HarboR Informática Industrial Ltda.
info@harbor.com.br
+55 (48) 3333-2249

Como realizar o gerenciamento de riscos na validação de software?

Blog

Como realizar o gerenciamento de riscos na validação de software?

Já discutimos no post Preciso validar meu software. Por onde começo? o processo de validação de software, que é composto por várias etapas. Dentre elas, temos a etapa de gerenciamento de riscos, a qual possui extrema relevância para a segurança do sistema.

O Gerenciamento de Riscos vai de encontro ao desafio de avaliar a importância dos procedimentos de validação de software e os impactos de suas respectivas funcionalidades.

Trata-se de um etapa extremamente importante na validação de sistema, que será abordado no artigo de hoje.

Boa leitura!

Preceitos básicos para gerenciamento de riscos

Antes de mais nada, para realizar o gerenciamento de riscos é necessário ter um profundo conhecimento dos processos envolvidos no sistema computadorizado, considerando os potenciais impactos na segurança do cliente, qualidade do produto e integridade de dados.

Esteja familiarizado também com o seguintes termos e suas respectivas definições:

  • Dano: danos para a saúde, incluindo danos que podem ocorrer devido a uma perda de qualidade do produto ou de sua disponibilidade
  • Perigo: fonte com potencial para provocar danos
  • Risco: combinação da probabilidade de ocorrência e a severidade do dano
  • Severidade: medida das possíveis consequências do perigo

Como identificar os perigos e danos potenciais de um sistema?

Para identificar os perigos, deve-se considerar as possíveis falhas do sistema e aquelas ocasionadas por uma ação incorreta dos usuários. Para isso, é necessário discernimento e compreensão do que poderia dar errado no sistema. Isto deve estar baseado no conhecimento dos especialistas e na experiência acerca dos processos e sua automação.

Os danos potenciais devem ser baseados na identificação dos perigos. Exemplos:

  • Produção de medicamentos adulterados causada por falhas em um sistema computadorizado;
  • Falhas em sistemas computadorizados relacionados aos processos de produção, garantia e controle de qualidade, utilidades e quaisquer outros que sejam críticos.

Metodologia para Análise de Riscos

Um risco pode ser eliminado, totalmente reduzido ou reduzido a níveis aceitáveis através da aplicação de medidas de controle para a redução de sua probabilidade de ocorrência ou aumentando-se a sua detectabilidade. Esses controles podem ser automatizados, manuais ou uma combinação dessas duas formas.

A análise de riscos tem como propósito estabelecer uma maneira de combinação da severidade, probabilidade de ocorrência e detectabilidade de falhas, reduzindo estas a um nível aceitável.

Probabilidade de falha

O entendimento da probabilidade de falhas em sistemas computadorizados auxilia na seleção de controles apropriados para o gerenciamento dos riscos identificados. Porém, dependendo  do tipo de falha, pode ser difícil estabelecer este valor, impossibilitando o cálculo apropriado da probabilidade em termos quantitativos durante uma avaliação de riscos.

Detectabilidade da falha

Falhas podem ser detectadas automaticamente pelos sistemas computadorizados ou por métodos manuais. Entender a detectabilidade irá auxiliar na seleção de controles apropriados para o gerenciamento dos riscos identificados.

Cada risco identificado em uma funcionalidade do sistema pode ser analisado considerando-se a severidade do impacto em BPx relacionado à probabilidade dessa falha ocorrer.

BPx: termo geral para aplicação de boas práticas relacionadas a qualquer área (fabricação, distribuição, pesquisa clínica, laboratório, etc.).

A classificação do risco está ligada à determinação da probabilidade do risco ser detectado antes de ocorrer danos, determinando assim a prioridade de um risco.

Gerenciamento de Riscos - Método para avaliar e classificar um risco

Gerenciamento de Riscos – Método para avaliar e classificar um risco

  • Severidade = Impacto na segurança do cliente, qualidade do produto e integridade dos dados (ou outro risco).
  • Probabilidade = Probabilidade da falha (risco) ocorrer.
  • Classe do Risco = Severidade x Probabilidade.
Gerenciamento de Riscos - Método para detectar e priorizar um risco

Gerenciamento de Riscos – Método para detectar e priorizar um risco

  • Detectabilidade = Probabilidade desta falha ser detectada antes do risco ocorrer.
  • Prioridade do Risco = Classe do Risco x Detectabilidade.

Como será o controle de gerenciamento de riscos?

Conforme orientado no Guia da ANVISA, são 5 as etapas fundamentais a serem consideradas durante a realização do gerenciamento de riscos:

Etapa 1 – Realizar avaliação inicial de risco e determinar impactos no sistema

O objetivo é detectar se o sistema no geral tem impacto em BPx. Não se consideram detalhamentos dos processos e particularidades de cada função. Para executar esta etapa, deve-se ter:

  • Entendimento dos processos;
  • Definição dos limites de cada item envolvido com os processos;
  • Função principal do sistema computadorizado para suporte e apoio aos processos envolvidos;
  • Requerimentos claramente definidos.
Etapa 2 – Identificar funções com impacto BPx

Identificação das funções ou processos que têm impacto em BPx para os módulos que foram detectados na etapa 1. Nesta etapa, realizar um mapeamento a partir de fluxogramas irá facilitar a análise dos pontos fracos, riscos e as responsabilidades de cada processo.

Etapa 3 – Realizar avaliação de risco funcional

Composta pela avaliação detalhada dos riscos das funcionalidades do sistema identificadas durante o mapeamento dos processos na etapa 2.

Etapa 4 – Identificar, implementar e verificar controles adequadamente

Controles são basicamente medidas implementadas para reduzir um risco a um nível aceitável. Esses controles podem fazer parte de uma funcionalidade do sistema computadorizado, com procedimentos manuais em paralelo ou podem ser uma combinação e integração de ambos.

Esta etapa inclui a identificação, implementação e verificação dos controles para eliminação ou redução do risco,  envolvendo basicamente:

  • Eliminação dos riscos através de processos ou sistema redesenhados;
  • Redução dos riscos diminuindo a probabilidade de uma falha ocorrer;
  • Redução dos riscos através de implementação de outros processos que detectem a falha;
  • Redução dos riscos estabelecendo verificações ou métodos para identificação.

Exemplos de controles estratégicos para redução de riscos:

  • Inclusão de controles automáticos para os atributos de qualidade contemplados em sistemas computadorizados.
  • Aplicação de testes rigorosos comprovando que o sistema desempenha suas funcionalidades corretamente em condições de erros ou que possua condições de tratamento para os mesmos.
  • Aplicação e revisão de treinamento aos usuários envolvidos.
Etapa 5 – Revisar riscos e monitorar controles

Esta etapa deve prever a revisão e o monitoramento dos controles adotados na Etapa 4, tarefa que pode ser realizada na revisão periódica para manutenção do estado validado ou durante a avaliação dos riscos desencadeada por um controle de mudanças.

Resultados esperados

Ao realizar uma boa análise e gerenciamento de riscos, você será capaz de:

  • Identificar antecipadamente os pontos-chaves que requerem uma atenção durante as fases do projeto;
  • Obter informações necessárias para o desenvolvimento, especificação e descrição do sistema;
  • Obter informações que auxiliam no desenvolvimento da estratégia para alcançar a conformidade e adequação às normas regulatórias.

Você já participou de um processo de análise e gerenciamento de riscos para validação de software? Quais foram os maiores desafios? Se você gostou desse post, recomendamos a leitura do artigo Proteja seus Registros com a FDA CFR 21 Part 11.

2 comments on “Como realizar o gerenciamento de riscos na validação de software?

  1. Andrea Accordi De Melo , on May 29, 2018 at 09:42 Responder

    Obrigada Luan!

  2. Luan Sandes , on May 28, 2018 at 20:28 Responder

    Muito bom.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *