Dalam industri ilmu hayati (life sciences), termasuk farmasi, bioteknologi, dan perangkat medis, validasi sistem terkomputerisasi bukanlah pilihan, melainkan sebuah keharusan mutlak. Hal ini disebabkan oleh dampak langsung sistem tersebut terhadap keamanan pasien, kualitas produk, dan integritas data.1 Kegagalan sistem terkomputerisasi dapat berakibat fatal, mulai dari tindakan regulasi seperti surat peringatan (warning letters) atau penarikan produk (recalls), hingga hilangnya kepercayaan publik dan, yang terpenting, potensi bahaya bagi pasien.4 Oleh karena itu, validasi menjadi elemen krusial untuk memastikan bahwa sistem secara konsisten melakukan fungsi yang dimaksudkan sesuai dengan spesifikasi dan atribut kualitas yang telah ditentukan sebelumnya.11 Validasi menyediakan bukti terdokumentasi yang objektif bahwa sistem tersebut ‘sesuai untuk tujuan penggunaan’ (fit for intended use).
Pentingnya validasi melampaui sekadar pemenuhan persyaratan teknis; ia merupakan komponen fundamental dari tanggung jawab perusahaan dan manajemen risiko dalam sektor ilmu hayati. Keterkaitannya yang erat dengan perilaku etis juga tidak dapat diabaikan.3 Snippet-snippet secara konsisten menghubungkan validasi dan GxP dengan keamanan pasien serta kualitas produk.1 Kegagalan dalam aspek ini membawa konsekuensi serius.4 Dengan demikian, validasi bukan hanya sekadar aktivitas kepatuhan, melainkan proses bisnis inti yang menjaga izin operasi perusahaan, reputasinya 9, dan kewajiban etisnya 3 terhadap pasien dan konsumen. Ini adalah bentuk mitigasi risiko proaktif, bukan sekadar pemeriksaan kepatuhan reaktif.
B. Memperkenalkan GAMP 5 sebagai Kerangka Standar Industri
Untuk menjawab kebutuhan akan pendekatan yang terstruktur dan efisien dalam validasi sistem terkomputerisasi, International Society for Pharmaceutical Engineering (ISPE) mengembangkan Good Automated Manufacturing Practice (GAMP).1 GAMP 5 merupakan versi terkini, dengan Edisi Kedua (Second Edition) yang dirilis pada Juli 2022, menggantikan edisi sebelumnya dan mengadaptasi kerangka kerja untuk tantangan dunia modern.17 Tujuan utama GAMP 5 adalah menyediakan kerangka kerja yang pragmatis dan berbasis risiko (risk-based) untuk mencapai sistem terkomputerisasi yang patuh terhadap GxP (compliant GxP computerized systems), sesuai untuk tujuan penggunaan, serta menjamin keamanan pasien, kualitas produk, dan integritas data.1
Perlu ditekankan bahwa GAMP 5 bukanlah sebuah regulasi, melainkan serangkaian panduan (guidance) dan praktik baik (good practices).19 Meskipun demikian, kerangka kerja ini diterima secara luas oleh industri dan regulator global seperti Food and Drug Administration (FDA) Amerika Serikat dan European Medicines Agency (EMA) Eropa, serta selaras dengan ekspektasi regulasi mereka.11
GAMP 5 berfungsi sebagai penerjemah dan fasilitator krusial antara persyaratan regulasi tingkat tinggi (apa yang harus dicapai) dan langkah-langkah praktis yang diperlukan untuk implementasi (bagaimana cara mencapainya). Regulasi seperti 21 CFR Part 11 atau Annex 11 menetapkan apa yang harus dicapai (misalnya, integritas data, validitas tanda tangan elektronik).3 GAMP 5, di sisi lain, menyediakan panduan praktis, terminologi umum, pendekatan siklus hidup, dan memperjelas peran untuk memfasilitasi interpretasi dan memenuhi persyaratan ini secara efisien.1 Kerangka kerja ini menjembatani kesenjangan antara mandat regulasi dan realitas operasional, membuat kepatuhan menjadi terstruktur dan dapat dicapai.19
C. Sinergi antara GAMP 5 dan Persyaratan GxP
Kerangka kerja GAMP 5 secara eksplisit dirancang untuk digunakan dalam lingkungan yang diatur oleh GxP.1 Fokus utama GAMP 5 pada keamanan pasien, kualitas produk, dan integritas data selaras secara langsung dengan tujuan inti dari semua regulasi GxP.1 Penerapan GAMP 5 membantu organisasi mendemonstrasikan kepatuhan GxP untuk sistem terkomputerisasi mereka kepada badan regulasi seperti FDA dan EMA.5
Implementasi GAMP 5 bukanlah sebuah alternatif dari kepatuhan GxP, melainkan sebuah metodologi untuk mencapai dan mendemonstrasikan kepatuhan tersebut secara spesifik untuk sistem terkomputerisasi. GxP menetapkan standar kualitas keseluruhan dan persyaratan regulasi.3 GAMP 5 menyediakan kerangka kerja dan praktik spesifik (pendekatan berbasis risiko, siklus hidup, kategorisasi, hasil validasi) yang disesuaikan untuk sistem terkomputerisasi yang digunakan dalam area GxP tersebut.1 Dengan demikian, mengikuti GAMP 5 adalah cara strategis untuk memenuhi aspek sistem terkomputerisasi dari kewajiban GxP yang lebih luas, memastikan sistem sesuai untuk tujuan penggunaannya dalam konteks teregulasi.1 GAMP 5 mengoperasionalkan prinsip-prinsip GxP dalam ranah digital.
II. Lanskap Regulasi GxP
A. Mendefinisikan GxP: GMP, GLP, GCP, GDP, dan Lainnya
GxP adalah akronim umum yang merujuk pada serangkaian pedoman dan regulasi ‘praktik baik’ (Good Practice) yang dirancang untuk memastikan produk dalam industri teregulasi (seperti farmasi, bioteknologi, makanan, dan perangkat medis) aman, efektif, berkualitas tinggi, dan dapat digunakan sesuai tujuan.3 Huruf ‘x’ dalam GxP bersifat variabel dan mewakili berbagai bidang spesifik di mana praktik baik ini diterapkan.3 Beberapa area GxP yang paling umum meliputi:
GMP (Good Manufacturing Practice / Cara Pembuatan Obat yang Baik – CPOB): Menetapkan standar untuk memastikan kualitas dan konsistensi proses manufaktur serta produk yang dihasilkan. Fokusnya meliputi desain fasilitas, validasi peralatan, pelatihan personel, dokumentasi, proses produksi, kontrol kualitas, dan pengujian produk.3
GLP (Good Laboratory Practice / Cara Berlaboratorium yang Baik – CBB): Bertujuan untuk memastikan keandalan dan integritas studi laboratorium non-klinis yang dilakukan untuk pengajuan regulasi. Area fokusnya mencakup desain fasilitas laboratorium, kalibrasi peralatan, pelatihan personel, dokumentasi, pencatatan data, penanganan sampel, dan protokol studi.3
GCP (Good Clinical Practice / Cara Uji Klinik yang Baik – CUKB): Menjamin standar etika dan ilmiah dalam desain, pelaksanaan, pemantauan, audit, pencatatan, analisis, dan pelaporan uji klinis yang melibatkan subjek manusia, memastikan perlindungan hak, keamanan, dan kesejahteraan subjek serta kredibilitas data uji klinis.3
GDP (Good Distribution Practice / Cara Distribusi Obat yang Baik – CDOB): Memastikan kualitas dan integritas produk farmasi selama proses penyimpanan dan distribusi, termasuk kontrol suhu, prosedur penanganan, dan ketertelusuran.3
Area GxP Lainnya: Selain yang utama di atas, terdapat juga praktik baik lainnya seperti GDocP (Good Documentation Practice) yang menjadi dasar fundamental di semua area GxP 4, GSP (Good Storage Practice), GVP (Good Pharmacovigilance Practice) 9, dan lainnya.
Secara keseluruhan, tujuan GxP adalah untuk mengendalikan proses, prosedur, personel, dan tempat (premises) untuk memastikan konsistensi dan kualitas produk.4 Kepatuhan terhadap GxP sangat penting untuk mendapatkan persetujuan regulasi, menjaga kualitas produk, memastikan keamanan pasien, dan mempertahankan kepercayaan konsumen serta pemangku kepentingan lainnya.3
GxP bukanlah standar monolitik tunggal, melainkan kumpulan pedoman yang saling terkait yang secara kolektif memastikan kualitas produk dan keamanan pasien di seluruh siklus hidup produk, mulai dari penelitian hingga distribusi dan pengawasan pasca-pemasaran. Berbagai area GxP seperti GMP, GLP, GCP, GDP, GVP, dll., mencakup tahapan yang berbeda: penelitian (GLP, GCP), manufaktur (GMP), distribusi (GDP), dokumentasi (GDocP), dan pasca-pemasaran (GVP).34 secara eksplisit menyatakan bahwa GxP mencakup setiap bagian dari rantai nilai ilmu hayati dan bahwa praktik lain merupakan bagian dari atau mendukung GMP. Ini menunjukkan adanya sistem yang saling terhubung yang dirancang untuk kontrol kualitas ujung ke ujung, bukan praktik yang terisolasi.
B. Ekspektasi Regulasi (FDA, EMA) untuk Sistem Terkomputerisasi
Badan regulasi utama di seluruh dunia, seperti FDA di AS, EMA di Uni Eropa, MHRA di Inggris, TGA di Australia, dan Health Canada, bertanggung jawab untuk menegakkan standar GxP.3 Mereka memiliki ekspektasi spesifik untuk sistem terkomputerisasi yang digunakan dalam aktivitas GxP. Regulasi kunci yang relevan meliputi:
FDA 21 CFR Part 11: Menetapkan kriteria untuk catatan elektronik (electronic records) dan tanda tangan elektronik (electronic signatures), termasuk persyaratan untuk kontrol akses, jejak audit (audit trails), keamanan, dan keandalan.3
EU GMP Annex 11: Memberikan panduan tentang penggunaan sistem terkomputerisasi dalam konteks GMP di Uni Eropa, mencakup validasi, manajemen risiko, keamanan, integritas data, dan tanda tangan elektronik.3
Pedoman ICH (International Council for Harmonisation): Misalnya, ICH GCP E6(R3) yang relevan untuk sistem terkomputerisasi dalam uji klinis.31
Secara umum, regulator mengharapkan bahwa sistem terkomputerisasi yang digunakan dalam aktivitas GxP divalidasi untuk menunjukkan kesesuaiannya dengan tujuan penggunaan (fitness for intended use), memastikan integritas data, keamanan, dan keandalan operasional.3 Kegagalan dalam memenuhi ekspektasi ini dapat mengakibatkan tindakan penegakan hukum, termasuk inspeksi, audit, penerbitan surat peringatan (warning letters), penundaan persetujuan produk, atau bahkan penarikan produk dari pasar.1
Meskipun regulasi spesifik seperti Part 11 dan Annex 11 menyediakan kontrol konkret (misalnya, jejak audit, kontrol akses, tanda tangan) 3, ekspektasi regulasi yang mendasarinya secara konsisten berfokus pada manajemen risiko dan memastikan sistem secara andal mendukung tujuan GxP (keamanan pasien, kualitas produk, integritas data).1 Pendekatan berbasis risiko GAMP 5 1 memungkinkan perusahaan untuk menyesuaikan upaya validasi guna memenuhi ekspektasi fundamental ini secara efisien, bukan hanya sekadar mencentang kotak persyaratan regulasi.18 GAMP 5 menyediakan metodologi untuk memenuhi ekspektasi mendasar ini.
C. Peran Kritis Integritas Data dalam GxP
Integritas data adalah fondasi dari kepatuhan GxP. Ini didefinisikan sebagai sejauh mana data lengkap, konsisten, akurat, dapat dipercaya, dan andal sepanjang siklus hidupnya.1 Prinsip ALCOA+ sering digunakan sebagai kerangka kerja untuk memastikan integritas data:
Attributable (Dapat diatribusikan): Siapa yang melakukan tindakan dan kapan?
Legible (Terbaca): Data dapat dibaca dan dipahami sepanjang siklus hidupnya.
Contemporaneous (Dicatat saat terjadi): Data dicatat pada saat aktivitas dilakukan.
Original (Asli): Data asli atau salinan yang diverifikasi sebagai salinan asli (true copy).
Accurate (Akurat): Data bebas dari kesalahan dan mencerminkan fakta.
+ (Plus): Prinsip tambahan sering kali mencakup Complete (Lengkap), Consistent (Konsisten), Enduring (Tahan Lama), dan Available (Tersedia).5
Integritas data sangat penting dalam GxP karena keputusan kritis mengenai pelepasan produk, keamanan pasien, dan pengajuan regulasi bergantung sepenuhnya pada keakuratan dan keandalan data yang dihasilkan dan dikelola.1 Badan regulasi secara global telah meningkatkan fokus dan pengawasan mereka terhadap masalah integritas data dalam beberapa tahun terakhir.1 ISPE bahkan telah menerbitkan panduan khusus, ISPE GAMP® Guide: Records and Data Integrity, sebagai sumber daya pelengkap.40 Validasi sistem terkomputerisasi memainkan peran kunci dalam memastikan integritas data, karena proses validasi memverifikasi bahwa sistem memiliki kontrol teknis dan prosedural yang memadai untuk melindungi data dari modifikasi, penghapusan, atau kehilangan yang tidak sah.1
Integritas data bukan hanya masalah teknis, tetapi juga mencerminkan budaya organisasi dan faktor manusia. Mencapainya membutuhkan lebih dari sekadar sistem yang divalidasi; diperlukan tata kelola data (data governance) yang kuat dan budaya kualitas (quality culture). Meskipun kontrol teknis (jejak audit, kontrol akses) yang diimplementasikan melalui validasi sangat penting 3, Panduan ISPE RDI secara eksplisit menyebutkan kerangka kerja tata kelola data, budaya, dan faktor manusia sebagai komponen kunci.40 Kepatuhan GxP juga melibatkan pelatihan dan kualifikasi personel.3 Hal ini menyiratkan bahwa teknologi saja tidak cukup. Integritas data yang sesungguhnya bergantung pada orang-orang yang mengikuti prosedur dengan benar dalam budaya kualitas yang mendukung, didukung oleh struktur tata kelola yang kuat.4 GAMP 5 mengakui hal ini dengan mengintegrasikan aktivitas dalam Sistem Manajemen Mutu (SMM) atau Quality Management System (QMS).2
III. Kerangka Kerja GAMP 5: Penyelaman Mendalam
A. Asal Usul, Tujuan, dan Ruang Lingkup GAMP 5 (ISPE)
GAMP awalnya didirikan di Inggris pada tahun 1991 sebagai tanggapan terhadap ekspektasi FDA yang berkembang terkait kepatuhan sistem manufaktur dan sistem terkait.15 Saat ini, GAMP merupakan Community of Practice (CoP) di bawah naungan ISPE.1 Tujuan utama GAMP 5, seperti yang telah disebutkan, adalah untuk melindungi keselamatan pasien, kualitas produk, dan integritas data dengan memfasilitasi pencapaian sistem terkomputerisasi yang efektif, andal, berkualitas tinggi, sesuai untuk tujuan penggunaan, dan patuh terhadap regulasi yang berlaku secara efisien.1
Ruang lingkup GAMP 5 mencakup sistem terkomputerisasi GxP di seluruh industri ilmu hayati, termasuk farmasi, bioteknologi, dan manufaktur perangkat medis (namun mengecualikan perangkat lunak yang tertanam di dalam perangkat medis itu sendiri).1 Panduan ini berlaku baik untuk perusahaan teregulasi maupun pemasok (suppliers) perangkat lunak, perangkat keras, layanan integrasi sistem, dan layanan dukungan TI.1 GAMP 5 mencakup seluruh siklus hidup sistem (system life cycle), mulai dari konsep awal hingga penghentian penggunaan (retirement).1 GAMP 5 Edisi Kedua, yang diterbitkan pada Juli 2022, adalah standar saat ini yang memperbarui kerangka kerja untuk aplikasi di dunia modern.17
B. Prinsip Inti yang Memandu GAMP 5
GAMP 5 didasarkan pada beberapa prinsip inti yang saling terkait, yang dirancang untuk memastikan pendekatan yang logis, efisien, dan berbasis risiko terhadap validasi sistem terkomputerisasi:
1. Pemahaman Produk dan Proses (Product and Process Understanding):
Prinsip ini menekankan pentingnya pemahaman mendalam tentang produk (termasuk Atribut Kualitas Kritis atau Critical Quality Attributes – CQA) dan proses bisnis atau manufaktur yang akan didukung oleh sistem terkomputerisasi, sebelum mendefinisikan persyaratan sistem.2 Pemahaman ini sangat penting karena memungkinkan penilaian risiko yang akurat dan fokus upaya validasi pada aspek-aspek kritis yang benar-benar berdampak pada keamanan pasien, kualitas produk, dan integritas data.2 Ini juga mendukung penerapan pendekatan Quality by Design (QbD), di mana kualitas dibangun ke dalam sistem sejak awal.2
Kurangnya pemahaman produk dan proses yang memadai seringkali menjadi akar penyebab validasi yang tidak efisien atau tidak efektif. Tanpa pemahaman ini, sistem mungkin divalidasi secara berlebihan di area yang tidak kritis atau kurang divalidasi di area yang paling penting. GAMP 5 menekankan pendekatan berbasis risiko1, dan risiko didefinisikan relatif terhadap keamanan pasien, kualitas produk, dan integritas data.1 Pemahaman produk/proses adalah fondasi untuk mengidentifikasi aspek kritis dan risiko terkait.2 Tanpa fondasi ini, penilaian risiko menjadi sewenang-wenang, yang mengarah pada alokasi upaya validasi yang salah (terlalu banyak atau terlalu sedikit di tempat yang salah), sehingga merusak tujuan efisiensi GAMP 5.2
2. Pendekatan Siklus Hidup dalam Sistem Manajemen Mutu (Lifecycle Approach within a Quality Management System – QMS):
GAMP 5 mempromosikan pengelolaan sistem terkomputerisasi sepanjang seluruh siklus hidupnya – Konsep (Concept), Proyek (Project), Operasi (Operation), dan Penghentian (Retirement) – dalam kerangka kerja Sistem Manajemen Mutu (SMM) atau Quality Management System (QMS) organisasi.1 Pendekatan holistik ini memastikan bahwa pertimbangan kualitas dan kepatuhan dibangun sejak awal dan dipelihara selama penggunaan sistem. Mengintegrasikan aktivitas siklus hidup GAMP 5 ke dalam QMS memastikan bahwa validasi menjadi bagian dari proses bisnis standar dan struktur tata kelola, bukan aktivitas terpisah.2 Hal ini memfasilitasi konsistensi dan kontrol.4
Mengintegrasikan aktivitas siklus hidup GAMP 5 dalam QMS mencegah validasi menjadi aktivitas yang terisolasi dan “tambalan” yang hanya dilakukan oleh spesialis. Ini menanamkan kualitas ke dalam operasi sehari-hari dan tanggung jawab berbagai peran (Pemilik Proses, Pemilik Sistem, TI, QA, Pengguna). GAMP 5 memperjelas peran seperti Pemilik Proses (Process Owner), Pemilik Sistem (System Owner), Ahli Materi Pokok (Subject Matter Expert – SME), dan Unit Mutu (Quality Unit).2 Siklus hidup mencakup dari konsep hingga penghentian, melibatkan berbagai departemen.2 Mengelola ini dalam QMS 2 memastikan aktivitas ini diatur oleh prosedur yang mapan (SOP), persyaratan pelatihan, proses kontrol perubahan, dan tinjauan berkala yang berlaku untuk semua operasi yang relevan dengan kualitas.4 Integrasi ini menumbuhkan rasa kepemilikan dan memastikan validasi adalah proses berkelanjutan, bukan proyek satu kali.
3. Aktivitas Siklus Hidup yang Dapat Diskalakan (Scalable Lifecycle Activities):
Prinsip ini menyatakan bahwa tingkat upaya, formalitas, dan dokumentasi untuk aktivitas validasi harus diskalakan (disesuaikan tingkatannya) berdasarkan risiko, kompleksitas, dan kebaruan (novelty) dari sistem atau fungsi yang divalidasi.1 Ini memungkinkan organisasi untuk memfokuskan sumber daya secara efektif pada area berisiko tinggi dan menghindari upaya yang tidak perlu (“aktivitas yang tidak menambah nilai” atau non-value-added activities) pada sistem berisiko rendah.1 Pendekatan ini membuat kepatuhan menjadi lebih efisien dan hemat biaya.1
Skalabilitas yang sesungguhnya memerlukan metodologi penilaian risiko yang kuat dan kriteria yang jelas yang didefinisikan dalam QMS. Tanpa ini, “skalabilitas” dapat menjadi subjektif dan mengarah pada aplikasi yang tidak konsisten atau validasi yang tidak memadai terhadap sistem yang tampaknya sederhana namun mungkin memiliki fungsi kritis tersembunyi. Skalabilitas didorong oleh risiko, kompleksitas, dan kebaruan.2 Penilaian risiko adalah alat yang digunakan untuk menentukan skala yang sesuai.1 Proses ini perlu sistematis dan didefinisikan dalam QMS.2 Jika proses penilaian risiko lemah atau kriteria untuk penskalaan (misalnya, apa yang merupakan “risiko rendah” atau “kompleksitas tinggi”) tidak didokumentasikan dengan jelas dalam SOP, maka penerapan skalabilitas menjadi tidak konsisten, berpotensi menyebabkan celah kepatuhan 4 atau gagal mengidentifikasi risiko dalam sistem yang awalnya dianggap sederhana.54
GAMP 5 menekankan penggunaan proses yang sistematis, berdasarkan prinsip ICH Q9, untuk menilai (assess), mengendalikan (control), mengkomunikasikan (communicate), dan meninjau (review) risiko terhadap keamanan pasien, kualitas produk, dan integritas data di seluruh siklus hidup sistem.1 Penilaian risiko harus didasarkan pada pengetahuan dan pemahaman ilmiah tentang produk dan proses.2 Hal ini memastikan bahwa upaya validasi terfokus, proporsional, dan didasarkan pada bukti objektif terkait potensi bahaya, bukan keputusan sewenang-wenang.1
Manajemen Risiko Mutu (QRM) yang efektif memerlukan tidak hanya identifikasi risiko tetapi juga implementasi dan verifikasi kontrol (mitigasi) yang sesuai. Proses validasi itu sendiri menjadi ukuran kontrol risiko utama. Proses QRM yang dijelaskan mencakup penilaian, kontrol, komunikasi, dan peninjauan.2 Langkah 3 dari proses QRM di 49 adalah “Melakukan Penilaian Risiko Fungsional dan Mengidentifikasi Kontrol,” dan Langkah 4 adalah “Mengimplementasikan dan Memverifikasi Kontrol yang Sesuai.” Aktivitas validasi seperti IQ, OQ, PQ 11 berfungsi sebagai verifikasi bahwa sistem (termasuk kontrolnya) berfungsi sebagaimana dimaksud, sehingga memitigasi risiko yang teridentifikasi. Oleh karena itu, validasi tidak terpisah dari QRM; itu adalah bagian integral dari tahap kontrol dan verifikasi risiko.
GAMP 5 mendorong perusahaan teregulasi untuk bekerja secara kolaboratif dengan pemasok (vendor perangkat lunak, penyedia layanan, integrator) dan memanfaatkan keahlian, dokumentasi, serta sistem mutu mereka jika sesuai.1 Hal ini bertujuan untuk menghindari duplikasi upaya (misalnya, pengujian ulang fungsi yang sudah diuji oleh pemasok), berpotensi mempercepat proses validasi, dan memanfaatkan pengetahuan spesialis.2 Namun, pemanfaatan ini bergantung pada penilaian pemasok (supplier assessment) yang memuaskan untuk memastikan kesesuaian mereka.2 Diperlukan juga definisi peran dan tanggung jawab yang jelas antara perusahaan dan pemasok.1
Memanfaatkan pemasok memperkenalkan ketergantungan yang harus dikelola melalui penilaian pemasok yang kuat dan perjanjian kualitas (quality agreements). Perusahaan teregulasi tetap memegang tanggung jawab akhir atas kepatuhan sistem, terlepas dari keterlibatan pemasok. GAMP 5 mendorong pemanfaatan pemasok 2 tetapi bergantung pada penilaian pemasok yang memuaskan.2 Penilaian ini memverifikasi QMS dan kapabilitas pemasok.49 Perusahaan teregulasi harus mengelola hubungan 25 dan memastikan pemasok beroperasi secara efektif.17 Perjanjian Kualitas 10 dan kontrak yang jelas 14 diperlukan. Pada akhirnya, perusahaan teregulasi bertanggung jawab untuk memastikan sistem sesuai untuk digunakan dan patuh.42 Oleh karena itu, memanfaatkan pemasok bukanlah mengalihdayakan tanggung jawab; ini adalah penggabungan strategis aktivitas pemasok ke dalam status tervalidasi perusahaan di bawah kendali QMS-nya.
GAMP 5 Edisi Kedua memberikan penekanan kuat pada penerapan pemikiran kritis oleh Ahli Materi Pokok (SME) yang berpengetahuan dan berpengalaman di seluruh siklus hidup.10 Ini melibatkan pergeseran dari kepatuhan yang kaku dan berbasis daftar periksa (checklist-driven) menuju fokus upaya pada aktivitas yang benar-benar menjamin kualitas dan memitigasi risiko terhadap pasien/produk.18 Pemikiran kritis mendorong efisiensi, menghindari dokumentasi yang tidak perlu (“beban validasi”), mendorong penggunaan metode pengujian yang sesuai (scripted vs. unscripted), dan selaras dengan pendekatan modern seperti Computer Software Assurance (CSA).18
Menerapkan “pemikiran kritis” secara efektif memerlukan pergeseran budaya dalam organisasi, memberdayakan SME dan beralih dari budaya kepatuhan berbasis rasa takut menuju budaya yang berfokus pada kualitas dan dikelola risiko. Ini mungkin menjadi tantangan implementasi yang signifikan. Pemikiran kritis melibatkan SME yang berpengetahuan membuat keputusan yang terinformasi.18 Ini membutuhkan kepercayaan dan pemberdayaan. Validasi sistem komputer (CSV) tradisional seringkali menghasilkan dokumentasi berlebihan karena takut akan temuan regulasi.18 Mengalihkan fokus memerlukan mengatasi inersia ini 43 dan berpotensi melatih ulang staf dan auditor.66 Ini menuntut budaya yang menghargai pemahaman mengapa aktivitas dilakukan, bukan hanya bahwa aktivitas tersebut dilakukan 39, berfokus pada manfaat pasien dan jaminan kualitas daripada sekadar mencentang kepatuhan.22 Aspek budaya ini seringkali lebih sulit diubah daripada prosedur teknis.
IV. Kategorisasi Perangkat Lunak dan Sistem GAMP 5
A. Rasionalitas dan Pentingnya Kategorisasi
Kategorisasi perangkat lunak dan sistem dalam GAMP 5 adalah alat bantu yang digunakan dalam kerangka pendekatan berbasis risiko untuk membantu menentukan strategi validasi yang sesuai dan menyesuaikan skala upaya yang diperlukan.17 Kategorisasi ini terutama didasarkan pada kompleksitas sistem, tingkat kebaruan (novelty), dan sejauh mana konfigurasi atau kustomisasi diperlukan untuk memenuhi kebutuhan bisnis.2
Namun, penting untuk dipahami bahwa kategori hanyalah salah satu faktor dalam penilaian risiko secara keseluruhan.43 Dampak GxP dari sistem—yaitu, sejauh mana kegagalan sistem dapat memengaruhi keamanan pasien, kualitas produk, atau integritas data—tetap menjadi pertimbangan utama dalam menentukan tingkat validasi yang diperlukan.43
Meskipun kategorisasi memberikan titik awal yang berguna, menerapkan strategi validasi secara kaku hanya berdasarkan kategori dapat merusak pendekatan berbasis risiko. Pemikiran kritis diperlukan untuk menyesuaikan strategi bahkan dalam suatu kategori. Kategorisasi membantu menyesuaikan upaya berdasarkan kompleksitas/kebaruan.2 Namun, GAMP 5 menekankan bahwa kategori hanyalah satu faktor, dan pendekatan keseluruhan harus didasarkan pada dampak GxP, kompleksitas, dan kebaruan yang berasal dari kekritisan proses bisnis yang didukung oleh sistem.43 Sistem Kategori 3 yang mendukung proses yang sangat kritis mungkin memerlukan pengawasan lebih daripada sistem Kategori 4 yang mendukung proses berisiko rendah. 54 secara eksplisit menyatakan bahwa kategori saja tidak menentukan kesesuaian untuk tujuan penggunaan dan ada rasionalisasi yang lebih baik (misalnya, konteks penggunaan sistem). Oleh karena itu, kategorisasi adalah panduan, bukan buku aturan yang kaku; SME harus menerapkan pemikiran kritis 43 untuk menentukan cakupan validasi akhir.
B. Rincian Kategori (1, 3, 4, 5)
GAMP 5 Edisi Kedua mendefinisikan empat kategori utama perangkat lunak dan sistem (Kategori 2 yang sebelumnya ada untuk firmware telah dihapus karena firmware modern umumnya masuk ke Kategori 3, 4, atau 5 17):
Kategori 1: Perangkat Lunak Infrastruktur (Infrastructure Software):
Deskripsi: Platform dan komponen dasar tempat aplikasi berjalan atau yang diperlukan untuk mengoperasikan lingkungan TI. Ini mencakup sistem operasi (misalnya, Windows Server), basis data (misalnya, Oracle, SQL Server), middleware, perangkat keras jaringan (router, switch), lingkungan virtual (misalnya, VMware), firewall, dan perangkat lunak antivirus.15
Fokus Validasi: Verifikasi instalasi yang benar, manajemen konfigurasi yang terdokumentasi, memastikan keandalan operasional (misalnya, melalui prosedur pencadangan dan pemulihan), dan keamanan. Validasi seringkali dilakukan pada tingkat platform infrastruktur melalui prosedur operasional standar (SOP) dan kualifikasi infrastruktur, bukan validasi komponen individu.43 Pengujian fungsional seringkali bersifat tidak langsung, dilakukan selama pengujian aplikasi yang berjalan di atasnya.48 Upaya validasi biasanya lebih rendah dibandingkan kategori lain yang berinteraksi langsung dengan proses GxP.
Kategori 3: Perangkat Lunak Non-konfigurasi (Non-configured Software):
Deskripsi: Perangkat lunak standar yang tersedia secara komersial (Commercial Off-The-Shelf – COTS) yang digunakan ‘apa adanya’ tanpa modifikasi atau konfigurasi yang relevan dengan proses bisnis GxP, atau perangkat keras dengan perangkat lunak tertanam (firmware) yang tidak dapat dikonfigurasi.15 Contohnya termasuk instrumen laboratorium sederhana dengan firmware tetap, alat perhitungan statistik mandiri, penampil data (viewers), atau spreadsheet yang hanya digunakan untuk penyimpanan data dasar tanpa formula kompleks atau makro.17 Beberapa sistem pemantauan lingkungan (Environmental Monitoring Systems – EMS) yang sangat sederhana mungkin masuk kategori ini.69
Fokus Validasi: Verifikasi instalasi yang benar (Installation Qualification – IQ), konfirmasi kesesuaian untuk tujuan penggunaan melalui pengujian penerimaan pengguna (User Acceptance Testing – UAT) atau Performance Qualification (PQ), serta pengelolaan pengaturan dan data yang dihasilkan. Pengujian fungsional biasanya terbatas dan seringkali dapat memanfaatkan dokumentasi atau pengujian yang dilakukan oleh vendor.19 Spesifikasi fungsional (FS) dan desain (DS) biasanya tidak diperlukan.19
Kategori 4: Perangkat Lunak Terkonfigurasi (Configured Software):
Deskripsi: Perangkat lunak yang dikonfigurasi menggunakan alat bawaan (tanpa penulisan kode kustom) untuk memenuhi kebutuhan proses bisnis spesifik.15 Ini adalah kategori yang luas dan umum untuk banyak sistem GxP. Contohnya meliputi sistem LIMS, ERP, MES, SCADA, DCS, atau CDS yang dikonfigurasi; spreadsheet dengan formula, tautan sel, atau aturan validasi data; sistem EMS dengan alarm dan laporan yang dikonfigurasi.20
Fokus Validasi: Memerlukan spesifikasi persyaratan pengguna (User Requirements Specification – URS) yang jelas. Spesifikasi konfigurasi (Configuration Specification – CS) mendokumentasikan bagaimana sistem dikonfigurasi. Spesifikasi fungsional (FS) mungkin diperlukan tergantung kompleksitas. Validasi melibatkan verifikasi instalasi dan konfigurasi (IQ/OQ), pengujian fungsional yang didorong oleh penilaian risiko untuk memverifikasi konfigurasi kritis, dan pengujian penerimaan pengguna (PQ/UAT).15
Kategori 5: Perangkat Lunak Kustom (Custom Software):
Deskripsi: Perangkat lunak yang dikembangkan secara khusus (bespoke) dari awal untuk memenuhi kebutuhan bisnis yang unik, atau melibatkan kustomisasi signifikan pada perangkat lunak yang ada melalui penulisan kode.11 Contohnya termasuk aplikasi yang dibangun internal, makro spreadsheet yang kompleks (misalnya, menggunakan VBA), antarmuka khusus antar sistem, modul ERP yang dikembangkan khusus, logika PLC kustom, atau skrip SCADA/DCS.17
Fokus Validasi: Memerlukan pendekatan siklus hidup pengembangan perangkat lunak (Software Development Life Cycle – SDLC) yang paling lengkap dan ketat. Ini mencakup dokumentasi spesifikasi yang komprehensif (URS, FS, dan Spesifikasi Desain – Design Specification – DS), pengujian yang ketat di berbagai tingkatan (unit, integrasi, fungsional – OQ, penerimaan pengguna – PQ/UAT), dan mungkin memerlukan tinjauan kode (code review).15 Kategori ini dianggap memiliki risiko inheren tertinggi karena tingkat kebaruan dan potensi kesalahan dalam kode kustom.17
Berikut adalah ringkasan kategori perangkat lunak GAMP 5:
Kategori
Deskripsi
Contoh
Fokus Validasi & Upaya Tipikal
1
Perangkat Lunak Infrastruktur
Sistem Operasi, Database, Jaringan, Firewall, Antivirus, Lingkungan Virtual
Verifikasi instalasi, manajemen konfigurasi, keandalan operasional, keamanan. Seringkali melalui kualifikasi platform & SOP. Pengujian fungsional tidak langsung. Upaya: Rendah.
3
Perangkat Lunak Non-konfigurasi (COTS ‘as is’, firmware non-konfigurasi)
Instrumen sederhana, Alat statistik, Viewers, Spreadsheet (penyimpanan data dasar)
Verifikasi instalasi (IQ), Kesesuaian penggunaan (PQ/UAT), Manajemen pengaturan/data. Pengujian fungsional terbatas/leverage vendor. FS/DS biasanya tidak diperlukan. Upaya: Rendah-Sedang.
4
Perangkat Lunak Terkonfigurasi (Dikonfigurasi via alat bawaan)
SDLC penuh. URS, FS, DS. Pengujian ketat (unit, integrasi, OQ, PQ/UAT), mungkin code review. Risiko inheren tertinggi. Upaya: Tinggi.
Tabel 1: Ringkasan Kategori Perangkat Lunak GAMP 5
C. Dampak Kategorisasi pada Strategi dan Upaya Validasi
Kategori GAMP 5 secara langsung memengaruhi strategi dan tingkat upaya validasi yang diperlukan. Secara umum, semakin tinggi nomor kategori, semakin besar kompleksitas dan kebaruan sistem, sehingga memerlukan validasi yang lebih ketat, spesifikasi yang lebih rinci, dan pengujian yang lebih ekstensif.15
Sebagai contoh:
Sistem Kategori 3 mungkin hanya memerlukan verifikasi instalasi dasar dan pengujian UAT untuk memastikan kesesuaiannya dengan kebutuhan pengguna, tanpa perlu membuat FS atau DS.19
Sistem Kategori 4 memerlukan dokumentasi konfigurasi (CS) dan pengujian fungsional (OQ) yang lebih mendalam untuk memverifikasi bahwa konfigurasi tersebut benar dan memenuhi URS.15
Sistem Kategori 5 menuntut rangkaian lengkap spesifikasi (URS, FS, DS) dan pengujian komprehensif di semua tingkatan untuk memastikan kode kustom berfungsi seperti yang dirancang dan tidak menimbulkan risiko yang tidak terduga.15
Meskipun demikian, penting untuk diingat kembali bahwa kategori hanyalah titik awal. Penilaian risiko yang spesifik terhadap dampak GxP sistem tersebut pada akhirnya akan menyempurnakan dan menyesuaikan strategi validasi yang ditentukan oleh kategori.43
Perbedaan antara Kategori 4 (Konfigurasi) dan Kategori 5 (Kustomisasi) bisa jadi tipis namun memiliki implikasi signifikan terhadap upaya validasi. Definisi yang jelas dan penilaian yang cermat sangat krusial. 20 secara eksplisit membahas perbedaan ini, mendefinisikan konfigurasi sebagai penggunaan alat pemasok dalam fungsi standar perangkat lunak, sementara kustomisasi melibatkan penulisan kode/skrip baru. Kategori 5 menyiratkan siklus hidup pengembangan penuh dan risiko inheren yang lebih tinggi.17 Salah mengklasifikasikan sistem Kategori 5 sebagai Kategori 4 dapat menyebabkan validasi yang tidak memadai (misalnya, melewatkan tinjauan kode yang diperlukan atau verifikasi spesifikasi desain terperinci). Hal ini menyoroti pentingnya analisis menyeluruh selama fase perencanaan dan definisi yang jelas dalam QMS/SOP organisasi untuk memastikan kategorisasi yang benar dan cakupan validasi yang memadai.15
V. Implementasi Praktis: Siklus Hidup GAMP 5
A. Tinjauan Empat Fase: Konsep, Proyek, Operasi, Pensiun
Seperti yang telah disinggung, GAMP 5 mengadvokasi pendekatan siklus hidup yang komprehensif, mengelola sistem terkomputerisasi dari awal hingga akhir penggunaannya. Pendekatan ini dibagi menjadi empat fase utama, yang semuanya dikelola dalam kerangka QMS organisasi 2:
Fase Konsep (Concept Phase):
Tujuan: Mendefinisikan ide awal sistem, menilai kelayakan (feasibility), mengidentifikasi persyaratan tingkat tinggi (high-level requirements), dan memberikan justifikasi untuk memulai proyek.2 Penilaian dampak GxP awal sering dilakukan di sini.49
Fase Proyek (Project Phase):
Tujuan: Merancang (design), membangun (build), menguji (test), dan mengimplementasikan (implement) sistem terkomputerisasi.2 Fase ini adalah tempat sebagian besar aktivitas validasi formal berlangsung, seringkali mengikuti kerangka kerja seperti model V (V-model).
Fase Operasi (Operation Phase):
Tujuan: Mengelola penggunaan rutin sistem, termasuk pemeliharaan (maintenance), kontrol perubahan (change control), tinjauan berkala (periodic review), pencadangan dan pemulihan (backup and restore), manajemen keamanan (security management), dan penanganan insiden (incident management).2 Tujuannya adalah untuk mempertahankan status tervalidasi sistem selama masa pakainya.
Fase Pensiun (Retirement Phase):
Tujuan: Menghentikan penggunaan sistem secara terkontrol (decommissioning), termasuk migrasi data ke sistem baru atau pengarsipan data jangka panjang sesuai dengan persyaratan regulasi dan kebijakan perusahaan.2
Pendekatan siklus hidup ini memastikan bahwa kualitas, kepatuhan, dan manajemen risiko dipertimbangkan secara berkelanjutan, bukan hanya sebagai aktivitas satu kali selama implementasi awal.1
B. Fase Proyek: Spesifikasi, Konfigurasi, dan Verifikasi
Fase Proyek adalah inti dari upaya validasi awal, di mana sistem dirinci, dibangun (atau dikonfigurasi), dan diverifikasi terhadap persyaratan yang ditentukan.
1. Model V sebagai Kerangka Kerja (The V-Model as a Framework):
Model V GAMP adalah representasi grafis yang umum digunakan untuk menggambarkan hubungan antara aktivitas spesifikasi (sisi kiri V) dan aktivitas verifikasi atau pengujian (sisi kanan V) selama fase proyek.12 Model ini menunjukkan alur logis:
Sisi Kiri (Spesifikasi – Menurun): Dimulai dengan persyaratan pengguna tingkat tinggi (URS), yang kemudian diterjemahkan ke dalam spesifikasi fungsional (FS) yang lebih rinci, dan akhirnya ke spesifikasi desain teknis atau konfigurasi (DS/CS).12
Dasar V (Konfigurasi/Pengkodean): Sistem dibangun atau dikonfigurasi berdasarkan spesifikasi desain/konfigurasi.12
Sisi Kanan (Verifikasi – Menaik): Pengujian dilakukan pada berbagai tingkatan untuk memverifikasi bahwa sistem memenuhi spesifikasi yang sesuai. IQ memverifikasi DS/CS, OQ memverifikasi FS, dan PQ/UAT memverifikasi URS.12
Penting untuk dicatat bahwa GAMP 5 Edisi Kedua secara eksplisit menyatakan bahwa model V bukanlah satu-satunya pendekatan yang dapat diterima.2 Model pengembangan iteratif dan inkremental (seperti Agile) juga didukung sepenuhnya, terutama untuk sistem Kategori 5 yang kompleks atau proyek dengan persyaratan yang berkembang.44 Pilihan model harus didasarkan pada sifat proyek dan sistem, menggunakan pemikiran kritis.
Model V, meskipun merupakan alat konseptual yang berguna untuk mengilustrasikan hubungan spesifikasi-verifikasi, dapat menjadi terlalu kaku jika diterapkan secara preskriptif. Hal ini berpotensi menghambat efisiensi, terutama dengan praktik pengembangan modern (Agile) atau sistem terkonfigurasi di mana fase DS/FS yang berbeda mungkin kabur. Model V menggambarkan aliran sekuensial.12 GAMP 5 Edisi ke-2 secara eksplisit beralih dari asumsi pendekatan linier murni, merangkul Agile.22 Menerapkan model V secara kaku dapat menyebabkan “beban dokumentasi” yang coba dikurangi oleh CSA.18 Untuk sistem terkonfigurasi (Kat 4), perbedaan antara FS dan CS mungkin kurang jelas daripada yang disarankan model. Oleh karena itu, prinsip menghubungkan spesifikasi dengan pengujian adalah kunci, tetapi prosesnya dapat diadaptasi (diskalakan, iteratif) menggunakan pemikiran kritis.41
2. Hasil Utama dan Aktivitas (Key Deliverables and Activities):
Terlepas dari model pengembangan yang dipilih, fase proyek biasanya melibatkan pembuatan serangkaian dokumen (deliverables) kunci yang mendokumentasikan proses validasi:
Perencanaan (Planning):
Rencana Validasi (Validation Plan – VP): Dokumen tingkat tinggi yang menguraikan strategi validasi keseluruhan, termasuk ruang lingkup, pendekatan, peran dan tanggung jawab, daftar hasil yang diharapkan (deliverables), kriteria penerimaan, dan model siklus hidup yang akan diikuti.12 Ini juga mencakup strategi manajemen risiko.38
Penilaian Risiko Awal (Initial Risk Assessment): Mengidentifikasi risiko potensial terkait dampak GxP, keamanan pasien, kualitas produk, dan integritas data untuk memandu tingkat dan fokus upaya validasi.12
Deskripsi/Tinjauan Sistem (System Description/Overview): Mendefinisikan sistem, batasannya, dan antarmukanya dengan sistem lain.12
Penilaian Pemasok (Supplier Assessment): (Jika relevan) Mengevaluasi kemampuan, sistem mutu, dan dokumentasi pemasok.2
Spesifikasi (Specification):
Spesifikasi Persyaratan Pengguna (User Requirements Specification – URS): Mendefinisikan apa yang dibutuhkan pengguna dari sistem dari perspektif proses bisnis. Ini adalah input kritis yang mendorong seluruh proses.11 URS harus fokus pada kebutuhan bisnis, bukan solusi teknis spesifik.16
Spesifikasi Fungsional (Functional Specification – FS): Mendefinisikan bagaimana sistem akan memenuhi URS, merinci fungsi, logika, alur kerja, antarmuka, dan persyaratan data.12 Tingkat detail FS dapat bervariasi; dalam GAMP 5 Edisi Kedua, lampiran FS (D2) telah dipensiunkan dan kontennya digabungkan ke dalam panduan spesifikasi yang lebih luas.23
Spesifikasi Desain (Design Specification – DS) / Spesifikasi Konfigurasi (Configuration Specification – CS): Merinci bagaimana sistem secara teknis dibangun atau dikonfigurasi. DS digunakan untuk perangkat lunak kustom (Kategori 5) dan mencakup detail arsitektur, struktur basis data, algoritma, dll. CS digunakan untuk perangkat lunak terkonfigurasi (Kategori 4) dan mendokumentasikan pengaturan spesifik, parameter, dan pilihan konfigurasi yang dibuat.11
Verifikasi (Verification – Pengujian):
Rencana/Strategi Pengujian (Test Plan/Strategy): Mendefinisikan pendekatan pengujian secara keseluruhan, termasuk ruang lingkup, jenis pengujian, lingkungan pengujian, sumber daya, jadwal, dan kriteria lulus/gagal.14 Strategi ini harus didorong oleh penilaian risiko.13
Kualifikasi Instalasi (Installation Qualification – IQ): Memverifikasi bahwa perangkat keras dan perangkat lunak sistem telah diinstal dan dikonfigurasi dengan benar sesuai dengan spesifikasi desain/konfigurasi (DS/CS) dan rekomendasi vendor.11 Ini juga mencakup verifikasi infrastruktur pendukung.48
Kualifikasi Operasional (Operational Qualification – OQ): Menguji dan mendokumentasikan bahwa sistem beroperasi sesuai dengan spesifikasi fungsional (FS) di seluruh rentang operasi yang diharapkan.11 Ini memverifikasi fungsi utama, kontrol keamanan, penanganan kesalahan, dll.
Kualifikasi Kinerja (Performance Qualification – PQ) / Pengujian Penerimaan Pengguna (User Acceptance Testing – UAT): Memverifikasi bahwa sistem secara konsisten bekerja sesuai dengan persyaratan pengguna (URS) dalam lingkungan operasional aktual (atau simulasi yang representatif) dan oleh karena itu ‘sesuai untuk tujuan penggunaan’.6 Pengujian ini seringkali melibatkan skenario proses bisnis end-to-end.
Protokol/Skrip Pengujian (Test Protocols/Scripts): Dokumen yang berisi instruksi langkah demi langkah terperinci untuk melakukan setiap pengujian, termasuk data input yang diharapkan, langkah eksekusi, dan hasil yang diharapkan (kriteria penerimaan).19 GAMP 5 Edisi Kedua mendorong penggunaan pengujian berskrip (scripted testing) dan tanpa skrip (unscripted testing/exploratory testing) secara tepat, berdasarkan risiko.23
Pelaporan (Reporting):
Matriks Ketertelusuran (Traceability Matrix – TM): Dokumen penting yang menghubungkan setiap persyaratan dalam URS ke spesifikasi terkait (FS, DS/CS) dan ke tes verifikasi spesifik (IQ, OQ, PQ) yang membuktikannya. Ini menunjukkan bahwa semua persyaratan telah dipertimbangkan dan diuji.12
Laporan Pengujian (Test Reports): Mendokumentasikan hasil pelaksanaan protokol IQ, OQ, dan PQ, termasuk bukti objektif (misalnya, log, tangkapan layar jika diperlukan sesuai risiko), penyimpangan yang terjadi, dan kesimpulan lulus/gagal untuk setiap tes.
Laporan Ringkasan Validasi (Validation Summary Report – VSR): Merangkum semua aktivitas dan hasil validasi yang dilakukan selama fase proyek. Ini memberikan pernyataan akhir apakah sistem dianggap tervalidasi dan ‘sesuai untuk tujuan penggunaan’, serta secara formal melepaskan sistem untuk penggunaan operasional.12
Berikut adalah pemetaan konseptual antara tahapan model V dan hasil utama:
Mendemonstrasikan cakupan pengujian terhadap persyaratan & merangkum status validasi sistem secara keseluruhan
Semua
Tabel 2: Pemetaan Konseptual Tahapan Model V ke Hasil Utama Validasi
C. Mengintegrasikan Manajemen Risiko Mutu (QRM) Sepanjang Proses
Manajemen Risiko Mutu (QRM) bukanlah aktivitas yang dilakukan sekali di awal proyek, melainkan proses iteratif yang diterapkan secara berkelanjutan di seluruh siklus hidup sistem terkomputerisasi.2 QRM berfungsi sebagai panduan untuk mengarahkan upaya validasi dan memastikan fokus pada area yang paling kritis.
Integrasi QRM terjadi di setiap fase:
Fase Konsep: Penilaian dampak sistem awal membantu menentukan tingkat kekritisan GxP secara keseluruhan.49
Fase Proyek: Penilaian risiko fungsional mengidentifikasi fungsi-fungsi sistem yang memiliki dampak tertinggi pada keamanan pasien, kualitas produk, dan integritas data. Hasil penilaian ini secara langsung mendorong:
Tingkat kedalaman spesifikasi yang diperlukan (URS, FS, DS/CS).12
Ruang lingkup, jenis, dan tingkat keketatan pengujian yang akan dilakukan (misalnya, pengujian mana yang memerlukan skrip detail vs. pengujian tanpa skrip).38
Kebutuhan dan tingkat kedalaman penilaian pemasok.2
Identifikasi kontrol (teknis atau prosedural) yang perlu diterapkan untuk memitigasi risiko.49
Fase Operasi: Penilaian risiko digunakan untuk mengevaluasi dampak perubahan yang diusulkan (change control), menentukan ruang lingkup tinjauan berkala, dan memandu investigasi insiden atau penyimpangan.49
Fase Pensiun: Penilaian risiko membantu mengidentifikasi dan mengelola risiko yang terkait dengan migrasi atau pengarsipan data jangka panjang.
Tinjauan risiko (risk review) dan pemantauan kontrol (control monitoring) adalah aktivitas berkelanjutan untuk memastikan bahwa risiko tetap terkendali seiring waktu dan perubahan.2
QRM bertindak sebagai “mesin” yang menggerakkan prinsip skalabilitas dan efisiensi GAMP 5. Ini adalah mekanisme di mana pemikiran kritis diterapkan untuk memfokuskan sumber daya. Prinsip GAMP 5 mencakup skalabilitas dan pendekatan berbasis risiko.1 QRM adalah proses sistematis untuk menerapkan pendekatan berbasis risiko.2 Penilaian risiko menentukan di mana harus memfokuskan upaya dan berapa banyak upaya yang diperlukan (skalabilitas).38 Pemikiran kritis 41 diterapkan selama proses penilaian risiko dan identifikasi kontrol. Oleh karena itu, QRM bukan hanya prinsip lain tetapi metodologi inti yang memungkinkan penerapan praktis tujuan efisiensi dan fokus GAMP 5.
VI. Menerapkan GAMP 5 dalam Praktik
A. Strategi Validasi untuk Jenis Sistem yang Berbeda (misalnya, ERP, LIMS, SCADA/MES)
Prinsip dan kerangka kerja GAMP 5 dapat diterapkan pada berbagai jenis sistem terkomputerisasi yang umum digunakan dalam lingkungan GxP. Strategi validasi akan disesuaikan berdasarkan kategori sistem, kompleksitas, dan yang terpenting, dampak GxP-nya:
LIMS (Laboratory Information Management System):
Kategori Tipikal: Seringkali Kategori 4 (Terkonfigurasi), karena LIMS biasanya dikonfigurasi untuk mencocokkan alur kerja laboratorium spesifik, jenis pengujian, dan persyaratan pelaporan.20
Fokus Validasi: Verifikasi fungsi inti seperti pelacakan sampel, penjadwalan pengujian, entri hasil, perhitungan, pelaporan, manajemen standar dan reagen, antarmuka instrumen, jejak audit, tanda tangan elektronik, dan kontrol akses pengguna. Penilaian risiko harus mengidentifikasi fungsi mana (misalnya, perhitungan hasil kritis, pelaporan rilis batch) yang memerlukan pengujian paling ketat. URS, CS, dan kemungkinan FS diperlukan. IQ, OQ (memverifikasi konfigurasi alur kerja dan perhitungan), dan PQ (menggunakan skenario laboratorium dunia nyata) sangat penting.37 Integritas data adalah perhatian utama.
ERP (Enterprise Resource Planning):
Kategori Tipikal: Kompleks, seringkali Kategori 4 atau 5, tergantung pada tingkat kustomisasi.11
Fokus Validasi: Karena ERP mencakup banyak modul, penilaian risiko sangat penting untuk mengidentifikasi dan memfokuskan upaya validasi hanya pada modul dan fungsi yang memiliki dampak GxP langsung atau tidak langsung. Contoh modul GxP-relevan termasuk manajemen inventaris (bahan baku, produk jadi), manajemen batch, pelepasan produk, manajemen kualitas (penyimpangan, CAPA, kontrol perubahan), manajemen catatan pelatihan, dan terkadang modul manufaktur atau distribusi.60 Pemanfaatan dokumentasi vendor dapat signifikan, tetapi konfigurasi atau kustomisasi GxP-kritis harus diverifikasi secara menyeluruh. Studi kasus di 60 memberikan contoh penerapan GAMP 5 pada ERP, menyoroti pemfilteran fungsionalitas berdasarkan relevansi GMP dan penilaian risiko berbasis kode transaksi (T-Codes).
SCADA/MES/DCS (Supervisory Control and Data Acquisition / Manufacturing Execution System / Distributed Control System):
Kategori Tipikal: Umumnya Kategori 4 atau 5 karena sering melibatkan konfigurasi ekstensif atau logika kontrol kustom.11
Fokus Validasi: Sistem ini memiliki dampak kritis langsung pada proses manufaktur, kualitas produk, dan pencatatan batch elektronik (Electronic Batch Records – EBR). Validasi harus sangat ketat, berfokus pada verifikasi logika kontrol proses, akuisisi data parameter proses kritis (Critical Process Parameters – CPP), fungsi alarm dan penanganannya, keamanan sistem (mencegah perubahan tidak sah pada resep atau parameter), antarmuka dengan peralatan tingkat bawah (misalnya, PLC), dan keakuratan serta kelengkapan EBR yang dihasilkan. URS, FS, dan CS/DS yang detail mutlak diperlukan, bersama dengan IQ, OQ, dan PQ yang komprehensif.72
Spreadsheet:
Kategori Tipikal: Dapat bervariasi dari Kategori 3 (penyimpanan data sederhana), Kategori 4 (menggunakan formula, fungsi bawaan, tautan sel, validasi data), hingga Kategori 5 (menggunakan makro VBA atau skrip kustom).17
Fokus Validasi: Penilaian risiko adalah kunci untuk menentukan tingkat validasi yang sesuai. Untuk spreadsheet Kategori 4 atau 5 yang digunakan untuk perhitungan GxP kritis atau pengambilan keputusan, validasi harus mencakup verifikasi keakuratan formula/logika (seringkali melalui pengujian dengan set data independen), kontrol entri data, perlindungan sel/struktur, kontrol akses, dan manajemen kontrol perubahan yang kuat untuk setiap modifikasi pada logika atau struktur spreadsheet.
Menerapkan GAMP 5 pada sistem enterprise besar seperti ERP memerlukan pendekatan penilaian risiko modular untuk menjaga validasi tetap terkelola dan terfokus, daripada mencoba memvalidasi seluruh sistem secara monolitik. Sistem ERP kompleks dan mencakup banyak fungsi bisnis, tidak semuanya relevan dengan GxP.60 Validasi penuh akan sangat memberatkan dan tidak efisien, bertentangan dengan prinsip GAMP 5.2 Studi kasus ERP 60 secara eksplisit menjelaskan pemfilteran fungsi berdasarkan relevansi GMP dan melakukan penilaian risiko pada modul/kode transaksi spesifik (T-Codes). Ini menunjukkan penerapan praktis prinsip berbasis risiko dan skalabel 2 untuk memecah sistem besar menjadi komponen yang dapat dikelola dan diprioritaskan risiko untuk validasi.
B. Tantangan Umum dan Jebakan Implementasi
Meskipun GAMP 5 menyediakan kerangka kerja yang kuat, implementasinya dapat menghadapi beberapa tantangan dan jebakan umum:
Keterbatasan Sumber Daya: Validasi membutuhkan waktu, anggaran, dan personel yang terampil (SME, spesialis validasi, QA, IT) yang mungkin terbatas.12 Perencanaan sumber daya yang matang sangat penting.12
Kurangnya Pemahaman Produk/Proses: Seperti dibahas sebelumnya, hal ini mengarah pada URS yang buruk dan penilaian risiko yang tidak efektif, mengakibatkan validasi yang salah sasaran.
Manajemen Pemasok yang Buruk: Penilaian pemasok yang tidak memadai, tanggung jawab yang tidak jelas, kegagalan memanfaatkan dokumentasi vendor secara efektif, atau ketergantungan berlebihan tanpa pengawasan yang memadai.10
Dokumentasi Berlebihan / Mentalitas “Daftar Periksa”: Fokus pada volume dokumentasi daripada pemikiran kritis dan mitigasi risiko nyata, yang menyebabkan inefisiensi dan potensi mengabaikan risiko sebenarnya.18 Kesalahan interpretasi GAMP 5 sebagai metode yang terlalu preskriptif.29
Kontrol Perubahan yang Tidak Memadai: Kegagalan dalam mengelola perubahan pada sistem yang telah divalidasi secara efektif, menyebabkan status validasi sistem menyimpang seiring waktu.4
Resistensi Budaya: Kesulitan dalam mengadopsi pendekatan berbasis risiko dan pemikiran kritis (terutama dengan GAMP 5 Edisi Kedua/CSA), beralih dari praktik CSV tradisional yang mungkin lebih berfokus pada dokumentasi.22
Kompleksitas Sistem Modern: Teknologi baru seperti cloud computing (IaaS, PaaS, SaaS), AI/ML, dan blockchain memperkenalkan pertimbangan validasi baru dan tantangan terkait kontrol infrastruktur dan keamanan data.24
Pelatihan yang Tidak Memadai: Personel mungkin tidak cukup terlatih mengenai prinsip GAMP 5, prosedur QMS terkait validasi, persyaratan integritas data, atau penggunaan sistem spesifik yang benar.9
Praktik Dokumentasi yang Buruk (GDocP): Catatan validasi yang tidak lengkap, tidak akurat, tidak dapat dilacak, atau tidak tersedia merusak seluruh upaya validasi dan kepatuhan.4
Banyak tantangan implementasi berasal dari kelemahan mendasar dalam QMS organisasi atau kurangnya komitmen manajemen, bukan dari kekurangan dalam kerangka kerja GAMP 5 itu sendiri. Tantangan seperti dokumentasi yang buruk 4, pelatihan yang tidak memadai 9, kontrol perubahan yang lemah 4, dan sumber daya yang tidak mencukupi 58 menunjuk pada masalah sistemik. GAMP 5 bergantung pada QMS yang kuat 2 dan peran/tanggung jawab yang ditentukan.1 Jika QMS yang mendasarinya lemah atau kurang dukungan manajemen untuk menyediakan sumber daya yang diperlukan dan menumbuhkan budaya kualitas 39, implementasi GAMP 5 kemungkinan akan kesulitan, terlepas dari seberapa baik kerangka kerja tersebut dipahami secara teknis.
C. Mewujudkan Manfaat: Kepatuhan, Efisiensi, dan Pengurangan Risiko
Meskipun ada tantangan, penerapan GAMP 5 yang efektif memberikan banyak manfaat signifikan bagi organisasi di industri teregulasi:
Mencapai Kepatuhan Regulasi: Membantu memenuhi ekspektasi badan regulasi (FDA, EMA, dll.) untuk sistem terkomputerisasi GxP.12 Mempermudah proses audit dan inspeksi.17
Peningkatan Efisiensi dan Penghematan Biaya: Pendekatan berbasis risiko memfokuskan sumber daya pada area kritis, menghindari pekerjaan yang tidak perlu, dan berpotensi memanfaatkan upaya pemasok.1 Mengurangi “aktivitas yang tidak menambah nilai”.18
Peningkatan Kualitas Produk dan Keamanan Pasien: Memastikan sistem berfungsi secara andal, melindungi proses kritis dan integritas data yang mendukung kualitas produk dan keselamatan pasien.1
Pengurangan Risiko: Identifikasi dan mitigasi risiko proaktif terkait kegagalan sistem, membantu mencegah kesalahan yang merugikan atau penarikan produk.7
Peningkatan Keandalan dan Kinerja Sistem: Proses validasi memastikan sistem ‘sesuai untuk tujuan penggunaan’ dan beroperasi secara konsisten.1
Ketertelusuran dan Dokumentasi yang Lebih Baik: Menyediakan bukti validasi sistem yang jelas, terstruktur, dan dapat diaudit.4
Memfasilitasi Inovasi: Pendekatan berbasis risiko dan pemikiran kritis (terutama dalam Edisi Kedua) memungkinkan adopsi teknologi baru sambil tetap mempertahankan kontrol dan kepatuhan.1
Manfaat GAMP 5 saling terkait. Peningkatan efisiensi membebaskan sumber daya, yang dapat diinvestasikan kembali dalam manajemen risiko dan jaminan kualitas yang lebih baik, yang mengarah pada peningkatan kepatuhan dan pengurangan risiko secara keseluruhan dalam siklus yang baik. Keuntungan efisiensi 2 berarti lebih sedikit waktu/uang yang dihabiskan untuk tugas bernilai rendah. Ini memungkinkan fokus pada area berisiko tinggi 18, meningkatkan pengurangan risiko.17 Manajemen risiko yang lebih baik secara langsung mendukung kualitas produk dan keamanan pasien.1 Peningkatan kualitas dan pengurangan risiko mengarah pada kepatuhan yang lebih kuat dan audit yang lebih mudah.17 Lingkaran umpan balik positif ini menunjukkan bahwa manfaatnya tidak terisolasi tetapi saling memperkuat ketika GAMP 5 diterapkan secara efektif.
D. Mengintegrasikan Aktivitas GAMP 5 dalam QMS Organisasi
Untuk memaksimalkan manfaat dan memastikan keberlanjutan, aktivitas siklus hidup GAMP 5 harus tertanam kuat dalam Sistem Manajemen Mutu (QMS) organisasi.2 Ini bukan hanya tentang membuat dokumen validasi, tetapi mengintegrasikannya ke dalam cara kerja standar perusahaan. Titik integrasi praktis meliputi:
Prosedur Operasional Standar (SOP): Mengembangkan atau memperbarui SOP untuk validasi sistem terkomputerisasi yang secara eksplisit menggabungkan prinsip-prinsip GAMP 5, pendekatan berbasis risiko, kategorisasi, dan hasil (deliverables) yang diharapkan.4
Prosedur Manajemen Risiko: Memastikan prosedur QRM selaras dengan pendekatan GAMP 5 dan ICH Q9, dan diterapkan secara konsisten pada sistem terkomputerisasi.49
Proses Kontrol Perubahan: Memastikan proses kontrol perubahan QMS mencakup evaluasi dampak perubahan pada sistem terkomputerisasi yang tervalidasi, termasuk penilaian risiko dan kebutuhan validasi ulang.2
Prosedur Manajemen Pemasok: Memasukkan kriteria penilaian pemasok berbasis GAMP 5 (termasuk evaluasi QMS pemasok) ke dalam prosedur kualifikasi dan pengelolaan pemasok.10
Program Pelatihan: Mengintegrasikan pelatihan tentang prinsip GAMP 5, metodologi validasi, integritas data, dan penggunaan sistem spesifik ke dalam matriks pelatihan personel yang relevan (QA, IT, Validasi, Pengguna, Teknik).9
Sistem Manajemen Dokumen: Menggunakan sistem manajemen dokumen QMS untuk mengontrol pembuatan, peninjauan, persetujuan, distribusi, dan pengarsipan semua catatan validasi GAMP 5, memastikan ketertelusuran dan integritas dokumen.4
Proses Tinjauan Berkala: Memasukkan peninjauan status validasi sistem terkomputerisasi sebagai bagian dari tinjauan berkala produk atau sistem yang diatur oleh QMS.2
Integrasi yang sukses memerlukan dukungan dari atas ke bawah dan kolaborasi lintas fungsi (TI, QA, Teknik, Unit Bisnis, Validasi). Ini bukan hanya tugas departemen QA atau Validasi. GAMP 5 melibatkan banyak peran 2 dan mencakup seluruh siklus hidup.2 Mengintegrasikan aktivitas ini ke dalam QMS memerlukan penyelarasan prosedur antar departemen (misalnya, manajemen perubahan TI, pengawasan QA, definisi URS Unit Bisnis).4 Ini membutuhkan kolaborasi 20 dan struktur tata kelola yang jelas 2, yang biasanya memerlukan dukungan dan arahan manajemen untuk ditetapkan dan ditegakkan secara efektif di seluruh silo organisasi.
VII. Lanskap yang Berkembang: GAMP 5 Edisi Kedua dan CSA
Industri ilmu hayati terus berkembang, didorong oleh kemajuan teknologi dan perubahan ekspektasi regulasi. GAMP 5 Edisi Kedua dan munculnya konsep Computer Software Assurance (CSA) mencerminkan evolusi ini.
A. Perubahan dan Peningkatan Utama dalam GAMP 5 Edisi Kedua (Juli 2022)
Edisi Kedua GAMP 5 diterbitkan 14 tahun setelah edisi pertama, mengakui perubahan signifikan dalam teknologi (misalnya, cloud, AI/ML, blockchain) dan metodologi pengembangan perangkat lunak (misalnya, Agile).17 Tujuannya adalah memperbarui aplikasi GAMP 5 untuk dunia modern, memfasilitasi inovasi, dan menghilangkan pendekatan yang dianggap memberatkan, sambil mempertahankan prinsip inti.22 Perubahan dan penekanan utama meliputi:
Penekanan Kuat pada Pemikiran Kritis (Critical Thinking): Ini adalah pilar utama edisi baru, dengan lampiran khusus (M12). Mendorong pengambilan keputusan berbasis risiko oleh SME yang berpengetahuan, beralih dari kepatuhan berbasis daftar periksa menuju jaminan kualitas yang sebenarnya.18
Dukungan Eksplisit untuk Pengembangan Agile/Iteratif: Mengakui bahwa pendekatan linier (model V) bukanlah satu-satunya cara. Kerangka GAMP 5 secara eksplisit dinyatakan mendukung metode non-linier, iteratif, dan inkremental. Lampiran baru (D8) membahas penerapan Agile dalam lingkungan GxP.2
Peningkatan Pentingnya Penyedia Layanan/Pemasok: Menekankan pentingnya kolaborasi dan pemanfaatan pengetahuan serta dokumentasi pemasok, terutama dalam konteks layanan cloud (IaaS, PaaS, SaaS). Panduan manajemen pemasok diperbarui.18
Penggunaan Alat Perangkat Lunak & Otomatisasi: Mendorong penggunaan alat (tools) untuk mengelola siklus hidup, pengujian, dan dokumentasi, mencerminkan pergeseran dari dokumen kertas ke catatan dalam sistem. Otomatisasi pengujian juga didorong.22
Penanganan Teknologi Baru: Lampiran diperluas atau ditambahkan untuk mencakup AI/ML (D11), Blockchain (D10), Cloud Computing (terintegrasi, terutama di M11), dan Perangkat Lunak Sumber Terbuka (Open-Source Software – OSS).24
Panduan Infrastruktur TI yang Diperbarui: Lampiran baru (M11) membahas infrastruktur TI modern, termasuk lingkungan cloud, dan menyelaraskannya dengan praktik terbaik seperti ITIL (IT Infrastructure Library).22
Pendekatan Pengujian yang Disempurnakan: Lampiran D5 tentang pengujian diperbarui secara signifikan. Mendorong pengujian berbasis risiko, penggunaan pengujian tanpa skrip (unscripted/exploratory testing) yang sesuai untuk memperluas cakupan, dan penggunaan pengujian otomatis. Penekanan pada dokumentasi pengujian yang berlebihan (misalnya, tangkapan layar untuk setiap langkah) dikurangi.23
Penguatan Fokus Integritas Data: Penekanan pada integritas data diperkuat di seluruh panduan. Lampiran tentang Catatan Produksi Elektronik (Electronic Production Records – EPRs) diperbarui untuk mencerminkan teknologi baru dan praktik terbaik.41
Lampiran yang Dipensiunkan: Lampiran D2 (Spesifikasi Fungsional), O7 (Aktivitas Perbaikan), dan S5 (Mengelola Kualitas dalam Lingkungan IS/IT yang Dialihdayakan) telah dipensiunkan, dengan konten relevannya digabungkan ke dalam bagian atau lampiran lain.23
GAMP 5 Edisi Kedua mewakili pergeseran filosofis yang signifikan menuju prioritas jaminan kesesuaian untuk tujuan penggunaan melalui pemikiran kritis dan manajemen risiko, daripada hanya berfokus pada proses pembuatan dokumentasi validasi. Ini adalah evolusi menuju prinsip-prinsip yang sekarang diformalkan dalam CSA. Penambahan eksplisit pemikiran kritis 22, pergeseran dari linearitas kaku menuju Agile 22, dorongan penggunaan alat daripada kertas 22, dan fokus pada pengujian berbasis risiko dengan beban dokumentasi yang lebih sedikit 23 semuanya menunjuk pada fokus pada keyakinan dan jaminan berdasarkan pemahaman dan risiko, daripada penyelesaian prosedural. Ini selaras langsung dengan tujuan dan metode CSA yang dinyatakan.39 Edisi ke-2 secara efektif menjembatani kerangka kerja GAMP yang mapan dengan filosofi CSA yang muncul.
B. Memahami Computer Software Assurance (CSA)
Computer Software Assurance (CSA) adalah pendekatan yang didorong oleh FDA (dengan draf panduan yang dirilis pada September 2022) yang menekankan penggunaan pemikiran kritis dan metode berbasis risiko untuk membangun keyakinan (assurance) bahwa perangkat lunak yang digunakan dalam sistem produksi atau kualitas sesuai untuk tujuan penggunaannya.18
Tujuan utama CSA adalah untuk:
Mengurangi beban validasi untuk sistem/fitur berisiko lebih rendah.
Memfokuskan upaya pengujian pada area berisiko tinggi yang berdampak pada keamanan pasien, kualitas produk, atau integritas data.
Mendorong adopsi teknologi baru dengan membuat proses validasi lebih efisien.
Menggeser fokus dari pembuatan volume dokumentasi ke pemikiran kritis, pengujian yang efektif, dan jaminan kualitas.18
Proses inti CSA melibatkan empat langkah utama 52:
Identifikasi Tujuan Penggunaan (Intended Use): Memahami fungsi spesifik perangkat lunak atau fitur.
Tentukan Pendekatan Berbasis Risiko: Menilai dampak potensial dari kegagalan fungsi tersebut terhadap pasien, produk, atau integritas data.
Tentukan Aktivitas Jaminan (Assurance Activities) yang Sesuai: Memilih jenis dan tingkat keketatan pengujian (misalnya, pengujian tanpa skrip untuk risiko rendah, pengujian berskrip ketat untuk risiko tinggi) berdasarkan risiko yang teridentifikasi.
Buat Catatan (Record) yang Sesuai: Mendokumentasikan aktivitas jaminan yang dilakukan dan hasilnya, dengan fokus pada bukti jaminan daripada volume dokumentasi.
CSA secara fundamental adalah tentang menerapkan prinsip berbasis risiko GAMP 5 secara lebih ketat dan pragmatis, terutama mengenai penskalaan upaya validasi dan dokumentasi, didorong oleh dorongan regulasi langsung. GAMP 5 sudah mencakup pendekatan berbasis risiko dan skalabilitas.1 CSA menggunakan konsep yang sama ini 56 tetapi memberikan dukungan FDA yang lebih eksplisit untuk mengurangi upaya pada item berisiko rendah dan memfokuskan pengujian.18 Ini mengklarifikasi bagaimana menskalakan secara efektif 52 dan menggeser penekanan dari volume dokumentasi ke aktivitas jaminan.39 Ini pada dasarnya adalah FDA yang memperkuat dan mengklarifikasi penerapan efisien ide inti GAMP untuk mengatasi “beban validasi”.18
C. Membandingkan dan Menyelaraskan GAMP 5 (Edisi Kedua) dan CSA
Penting untuk memahami hubungan antara GAMP 5 Edisi Kedua dan CSA:
Hubungan: CSA bukanlah pengganti GAMP 5, melainkan pendekatan yang melengkapi dan dibangun di atas prinsip-prinsip GAMP 5.18 GAMP 5 menyediakan metodologi (“bagaimana”), sementara CSA (dengan dukungan FDA) memperkuat fokus berbasis risiko (“mengapa”) dan penentuan tingkat upaya (“berapa banyak”).20 GAMP 5 Edisi Kedua secara eksplisit dirancang untuk selaras dengan konsep CSA.22
Persamaan: Keduanya menggunakan pendekatan berbasis risiko yang berpusat pada keamanan pasien, kualitas produk, dan integritas data. Keduanya menekankan pentingnya pemikiran kritis. Keduanya bertujuan untuk efisiensi dalam proses validasi/jaminan.18
Perbedaan Penekanan: CSA memberikan penekanan yang lebih kuat pada pengurangan beban dokumentasi dan secara eksplisit mempromosikan penggunaan pengujian tanpa skrip untuk risiko yang lebih rendah. GAMP 5 menyediakan kerangka kerja siklus hidup yang lebih rinci, termasuk struktur kategorisasi perangkat lunak.18 Ruang lingkup GAMP 5 lebih luas (seluruh siklus hidup), sedangkan panduan CSA saat ini lebih fokus pada jaminan untuk perangkat lunak sistem produksi dan kualitas.39
Integrasi: Organisasi dapat menggunakan kerangka kerja GAMP 5 (siklus hidup, kategori, QRM) sebagai dasar dan menerapkan pemikiran kritis CSA untuk menentukan tingkat keketatan dan dokumentasi yang sesuai untuk setiap aktivitas. Panduan GAMP 5 Edisi Kedua tentang Agile, alat, dan pendekatan pengujian modern dapat dimanfaatkan dalam konteks ini.18
Penyelarasan antara GAMP 5 Edisi Kedua dan CSA memberikan jalan bagi industri untuk memodernisasi praktik validasi, membuatnya lebih efisien dan fokus pada risiko, sambil tetap memastikan kepatuhan terhadap persyaratan GxP dan perlindungan kesehatan masyarakat.
VIII. Kesimpulan
GAMP 5, khususnya Edisi Kedua, berdiri sebagai kerangka kerja panduan yang tak ternilai bagi industri ilmu hayati untuk menavigasi kompleksitas validasi sistem terkomputerisasi dalam lingkungan GxP yang ketat. Ini bukan sekadar kumpulan aturan, melainkan sebuah metodologi yang berakar pada prinsip-prinsip manajemen risiko, pemahaman proses, dan pengelolaan siklus hidup yang komprehensif. Tujuan utamanya tetap tidak berubah: memastikan sistem terkomputerisasi aman, andal, sesuai untuk tujuan penggunaan, dan yang terpenting, melindungi keamanan pasien, kualitas produk, dan integritas data.
Pendekatan berbasis risiko yang dianjurkan oleh GAMP 5 memungkinkan organisasi untuk memfokuskan sumber daya mereka secara efisien, menerapkan tingkat keketatan validasi yang proporsional dengan risiko yang teridentifikasi. Kategorisasi perangkat lunak berfungsi sebagai alat bantu dalam proses ini, meskipun penekanannya tetap pada dampak GxP aktual dari sistem. Pengelolaan siklus hidup yang terintegrasi dalam QMS memastikan bahwa kualitas dan kepatuhan bukanlah aktivitas satu kali, tetapi proses berkelanjutan yang melibatkan berbagai pemangku kepentingan.
Implementasi GAMP 5 memang dapat menghadirkan tantangan, mulai dari keterbatasan sumber daya hingga kebutuhan akan perubahan budaya menuju pemikiran kritis dan manajemen pemasok yang lebih kuat. Namun, manfaat yang diperoleh—termasuk kepatuhan regulasi yang lebih baik, peningkatan efisiensi, pengurangan risiko, dan fasilitasi inovasi—jauh melebihi kesulitan implementasi jika dilakukan dengan benar.
Evolusi menuju GAMP 5 Edisi Kedua dan munculnya CSA menandakan pergeseran penting dalam lanskap validasi. Penekanan pada pemikiran kritis, dukungan untuk metodologi Agile, pemanfaatan alat modern, dan fokus pada jaminan kualitas daripada sekadar dokumentasi, semuanya bertujuan untuk membuat validasi lebih pragmatis, efisien, dan selaras dengan kecepatan inovasi teknologi. Organisasi yang berhasil mengadopsi prinsip-prinsip ini akan berada pada posisi yang lebih baik untuk tidak hanya memenuhi persyaratan regulasi saat ini tetapi juga untuk memanfaatkan teknologi baru secara bertanggung jawab demi kemajuan perawatan kesehatan. Pada akhirnya, penerapan GAMP 5 yang bijaksana dan berbasis risiko adalah investasi penting dalam memastikan integritas operasi, kepercayaan publik, dan hasil kesehatan pasien yang positif.
No comments yet.