Agendar demonstração
Validação · CSV

eQMS validado de fábrica: o que IQ/OQ/PQ realmente significam

URS, análise de risco, protocolos e VSR — o pacote de CSV traduzido pra quem precisa entender antes de comprar.

Por Immunoterapêutica20269 min de leitura

Toda farmacêutica brasileira que vai contratar um sistema GxP esbarra nas três siglas mais caras do mercado: IQ, OQ e PQ. Quase ninguém explica o que cada uma significa de forma honesta, e o que acontece é previsível: a empresa contrata o software achando que validação está incluso, descobre depois que não está, e gasta entre R$30.000 e R$150.000 a mais com consultoria especializada pra produzir o pacote — geralmente em prazo que ninguém previu.

Esse artigo é o que eu gostaria que alguém tivesse me explicado da primeira vez. Vou desmontar IQ, OQ e PQ — mais URS, análise de risco e VSR — em linguagem clara, e mostrar por que "validado de fábrica" não é jargão de marketing: é uma diferença concreta de R$ 100 mil e 6 meses no seu projeto.

O ciclo de vida da validação em uma frase

Validação de Sistemas Computadorizados (CSV), conforme GAMP 5 (2ª edição) e EU GMP Annex 15, segue um ciclo previsível:

  1. URS (User Requirements Specification): você diz o que precisa.
  2. Risk Assessment: você mapeia o que pode dar errado e prioriza testes pelo risco.
  3. FS / DS (Functional / Design Specification): o fornecedor diz como vai entregar.
  4. IQ: o sistema foi instalado certo.
  5. OQ: o sistema funciona conforme a especificação.
  6. PQ: o sistema funciona no seu ambiente, com seus dados, executando seus processos reais.
  7. VSR (Validation Summary Report): o documento que declara "estado validado" e amarra tudo.

Cada etapa precisa de documento, protocolo, execução assinada e evidência. Sem qualquer um, o auditor não aceita.

IQ — Installation Qualification

O IQ é o protocolo que demonstra que o sistema foi instalado corretamente no ambiente alvo. Isso inclui versão do software, versão de banco de dados, configuração de servidor, certificados, conectividade, permissões de pasta, variáveis de ambiente — toda a configuração que afeta o funcionamento.

Na prática, o IQ é uma lista de checagens objetivas: "instalou versão X.Y.Z? sim/não". "O banco está na versão correta? sim/não". "O TLS 1.3 está habilitado? sim/não". Cada item recebe uma assinatura do executor e do revisor. O resultado é um relatório que prova: o sistema saiu da especificação do fornecedor pra produção sem desvio.

OQ — Operational Qualification

O OQ é onde mora a maior parte do esforço. É a demonstração de que o sistema opera conforme a especificação funcional em todos os cenários relevantes — incluindo os negativos (o que tem que falhar tem que falhar do jeito certo).

Pra um eQMS, o OQ tipicamente cobre: cadastro de usuário, atribuição de papel, criação de SOP, fluxo de revisão e aprovação two-person rule, assinatura eletrônica conforme Part 11, audit trail íntegro, controle de mudança com avaliação de impacto, registro de desvio, CAPA com ciclo completo, treinamento read-and-understood, qualificação de fornecedor, geração de relatórios. Cada cenário vira um caso de teste com pré-condições, passos, resultado esperado, resultado observado e evidência anexada.

O OQ bem feito tem entre 80 e 200 casos de teste num eQMS típico. Cada um leva entre 15 minutos e 2 horas pra executar e documentar. Multiplique e você entende por que o serviço de consultoria pra escrever e executar OQ custa caro.

PQ — Performance Qualification

O PQ é o "teste do mundo real". Ele demonstra que o sistema, no seu ambiente, com sua carga, executando seus processos, entrega o resultado esperado de forma consistente.

Diferente do OQ (que testa o sistema isolado), o PQ envolve usuários reais executando processos reais, com dados representativos, por um período definido. É o último passo antes da declaração de "estado validado".

Pra um eQMS, um PQ típico inclui: 5 a 10 usuários criando SOPs reais ao longo de 2 a 4 semanas, executando o ciclo completo do documento (rascunho, revisão, aprovação, vigente), registrando desvios reais, abrindo CAPAs reais, fechando treinamentos reais. O sistema é considerado validado se todos esses cenários passam.

VSR — Validation Summary Report

O VSR é o documento que fecha o ciclo. Ele consolida o que foi feito, lista todos os desvios encontrados (e o que foi feito com cada um), declara o estado validado e amarra a rastreabilidade URS → Risco → Caso de Teste → Evidência.

O VSR é o documento que o auditor pede primeiro quando chega na inspeção. Se você não tem, está sem validação na prática — mesmo que tenha rodado IQ/OQ/PQ. Sem o VSR, não há declaração formal de estado validado.

O que muda quando o eQMS chega validado de fábrica

O caminho tradicional: você compra o software, contrata uma consultoria por R$30k-150k, monta o pacote (URS, FS, DS, IQ, OQ, PQ, VSR) ao longo de 3 a 9 meses, e só depois entra em produção GxP.

O caminho do NOAH: o pacote chega pronto, com URS reutilizável (você adapta os requisitos específicos da sua operação), análise de risco GAMP 5 categoria 4 já feita, IQ e OQ executados pelo fornecedor com evidência anexada, e o PQ é o único protocolo que você executa no seu ambiente — porque ele é, por definição, específico do seu uso. O VSR consolida tudo e é assinado quando o PQ fecha.

Resultado: 30 a 60 dias até estado validado em vez de 3 a 9 meses. E uma fração do custo de validação contratada à parte. Esse é o jogo que "validado de fábrica" muda — não é jargão, é cronograma e dinheiro.

A regra de bolso

Se o fornecedor não te entrega URS + análise de risco + IQ + OQ executados + VSR template, você ainda vai precisar de consultoria de validação pra rodar tudo. Conte isso no orçamento desde o dia 1.

Quer ver o pacote de validação NOAH?

Em 30 minutos pelo WhatsApp mostramos os protocolos IQ/OQ executados, o template de PQ pra seu ambiente, e o VSR consolidado — tudo pronto pra inspeção.

Ver demo pelo WhatsApp
Continuar lendo
GAMP 5GAMP 5 (2ª ed.): o que mudou e como isso afeta seu eQMS ComparativoAlternativa à Veeva Vault para o médio porte no Brasil BlogVer todos os artigos