análisis de riesgo de sistemas informáticos complejos · dos principios esenciales de la gestión...
TRANSCRIPT
12017- AR de Sistemas Informáticos Complejos
Análisis de Riesgo de Sistemas
Informáticos Complejos
http://www.latconsultores.com.ar/novedades/Expo-Farma-Uruguay-id113.html
22017- AR de Sistemas Informáticos Complejos
Conceptos Generales de Enfoque en Base a Riesgos
32017- AR de Sistemas Informáticos Complejos
Principios Básicos de la Q9 QUALITY RISK MANAGEMENT
Dos principios esenciales de la gestión de riesgos son:
• La evaluación del riesgo de la calidad debería estar ligada a la protección del paciente.
• El nivel de esfuerzo, la formalidad y la documentación del proceso de gestión del riesgo debe ser acorde con el nivel de riesgo y se basará en conocimientos científicos.
Un Enfoque en Base a Riesgos
42017- AR de Sistemas Informáticos Complejos
Un Enfoque en Base a Riesgos
52017- AR de Sistemas Informáticos Complejos
La administración de riesgos o Quality Risk Management es un proceso sistemático:
Análisis de Riesgo - Risk Assessment
Control de Riesgo - Risk Control
Comunicación de Riesgo - Risk Communication
Revisión de Riesgo - Risk Review
El énfasis en cada etapa puede variar caso a caso
Un proceso sólido incorporará todos los elementos en un nivel apropiado de detalle
Un Enfoque en Base a Riesgos
62017- AR de Sistemas Informáticos Complejos
¿Cómo se hace el Risk Assessment ?
EXTRAC
CIÓ
N D
E RESU
LTADO
S
1 Iniciar el Análisis
2 Análisis de Peligrosidad o escenarios de riesgo
3 Evaluación de Riesgo
DO
CU
MEN
TACIÓ
N
Desarrollo del Análisis
GAMP® 5: A Risk-Based Approach to Compliant GxP Computerized
Systems (Appendix 6 & M3)
ISPE Guide: Science and Risk- Based Approach for the Delivery of
Facilities, Systems, and Equipment (Appendix 1)
72017- AR de Sistemas Informáticos Complejos
c) Definición del Alcance (qué objetivo queremos alcanzar?)• Elección de la técnica más adecuada de análisis• Definición de los peligros a tener en cuenta• Preparación de un diagrama de flujo o P&ID
(dividir el sistema en componentes)
a) Recopilación de toda la información disponible del sistema
• Considerar los “limites” del sistema• El nivel de detalle de la información disponible• Los requerimientos aplicables al sistema
b) Formación del Equipo de Trabajo
La dimensión de los componentes depende de: la complejidad del sistema; la importancia de los peligros potenciales; el alcance del análisis
1_Iniciar el Análisis
82017- AR de Sistemas Informáticos Complejos
¿Cuáles son las causas?
¿Cuáles son las consecuencias?
¿Puedo evitar que los daños aparezcan?
¿Puedo limitar los daños?
DESCRIPCIÓN DE LOS ESCENARIOS DE RIESGO
2_ Análisis de Peligrosidad
92017- AR de Sistemas Informáticos Complejos
ÍNDICE DE PRIORIDAD DE RIESGOIPR = (severidad) x (probabilidad) x (detectabilidad)
3Alta2Media
PROBABILIDAD
1Baja
3Alta2Media
SEVERIDAD
1Baja
DETECTABILIDAD
Alta 1Media 2Baja 3
1 < RPI < 27(podemos usar distintas escalas: 1÷5 o 1÷10)
Evaluación Cuantitativa
Riesgo = criticidad de cada situación de peligro
3_ Evaluación del Riesgo
102017- AR de Sistemas Informáticos Complejos
EVALUACIÓN POR REGIONES
Riesgo
Totalmente
Aceptable
Riesgo
Inaceptable
ALARP
(Tan Bajo Como es
Razonablemente Practico)
3_ Evaluación del Riesgo
112017- AR de Sistemas Informáticos Complejos
Bajo Medio Alto
Alto
Medio
Bajo Nivel 3
Nivel 2
Nivel 1
Bajo Medio Alto
Nivel 1
Nivel 2
Nivel 3 BAJO RIESGO
MEDIANO RIESGO
ALTO RIESGO
EVALUACIÓN POR MATRICES
3_ Evaluación del Riesgo
122017- AR de Sistemas Informáticos Complejos
El informe final incluye: breve descripción del sistema que hemos analizado descripción detallada de la metodología utilizada flujograma de proceso o diagrama de bloques donde se describen
los componentes del sistema y como se ha dividido sistemas de recopilación de datos Criterio de Aceptación para ETAPA I y II listado de los miembros del equipo de trabajo listado de documentación de referencia Resumen de Resultados Conclusiones
Los resultados obtenidos
COMPLETA
todos los resultados obtenidos, para dar
pruebas de toda la elaboración de
resultados
POR EXCEPCIÓN O SUMMARY
registros de los escenarios de riesgo alto
y medio de forma que se puedan analizar
los casos mas relevantes.
4_ Documentación
132017- AR de Sistemas Informáticos Complejos
Revisar las acciones que deben implementarse
Analizar nuevamente las partes que lo requieran
En caso de haberse modificado el sistema a evaluar puede ser necesario realizar un nuevo
análisis de riesgo
4_ Documentación
142017- AR de Sistemas Informáticos Complejos
Failure Mode Effects Analysis (FMEA)
Failure Mode Effects & Criticality Analysis (FMECA)
Fault tree analysis (FTA)
Hazard Analysis of Critical Control Points (HACCP)
Hazard Operability Analysis (HAZOP)
Risk Ranking and Filtering (RRF)
Preliminary Hazard Analysis (PHA)
Herramientas estadísticas de soporte (ANOVA, Histogramas, CPK, MKT, QbD, etc.)
Herramientas de Administración de Riesgos ICH Q9
152017- AR de Sistemas Informáticos Complejos
• Instituir el uso de métodos científicos para justificar las
decisiones e integrarlos en el sistema de gestión de la calidaddel laboratorio
• No evita la obligación de la industria para "cumplir conlos requisitos regulatorios”
• Facilitar mejores y más informadas decisiones
• Puede proporcionar a los reguladores una mayorgarantía de la capacidad de una empresa para tener bajocontrol la calidad de sus productos
• Facilita un mejor uso y designación de los recursos
• No puede utilizarse como forma de justificación de unincumplimiento regulatorio.
Integración de la Administración de Riesgos en la Industria y las
Operaciones Reguladas
162017- AR de Sistemas Informáticos Complejos
Integración de la Administración de Riesgos
• Documentación
• Defectos de calidad
• Auditorias / Inspecciones
• Revisión periódica
• Administración y control de cambios
• Entrenamiento y educación
Industria
• Desarrollo (QbD)
• Instalaciones, equipos y utilidades
• Administración de materiales
• Producción
• Control de calidad y ensayos de estabilidad
• Empaque y etiquetado
• Mejora continua
Operaciones Regulatorias
• Actividades de inspección
• Estudios de Factibilidad Regulatoria
Algunas aplicaciones…
172017- AR de Sistemas Informáticos Complejos
• Metodología sistemática, científica y basada en datos (reduce la subjetividad, pero no la elimina)
• Los niveles de riesgo permiten definir prioridades
• Mejora la toma de decisiones dando un soporte científico
• Identifica cuales escenarios poseen mayores beneficios para el paciente
• Mejora la comunicación al documentar las valoraciones
• Es una herramienta para la construcción de la calidad
Beneficios
Un Enfoque en Base a Riesgos
182017- AR de Sistemas Informáticos Complejos
El Quality Risk Management no provee excusas para estar
fuera de cumplimiento de las regulaciones aplicables!!!
Esta filosofía involucra la necesidad de profundizar el
conocimiento del proceso, sus variables criticas y su relación
con los atributos y las especificaciones de calidad del producto en
estudio.
La metodología esta basada en la evaluación y análisis del riesgo
durante el ciclo de vida del producto.
Conclusiones - 1
192017- AR de Sistemas Informáticos Complejos
Metodología sistemática, científica y basada en datos (reduce la
subjetividad, pero no la elimina)
Los niveles de riesgo permiten definir prioridades
Mejora la toma de decisiones dando un soporte científico
Identifica cuales escenarios poseen mayores beneficios para el
paciente
Mejora la comunicación al documentar las valoraciones
Es una herramienta para la construcción de la calidad
Conclusiones - 2
202017- AR de Sistemas Informáticos Complejos
Los elaboradores quizás no puedan reducir notablemente losrecursos dedicados al cumplimiento de las cGMP pero seráncapaces de enfocar sus esfuerzos e incrementar suconocimiento del proceso productivo, su tecnología y sucapacidad para manejarlos y reducir los riesgos de cualquiertipo.
Se pueden reducir drásticamente los costos queacarrean los problemas de calidad; como recalls, OOS,desviaciones, reclamos, etc.
La calidad no puede ser solo testeada en los productos sino que debe ser diseñada y construida
Conclusiones - 3
212017- AR de Sistemas Informáticos Complejos
Análisis de Riesgo de Sistemas de Gestión ERP
222017- AR de Sistemas Informáticos Complejos
ERP: Example
Generic Architecture
232017- AR de Sistemas Informáticos Complejos
Diferencias
Estructura Modular Módulos Independientes vinculados por un
Mecanismo de Transacciones Cada Modulo puede tener una interface Altamente Configurable Customizable usando lenguaje ABAP Implementación por Expertos Documentación estándar de implementación
(ASAP/Blueprint) Corporate Validation Support
Diseño en base a Funcionalidades Posee un sistema de interface particular utilizando
SQL (SQL Database Transaction) Altamente Configurable Customizable utilizando un ambiente Microsoft Implementación por Analistas y Expertos MS/SQL Paquete opcional de compliance (Process Industries) Configurable por un Menú Estándar Compatibilidad con Office Nativa (Data Import/Export)
242017- AR de Sistemas Informáticos Complejos
SystemsSystem Level
Impact Assessment
Funcional LevelImpact
Assessment
syst
ems Direct
IndirectNo Impact fu
nctio
nalit
ies Critical
Non Critical
Enfoque Risk Based
252017- AR de Sistemas Informáticos Complejos
Full Assessment – Methodology
DELIVERABLES
Prj.Planning&
Inventory
1
SystemsList
GMP &Process
Risk Assessment
2
Activity
Assessment21 CFR Part 11& Data Integrity
3Gap
Analysis
4
Planning
5
Risk Assessment
Report
SystemAssessment
Report
GapAnalysisReport
ActionPlan
RemediationPlan
262017- AR de Sistemas Informáticos Complejos
Identify the Process Model (Process Flows / Process Mapping)
Use the existing Information
Involving the Key Users and IT
Applying the Risk Analysis to identify the “Real Impact” and the Real Criticality, and to put in place additional controls &/or corrective actions
Verify the applicability of controls and corrective actions depending on the structure, internal capabilities and impact on business processes
Como proceder?
272017- AR de Sistemas Informáticos Complejos
• What kind of Process are executed?• What kind of Scope?• Consistency?• GMP Impact?
HOW
• The Process is done in this way?• It’s critical?• I need to control here?• Are there additional control?
WHY
• FIX TO DO IT BETTER
• Short Term Improvement / Procedures
• Minimize impactFIX
• Identify Test
• Execute test
• Consolidate, Report , identify Open Issue
Validate/ Control
• Set Change Control Procedures
• Set PQ Long Term
• Close Open Issues
• Change Management
IMPROVE
Business Process Management
D Design
M Model
E Execute
M Monitor
O Optimize
Metodología BPM Aplicada al Proyecto
282017- AR de Sistemas Informáticos Complejos
Using Risk Based Approach
METODOLOGÍA DEL ANÁLISIS DE RIESGO La metodología del Análisis se aplica de acuerdo
con los siguientes pasos:
1. Mapeo de Procesos (GxP)2. Identificación de Funciones Criticas3. Identificación del Escenario de riesgo4. Evaluación de probabilidad5. Evaluación de severidad del impacto6. Asignación de clasificación al riesgo7. Evaluación de la probabilidad de detección8. Asignación de prioridad al riesgo
El riesgo está basado en la identificación de un “Evento o Escenario de Riesgo”. Para cada amenaza al sistema, se identifica un posible evento de riesgo, relacionado con una operación-no correcta y/o una potencial corrupción o incumplimiento GxP de los datos que se manejan. Los posibles eventos relacionados a un mal funcionamiento del sistema se listan en el Risk Assessment Report.A cada riesgo se asocia una acción correctiva que va a impactar en la validación del sistema.
292017- AR de Sistemas Informáticos Complejos
3Colocar el material
en el muelle de entrada y registrar
contablemente
¿Entrada Validada?
NO
6Definir ubicación de
almacenaje por codigo de barras
SI
Material
Actualizacion de Sotck
Características de la Entrada
Características del MaterialNecesidad de
Entrada a Depósito
4Emisión Automática
del Pedido de Calidad o analisis
Pedido de Calidad
PROCESO DE CALIDAD
Resultado del Control
de Cantidad
PROCESO FACTURACION
Unidades en Depósito
PROCESO FASON
Etiquetas de bulto
Etiquetas de pallet
Remito de compra
5Emisión de etiquetas
1Generacion de pedido u OC
Interfase
2Atender necesidad
de entrada
7 Movimiento del
Material
10Aviso de las diferencias
Documentacion de la
mercaderia Asiento:-Ingreso por compras-Ingreso desde Producción-Ingreso por Devolución o canje de clientes
-Ingresos Varios
Ingreso de Materiales en Deposito
302017- AR de Sistemas Informáticos Complejos
3Colocar el material
en el muelle de entrada y registrar
contablemente
¿Entrada Validada?
NO
7Definir ubicación de
almacenaje por codigo de barras
SI
Material
Actualizacion de Sotck
Características de la Entrada
Características del MaterialNecesidad de
Entrada a Depósito
4Emisión Automática
del Pedido de Calidad o analisis
Pedido de Calidad
PROCESO DE CALIDAD
Resultado del Control
de Cantidad
PROCESO FACTURACION
Unidades en Depósito
PROCESO FASON
Etiquetas de bulto
Etiquetas de pallet
Remito de compra
6Emisión de etiquetas
1Generacion de pedido u OC
Interfase
2Atender necesidad
de entrada
8 Movimiento del
Material
10Aviso de las diferencias
Documentacion de la
mercaderia Asiento:-Ingreso por compras-Ingreso desde Producción-Ingreso por Devolución o canje de clientes
-Ingresos Varios
312017- AR de Sistemas Informáticos Complejos
3Colocar el material
en el muelle de entrada y registrar
contablemente
¿Entrada Validada?
NO
6Definir ubicación de
almacenaje por codigo de barras
SI
Material
Actualizacion de Sotck
Características de la Entrada
Características del MaterialNecesidad de
Entrada a Depósito
4Emisión Automática
del Pedido de Calidad o analisis
Pedido de Calidad
PROCESO DE CALIDAD
Resultado del Control
de Cantidad
PROCESO FACTURACION
Unidades en Depósito
PROCESO FASON
Etiquetas de bulto
Etiquetas de pallet
Remito de compra
5Emisión de etiquetas
1Generacion de pedido u OC
Interfase
2Atender necesidad
de entrada
7 Movimiento del
Material
10Aviso de las diferencias
Documentacion de la
mercaderia Asiento:-Ingreso por compras-Ingreso desde Producción-Ingreso por Devolución o canje de clientes
-Ingresos Varios
322017- AR de Sistemas Informáticos Complejos
332017- AR de Sistemas Informáticos Complejos
RA - Risk Assessment
VP Validation
PLAN
TM Traceability
Matrix
FRS Functional Requirements Specifications
SDS System Design
Specifications
IQInstallation
Qualification
OQOperational Qualification
RA Datasheet
RA Report
(RAR – CA)
Collected Lists &
Documents
RA Results
Scope , Objectives
Roles &
Responsibility
Activities &
Deliverables
Criteria
Management
Issues
Draft Scheduling
RAR
CA
Type
Description
Owner
Status
Reporting/TO
DO
PLAN
FRS ref . & IQ
CODE
Scope &
Description
Test Conditions
Expect. Results
Collected Result
Report
Main Document
User’s Process Flow, & Blue
Manuals
Implementation Project
Documents
Configuration Docs
Customization Docs
User’s SOP, Application
Manuals
PQPerformances Qualification
Process Item /
Process Flow Id.
Process
Description
Scope of Test &
Description
Test Conditions
Expect. Results
Collected Result
Report
System general architecture
Equipment Technical
Datasheet
System’s SOP
Standard installation reports
System Installed components
System environment’s
IT Working instruction & rules
System Risk Based Assessment
& Remediation Planning/Controls System Description System Testing
Jerarquía de Documentos
SDS ref. & IQ
CODE
Scope &
Description
Test Conditions
Expect. Results
Collected Result
Report
342017- AR de Sistemas Informáticos Complejos
Lección Aprendida
Usando el enfoque Risk Based Approach para identificar procesos críticos e impacto de los Sistemas se reduce el volumen de testeo en alrededor del 40 % focalizando los esfuerzos donde hay mas riesgo para la salud del paciente
Aprovechando el conocimiento de los equipos internos de TI y trabajando en forma paralela se logra efectivamente mejorar los procesos implementando acciones correctivas técnicas sin impactar fuertemente en el cronograma de Proyecto.
Se logra formar un equipo de QA y KU por proceso capaces de mantener el estado de cambios del sistema y de capacitar a otros usuarios.
Los KU desarrollaron SOPs e instrucciones de trabajo que fueron verificadas en el proceso de validación.
Se pueden pasar exitosamente auditorias durante del proceso de validación. Se logra un sentido de pertenencia de los procesos y del sistema.
352017- AR de Sistemas Informáticos Complejos
Integración de Data Integrity en RA del VMP
362017- AR de Sistemas Informáticos Complejos
VMP Sistemas Informáticos
Determinación de Regulaciones en Alcance
21 CFR Part 11
EU GMP Annex 11
Data integrity (FDA / EU / WHO / PIC/S)
Análisis de Impacto GxP
Tipo de Sistema (Nuevo / Legado)
Clasificación Categoría GAMP
Clasificación 21 CFR Part 11
Evaluación Tecnica y de Integridad de Datos
Evaluación de Impacto en la Operación
Obtención del Índice de Prioridad de Riesgo
372017- AR de Sistemas Informáticos Complejos
1. Evaluación Tecnica y de Integridad de Datos
a) Clasificación Categoría GAMP
b) Clasificación 21 CFR Part 11
c) Gestión de Usuarios
d) Audit Trail
e) Firma Electrónica
f) Reportes Impresos
g) Gestión de Registros Electrónicos
h) Cantidad de Componente de los Registros Electronicos
2. Evaluación de Impacto en la Operación
a) Frecuencia de uso
b) Tipos de Producto Involucrados
c) Cantidad de Productos
3. Cálculo del Índice de Prioridad de Riesgo
a) Prioridad Alta / Media / Baja
VMP Sistemas Informáticos
382017- AR de Sistemas Informáticos Complejos
Nuevas Tecnologías Aplicadas al RA
392017- AR de Sistemas Informáticos Complejos
Traditional Process Mapping
Advantage of this Methodology Better than text understanding
relationship between steps Show Decision Point Illustrate ONLY inputs and outputs
for each step Illustrate links between different
process or system in a simple way
Limit of this methodology Is a “single dimension” methodology
Doesn’t allow to manage multiple inputs and multiple outputs
Complicate to introduce mechanism and controls
Quite difficult to introduce Element Attributes for Input, Output, Mechanism, Controls
402017- AR de Sistemas Informáticos Complejos
Enhanced IDEF0 Based Process Mapping
412017- AR de Sistemas Informáticos Complejos
CyMapp® IDEF0 Mapping Elements41
FUNCTION:
Represented by a BOX. It defines the «action» of transformation
or the activity executed into the specific process step.
Identified by a VERB or a PHRASE which describe what the
function realize
INPUT & OUTPUT:
Are the elements transformed by the function – From INPUT to
OUTPUT
MECHANISM:
Elements which allow the Function to Operate.
Could be Equipment, SYSTEMS, FUNCTIONALITY, Operators,
Corporate Functions, which allow the FUNCTION to operate.
CONTROLS:
Information & Parameters to be implemented for the correct
FUNCTION OPERATIONS, TO ENSURE A QUALITY OUTPUT.
ATTRIBUTES
Allow to define Quality of the Process Input and Output (as
FUNCTION’S attributes) and to CHARACTERIZE mechanism &
controls.
6 ELEMENTS
1. Function
2. Input
3. Output
4. Control
5. Mechanism
6. Attributes (of each element)
Function Name
Function Number
Control
Mechanism
Input Output
422017- AR de Sistemas Informáticos Complejos
Knowledge Management Tool
432017- AR de Sistemas Informáticos Complejos
ID Box IDEF STEP DI PROCESSO Potential FAILURE MODE CAUSE EFFETTI Sev Misure di controllo Fre Det Occ RI Raccomandazioni / mitigazioni New
SevNew Fre
New Det
New Fre x
Det
New Occ
New RI
A6 Archiviazione su PC e backup dati/metodi
Restore dati non corretto su PC di controllo
Failure della directory di puntamento del servizio di backup Dati non ripristinabili 2 \ 3 5 4 8
Aggiornamento del RQ inserendo il test di restore dati e leggibilità del backup. Inserire la prova di backup nella riqualifica annuale. Aggiornare la SOP.
2 3 3 9 3 6
A6 Archiviazione su PC e backup dati/metodi
Restore dati non corretto su PC di controllo Failure della cartella di restore Dati non ripristinabili 2 \ 3 5 4 8
Aggiornamento del RQ inserendo il test di restore dati e leggibilità del backup. Inserire la prova di backup nella riqualifica annuale. Aggiornare la SOP.
2 3 3 9 3 6
A6 Archiviazione su PC e backup dati/metodi
Restore dati non corretto: dati danneggiati Failure del PC o dell'infrastruttura dati Dati mancanti 2 \ 3 5 4 8
Aggiornamento del RQ inserendo il test di restore dati e leggibilità del backup. Inserire la prova di backup nella riqualifica annuale. Aggiornare la SOP.
2 3 3 9 3 6
A6 Archiviazione su PC e backup dati/metodi
Restore dati non corretto: dati danneggiati Failure del PC o dell'infrastruttura dati Dati non leggibili 2 \ 3 5 4 8
Aggiornamento del RQ inserendo il test di restore dati e leggibilità del backup. Inserire la prova di backup nella riqualifica annuale. Aggiornare la SOP.
2 3 3 9 3 6
A6 Archiviazione su PC e backup dati/metodi
Restore dati non corretto: errata configurazione della directory di puntamento
Errore Amministratore di PC Dati non ripristinabili 2 \ 4 5 5 10
Aggiornamento del RQ inserendo il test di restore dati e leggibilità del backup. Inserire la prova di backup nella riqualifica annuale. Aggiornare la SOP.
2 3 3 9 3 6
A6 Archiviazione su PC e backup dati/metodi Restore non avvenuto Failure del PC o dell'infrastuttura dati Dati non ripristinabili 2 \ 3 5 4 8
Aggiornamento del RQ inserendo il test di restore dati e leggibilità del backup. Inserire la prova di backup nella riqualifica annuale. Aggiornare la SOP.
2 3 3 9 3 6
FMEA – Malvern Mastersizer43
1) Configuration
Update
2) Process Review
3) SOP Review
442017- AR de Sistemas Informáticos Complejos
Consideraciones Generales
452017- AR de Sistemas Informáticos Complejos
Cumplir con las regulaciones internacionalesmuestran Innovación, Conocimiento yAdaptabilidad que son ponderosasherramientas de Negocio.
Diseñar y validar procesos y sistemasinformáticos según requerimientos actuales EMA /FDA permiten afrontar registros y auditorias declientes regionales e internacionales y prolonganla vida útil de las actividades realizadas ySistemas adquiridos.
Se optimizan los procesos en función del negociode la compañía y permite involucrar a los usuariosy que sean los dueños de los procesos y lossistemas.
Reduce el riesgo en caso de inspecciones y/oauditorias como el tiempo de preparación para lasmismas.
Una planta en Full Compliance aumenta laconfianza y visibilidad del equipo de trabajo.
Beneficios del Cumplimiento
462017- AR de Sistemas Informáticos Complejos
Muchas Gracias por su Atención
Leandro [email protected]
www.latconsultores.com.ar
http://www.latconsultores.com.ar/novedades/Expo-Farma-Uruguay-id113.html