Analýza rizik počítačových systémů · PDF file• GAMP5: A...

09.05.2017

1

Analýza rizik počítačových systémů

Validace a Data Integrity ve farmaceutické výrobě, seminář CONFORUM pro FARMAK a.s., 12.5.2017

© Process Automation Solutions

Představení přednášejícího

▪ Ing. Pavel Říha

▪ Analytik v oblasti MES/Validační konzultant

▪ 20 let působnosti v MES, 14 let v GxP prostředí

▪ Hlavní současné aktivity:

▪ Validace počítačových systémů všech kategorií

▪ Posuzování vhodnosti a rozvoje počítačových systémů a procesní analýzy v GxP prostředí

▪ Řízení validovaných projektů

▪ Návrhy MES řešení

▪ Školení Validace počítačových systémů a Data Integrity

▪ Process Automation Solutions s.r.o., [email protected], www.pa-ats.com/cz

© Process Automation Solutions | Doc. Vers.: 12

mailto:[email protected]

http://www.pa-ats.com/cz

09.05.2017

2

Agenda


1) QRM: Quality Risk Management

2) Analýza rizik počítačových systémů ve farmaceutické praxi:

▪ Úvodní zhodnocení rizik

▪ Funkční analýza rizik

3) Hodnocení počítačového systému z pohledu datové integrity

4) Analýza rizik při aktualizaci / náhradě počítačového systému

Legislativa a návody


Legislativní rámec:

• ICH Q9: QUALITY RISK MANAGEMENT, 2005

• VYR-32 POKYNY PRO SPRÁVNOU VÝROBNÍ PRAXI - DOPLNĚK 20 (překlad ICH Q9)

Návody a doporučení:

• GAMP5: A Risk-Based Approach to Compliant GxP Computerized Systems, ISPE, 2008

09.05.2017

3

Úvod


Riziko


• Nic a nikdy „nefunguje“ jak by mělo a jak si myslíme, že to bude.

• Když se něco nemá pokazit, tak se to vždy po…

• Nic na světě co je vyrobené člověkem není absolutně bez chyby.

• Co se chová jinak než čekáme přináší RIZIKO.

• Pokud je neočekávaná událost (RIZIKO) zcela bez kontroly a může se objevit bez našeho vědomí – jedná se o HAZARD

• Riziko může být:• Nepřijatelné (v případě akceptováni je to HAZARD)• Vysoké• Přijatelné (kompromis)

09.05.2017

4

Co je naším cílem?


• Vyhnout se HAZARDŮM.

• Nalézt rizika a popsat je.

• Vyhodnotit rizika a stanovit, jak jsou pro náš účel závažná.

• Snížit rizika na přijatelnou úroveň, která nebude ohrožovat kvalitu a účinnost léčiva a bezpečnost pacienta.

=

Řízení rizik

Jak to uděláme?


• Základem jsou zkušenosti, znalosti a schopnost kreativního myšlení, tj. lidé.

• Řešitelský tým je vždy úspěšnější, než jedinec.

• Co vědecké metody/nástroje?

• Žádná vědecká metoda nemůže sama o sobě odhalit rizika a příčiny či odstranit následky

• Metody analýzy rizik slouží výlučně k metodickému uspořádání práce řešitelů

09.05.2017

5

QRM: Quality Risk Management


QRM: Quality Risk Management


▪ Systematický proces posuzování, řízení, komunikace a přezkoumávání rizik.

▪ Ideu „Risk-based Approach...“ zavádí ISPE v roce 2007 a v GAMP 5 (vydaného v r.2008) se mění přístup k validačním procesům z dosavadní plošné rutiny na preferování vědeckého přístupu, zkušeností a zdravého rozumu. Cílem je aplikovat validační postupy pouze na entity a procesy, které toto vyžadují.

▪ Jde o opakovaný proces provázející systém v průběhu jeho celého životního cyklu od návrhu až po vyřazení.

▪ Je to kooperativní týmový proces na němž by se měli podílet jak zástupci regulovaného subjektu, tak i dodavatele. Tým musí obsahovat odborníky na jednotlivé procesy (SMEs) s praktickými zkušenostmi a zástupce IT.

▪ Řízení rizik by mělo být založeno na vědeckém přístupu zahrnujícím znalosti o:

▪ možném vlivu systému na bezpečnost pacienta, kvalitu produktu a integritu dat

▪ okolní byznys procesy

▪ dotčených CQAs a monitorovaných / regulovaných CPPs

▪ uživatelských požadavcích

▪ regulatorních požadavcích

▪ projektu (kontrakt, milníky, ...)

▪ architektuře systému, komponentách, funkcích

▪ schopnostech dodavatele

09.05.2017

6

Proces QRM


Posouzení rizik

Zahájení procesu řízení rizik

Identifikace rizik

Analýza rizik

Vyhodnocení rizik

Snížení rizika

Přijetí rizika

Výstup/výsledek procesu řízení rizik

Přezkoumávané události

Kontrola rizik

Přezkoumání rizik

Ko

mu

nik

ac

e r

izik

Ná

stro

je říz

en

í rizik

nepřijatelné

▪ Posuzování rizik sestává z určení nebezpečí a analýzy a vyhodnocení rizik souvisejících s vystavením tomuto nebezpečí.

▪ Systematický proces hledání odpovědí na dotazy:

1) Co by mohlo selhat?

2) Jaká je pravděpodobnost tohoto selhání?

3) Jaké jsou důsledky (závažnost)?

▪ Posuzování rizika probíhá ve třech krocích:

1) Identifikace rizika Určení potenciálních nebezpečí, tj. „Co by mohlo selhat.“

2) Analýza rizika Kvantitativní kvalitativní posouzení kritérií rizika: pravděpodobnosti výskytu, závažnosti škod, často obsahuje i faktor detekovatelnosti (schopnost zjištění škody).

3) Vyhodnocení rizika Kvantitativní/kvalitativní odhad/popis rizika

Posouzení rizik


Posouzení rizik


Identifikace rizik

Analýza rizik

Vyhodnocení rizik

Snížení rizika

Přijetí rizika



Kontrola rizik


Ko

mu

nik

ac

e r

izik

Ná

stro

je říz

en

í rizik

nepřijatelné

09.05.2017

7

Řízení rizik


▪ Rozhodování o významu rizika, nutnosti jeho snížení nebo možnosti jeho přijetí.

▪ Snížení rizika = zavedení opatření vedoucích k snížení závažnosti a pravděpodobnosti nebo naopak zvýšení detekovatelnosti:

▪ úprava návrhu systému

▪ úprava dotčeného procesu

▪ aplikace vnějšího opatření / procedury

▪ zvýšení rozsahu nebo hloubky testování

▪ Ověření aplikace a efektivity opatření by mělo být součástí verifikace.

▪ Přijetí rizika = rozhodnutí o tom, že riziko (v daném významu) bude přijato.

▪ Vynaložené úsilí na snížení rizika má být úměrné významu rizika!(rozhodnutí by mělo zohledňovat i prospěšnost, náklady, apod.)

Kontrola rizik

Posouzení rizik


Identifikace rizik

Analýza rizik

Vyhodnocení rizik

Snížení rizika

Přijetí rizika




Ko

mu

nik

ac

e r

izik

Ná

stro

je říz

en

í rizik

nepřijatelné



▪ Kontrola aplikace a efektivity přijatých opatření.

▪ Řízení rizik na konkrétním subjektu by neměl být jednorázovou záležitostí, nýbrž by měl být aplikován při každé změně okolností. V případě počítačového systému např. při:

▪ Doplnění funkčnosti,

▪ Náhrada komponenty,

▪ Přechod na novou verzi,

▪ Vznik neplánované příhody (fatal error),

▪ Závěry auditu, apod.


Posouzení rizik


Identifikace rizik

Analýza rizik

Vyhodnocení rizik

Snížení rizika

Přijetí rizika



Kontrola rizik

Ko

mu

nik

ac

e r

izik

Ná

stro

je říz

en

í rizik

nepřijatelné

09.05.2017

8

Nástroje pro QRM

▪ Většinou se využívá standardních metodik v kombinaci s empirickými postupy (pozorování, trendy, apod.)

▪ Analýza možných vad a jejich důsledků (FMEA, Failure Mode Effects Analysis)

▪ Analýza možných vad, jejich důsledků a kritičnosti (FMECA, Failure Mode, Effects and Criticality Analysis)

▪ Analýza stromu poruchových stavů (FTA, Fault Tree Analysis)

▪ Analýza nebezpečí a kritické kontrolní body (HACCP, Hazard Analysis and Critical Control Points)

▪ Analýza ohrožení a provozuschopnosti (HAZOP, Hazard Operability Analysis)

▪ Předběžná analýza nebezpečí (PHA, Preliminary Hazard Analysis)

▪ apod.

▪ Tyto metodiky založeny většinou na kvantitativním posuzování jednotlivých aspektů rizik.

▪ GAMP zavádí praktickou metodiku „Zjednodušená FMEA“, využívající shodné faktory klasifikace rizika, jako FMEA, ale používá kvalitativní hodnocení typu High/Medium/Low


Zjednodušená FMEA dle GAMP 5

▪ V prvním kroku probíhá stanovení Třídy rizika na základě dvou vstupních faktorů:

▪ Závažnost dopadu rizika na bezpečnost pacienta, kvalitu produktu a integritu dat

▪ Pravděpodobnost výskytu rizika

▪ Každý faktor může nabývat pro dané riziko jedné ze tří hodnot:

▪ Nízká (L-Low)

▪ Střední (M-Medium)

▪ Vysoká (H-High)

▪ Třída rizika může nabývat hodnot:

▪ 1 (Vysoké riziko)

▪ 2 (Střední riziko)

▪ 3 (Nízké riziko)


High

Medium

Low

Risk Class 1

Risk Class 2

Risk Class 3

Lo

w

Me

diu

m

Hig

h

Se

ve

rity

Probability

09.05.2017

9

Zjednodušená FMEA dle GAMP 5 (pokrač.)

▪ V druhém kroku probíhá stanovení Priority rizika na základě:

▪ Třídy rizika,

▪ Odhalitelnosti rizika ještě před tím, než bude způsoben problém

▪ Faktor Odhalitelnost může nabývat pro dané riziko jedné ze tří hodnot:

▪ Nízká (L-Low)

▪ Střední (M-Medium)

▪ Vysoká (H-High)

▪ Priorita rizika může nabývat hodnot:

▪ Nízká (L-Low) – akceptovatelné riziko

▪ Střední (M-Medium) – riziko může být akceptovatelné za určitých okolností

▪ Vysoká (H-High) – neakceptovatelné riziko


1

2

3

High Risk Priority

Medium Risk Priority

Low Risk Priority

Hig

h

Me

diu

m

Lo

w

Ris

k C

lass

Detectability

Analýza rizik pro počítačové systémy ve farmaceutické praxi


09.05.2017

10

Quality Risk Management Process


V průběhu celého životního cyklu počítačového systému:

▪ Úvodní zhodnocení rizik = stanovení vlivu systému na GxP procesy

▪ Funkční analýza rizik = identifikace GxP relevantních funkcí a jejich následná analýza z pohledu:

▪ vlivu na GxP procesy

▪ datové integrity

▪ Ověření aplikace a účinku nápravných opatření v procesu verifikace

▪ Při řízení změn, z pohledu:

▪ vlivu změn na GxP funkce systému


▪ migrace dat

▪ Při plánování likvidace systému (včetně přechodu na jiný systém)

Při validaci systému kategorie 3 nebo retrospektivní validaci lze dílčí risk analýzy slučovat.

Úvodní zhodnocení rizik


▪ Následuje bezprostředně po URS nebo se řeší souběžně, tj. jedna z nejrannějších činností při zavádění počítačového systému

▪ Účelem je zhodnocení potenciálních dopadů systému na firemní procesy zejména z hlediska kvality a účinnosti produktu a bezpečnosti pacienta. Jde o stanovení tzv. „GxP relevance“ systému, na základě výsledků se následně stanoví přístup k implementaci a validaci:

▪ spravuje data týkající se regulatorních záležitostí či registrace léčivého přípravku

▪ řízení/monitoring CPP v pre-klinické, klinické, vývojové či výrobní léčivého přípravku

▪ řízení/poskytování podkladů pro propouštění léčivého přípravku

▪ řízení/poskytování podkladů pro stahování léčivého přípravku

▪ řízení/poskytování podkladů pro řešení odchylek, reklamací, stížností, apod.

▪ podporuje farmakovigilanci

▪ V případě komplexních systémů (např. ERP) je vhodné na základě URS rozdělit systém na více částí (modulů/komponent) a hodnotit každou zvlášť

▪ I-RA provádí regulovaný subjekt, nejčastěji business/process owner, oddělení jakosti a SMEs (ti, kdo rozumějí procesům a definovali požadavky na systém)

I-RA: Initial Risk Assessment (System Impact Asessment)

09.05.2017

11

Úvodní zhodnocení rizik (příklad)


Ukázka

Funkční analýza rizik

▪ Vychází ze specifikace funkcí v URS/FS a závěrů I-RA (GxP relevance).

▪ Elementární hodnocená entita závisí na novosti a komplexnosti systému - funkce/funkční celek/modul/ teoreticky systém jako celek

▪ Identifikace GxP relevantních funkcí/funkčních celků, optimálně na úrovni FS

▪ Každá GxP relevant funkce/funkční celek se vyhodnocuje z pohledu:

▪ dopadu na související proces v případě jejího selhání


▪ Cílem je minimalizovat dopady případných rizik

▪ Míra detailu F-RA závisí na novosti a komplexnosti systému (např. pro jednoduché či jednoúčelové systémy, u nichž nelze odlišovat GxP a non GxP funkce, lze hodnotit i systém jako celek)

▪ Výstupy F-RA mj. určují přístup k verifikaci (testování) systému – komplexnost testů, míru detailu, apod.

▪ F-RA by se měli účastnit SMEs, F-RA schvaluje regulovaný subjekt.

F-RA: Functional Risk Assessment

09.05.2017

12

Funkční analýza rizik (příklad)


Ukázka

Funkční analýza rizik (příklad 2)


Ukázka

09.05.2017

13

Hodnocení počítačového systému z pohledu datové integrity


Datová integrita: Legislativa


▪ Existující předpisy GMP a jejich doplňky EU a US, zejména:

▪ EU GMP Guide a Annex 11 to EU GMP Guide Computerised Systems (VYR-26, VYR-32 vč. Doplňku 11), 2011

▪ EMA Data Integrity Q and A, August 2016

▪ 21 CFR Part 210 a 211 cGMP a Part 11 Electronic Records; Electronic Signatures, 1997

▪ Data Integrity and Compliance With CGMP, Guidance for Industry, Draft, FDA April 2016

▪ MHRA GMP Data Integrity Definitions and Guidance for Industry, March 2015;

09.05.2017

14

Datová integrita: Principy

▪ Datová integrita představuje principy zachování úplnosti, neměnnosti a přesnosti kvalitativně relevantních dat.

▪ ALCOA – acronym, symbolizující principy GDocP a současně i požadavky na integritu dat, které zavedlo FDA v 90-tých letech:

▪ A-AttributableU každého datového záznamu by mělo být zajištěno kdo a kdy jej pořídil/zpracoval.

▪ L-Legible (permanent)Nemělo by být možné změnit nebo znovugenerovat data bez uchování originálního záznamu.

▪ C-ContemporaneousZáznam by měl být pořízen optimálně v okamžiku vzniku dat.

▪ O-OriginalOriginální záznam musí uchovávat přesnost, úplnost, obsah a smysl dat.

▪ A-AccurateZajištění správnosti při pořízení dat.

▪ Později byly upřesněny další požadavky (EMA, WHO), jako celek se nazývají ALCOA+:

▪ + Complete (Úplná)

▪ + Consistent (Konzistentní)

▪ + Enduring (Trvalá)

▪ + Available (Dostupná)


Datová integrita: Způsoby zajištění


▪ Data Governance = Soubor opatření pro zajištění Data Integrity:

▪ Organizační opatření:

▪ Řízení rizik, systém jakosti.

▪ Výchova pracovníků k GDocP (školení, SOP).

▪ Vytvoření „Organisational Culture“.

▪ Technická opatření:

▪ Vhodné validované počítačové systémy a infrastruktura

▪ Za zavedení Data Governance odpovídá vrcholový management.

▪ Úsilí a zdroje vynaložené na zajištění datové integrity musí být úměrné kritičnosti dat, tj. jejich dopadu na kvalitu produktu.

▪ Formální zavedení Data Governance je vyžadováno regulatorními autoritami.

09.05.2017

15

Datová integrita: Hodnocení počítačového systému

1) Posouzení počítačového systému z pohledu klíčových aspektů datové integrity▪ Jednoznačná identifikace uživatele

▪ Diferenciace uživatelských přístupů na základě přidělených oprávnění

▪ Způsob pořízení dat (manuální/automatické)

▪ Záznam dat současně s jejich vznikem

▪ Verifikace manuálně ukládaných dat

▪ Způsob uložení dat

▪ Místo uložení dat (lokální/síťové)

▪ Uchování originálního záznamu / ověřené kopie

▪ Modifikace nebo mazání dat/AuditTrail

▪ Modifikace/smazání dat mimo systém

▪ Zálohování/obnova dat

2) Analýza souvisejících rizik v případě identifikace neshody


Datová integrita (Příklad 1: Zhodnocení systému)


Ukázka

09.05.2017

16

Datová integrita (Příklad 2: Analýza rizik)


Ukázka

Analýza rizik při aktualizaci / náhradě počítačového systému


09.05.2017

17

Aktualizace systému

▪ Veškeré změny ve validovaném systému nebo jeho operačním prostředí musejí být zastřešeny formálním Změnovým řízením, komplexnější změny by měly být řešeny jako validovaný projekt.

▪ Cílem je udržení systému ve validovaném stavu.

▪ Aktualizace systému:

▪ Změna operačního prostředí (např. aktualizace OS, výměna serveru, ...)

▪ Změna konfigurace systému

▪ Funkční rozšíření systému

▪ Oprava chyby

▪ Analýza rizik při aktualizaci systému:

▪ Dopadu změny na GxP relevantní funkce (analogicky, jako při pořizování)/dokumentaci/procesy subjektu

výstupy formují verifikační strategii (IQ/OQ)

▪ Migrace dat (pokud změna vede na změnu datové struktury)

výstupy formují strategii migrace dat


Change Request (Příklad)


Ukázka

09.05.2017

18

Výměna systému

▪ Náhrada jednoho počítačového systému jiným

▪ Z pohledu validace jde o implementaci nového počítačového systému + migraci dat.

▪ Standardní životní cyklus validovaného projektu (URS, VP, Risk analýzy, ..., Verifikace, VSR)

▪ Analýza rizik při výměně systému:

▪ Úvodní zhodnocení rizik (nemusí být prováděno, je-li zachován funkční rozsah )

▪ Funkční analýza rizik (musí být provedena pouze pro nové nebo změněné funkce)

▪ Zhodnocení GxP funkcí/systému z pohledu datové integrity (vždy)

výstupy formují verifikační strategii (IQ/OQ/PQ)

▪ Analýza rizik migrace dat (vždy)

výstupy formují strategii migrace dat


Migrace dat

▪ Data jsou klíčovým majetkem společnosti (know-how, závazky vůči regulatorním autoritám)

▪ Migrace dat představuje činnosti při transferu dat z jednoho systému do jiného nebo i pouhý přechod dat z jednoho stavu do jiného (tj. rozsah, složitost a riziko jsou velmi variantní):

▪ úprava struktury dat existujícího systému

▪ konverze dat (např. z jedné databáze do jiné)

▪ migrace v rámci jednoho systému (např. transport databáze při výměně serveru)

▪ migrace při přechodu z jednoho systému na jiný

▪ migrace při slučování dat z více systémů do jednoho

▪ Cílem je vždy zachovat obsah a integritu dat.

▪ Migrace dat by měla vždy být zastřešena Migračním plánem a reportem.

▪ Každý regulovaný subjekt by měl mít v rámci procesů jištění jakosti definovánu obecnou strategii pro migrace dat (např. formou SOP).

▪ Migrace dat v průběhu životního cyklu systému:

▪ uvedení do provozu (importy)

▪ upgrade systému (změny datových struktur)

▪ ukončení činnosti systému (exporty)


09.05.2017

19

Životní cyklus migrace dat


Plán migrace Zpráva z migrace

Exekuce

Verifikace

Plán migrace a analýza rizik

▪ Plán migrace by měl popisovat celý migrační proces:

▪ důvod a cíl migrace/popis systému/role a odpovědnosti

▪ strategii řízení rizik

▪ použité nástroje

▪ postup migrace (kroky, činnosti)

▪ popis mapování dat, transformační pravidla

▪ strategii pro verifikaci dat vč. akceptačních kritérií

▪ rollback strategii

▪ Analýza rizik by měla zohledňovat:

▪ dopad potenciálního poškození/zničení dat na byznys procesy (s ohledem na GxP relevanci dat)

▪ nedostupnost dat/systému během migrace

▪ stupeň komplexnosti migrace

▪ migrační nástroje a technologie


09.05.2017

20

Exekuce, verifikace a vyhodnocení migrace dat

▪ Exekuce:

▪ Automaticky pomocí vhodných nástrojů nebo skriptů

▪ Nezapomenout na migraci metadat a pomocných dat, jako např. AuditTrail (pokud to není možné, nutno starý Audit Trailarchivovat/vytisknout)

▪ Verifikace:

▪ Obsah verifikace

▪ Přenesla se všechna data

▪ Data se přenesla správně

▪ Migrace nenarušila data již předtím obsažená v cílovém systému

▪ Metody verifikace

▪ Verifikace všech dat – automaticky vhodným SW nástrojem (velmi rizikové) / manuálně (možno při malém množství dat)

▪ Verifikace statisticky reprezentativního vzorku dat

▪ Data Migration Report:

▪ Souhrn aktivit vykonaných během procesu migrace dat

▪ Veškeré odchylky nebo anomálie

▪ Seznam aktivit včetně výstupů (množství dat, charakter dat, ...)

▪ Je-li migrace provedena jako část komplexního projektu, např. aktualizace systému, nemusí být DMR samostatný dokument a výstupy migrace mohou být popsány v VSR.


Analýza rizik migrace dat (příklad)


Ukázka

09.05.2017

21

Shrnutí


Shrnutí

▪ Nebojte se risk analýzy, zjednoduší vám život!

▪ Rizika je nutno kontinuálně vyhledávat a minimalizovat!

▪ Vždy je třeba vyvinout maximální snahu o snížení rizik na akceptovatelnou úroveň!

▪ Datová integrita představuje principy zachování úplnosti, neměnnosti a přesnosti kvalitativně relevantních dat nikoliv pravidla uložení dat v databázi!

▪ Každá aktualizace (změna) systému by měla být řešena změnovým řízením!

▪ Klíčovou součástí náhrady/aktualizace systému je řízená migrace dat!


09.05.2017

22

Děkujeme za Vaši pozornost.


Otázky...?...a odpovědi!

Date post:	10-Feb-2018
Category:	Documents
Upload:	vukhanh
View:	315 times
Download:	5 times

Analýza rizik počítačových systémů · PDF file• GAMP5: A...

Documents