[:pb]Já discutimos no post Preciso validar meu software. Por onde começo? o processo de validação de software, que é composto por várias etapas. Dentre elas, temos a etapa de gerenciamento de riscos, a qual possui extrema relevância para a segurança do sistema.

O Gerenciamento de Riscos vai de encontro ao desafio de avaliar a importância dos procedimentos de validação de software e os impactos de suas respectivas funcionalidades.

Trata-se de um etapa extremamente importante na validação de sistema, que será abordado no artigo de hoje.

Boa leitura!

Preceitos básicos para gerenciamento de riscos

Antes de mais nada, para realizar o gerenciamento de riscos é necessário ter um profundo conhecimento dos processos envolvidos no sistema computadorizado, considerando os potenciais impactos na segurança do cliente, qualidade do produto e integridade de dados.

Esteja familiarizado também com o seguintes termos e suas respectivas definições:

• Dano: danos para a saúde, incluindo danos que podem ocorrer devido a uma perda de qualidade do produto ou de sua disponibilidade
• Perigo: fonte com potencial para provocar danos
• Risco: combinação da probabilidade de ocorrência e a severidade do dano
• Severidade: medida das possíveis consequências do perigo

Como identificar os perigos e danos potenciais de um sistema?

Para identificar os perigos, deve-se considerar as possíveis falhas do sistema e aquelas ocasionadas por uma ação incorreta dos usuários. Para isso, é necessário discernimento e compreensão do que poderia dar errado no sistema. Isto deve estar baseado no conhecimento dos especialistas e na experiência acerca dos processos e sua automação.

Os danos potenciais devem ser baseados na identificação dos perigos. Exemplos:

• Produção de medicamentos adulterados causada por falhas em um sistema computadorizado;
• Falhas em sistemas computadorizados relacionados aos processos de produção, garantia e controle de qualidade, utilidades e quaisquer outros que sejam críticos.

Metodologia para Análise de Riscos

Um risco pode ser eliminado, totalmente reduzido ou reduzido a níveis aceitáveis através da aplicação de medidas de controle para a redução de sua probabilidade de ocorrência ou aumentando-se a sua detectabilidade. Esses controles podem ser automatizados, manuais ou uma combinação dessas duas formas.

A análise de riscos tem como propósito estabelecer uma maneira de combinação da severidade, probabilidade de ocorrência e detectabilidade de falhas, reduzindo estas a um nível aceitável.

Probabilidade de falha

O entendimento da probabilidade de falhas em sistemas computadorizados auxilia na seleção de controles apropriados para o gerenciamento dos riscos identificados. Porém, dependendo  do tipo de falha, pode ser difícil estabelecer este valor, impossibilitando o cálculo apropriado da probabilidade em termos quantitativos durante uma avaliação de riscos.

Detectabilidade da falha

Falhas podem ser detectadas automaticamente pelos sistemas computadorizados ou por métodos manuais. Entender a detectabilidade irá auxiliar na seleção de controles apropriados para o gerenciamento dos riscos identificados.

Cada risco identificado em uma funcionalidade do sistema pode ser analisado considerando-se a severidade do impacto em BPx relacionado à probabilidade dessa falha ocorrer.

BPx: termo geral para aplicação de boas práticas relacionadas a qualquer área (fabricação, distribuição, pesquisa clínica, laboratório, etc.).

A classificação do risco está ligada à determinação da probabilidade do risco ser detectado antes de ocorrer danos, determinando assim a prioridade de um risco.

• Severidade = Impacto na segurança do cliente, qualidade do produto e integridade dos dados (ou outro risco).
• Probabilidade = Probabilidade da falha (risco) ocorrer.
• Classe do Risco = Severidade x Probabilidade.

• Detectabilidade = Probabilidade desta falha ser detectada antes do risco ocorrer.
• Prioridade do Risco = Classe do Risco x Detectabilidade.

Como será o controle de gerenciamento de riscos?

Conforme orientado no Guia da ANVISA, são 5 as etapas fundamentais a serem consideradas durante a realização do gerenciamento de riscos:

Etapa 1 – Realizar avaliação inicial de risco e determinar impactos no sistema

O objetivo é detectar se o sistema no geral tem impacto em BPx. Não se consideram detalhamentos dos processos e particularidades de cada função. Para executar esta etapa, deve-se ter:

• Entendimento dos processos;
• Definição dos limites de cada item envolvido com os processos;
• Função principal do sistema computadorizado para suporte e apoio aos processos envolvidos;
• Requerimentos claramente definidos.

Etapa 2 – Identificar funções com impacto BPx

Identificação das funções ou processos que têm impacto em BPx para os módulos que foram detectados na etapa 1. Nesta etapa, realizar um mapeamento a partir de fluxogramas irá facilitar a análise dos pontos fracos, riscos e as responsabilidades de cada processo.

Etapa 3 – Realizar avaliação de risco funcional

Composta pela avaliação detalhada dos riscos das funcionalidades do sistema identificadas durante o mapeamento dos processos na etapa 2.

Etapa 4 – Identificar, implementar e verificar controles adequadamente

Controles são basicamente medidas implementadas para reduzir um risco a um nível aceitável. Esses controles podem fazer parte de uma funcionalidade do sistema computadorizado, com procedimentos manuais em paralelo ou podem ser uma combinação e integração de ambos.

Esta etapa inclui a identificação, implementação e verificação dos controles para eliminação ou redução do risco,  envolvendo basicamente:

• Eliminação dos riscos através de processos ou sistema redesenhados;
• Redução dos riscos diminuindo a probabilidade de uma falha ocorrer;
• Redução dos riscos através de implementação de outros processos que detectem a falha;
• Redução dos riscos estabelecendo verificações ou métodos para identificação.

Exemplos de controles estratégicos para redução de riscos:

• Inclusão de controles automáticos para os atributos de qualidade contemplados em sistemas computadorizados.
• Aplicação de testes rigorosos comprovando que o sistema desempenha suas funcionalidades corretamente em condições de erros ou que possua condições de tratamento para os mesmos.
• Aplicação e revisão de treinamento aos usuários envolvidos.

Etapa 5 – Revisar riscos e monitorar controles

Esta etapa deve prever a revisão e o monitoramento dos controles adotados na Etapa 4, tarefa que pode ser realizada na revisão periódica para manutenção do estado validado ou durante a avaliação dos riscos desencadeada por um controle de mudanças.

Resultados esperados

Ao realizar uma boa análise e gerenciamento de riscos, você será capaz de:

• Identificar antecipadamente os pontos-chaves que requerem uma atenção durante as fases do projeto;
• Obter informações necessárias para o desenvolvimento, especificação e descrição do sistema;
• Obter informações que auxiliam no desenvolvimento da estratégia para alcançar a conformidade e adequação às normas regulatórias.

Você já participou de um processo de análise e gerenciamento de riscos para validação de software? Quais foram os maiores desafios? Se você gostou desse post, recomendamos a leitura do artigo Proteja seus Registros com a FDA CFR 21 Part 11.[:es]Ya hemos discutido en el post Necesito validar mi software. ¿Por dónde empiezo? el proceso de validación de software, que se compone de varias etapas. Entre ellas, tenemos la etapa de gestión de riesgos, de la cual tiene extrema relevancia para la seguridad del sistema.

La Gestión de Riesgos va en contra del desafío de evaluar la importancia de los procedimientos de validación del software e los impactos de sus respectivas funcionalidades.

Se trata de un paso extremamente importante en la validación del sistema, que será abordado en el artículo de hoy.

¡Buena lectura!

Preceptos básicos para la gestión de riesgos

En primer lugar, para realizar la gestión de riesgos es necesario tener un profundo conocimiento de los procesos involucrados en el sistema computadorizado, teniendo en cuenta los potenciales impactos en la seguridad del cliente, calidad de producto e integridad de datos.

Esté familiarizado también con los siguientes términos y sus respectivas definiciones:

• Daño: daños a la salud, incluyendo daños que pueden ocurrir debido a una pérdida de calidad del producto o de su disponibilidad
• Peligro: fuente con potencial para causar daños
• Riesgo:  combinación de la probabilidad de ocurrencia y la severidad del daño
• Severidad: medida de las posibles consecuencias del peligro

¿Cómo identificar los peligros y daño potenciales de un sistema?

Para identificar los peligros, se deben considerar las posibles fallas del sistema y aquellas ocasionadas por una acción incorrecta de los usuarios. Por lo tanto, es necesario discernimiento y comprensión de lo que podría salir mal en el sistema. Esto debe estar basado en el conocimiento de los expertos y en la experiencia acerca de los procesos y su automatización.

Los daños potenciales deben basarse en la identificación de los peligros. Ejemplos:

• Producción de medicamentos adulterados causada por fallas en un sistema computadorizado;
• Fallas en sistemas computadorizados relacionados a los procesos de producción, garantía y control de calidad, utilidades y cualquier otro que sea crítico.

Metodología para Análisis de Riesgos

Un riesgo puede ser eliminado, totalmente reducido a niveles aceptables mediante la aplicación de medidas de control para reducción de su probabilidad de ocurrencia o aumentando su detectabilidad.  Estos controles pueden ser automatizados, manuales o una combinación de los dos.

El análisis de riesgos tiene como propósito establecer una manera de combinar la severidad, probabilidad de ocurrencia y la detectabilidad de fallas, reduciéndolas a un nivel aceptable.

Probabilidad de falla

El entendimiento de la probabilidad de fallas un sistemas computadorizados ayuda en la selección de controles apropiados para la gestión de riesgos identificados. Sin embargo, dependiendo del tipo de falla, puede ser difícil establecer este valor, imposibilitando el cálculo apropiado de la probabilidad en términos cuantitativos a lo largo de una evaluación de riesgos.

Detectabilidad de falla

Fallas pueden ser detectadas automáticamente por los sistemas computadorizados o por métodos manuales. Entender la detectabilidad ayudará en la selección de controle apropiados para la gestión de riesgos identificados.

Cada riesgo identificado en una funcionalidad del sistema puede ser analizado considerando la severidad del impacto en BPx relacionado a la probabilidad de que ocurra esta falla.

BPx: término general para aplicación de las buenas prácticas relacionadas con cualquier área (fabricación, distribución, investigación clínica, laboratorio, etc.).

La clasificación del riesgo está vinculada a la determinación de la probabilidad de que el riesgo se detecte antes de ocurrir daños, determinando la prioridad de un riesgo.

• Severidad = Impacto en la seguridad del cliente, calidad del producto e integridad de datos (u otro riesgo).
• Probabilidad = Probabilidad de la falla (riesgo) ocurrir.
• Clase de Riesgo = Severidad x Probabilidad.

• Detectabilidad = Probabilidad de la falla ser detectada antes del riesgo ocurrir.
• Prioridad del Riesgo = Clase de Riesgo x Detectabilidad.

¿Cómo será el control de la gestión de riesgos?

Conforme orientado en la Guía de la ANVISA (Agencia Nacional Brasileña de Vigilancia Sanitaria), son 5 etapas fundamentales a ser consideradas durante la realización de la gestión de riegos:

Etapa 1 – Realizar evaluación inicial de riesgo y determinar impactos en el sistema

El objetivo es detectar si el sistema en general tiene impacto en BPx. No se consideran detalles de los procesos y particularidades de cada función. Para ejecutar esta etapa, se debe tener:

• Entendimiento de los procecssos;
• Definición de los límites de cada ítem involucrado con los procesos;
• Función principal del sistema computarizado para soporte y apoyo a los procesos involucrados;
• Requerimientos claramente definidos.

Etapa 2 – Identificar funciones con impacto BPx

Identificación de las funciones o procesos que tienen impacto en BPx para los módulos que se han detectado una la etapa 1. En esta etapa, realizar un mapeo a partir de diagramas de flujo facilitará el análisis de los puntos débiles, riesgos y las responsabilidades de cada proceso.

Etapa 3 – Realizar evaluación de riesgo funcional

Compuesta por la evaluación detallada de los riesgos das funcionalidades del sistema identificados durante el mapeo de los procesos en la etapa 2.

Etapa 4 – Identificar, implementar y verificar controles adecuadamente

Controles son básicamente medidas implementadas para reducir un riego a un nivel aceptable. Estos controles pueden formar parte de una funcionalidad del sistema computarizado, con procedimientos manuales en paralelo o pueden ser una combinación o integración de ambos.

Esta etapa incluye la identificación, implementación y verificación de los controles para eliminación o reducción del riesgo,  involucrando básicamente:

• Eliminación de los riesgos a través de procesos o sistema rediseñados;
• Reducción de los riesgos disminuyendo la probabilidad de una falla ocurrir;
• Reducción de los riesgos a través de implementación de otros procesos que detecten la falla;
• Reducción de los riesgos estableciendo verificaciones o métodos para identificación.

Ejemplos de controles estratégicos para reducción de riesgos:

• Inclusión de controles automáticos para los atributos de calidad contemplados en sistemas computarizados.
• Aplicación de pruebas rigurosas comprobando que el sistema desempeña sus funcionalidades correctamente en condiciones de errores o que posee condiciones de tratamiento para los mismos.
• Aplicación y revisión de entrenamiento a los usuarios involucrados.

Etapa 5 – Revisar riesgos y monitorear controles

Esta etapa debe prever la revisión y monitoreo de los controles adoptados en la Etapa 4, tarea que puede realizarse en la revisión periódica para el mantenimiento del estado validado o durante la evaluación de los riesgos desencadenada por un control de cambios.

Resultados esperados

Al realizar un buen análisis y gestión de riesgos, usted será capaz de:

• Identificar por adelantado los puntos clave que requieren una atención durante las fases del proyecto;
• Obtener informaciones necesarias para el desarrollo, especificación y descripción del sistema;
• Obtener informaciones que ayuden en el desarrollo de la estrategia para alcanzar la conformidad y adecuación a las normas regulatorias.

¿Ha participado de un proceso de análisis y gestión de riesgos para la validación de software? ¿Cuáles fueron los mayores retos? Si te ha gustado este post, te recomendamos leer el artículo Proteja sus Registros con la FDA CFR 21 Part 11.[:]