As inspeções da ANVISA em sistemas computadorizados seguem um roteiro bem definido, baseado na RDC 658/22, na IN 134/22 e nos princípios do GAMP 5. Conhecer o que os auditores verificam é fundamental para preparar a empresa com antecedência — e evitar apontamentos que podem resultar em notificações, interdições ou exigências de adequação imediata.
Os principais pontos verificados pela ANVISA
1. Existência de documentação de validação
O primeiro passo de qualquer inspeção é verificar se o sistema foi formalmente validado. Os auditores solicitam: Especificação de Requisitos do Usuário (ERU), análise de risco, protocolos de QI, QO e QD aprovados, relatório de validação com conclusão formal e aprovação da gerência de qualidade. A ausência de qualquer desses documentos é um apontamento imediato.
2. Trilha de auditoria (Audit Trail)
A trilha de auditoria é o item mais verificado em inspeções de sistemas computadorizados. Os auditores testam diretamente no sistema se: cada alteração de dado é registrada automaticamente, o registro identifica quem fez a alteração (usuário individual, não genérico), a data e hora do evento são registradas de forma contemporânea, o motivo da alteração é registrado quando aplicável e os registros originais são preservados (não sobrescritos ou deletados).
Sistemas sem trilha de auditoria ativa, com trilha desativada ou que permitem edição retroativa de registros são reprovados diretamente.
3. Controle de acesso e gestão de usuários
Os auditores verificam: cada usuário tem login individual (sem logins compartilhados), as permissões são compatíveis com as funções de cada usuário, há política de senhas com complexidade mínima e prazo de expiração, usuários desligados têm acesso revogado imediatamente e o sistema bloqueia a conta após tentativas repetidas de acesso inválido.
4. Integridade de dados — princípios ALCOA+
A integridade de dados é o item mais autuado em inspeções da ANVISA nos últimos anos. Os auditores verificam, em funções críticas do sistema, se os dados são Atribuíveis (a um usuário identificado), Legíveis (durante todo o período de retenção), Contemporâneos (registrados no momento em que ocorrem), Originais (preservados sem sobrescrita) e Acurados (refletem o que realmente aconteceu). Verificam também os atributos adicionais do ALCOA+: Completo, Consistente, Duradouro e Disponível.
5. Backup e recuperação de dados
Os auditores solicitam evidências de que: há procedimento documentado de backup, os backups são realizados com a frequência definida, a restauração dos backups é testada periodicamente e os registros de backup e restauração estão arquivados. Backups não testados ou não documentados são apontamentos frequentes.
6. Controle de mudanças
Toda alteração no sistema — atualização de versão, mudança de configuração, novo módulo — deve ter passado por processo formal de controle de mudanças, com avaliação de impacto documentada e, quando necessário, revalidação parcial ou total. Os auditores verificam se há registros de controle de mudanças para todas as alterações ocorridas desde a última validação.
7. Treinamento dos usuários
Registros de treinamento dos usuários nos procedimentos do sistema devem estar disponíveis — especialmente para usuários com acesso a funções críticas. A ausência de registros de treinamento é um apontamento recorrente.
O que acontece quando a ANVISA encontra não conformidades?
Dependendo da gravidade das não conformidades encontradas, as consequências podem incluir: emissão de relatório de inspeção com apontamentos para resposta e CAPA, notificação para adequação em prazo determinado, suspensão do certificado de Boas Práticas (para fabricantes), interdição do sistema ou da operação até regularização e, em casos graves, publicação do relatório de inspeção desfavorável no portal da ANVISA.
Como se preparar para uma inspeção da ANVISA
A melhor preparação para uma inspeção é manter o programa de validação atualizado de forma contínua — não esperar a inspeção chegar. Isso inclui manter a documentação de validação disponível e atualizada, revisar periodicamente o estado validado dos sistemas, garantir que o controle de mudanças está sendo aplicado sistematicamente e treinar a equipe para saber o que apresentar e como responder às perguntas dos auditores.
A One Consultoria Regulatória oferece suporte para preparação de empresas para inspeções da ANVISA, incluindo auditoria interna de sistemas computadorizados, identificação de lacunas regulatórias e elaboração de planos de ação. Entre em contato para saber como podemos ajudar sua empresa.