innovation & technology to make your business · pdf filegamp 4 guide ispe...

12017 Análisis de Riesgo aplicado a la Validación de Sistemas

Análisis de Riesgo aplicado a la

Validación de Sistemas

Innovation & Technology to make

your Business Compliant

http://www.latconsultores.com.ar/novedades/Congreso-EXPOFYBI-

2017-id108.html


CONTENIDO DE LA PRESENTACIÓN

http://www.latconsultores.com.ar/novedades/Congreso-EXPOFYBI-2017-id108.html


Concepto Risk Based GxP

Como desarrollar un Análisis de Riesgo

Tipos de Enfoque

Técnica FMEA

Aplicación de RA a la Validación de

Sistema ERP

Nuevas Tecnologías Aplicadas al RA

Integración de Data Integrity en RA del

VMP

CONTENIDO DE LA PRESENTACIÓN


Concepto Risk Based GxP


Requerim

ientos Regulatorios

Necesidades del M

ercado“Trabajar” dentro de las

cGMPs

Conseguir el Control Total

del Proceso

Analizar cada etapa de los procesos

Identificar y corregir las fases críticas del producto

Prevenir eventuales problemas

El Concepto “Risk Based GxP”


El Análisis de Riesgos en el Mundo Farmacéutico

ANÁLISIS DE RIESGOCriterio para estudiar todos los escenarios y

evaluar si el riesgo es aceptable o no

Debemos tener un criterio a fin de evitar los daños y prever todos los escenarios posibles en los que podamos incurrir

durante el ciclo de vida de un producto farmacéutico

ELIMINAR TODOS LOS PELIGROSREDUCIENDO A CERO EL RIESGO

ES IMPOSIBLE


Como desarrollar un Análisis de Riesgo


¿Qué es el Análisis de Riesgo?

Es una metodología que nos permite afrontar problemas en una manera RACIONAL y SISTEMÁTICA

Dividir el problema en pequeñas porciones

Hacer una lista con toda la información disponible

Nunca dejar atrás ningún aspecto del problema

Concentrar los recursos donde sea estrictamente necesario


Fortaleza del Método

Equipo Multi Disciplinario

Experto en las técnicas de análisis de riesgosExpertos en las actividades sometidas a análisis

“BRAIN STORMING”

Las soluciones están dadas por las personas más capaces del grupo

Reuniones y debates de las diferentes funciones de la empresa


Otro Punto de Fuerza del Método

Descripción de los posibles escenarios de riesgo

Evaluación del estado de control de la situación

Buscar las soluciones más apropiadas para contener el peligro

REVISIÓN CRITICA DE UN PROYECTO

REDUCCIÓN DE COSTOS Y OPTIMIZACIÓN DE RECURSOS


¿Qué ventajas ofrece el análisis de riesgo?

Introducir la información sistemáticamente, imparcialmente, objetivamente

Documentaciónevidencias del enfoque, de la estrategia, de los resultados obtenidos y de las conclusiones

Análisis de información sobre un punto común

Clasificación del Problema


Desarrollo del Análisis

RISK ANALYSIS

Identificación de la FuenteEstimación del Riesgo

RISK EVALUATION

Aceptación del Riesgo

RISK CONTROL

ImplementaciónEvaluación del Riesgo ResidualAceptación del Riesgo

RISK

ASSESSMENT

REVISIÓN

RISK

MANAGEMENT


¿Cómo se hace el Risk Assessment ?

Desarrollo del Análisis

EXTRAC

CIÓ

N D

E RESU

LTADO

S

1 Iniciar el Análisis

2 Análisis de Peligrosidad o escenarios de riesgo

3 Evaluación de Riesgo

DO

CU

MEN

TACIÓ

N


c) Definición del Alcance (qué objetivo queremos alcanzar?)• Elección de la técnica más adecuada de análisis• Definición de los peligros a tener en cuenta• Preparación de un diagrama de flujo o P&ID

(dividir el sistema en componentes)

a) Recopilación de toda la información disponible del sistema

• Considerar los “limites” del sistema• El nivel de detalle de la información disponible• Los requerimientos aplicables al sistema

b) Formación del Equipo de Trabajo

La dimensión de los componentes depende de: la complejidad del sistema; la importancia de los peligros potenciales; el alcance del análisis

1) Iniciar el Análisis


¿Cuáles son las causas?

¿Cuáles son las consecuencias?

¿Puedo evitar que los daños aparezcan?

¿Puedo limitar los daños?

DESCRIPCIÓN DE LOS ESCENARIOS DE RIESGO

2) Análisis de Peligrosidad


ÍNDICE DE PRIORIDAD DE RIESGOIPR = (severidad) x (probabilidad) x (detectabilidad)

3Alta2Media

PROBABILIDAD

1Baja

3Alta2Media

SEVERIDAD

1Baja

DETECTABILIDAD

Alta 1Media 2Baja 3

1 < RPI < 27(podemos usar distintas escalas: 1÷5 o 1÷10)

Evaluación Semicuantitativa

Riesgo = criticidad de cada situación de peligro

3) Evaluación del Riesgo


EVALUACIÓN POR REGIONES

Riesgo

Totalmente

Aceptable

Riesgo

Inaceptable

ALARP

(Tan Bajo Como es

Razonablemente Practico)



Bajo Medio Alto

Alto

Medio

Bajo Nivel 3

Nivel 2

Nivel 1

Bajo Medio Alto

Nivel 1

Nivel 2

Nivel 3 BAJO RIESGO

MEDIANO RIESGO

ALTO RIESGO

EVALUACIÓN POR MATRICES



El informe final incluye: breve descripción del sistema que hemos analizado descripción detallada de la metodología utilizada flujograma de proceso o diagrama de bloques donde se describen

los componentes del sistema y como se ha dividido listado de los miembros del equipo de trabajo listado de documentación de referencia sistemas de recopilación de datos

Los resultados obtenidos

COMPLETA

todos los resultados obtenidos, para dar

pruebas de toda la elaboración de

resultados

POR EXCEPCIÓN O SUMMARY

registros de los escenarios de riesgo alto

y medio de forma que se puedan analizar

los casos mas relevantes.

4) Documentación


Revisar las acciones que deben implementarse

Analizar nuevamente las partes que lo requieran

En caso de haberse modificado el sistema a evaluar puede ser necesario realizar un nuevo

análisis de riesgo

4) Documentación


Técnica FMEA


Mil STD 1629 “Military Standard procedures for performing FMEA. US Department of

Defense” (1980).

IEC 60812 (1985) “Analysis technique for system reliability – Procedure for failure

mode and effect analysis (FMEA)”

SAE J 1739 (QS9000) “Potential Failure Mode and Effects Analysis (FMEA) Reference

Manual: AIAG”

BS EN ISO 14971(2001) “ Medical Devices – Application of risk management to

medical devices”

BASELINE ISPE VOL. 5 "Commissioning and Qualification" (FMEA)

GAMP 4 Guide ISPE “Validation of automated systems”–Appendix M3 December

2001 (FMEA)

ISPE 2011 Science And Risk – Based Approach for the Delivery of Facilities,

Systems, and Equipment.

FMEA:Modo de Falla y Análisis de Efecto


PELIGROS: mal funcionamiento del sistema o proceso

¿Puede usted señalar la amenaza en esta parte del sistema?

¿Cuáles ACCIONES PREVENTIVAS podrían reducir el efecto o eliminar el riesgo?¿Estas acciones ya están programadas en el sistema de calidad?(SI=“Precaución” NO=“Recomendación”)

“¿Qué pasaría con el sistema si….?”

¿De qué manera? ¿Cuáles son las causas?

¿Cuál es el efecto en el sistema?

FMEA:Modo de Falla y Análisis de Efecto


EFECTOS

ANÁLISIS DE PELIGROSIDAD

PRECAUCIONESCAUSASPELIGRO O

AMENAZACOMP RecomendacionesS IPRD

RIESGO

P

FMEA:Esquema de Recolección de Datos


Presentación de la información en orden

descendente de IPRESCALA DE CRITICIDAD

Recomendaciones del equipo de trabajoRacional para la programación de la

implementación de las recomendaciones

Situaciones aceptables / situaciones

inaceptables (recomendaciones)Fijar un límite de aceptabilidad

Compruebe el estado de control de todas las situaciones riesgosas

Recalcular el IPR una vez que las

recomendaciones sean implementadas

FMEA:Presentación de Resultados


Aplicación de RA a Validación de Sistemas de

Gestión de Negocios (ERP)


ERP: Example

Generic Architecture


Diferencias

Estructura Modular Módulos Independientes vinculados por un

Mecanismo de Transacciones Cada Modulo puede tener una interface Altamente Configurable Customizable usando lenguaje ABAP Implementación por Expertos Documentación estándar de implementación

(ASAP/Blueprint) Corporate Validation Support

Diseño en base a Funcionalidades Posee un sistema de interface particular utilizando

SQL (SQL Database Transaction) Altamente Configurable Customizable utilizando un ambiente Microsoft Implementación por Analistas y Expertos MS/SQL Paquete opcional de compliance (Process Industries) Configurable por un Menú Estándar Compatibilidad con Office Nativa (Data Import/Export)


SystemsSystem Level

Impact Assessment

Funcional LevelImpact

Assessment

syst

ems Direct

IndirectNo Impact fu

nctio

nalit

ies Critical

Non Critical

Enfoque Risk Based


Full Assessment – Methodology

DELIVERABLES

Prj.Planning&

Inventory

1

SystemsList

GMP &Process

Risk Assessment

2

Activity

Assessment21 CFR Part 11& Data Integrity

3Gap

Analysis

4

Planning

5

Risk Assessment

Report

SystemAssessment

Report

GapAnalysisReport

ActionPlan

RemediationPlan


Identify the Process Model (Process Flows / Process Mapping)

Use the existing Information

Involving the Key Users and the IT

Applying the Risk Analysis to identify the “Real Impact” and the Real Criticality, and to put in place additional controls &/or corrective actions

Verify the applicability of controls and corrective actions depending on the structure, internal capabilities and impact on business processes

Como proceder?


• What kind of Process are executed?• What kind of Scope?• Consistency?• GMP Impact?

HOW

• The Process is done in this way?• It’s critical?• I need to control here?• Are there additional control?

WHY

• FIX TO DO IT BETTER

• Short Term Improvement / Procedures

• Minimize impactFIX

• Identify Test

• Execute test

• Consolidate, Report , identify Open Issue

Validate/ Control

• Set Change Control Procedures

• Set PQ Long Term

• Close Open Issues

• Change Management

IMPROVE

Business Process Management

D Design

M Model

E Execute

M Monitor

O Optimize

Metodología BPM Aplicada al Proyecto


Using Risk Based Approach

METODOLOGÍA DEL ANÁLISIS DE RIESGO La metodología del Análisis se aplica de acuerdo

con los siguientes pasos:

1. Mapeo de Procesos (GxP)2. Identificación de Funciones Criticas3. Identificación del Escenario de riesgo4. Evaluación de probabilidad5. Evaluación de severidad del impacto6. Asignación de clasificación al riesgo7. Evaluación de la probabilidad de detección8. Asignación de prioridad al riesgo

El riesgo está basado en la identificación de un “Evento o Escenario de Riesgo”. Para cada amenaza al sistema, se identifica un posible evento de riesgo, relacionado con una operación-no correcta y/o una potencial corrupción o incumplimiento GxP de los datos que se manejan. Los posibles eventos relacionados a un mal funcionamiento del sistema se listan en el Risk Assessment Report.A cada riesgo se asocia una acción correctiva que va a impactar en la validación del sistema.


3Colocar el material

en el muelle de entrada y registrar

contablemente

¿Entrada Validada?

NO

6Definir ubicación de

almacenaje por codigo de barras

SI

Material

Actualizacion de Sotck

Características de la Entrada

Características del MaterialNecesidad de

Entrada a Depósito

4Emisión Automática

del Pedido de Calidad o analisis

Pedido de Calidad

PROCESO DE CALIDAD

Resultado del Control

de Cantidad

PROCESO FACTURACION

Unidades en Depósito

PROCESO FASON

Etiquetas de bulto

Etiquetas de pallet

Remito de compra

5Emisión de etiquetas

1Generacion de pedido u OC

Interfase

2Atender necesidad

de entrada

7 Movimiento del

Material

10Aviso de las diferencias

Documentacion de la

mercaderia Asiento:-Ingreso por compras-Ingreso desde Producción-Ingreso por Devolución o canje de clientes

-Ingresos Varios

Ingreso de Materiales en Deposito




contablemente

¿Entrada Validada?

NO



SI

Material




Entrada a Depósito



Pedido de Calidad

PROCESO DE CALIDAD


de Cantidad

PROCESO FACTURACION


PROCESO FASON

Etiquetas de bulto

Etiquetas de pallet

Remito de compra



Interfase

2Atender necesidad

de entrada

8 Movimiento del

Material


Documentacion de la


-Ingresos Varios




contablemente

¿Entrada Validada?

NO



SI

Material




Entrada a Depósito



Pedido de Calidad

PROCESO DE CALIDAD


de Cantidad

PROCESO FACTURACION


PROCESO FASON

Etiquetas de bulto

Etiquetas de pallet

Remito de compra



Interfase

2Atender necesidad

de entrada

7 Movimiento del

Material


Documentacion de la


-Ingresos Varios


RA - Risk Assessment

VP Validation

PLAN

TM Traceability

Matrix

FRS Functional Requirements Specifications

SDS System Design

Specifications

IQInstallation

Qualification

OQOperational Qualification

RA Datasheet

RA Report

(RAR – CA)

Collected Lists &

Documents

RA Results

Scope , Objectives

Roles &

Responsibility

Activities &

Deliverables

Criteria

Management

Issues

Draft Scheduling

RAR

CA

Type

Description

Owner

Status

Reporting/TO

DO

PLAN

FRS ref . & IQ

CODE

Scope &

Description

Test Conditions

Expect. Results

Collected Result

Report

Main Document

User’s Process Flow, & Blue

Print

Manuals

Implementation Project

Documents

Configuration Docs

Customization Docs

User’s SOP, Application

Manuals

PQPerformances Qualification

Process Item /

Process Flow Id.

Process

Description

Scope of Test &

Description

Test Conditions

Expect. Results

Collected Result

Report

System general architecture

Equipment Technical

Datasheet

System’s SOP

Standard installation reports

System Installed components

System environment’s

IT Working instruction & rules

System Risk Based Assessment

& Remediation Planning/Controls System Description System Testing

DOC Hierarchy

SDS ref. & IQ

CODE

Scope &

Description

Test Conditions

Expect. Results

Collected Result

Report


Lección Aprendida

Usando el enfoque Risk Based Approach para identificar procesos críticos e impacto de los Sistemas se reduce el volumen de testeo en alrededor del 40 % focalizando los esfuerzos donde hay mas riesgo para la salud del paciente

Aprovechando el conocimiento de los equipos internos de TI y trabajando en forma paralela se logra efectivamente mejorar los procesos implementando acciones correctivas técnicas sin impactar fuertemente en el cronograma de Proyecto.

Se logra formar un equipo de QA y KU por proceso capaces de mantener el estado de cambios del sistema y de capacitar a otros usuarios.

Los KU desarrollaron SOPs e instrucciones de trabajo que fueron verificadas en el proceso de validación.

Se pueden pasar exitosamente auditorias durante del proceso de validación. Se logra un sentido de pertenencia de los procesos y del sistema.


Nuevas Tecnologías Aplicadas al RA


Traditional Process Mapping

Advantage of this Methodology Better than text understanding

relationship between steps Show Decision Point Illustrate ONLY inputs and outputs

for each step Illustrate links between different

process or system in a simple way

Limit of this methodology Is a “single dimension” methodology

Doesn’t allow to manage multiple inputs and multiple outputs

Complicate to introduce mechanism and controls

Quite difficult to introduce Element Attributes for Input, Output, Mechanism, Controls


Enhanced IDEF0 Based Process Mapping


CyMapp® IDEF0 Mapping Elements43

FUNCTION:

Represented by a BOX. It defines the «action» of transformation

&7or the activity executed into the specific process step.

Identified by a VERB or a PHRASE which describe what the

function realize

INPUT & OUTPUT:

Are the elements transformed by the function – From INPUT to

OUTPUT

MECHANISM:

Elements which allow the Function to Operate.

Could be Equipment, SYSTEMS, FUNCTIONALITY, Operators,

Corporate Functions, which allow the FUNCTION to operate.

CONTROLS:

Information & Parameters to be implemented for the correct

FUNCTION OPERATIONS, TO ENSURE A QUALITY OUTPUT.

ATTRIBUTES

Allow to define Quality of the Process Input and Output (as

FUNCTION’S attributes) and to CHARACTERIZE mechanism &

controls.

6 ELEMENTS

1. Function

2. Input

3. Output

4. Control

5. Mechanism

6. Attributes (of each element)

Function Name

Function Number

Control

Mechanism

Input Output


Knowledge Management Tool


Applied to Overall System Impact Assessment (e.g. QC Lab.)

PROCESS MAPPING

PRIORITY PLAN

Functional Risk Analysis

(CyMapp® Stream

Mapping)

Action Plan /

Remediation Plan

IMPACT ASSESSMENT

High Level Process (e.g. Laboratory, Analysis)

Process Steps which originates Data

System’s Involved

System Inventory, based on GMP Process Risks,

Intended Use of Data, and Critical Data Managed by the

System

Preliminary Priority Plan (Impact Assessment Report)

System’s Functional Risk Assessment

FDS, SDS Collected Review Indication

Infrastructure Requirements (File Server, Folder

Protection, etc.)

Required Qualification Documents SET

Impacted Methods

Final Risk Assessment Report

DATA INTEGRITY PROGRAM


EXAMPLE: MALVER MASTERSIZER (I)

Particle Size Measures Control PC and SW for Data Management Use for:

GMP Risk Analysis R&D Analysis

46

CONTROL PC

MASTERSIZER 2000


Site System’s Assessment to verify 21 CFR part 11 & Data Integrity compliance status

Assessment Findings: Risk Analysis missed Review Qualification

Document implementingsystem configuration

Instruments SOP needsreview

Implementing Audit Trail Review Plan

47

MALVER MASTERSIZER


What we’ve done – (I)

Collecting INFO Installation Status System installation &

configuration evidence Documental Assessment

SOP, RQ, URS, technicalspecification, etc.

Qualification GAPs INTENDED USE OF DATA

(process based)

48

Activity Planning Risk Analysis

Tools (IDEF0 Mapping & Functional FMEA)

Risk Assessment Report

PQ protocols testing based on Risk Analysis (FMEA) findings

SOP Review Audit Trail Review plan

implementation


ID Box IDEF STEP DI PROCESSO Potential FAILURE MODE CAUSE EFFETTI Sev Misure di controllo Fre Det Occ RI Raccomandazioni / mitigazioni New

SevNew Fre

New Det

New Fre x

Det

New Occ

New RI

A6 Archiviazione su PC e backup dati/metodi

Restore dati non corretto su PC di controllo

Failure della directory di puntamento del servizio di backup Dati non ripristinabili 2 \ 3 5 4 8

Aggiornamento del RQ inserendo il test di restore dati e leggibilità del backup. Inserire la prova di backup nella riqualifica annuale. Aggiornare la SOP.

2 3 3 9 3 6


Restore dati non corretto su PC di controllo Failure della cartella di restore Dati non ripristinabili 2 \ 3 5 4 8


2 3 3 9 3 6


Restore dati non corretto: dati danneggiati Failure del PC o dell'infrastruttura dati Dati mancanti 2 \ 3 5 4 8


2 3 3 9 3 6


Restore dati non corretto: dati danneggiati Failure del PC o dell'infrastruttura dati Dati non leggibili 2 \ 3 5 4 8


2 3 3 9 3 6


Restore dati non corretto: errata configurazione della directory di puntamento

Errore Amministratore di PC Dati non ripristinabili 2 \ 4 5 5 10


2 3 3 9 3 6

A6 Archiviazione su PC e backup dati/metodi Restore non avvenuto Failure del PC o dell'infrastuttura dati Dati non ripristinabili 2 \ 3 5 4 8


2 3 3 9 3 6

FMEA – Malvern Mastersizer49

1) Configuration

Update

2) Process Review

3) SOP Review


Applied to Overall System Impact Assessment

Advantage of this Methodology Process (&Risk) Based, avoiding Focus on un-usefull items One Shot to Capture Process Risk & Data Risk (and Computer Related

Risks) Possibility to Capture Data Attributes (as attributes of Function’s Element

&/or Mechanism Element), so VERY Focus on critical items verification needs

Reproducible methodology and integrated information Very clear Graphic vision, good to demonstrate Process Understanding,

Risk Based Approach also to an external Auditor Automation engage activity in complex systems or similar cases / situations Traceability using an audit trail in process mapping and risk assessment


Integración de Data Integrity en RA del VMP


VMP Sistemas Informáticos

Determinación de Regulaciones en Alcance

21 CFR Part 11

EU GMP Annex 11

Data integrity (FDA / EU / WHO / PIC/S)

Análisis de Impacto GxP

Tipo de Sistema (Nuevo / Legado)

Clasificación Categoría GAMP

Clasificación 21 CFR Part 11

Evaluación Tecnica y de Integridad de Datos

Evaluación de Impacto en la Operación

Obtención del Índice de Prioridad de Riesgo


VMP Sistemas Informáticos

1. Evaluación Tecnica y de Integridad de Datos

a) Clasificación Categoría GAMP

b) Clasificación 21 CFR Part 11

c) Gestión de Usuarios

d) Audit Trail

e) Firma Electrónica

f) Reportes Impresos

g) Gestión de Registros Electrónicos

2. Evaluación de Impacto en la Operación

a) Frecuencia de uso

b) Tipos de Producto Involucrados

c) Cantidad de Productos

3. Cálculo del Índice de Prioridad de Riesgo

a) Prioridad Alta / Media / Baja


Consideraciones Generales


Cumplir con las regulaciones internacionalesmuestran Innovación, Conocimiento yAdaptabilidad que son ponderosasherramientas de Negocio.

Diseñar y validar procesos y sistemasinformáticos según requerimientos actuales EMA /FDA permiten afrontar registros y auditorias declientes regionales e internacionales y prolonganla vida útil de las actividades realizadas ySistemas adquiridos.

Se optimizan los procesos en función del negociode la compañía y permite involucrar a los usuariosy que sean los dueños de los procesos y lossistemas.

Reduce el riesgo en caso de inspecciones y/oauditorias como el tiempo de preparación para lasmismas.

Una planta en Full Compliance aumenta laconfianza y visibilidad del equipo de trabajo.

Benefits of Compliance


Gracias por su amable atención


Muchas Gracias por su Atención

Leandro [email protected]

www.latconsultores.com.ar

mailto:[email protected]

http://www.latconsultores.com.ar/