Analýza rizik počítačových systémů

Podobné dokumenty
QualityRisk Management. Úvod do problematiky. Září 2015

Inovace bakalářského studijního oboru Aplikovaná chemie

Validace počítačového systému ve farmaceutické praxi

Inovace bakalářského studijního oboru Aplikovaná chemie

2012 STÁTNÍ ÚSTAV PRO KONTROLU LÉČIV

Úvod do validace počítačových systémů Ing. Miroslav Mík. Obsah

Obsah. Základní pojmy, zkratky Předpisy a literatura přehled Přístup k validacím počítačových systémů URS Validace Předpisy a literatura

Účel, použití, analýza rizik Milan Turinský Únor 2018

[ 1 ] Ing. František Chuchma, CSc. Seminář SVP/SDP, Státní ústav kontrolu léčiv

RiJ ŘÍZENÍ JAKOSTI L 4 4-1

STÁTNÍ ÚSTAV PRO KONTROLU LÉČIV

Účel, použití, analýza rizik Milan Turinský Únor 2019

Management rizik v životním cyklu produktu

[ 1 ] Ing. František Chuchma, CSc. Seminář SVP/SDP, Státní ústav kontrolu léčiv

Efektivní GMP. 16.října Historické okénko Klára Sochorová Senior Quality Compliance Manager SOTIO Praha, Česká republika

VYR-32 POKYNY PRO SPRÁVNOU VÝROBNÍ PRAXI - DOPLNĚK 20 ŘÍZENÍ RIZIK PRO JAKOST

Elektronické záznamy, elektronické podpisy

2012 STÁTNÍ ÚSTAV PRO KONTROLU LÉČIV

Custom Code Management. Přechod na S/4HANA

Pokyn ÚSKVBL/INS/VYR/-04/2008 DOPLNĚK 20 ŘÍZENÍ RIZIK PRO JAKOST. Pokyny pro správnou výrobní praxi Doplněk 20 Řízení rizik pro jakost

QRM při skladování a distribuci. Září 2015

2012 STÁTNÍ ÚSTAV PRO KONTROLU LÉČIV

1. Certifikační postup. 1.1 Příprava auditu. 1.2 Audit 1. stupně

1 Management rizik. Metoda FMEA

POKYNY PRO SPRÁVNOU VÝROBNÍ PRAXI. KAPITOLA 1 verze 4 FARMACEUTICKÝ SYSTÉM JAKOSTI

[ 1 ] Ing. František Chuchma, CSc. Seminář SVP/SDP, Státní ústav kontrolu léčiv

Rizika na pracovišti. Tomáš Svoboda COS I FN Brno, PMDV

Nový standard pro analýzu rizik v dodavatelském řetězci automobilového průmyslu Failure Mode and Effects Analysis

MEZINÁRODNÍ NORMY A DIGITÁLNÍ KONTINUITA. Tomáš Bezouška Praha,

Elektronické záznamy, elektronické podpisy

WS PŘÍKLADY DOBRÉ PRAXE

Kontrola zavedení postupů na principu HACCP v zařízeních školního stravování

Inovace bakalářského studijního oboru Aplikovaná chemie

Obsah. Úvod FDA CFR 21 part 11 Elektronický podpis Elektronický záznam FDA Guidance for Industry: Part 11 Příklady

BEZPEČNOSTNÍ POSOUZENÍ OBJEKTU Z HLEDISKA NÁVRHU POPLACHOVÝCH SYSTÉMŮ SECURITY ASSESSMENT OF THE OBJECT IN TERMS OF ALARM SYSTEMS DESIGN

Řízení rizik ÚLD FNKV. Škrla, Škrlová, Řízení rizik ve zdravotnických zařízeních, 2008

Řízení rizik. Technologická rizika, základní metody jejich odhadu a opatření k jejich prevenci a minimalizaci

Informační média a služby

Hardening ICT platforem: teorie nebo praxe. Pavel Hejduk ČEZ ICT Services, a. s.

Lekce 9 - Migrace dat

Přezkoumání jakosti výrobku a propouštění v praxi. Zákon č. 378/2007 Sb.- povinnosti výrobce a QP

Procesy a management rizik ve zdravotnické laboratoři. Roubalová Lucie

1.1 Zátěžové testování

Úvod do potravinářské legislativy Lekce 8: kritické body ve výrobě potravin, systémy HACCP a managementu bezpečnosti

Správná klinická praxe GCP ICH E6 R(2)

SAP Solution Manager. Verze 7.2 a mnohem víc 1

AUDITOR KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.5/2007

Operační program Vzdělávání pro konkurenceschopnost Název projektu: Inovace magisterského studijního programu Fakulty ekonomiky a managementu

Přístupy k řešení a zavádění spisové služby

Funkční bezpečnost EN a Elektrotechnika Zpracovatelský průmysl Energetika Infrastruktura a stavebnictví. TÜV SÜD Czech s.r.o.

MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.4/2007

ZVAŽOVÁNÍ RIZIKA V PROCESECH A ZPŮSOBŮ JEJICH ŘÍZENÍ. Dům techniky České Budějovice

Obsah. iii 1. ÚVOD 1 2. POJETÍ RIZIKA A NEJISTOTY A ZDROJE A TYPY RIZIKA 5

PROGRAMOVÉ PROHLÁŠENÍ

Klíčové aspekty životního cyklu essl

GDPR co nastane po květnovém dni D? Martin Hladík 8. března 2018

V Brně dne a

8/2.1 POŽADAVKY NA PROCESY MĚŘENÍ A MĚŘICÍ VYBAVENÍ

Rizika v průmyslovém prostředí

Odborná podpora provozovatelů vodovodů při zpracování rizikové analýzy

Návrh. VYHLÁŠKA ze dne 2016 o požadavcích na systém řízení

Věstník ČNB částka 18/2010 ze dne 21. prosince ÚŘEDNÍ SDĚLENÍ ČESKÉ NÁRODNÍ BANKY ze dne 10. prosince 2010

Kvalita a správa dat Data Quality

Přehled legislativy. Přehled legislativy týkající se farmakovigilančního (FV) auditu a inspekce. 30. listopadu

Krajská koncepce e-gov

METODY ŘÍZENÍ KVALITY II.ČÁST

Popis certifikačního postupu SM - ISO 9001, SM - ISO 14001, SM - ISO/TS 29001, SM - OHSAS a SM - ISO 50001

256/2006 Sb. VYHLÁŠKA. ze dne 22. května o podrobnostech systému prevence závažných havárií. Úvodní ustanovení

Procesy a management rizik ve zdravotnické laboratoři. Ing. Alena Fischerová Systémy jakosti s.r.o

FV systémy a jejich QM Základní dokument FV systému

Inovace bakalářského studijního oboru Aplikovaná chemie

Návrh aktualizace rámce COSO vymezení ŘKS 2. setkání interních auditorů z finančních institucí

End-to-end testování. 26. dubna Bořek Zelinka

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI

MANAŽER SM BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.10/2007

Technik pro řízení kvality a hygieny v potravinářství (kód: M)

DŮVĚRYHODNÁ ELEKTRONICKÁ SPISOVNA

Řešení pro střednědobé a dlouhodobé ukládání dokumentů ve veřejné správě

Systémy řízení jakosti pro realizaci výzkumu a vývoje

Archivace Elektronických Dokumentů

Zkušenosti z nasazení a provozu systémů SIEM

Semestrální práce z předmětu 4IT421 Téma: CMMI-DEV v.1.3 PA Project Monitoring and Control

ČESKÁ TECHNICKÁ NORMA

Předmět a cíle rizikové analýzy přehrad Koncepční přístupy k rizikové analýze přehrad. Aktuální stav RA přehrad v ČR

Standardní operační postup (SOP) ČNRDD/M01/verze03. Práce s databází RDKD

Výukový materiál zpracovaný v rámci projektu Výuka moderně

Metodický pokyn k uvedení registru do produkčního provozu

REGULAČNÍ ASPEKTY A TERAPEUTICKÁ HODNOTA BIOSIMILÁRNÍCH LÉKŮ Z POHLEDU FARMACEUTA. PharmDr. Renata Semeráková. Lékárna Nemocnice Na Homolce

Zdravotnické laboratoře. MUDr. Marcela Šimečková

Transkript:

Analýza rizik počítačových systémů Validace a Data Integrity ve farmaceutické výrobě, seminář CONFORUM pro FARMAK a.s., 12.5.2017 Process Automation Solutions Představení přednášejícího Ing. Pavel Říha Analytik v oblasti MES/Validační konzultant 20 let působnosti v MES, 14 let v GxP prostředí Hlavní současné aktivity: Validace počítačových systémů všech kategorií Posuzování vhodnosti a rozvoje počítačových systémů a procesní analýzy v GxP prostředí Řízení validovaných projektů Návrhy MES řešení Školení Validace počítačových systémů a Data Integrity Process Automation Solutions s.r.o., pavel.riha@pa-ats.com, www.pa-ats.com/cz 2 1

Agenda 1) QRM: Quality Risk Management 2) Analýza rizik počítačových systémů ve farmaceutické praxi: Úvodní zhodnocení rizik Funkční analýza rizik 3) Hodnocení počítačového systému z pohledu datové integrity 4) Analýza rizik při aktualizaci / náhradě počítačového systému 3 Legislativa a návody Legislativní rámec: ICH Q9: QUALITY RISK MANAGEMENT, 2005 VYR-32 POKYNY PRO SPRÁVNOU VÝROBNÍ PRAXI - DOPLNĚK 20 (překlad ICH Q9) Návody a doporučení: GAMP5: A Risk-Based Approach to Compliant GxP Computerized Systems, ISPE, 2008 4 2

Úvod Process Automation Solutions Riziko Nic a nikdy nefunguje jak by mělo a jak si myslíme, že to bude. Když se něco nemá pokazit, tak se to vždy po Nic na světě co je vyrobené člověkem není absolutně bez chyby. Co se chová jinak než čekáme přináší RIZIKO. Pokud je neočekávaná událost (RIZIKO) zcela bez kontroly a může se objevit bez našeho vědomí jedná se o HAZARD Riziko může být: Nepřijatelné (v případě akceptováni je to HAZARD) Vysoké Přijatelné (kompromis) 6 3

Co je naším cílem? Vyhnout se HAZARDŮM. Nalézt rizika a popsat je. Vyhodnotit rizika a stanovit, jak jsou pro náš účel závažná. Snížit rizika na přijatelnou úroveň, která nebude ohrožovat kvalitu a účinnost léčiva a bezpečnost pacienta. = Řízení rizik 7 Jak to uděláme? Základem jsou zkušenosti, znalosti a schopnost kreativního myšlení, tj. lidé. Řešitelský tým je vždy úspěšnější, než jedinec. Co vědecké metody/nástroje? Žádná vědecká metoda nemůže sama o sobě odhalit rizika a příčiny či odstranit následky Metody analýzy rizik slouží výlučně k metodickému uspořádání práce řešitelů 8 4

QRM: Quality Risk Management Process Automation Solutions QRM: Quality Risk Management Systematický proces posuzování, řízení, komunikace a přezkoumávání rizik. Ideu Risk-based Approach... zavádí ISPE v roce 2007 a v GAMP 5 (vydaného v r.2008) se mění přístup k validačním procesům z dosavadní plošné rutiny na preferování vědeckého přístupu, zkušeností a zdravého rozumu. Cílem je aplikovat validační postupy pouze na entity a procesy, které toto vyžadují. Jde o opakovaný proces provázející systém v průběhu jeho celého životního cyklu od návrhu až po vyřazení. Je to kooperativní týmový proces na němž by se měli podílet jak zástupci regulovaného subjektu, tak i dodavatele. Tým musí obsahovat odborníky na jednotlivé procesy (SMEs) s praktickými zkušenostmi a zástupce IT. Řízení rizik by mělo být založeno na vědeckém přístupu zahrnujícím znalosti o: možném vlivu systému na bezpečnost pacienta, kvalitu produktu a integritu dat okolní byznys procesy dotčených CQAs a monitorovaných / regulovaných CPPs uživatelských požadavcích regulatorních požadavcích projektu (kontrakt, milníky,...) architektuře systému, komponentách, funkcích schopnostech dodavatele 10 5

Proces QRM Zahájení procesu řízení rizik Posouzení rizik Identifikace rizik Analýza rizik Vyhodnocení rizik nepřijatelné Komunikace rizik Kontrola rizik Snížení rizika Přijetí rizika Nástroje řízení rizik Výstup/výsledek procesu řízení rizik Přezkoumání rizik Přezkoumávané události 11 Posouzení rizik Posuzování rizik sestává z určení nebezpečí a analýzy a vyhodnocení rizik souvisejících s vystavením tomuto nebezpečí. Systematický proces hledání odpovědí na dotazy: 1) Co by mohlo selhat? 2) Jaká je pravděpodobnost tohoto selhání? 3) Jaké jsou důsledky (závažnost)? Zahájení procesu řízení rizik Posouzení rizik Identifikace rizik Analýza rizik Vyhodnocení rizik nepřijatelné Posuzování rizika probíhá ve třech krocích: 1) Identifikace rizika Určení potenciálních nebezpečí, tj. Co by mohlo selhat. 2) Analýza rizika Kvantitativní kvalitativní posouzení kritérií rizika: pravděpodobnosti výskytu, závažnosti škod, často obsahuje i faktor detekovatelnosti (schopnost zjištění škody). 3) Vyhodnocení rizika Kvantitativní/kvalitativní odhad/popis rizika Komunikace rizik Kontrola rizik Snížení rizika Přijetí rizika Výstup/výsledek procesu řízení rizik Přezkoumání rizik Přezkoumávané události Nástroje řízení rizik 12 6

Řízení rizik Rozhodování o významu rizika, nutnosti jeho snížení nebo možnosti jeho přijetí. Snížení rizika = zavedení opatření vedoucích k snížení závažnosti a pravděpodobnosti nebo naopak zvýšení detekovatelnosti: Zahájení procesu řízení rizik Posouzení rizik Identifikace rizik úprava návrhu systému úprava dotčeného procesu aplikace vnějšího opatření / procedury zvýšení rozsahu nebo hloubky testování Ověření aplikace a efektivity opatření by mělo být součástí verifikace. Komunikace rizik Analýza rizik Vyhodnocení rizik Kontrola rizik Snížení rizika Přijetí rizika nepřijatelné Nástroje řízení rizik Přijetí rizika = rozhodnutí o tom, že riziko (v daném významu) bude přijato. Výstup/výsledek procesu řízení rizik Vynaložené úsilí na snížení rizika má být úměrné významu rizika! (rozhodnutí by mělo zohledňovat i prospěšnost, náklady, apod.) Přezkoumání rizik Přezkoumávané události 13 Přezkoumání rizik Kontrola aplikace a efektivity přijatých opatření. Řízení rizik na konkrétním subjektu by neměl být jednorázovou záležitostí, nýbrž by měl být aplikován při každé změně okolností. V případě počítačového systému např. při: Zahájení procesu řízení rizik Posouzení rizik Identifikace rizik Doplnění funkčnosti, Náhrada komponenty, Přechod na novou verzi, Vznik neplánované příhody (fatal error), Závěry auditu, apod. Komunikace rizik Analýza rizik Vyhodnocení rizik Kontrola rizik Snížení rizika Přijetí rizika nepřijatelné Nástroje řízení rizik Výstup/výsledek procesu řízení rizik Přezkoumání rizik Přezkoumávané události 14 7

Nástroje pro QRM Většinou se využívá standardních metodik v kombinaci s empirickými postupy (pozorování, trendy, apod.) Analýza možných vad a jejich důsledků (FMEA, Failure Mode Effects Analysis) Analýza možných vad, jejich důsledků a kritičnosti (FMECA, Failure Mode, Effects and Criticality Analysis) Analýza stromu poruchových stavů (FTA, Fault Tree Analysis) Analýza nebezpečí a kritické kontrolní body (HACCP, Hazard Analysis and Critical Control Points) Analýza ohrožení a provozuschopnosti (HAZOP, Hazard Operability Analysis) Předběžná analýza nebezpečí (PHA, Preliminary Hazard Analysis) apod. Tyto metodiky založeny většinou na kvantitativním posuzování jednotlivých aspektů rizik. GAMP zavádí praktickou metodiku Zjednodušená FMEA, využívající shodné faktory klasifikace rizika, jako FMEA, ale používá kvalitativní hodnocení typu High/Medium/Low 15 Zjednodušená FMEA dle GAMP 5 V prvním kroku probíhá stanovení Třídy rizika na základě dvou vstupních faktorů: Závažnost dopadu rizika na bezpečnost pacienta, kvalitu produktu a integritu dat Pravděpodobnost výskytu rizika Každý faktor může nabývat pro dané riziko jedné ze tří hodnot: Nízká (L-Low) Střední (M-Medium) Probability Vysoká (H-High) Třída rizika může nabývat hodnot: 1 (Vysoké riziko) 2 (Střední riziko) 3 (Nízké riziko) Severity High Medium Low Medium High Risk Class 1 Risk Class 2 Low Risk Class 3 16 8

Zjednodušená FMEA dle GAMP 5 (pokrač.) V druhém kroku probíhá stanovení Priority rizika na základě: Třídy rizika, Odhalitelnosti rizika ještě před tím, než bude způsoben problém Faktor Odhalitelnost může nabývat pro dané riziko jedné ze tří hodnot: Nízká (L-Low) Střední (M-Medium) Vysoká (H-High) Detectability Priorita rizika může nabývat hodnot: Nízká (L-Low) akceptovatelné riziko Střední (M-Medium) riziko může být akceptovatelné za určitých okolností Vysoká (H-High) neakceptovatelné riziko Risk Class 1 2 3 High Medium Low High Risk Priority Medium Risk Priority Low Risk Priority 17 Analýza rizik pro počítačové systémy ve farmaceutické praxi Process Automation Solutions 9

Quality Risk Management Process V průběhu celého životního cyklu počítačového systému: Úvodní zhodnocení rizik = stanovení vlivu systému na GxP procesy Funkční analýza rizik = identifikace GxP relevantních funkcí a jejich následná analýza z pohledu: vlivu na GxP procesy datové integrity Ověření aplikace a účinku nápravných opatření v procesu verifikace Při řízení změn, z pohledu: vlivu změn na GxP funkce systému datové integrity migrace dat Při plánování likvidace systému (včetně přechodu na jiný systém) Při validaci systému kategorie 3 nebo retrospektivní validaci lze dílčí risk analýzy slučovat. 19 Úvodní zhodnocení rizik I-RA: Initial Risk Assessment (System Impact Asessment) Následuje bezprostředně po URS nebo se řeší souběžně, tj. jedna z nejrannějších činností při zavádění počítačového systému Účelem je zhodnocení potenciálních dopadů systému na firemní procesy zejména z hlediska kvality a účinnosti produktu a bezpečnosti pacienta. Jde o stanovení tzv. GxP relevance systému, na základě výsledků se následně stanoví přístup k implementaci a validaci: spravuje data týkající se regulatorních záležitostí či registrace léčivého přípravku řízení/monitoring CPP v pre-klinické, klinické, vývojové či výrobní léčivého přípravku řízení/poskytování podkladů pro propouštění léčivého přípravku řízení/poskytování podkladů pro stahování léčivého přípravku řízení/poskytování podkladů pro řešení odchylek, reklamací, stížností, apod. podporuje farmakovigilanci V případě komplexních systémů (např. ERP) je vhodné na základě URS rozdělit systém na více částí (modulů/komponent) a hodnotit každou zvlášť I-RA provádí regulovaný subjekt, nejčastěji business/process owner, oddělení jakosti a SMEs (ti, kdo rozumějí procesům a definovali požadavky na systém) 20 10

Úvodní zhodnocení rizik (příklad) Ukázka 21 Funkční analýza rizik F-RA: Functional Risk Assessment Vychází ze specifikace funkcí v URS/FS a závěrů I-RA (GxP relevance). Elementární hodnocená entita závisí na novosti a komplexnosti systému - funkce/funkční celek/modul/ teoreticky systém jako celek Identifikace GxP relevantních funkcí/funkčních celků, optimálně na úrovni FS Každá GxP relevant funkce/funkční celek se vyhodnocuje z pohledu: dopadu na související proces v případě jejího selhání datové integrity Cílem je minimalizovat dopady případných rizik Míra detailu F-RA závisí na novosti a komplexnosti systému (např. pro jednoduché či jednoúčelové systémy, u nichž nelze odlišovat GxP a non GxP funkce, lze hodnotit i systém jako celek) Výstupy F-RA mj. určují přístup k verifikaci (testování) systému komplexnost testů, míru detailu, apod. F-RA by se měli účastnit SMEs, F-RA schvaluje regulovaný subjekt. 11

Funkční analýza rizik (příklad) Ukázka 23 Funkční analýza rizik (příklad 2) Ukázka 24 12

Hodnocení počítačového systému z pohledu datové integrity Process Automation Solutions Datová integrita: Legislativa Existující předpisy GMP a jejich doplňky EU a US, zejména: EU GMP Guide a Annex 11 to EU GMP Guide Computerised Systems (VYR-26, VYR-32 vč. Doplňku 11), 2011 EMA Data Integrity Q and A, August 2016 21 CFR Part 210 a 211 cgmp a Part 11 Electronic Records; Electronic Signatures, 1997 Data Integrity and Compliance With CGMP, Guidance for Industry, Draft, FDA April 2016 MHRA GMP Data Integrity Definitions and Guidance for Industry, March 2015; 26 13

Datová integrita: Principy Datová integrita představuje principy zachování úplnosti, neměnnosti a přesnosti kvalitativně relevantních dat. ALCOA acronym, symbolizující principy GDocP a současně i požadavky na integritu dat, které zavedlo FDA v 90- tých letech: A-Attributable U každého datového záznamu by mělo být zajištěno kdo a kdy jej pořídil/zpracoval. L-Legible (permanent) Nemělo by být možné změnit nebo znovugenerovat data bez uchování originálního záznamu. C-Contemporaneous Záznam by měl být pořízen optimálně v okamžiku vzniku dat. O-Original Originální záznam musí uchovávat přesnost, úplnost, obsah a smysl dat. A-Accurate Zajištění správnosti při pořízení dat. Později byly upřesněny další požadavky (EMA, WHO), jako celek se nazývají ALCOA+: + Complete (Úplná) + Consistent (Konzistentní) + Enduring (Trvalá) + Available (Dostupná) 27 Datová integrita: Způsoby zajištění Data Governance = Soubor opatření pro zajištění Data Integrity: Organizační opatření: Řízení rizik, systém jakosti. Výchova pracovníků k GDocP (školení, SOP). Vytvoření Organisational Culture. Technická opatření: Vhodné validované počítačové systémy a infrastruktura Za zavedení Data Governance odpovídá vrcholový management. Úsilí a zdroje vynaložené na zajištění datové integrity musí být úměrné kritičnosti dat, tj. jejich dopadu na kvalitu produktu. Formální zavedení Data Governance je vyžadováno regulatorními autoritami. 28 14

Datová integrita: Hodnocení počítačového systému 1) Posouzení počítačového systému z pohledu klíčových aspektů datové integrity Jednoznačná identifikace uživatele Diferenciace uživatelských přístupů na základě přidělených oprávnění Způsob pořízení dat (manuální/automatické) Záznam dat současně s jejich vznikem Verifikace manuálně ukládaných dat Způsob uložení dat Místo uložení dat (lokální/síťové) Uchování originálního záznamu / ověřené kopie Modifikace nebo mazání dat/audittrail Modifikace/smazání dat mimo systém Zálohování/obnova dat 2) Analýza souvisejících rizik v případě identifikace neshody 29 Datová integrita (Příklad 1: Zhodnocení systému) Ukázka 30 15

Datová integrita (Příklad 2: Analýza rizik) Ukázka 31 Analýza rizik při aktualizaci / náhradě počítačového systému Process Automation Solutions 16

Aktualizace systému Veškeré změny ve validovaném systému nebo jeho operačním prostředí musejí být zastřešeny formálním Změnovým řízením, komplexnější změny by měly být řešeny jako validovaný projekt. Cílem je udržení systému ve validovaném stavu. Aktualizace systému: Změna operačního prostředí (např. aktualizace OS, výměna serveru,...) Změna konfigurace systému Funkční rozšíření systému Oprava chyby Analýza rizik při aktualizaci systému: Dopadu změny na GxP relevantní funkce (analogicky, jako při pořizování)/dokumentaci/procesy subjektu výstupy formují verifikační strategii (IQ/OQ) Migrace dat (pokud změna vede na změnu datové struktury) výstupy formují strategii migrace dat 33 Change Request (Příklad) Ukázka 34 17

Výměna systému Náhrada jednoho počítačového systému jiným Z pohledu validace jde o implementaci nového počítačového systému + migraci dat. Standardní životní cyklus validovaného projektu (URS, VP, Risk analýzy,..., Verifikace, VSR) Analýza rizik při výměně systému: Úvodní zhodnocení rizik (nemusí být prováděno, je-li zachován funkční rozsah ) Funkční analýza rizik (musí být provedena pouze pro nové nebo změněné funkce) Zhodnocení GxP funkcí/systému z pohledu datové integrity (vždy) výstupy formují verifikační strategii (IQ/OQ/PQ) Analýza rizik migrace dat (vždy) výstupy formují strategii migrace dat 35 Migrace dat Data jsou klíčovým majetkem společnosti (know-how, závazky vůči regulatorním autoritám) Migrace dat představuje činnosti při transferu dat z jednoho systému do jiného nebo i pouhý přechod dat z jednoho stavu do jiného (tj. rozsah, složitost a riziko jsou velmi variantní): úprava struktury dat existujícího systému konverze dat (např. z jedné databáze do jiné) migrace v rámci jednoho systému (např. transport databáze při výměně serveru) migrace při přechodu z jednoho systému na jiný migrace při slučování dat z více systémů do jednoho Cílem je vždy zachovat obsah a integritu dat. Migrace dat by měla vždy být zastřešena Migračním plánem a reportem. Každý regulovaný subjekt by měl mít v rámci procesů jištění jakosti definovánu obecnou strategii pro migrace dat (např. formou SOP). Migrace dat v průběhu životního cyklu systému: uvedení do provozu (importy) upgrade systému (změny datových struktur) ukončení činnosti systému (exporty) 36 18

Životní cyklus migrace dat Plán migrace Zpráva z migrace Verifikace Exekuce 37 Plán migrace a analýza rizik Plán migrace by měl popisovat celý migrační proces: důvod a cíl migrace/popis systému/role a odpovědnosti strategii řízení rizik použité nástroje postup migrace (kroky, činnosti) popis mapování dat, transformační pravidla strategii pro verifikaci dat vč. akceptačních kritérií rollback strategii Analýza rizik by měla zohledňovat: dopad potenciálního poškození/zničení dat na byznys procesy (s ohledem na GxP relevanci dat) nedostupnost dat/systému během migrace stupeň komplexnosti migrace migrační nástroje a technologie 38 19

Exekuce, verifikace a vyhodnocení migrace dat Exekuce: Automaticky pomocí vhodných nástrojů nebo skriptů Nezapomenout na migraci metadat a pomocných dat, jako např. AuditTrail (pokud to není možné, nutno starý Audit Trail archivovat/vytisknout) Verifikace: Obsah verifikace Přenesla se všechna data Data se přenesla správně Migrace nenarušila data již předtím obsažená v cílovém systému Metody verifikace Verifikace všech dat automaticky vhodným SW nástrojem (velmi rizikové) / manuálně (možno při malém množství dat) Verifikace statisticky reprezentativního vzorku dat Data Migration Report: Souhrn aktivit vykonaných během procesu migrace dat Veškeré odchylky nebo anomálie Seznam aktivit včetně výstupů (množství dat, charakter dat,...) Je-li migrace provedena jako část komplexního projektu, např. aktualizace systému, nemusí být DMR samostatný dokument a výstupy migrace mohou být popsány v VSR. 39 Analýza rizik migrace dat (příklad) Ukázka 40 20

Shrnutí Process Automation Solutions Shrnutí Nebojte se risk analýzy, zjednoduší vám život! Rizika je nutno kontinuálně vyhledávat a minimalizovat! Vždy je třeba vyvinout maximální snahu o snížení rizik na akceptovatelnou úroveň! Datová integrita představuje principy zachování úplnosti, neměnnosti a přesnosti kvalitativně relevantních dat nikoliv pravidla uložení dat v databázi! Každá aktualizace (změna) systému by měla být řešena změnovým řízením! Klíčovou součástí náhrady/aktualizace systému je řízená migrace dat! 42 21

Otázky...?...a odpovědi! Děkujeme za Vaši pozornost. Process Automation Solutions 22

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář