PIC/S PI 011-3: o guia interno da inspeção pra CSV

O que cada inspetor PIC/S checa em sistemas computadorizados — extraído do documento de referência usado pra capacitação de inspetores.

Existe um documento que vale ouro pra quem quer entender o que o inspetor PIC/S (e por extensão, ANVISA, MHRA, TGA, Health Canada) procura em sistemas computadorizados: PIC/S PI 011-3 — Good Practices for Computerised Systems in Regulated "GxP" Environments. É um guia preparado pra inspetores, com o que verificar, como interpretar achados, e exemplos de não-conformidade. Lê-lo antes da inspeção é equivalente a estudar a prova.

Esse artigo destrincha os pontos mais cobrados em campo, organizados como o inspetor PIC/S aborda na prática.

O que é o PI 011-3

PIC/S (Pharmaceutical Inspection Co-operation Scheme) é organização internacional que harmoniza inspeções entre agências regulatórias. Brasil (ANVISA), Reino Unido (MHRA), Austrália (TGA), Canadá, e dezenas de outros países são membros. O PI 011-3 é o guia oficial de boas práticas pra sistemas computadorizados em ambientes GxP — usado pela maioria desses inspetores como referência.

O documento cobre: ciclo de vida de software, validação, integridade de dados, audit trail, controle de mudança, gestão de risco aplicada a sistemas. Alinha fortemente com EU GMP Annex 11 e com FDA Part 11.

Os 7 pontos que o inspetor PIC/S mais checa

1. Inventário de sistemas computadorizados GxP

O auditor começa perguntando: "qual a sua lista de sistemas computadorizados que afetam GxP?" Se a empresa não tem inventário formal, com classificação de criticidade, é primeira observação. PI 011-3 enfatiza que sem inventário, não há gestão.

2. Análise de risco por sistema

Pra cada sistema do inventário, análise de risco documentada. Categoria GAMP 5, impacto no paciente, controles aplicáveis. Sem análise, não há justificativa pra esforço de validação.

3. Pacote de validação por sistema

URS, FS, DS, IQ, OQ, PQ, VSR. Cada um amarrado por matriz de rastreabilidade. Sistema crítico sem pacote completo = observação. Sistema legado validado sob abordagem antiga + manutenção contínua de estado validado = aceitável.

4. Audit trail review

Mais cobrado em PIC/S que em FDA. Inspetor pergunta: "quem revisa o audit trail desse sistema? com que frequência? me mostra a evidência da última revisão?" Sem rotina documentada, observação.

5. Gestão de mudança aplicada a sistemas

Mudança em sistema GxP precisa de avaliação de impacto, aprovação, re-validação proporcional. Inspetor pede log de mudanças do último ano e cross-checa contra registros de mudança formal. Discrepância = observação.

6. Backup com teste de restauração

Já coberto em Annex 11 §7.1. PI 011-3 reforça. Inspetor pede evidência de último teste de restauração — não evidência de backup, evidência de restore testado.

7. Continuidade de negócio

Plano formal pra processos críticos. Testado regularmente. Inspetor pode pedir cenário hipotético: "o que vocês fazem se esse sistema cair amanhã?". Resposta vaga = observação.

A diferença entre auditor PIC/S e auditor FDA

Inspetor PIC/S tende a ter:

• Mais foco em integridade de dados aprofundada (revisão de logs, análise de padrões suspeitos)
• Atenção explícita a avaliação periódica (Annex 11 §11)
• Cobrança forte de cadeia de fornecedor (incluindo software)
• Tempo maior dedicado a sistemas, em geral

Inspetor FDA tende a ter:

• Foco maior em assinatura eletrônica (Part 11 §11.50, §11.200)
• Atenção a impacto regulatório direto no produto (211)
• Velocidade maior, com foco em red flags pré-identificados

Quem se prepara pra os dois cobre ambas as ênfases.

Como o NOAH OS responde ao PI 011-3

O NOAH foi especificado contra os 3 frameworks principais (Part 11, RDC 658, Annex 11) — e o PI 011-3 está alinhado fortemente com Annex 11. Resultado: cobertura natural dos pontos PIC/S. Cliente que opera sob inspeção PIC/S (incluindo ANVISA) recebe matriz que mostra cobertura cláusula a cláusula.