La nuova edizione della linea guida ISPE GAMP 5

A Luglio 2022 è stata pubblicata la seconda edizione della linea guida ISPE GAMP 5 A Risk-Based Approach to Compliant GxP Computerized Systems che, pur mantenendo i principi e il quadro di riferimento della prima edizione, è stata aggiornata per recepire alcune novità tra cui:

  • Accresciuta importanza dei fornitori di servizi
  • Evoluzione degli approcci di software development (es. Agile)
  • Uso esteso di strumenti software e tool
  • Importanza del critical thinking
  • Recepimento delle indicazioni della data integrity

Argomenti nuovi e in evoluzione nel settore life science – tra cui blockchain, intelligenza artificiale (AI/ML), cloud computing, software open source (OSS) – sono stati inclusi nelle Appendix della guida, aggiornate come evidenziato in questo elenco:

  • Appendix M11 – IT Infrastructure NEW
  • Appendix M12 – Critical Thinking NEW
  • Appendix D1 – Specifying Requirements UPDATED
  • Appendix D2 – RETIRED
  • Appendix D8 – Agile Software Development NEW
  • Appendix D9 – Software Tools NEW
  • Appendix D10 – Distributed Ledger Systems (Blockchain) NEW
  • Appendix D11 – Artificial Intelligence and Machine Learning (AI/ML) NEW
  • Appendix O7 – RETIRED
  • Appendix S2 – Electronic Production Records UPDATED
  • Appendix S5 – RETIRED

CRITICAL THINKING

La nuova linea guida ISPE GAMP 5 promuove il critical thinking, cioè un processo decisionale informato utile a definire qual è l’approccio più appropriato per circostanze specifiche.

Il “pensiero critico” permette di comprendere e valutare dove il processo aziendale e il flusso dei dati può potenzialmente influire sulla sicurezza del paziente, sulla qualità del prodotto e sull’integrità dei dati, sia introducendo nuovi fattori di rischio sia mitigando rischi già presenti.

Il critical thinking funge quindi da supporto nelle decisioni di Qualità e conformità per i sistemi informatici. Ad esempio, l’applicazione del critical thinking permette di valutare l’estensione e la profondità dei test e della documentazione a supporto, ma anche la definizione delle attività della fase di mantenimento come la frequenza della periodic review.

AGILE

Un’altra novità delle GAMP 5 è la metodologia Agile per lo sviluppo del software, caratterizzata da un approccio iterativo e incrementale. Proprio per questo motivo il ciclo di vita dei software, e in particolare la fase di Project, possono essere rappresentati sia dal tradizionale modello a V (lineare) sia con l’andamento circolare tipico dei software sviluppati in Agile.

Un’altra conseguenza è l’utilizzo di tool a supporto di ogni fase del ciclo di vita del software, tool nei quali le informazioni e le evidenze sono mantenute in forma di record piuttosto che in forma di documenti cartacei.

Questi tool, inoltre, non richiedono convalida, ma un assessment per adeguatezza, oltre che l’utilizzo da parte di personale istruito e qualificato anche su tematiche GxP, la tenuta sotto controllo e la supervisione da parte dell’Assicurazione Qualità.

FORNITORI DI SERVIZI

L’aggiornamento delle GAMP 5 dà maggiore importanza al ruolo dei fornitori di servizi, in particolare in caso di sistemi cloud. Questo si rispecchia nell’importanza data agli audit e ai contratti stipulati tra fornitori e azienda regolata come strumenti di selezione e controllo dei fornitori e di riduzione dei rischi, sia durante la convalida iniziale che poi nella definizione dei processi della fase di mantenimento. É infatti necessario ricordare che la responsabilità ultima della conformità rimane dell’azienda regolata, anche quando una o più delle attività del ciclo di vita vengono delegate a un provider esterno.

Parlando di fornitori è stato sottolineato, inoltre, come questi non siano direttamente soggetti alle GXP e come sia necessario fare ricorso ad altri standard, ad esempio le ITIL, a complemento delle linee guida GAMP 5.

CATEGORIE DEL SOFTWARE

Le categorie del software non sono più da considerarsi come divisioni nette, ma come un continuum: infatti i software possono essere composti da elementi di categorie differenti. Per questo nella nuova edizione delle GAMP 5 si parla di componenti piuttosto che di prodotti.

La categoria di appartenenza del software non è poi l’unico fattore di definizione dello sforzo di test o del formalismo della documentazione, ma vanno prese in considerazione l’analisi dei rischi, la valutazione del fornitore, la novelty e la complessità del sistema, nonché il già citato critical thinking. La categoria rappresenta anche un criterio per la valutazione dei fornitori.

Un’altra importante novità è data dall’estensione della categoria 1, ora meglio dettagliata in Sistemi Operativi, software tool non GxP critici (es. tool IT) e software tool GxP critici (cioè che impattano direttamente un processo GxP o dati GxP critici).

LA CONVALIDA DEI SISTEMI COMPUTERIZZATI

Per quanto riguarda la convalida iniziale dei sistemi, le novità principali risiedono nella definizione dei requisiti e nella attività di testing.

SPECIFYING REQUIREMENTS (Appendice D1)

Una delle più grandi novità della nuova linea guida ISPE GAMP 5 è l’accorpamento di User Requirements e Functional Specification negli Specifying Requirements. Questi ultimi:

  • sono responsabilità dell’azienda regolata, ma possono essere raccolti da una terza parte (es. il Product Owner di un progetto Agile);
  • definiscono l’intended use e le funzioni attese del software nel suo contesto operativo;
  • possono essere in forma di documento o di record/informazioni in un tool.

L’Appendice D1 parla di Specifying Requirements prendendo in considerazione sistemi di categoria 4 o 5, mentre per sistemi a basso rischio e/o complessità (es. categoria 3) può essere applicato il critical thinking per determinare l’approccio più appropriato per definire i requisiti.

TESTING (Appendice D5)

Lo scopo principale dei test è identificare i difetti, ridurre il rischio di failure, dimostrare che il sistema soddisfi l’uso atteso e i requisiti regolatori, e assicurare che le misure di riduzione del rischio siano efficaci. Cambia quindi il focus delle attività di test con una conseguente disincentivazione alla produzione eccessiva di evidenze documentali.

Le GAMP 5 introducono inoltre il concetto di unscripted test, che si differenziano dagli scripted test per il fatto che non necessitano di azioni di test step-by-step, ma si basano sull’intuizione e l’esperienza dei tester per individuare i difetti del sistema ed esplorano le sue funzionalità al di là delle specifiche e dei manuali – per questo motivo sono dinamici e scarsamente riproducibili. Unscripted test non significa però “non documentato”, infatti è comunque necessario indicare cosa è stato testato, da chi, quando, con quali obiettivi e che risultati ha prodotto.

Tra gli uscripted test troviamo:

  • Test ad-hoc
  • Error guessing
  • Exploratory
  • Day in the life

Anche nel caso di testing, è incentivato l’uso di tool automatici al posto dei test «classici» se le informazioni fornite sono complete, accurate, disponibili e adeguate.

MANTENIMENTO DELLO STATO DI CONVALIDA DEI SISTEMI COMPUTERIZZATI

Per quanto riguarda la fase di mantenimento, le principali novità riguardano – oltre ai già citati tool e all’utilizzo del critical thinking – una migliore descrizione dei processi e la creazione di link tra questi, nonché riferimenti allo stato dell’arte tecnologico (ad esempio, per le soluzioni di backup e di archiviazione) e considerazioni sui servizi erogati da provider esterni.

BACKUP E RESTORE (Appendice 09) e BUSINESS CONTINUITY MANAGEMENT (Appendice O10)

Nella nuova versione delle GAMP 5 questi due processi, pur rimanendo descritti in appendici diverse, presentano una trattazione parallela a partire dall’analisi dei rischi e dalla definizione di RTO (Recovery Time Objective) e RPO (Recovery Point Objective).

Interessanti sono, inoltre, l’introduzione dei test di integrità delle copie di backup e l’estensione di BCP (Business Continuity Plan) e DR (Disaster Recovery) alla perdita di infrastruttura IT, service provider, accesso ai locali, connettività, attacchi di cybersecurity, pandemia, in aggiunta alla perdita dell’applicativo software.


COSA POSSIAMO FARE PER VOI

Adeodata può darti una mano con attività di consulenza e di supporto a tutte le attività del ciclo di vita dei software (convalida iniziale, attività di mantenimento, redazione di SOP, dismissione dei sistemi,…) .

Se ti interessa approfondire le nuove GAMP 5, l’8 Novembre è in programma il seminario Convalida dei sistemi informatizzati e conformità all’Annex 11 e 21 CFR Parte 11.
Inoltre, è possibile richiedere un corso di approfondimento sulle novità della nuova edizione delle GAMP5 o, più in generale, sulla convalida dei sistemi computerizzati nella modalità di corso in house.

Articolo a cura di:
Alice Germani, Marketing Specialist di Adeodata
Laura Monti, GxP Compliance Expert di Adeodata

BREAKING NEWS: pubblicata la 2a edizione delle GAMP5

Background

Le GAMP®5, ora integrate da numerose Good Practice Guides, rappresentano uno standard accettato a livello mondiale per la convalida dei sistemi computerizzati. La versione 5 è disponibile in diverse lingue già dal 2008.
Tuttavia il progresso degli ambienti IT negli ultimi anni ha reso necessaria la revisione e l’estensione della guida, nonostante la struttura di base ben si adatti all’attuale panorama IT e alla convalida dei sistemi computerizzati.

Quali sono le novità della nuova edizione delle GAMP®5?

  • La struttura, suddivisa in 8 parti, è rimasta invariata:
    • 1-Introduzione
    • 2-Concetti chiave
    • 3-Life Cycle Approach
    • 4-Life Cycle Phases
    • 5-Quality Risk Management
    • 6-Attività delle aziende regolate
    • 7-Attività dei fornitori
    • 8-Miglioramento dell’efficienza
  • Nel capitolo 3-Life Cycle Approach, è stata aggiunta la sottosezione “Pensiero critico nel Life Cycle“.
  • Nel capitolo 8-Miglioramento dell’efficienza, è stata aggiunta la sottosezione “Utilizzo di strumenti e Automazione“.
  • Nelle appendici gestionali sono state aggiunte le appendici M 11 “Infrastrutture” e M 12 “Pensiero critico“, oltre ad alcune lievi modifiche alla redazione.
  • Nelle appendici di sviluppo, oltre ad alcune modifiche redazionali, è stata rimossa l’Appendice D2 “Specifiche funzionali” e sono state introdotte 4 nuove appendici:
    • D8 “Sviluppo software agile
    • D9 “Strumenti software
    • D10 “Distributed Ledger Systems (Blockchain)
    • D11 “Intelligenza artificiale e apprendimento automatico (AL/ML)“.
  • Nelle appendici sugli argomenti speciali, l’appendice S5 “Gestione della qualità all’interno di un ambiente IS/IT in outsourcing” è stata rimossa.
  • Nelle appendici generali, la precedente Appendice G1 “Riepilogo della guida alle buone pratiche GAMP” è stata rimossa.

La seconda edizione delle GAMP®5 non è una nuova linea guida ma una revisione della linea guida esistente. Pubblicheremo a breve un’analisi dettagliata delle nuove GAMP®5 a cura di un esperto.


Se vuoi approfondire, il 14 ottobre 2022 partecipa al nostro webinar:


Fonte:

Validation Specialist Academy: gestione fornitori

L’intero percorso Validation Specialist Academy è pensato in 5 incontri.
È tuttavia possibile iscriversi singolarmente ad uno o più eventi.
Il costo dell’iscrizione si riferisce ad un evento singolo.

Sconto del 15% per iscrizioni anticipate (entro 30 giorni dalla data dell’evento)
Sconto del 20% dal secondo iscritto della medesima azienda

A chi si rivolge

Il corso è indirizzato a quelle funzioni aziendali che desiderano approfondire argomenti legati alla Computer System Validation.​

La partecipazione è riservata a coloro che si occupano di CSV da almeno due anni e che abbiano una conoscenza consolidata degli argomenti base e delle predicate rules dei sistemi computerizzati.

Programma

Gli incontri di programma hanno come obiettivo la formazione di Validation Specialists con competenze tecniche approfondite sulla CSV che, al termine del ciclo di lezioni, saranno in grado di gestire in autonomia la convalida dei sistemi computerizzati in uso in azienda. ​

Ogni incontro è strutturato come un momento di approfondimento e confronto con gli altri partecipanti, grazie alla guida del docente-moderatore. ​

Non si tratta quindi di lezioni frontali ma di momenti in cui scambiare esperienze, chiarire dubbi e approfondire alcuni argomenti chiave legati alla convalida dei sistemi computerizzati. ​

Durante gli incontri verranno effettuate anche esercitazioni pratiche sugli argomenti trattati.

Principali argomenti in agenda

  • 23.09.22: Risk Assessment
    • Come approcciare l’analisi dei rischi di alto livello di un sistema al fine di determinare la strategia di test​
  • 28.10.22: Gestione dei fornitori
    • Come effettuare e documentare l’assessment / audit dei fornitori di sistemi e servizi IT
    • Cos’è lo SLA e quando serve​
  • 25.11.22: Change Management​
    • La gestione dei cambiamenti ai sistemi computerizzati:
    • il processo;
    • le responsabilità;
    • casi particolari;
    • esempi pratici di modifiche e definizione della strategia di convalida;
    • change control vs configuration management​.
  • 13.01.23: Approfondimento sui requisiti regolatori​
  • 10.02.23: Revisione documentale​
    • Come revisionare la documentazione:documentazione del fornitore;
    • documentazione di convalida;
    • SOP relative ai processi di mantenimento dei sistemi.

Si ricorda che le iscrizioni chiudono 7 giorni lavorativi prima dell’evento


POLICY DI CANCELLAZIONE
Non è possibile annullare gratuitamente la propria iscrizione dopo il ricevimento della email di CONFERMA dell’evento. Trascorso tale termine, sarà addebitata l’intera quota di iscrizione.
L’eventuale disdetta di partecipazione dovrà essere comunicata in forma scritta.
In qualsiasi momento sarà possibile sostituire il nominativo dell’iscritto con altro nominativo purchè questo venga comunicato via posta elettronica almeno 1 giorno prima della data dell’evento.

Immagine in evidenza: Infografica vettore creata da vectorjuice – it.freepik.com

Validation Specialist Academy: Risk Assessment

L’intero percorso Validation Specialist Academy è pensato in 5 incontri.
È tuttavia possibile iscriversi singolarmente ad uno o più eventi.
Il costo dell’iscrizione si riferisce ad un evento singolo.

Sconto del 15% per iscrizioni anticipate (entro 30 giorni dalla data dell’evento)
Sconto del 20% dal secondo iscritto della medesima azienda

A chi si rivolge

Il corso è indirizzato a quelle funzioni aziendali che desiderano approfondire argomenti legati alla Computer System Validation.​

La partecipazione è riservata a coloro che si occupano di CSV da almeno due anni e che abbiano una conoscenza consolidata degli argomenti base e delle predicate rules dei sistemi computerizzati.

Programma

Gli incontri di programma hanno come obiettivo la formazione di Validation Specialists con competenze tecniche approfondite sulla CSV che, al termine del ciclo di lezioni, saranno in grado di gestire in autonomia la convalida dei sistemi computerizzati in uso in azienda. ​

Ogni incontro è strutturato come un momento di approfondimento e confronto con gli altri partecipanti, grazie alla guida del docente-moderatore. ​

Non si tratta quindi di lezioni frontali ma di momenti in cui scambiare esperienze, chiarire dubbi e approfondire alcuni argomenti chiave legati alla convalida dei sistemi computerizzati. ​

Durante gli incontri verranno effettuate anche esercitazioni pratiche sugli argomenti trattati.

Principali argomenti in agenda

  • 23.09.22: Risk Assessment​
    • Come approcciare l’analisi dei rischi di alto livello di un sistema al fine di determinare la strategia di test​
  • 28.10.22: Gestione dei fornitori
    • Come effettuare e documentare l’assessment / audit dei fornitori di sistemi e servizi IT
    • Cos’è lo SLA e quando serve​
  • 25.11.22: Change Management​
    • La gestione dei cambiamenti ai sistemi computerizzati:
      • il processo;
      • le responsabilità;
      • casi particolari;
      • esempi pratici di modifiche e definizione della strategia di convalida;
      • change control vs configuration management​.
  • 13.01.23: Approfondimento sui requisiti regolatori​
  • 10.02.23: Revisione documentale​
    • Come revisionare la documentazione:
      • documentazione del fornitore;
      • documentazione di convalida;
      • SOP relative ai processi di mantenimento dei sistemi.

Si ricorda che le iscrizioni chiudono 7 giorni lavorativi prima dell’evento


POLICY DI CANCELLAZIONE
Non è possibile annullare gratuitamente la propria iscrizione dopo il ricevimento della email di CONFERMA dell’evento. Trascorso tale termine, sarà addebitata l’intera quota di iscrizione.
L’eventuale disdetta di partecipazione dovrà essere comunicata in forma scritta.
In qualsiasi momento sarà possibile sostituire il nominativo dell’iscritto con altro nominativo purchè questo venga comunicato via posta elettronica almeno 1 giorno prima della data dell’evento.

Immagine in evidenza: Infografica vettore creata da vectorjuice – it.freepik.com