacional e aposentadoria).

Pergunta 30. Art. 16

Pergunta pública: A diretriz apresentada no art. 16 é atribuída à empresa que desenvolve o software ou hardware ou à fabricante de medicamento?

Resposta da ANVISA: A responsabilidade é sempre da empresa fabricante do medicamento. Nos casos em que fornecedores, prestadores de serviços ou outros terceiros forem usados para serviço relacionado a sistemas computadorizados, os requisitos estabelecidos no Capítulo II, Seção IV – Fornecedores e prestadores de serviços, da IN 134/2022, e as diretrizes gerais de atividades terceirizadas, definidas no Capítulo VIII da RDC 658/2022, devem ser seguidos.

Achou complexo de analisar e relacionar todas essas diretrizes regulatórias? Não se aborreça… estamos aqui para descomplicar todo o processo.

E já te convido para participar do Treinamento de Validação de Sistemas Computadorizados, que ocorrerá nos próximos dias, onde será exclusivo e personalizado, onde será abordado as principais tendências do mercado farmacêutico, incluindo cenários de Inteligência Artificial (IA) na Validação. Para saber mais CLIQUE AQUI.

4 etapas para avaliar o fornecedor de software de forma prática e definitiva

1. Faça a avaliação do fornecedor, realize uma triagem. Pra isso você vai precisar conhecer o seu tipo de sistema computadorizado, bem como a estrutura da plataforma e suas funcionalidades e o tamanho do RISCO que esse sistema e fornecedor pode impactar na sua empresa e nos processos.

2. Após, analise com base nos riscos, se esse fornecedor deve entregar apenas documentos que comprovem o Sistema da Qualidade, incluindo nisso Acordos de Qualidade (SLA) somado a Contrato de Serviço (lembrando que são coisas diferentes), ou se também deve se estender a auditorias mais complexas e até presenciais.

3. Realize um Gerenciamento de Riscos envolvendo ferramentas da qualidade de forma robusta para mitigar esse tópico, você pode utilizar a ferramenta mais comum, que é Análise de Riscos. Para isso, você também pode abordar através de procedimentos operacionais padrão, os famosos “POPs”, que inclua checklists e formulários para gerenciar os riscos de forma premeditada.

4. Se na mitigação de riscos for verificado um risco Médio ou Alto na gestão deste fornecedor, principalmente se este for responsável em gerenciar e armazenar dados de processos, pode ser crucial realizar uma auditoria presencial neste fornecedor.

A Auditoria do fornecedor pode ocorrer de forma remota, presencial ou híbrida. O mais importante é reter as evidências e reavaliar de maneira periódica, e sempre que houver a necessidade de uma revisão.

Lembrando que a responsabilidade é sempre da empresa fabricante de medicamentos ou produtos da saúde, como mencionado no Art. 16, e por isso a avaliação deve sempre acontecer para garantir a qualidade do produto e confiabilidade do processo.

Mas a empresa fornecedora de software também pode assumir realizar a validação e qualificação para garantir ainda mais qualidade em seus processos e também atrair novos contratos com empresas, como Indústria Farmacêutica.

Não é mais viável adotar soluções improvisadas. A disseminação da informação, a preparação dos auditores e a clareza das normas exigem uma mudança de mentalidade para promover a qualidade dentro da empresa. A confiabilidade do processo deve ser prioridade, não apenas a produção de documentação para auditorias.

Não sabe por onde começar? Conte com a equipe da Tetha Consultoria para dar esse suporte. Oferecemos um trabalho exclusivo e flexível para cada cliente. Entre em contato conosco e tire suas dúvidas: contato@tetha.com.br

Compartilhe este conteúdo com alguém que também precisa saber disso. Até a próxima.

Aquele abraço da equipe Tetha

Referência Bibliográfica:

  • ANVISA. RDC Nº 658, DE 30 DE MARÇO DE 2022. Dispõe sobre as Diretrizes Gerais de Boas Práticas de Fabricação de Medicamentos.
  • ANVISA. Perguntas e Respostas, conforme RDC nº 658/2022 e suas Instruções Normativas-IN, atualizado em 15 de fevereiro de 2023.
  • ANVISA. IN Nº 134, DE 30 DE MARÇO DE 2022. Dispõe sobre as Boas Práticas de Fabricação complementares aos Sistemas Computadorizados utilizados na fabricação de medicamentos.

IN nº 134/2022

Dispõe sobre as Boas Práticas de Fabricação complementares aos sistemas computadorizados utilizados na fabricação de medicamentos.

Leia mais »