GESTIÓN DE CAMBIOS DE SISTEMAS INFORMÁTICOS EN ENTORNOS REGULADOS

Los sistemas informáticos implementados para automatizar los procesos en la industria regulada (industria farmacéutica, biotecnológica, producto sanitario…) sufren constantemente cambios a lo largo de su ciclo de vida, ya sea en la fase de implementación como de uso en un entorno de producción. Un buen sistema de Gestión de Cambios, integrado en el Sistema de Gestión de la Calidad de la compañía tal como está descrito en el Anexo 11 de las GMP (sección 10), es necesario para garantizar que dichos cambios se introducen de manera controlada, coordinada y documentada.

Cambios tales como:

Motivos que pueden llevar a un cambio

Figura 1. Motivos que pueden a un cambio.

son ejemplos típicos que pueden darse durante las diferentes fases del ciclo de vida del sistema. En función de la fase donde tengan lugar pueden tener mayor o menor impacto en el estado de la validación de este.

¿Qué implica no disponer de un sistema de Control de cambios?

El adecuado control de los cambios dentro de una compañía a menudo es una tarea dura e ineficaz por no disponer de un buen sistema de gestión, conllevando a altas cargas de trabajo, elaboración de mucha documentación, o documentación incompleta debido a una falta de comunicación o comunicación inadecuada. Pueden implicar un proceso de formación de los usuarios antes o después de su implementación.

Paralelamente, en muchos casos los cambios pueden ser urgentes, lo que añade un punto de complejidad adicional a una gestión de los mismos.

Una de las consecuencias directas de un mal sistema de gestión es que muchos de los cambios realizados no llegan a ser gestionados o no se gestionan adecuadamente llegando incluso a perder el control del estado del sistema; este hecho puede derivar en muchas ocasiones a la apertura de desviaciones por parte de auditorías, e incluso warning letters por parte de los inspectores de la FDA o EMA.

Definición, identificación y clasificación de los cambios

Los primeros aspectos a considerar son:

  • Definir qué se entiende por cambio: Existen muchas interpretaciones del concepto, por lo que la organización debe definir en su glosario qué entiende por cambio. Esta definición debe ser sencilla y sin ambigüedades: un cambio en un sistema informático es toda modificación de un elemento que está bajo control, tales como funcionalidades, configuración, procedimientos, usuarios… Evidentemente, diferentes tipos de cambios pueden tener distintos tratamientos.
  • Fase del ciclo de vida donde se detecta: el impacto de un cambio sobre el sistema no será el mismo si este se encuentra en fase de desarrollo o por el contrario ya está soportando datos críticos de la compañía. En ocasiones solo será necesario trazar el cambio mientras que, en otras, la ejecución y documentación de pruebas tras su implementación, serán indispensables para garantizar la fiabilidad de las pruebas realizadas hasta el momento o incluso para garantizar el estado de la validación si el sistema ya ha sido liberado.
  • Clasificación de los cambios: es fundamental tener una clasificación básica de los tipos de cambios. Dependiendo de ella se activarán unos mecanismos de tratamiento determinados, niveles de autorización, nivel de testeo, validación y documentación necesaria para justificar los cambios.

Clasificación básica de los cambios

Figura 2. Clasificación básica de los cambios.

En este modelo, se clasifican los cambios como menores o mayores en función del esfuerzo necesario para implementarlos y retornar el sistema a un estado validado (o controlado). Habitualmente, se lleva a cabo esta clasificación en base al número de horas o el coste.

Los cambios urgentes se caracterizan por la necesidad imperiosa de aplicarlos para continuar con la actividad, y serán documentados retrospectivamente, ya que su periodo de advertencia es corto o nulo y la implementación de la solución suele ser inmediata. Se recomienda no abusar de este tipo de clasificación.

¿Cómo llevar a cabo una buena gestión de los cambios?

Para que el proceso resulte exitoso deben tenerse en cuenta los siguientes aspectos:

  • Intervención de la Unidad de Calidad en los cambios que tienen impacto regulatorio (GxP), de modo que asegure que los requisitos regulatorios no se ven afectados por el cambio y, si es así, quedan adecuadamente evaluados y documentados.
  • Disponer de un procedimiento que describa el proceso y las responsabilidades sobre el cambio con el fin de garantizar que todas las etapas para su correcta gestión se han llevado a cabo: identificación, evaluación, aprobación, implementación, validación, aceptación y cierre del cambio. La guía GAMP Good Practice Guide: A Risk-Based Approach to Operation of GxP Computerized Systems contiene información detallada de cada una de las etapas del proceso.
  • Creación del Change Advisory Board (CAB), que se reunirá periódicamente (y frecuentemente) para valorar los cambios sobre sistemas en producción, con la participación de personal representativo como Process Owner, System Owner y la Unidad de Calidad. En este comité se priorizarán los cambios, se analizará su impacto y las acciones a realizar. Para la correcta gestión del CAB, nace la figura del Change Manager, que puede tener un papel meramente de gestión, pero centralizando todos los cambios que se realizan en el área.
Utilización de herramientas informáticas para la Gestión de los Cambios

La gestión en papel de los cambios suele ser una tarea onerosa. Y como todo proceso que depende de revisiones, autorizaciones, etc… requiere que alguien efectúe un seguimiento continuo.

Por esta razón, las organizaciones que tienen un sistema de gestión de cambios maduro, acostumbran a implementar sistemas informatizados para llevar a cabo todas las operaciones, con el fin de garantizar la correcta gestión y trazabilidad de todos los cambios que se realizan.

Estas herramientas también permiten una correcta documentación de los cambios, ya que a través de ellas se puede ofrecer los formularios a completar, instrucciones, etc.

La revisión periódica de los sistemas informatizados

Si bien es necesario tener un control sobre el estado de los cambios, la revisión periódica (Periodic Review) es la herramienta adecuada para comprobar el estado de los mismos, y así poder tener una visión global de su afectación en el estado de la validación del sistema informatizado.

Para más información consulte nuestro blog sobre Revisión Periódica de Sistemas Informatizados.

Conclusiones
  • Se debe disponer de mecanismos para registrar TODOS los cambios que ocurren sobre todos los componentes de los sistemas informatizados.
  • La gestión de los cambios requiere la definición clara de un proceso común a todas las modificaciones, si bien se pueden aplicar diferentes procedimientos atendiendo a los distintos tipos de cambios.
  • Todos los cambios deben estar adecuadamente registrados y documentados.
  • Las responsabilidades y circuitos de autorización, aprobación… se definirán en procedimientos corporativos.
  • El CAB es un mecanismo muy útil para la valoración de los cambios, priorización de los mismos, etc.
  • La Unidad de Calidad jugará un papel clave en la evaluación de los cambios, y determinarán las acciones específicas de aquellos cambios que afectan a las GxP.