Si NO

1. Hay una separación clara de responsabilidades y cooperación entre todo el personal relevante tal como propietario del proceso de negocios, propietario del sistema, QP e IT? x

2. Hay un Análisis de riesgo documentado efectuado a lo largo del ciclo de vida del sistema computarizado, teniendo en cuenta la justificación para la validación, seguridad del paciente, integridad de datos y la calidad del producto? x

3. La documentación de validación incluye los registros de Controles de Cambios (si los hay) y los reportes sobre cualquier desvío observado durante el proceso de validación? x

4. Hay una URS para cada sistema, donde se describen las funciones esperadas por los usuarios y estas son trazables a lo largo del ciclo de vida de los documentos? x

6. En el caso que sean transferidos datos a otro formato de datos o sistema. La validación incluye la verificación que los datos no han sido alterados en valor y/o significado durante el proceso de migración? x
7. Interface con otro sistema validado? x
8. En el caso que sean ingresados datos de forma manual. Hay una verificación adicional efectuada por una segunda persona o medio electrónico validado para asegurar la exactitud de los mismos? La criticidad y las consecuencias potenciales de potenciales errores o datos
ingresados de forma incorrecta debería ser cubierta por la gestión de riesgo.

9. Cómo es la seguridad de los datos frente al daño (tanto física como electrónica)? Los datos almacenados deberían ser chequeados para su accesibilidad, lectura y exactitud. El acceso a los datos debe ser asegurado a lo largo del período de retención.

10. Es efectuado un back up de los datos de forma regular? La integridad y exactitud del back up de datos y la capacidad para recuperar datos debe ser verificada durante la validación y el monitoreo periódico. x
11. Es posible obtener copias impresas de datos almacenados electrónicamente de forma clara? x
12. Para registros que soportan la liberación del lote, es posible generar impresiones indicando si alguno de los datos ha sido cambiado desde la entrada original?
13. Hay un “Audit Trail” diseñado dentro del sistema el cual registra todo cambio GMP relevante y las eliminaciones?
14. Todos los cambios y eliminaciones de datos GMP relevantes son documentadas con una justificación?
15. Los audit trails están disponibles y convertibles a un formulario comprensible?
16. Los cambios a un SC son incluidos en un sistema de configuración hecho en una forma controlada de acuerdo a un procedimiento definido?

17. Todos los SC son periódicamente evaluados para confirmar que ellos se mantienen en un estado validado y están en cumplimiento de las GMP? Las evaluaciones deberían incluir, si es apropiado, el rango actual de funcionalidad, el registro de los desvíos, incidentes,
problemas, historial de las actualizaciones, performance, confiabilidad y reportes de estatus de validación.
18. Hay controles físicos y lógicos, “In Place” para restringir el acceso a los SC a las personas autorizadas? Por ejemplo, uso de claves, tarjetas, código personal con contraseñas, biométricas, para restringir el acceso a áreas del equipamiento computarizado y almacenamiento de
datos.
19. Los sistemas de gestión de datos y documentos están diseñados para registrar la identidad de los operadores que ingresan, cambian, confirman o borran datos incluyendo la fecha y la hora?

20. Cómo son reportados y evaluados los incidentes? La causa raíz del incidente debe ser identificada y debe ser la base de la acción correctiva (CAPA).
21. Ha sido efectuada la evaluación de la parte 11 para los sistemas relevantes?
22. Hay un procedimiento que confirma que la firma electrónica tiene el mismo impacto que las formas manuscritas dentro de los límites de la compañía?
23. Las firmas electrónicas permanecen relacionadas a sus respectivos registros electrónicos?
24. Cuando el sistema computarizado es usado para la certificación y liberación de lotes, el sistema permite solo personas calificadas para certificar la liberación de los lotes y claramente identificada y registra la persona que libera y certifica los lotes? Esto podría ser efectuado
utilizando una firma electrónica.
25. Los datos han sido chequeados para su accesibilidad, disponibilidad e integridad?

1. Desarrollo del Sistema

Proveedores

Verificar si hay un método para aceptar el producto, incluyendo los requerimientos técnicos y de calidad del producto.
Verificar como los requerimientos técnicos y de calidad son considerados por el proveedor y/o sub contratado. ¿Hay un proceso definido? ¿El mismo es cumplido?
En el caso de sub contratar actividades, verificar la experiencia y calificación del mismo (por ej. verificar entrenamientos o certificaciones).
Si la evaluación del proveedor involucró una auditoria, verificar el estatus de los hallazgos.
¿Dispone de un procedimiento para la evaluación de proveedores?, ¿dicho procedimiento es seguido?
Si el Sistema es provisto por un proveedor, verificar si el mismo ha sido evaluado. x
Requerimientos
Verificar que todos los requerimientos GMP del proceso, incluyendo la parte 11 (firmas y registros electrónicos) han sido incluidos. x
Verificar que los requerimientos son revisados y aprobados por los departamentos apropiados, incluyendo como mínimo responsable del proceso de negocios y al responsable de QA. x
Diseño y codificación
Verificar que existe un documento de diseño cubriendo todos los requerimientos del usuario y la trazabilidad entre los requerimientos y los elementos del diseño.
Verificar que la especificación de diseño es revisada y aprobada por los departamentos apropiados.
Confirmar que la especificación de diseño fue aprobada antes de que el codificado comience.
Confirmar que existe un estándar de codificado (por ej. Java, etc.). En caso de no haberlo, debe haber una justificación adecuada.
Verificar que la revision de código fue efectuada.
Determinar si todo el código es revisado o si es revisado una muestra, en éste ultimo caso, determinar como fue seleccionada la muestra.
Confirmar que los revisores de código son independientes y están adecuadamente calificados.
Confirmar que los defectos encontrados durante la revisión son corregidos y las acciones correctivas tomadas para evitar su re ocurrencia.
Testeo
Revisar la documentación de testeo asociada con el Sistema a auditar.

Verificar que existe una estrategia de testeo explicando los testeos efectuados en cada etapa de desarrollo (ej. Testeos de módulo, testeo de integración, testeos de interface) y testeos de aceptación.

Confirmar a través del proceso de testeo que los requerimientos funcionales críticos han sido testeados.

Verificar que los testeos cubren condiciones límites, fallas y estrés, así como pruebas diseñadas para confirmar que el sistema funciona como se espera. Además, que incluye el control de seguridad de accesos lógicos.

Verificar que los testeos sean efectuados por personal independiente y calificado (el desarrollador y el autor de los ensayos).
Confirmar que los scripts de testeo están escritos, y que los mismos contienen claramente los criterios de aceptación.
Verificar que los resultados de los ensayos han sido documentados y se dispone de la evidencia adecuada. Donde hay desvíos los mismos son documentados.
Verificar que el test que falló ha sido evaluado respecto de la criticidad del requerimiento funcional.
Verificar que cuando un test ha fallado la funcionalidad requerida no es crítica para el proceso ni para el cumplimiento GMP. Confirmar que existe una solución de procedimiento adecuada.

Si es utilizada una herramienta automatizada para los testeos, verificar que la misma ha sido calificada para asegurar que funciona correctamente, que hay procedimientos para su uso, que las firmas de las aprobación de los scripts de testeos son registradas y que los cambios a
la herramienta o scripts electrónicos son controlados y aprobados.

Entregables de Validación
Verificar que hay un conjunto de documentos de validación consistente con una clara relación de los mismos a los requerimientos.
Verificar que los entregables de validación son declarados en el plan de validación, han sido completados y están resumidos en el reporte de validación.
Verificar que las excepciones (si aplica) del reporte de validación han sido registradas como acciones para su seguimiento.
Liberación
Revisar como es liberado el Sistema para el uso.
Verificar los controles y chequeos utilizados para asegurar que todas las actividades fueron completadas.
Verificar que los roles y responsabilidades para la liberación están claras y se han cumplido.

Verificar que todos los entregables requeridos fueron parte del paquete de liberación, por ej. un código de construcción del Sistema, certificado de liberación, manuales de uso, material de entrenamiento.

2. Gestión del sistema

General

Establecer como es provisto el soporte al Sistema, confirmar que los roles y responsabilidades del hepdesk, de los administradores y soporte técnico están claramente definidas. Asegurar que el entrenamiento adecuado para cada rol fue suministrado.

Verificar que el Sistema tiene un propietario que lo maneja con suficiente autoridad y con un presupuesto para su mantenimiento.
Manejo de problemas
Confirmar que hay un procedimiento vigente para el reporte de problemas, con registro, investigación y resolución de los mismos.
Verificar que las acciones correctivas y preventivas son implementadas.
Verificar que hay una relación entre el reporte de incidentes y la gestión de cambios para el Sistema.
Gestión de cambio
Asegurar que los procedimientos para iniciar, autorizar y documentar los cambios del Sistema están vigentes.
Confirmar que los cambios son evaluados para asegurar que el impacto sobre las funcionalidades relacionadas es entendido.

Asegurar que la gestión de los cambios incluye la actualización de la documentación del Sistema, instrucciones de uso, entrenamiento, datos maestros como la funcionalidad técnica.

Asegurar que los testeos hechos como soporte de los cambios del Sistema confirman que las funciones relacionadas no son adversamente afectadas y además aseguran que los cambios requeridos son alcanzados.

Accesos y seguridad
Revisar que las medidas de seguridad físicas están definidas para el Sistema y están en uso efectivo. Verificar como son controlados los accesos físicos al hardware.

Revisar que las medidas de seguridad del software están definidas para el Sistema. Verificar como son controlados los accesos a las funcionalidades críticas son restringidas a los usuarios apropiados. Verificar que donde la capacidad de enmendar datos maestros ha sido restringida.

Verificar la existencia de un procedimiento para otorgar y remover los accesos al Sistema de los usuarios. Verificar que los accesos son revisados periódicamente para asegurar que solo tengan acceso al Sistema los usuarios requeridos.

Asegurar que los ambientes de desarrollo, de testeo y productivo son rutinariamente revisados en búsqueda de virus.

Determinar si los elementos del Sistema tales como Sistema operativo, base de datos y aplicaciones del software son mantenidos con los últimos parches de seguridad disponibles.

Datos maestros
Asegurar que existe un proceso para el mantenimiento de los datos maestros requeridos por el Sistema.
Confirmar que los roles y responsabilidades están claras respecto a la gestión y aprobación de datos maestros.
Verificar si los datos maestros son chequeados periódicamente para verificar su exactitud.
Planeamiento de Business Continuity /Disaster Recovery (incluyendo back up y recuperación)
Verificar que el Sistema tiene un plan de continuidad del negocio (BC), y que el mismo tiene en cuenta la criticidad del sistema.
Verificar que el Sistema tiene un plan de disaster recovery (DR), y que el mismo tiene en cuenta la criticidad del sistema.

Verificar que existe un régimen de back up y recuperación para el Sistema y que el mismo está documentado, mantenido y testeado. Verificar si el mismo tiene en cuenta la criticidad del Sistema.

3. Revisión periódica

Verificar que el Sistema es sujeto a revisiones periódicas para determinar que actividades tienen que ser efectuadas para mantener el estado validado.
Confirmar que los resultados de la revisión son registrados y cualquier acción es seguida hasta que se complete.
Check List de evaluación del cumplimiento de CSV & 21CFRParte11
1. Información general
Comentario: este Check List tiene por objetivo evaluar el status del
Laboratorio en los temas relacionados ala Validaciónde Sistemas
Computarizados (CSV) y firmas y registros electrónicos (21CFRParte11).
1.1 Nombre del evaluador _________________________
____________
1.2 Cargo / Área (QA, IT, etc.) _________________________
____________
1.3 Fecha de completado el check
_______ / _______/ _______
list
1.4 Nombre del Laboratorio _________________________
____________
1.5 El Laboratorio produce (o
producirá dentro de los
próximos 12 meses) activos o
productos para el Mercado de  SI             NO
USA o proveerá información
parala FDA?
1.6 El Laboratorio participa (o  SI             NO
participará en los próximos 12
meses) en el desarrollo
(incluyendo lotes para ensayos
clínicos) de activos o productos
para el mercado de USA?

1.7 El Laboratorio maneja datos  SI             NO

(por ej. devoluciones de
eventos adversos) de activos o
productos, los cuales son
comercializados en el Mercado
de USA y podrían ser revisados
por los USA?
1.8 Cuál es el nombre del
_________________________
responsable de CSV del
____________
Laboratorio?

Comentarios referidos al ítem 1 “Información general”:

2. Información sobre CSV y 21CFR11

2.1 Plan Maestro de Validación (PMV) de CSV
2.1.1 Tiene un Plan  SI             NO
Maestro de
Validación de
Sistemas
Computarizados?
2.1.2 Está aprobado?  SI             NO
2.1.3 Quienes son los Nombre                     Cargo / Posición
aprobadores del
PMV? ______________      
________________

______________      
________________

______________
      ________________

______________      
________________
2.1.4 Cuando fue la última
revisión /
_______ / _______/ _______
actualización del
PMV?
2.2 Inventario de Sistemas Computarizados
Comentario: Un Inventario de todos los sistemas
computarizados en las áreas GxP debe ser
confeccionado y mantenido por el responsable del
PMV de acuerdo a los lineamientos dela Políticade
Validación de Sistemas Computarizados. El mismo
debe ser actualizado regularmente y auditado
anualmente. Incluye el estatus de los análisis de
riesgo GxP y el estatus de la validación de los
mismos, así como la ejecución de los análisis de
riesgo del 21CFRParte11 y su cumplimiento.
2.2.1 Tiene un Inventario  SI            NO
de Sistemas
Computarizados?
2.2.2 Utiliza un modelo o  SI            NO _____________
template para su _______________________
inventario?Detallar
que tipo de base
utiliza para
mantener el
inventario (por ej.
access, excel, etc.).
2.2.3 Todos los Sistemas  SI           
computarizados NO ______________________
están listados en el ______________
inventario de
sistemas?Si, NO,
explique el racional
del mismo.
2.2.4 Cuando fue la última
revisión /
actualización del _______ / _______/ _______
inventario de
sistemas?
2.3 Roles y Responsabilidades
2.3.1 Los roles y   SI             NO
responsabilidades de
CSV están definidas
y actualizadas?
2.3.2 Los roles y  SI, en el PMV
responsabilidades
están incluidas o SI, en un anexo del PMV
mencionadas en el
PMV?
NO
2.4
Capacitación en CSV y 21CFR11

2.4.1 Algún miembro del   SI             NO

Laboratorio ha
recibido
entrenamiento en
temas relacionados
a CSV y 21CFR11?
2.4.2 En caso afirmativo
en la pregunta
_________________________
anterior, indique,
____________
quién, cuándo y el
curso al cual asistió.
2.4.3 Ha efectuado   SI             NO
capacitaciones sobre
CSV y 21CFR11 en
su Laboratorio?

2.4.4 Cuántas sesiones de

_________________________
capacitación fueron
____________
efectuadas?
2.4.5 Cuándo fueron
_______ / _______/ _______
efectuadas las
capacitaciones?

_______ / _______/ _______

_______ / _______/ _______

Comentarios sobre el ítem 2 “Información sobre CSV y 21CFR11”

3. Información sobre CSV
3.1
Análisis de riesgo GxP

Comentario: Un análisis de riesgo GxP evalúa

cuando un sistema tiene o no impacto sobre las GxP
y por ende necesita o no ser validado.
3.1.1 Tiene un análisis de riesgo GxP de todos  SI        
los sistemas computarizados disponibles?           
Si, “NO”, por favor explique, cuales son NO_____
los sistemas evaluados desde el punto de ________
vista GxP ________
________
_
3.1.2 Tiene un template (modelo) para efectuar  SI          
el análisis de riesgo?    NO
3.1.3 Qué porcentaje de los sistemas
disponibles tiene efectuado el análisis de ________
riesgo GxP? ________
________
________
____

Comentarios del ítem 3 “Información sobre CSV”

4. Información sobre 21CFR11

4.1
Análisis de riesgo 21CFR11

4.1.1 Cuántos análisis de

riesgo 21CFRparte11
_________________________
ha efectuado el
___________
Laboratorio?

4.1.2 Tiene un template  SI             NO

(modelo) para
efectuar el análisis
de riesgo?
4.1.3 Qué porcentaje de
los sistemas
disponibles tiene _________________________
efectuado el análisis _________
de riesgo
21CFRParte11?
4.2
Plan de remediación del 21CFR11

4.2.1 Elaboró un Plan de  SI             NO

remediación para el
21CFR11?
4.2.2 Qué porcentaje de
los sistemas críticos
_________________________
21CFR11 están
_________
cubiertos en el Plan
de remediación?
4.3
Remediación 21CFR11 de sistemas existentes

4.3.1 Para cuántos Sistemas es

________________
necesaria una remediación
________________
21CFR11 (de acuerdo al Plan
__
de remediación)?
4.3.2 Cuántas remediaciones fueron ________________
efectuadas? ________________
__
4.3.3 Qué porcentaje de los sistemas
________________
críticos 21CFR11 fueron
________________
remediados de acuerdo al Plan
__
de remediación?
Comentarios del ítem 4 “Información sobre 21CFR11”

5. Informes
5.1 Qué porcentaje de ____________________ %
los sistemas críticos
GxP están
validados?
5.2 Qué porcentaje de ____________________ %
los sistemas críticos
GxP cumplen con el
21CFR11?
5.3 Alcanzó los  SI             NO
deadlines de su Plan
de remediación? Si,
NO, qué porcentaje
está vencido? SI NO,  % Vencido
________________

Comentarios del ítem 5 “Informes”

6. Feedback y Requerimientos
6.1 Ud.   SI            NO
Piensa
que
dispone
de los
modelos
adecuado
s, asi
como los
procedimi
entos
necesario
s para el
cumplimie
nto de las
políticas
de
Validación
de
sistemas
computari
zados?

6.2 Necesita  SI             NO

informaci
ón o SOPs
adicionale
s?

6.3 Cuáles
son los
requerimi
entos
específico
s en _________________________________
cuanto a _
entrenami
ento en
CSV y
21CFR11?
6.4 Necesita  SI           
algún tipo   NO _____________________________
de _______
soporte
adicional
respecto
de
CSV&21C
FR11?En
caso SI,
especifica
r cual.

Por favor indique a continuación cualquier otra recomendación / inquietud

que Ud. pueda tener.