análisis de riesgo de sistemas informáticos complejos · dos principios esenciales de la gestión...

12017- AR de Sistemas Informáticos Complejos

Análisis de Riesgo de Sistemas

Informáticos Complejos

http://www.latconsultores.com.ar/novedades/Expo-Farma-Uruguay-id113.html


Conceptos Generales de Enfoque en Base a Riesgos


Principios Básicos de la Q9 QUALITY RISK MANAGEMENT

Dos principios esenciales de la gestión de riesgos son:

• La evaluación del riesgo de la calidad debería estar ligada a la protección del paciente.

• El nivel de esfuerzo, la formalidad y la documentación del proceso de gestión del riesgo debe ser acorde con el nivel de riesgo y se basará en conocimientos científicos.

Un Enfoque en Base a Riesgos


La administración de riesgos o Quality Risk Management es un proceso sistemático:

Análisis de Riesgo - Risk Assessment

Control de Riesgo - Risk Control

Comunicación de Riesgo - Risk Communication

Revisión de Riesgo - Risk Review

El énfasis en cada etapa puede variar caso a caso

Un proceso sólido incorporará todos los elementos en un nivel apropiado de detalle



¿Cómo se hace el Risk Assessment ?

EXTRAC

CIÓ

N D

E RESU

LTADO

S

1 Iniciar el Análisis

2 Análisis de Peligrosidad o escenarios de riesgo

3 Evaluación de Riesgo

DO

CU

MEN

TACIÓ

N

Desarrollo del Análisis

GAMP® 5: A Risk-Based Approach to Compliant GxP Computerized

Systems (Appendix 6 & M3)

ISPE Guide: Science and Risk- Based Approach for the Delivery of

Facilities, Systems, and Equipment (Appendix 1)


c) Definición del Alcance (qué objetivo queremos alcanzar?)• Elección de la técnica más adecuada de análisis• Definición de los peligros a tener en cuenta• Preparación de un diagrama de flujo o P&ID

(dividir el sistema en componentes)

a) Recopilación de toda la información disponible del sistema

• Considerar los “limites” del sistema• El nivel de detalle de la información disponible• Los requerimientos aplicables al sistema

b) Formación del Equipo de Trabajo

La dimensión de los componentes depende de: la complejidad del sistema; la importancia de los peligros potenciales; el alcance del análisis

1_Iniciar el Análisis


¿Cuáles son las causas?

¿Cuáles son las consecuencias?

¿Puedo evitar que los daños aparezcan?

¿Puedo limitar los daños?

DESCRIPCIÓN DE LOS ESCENARIOS DE RIESGO

2_ Análisis de Peligrosidad


ÍNDICE DE PRIORIDAD DE RIESGOIPR = (severidad) x (probabilidad) x (detectabilidad)

3Alta2Media

PROBABILIDAD

1Baja

3Alta2Media

SEVERIDAD

1Baja

DETECTABILIDAD

Alta 1Media 2Baja 3

1 < RPI < 27(podemos usar distintas escalas: 1÷5 o 1÷10)

Evaluación Cuantitativa

Riesgo = criticidad de cada situación de peligro

3_ Evaluación del Riesgo


EVALUACIÓN POR REGIONES

Riesgo

Totalmente

Aceptable

Riesgo

Inaceptable

ALARP

(Tan Bajo Como es

Razonablemente Practico)



Bajo Medio Alto

Alto

Medio

Bajo Nivel 3

Nivel 2

Nivel 1

Bajo Medio Alto

Nivel 1

Nivel 2

Nivel 3 BAJO RIESGO

MEDIANO RIESGO

ALTO RIESGO

EVALUACIÓN POR MATRICES



El informe final incluye: breve descripción del sistema que hemos analizado descripción detallada de la metodología utilizada flujograma de proceso o diagrama de bloques donde se describen

los componentes del sistema y como se ha dividido sistemas de recopilación de datos Criterio de Aceptación para ETAPA I y II listado de los miembros del equipo de trabajo listado de documentación de referencia Resumen de Resultados Conclusiones

Los resultados obtenidos

COMPLETA

todos los resultados obtenidos, para dar

pruebas de toda la elaboración de

resultados

POR EXCEPCIÓN O SUMMARY

registros de los escenarios de riesgo alto

y medio de forma que se puedan analizar

los casos mas relevantes.

4_ Documentación


Revisar las acciones que deben implementarse

Analizar nuevamente las partes que lo requieran

En caso de haberse modificado el sistema a evaluar puede ser necesario realizar un nuevo

análisis de riesgo

4_ Documentación


Failure Mode Effects Analysis (FMEA)

Failure Mode Effects & Criticality Analysis (FMECA)

Fault tree analysis (FTA)

Hazard Analysis of Critical Control Points (HACCP)

Hazard Operability Analysis (HAZOP)

Risk Ranking and Filtering (RRF)

Preliminary Hazard Analysis (PHA)

Herramientas estadísticas de soporte (ANOVA, Histogramas, CPK, MKT, QbD, etc.)

Herramientas de Administración de Riesgos ICH Q9


• Instituir el uso de métodos científicos para justificar las

decisiones e integrarlos en el sistema de gestión de la calidaddel laboratorio

• No evita la obligación de la industria para "cumplir conlos requisitos regulatorios”

• Facilitar mejores y más informadas decisiones

• Puede proporcionar a los reguladores una mayorgarantía de la capacidad de una empresa para tener bajocontrol la calidad de sus productos

• Facilita un mejor uso y designación de los recursos

• No puede utilizarse como forma de justificación de unincumplimiento regulatorio.

Integración de la Administración de Riesgos en la Industria y las

Operaciones Reguladas


Integración de la Administración de Riesgos

• Documentación

• Defectos de calidad

• Auditorias / Inspecciones

• Revisión periódica

• Administración y control de cambios

• Entrenamiento y educación

Industria

• Desarrollo (QbD)

• Instalaciones, equipos y utilidades

• Administración de materiales

• Producción

• Control de calidad y ensayos de estabilidad

• Empaque y etiquetado

• Mejora continua

Operaciones Regulatorias

• Actividades de inspección

• Estudios de Factibilidad Regulatoria

Algunas aplicaciones…


• Metodología sistemática, científica y basada en datos (reduce la subjetividad, pero no la elimina)

• Los niveles de riesgo permiten definir prioridades

• Mejora la toma de decisiones dando un soporte científico

• Identifica cuales escenarios poseen mayores beneficios para el paciente

• Mejora la comunicación al documentar las valoraciones

• Es una herramienta para la construcción de la calidad

Beneficios



El Quality Risk Management no provee excusas para estar

fuera de cumplimiento de las regulaciones aplicables!!!

Esta filosofía involucra la necesidad de profundizar el

conocimiento del proceso, sus variables criticas y su relación

con los atributos y las especificaciones de calidad del producto en

estudio.

La metodología esta basada en la evaluación y análisis del riesgo

durante el ciclo de vida del producto.

Conclusiones - 1


Metodología sistemática, científica y basada en datos (reduce la

subjetividad, pero no la elimina)

Los niveles de riesgo permiten definir prioridades

Mejora la toma de decisiones dando un soporte científico

Identifica cuales escenarios poseen mayores beneficios para el

paciente

Mejora la comunicación al documentar las valoraciones

Es una herramienta para la construcción de la calidad

Conclusiones - 2


Los elaboradores quizás no puedan reducir notablemente losrecursos dedicados al cumplimiento de las cGMP pero seráncapaces de enfocar sus esfuerzos e incrementar suconocimiento del proceso productivo, su tecnología y sucapacidad para manejarlos y reducir los riesgos de cualquiertipo.

Se pueden reducir drásticamente los costos queacarrean los problemas de calidad; como recalls, OOS,desviaciones, reclamos, etc.

La calidad no puede ser solo testeada en los productos sino que debe ser diseñada y construida

Conclusiones - 3


Análisis de Riesgo de Sistemas de Gestión ERP


ERP: Example

Generic Architecture


Diferencias

Estructura Modular Módulos Independientes vinculados por un

Mecanismo de Transacciones Cada Modulo puede tener una interface Altamente Configurable Customizable usando lenguaje ABAP Implementación por Expertos Documentación estándar de implementación

(ASAP/Blueprint) Corporate Validation Support

Diseño en base a Funcionalidades Posee un sistema de interface particular utilizando

SQL (SQL Database Transaction) Altamente Configurable Customizable utilizando un ambiente Microsoft Implementación por Analistas y Expertos MS/SQL Paquete opcional de compliance (Process Industries) Configurable por un Menú Estándar Compatibilidad con Office Nativa (Data Import/Export)


SystemsSystem Level

Impact Assessment

Funcional LevelImpact

Assessment

syst

ems Direct

IndirectNo Impact fu

nctio

nalit

ies Critical

Non Critical

Enfoque Risk Based


Full Assessment – Methodology

DELIVERABLES

Prj.Planning&

Inventory

1

SystemsList

GMP &Process

Risk Assessment

2

Activity

Assessment21 CFR Part 11& Data Integrity

3Gap

Analysis

4

Planning

5

Risk Assessment

Report

SystemAssessment

Report

GapAnalysisReport

ActionPlan

RemediationPlan


Identify the Process Model (Process Flows / Process Mapping)

Use the existing Information

Involving the Key Users and IT

Applying the Risk Analysis to identify the “Real Impact” and the Real Criticality, and to put in place additional controls &/or corrective actions

Verify the applicability of controls and corrective actions depending on the structure, internal capabilities and impact on business processes

Como proceder?


• What kind of Process are executed?• What kind of Scope?• Consistency?• GMP Impact?

HOW

• The Process is done in this way?• It’s critical?• I need to control here?• Are there additional control?

WHY

• FIX TO DO IT BETTER

• Short Term Improvement / Procedures

• Minimize impactFIX

• Identify Test

• Execute test

• Consolidate, Report , identify Open Issue

Validate/ Control

• Set Change Control Procedures

• Set PQ Long Term

• Close Open Issues

• Change Management

IMPROVE

Business Process Management

D Design

M Model

E Execute

M Monitor

O Optimize

Metodología BPM Aplicada al Proyecto


Using Risk Based Approach

METODOLOGÍA DEL ANÁLISIS DE RIESGO La metodología del Análisis se aplica de acuerdo

con los siguientes pasos:

1. Mapeo de Procesos (GxP)2. Identificación de Funciones Criticas3. Identificación del Escenario de riesgo4. Evaluación de probabilidad5. Evaluación de severidad del impacto6. Asignación de clasificación al riesgo7. Evaluación de la probabilidad de detección8. Asignación de prioridad al riesgo

El riesgo está basado en la identificación de un “Evento o Escenario de Riesgo”. Para cada amenaza al sistema, se identifica un posible evento de riesgo, relacionado con una operación-no correcta y/o una potencial corrupción o incumplimiento GxP de los datos que se manejan. Los posibles eventos relacionados a un mal funcionamiento del sistema se listan en el Risk Assessment Report.A cada riesgo se asocia una acción correctiva que va a impactar en la validación del sistema.


3Colocar el material

en el muelle de entrada y registrar

contablemente

¿Entrada Validada?

NO

6Definir ubicación de

almacenaje por codigo de barras

SI

Material

Actualizacion de Sotck

Características de la Entrada

Características del MaterialNecesidad de

Entrada a Depósito

4Emisión Automática

del Pedido de Calidad o analisis

Pedido de Calidad

PROCESO DE CALIDAD

Resultado del Control

de Cantidad

PROCESO FACTURACION

Unidades en Depósito

PROCESO FASON

Etiquetas de bulto

Etiquetas de pallet

Remito de compra

5Emisión de etiquetas

1Generacion de pedido u OC

Interfase

2Atender necesidad

de entrada

7 Movimiento del

Material

10Aviso de las diferencias

Documentacion de la

mercaderia Asiento:-Ingreso por compras-Ingreso desde Producción-Ingreso por Devolución o canje de clientes

-Ingresos Varios

Ingreso de Materiales en Deposito




contablemente

¿Entrada Validada?

NO



SI

Material




Entrada a Depósito



Pedido de Calidad

PROCESO DE CALIDAD


de Cantidad

PROCESO FACTURACION


PROCESO FASON

Etiquetas de bulto

Etiquetas de pallet

Remito de compra



Interfase

2Atender necesidad

de entrada

8 Movimiento del

Material


Documentacion de la


-Ingresos Varios




contablemente

¿Entrada Validada?

NO



SI

Material




Entrada a Depósito



Pedido de Calidad

PROCESO DE CALIDAD


de Cantidad

PROCESO FACTURACION


PROCESO FASON

Etiquetas de bulto

Etiquetas de pallet

Remito de compra



Interfase

2Atender necesidad

de entrada

7 Movimiento del

Material


Documentacion de la


-Ingresos Varios


RA - Risk Assessment

VP Validation

PLAN

TM Traceability

Matrix

FRS Functional Requirements Specifications

SDS System Design

Specifications

IQInstallation

Qualification

OQOperational Qualification

RA Datasheet

RA Report

(RAR – CA)

Collected Lists &

Documents

RA Results

Scope , Objectives

Roles &

Responsibility

Activities &

Deliverables

Criteria

Management

Issues

Draft Scheduling

RAR

CA

Type

Description

Owner

Status

Reporting/TO

DO

PLAN

FRS ref . & IQ

CODE

Scope &

Description

Test Conditions

Expect. Results

Collected Result

Report

Main Document

User’s Process Flow, & Blue

Print

Manuals

Implementation Project

Documents

Configuration Docs

Customization Docs

User’s SOP, Application

Manuals

PQPerformances Qualification

Process Item /

Process Flow Id.

Process

Description

Scope of Test &

Description

Test Conditions

Expect. Results

Collected Result

Report

System general architecture

Equipment Technical

Datasheet

System’s SOP

Standard installation reports

System Installed components

System environment’s

IT Working instruction & rules

System Risk Based Assessment

& Remediation Planning/Controls System Description System Testing

Jerarquía de Documentos

SDS ref. & IQ

CODE

Scope &

Description

Test Conditions

Expect. Results

Collected Result

Report


Lección Aprendida

Usando el enfoque Risk Based Approach para identificar procesos críticos e impacto de los Sistemas se reduce el volumen de testeo en alrededor del 40 % focalizando los esfuerzos donde hay mas riesgo para la salud del paciente

Aprovechando el conocimiento de los equipos internos de TI y trabajando en forma paralela se logra efectivamente mejorar los procesos implementando acciones correctivas técnicas sin impactar fuertemente en el cronograma de Proyecto.

Se logra formar un equipo de QA y KU por proceso capaces de mantener el estado de cambios del sistema y de capacitar a otros usuarios.

Los KU desarrollaron SOPs e instrucciones de trabajo que fueron verificadas en el proceso de validación.

Se pueden pasar exitosamente auditorias durante del proceso de validación. Se logra un sentido de pertenencia de los procesos y del sistema.


Integración de Data Integrity en RA del VMP


VMP Sistemas Informáticos

Determinación de Regulaciones en Alcance

21 CFR Part 11

EU GMP Annex 11

Data integrity (FDA / EU / WHO / PIC/S)

Análisis de Impacto GxP

Tipo de Sistema (Nuevo / Legado)

Clasificación Categoría GAMP

Clasificación 21 CFR Part 11

Evaluación Tecnica y de Integridad de Datos

Evaluación de Impacto en la Operación

Obtención del Índice de Prioridad de Riesgo


1. Evaluación Tecnica y de Integridad de Datos

a) Clasificación Categoría GAMP

b) Clasificación 21 CFR Part 11

c) Gestión de Usuarios

d) Audit Trail

e) Firma Electrónica

f) Reportes Impresos

g) Gestión de Registros Electrónicos

h) Cantidad de Componente de los Registros Electronicos

2. Evaluación de Impacto en la Operación

a) Frecuencia de uso

b) Tipos de Producto Involucrados

c) Cantidad de Productos

3. Cálculo del Índice de Prioridad de Riesgo

a) Prioridad Alta / Media / Baja

VMP Sistemas Informáticos


Nuevas Tecnologías Aplicadas al RA


Traditional Process Mapping

Advantage of this Methodology Better than text understanding

relationship between steps Show Decision Point Illustrate ONLY inputs and outputs

for each step Illustrate links between different

process or system in a simple way

Limit of this methodology Is a “single dimension” methodology

Doesn’t allow to manage multiple inputs and multiple outputs

Complicate to introduce mechanism and controls

Quite difficult to introduce Element Attributes for Input, Output, Mechanism, Controls


Enhanced IDEF0 Based Process Mapping


CyMapp® IDEF0 Mapping Elements41

FUNCTION:

Represented by a BOX. It defines the «action» of transformation

or the activity executed into the specific process step.

Identified by a VERB or a PHRASE which describe what the

function realize

INPUT & OUTPUT:

Are the elements transformed by the function – From INPUT to

OUTPUT

MECHANISM:

Elements which allow the Function to Operate.

Could be Equipment, SYSTEMS, FUNCTIONALITY, Operators,

Corporate Functions, which allow the FUNCTION to operate.

CONTROLS:

Information & Parameters to be implemented for the correct

FUNCTION OPERATIONS, TO ENSURE A QUALITY OUTPUT.

ATTRIBUTES

Allow to define Quality of the Process Input and Output (as

FUNCTION’S attributes) and to CHARACTERIZE mechanism &

controls.

6 ELEMENTS

1. Function

2. Input

3. Output

4. Control

5. Mechanism

6. Attributes (of each element)

Function Name

Function Number

Control

Mechanism

Input Output


Knowledge Management Tool


ID Box IDEF STEP DI PROCESSO Potential FAILURE MODE CAUSE EFFETTI Sev Misure di controllo Fre Det Occ RI Raccomandazioni / mitigazioni New

SevNew Fre

New Det

New Fre x

Det

New Occ

New RI

A6 Archiviazione su PC e backup dati/metodi

Restore dati non corretto su PC di controllo

Failure della directory di puntamento del servizio di backup Dati non ripristinabili 2 \ 3 5 4 8

Aggiornamento del RQ inserendo il test di restore dati e leggibilità del backup. Inserire la prova di backup nella riqualifica annuale. Aggiornare la SOP.

2 3 3 9 3 6


Restore dati non corretto su PC di controllo Failure della cartella di restore Dati non ripristinabili 2 \ 3 5 4 8


2 3 3 9 3 6


Restore dati non corretto: dati danneggiati Failure del PC o dell'infrastruttura dati Dati mancanti 2 \ 3 5 4 8


2 3 3 9 3 6


Restore dati non corretto: dati danneggiati Failure del PC o dell'infrastruttura dati Dati non leggibili 2 \ 3 5 4 8


2 3 3 9 3 6


Restore dati non corretto: errata configurazione della directory di puntamento

Errore Amministratore di PC Dati non ripristinabili 2 \ 4 5 5 10


2 3 3 9 3 6

A6 Archiviazione su PC e backup dati/metodi Restore non avvenuto Failure del PC o dell'infrastuttura dati Dati non ripristinabili 2 \ 3 5 4 8


2 3 3 9 3 6

FMEA – Malvern Mastersizer43

1) Configuration

Update

2) Process Review

3) SOP Review


Consideraciones Generales


Cumplir con las regulaciones internacionalesmuestran Innovación, Conocimiento yAdaptabilidad que son ponderosasherramientas de Negocio.

Diseñar y validar procesos y sistemasinformáticos según requerimientos actuales EMA /FDA permiten afrontar registros y auditorias declientes regionales e internacionales y prolonganla vida útil de las actividades realizadas ySistemas adquiridos.

Se optimizan los procesos en función del negociode la compañía y permite involucrar a los usuariosy que sean los dueños de los procesos y lossistemas.

Reduce el riesgo en caso de inspecciones y/oauditorias como el tiempo de preparación para lasmismas.

Una planta en Full Compliance aumenta laconfianza y visibilidad del equipo de trabajo.

Beneficios del Cumplimiento


Muchas Gracias por su Atención

Leandro [email protected]

www.latconsultores.com.ar

http://www.latconsultores.com.ar/novedades/Expo-Farma-Uruguay-id113.html

mailto:[email protected]

http://www.latconsultores.com.ar/