Evaluación de Suministradores de Sistemas y Servicios IT

Resumen

La cualificación/homologación de suministradores de sistemas y servicios IT debe responder a un planteamiento estratégico de la compañía farmacéutica en cuanto a la definición de los estándares que deben ser cubiertos por dichos proveedores. Se deberá tener en cuenta  si el proveedor nos ofrece un proyecto puntual, asistencia ‘virtual’, en ‘cloud’… Asímismo, el impacto GxP de los servicios ofrecidos serán un elemento determinante en el momento de decidir qué tipos de evaluación realizar.

 

Contenido

La evaluación de la capacidad de los suministradores de sistemas informáticos y servicios IT para satisfacer los requisitos definidos por la industria farmacéutica es una necesidad incluida en el Anexo 11 de la EU GMP. Las guías de Data Integrity de la ISPE, o la reciente de la MHRA hacen énfasis, y en ellas nos indican los principios básicos que debemos abordar en nuestra relación con los proveedores de sistemas y servicios GXP.

Y la pregunta que debemos responder es ¿por qué los evaluamos? La respuesta es sencilla: porque confiamos en ellos la generación y custodia de datos y procesos críticos de nuestra organización.

Si nos centramos en la última guía de la MHRA de Data Integrity recuerda la importancia de que en los contratos con los suministradores se definan las siguientes responsabilidades, haciendo énfasis en los proveedores de servicios en ‘cloud’:

  • ¿Dónde residen físicamente mis datos?
  • Accesibilidad inmediata a los datos por parte del propietario de los datos y las agencias reguladoras
  • Definición clara de los métodos de archivo y restauración de los sistemas
  • Validación de los servicios/productos ofrecidos
  • Cómo se gestionan los cambios en los sistemas

 

En el momento que afrontamos un proceso de evaluación de suministradores de sistemas y servicios informatizados, se deben abordar los siguientes aspectos :

  • ¿Qué proveedores debemos evaluar? ¿Todos, o solo aquellos que nos ofrecen servicios críticos?
  • ¿Qué aspectos debo contemplar durante la evaluación?
  • ¿Qué beneficio nos aportará que el proveedor esté cualificado? ¿Nos ahorrará trabajo?
  • ¿Qué acciones debo realizar, en base a los resultados de la evaluación?
  • ¿Cada cuánto tiempo debo re-evaluar el proveedor?
  • ¿Puedo considerar las categorías GAMP del tipo de sistema para definir qué evaluación realizamos?
  • ¿Qué importancia tienen los controles frente ciberataques?

 

Finalmente, la manera de realizar formalmente la evaluación puede tomar diferentes formas, o combinación de ellas:

  • Evaluación a partir de la información del proveedor conocida por webs, reconocimiento amplio…
  • Evaluación mediante un ‘checklist’ que completa el suministrador con datos de su organización, servicio ofrecido, sistema de calidad aplicado…
  • Auditoría in situ, bien individual o compartida.

 

Suministradores

 

Evidentemente, la estrategia de evaluación de proveedores de servicios y sistemas informáticos se debe definir a nivel de compañía, y dimensionarla en base a los riesgos, recursos y, muy importante, es necesario establecer los criterios de priorización para abordar con éxito este proceso.

En CSV Experts estamos participando de forma activa en la definición de estrategias de evaluación de suministradores, estableciendo los criterios y la metodología necesaria para tener este aspecto GXP bajo control. Para conocer cómo desarrollamos estas estrategias, os invitamos a participar en los cursos de formación que realizamos a tal fin: www.csvexperts.com.