A menudo considerada una carga, la gestión de riesgos de calidad (GRC) es en realidad una herramienta poderosa para impulsar el cumplimiento, el control y la mejora. Muchas organizaciones farmacéuticas medianas y pequeñas, en particular aquellas con modelos de negocio virtuales (es decir, con sede en oficinas sin instalaciones de producción o almacenamiento), han tenido dificultades en el pasado para cumplir con esta expectativa regulatoria. Solo recientemente los inspectores han comenzado a revisar cómo las organizaciones gestionan el riesgo a través de evaluaciones de riesgos documentadas y registros de riesgos formales. Las organizaciones globales más grandes han adoptado plenamente la GRC, con fuertes vínculos entre sitios para compartir la mitigación de riesgos equivalente en procesos y sistemas similares.
Este artículo no pretende reproducir el contenido de ICHQ9 y otras fuentes de información valiosas sobre este tema. Está diseñado principalmente para arrojar un poco más de luz sobre los aspectos prácticos de la generación de una evaluación de riesgos integral para empresas y sitios operativos, independientemente de su tamaño, complejidad, mercados suministrados y cumplimiento de las GxP.
En muchos casos, el punto de partida es un evento que puede haber requerido una evaluación de riesgos de calidad del producto formalmente documentada para facilitar la liberación. Es importante tener en cuenta que los riesgos de calidad pueden derivarse de estos eventos, ya sean planificados (como las revisiones de calidad del producto o las auditorías) o no planificados (desviaciones, quejas, resultados fuera de especificación, fallos de estabilidad, retiradas de productos, etc.). Sin embargo, la preparación de evaluaciones de riesgos de esta manera puede ser fragmentada, inconsistente, estar mal registrada y carecer de cualquier tipo de acciones definidas.
Debido a la falta de recursos, experiencia y prioridades conflictivas, las evaluaciones de riesgos disponibles pueden limitarse a las creadas a partir de eventos, y sin el patrocinio, el compromiso y el apoyo de la alta dirección no avanzarán más allá de esta etapa.
La forma más eficaz de introducir un programa de GRC es iniciar una revisión estructurada de los procesos y sistemas. Esto debería incluir al menos las instalaciones, los equipos, los servicios, los sistemas informáticos, la documentación, la cualificación, el control de cambios, las funciones de control de calidad/garantía de calidad, el almacenamiento, los proveedores, los contratistas y los proveedores de servicios.
En lugar de considerarse una responsabilidad de control de calidad/garantía de calidad, los riesgos deben evaluarse en equipos utilizando herramientas como el análisis de modos de fallo y efectos (AMFE), el diagrama de Ishikawa, los 5 porqués, etc. Es vital en una etapa temprana registrar la descripción del riesgo de forma precisa y exacta. Un riesgo que se describe en términos vagos puede impulsar acciones incorrectas, por lo que, al igual que un ejercicio de resolución de problemas, debe haber una claridad acordada sobre cuál es el problema, dónde existe, cuándo ocurre, pero sin definir la posible causa raíz.
Por lo tanto, la preparación de una lista de riesgos por área o sistema es probablemente la primera tarea, antes de cualquier consolidación de riesgos compartidos, puntuación, registro de controles actuales o asignación de responsabilidades para los pasos de acción de mitigación.
La tarea de preparar la lista maestra de riesgos (registro de riesgos) puede ser desalentadora y llevar algún tiempo completarla, dependiendo de la complejidad de la operación. Al involucrar a los usuarios, se fomentará una cultura de transparencia y se facilitará la escalada de los riesgos más críticos: aquellos riesgos ‘rojos’ con puntuaciones altas.
Pasando a la puntuación, este análisis en términos de gravedad, probabilidad y detectabilidad debe ser lo más objetivo y basado en la evidencia posible. Es extremadamente fácil calificar demasiados riesgos con puntuaciones altas cuando este puede no ser el caso. Se puede esperar que un sitio que fabrica productos estériles tenga muchos riesgos con puntuaciones altas, en comparación con una empresa que solo tiene un almacén de productos ambientales.
Son necesarias dos puntuaciones, basadas en los mecanismos de control actuales y luego cuando todas las acciones de mitigación deseadas se hayan completado con éxito. Se pueden asignar responsabilidades claras para cerrar las acciones dentro de los plazos apropiados, de nuevo en función del riesgo.
Habiendo generado un conjunto completo de riesgos que forman el registro de riesgos del sitio/negocio, puede convertirse en una parte integral de la toma de decisiones. Esto se aplica al cumplimiento, la gobernanza y la supervisión de la calidad, con revisiones periódicas de los riesgos, las acciones y el cierre a través de la revisión de la gestión. Debe reconocerse que el programa de gestión de riesgos debe ser proactivo, dinámico y continuo. No debe permanecer descuidado en un archivo o carpeta obsoleta, sino que debe formar parte de un programa de mejora continua del cumplimiento del sitio.
La GRC no es ciencia espacial, ni es una simple tarea puntual asignada a un miembro junior del personal de control de calidad/garantía de calidad justo antes de una inspección. Si se aplica de manera constructiva, detallada y multifuncional, no solo satisfará las expectativas regulatorias, sino que también formará parte de la actividad operativa y comercial de rutina.
Entonces, para resumir la GRC, debería ser
- Patrocinada por la alta dirección
- Organizada como un esfuerzo de equipo
- Integral
- Un programa estructurado y dinámico
- Precisa y específica para cada riesgo
- Puntuada apropiadamente
- Parte de la revisión periódica de la gestión
Acerca del autor
Roger Smith, consultor y auditor
Roger Smith tiene más de 40 años de experiencia en la fabricación y el suministro de productos farmacéuticos, con responsabilidades en calidad, producción y soporte técnico. Después de una extensa carrera trabajando en varias multinacionales, en los últimos 5 años Roger ha actuado como consultor independiente de calidad farmacéutica, ofreciendo servicios de QP, preparación de inspecciones, auditoría y soporte de SGC/GRC. Es licenciado en química y tiene un diploma en estudios de gestión.
