Como realizar o gerenciamento de riscos na validação de software?
Já discutimos no post Preciso validar meu software. Por onde começo? o processo de validação de software, que é composto por várias etapas. Dentre elas, temos a etapa de gerenciamento de riscos, a qual possui extrema relevância para a segurança do sistema.
O Gerenciamento de Riscos vai de encontro ao desafio de avaliar a importância dos procedimentos de validação de software e os impactos de suas respectivas funcionalidades.
Trata-se de um etapa extremamente importante na validação de sistema, que será abordado no artigo de hoje.
Boa leitura!
Preceitos básicos para gerenciamento de riscos
Antes de mais nada, para realizar o gerenciamento de riscos é necessário ter um profundo conhecimento dos processos envolvidos no sistema computadorizado, considerando os potenciais impactos na segurança do cliente, qualidade do produto e integridade de dados.
Esteja familiarizado também com o seguintes termos e suas respectivas definições:
- Dano: danos para a saúde, incluindo danos que podem ocorrer devido a uma perda de qualidade do produto ou de sua disponibilidade
- Perigo: fonte com potencial para provocar danos
- Risco: combinação da probabilidade de ocorrência e a severidade do dano
- Severidade: medida das possíveis consequências do perigo
Como identificar os perigos e danos potenciais de um sistema?
Para identificar os perigos, deve-se considerar as possíveis falhas do sistema e aquelas ocasionadas por uma ação incorreta dos usuários. Para isso, é necessário discernimento e compreensão do que poderia dar errado no sistema. Isto deve estar baseado no conhecimento dos especialistas e na experiência acerca dos processos e sua automação.
Os danos potenciais devem ser baseados na identificação dos perigos. Exemplos:
- Produção de medicamentos adulterados causada por falhas em um sistema computadorizado;
- Falhas em sistemas computadorizados relacionados aos processos de produção, garantia e controle de qualidade, utilidades e quaisquer outros que sejam críticos.
Metodologia para Análise de Riscos
Um risco pode ser eliminado, totalmente reduzido ou reduzido a níveis aceitáveis através da aplicação de medidas de controle para a redução de sua probabilidade de ocorrência ou aumentando-se a sua detectabilidade. Esses controles podem ser automatizados, manuais ou uma combinação dessas duas formas.
A análise de riscos tem como propósito estabelecer uma maneira de combinação da severidade, probabilidade de ocorrência e detectabilidade de falhas, reduzindo estas a um nível aceitável.
Probabilidade de falha
O entendimento da probabilidade de falhas em sistemas computadorizados auxilia na seleção de controles apropriados para o gerenciamento dos riscos identificados. Porém, dependendo do tipo de falha, pode ser difícil estabelecer este valor, impossibilitando o cálculo apropriado da probabilidade em termos quantitativos durante uma avaliação de riscos.
Detectabilidade da falha
Falhas podem ser detectadas automaticamente pelos sistemas computadorizados ou por métodos manuais. Entender a detectabilidade irá auxiliar na seleção de controles apropriados para o gerenciamento dos riscos identificados.
Cada risco identificado em uma funcionalidade do sistema pode ser analisado considerando-se a severidade do impacto em BPx relacionado à probabilidade dessa falha ocorrer.
BPx: termo geral para aplicação de boas práticas relacionadas a qualquer área (fabricação, distribuição, pesquisa clínica, laboratório, etc.).
A classificação do risco está ligada à determinação da probabilidade do risco ser detectado antes de ocorrer danos, determinando assim a prioridade de um risco.
- Severidade = Impacto na segurança do cliente, qualidade do produto e integridade dos dados (ou outro risco).
- Probabilidade = Probabilidade da falha (risco) ocorrer.
- Classe do Risco = Severidade x Probabilidade.
- Detectabilidade = Probabilidade desta falha ser detectada antes do risco ocorrer.
- Prioridade do Risco = Classe do Risco x Detectabilidade.
Como será o controle de gerenciamento de riscos?
Conforme orientado no Guia da ANVISA, são 5 as etapas fundamentais a serem consideradas durante a realização do gerenciamento de riscos:
Etapa 1 – Realizar avaliação inicial de risco e determinar impactos no sistema
O objetivo é detectar se o sistema no geral tem impacto em BPx. Não se consideram detalhamentos dos processos e particularidades de cada função. Para executar esta etapa, deve-se ter:
- Entendimento dos processos;
- Definição dos limites de cada item envolvido com os processos;
- Função principal do sistema computadorizado para suporte e apoio aos processos envolvidos;
- Requerimentos claramente definidos.
Etapa 2 – Identificar funções com impacto BPx
Identificação das funções ou processos que têm impacto em BPx para os módulos que foram detectados na etapa 1. Nesta etapa, realizar um mapeamento a partir de fluxogramas irá facilitar a análise dos pontos fracos, riscos e as responsabilidades de cada processo.
Etapa 3 – Realizar avaliação de risco funcional
Composta pela avaliação detalhada dos riscos das funcionalidades do sistema identificadas durante o mapeamento dos processos na etapa 2.
Etapa 4 – Identificar, implementar e verificar controles adequadamente
Controles são basicamente medidas implementadas para reduzir um risco a um nível aceitável. Esses controles podem fazer parte de uma funcionalidade do sistema computadorizado, com procedimentos manuais em paralelo ou podem ser uma combinação e integração de ambos.
Esta etapa inclui a identificação, implementação e verificação dos controles para eliminação ou redução do risco, envolvendo basicamente:
- Eliminação dos riscos através de processos ou sistema redesenhados;
- Redução dos riscos diminuindo a probabilidade de uma falha ocorrer;
- Redução dos riscos através de implementação de outros processos que detectem a falha;
- Redução dos riscos estabelecendo verificações ou métodos para identificação.
Exemplos de controles estratégicos para redução de riscos:
- Inclusão de controles automáticos para os atributos de qualidade contemplados em sistemas computadorizados.
- Aplicação de testes rigorosos comprovando que o sistema desempenha suas funcionalidades corretamente em condições de erros ou que possua condições de tratamento para os mesmos.
- Aplicação e revisão de treinamento aos usuários envolvidos.
Etapa 5 – Revisar riscos e monitorar controles
Esta etapa deve prever a revisão e o monitoramento dos controles adotados na Etapa 4, tarefa que pode ser realizada na revisão periódica para manutenção do estado validado ou durante a avaliação dos riscos desencadeada por um controle de mudanças.
Resultados esperados
Ao realizar uma boa análise e gerenciamento de riscos, você será capaz de:
- Identificar antecipadamente os pontos-chaves que requerem uma atenção durante as fases do projeto;
- Obter informações necessárias para o desenvolvimento, especificação e descrição do sistema;
- Obter informações que auxiliam no desenvolvimento da estratégia para alcançar a conformidade e adequação às normas regulatórias.
Você já participou de um processo de análise e gerenciamento de riscos para validação de software? Quais foram os maiores desafios? Se você gostou desse post, recomendamos a leitura do artigo Proteja seus Registros com a FDA CFR 21 Part 11.
Engenheira de Alimentos pela UFSC com certificação Green Belt. Trabalha na HarboR desde 2009 atuando na capacitação, implementação e suporte técnico na área de Controle Estatístico de Processo e Qualidade em diferentes áreas da indústria.
Obrigada Luan!
Muito bom.