Van Riskmanagement naar Computervalidatie. Hanny Nelis

Van Riskmanagement naar Computervalidatie Hanny Nelis

Inhoud 1. 2. 3. 4.

Risico Management Aanpak Validatie traject Voorbeeld Risico Analyse Monitoringssysteem Conclusies

8 okt 2009

2

1. Risico management Binnen GxP compliance vindt een verschuiving plaats naar “beheersing van processen en risico’s” • Voorheen: Valideren • Nu: Risico management

8 okt 2009

3

Risico management
Risico management • Risico analyse • Inventarisatie/beschrijving • weging

• Risico beheersing • Risico beperkende maatregelen • Validatie • Andere maatregelen

• Risico evaluatie • Vaststellen of risico verminderd is

8 okt 2009

4

Risico analyse De belangrijkste aspecten: • de mate van schade (impact) • de kans dat het risico optreedt • de kans op ontdekking als het risico optreedt (detectie kans).
Risico Klasse = Impact * kans
Risico prioriteit = Klasse * detectiekans

8 okt 2009

5

Risico management Mogelijke maatregelen zijn: • Validatie • Inspectie van technische documenten • Leverancierscertificaat • Audit • Procedure • Change control procedure (CCP) • Training

8 okt 2009

6

GAMP methodiek

bedrijfs risico hoog midden laag

8 okt 2009

kans op optreden laag midden hoog

risico klasse level EEN level TWEE level DRIE

kans op detectie hoog midden laag

risico prioriteit hoog midden laag

7

Risico weging

Aspect

Moge lijke waarden

Impact (ernst)

1 = geen consequenties 2= minimale consequenties 3 = consequenties 4 = zeer ernstige consequenties

H oge impact Middel Laag

Waarschijnlijkheid van optreden (frequentie)

1= 2= 3= 4=

nihil af en toe zeer regelmatig extreem vaak

H oge waars chijnlijkheid Middel Laag

Kans op detectie

1= 2= 3= 4=

vrijwel zeker meer dan gemiddeld erg laag vrijwel uitgesloten

H oge kans op detectie Middel Laag

8 okt 2009

8

Risico weging

8 okt 2009

9

Risico weging

8 okt 2009

10

Bepalen Acceptable level • Acceptable level is het punt waarboven de corrigerende/beheers maatregelen worden uitgevoerd • Onder het Acceptable level worden geen maatregelen uitgevoerd; het risico wordt genomen

8 okt 2009

11

Bepalen Acceptable level • Maatregelen worden uitgevoerd als: • Impact = 4 • Risico klasse ≥ 9 • Prioriteit > 12

8 okt 2009

12

2. Aanpak validatie traject • • • •

Opstellen procedure RA (beleid) GMP en GAMP assessment (concept fase) Opstellen URS (concept fase) Uitvoeren RA (concept + implementatie fase) • Oprichten RA team • Definiëren risico’s • Wegen van risico’s en vaststellen acceptable level • Vaststellen maatregelen

8 okt 2009

13

2. Aanpak validatie traject (vervolg) • Uitvoeren maatregelen • Uitvoeren validatie • • • •

Schrijven protocollen Uitvoeren studie Opstellen rapportage Autorisatie

• Uitvoeren overige maatregelen • Vrijgifte systeem

8 okt 2009

14

Risico analyse • GMP en GAMP assessment: • Wordt systeem door veel klanten gebruikt? • ‘Off the shelf’ • Configureerbaar? • URS is belangrijk document • Te gebruiken als start van de functionele Risico analyse • Duidelijke eisen (SMART)

8 okt 2009

15

Risico analyse • Hoe groot is ‘mijn probleem’ als het systeem • Niet aan de eis voldoet • Niet correct aan de eis voldoet • Niet volledig aan de eis voldoet

8 okt 2009

16

URS valkuil Toegangseisen tot systemen worden ingekort tot • ‘moet voldoen aan EU GMP Annex 11’.

8 okt 2009

17

URS valkuil Uitschrijven separate eisen noodzakelijk: • audit trail met vastlegging van oude nieuwe data, datum/tijd van wijzigingen/invoer, gebruiker, veld, tabel etc. • unieke toegangscode per gebruiker (geheim element wachtwoord) • ‘idle time out’ • wachtwoord wijzigen met frequentie x/y dagen • toegang tot bestanden en mappen alleen toekennen aan geautoriseerde gebruikers • etc. 8 okt 2009

18

3. Voorbeeld: Monitoringssysteem •

Opstellen URS

8 okt 2009

19

Voorbeeld: Monitoringssysteem •

Risico’s definiëren

8 okt 2009

20

Voorbeeld: Monitoringssysteem • •

Weging toepassen S = severity; O = occurance ; Cl = Class; D = detectablity; RR = Rask rating

8 okt 2009

21

Voorbeeld: Monitoringssysteem • Vaststellen onderdlen boven Acceptable Level (AL)

8 okt 2009

22

Voorbeeld: Monitoringssysteem • Maatregelen

8 okt 2009

23

Voorbeeld: Monitoringssysteem • Na uitvoering, alles invullen in tabel
‘Traceability Matrix’

8 okt 2009

24

8 okt 2009

25

4. Conclusies • Validatie staat niet (meer) op zich zelf • Risico Management is belangrijkste deel bij GxP compliance • Validatie is een van de maatregelen van de risico analyse

8 okt 2009

26