CSA Methodology: Risk-Based Validation Explained in 5 Steps

Computer Software Assurance (CSA) ist der von der FDA geprägte Ansatz für risikobasierte Software Assurance im regulierten Umfeld. Statt jede Funktion gleich tief zu testen, fokussieren Sie den Aufwand auf hochrisiko-relevante Features. Fünf Schritte führen durch die Implementierung: Risikobewertung, Use-Case-Zentrierung, gestaffelte Testtiefe, Vendor Evidence und kontinuierliche Anpassung. CSA ersetzt CSV nicht — sie schärft die Methodik im Sinne der FDA-Guidance zu Computer Software Assurance und der GAMP 5 Second Edition. In unseren Projekten reduziert sich der Validierungsaufwand dadurch typischerweise deutlich — bei gleichbleibender Audit-Belastbarkeit.

Ihr Team validiert ein neues System nach einem etablierten CSV-Framework. Alle Funktionen werden ähnlich tief getestet, die Dokumentation wächst, das Go-Live-Datum rückt nach hinten. Im Steering wird gefragt, warum es nicht schneller geht — obwohl jeder im Raum weiß, dass ein großer Teil der Tests auf Funktionen entfällt, die niemand kritisch nutzt.

Die FDA hat mit Computer Software Assurance (CSA) einen Ansatz geprägt, der genau hier ansetzt. CSA fokussiert Test-Aufwand auf das, was wirklich zählt: hohes Risiko. In der Praxis wird CSA jedoch oft missverstanden — als „weniger validieren” interpretiert, statt als „klüger validieren”. Genau dort entstehen die neuen Audit-Risiken.

Dieser Leitfaden zeigt die fünf Schritte einer sauberen CSA-Umsetzung — und wo die häufigsten Missverständnisse lauern.

Was CSA wirklich ist (und was nicht)

Computer Software Assurance ist ein risikobasierter Validierungs-Ansatz, den die FDA mit ihrer Guidance zu Computer Software Assurance fachlich geschärft hat. Der Kern: Critical Thinking First — Dokumentation folgt dem Risiko, nicht umgekehrt.

Moderne CSA-Ansätze ermöglichen es, Test-Aufwand und Dokumentation stärker auf risikorelevante Funktionen zu fokussieren. Statt jedes Feature gleich tief zu dokumentieren, jeden Workflow zu testen und jede Konfiguration zu belegen, lenkt CSA Aufmerksamkeit gezielt dorthin, wo Risiko entsteht. So entstehen schlankere Validierungs-Pakete — und Teams gewinnen Zeit für risikoorientiertes Denken.

CSA dreht die Logik um. Die Frage lautet nicht mehr „Was müssen wir alles testen?”, sondern „Wo kann ein Fehler echten Schaden verursachen — und wie reduzieren wir genau dieses Risiko?”.

Legacy-CSV-Umsetzung vs. moderner CSA-Ansatz

Aspekt	Legacy-CSV-Umsetzung	Moderner CSA-Ansatz
Test-Strategie	Volltestung aller Funktionen	Risikobasiert: Fokus auf hohes Risiko
Dokumentations-Output	typischerweise 200–500 Seiten	typischerweise 60–120 Seiten (audit-belastbar)
Vendor-Hebel	eigene Tests dominant	Vendor Evidence strukturiert eingebunden
Tempo	erfahrungsgemäß 6–14 Monate	in vielen Projekten 8–12 Wochen
Mindset	Dokumentation first	Critical Thinking first
FDA-/Guidance-Bezug	anerkannt, aber oft dokumentationslastig umgesetzt	von der CSA-Guidance gestützt
Audit-Belastbarkeit	branchenüblich	gleich oder besser bei durchgängig risikobasierter Umsetzung

Die 5 Schritte der CSA-Methodik

Schritt 1: Risikobewertung vor Test-Skript

Vor jedem Test steht die Frage: Was kann fehlgehen, wie wahrscheinlich ist es, wie schwerwiegend wäre es?

Die Bewertung erfolgt nach ICH Q9 — strukturiert, dokumentiert, nachvollziehbar. Jede Funktion erhält eine Risiko-Klassifikation: hoch, mittel, niedrig. Diese Klassifikation steuert ab sofort jeden weiteren Schritt.

Praktischer Output: Eine Risiko-Matrix pro System. Für ein typisches LIMS sind das 15–30 funktionale Bereiche, von denen meist 4–8 als High Risk eingestuft werden. Genau diese 4–8 Bereiche erhalten die volle Test-Tiefe.

Schritt 2: Use-Case-zentrierte Anforderungen

User Requirements Specifications (URS) werden in CSA nicht mehr als reine Feature-Liste geschrieben. Stattdessen beschreiben sie die kritischen User-Journeys: Welche Aufgaben muss der Nutzer im Alltag erfolgreich abschließen — und welche Fehler dürfen dabei nicht passieren?

Das schärft die URS in zwei Richtungen. Erstens: Sie wird kürzer und präziser. Zweitens: Sie liefert direkt die Testfälle, die später benötigt werden. In unseren Projekten reduziert eine gut geschriebene URS den späteren Validierungsaufwand spürbar.

Schritt 3: Gestaffelte Testtiefe nach Risiko

Statt jede Funktion mit dokumentierten Test-Skripten zu prüfen, wird die Testtiefe an das Risiko angepasst:

• High Risk: Ausführliche, dokumentierte Test-Skripte mit nachvollziehbarer Evidenz
• Medium Risk: Stichproben-Testung, ergänzt durch Vendor Evidence und dokumentierte Risikobegründung
• Low Risk: Reduzierte Testtiefe — abhängig von Intended Use, qualifiziertem Lieferantenstatus, GxP-Kritikalität und dokumentierter Risikobegründung. Eine Hersteller-Erklärung allein reicht nicht; die Bewertung muss begründet und nachvollziehbar sein.

Dieser Schritt erzeugt die größte Zeitersparnis. In unseren Projekten beobachten wir typischerweise 40–60 % weniger Test-Aufwand bei Standard-Systemen wie LIMS, MES oder ERP-Modulen.

Schritt 4: Vendor Evidence sauber strukturieren

Vendor Evidence ist mehr als „ISO-Zertifikat akzeptieren”. Die FDA-Guidance erlaubt es, Lieferanten-Verantwortung als Teil der Validierungs-Evidenz zu nutzen — aber nur unter klaren Voraussetzungen:

• Lieferantenqualifizierung: Der Lieferant ist nach GxP-Kriterien bewertet und freigegeben
• Intended Use definiert: Was wird vom System erwartet, in welchem regulatorischen Kontext?
• GxP-Kritikalität klassifiziert: Welche regulatorische Bedeutung hat die jeweilige Funktion?
• Change Control vereinbart: Wie wird mit Lieferanten-Updates umgegangen?
• Traceability gesichert: Vendor Evidence ist eindeutig zur eigenen Risikobewertung verknüpft
• Evidenz-Bewertung dokumentiert: Hersteller-Tests werden nicht ungeprüft übernommen, sondern bewertet

Mit diesem Setup ersetzen qualifizierte Lieferanten-Belege ganze Test-Pakete — bei nachvollziehbarer Audit-Belastbarkeit.

Schritt 5: Kontinuierliche Anpassung im Lifecycle

CSA ist kein einmaliger Setup-Akt vor dem Go-Live. Sie ist ein kontinuierlicher Prozess. Nach Go-Live werden Risiko-Bewertungen regelmäßig überprüft — typischerweise jährlich oder bei wesentlichen Änderungen.

Bei Patches, Updates oder neuen Integrations-Punkten wird das Risiko-Profil neu bewertet, nicht das gesamte System neu validiert. Das hält den laufenden Validierungs-Aufwand niedrig und sichert gleichzeitig die kontinuierliche Compliance.

Governance: Die unsichtbare Voraussetzung

CSA funktioniert nur, wenn IT, QA, Fachbereich und Lieferant dieselbe Risiko-Logik verwenden. Eine isolierte Methodik-Umstellung in der IT-Abteilung greift nicht — die Risiko-Bewertung muss als gemeinsamer Bewertungsstandard zwischen allen Stakeholdern verankert werden.

Praktisch bedeutet das: Ein gemeinsamer Risk-Assessment-Standard, klare Schnittstellen-Vereinbarungen, ein abgestimmtes Change-Management und regelmäßige Stakeholder-Reviews. Wo dieser Konsens fehlt, produziert CSA Reibungsverluste statt Effizienz.

Drei häufige Missverständnisse — und wie Sie sie vermeiden

Missverständnis 1: „CSA bedeutet weniger Tests.”

CSA bedeutet gezieltere Tests. Bei hochrisiko-relevanten Funktionen wird sogar tiefer getestet — weil die Aufmerksamkeit gezielt dort konzentriert wird. Wer CSA als Spar-Programm interpretiert, produziert genau die Audit-Findings, die der Ansatz eigentlich verhindern soll.

Missverständnis 2: „CSA ersetzt CSV.”

CSA ist eine Weiterentwicklung der CSV-Methodik, kein Ersatz. Beide Frameworks koexistieren. Hochkritische Sicherheits-Systeme (etwa Pharmakovigilanz oder klinische Datenbanken) bleiben in der Regel im klassischen CSV-Pfad. Standard-Systeme — LIMS, MES, ERP-Module — profitieren am stärksten von CSA.

Missverständnis 3: „CSA gilt nur für den FDA-Markt.”

Die FDA hat CSA initiiert. Auch europäische GxP-Erwartungen stützen risikobasiertes Vorgehen, etwa über Annex 11 und GAMP 5 Second Edition. CSA wird damit zunehmend zur tragenden Methodik in DACH-Pharma und Biotech — unabhängig davon, ob der primäre Markt USA oder EU ist.

Was Sie als IT-Leiter konkret tun können

Drei Hebel, in dieser Reihenfolge:

1. Quick Win (4–6 Wochen): Eine retrospektive Risiko-Bewertung Ihres aktiv validierten Systems. Identifiziert, welche Test-Pakete im nächsten Validierungs-Zyklus reduziert werden können — bei voller Audit-Belastbarkeit.

2. Mid-Term (3–6 Monate): URS-Modernisierung für das nächste Validierungs-Projekt. Use-Case-zentrierte Spezifikationen reduzieren den späteren Aufwand systematisch.

3. Long-Term (6–12 Monate): Team-Skills und Governance aufbauen. CSA verlangt risikobasiertes Denken auf jeder Ebene — vom Tester bis zum QA-Manager. Schulungen und Coaching während eines echten Projekts wirken deutlich besser als isolierte Trainings. Parallel: gemeinsamer Risk-Assessment-Standard für IT, QA, Fachbereich und Lieferanten.

Häufige Fragen

Eignet sich CSA für alle GxP-Systeme?

Nein. Für hochkritische Sicherheits-Systeme — etwa Pharmakovigilanz-Plattformen oder klinische Datenbanken — bleibt klassisches CSV der Standard. Für viele Standard-Systeme wie LIMS, MES, ERP-Module und Cloud-Plattformen bietet CSA einen praxistauglichen, regulatorisch anschlussfähigen Weg.

Wie steht CSA zur GAMP 5 Second Edition?

Sehr gut kompatibel. GAMP 5 Second Edition stützt risikobasierte Validierung methodisch und ist mit der CSA-Logik gut vereinbar. Beide Frameworks lassen sich ohne Konflikt parallel anwenden.

Was kostet die Umstellung auf CSA?

Der Aufwand hängt vom Reifegrad Ihrer aktuellen Validierungs-Praxis ab. Ein Strategiegespräch klärt in 30 Minuten, wo Ihr aktuelles Validierungs-Setup steht und welche CSA-Hebel realistisch sind.

Quellen

• FDA Guidance zu Computer Software Assurance (Final)
• ISPE GAMP 5: A Risk-Based Approach to Compliant GxP Computerized Systems, Second Edition (Juli 2022)
• ICH Q9(R1) Quality Risk Management
• EU-GMP Annex 11
• 21 CFR Part 11: Electronic Records; Electronic Signatures

---

Autor

Daniel Herrmann Consulting — Boutique-Beratung für GxP-Compliance und Computer System Validation in Pharma, Biotech und MedTech. 15+ Jahre Hands-on-Expertise. 60+ validierte Systeme. 100 % Audit-Bestehensquote. 0 kritische Findings.