GAMP 5 Risk-Based Approach Risiken global managen

Transkript

1 GAMP 5 Risk-Based Approach Risiken global managen Vision Pharma 2012, Karlsruhe Thomas Halfmann Besuchen Sie uns auch 2013 vom 5. bis 7. Februar wieder auf der Vision Pharma! HGP Solutions AG

2 Disclaimer Diese Präsentation unterliegt dem Urheberrecht. Jede Weiterverwendung von Bildern, Grafiken, Texten und anderen Inhalten ist ohne schriftliche Genehmigung der HGP Solutions AG unzulässig. Eine Genehmigung kann unter den am Ende angegebenen Kontaktadressen eingeholt werden. 2

3 Inhalt GAMP 5 Risk-Based Approach IT Risk & Compliance Managements Globales Framework für integriertes IT Risk & Management Beispiel eines Tool-gestützten Ansatzes 3

4 GAMP 5 Risk-Based Approach 4

5 GAMP 5 Was ist wichtig? Fokussierung auf das Risiko für den Patienten Wesentlich stärkere Einbeziehung des Lieferanten in die Validierungstätigkeiten Integration der Validierungsaktivitäten in ein Qualitätsmanagementsystem Integriertes Risikomanagement in allen Lebenzyklusphasen 5

6 IT Risk Management & Compliance IT Risk Management ist nicht IT Compliance! IT Compliance ist die Einhaltung und Kontrolle vorgegebener regulatorischer Anforderungen im IT Umfeld IT Risk Management ist der Versuch der Kontrolle und Minimierung von Risiken im Kontext der Gesamtunternehmung 6

7 GAMP 5 Risk Management Prozess 7

8 IT Compliance Anforderungen Datenschutz GxP/CSV GAMP Internal Audit Sox 404 Best Practice COSO Unternehmen Unternehmens IT ISO CoBIT 8

9 Traditioneller Ansatz GxP/CSV Sox 404 Datenschutz Internal Audit Anforderung Anforderung Anforderung Anforderung Kontrolldefinition Kontrolldefinition Kontrolldefinition Kontrolldefinition Kontrolle Kontrolle Kontrolle Kontrolle IT Organisation Prozesse Unternehmens IT Anwendungen Schnittstellen Projekte Lieferanten Infrastruktur 9

10 Integrierter Ansatz GxP/CSV Sox 404 Datenschutz Internal Audit Anforderung Kontrolldefinition Kontrolle Unternehmensweit einheitlicher Ansatz Anforderung Kontrolldefinition Kontrolle Kontrolldefinition Kontrolle Anforderung Kontrolldefinition Kontrolle Anforderung Kontrolldefinition Kontrolle IT Organisation Prozesse Unternehmens IT Anwendungen Schnittstellen Projekte Lieferanten Infrastruktur 10

11 Herausforderungen des integrierten Ansatzes Kontext und Zeitpunkt der Anforderungen sind nicht einheitlich Unterschiedliche Interpretation in verschiedenen Organisationseinheiten des Unternehmens Globale Verteilung der Organisationen und Verantwortung Unterschiedliche Risk Management Systeme Die notwendige Abstraktion der Kontrollen wird nicht überall gleich interpretiert 11

12 Vorteile des integrierten Ansatzes Anwendbarkeit auf verschiedene Bereiche und Systeme Aufwandsreduktion bei neuen Anforderungen Aufwandsreduktion bei Tests Einheitliche, unternehmensweite Basis für Kontrollen Vereinheitlichung von Prozessen Vergleichbarkeit 12

13 Umsetzung Harmonisierung der Definition der Kontrollen Strukturierung nach Prozessen, z.b.: Project Management Change Management Risk Management Incident & Problem Management Security Management Service Level Management Records Management Continuity Management Operations Management 13

14 Umsetzung Zuordnen der Prozess zu den Anforderungen und IT Bereiche (Asessment Einheiten) Best Practice GxP/CSV SOx Datenschutz Internal Audit IT Organisation Prozesse Anwendungen Schnittstellen Infrastruktur Lieferanten Projekte Project Management Change Management Existenz einer formalistierten und freigegeben Prozessdefinition (SOP) für IT Change Management sowohl für Standard Changes als auch für Emergency Changes. x x x x x x x x x x x x Incident & Problem Management Risk Management Security Management... Test Spezifikationen müssen vor der Testdurchführung genehmigt werden. Test Resultate müssen dokumentiert und genehmigt werden, Rohdaten müssen angehängt werden, Abweichungen müssen beschrieben und genehmigt sein. x x x x x x x (schematische Darstellung) 14

15 Ergebnis Skalierbarer Ansatz für die Anwendbarkeit von Kontrollen Auswahlmöglichkeit der nur tatsächlich notwendigen Kontrollen Vereinheitlichung von Prozessen und Organisationsstrukturen Einheitliches Berichtssystem Für alle IT Bereiche des Unternehmens Nach Key Performance Indikatoren Konsolidierung auf mehreren Ebenen möglich 15

16 IT Risk Management? Der dargestellte Ansatz ist KEIN direkter Beitrag zum IT Risk Management! Würde man dem Framework alle möglichen Risiken zuordnen, wäre der Aufwand zu gross durch Unterschiedliche Anwendungen Unterschiedliche unterstützte Geschäftsprozesse Unterschiedliche Anforderungen Die konkrete Risikoeinstufung folgt auf Basis der Durchführung der Kontrollen 16

17 Durchführung der Kontrollen Vereinheitlichtung der Kontrollaktivitäten Identifizierung der Gaps für alle Anforderungen GxP/CSV Sox 404 Datenschutz Internal Audit Kontrolldefinition Kontrolle Control Gaps 17

18 Risikoanalyse Control Gaps Weitere Risiken Risikomatrix Riskoanalyse Wahrscheinlichkeit Einfluss Riskoakzeptanz Riskobehebung 18

19 Risk Management Workflow Standardisiertes, intergriertes und skalierbares Risk & Compliance Framework Kontinuierlicher Risk Assessment Workflow Beurteilung der Risiken anhand nachvollziehbarer Kriterien (CMMI Maturity Levels) Identifikation der tatsächlichen Unternehmensrisiken Unterstützung durch entsprechende Tools machen den Prozess effizient und nachvollziebar Manage risks don t just tick off compliance! 19

20 Praktische Umsetzung Variante 1: Excel-Spreadsheets Geeignet für einzelne IT Organisationen mit wenigen Applikationen Hoher Pflegeaufwand Konsolidierung und Reporting sind sehr aufwendig Variante 2: Risk Management Tool Das Risk & Compliance Framework kann zentral gemanagt werden Der gesamte Assessment-Workflow wird in einem Tool abgebildet Generierung der entsprechenden Management Reports Deutliche Verringerung des adminsitraiven Aufwandes (z.b. Verwaltung der Excel-Spreadsheets) Integrierte Qualitätssicherung (Audit Trail etc.) Eine Quelle für alle IT Risk & Compliance Informationen im Unternehmen 20

21 Risk Management Tool (Demo) 21

22 Kontakt HGP Solutions AG St. Alban Vorstadt 94 CH-4052 Basel Switzerland W E info@hgp.ag T

23 Follow Me HGPAG 23

24 HGP Group HGP Deutschland GmbH Schopfheim, Germany HGP Headquarter Basel, Switzerland HGP Asia Pte Ltd. Singapore 24

25 HGP Service Portfolio Improvement of Production Processes (LEAN) GLP Consulting (Good Laboratory Practice) Implementation of Paperless Manufacturing (MES) IT Quality and Compliance Management (COBIT) GMP Consulting (Good Manufacturing Practice) Computer System Validation (GAMP) Internal Control Systems and Risk Management (COSO, SOX) Retrofit of Pharmaceutical Machinery 25

26 HGP Skills Profile HGP consultants have multiple years healthcare industry experience Skills and education cover all domains of the healthcare industry Marketing, Manufacturing, Quality Assurance, Finance, IT, Automation, Engineering, Risk Management, Auditing, Pharmacists, Engineers, Economists, 26

27 HGP Tools RiColution the HGP application to manage risks and compliance effectively and efficiently! ISA 95 Analysis the powerful and efficient tool to determine information and automation integration strategy, evaluate the scope and system for EBR implementation! Reality Check an analysis that helps to show weaknesses quickly and accurately and identify the potential for optimization! As easy as playing a game! 27

28 HGP Training Curriculum (1) How to Survive in the Jungle of GMP The World of GMP GMP in Practice Critical GMP Aspects Validation of Computerized Systems What is CSV? Introduction into GAMP 5 How Much Validation Is Enough? The Mystic 11 Annex 11 and 21CFR11 The New Annex 11 to the EU / PIC/S Guidelines of GMP 21CFR11 Electronic Records & Electronic Signatures Implementation and Validation Aspects ISA 95 Analysis A Powerful Analysis Tool for Process and Automation Design What is ISA 95? Hands-on ISA 95 Analysis Training 28

29 HGP Training Curriculum (2) IT Risk Management Risk & Compliance Management IT Frameworks & IT Controls How to Implement IT Risk Management Effectively Implementation of Electronic Batch Records Fundamentals Technical Solutions (Overview) Implementation Strategy and Methods How to Prepare for an Audit Audit Preparation Activities Auditee Briefing The Audit Process Visit out website or ask your HGP consultant for the actual training curriculum, upcoming events or a tailored training course There is more to come! 29

30 Vision Pharma 2013 Besuchen Sie und auch im nächsten Jahr wieder auf der Vision Pharma 2013! 5. bis 7. Februar