A validação de sistemas computadorizados é um dos pontos mais verificados nas auditorias MDSAP — e também um dos que mais gera não conformidades em empresas do setor de dispositivos médicos. O Processo 4 do MDSAP (Produção e Controles de Processo) cobre explicitamente a validação de sistemas informatizados, alinhado ao Art. 104 da RDC 665/22, que determina que sistemas informatizados automatizados e softwares que possam afetar adversamente a qualidade do produto ou o SGQ devem ser validados.
O que os auditores MDSAP verificam em sistemas computadorizados?
Durante uma auditoria MDSAP, os auditores verificam especificamente:
- Inventário de sistemas: a empresa possui lista atualizada de todos os sistemas computadorizados com impacto regulatório e sua classificação?
- Documentação de validação: para cada sistema crítico, existem ERU aprovada, análise de risco, protocolos de QI/QO/QD executados e relatório de validação com aprovação formal?
- Trilha de auditoria: os sistemas registram automaticamente todas as alterações de dados, com identificação do usuário, data, hora e motivo?
- Controle de acesso: os usuários têm permissões individuais e compatíveis com suas funções? Não há logins compartilhados?
- Backup e recuperação: há procedimento documentado de backup e a restauração é testada periodicamente?
- Controle de mudanças: alterações em sistemas validados passam por avaliação de impacto formal, conforme Art. 106 da RDC 665/22?
- Revalidação: há procedimento para verificação periódica e revalidação quando aplicável (Art. 105)?
Quais sistemas são mais auditados?
Na prática, os sistemas mais frequentemente verificados nas auditorias MDSAP de fabricantes de dispositivos médicos são: QMS (gestão documental, não conformidades, CAPA, treinamentos), ERP (rastreabilidade de lotes, gestão de materiais, ordens de produção), LIMS (resultados analíticos, liberação de lotes), MES (registros de fabricação em tempo real) e sistemas de monitoramento ambiental.
Não conformidades mais comuns em sistemas
- Sistema em uso sem documentação de validação formal (ausência de ERU, análise de risco ou relatório de validação)
- Trilha de auditoria desativada ou configurada de forma inadequada
- Logins compartilhados entre múltiplos usuários
- Atualizações de versão implementadas sem controle de mudanças documentado
- Backup não testado ou sem procedimento formal
- Planilhas GxP em uso sem validação conforme o Guia 33/2020 da ANVISA
Como se preparar para a auditoria MDSAP em sistemas
A preparação começa com um inventário completo dos sistemas com impacto regulatório, seguido de verificação da documentação de validação existente. Para sistemas sem documentação ou com documentação incompleta, é necessário iniciar o processo de validação ou complementação antes da auditoria. Para sistemas já validados, verificar se o controle de mudanças está sendo aplicado e se a revalidação periódica está em dia.
Como a One Consultoria pode ajudar
A One Consultoria Regulatória é especializada em validação de sistemas computadorizados para dispositivos médicos conforme a RDC 665/22 e os requisitos MDSAP. Realizamos inventário de sistemas, análise de risco, elaboração de toda a documentação de validação e apoio na execução dos testes. Entre em contato para uma avaliação inicial gratuita.
