AUDITORIA EM SISTEMAS COMPUTADORIZADOS NA INDÚSTRIA FARMACÊUTICA: SEGURANÇA E CONFORMIDADE REGULATÓRIA

Esse artigo complementa os artigos:

Validação de Sistemas Computadorizados

Validação de Sistemas Computadorizados Agile e CSA

AUDITORIA EM SISTEMAS COMPUTADORIZADOS NA INDÚSTRIA FARMACÊUTICA: SEGURANÇA E CONFORMIDADE REGULATÓRIA 

Por Gustavo Soares e Thiago Borin.

Avaliação com base no GAMP 5, 21 CFR Part 11 e na norma ISO/IEC 27001 de Cibersegurança. 

A auditoria de sistemas computadorizados na indústria farmacêutica é um processo essencial que abrange a avaliação detalhada de diversos componentes técnicos para garantir a conformidade com normas rigorosas e a segurança dos dados. Entre os elementos principais estão a validação de sistemas (IQ, OQ, PQ), a revisão de requisitos de usuário (URS) e a qualificação da infraestrutura de TI. Além disso, a cibersegurança desempenha um papel central, exigindo aderência a normas como GAMP 5, 21 CFR Part 11, IN 134 da ANVISA e ISO/IEC 27001. A auditoria também deve assegurar que os controles de acesso estejam adequados, que os sistemas possuam um inventário atualizado e que existam planos robustos de backup e recuperação de desastres. A revisão periódica dos sistemas e a validação de planilhas eletrônicas garantem a continuidade das operações de maneira segura e em conformidade com os regulamentos aplicáveis. Essa abordagem sistemática assegura a integridade dos dados e a eficiência dos processos automatizados. 

INTRODUÇÃO 

Quando se realiza uma auditoria em sistemas computadorizados na indústria farmacêutica, é essencial garantir a conformidade com normas e diretrizes regulatórias rigorosas, como o Good Automated Manufacturing Practice (GAMP 5), o regulamento 21 CFR Part 11 da FDA e as normas brasileiras, como a IN 134 e o Guia 33 de Validação de Sistemas da ANVISA. Essas normas têm como objetivo assegurar a integridade, autenticidade e segurança dos dados gerados por sistemas automatizados, que são críticos em um ambiente altamente regulamentado como o farmacêutico. 

A conformidade vai além da simples validação de sistemas. Inclui a implementação de boas práticas de engenharia, gerenciamento de riscos e revisão contínua para manter a qualidade do produto e a segurança do paciente. Além disso, a cibersegurança desempenha um papel crucial, exigindo conformidade com padrões internacionais, como a ISO/IEC 27001, para proteger os sistemas contra acessos não autorizados e garantir a segurança dos dados em todas as fases do ciclo de vida do sistema. 

Este artigo aborda as principais exigências técnicas necessárias para uma auditoria eficaz em sistemas computadorizados na indústria farmacêutica, destacando aspectos como a qualificação de infraestrutura, a validação de sistemas e planilhas eletrônicas, o controle de acessos, a gestão de mudanças em sistemas, a integridade dos dados e a implementação de medidas de recuperação e contingência, todas essenciais para garantir a conformidade com as regulamentações e a manutenção de um ambiente seguro e controlado. 

GAMP 5: Estrutura e Validação Baseada em Riscos 

O GAMP 5 é um guia essencial para a validação de sistemas computadorizados e utiliza uma abordagem baseada em riscos. A validação deve ser proporcional ao impacto que o sistema tem na qualidade do produto e na conformidade regulatória. Os principais aspectos do GAMP 5 incluem: 

1. Ciclo de vida baseado em risco: Avaliação de riscos durante todo o ciclo de vida do sistema para definir o nível de validação necessário. 

1. Boas práticas de engenharia: Integração de boas práticas de desenvolvimento e validação para garantir a eficácia e segurança do sistema. 

1. Revisão Periódica: A validação não é um evento único; revisões contínuas são necessárias após alterações no sistema. 

 21 CFR Part 11: Regulação de Registros e Assinaturas Eletrônicas 

O 21 CFR Part 11 é um regulamento fundamental para garantir a autenticidade, integridade e segurança de registros e assinaturas eletrônicas. A conformidade com este regulamento é essencial para proteger dados eletrônicos em sistemas automatizados, especialmente em indústrias que lidam com dados de qualidade e segurança de produtos. 

Os principais requisitos de 21 CFR Part 11 incluem: 

• Assinaturas eletrônicas: Devem ser únicas, rastreáveis e vinculadas ao usuário de forma a garantir a autenticidade dos dados. 

• Controles de acesso: O acesso a sistemas críticos deve ser restrito apenas a usuários autorizados, utilizando autenticação robusta. 

• Trilhas de auditoria: As alterações nos dados e atividades do usuário devem ser registradas de forma completa e auditar-se regularmente. 

IN 134 da ANVISA: Diretrizes para Sistemas Computadorizados 

A IN 134 estabelece diretrizes para a validação contínua e qualificação de sistemas computadorizados na indústria farmacêutica, garantindo a integridade de dados e a rastreabilidade. Entre seus principais requisitos estão: 

• Documentação completa: Todas as etapas de validação, incluindo planos de validação, protocolos de teste e análises de risco, devem ser documentadas. 

• Controle de versão: Qualquer mudança no sistema deve ser rastreada e passar por revalidação. 

• Treinamento de usuários: O pessoal deve ser treinado e qualificado para operar os sistemas. 

• Planos de contingência: Medidas devem ser implementadas para assegurar a continuidade operacional em caso de falhas. 

ISO/IEC 27001 – Requisitos de Cibersegurança 

A conformidade com as normas de cibersegurança, como a ISO/IEC 27001, é fundamental para proteger os sistemas e dados contra acessos não autorizados. Os principais requisitos incluem: 

• Controles de acesso: Autenticação multifator (MFA) para sistemas críticos. 

• Monitoramento de intrusões: Ferramentas de monitoramento contínuo para detectar e responder a tentativas de invasão ou atividades suspeitas. 

• Encriptação de dados: Proteção de dados em trânsito e em repouso através de criptografia. 

• Backup e recuperação de dados: Planos regulares de backup e testes frequentes de restauração de dados, assegurando que as operações possam ser retomadas em caso de falhas. 

O que avaliar em uma Auditoria em Sistemas Computadorizados? 

Em uma auditoria de sistemas computadorizados, é essencial avaliar de forma minuciosa os elementos críticos que garantem o bom funcionamento e a segurança do ambiente. Focar na integridade dos dados e na segurança das informações é fundamental para assegurar que o sistema opere de forma eficiente e confiável. A auditoria deve cobrir a verificação de controles e mecanismos de proteção de dados, além da eficácia das medidas adotadas para prevenção de falhas e segurança de dados. Essa abordagem garante que os sistemas atendam aos requisitos necessários, mantendo a integridade e segurança dos processos e informações. 

1. Revisão de Requisitos de Usuário (URS)

• Especificação de Requisitos de Usuário (URS): Verificar se os requisitos do usuário estão documentados de forma clara, abrangente e precisa. O URS deve detalhar todas as funcionalidades e exigências que o sistema precisa ter para atender adequadamente aos requisitos operacionais e de qualidade, incluindo critérios de aceitação e expectativas funcionais. 

2. Plano de Validação e Procedimentos Operacionais Padrão (POP)

• Plano de Validação: O plano de validação do sistema deve estar atualizado e refletir todo o ciclo de vida do sistema, desde a concepção até a desativação. Ele deve incluir protocolos de qualificação (IQ, OQ, PQ), além de verificações de segurança, desempenho e integridade dos dados. 

• Procedimentos Operacionais Padrão (POP): Os POPs relacionados ao uso, manutenção e controle de sistemas e planilhas eletrônicas devem ser revisados periodicamente e atualizados conforme necessário. Eles devem cobrir desde o uso cotidiano até medidas corretivas, controle de alterações e contingência em caso de falhas. 

3. Modelos de Qualificação: IQ, OQ e PQ

• Instalação (IQ): Verificar se a instalação do sistema foi realizada de acordo com as especificações e está documentada adequadamente. O IQ deve garantir que todos os componentes do sistema foram instalados corretamente. 

• Operacional (OQ): Garantir que o sistema opera conforme os requisitos definidos no URS, realizando testes funcionais completos e verificações de desempenho para assegurar sua funcionalidade. 

• Desempenho (PQ): Avaliar se o sistema é capaz de operar de acordo com os parâmetros de desempenho definidos em condições normais de operação, simulando o ambiente de produção. 

4. Revisão Periódica de Sistemas

• Manutenção e Revisão Periódica: Os sistemas computadorizados e as planilhas eletrônicas devem passar por revisões periódicas para verificar se continuam conformes com os requisitos regulatórios e operacionais. As revisões devem incluir a verificação de desempenho, segurança, eficiência e conformidade contínua com normas e regulamentações, além de assegurar que eventuais falhas sejam corrigidas. 

5. Inventário de Sistemas e Planilhas Eletrônicas

• Inventário Completo: Manter um inventário atualizado de todos os sistemas e planilhas em uso, com detalhes como data de instalação, status de validação e qualquer alteração significativa realizada. O inventário deve ser revisado regularmente e incluir uma descrição das funções críticas de cada sistema. 

• POP de Controle de Planilhas: Garantir que exista um Procedimento Operacional Padrão específico para a gestão de planilhas eletrônicas, abordando sua validação, controle de versão e rastreabilidade de alterações, para assegurar a integridade dos dados. 

6. Requisitos de Cibersegurança

• Plano de Cibersegurança: Verificar se os sistemas computadorizados atendem aos requisitos de cibersegurança, incluindo a implementação de políticas robustas de controle de acesso, autenticação multifator (MFA), criptografia de dados e monitoramento de segurança. Devem ser realizadas auditorias regulares para garantir que os sistemas estejam protegidos contra ameaças internas e externas. 

• Normas de Cibersegurança da ANVISA: Garantir que o sistema esteja em conformidade com as normas de segurança da informação aplicáveis no Brasil, como a IN 134 da ANVISA, com foco na proteção da integridade, confidencialidade e disponibilidade dos dados. 

7. Qualificação de Infraestrutura de TI

• Qualificação de Infraestrutura (QI): Verificar se toda a infraestrutura de TI associada ao sistema, incluindo servidores, rede, armazenamento e componentes de segurança, foi qualificada adequadamente. A qualificação deve seguir padrões de boas práticas, garantindo que a infraestrutura suporte os sistemas de forma eficiente e segura. 

• Backup e Restore: Sistemas e planilhas devem contar com um plano de backup documentado e estruturado, e testes periódicos de Backup e restore devem ser realizados para assegurar que os dados possam ser restaurados corretamente, sem perda de integridade. 

• Plano de Recuperação de Desastres (Disaster Recovery): O plano de recuperação deve estar formalmente documentado e alinhado com os requisitos de continuidade de negócios, permitindo que a empresa restaure rapidamente sistemas críticos em caso de falha ou desastre. 

8. Backup e Recuperação de Desastres

• Plano de Backup: Verificar se há um plano de backup bem documentado, que inclua procedimentos regulares e automatizados para proteger dados críticos, com a garantia de que todos os backups são testados periodicamente. 

• Plano de Recuperação de Desastres (Disaster Recovery): Confirmar que o plano de recuperação de desastres foi testado recentemente, para garantir que os sistemas críticos possam ser restaurados dentro de prazos aceitáveis em caso de falha grave ou desastre.   

Exemplo de checklist geral – Auditoria em Sistemas, Planilhas e Cibersegurança 

REQUISITOS	VERIFICAÇÃO
Existe modelo documentado do documento de Especificação de Requisitos do Usuário (URS) e formalmente aprovado por todas as partes interessadas e reflete claramente ao sistemas implementados?	[ ] Sim [ ] Não
Existe Plano de Validação cobre todas as fases do ciclo de vida do sistema, desde a concepção, etapas de validação, ciclo de vida até a descontinuação?	[ ] Sim [ ] Não
Existe template das etapas de Qualificação de Instalação (IQ), Qualificação Operacional (OQ) e Qualificação de Desempenho (PQ) documentos para todos os sistemas?	[ ] Sim [ ] Não
O plano de revisões periódicas está implementado, garantindo a conformidade contínua dos sistemas e das planilhas com os requisitos regulatórios?	[ ] Sim [ ] Não
Os testes de validação foram documentados de acordo com o ciclo de vida do sistema?	[ ] Sim [ ] Não
A gestão de riscos foi aplicada ao longo do ciclo de vida do sistema, incluindo segurança do paciente e integridade dos dados?	[ ] Sim [ ] Não
As decisões sobre validação e integridade de dados foram baseadas em avaliações de risco documentadas?	[ ] Sim [ ] Não
A competência e confiabilidade dos fornecedores de sistemas foram verificadas por auditorias ou avaliações de risco? Existem contratos e SLAs estabelecidos com fornecedores e prestadores de serviços definindo claramente suas responsabilidades?	[ ] Sim [ ] Não
Existe um inventário atualizado de todos os sistemas relevantes, incluindo suas funcionalidades críticas, está disponível para inspeção quando solicitado?	[ ] Sim [ ] Não
Existe um plano de backup documentado e os backups são realizados periodicamente?	[ ] Sim [ ] Não
A integridade dos dados de backup e a capacidade de restauração foram verificadas e testadas regularmente?	[ ] Sim [ ] Não
As trilhas de auditoria estão implementadas e documentam alterações e exclusões relevante, são revisadas regularmente para assegurar sua integridade s?	[ ] Sim [ ] Não
O acesso aos sistemas computadorizados está restrito a pessoas autorizadas e protegido por autenticação segura?	[ ] Sim [ ] Não
Foram implementadas medidas como controle de senhas, biometria ou cartões de acesso para prevenir acessos não autorizados?	[ ] Sim [ ] Não
Existem planos de contingência documentados para garantir a continuidade das operações em caso de falha dos sistemas?	[ ] Sim [ ] Não
As medidas alternativas para a continuidade dos negócios foram testadas?	[ ] Sim [ ] Não
Existem políticas de monitoramento de ameaças, encriptação de dados e autenticação multifator implementadas?	[ ] Sim [ ] Não
Todas as planilhas eletrônicas utilizadas em processos críticos foram validadas?	[ ] Sim [ ] Não
As planilhas possuem controle de versão e proteção contra alterações não autorizadas?	[ ] Sim [ ] Não
Existe um Procedimento Operacional Padrão (POP) específico para uso, controle de planilhas eletrônicas, incluindo validação, controle de versão e rastreabilidade de alterações?	[ ] Sim [ ] Não
Todos os registros eletrônicos, híbridos e manuais são completos, consistentes e protegidos contra alterações não autorizadas e seguem princípios do ALCOA+?	[ ] Sim [ ] Não
Existe rastreabilidade total das alterações nos registros eletrônicos, híbridos e manuais?	[ ] Sim [ ] Não
Observações:

 A auditoria de sistemas computadorizados na indústria farmacêutica é um processo crítico para garantir a conformidade com normativas técnicas como o GAMP 5, 21 CFR Part 11, e diretrizes nacionais, como a IN 134 e o Guia 33 da ANVISA. Esses regulamentos estabelecem requisitos rigorosos de validação contínua, qualificação de infraestrutura e gestão de riscos, com o objetivo de assegurar a integridade dos dados, a segurança da informação e a rastreabilidade ao longo de todo o ciclo de vida do sistema. A aplicação de processos estruturados de validação, incluindo a qualificação da infraestrutura de TI e a implementação de trilhas de auditoria, permite o monitoramento eficaz de todas as alterações críticas no sistema, assegurando o cumprimento das Boas Práticas de Fabricação.  

A gestão eficiente de fornecedores e terceiros, respaldada por contratos bem definidos, garante que a competência técnica seja mantida em todas as fases de desenvolvimento e operação dos sistemas. Adicionalmente, a validação de planilhas eletrônicas utilizadas em processos críticos, junto com a existência de planos documentados de backup e recuperação de desastres, assegura a resiliência operacional e a continuidade dos negócios. As exigências de cibersegurança, conforme especificado nas normas e padrões internacionais como a ISO/IEC 27001, são essenciais para proteger os sistemas contra ameaças e acessos não autorizados. Isso inclui a implementação de controles de acesso, criptografia de dados e monitoramento contínuo.  

Por fim, uma abordagem sistemática que englobe a integridade dos dados, a segurança de acesso, a rastreabilidade das alterações e a conformidade com os requisitos regulatórios é fundamental para garantir a confiabilidade e conformidade dos sistemas computadorizados. Isso promove a integridade dos produtos e assegura a segurança dos pacientes no setor farmacêutico. 

 

REFERÊNCIAS 

• GAMP 5 (Good Automated Manufacturing Practice): A Risk-Based Approach to Compliant GxP Computerized Systems, que fornece diretrizes para a validação de sistemas computadorizados em ambientes regulados. 

• 21 CFR Part 11: Electronic Records; Electronic Signatures, que regula o uso de registros e assinaturas eletrônicas pela FDA para garantir a integridade, autenticidade e segurança dos dados. 

• IN 134 da ANVISA: Instrução Normativa Nº 134, que dispõe sobre as Boas Práticas de Fabricação complementares aos sistemas computadorizados utilizados na fabricação de medicamentos. 

• Guia 33 da ANVISA: Guia para Validação de Sistemas Computadorizados, que estabelece diretrizes para a validação e controle de sistemas computadorizados na indústria farmacêutica. 

• ISO/IEC 27001: Information Security Management Systems – Requirements, norma internacional que define os requisitos para um sistema de gestão da segurança da informação.