Ya hemos discutido en el post Necesito validar mi software. ¿Por dónde empiezo? el proceso de validación de software, que se compone de varias etapas. Entre ellas, tenemos la etapa de gestión de riesgos, de la cual tiene extrema relevancia para la seguridad del sistema.

La Gestión de Riesgos va en contra del desafío de evaluar la importancia de los procedimientos de validación del software e los impactos de sus respectivas funcionalidades.

Se trata de un paso extremamente importante en la validación del sistema, que será abordado en el artículo de hoy.

¡Buena lectura!

Preceptos básicos para la gestión de riesgos

En primer lugar, para realizar la gestión de riesgos es necesario tener un profundo conocimiento de los procesos involucrados en el sistema computadorizado, teniendo en cuenta los potenciales impactos en la seguridad del cliente, calidad de producto e integridad de datos.

Esté familiarizado también con los siguientes términos y sus respectivas definiciones:

 

• Daño: daños a la salud, incluyendo daños que pueden ocurrir debido a una pérdida de calidad del producto o de su disponibilidad
• Peligro: fuente con potencial para causar daños
• Riesgo:  combinación de la probabilidad de ocurrencia y la severidad del daño
• Severidad: medida de las posibles consecuencias del peligro

¿Cómo identificar los peligros y daño potenciales de un sistema?

Para identificar los peligros, se deben considerar las posibles fallas del sistema y aquellas ocasionadas por una acción incorrecta de los usuarios. Por lo tanto, es necesario discernimiento y comprensión de lo que podría salir mal en el sistema. Esto debe estar basado en el conocimiento de los expertos y en la experiencia acerca de los procesos y su automatización.

Los daños potenciales deben basarse en la identificación de los peligros. Ejemplos:

• Producción de medicamentos adulterados causada por fallas en un sistema computadorizado;
• Fallas en sistemas computadorizados relacionados a los procesos de producción, garantía y control de calidad, utilidades y cualquier otro que sea crítico.

Metodología para Análisis de Riesgos

Un riesgo puede ser eliminado, totalmente reducido a niveles aceptables mediante la aplicación de medidas de control para reducción de su probabilidad de ocurrencia o aumentando su detectabilidad.  Estos controles pueden ser automatizados, manuales o una combinación de los dos.

El análisis de riesgos tiene como propósito establecer una manera de combinar la severidad, probabilidad de ocurrencia y la detectabilidad de fallas, reduciéndolas a un nivel aceptable.

Probabilidad de falla

El entendimiento de la probabilidad de fallas un sistemas computadorizados ayuda en la selección de controles apropiados para la gestión de riesgos identificados. Sin embargo, dependiendo del tipo de falla, puede ser difícil establecer este valor, imposibilitando el cálculo apropiado de la probabilidad en términos cuantitativos a lo largo de una evaluación de riesgos.

Detectabilidad de falla

Fallas pueden ser detectadas automáticamente por los sistemas computadorizados o por métodos manuales. Entender la detectabilidad ayudará en la selección de controle apropiados para la gestión de riesgos identificados.

Cada riesgo identificado en una funcionalidad del sistema puede ser analizado considerando la severidad del impacto en BPx relacionado a la probabilidad de que ocurra esta falla.

BPx: término general para aplicación de las buenas prácticas relacionadas con cualquier área (fabricación, distribución, investigación clínica, laboratorio, etc.).

La clasificación del riesgo está vinculada a la determinación de la probabilidad de que el riesgo se detecte antes de ocurrir daños, determinando la prioridad de un riesgo.

• Severidad = Impacto en la seguridad del cliente, calidad del producto e integridad de datos (u otro riesgo).
• Probabilidad = Probabilidad de la falla (riesgo) ocurrir.
• Clase de Riesgo = Severidad x Probabilidad.

• Detectabilidad = Probabilidad de la falla ser detectada antes del riesgo ocurrir.
• Prioridad del Riesgo = Clase de Riesgo x Detectabilidad.

¿Cómo será el control de la gestión de riesgos?

Conforme orientado en la Guía de la ANVISA (Agencia Nacional Brasileña de Vigilancia Sanitaria), son 5 etapas fundamentales a ser consideradas durante la realización de la gestión de riegos:

Etapa 1 – Realizar evaluación inicial de riesgo y determinar impactos en el sistema

El objetivo es detectar si el sistema en general tiene impacto en BPx. No se consideran detalles de los procesos y particularidades de cada función. Para ejecutar esta etapa, se debe tener:

• Entendimiento de los procecssos;
• Definición de los límites de cada ítem involucrado con los procesos;
• Función principal del sistema computarizado para soporte y apoyo a los procesos involucrados;
• Requerimientos claramente definidos.

Etapa 2 – Identificar funciones con impacto BPx

Identificación de las funciones o procesos que tienen impacto en BPx para los módulos que se han detectado una la etapa 1. En esta etapa, realizar un mapeo a partir de diagramas de flujo facilitará el análisis de los puntos débiles, riesgos y las responsabilidades de cada proceso.

Etapa 3 – Realizar evaluación de riesgo funcional

Compuesta por la evaluación detallada de los riesgos das funcionalidades del sistema identificados durante el mapeo de los procesos en la etapa 2.

Etapa 4 – Identificar, implementar y verificar controles adecuadamente

Controles son básicamente medidas implementadas para reducir un riego a un nivel aceptable. Estos controles pueden formar parte de una funcionalidad del sistema computarizado, con procedimientos manuales en paralelo o pueden ser una combinación o integración de ambos.

Esta etapa incluye la identificación, implementación y verificación de los controles para eliminación o reducción del riesgo,  involucrando básicamente:

• Eliminación de los riesgos a través de procesos o sistema rediseñados;
• Reducción de los riesgos disminuyendo la probabilidad de una falla ocurrir;
• Reducción de los riesgos a través de implementación de otros procesos que detecten la falla;
• Reducción de los riesgos estableciendo verificaciones o métodos para identificación.

Ejemplos de controles estratégicos para reducción de riesgos:

• Inclusión de controles automáticos para los atributos de calidad contemplados en sistemas computarizados.
• Aplicación de pruebas rigurosas comprobando que el sistema desempeña sus funcionalidades correctamente en condiciones de errores o que posee condiciones de tratamiento para los mismos.
• Aplicación y revisión de entrenamiento a los usuarios involucrados.

Etapa 5 – Revisar riesgos y monitorear controles

Esta etapa debe prever la revisión y monitoreo de los controles adoptados en la Etapa 4, tarea que puede realizarse en la revisión periódica para el mantenimiento del estado validado o durante la evaluación de los riesgos desencadenada por un control de cambios.

Resultados esperados

Al realizar un buen análisis y gestión de riesgos, usted será capaz de:

• Identificar por adelantado los puntos clave que requieren una atención durante las fases del proyecto;
• Obtener informaciones necesarias para el desarrollo, especificación y descripción del sistema;
• Obtener informaciones que ayuden en el desarrollo de la estrategia para alcanzar la conformidad y adecuación a las normas regulatorias.

¿Ha participado de un proceso de análisis y gestión de riesgos para la validación de software? ¿Cuáles fueron los mayores retos? Si te ha gustado este post, te recomendamos leer el artículo Proteja sus Registros con la FDA CFR 21 Part 11.