Como fazer uma análise de riscos

Um pouco da base teórica para realizar essa atividade tão importante

Já falei algumas vezes mas é sempre bom reforçar:

→ O coração de toda validação é a análise de riscos.

É simplesmente a atividade mais importante dentro do ciclo de vida de uma validação.

Se isso for bem feito, 80% do trabalho tá no papo.

Mas se não for bem feito… muito provavelmente sua validação terá buracos que podem te atormentar no futuro.

Então a minha missão hoje é ajudá-lo com algumas dicas para conduzir bem uma análise de riscos.

Vamos lá?

Etapas

No GAMP5 você verá um trecho que explica conceitualmente a atividade de análise de riscos, e ela possui algumas etapas:

1. Determine a análise de riscos inicial para determinar o impacto do sistema

2. Identifique funções com impacto na saúde do paciente, qualidade do produto e integridade de dados

3. Realize a análise de riscos e identifique controles

4. Implemente e verifique controles apropriados

5. Revise os riscos e monitore os controles

Todas elas são muito importantes, mas no artigo de hoje vou focar nas etapas 2 a 5.

Identifique os riscos

Essa é a etapa em que você deve identificar, em conjunto com a equipe multidisciplinar, quais são os riscos que a implementação daquele sistema oferece.

Em outras palavras, você deve ser reunir com quem conhece o processo e se perguntar:

→ “O que pode dar errado?”

Existem riscos que são mais comuns para a maioria do sistema, como, por exemplo:

• Perda dos dados eletrônicos

• Ausência de mecanismos de rastreabilidade

• Pessoas não autorizadas terem acesso ao sistema

Entre outras coisas…

Se você nunca fez uma análise de riscos e se você não tem nenhum modelo para te ajudar, fica bem difícil de sair do 0.

Para te ajudar nisso, estou fornecendo para os assinantes do VSC na Prática um modelo de análise de riscos com os riscos mais comuns que encontrei nas indústrias de ciências da vida.

Não é assinante ainda? Só clicar no link abaixo para saber mais 😉

Realize a análise de riscos e identifique controles

Esse é o momento em que você deverá, também em conjunto com uma equipe multidisciplinar, discutir todos os riscos identificados para poder mensurá-los.

A metodologia GAMP indica classificar os riscos com base em 3 critérios

• Severidade: se o risco se concretizar, qual é o seu dano?

• Probabilidade: qual é a chance desse risco se concretizar?

• Detectabilidade: qual é a chance do risco ser detectado antes de causar danos?

Cada um desses critérios pode ser classificado em baixo, médio ou alto.

Depois dessa classificação, os resultados são combinados para ter a prioridade final do risco, conforme tabelas abaixo:

O resultado final do risco é o que vai te falar se você precisa fazer alguma coisa ou não

Na teoria, se o seu resultado final do risco deu baixo, você não precisa fazer nada. Nem mesmo testar.

(Já recebi, inclusive, uma puxada de orelha de uma auditora porque a gente estava testando todos os riscos, inclusive os baixos… ou seja, estávamos testando sem necessidade)

Agora, se o risco deu médio ou alto, significa que os seus controles atuais podem não ser suficientes para controlar o processo.

Uma saída é propor controles adicionais para evitar que aquele risco se concretize.

Esses controles podem ser:

• Configurar um alarme ou um parâmetro

• Solicitar customização do software

• Criar controles manuais via POP

• Bloquear algumas funções

Além disso, o GAMP5 traz o conceito de aceitação do risco.

O guia entende que existe uma relação de custo x benefício. Que nem sempre é possível reduzir o risco com medidas de baixo custo, o que pode inviabilizar um controle mais efetivo.

Nessa situação, a empresa pode “aceitar” o risco.

Encare isso como uma escolha entre você ter um seguro para o seu carro ou não.

Se você adquire um seguro, você estará coberto caso seu veículo seja roubado ou aconteça qualquer outro sinistro com ele.

Mas se você opta por não ter um seguro, você está “aceitando” o risco. Está tomando o risco para si.

Se acontecer qualquer coisa, todo o prejuízo será seu.

O conceito de aceitação do risco é semelhante a isso.

É claro que isso deve ser feito com muita parcimônia no nosso caso, pois trabalhamos na área da sáude.

Afinal, se a severidade for muito alta, quem sai prejudicado é o paciente.

Essa é uma simplificação desses conceitos, mas se quiser se aprofundar, recomendo demais ler o GAMP5 segunda edição.

Implemente e verifique controles apropriados

Uma vez que você fez a análise de riscos, os controles acordados entre as partes deverão ser implementados.

Tem lugares que eu trabalhei em que a implementação desses controles ficavam mapeados através de um plano de ação.

Em outros lugares, mandava-se um e-mail para os responsáveis e nós da GQ tínhamos que ficar acompanhando para verificar se os controles estavam sendo implementados.

Mas além disso, eu sempre coloco testes na minha validação para confirmar, com evidências documentadas, que aqueles controles foram implementados e que são eficazes.

Isso é importantíssimo, pois você:

• Só implementou novos controles porque os antigos não eram suficientes;

• Precisa ter certeza que os controles estão lá funcionando.

O risco de não testar isso é esses controles não serem implementados corretamente.

Ou até mesmo nem terem sido implementados.

Do contrário, nem precisaria de validação 🤷🏼‍♂️

Revise os riscos e monitore os controles

Uma vez implementado corretamente os controles (conforme a sua validação), será necessário revisar os riscos.

Essa etapa é um pouco mais difícil de fazer corretamente pois nós estamos todos “correndo contra o próprio rabo”, “apagando o próximo incêndio”, etc…

Mas é uma etapa importante também.

Nela, você deve verificar aqueles riscos que você precisou implementar novos controles e revisá-los após a validação.

Nessa revisão, você deve reclassificar o risco se sua validação garantiu que aquele risco ficou mais controlado do que antes.

O risco ficou menos provável de acontecer? A sua detectabilidade do risco aumentou?

Então, reclassifique.

Mas é bom lembrar… a severidade nunca pode ser alterada, pois nós avaliamos a severidade considerando qual o dano que será causado se aquele risco se concretizar. E sempre pensando no pior caso.

Além da revisão dos riscos, os controles devem ser monitorados.

No meu entendimento, isso deve ser feito nas revisões periódicas de sistemas.

Nessas revisões é que avaliamos se o estado validado do sistema se manteve ou não.

E parte dessa avaliação envolve verificar se os controles se mantiveram eficazes.

---

Agora a minha newsletter conta não só com o apoio de alguns leitores, como também da CQV Solutions.

Eles fazem serviços de qualificação e validação para as indústrias de ciências da vida.

Se na sua firma estão precisando de ajuda para qualificar ou validar, saiba mais aqui: https://cqvsolutions.com.br/servicos/

E fala que você veio por mim! Isso me dá uma baita força.

---

Da parte conceitual, você precisa conhecer esses conceitos muito bem.

São eles que dão a base teórica necessária para fazer uma boa análise de riscos.

Mas é claro que isso não é tudo… é necessário saber como conduzir uma análise de riscos com a equpe multidisciplinar.

Tem muita coisa prática por trás disso.

Já adianto que esse será o assunto da semana que vem!

—

Espero que o artigo de hoje tenha sido útil!

Aguardo você na semana que vem 🤝🏼

Comments

[Andrea Rodrigues]

Que conteúdo TOP Gabs, gratidão!