Posts tagged ‘IT’

El proceso de Análisis de riesgos conducido como parte del ciclo de vida de validación de sistemas computarizados, nos permite poner el énfasis y la atención apropiada en aquellas partes del sistema que pueden tener potencial impacto sobre la seguridad al paciente, la calidad del producto y la integridad de datos.

mitigarriesgo1

Es recomendable conformar un equipo para el manejo de la validación de los sistemas computarizados inicialmente, y para el posterior manejo de los cambios que pudiera tener el sistema durante su uso productivo. Este equipo debe tener como mínimo de los siguientes roles:

  • Propietario del sistema (inicialmente este role puede ser llevado a cabo por el manager del proyecto)
  • Propietario de procesos del negocio
  • Proveedor (o representante técnico)
  • Representante de IT (con formación en Compliance)
  • Representante de Quality Assurance

Los principios de evaluación y gestión de riesgos son aplicados desde que se introduce un sistema informático a la planta, y además durante el control de cambios, la revisión periódica y el decomiso del mismo.

Como parte de la implementación inicial del sistema computarizado, se evalúan los riesgos del proyecto, por ejemplo: restricciones de recursos, falta de conocimiento técnico, financiación, estabilidad del proveedor, etc. Estos riesgos del proyecto pueden ser manejados por el Propietario de procesos del negocio o Project Manager.

Registro del sistema y determinación del impacto regulatorio

Se trata de la primera etapa de análisis de riesgos del sistema, donde se efectúa una evaluación regulatoria (por ej. si el sistema tiene impacto GxP), o es crítico para el negocio, SOx, Finanzas, Privacidad de datos, eDiscovery. Luego de esta evaluación, se toma y se registra la decisión sobre si el sistema será validado.

Clasificación de riesgo del sistema

Si un sistema computarizado debe validarse entonces debe llevarse a cabo una clasificación de riesgo del sistema para ayudar a determinar el nivel y el alcance de las actividades de validación requeridas. Los resultados de la clasificación de riesgos deben ser registrados.

La clasificación de riesgos del sistema asigna un score que puede ser Alto, Medio o Bajo basado en:

  • El status GxP del sistema
  • El status de evaluación del proveedor (Rojo, Amarillo o Verde)
  • La categoría GAMP5 del sistema
  • Si el sistema almacena registros GxP
  • Si el sistema tiene una red de conectividad.

Estos factores son registrados en el sistema de registro.

Esta clasificación de riesgo pretende reflejar el potencial nivel de riesgo que el sistema tiene para el proceso de negocio, por ej. Si el sistema fue desarrollado a medida, de acuerdo a las GAMP es categoría 5, o el proveedor tiene un sistema de gestión de calidad que NO es lo suficientemente maduro, la clasificación de riesgo del sistema establecida será mayor para asegurar que se aplican controles más exhaustivos durante el ejercicio de validación del sistema.

Para cada sistema, los entregables requeridos son descriptos en el Plan de Validación del sistema computarizado. El nivel de las actividades de validación dependerá de la clasificación del sistema, bajo, medio o alto, el paquete de testeos y su ejecución podría ser efectuado por el proveedor en el caso de un sistema de bajo riesgo, aunque en el caso de un sistema de alto riesgo, el paquete suele ser desarrollado en conjunto (proveedor + laboratorio) y la ejecución puede ser efectuada por el proveedor con la aprobación final del laboratorio o efectuada por el laboratorio.

Análisis de riesgo funcional

Si es requerido, un análisis de riesgo funcional es llevado a cabo. Esto se puede hacer a un nivel alto y / o un nivel funcional. El factor clave para llevar a cabo una evaluación de riesgos funcional es en los casos donde los escenarios de riesgo y la probabilidad y controles de mitigación no pueden determinarse sólo por hacer una evaluación de alto nivel y donde se requiere más detalle. Evaluación del riesgo sólo puede llevarse a cabo una vez que el diseño del sistema se ha acordado y aprobado. Los sistemas de bajo riesgo no necesitan someterse a una Evaluación de Riesgos. Los sistemas clasificados como de medio y alto riesgo deben someterse a una evaluación de riesgos en un nivel alto como mínimo. Una evaluación de riesgo alto nivel considera requisitos en grupos.

  • La primera etapa es para clasificar los requerimientos. Dentro del URS, para cada requerimiento:
    • Establecer el impacto GxP
    • Establecer la criticidad para el negocio
    • Establecer cualquier otra área sujeta a regulación, ej. SOx, Financiera, Privacidad de datos, eDiscovery.
  • La segunda etapa implica la realización del análisis de riesgo para cada requerimiento

El foco de la evaluación está en la interacción del sistema con el proceso de negocio.

El análisis de riesgo debe considerar, para cada requerimiento:

  • Qué podría salir mal (modos de fallas);
  • Probabilidad
  • Impacto
  • Detectabilidad

Luego se lleva adelante un sistema de score de riesgos basados en la probabilidad de ocurrencia, el impacto o severidad del evento y la detectabilidad del mismo (según el enfoque de la GAMP5), el foco debe estar en aquellos ítems donde la clasificación final del riesgo del sistema es medio o alto.

A modo de ejemplo podemos utilizar los siguientes valores:

Probabilidad (1-3)

Severidad (1-3)

Detectabilidad (1-5)

De acuerdo a estos valores, el score mínimo es 1 y el máximo a obtener es 45 y podemos valorar los riesgos de la siguiente manera:

Bajo riesgo (1-4)

Riesgo medio (5-10)

Alto riesgo (>10)

  • La tercera etapa en el proceso es para identificar los controles de mitigación para cada requerimiento. Los controles incluyen testeos técnicos y de negocios, SOPs, requerimientos de entrenamiento, etc.
  • El reporte de la Evaluación de Riesgos funcional, puede ser elaborado utilizando un modelo o template adecuado, y el mismo debe ser aprobado por QA.
1. Información general
Comentario: este Check List tiene por objetivo evaluar el status del Laboratorio en los temas relacionados ala Validaciónde Sistemas Computarizados (CSV) y firmas y registros electrónicos (21CFRParte11).
1.1 Nombre del evaluador

_____________________________________

1.2 Cargo / Área (QA, IT, etc.)

_____________________________________

1.3 Fecha de completado el check list

_______ / _______/ _______

1.4 Nombre del Laboratorio

_____________________________________

1.5 El Laboratorio produce (o producirá dentro de los próximos 12 meses) activos o productos para el Mercado de USA o proveerá información parala FDA?

 SI             NO

1.6 El Laboratorio participa (o participará en los próximos 12 meses) en el desarrollo (incluyendo lotes para ensayos clínicos) de activos o productos para el mercado de USA?  SI             NO
1.7 El Laboratorio maneja datos (por ej. devoluciones de eventos adversos) de activos o productos, los cuales son comercializados en el Mercado de USA y podrían ser revisados por los USA?  SI             NO
1.8 Cuál es el nombre del responsable de CSV del Laboratorio?

_____________________________________

Comentarios referidos al ítem 1 “Información general”:

2. Información sobre CSV y 21CFR11
2.1 Plan Maestro de Validación (PMV) de CSV
2.1.1 Tiene un Plan Maestro de Validación de Sistemas Computarizados?  SI             NO
2.1.2 Está aprobado?  SI             NO
2.1.3 Quienes son los aprobadores del PMV?
Nombre                     Cargo / Posición

______________       ________________

______________       ________________

______________       ________________

______________       ________________

2.1.4 Cuando fue la última revisión / actualización del PMV?

_______ / _______/ _______

2.2 Inventario de Sistemas Computarizados
Comentario: Un Inventario de todos los sistemas computarizados en las áreas GxP debe ser confeccionado y mantenido por el responsable del PMV de acuerdo a los lineamientos dela Políticade Validación de Sistemas Computarizados. El mismo debe ser actualizado regularmente y auditado anualmente. Incluye el estatus de los análisis de riesgo GxP y el estatus de la validación de los mismos, así como la ejecución de los análisis de riesgo del 21CFRParte11 y su cumplimiento.
2.2.1 Tiene un Inventario de Sistemas Computarizados?  SI            NO
2.2.2 Utiliza un modelo o template para su inventario?Detallar que tipo de base utiliza para mantener el inventario (por ej. access, excel, etc.).  SI            NO ____________________________________
2.2.3 Todos los Sistemas computarizados están listados en el inventario de sistemas?Si, NO, explique el racional del mismo.  SI            NO ____________________________________
2.2.4 Cuando fue la última revisión / actualización del inventario de sistemas?

_______ / _______/ _______

2.3 Roles y Responsabilidades
2.3.1 Los roles y responsabilidades de CSV están definidas y actualizadas?   SI             NO
2.3.2 Los roles y responsabilidades están incluidas o mencionadas en el PMV?  SI, en el PMV

SI, en un anexo del PMV

NO

2.4
Capacitación en CSV y 21CFR11
2.4.1 Algún miembro del Laboratorio ha recibido entrenamiento en temas relacionados a CSV y 21CFR11?   SI             NO
2.4.2 En caso afirmativo en la pregunta anterior, indique, quién, cuándo y el curso al cual asistió.

_____________________________________

2.4.3 Ha efectuado capacitaciones sobre CSV y 21CFR11 en su Laboratorio?   SI             NO
2.4.4 Cuántas sesiones de capacitación fueron efectuadas?

_____________________________________

2.4.5 Cuándo fueron efectuadas las capacitaciones?

_______ / _______/ _______

_______ / _______/ _______

_______ / _______/ _______

Comentarios sobre el ítem 2 “Información sobre CSV y 21CFR11”
3. Información sobre CSV
3.1
Análisis de riesgo GxP
  Comentario: Un análisis de riesgo GxP evalúa cuando un sistema tiene o no impacto sobre las GxP y por ende necesita o no ser validado.
3.1.1 Tiene un análisis de riesgo GxP de todos los sistemas computarizados disponibles?Si, “NO”, por favor explique, cuales son los sistemas evaluados desde el punto de vista GxP  SI                    NO______________________________
3.1.2 Tiene un template (modelo) para efectuar el análisis de riesgo?  SI             NO
3.1.3 Qué porcentaje de los sistemas disponibles tiene efectuado el análisis de riesgo GxP?

____________________________________

Comentarios del ítem 3 “Información sobre CSV”
4. Información sobre 21CFR11
4.1
Análisis de riesgo 21CFR11
4.1.1 Cuántos análisis de riesgo 21CFRparte11 ha efectuado el Laboratorio?

____________________________________

4.1.2 Tiene un template (modelo) para efectuar el análisis de riesgo?  SI             NO
4.1.3 Qué porcentaje de los sistemas disponibles tiene efectuado el análisis de riesgo 21CFRParte11?

__________________________________

4.2
Plan de remediación del 21CFR11
4.2.1 Elaboró un Plan de remediación para el 21CFR11?  SI             NO
4.2.2 Qué porcentaje de los sistemas críticos 21CFR11 están cubiertos en el Plan de remediación?

__________________________________

4.3
Remediación 21CFR11 de sistemas existentes
4.3.1 Para cuántos Sistemas es necesaria una remediación 21CFR11 (de acuerdo al Plan de remediación)?

__________________________________

4.3.2 Cuántas remediaciones fueron efectuadas?

__________________________________

4.3.3 Qué porcentaje de los sistemas críticos 21CFR11 fueron remediados de acuerdo al Plan de remediación?

__________________________________

Comentarios del ítem 4 “Información sobre 21CFR11”
5. Informes
5.1 Qué porcentaje de los sistemas críticos GxP están validados? ____________________ %
5.2 Qué porcentaje de los sistemas críticos GxP cumplen con el 21CFR11? ____________________ %
5.3 Alcanzó los deadlines de su Plan de remediación? Si, NO, qué porcentaje está vencido?  SI             NO

SI NO,  % Vencido ________________

Comentarios del ítem 5 “Informes”

6. Feedback y Requerimientos
6.1 Ud. Piensa que dispone de los modelos adecuados, asi como los procedimientos necesarios para el cumplimiento de las políticas de Validación de sistemas computarizados?   SI            NO
6.2 Necesita información o SOPs adicionales?  SI             NO
6.3 Cuáles son los requerimientos específicos en cuanto a entrenamiento en CSV y 21CFR11?

__________________________________

6.4 Necesita algún tipo de soporte adicional respecto de CSV&21CFR11?En caso SI, especificar cual.  SI              NO ____________________________________
Por favor indique a continuación cualquier otra recomendación / inquietud que Ud. pueda tener.
 

Espero que les resulte útil.