ICH Q9, Quality Risk Management

Transcription

1 Mars 2006 Page 1 de 6 ICH Q9, Quality Risk Management Qu'est ce que l'ich? Julien Bachon Resp. Centre Laboratoire, ADN L'International Conference on Harmonisation of technical requirements for registration of pharmaceuticals for human use (ICH) est une initiative commune impliquant les agences réglementaires Européenne, Japonaise et Américaine ainsi que les industries de la santé en tant qu'associés égaux dans les discussions scientifiques et techniques sur des méthodes d'essais qui sont exigées pour assurer et évaluer la sûreté, la qualité et l'efficacité des médicaments Ces textes (lignes directrices/guide) sont hébergés par les agences réglementaires comme lignes directrices à suivre et fixent donc des exigences. Que faut-il entendre par "Quality Risk Management"? Le risque représente la combinaison de la probabilité d un dommage et de sa gravité (ISO/CEI 51). L'ICH Q9 précise que l'évaluation des risques est à considérer vis-à-vis de la protection des patients. La qualité représente l'aptitude d'un ensemble de caractéristiques intrinsèques d'un produit, d'un système ou d'un procédé à satisfaire les besoins exprimés ou potentiels des utilisateurs. La "Quality Risk Management" est défini (ICH Q9) comme un processus systématique pour l'évaluation, la maîtrise, la communication et la revue des risques liés à la qualité d'un produit tout au long de son cycle de vie. "Quality Risk Management" peut donc se traduire par "la qualité par le management du risque" Quels sont les points clefs de l'ich Q9 et de la qualité par le management du risque? Quel est le positionnement d'adn sur cette problématique? Objectif de l'ich Q9 Le guide ICH Q9, Quality Risk Management est pour l'heure un texte à part parmi les textes émis par l'ich. En effet, son objectif n'est pas de fixer des exigences mais de présenter des principes et des outils permettant aux industries pharmaceutiques de répondre à la problématique de gestion des risques tout au long du cycle de vie d'un produit afin d'en assurer la qualité. Le processus de management du risque défini dans l'ichq9 ainsi que les différentes méthodes listées ne font donc pas force de loi. Des méthodes de gestion des risques empiriques et/ou basées sur des procédures internes sont acceptables. Néanmoins, l'adoption par les industriels du management du risque ne les dégage de leurs obligations de répondre aux exigences réglementaires.

2 Mars 2006 Page 2 de 6 Processus de management du risque défini dans l'ich Q9 Le processus de management du risque, proposé dans l'ichq9 et adopté par ADN, est basé sur un processus découpé en différentes phases (Cf. diagramme ci-dessous). Ces phases, Risk Assessment, Risk Control, Risk Review et Risk Communication seront détaillées dans la suite de ce document. Le processus de management du risque s'applique à un produit, un système ou un procédé tout au long de son cycle de vie (conception, développement, production, support et retrait) L'équipe participant à un processus de management du risque doit se composer d'experts dans des domaines tels que: Ingénierie : évaluation/maîtrise des risques liés au procédé de fabrication Qualité : évaluation/maîtrise des risques liés au système qualité Affaires Règlementaires : évaluation /maîtrise des risques liés à la réglementation IT : évaluation/maîtrise des risques liés à l'infrastructure informatique et aux systèmes d'information Métier : évaluation/maîtrise des risques liés à la conduite du procédé et à la maîtrise des coûts Contrôle Qualité : évaluation/maîtrise des risques liés aux contrôles d'un produit déposé (Source, ICH Q9) Evaluation du risque, Risk assessment L'évaluation des risques est basée sur trois étapes distinctes qui sont l'indentification des risques, l'analyse des risques et la quantification des risques. En pratique, il faut répondre aux trois questions suivantes: Quelles sont les défaillances potentielles? Quelles sont les probabilités que ces défaillances se produisent? Quelles sont les conséquences de ces défaillances? Une défaillance est définie comme la cessation de l'aptitude d'un produit, d'un procédé ou d'un système à accomplir une fonction et/ou processus requis. Une défaillance désigne donc tout ce qui paraît anormal, tout ce qui s écarte de la norme de bon fonctionnement (des spécifications). La phase d'évaluation du risque correspond donc, à une recherche exhaustive des défaillances d'un produit, d'un procédé ou d'un système, et des ses causes : recherche empirique ou à l'aide de méthodes, à évaluer la fréquence d'apparition des défaillances en fonction des causes identifiées : évaluation basée sur le retour d'expérience des membres de l'équipe management du risque,

3 Mars 2006 Page 3 de 6 à évaluer la gravité de ces défaillances : évaluation des impacts sur la santé des patients, sur le respect réglementation, sur le coût, Dans le cadre de l'ichq9, la notion de point de vue est importante car une défaillance et ses conséquences sont à évaluer vis-à-vis de la protection des patients. Maîtrise du risque, Risk control La maîtrise du risque est basée sur deux étapes qui sont la réduction du risque et l'acceptation du risque. Les questions à se poser sont les suivantes : Est-ce que le risque est au-dessus d'un niveau acceptable défini par le management? Qu est ce qu'il peut être fait pour éliminer ou diminuer le risque? Quel est le bon équilibre entre les bénéfices, les risques et les ressources? L'effort doit être en corrélation avec la gravité du risque identifié. Est-ce que de nouveaux risques ont été introduits par l'activité de maîtrise des risques? La réduction du risque peut être envisagée de trois façons différentes : Atténuer la gravité : remplacement d'un mirage visuel par un mirage automatique associé à une base de données de cas recensés, Diminuer la probabilité d'apparition : redondance de système, procédure de maintenance préventive basée sur calcul taux de rendement synthétique, Augmenter la détectabilité : ajout d'un système monitoring avec génération d'alarmes, mise en place d'un double contrôle... La réduction d'un risque par une action/modification peut entraîner un nouveau risque qu'il faudra évaluer. Par exemple, la sauvegarde manuelle sur CD remplacée par la sauvegarde automatisée sur bande, est ce que les risques résiduels liés au changement sont acceptables? L'acceptation du risque signifie que les industriels ont conscience qu'il existe un risque résiduel mais que ce niveau est défendable auprès d'une agence réglementaire : argumentation d'un impact acceptable sur la qualité du produit. Communication du risque, Risk communication La communication est le partage et la mise à disposition des informations concernant les risques et le management des risques à toutes les étapes du processus de qualité par le management du risque. Les informations à diffuser concernent l'existence, la nature, la probabilité, la sévérité, la détectabilité, la maîtrise, le traitement, l'acceptabilité des risques sur la qualité. Revue du risque, Risk review Une fois initié, ce processus doit être maintenu et utilisé pour des évenements qui peuvent impacter l'évaluation initiale du risque, issue du processus de qualité par le management du risque, sur un produit ou un procédé. Ces évenements peuvent être prévus (inspection, audit, change control, ) ou non (non-conformité, rappel, ). La revue du risque doit prendre en compte la réévaluation d'un niveau d'acceptation initial et la fréquence doit être fonction du niveau de risque initial et des indicateurs qualité associés aux points de contrôle.

4 Mars 2006 Page 4 de 6 Les outils du management du risque Le texte ICH Q9 dresse une liste de méthodes et d'outils, utilisable par l'industrie pharmaceutique et par les agences réglementaires, permettant une approche structurée degestion du risque. Pour chaque méthode, le texte en présente les principes ainsi que les champs d'application potentiels. Les méthodes référencées sont les suivantes: Failure Mode Effects Analysis (FMEA) ou Analyse des Modes de Défaillance et de leurs Effets (AMDE) Failure Mode Effects & Criticality Analysis (FMCEA) ou Analyse des Modes de Défaillance, de leurs Effets et de leur Criticité (AMDEC) Fault tree analysis (FTA) ou Analyse Arbre des Défaillances Hazard Analysis of Critical Control Points (HACCP) ou système d'analyse des risques et de maîtrise des points critiques Hazard Operability Analysis (HAZOP) ou Analyse de Risque et d'opérabilité Risk Ranking and Filtering ou classification et filtrage des risques Preliminary Hazard Analysis (PHA) ou Analyse Préliminaire des Risques (APR) Supporting statistical tools ou outils statistiques Les champs d'application du management du risque En plus de lister les différentes méthodes de management du risque, le texte ICH Q9 dresse une liste des champs d'application potentiels à travers les différents métiers de la santé (industries ou agences réglementaires). Le management du risque est applicable par l'industrie et les agences dans le cadre : du management du système qualité (documentation, formation, défauts qualité, audit / inspection, revue périodique, gestion des changements) Le management du risque est applicable par l'industrie pour les données déposées, soit dans le cadre : du développement : design d'un produit et de son procédé de fabrication, choix des matières brutes, des bâtiments, des équipements et des utilités : minimisation des risques de contaminations croisées, design des systèmes informatisés, détermination procédure de nettoyage,. de la gestion des fournitures : audit du fournisseur, évaluation des risques liés au stockage et transport, de la production : définition du scope de validation, échantillonnages et tests, planning de production, du contrôle qualité et des études de stabilité : gérer les produits hors spécifications, déterminer les conditions de conservation, de l'emballage et étiquetage : design des emballages,. Le management du risque est applicable par les agences réglementaires dans le cadre : des activités d'évaluation et d'inspection D'ailleurs, la FDA a définit sa démarche d'inspection basée sur le management du risque dans le document Pharmaceutical cgmps for the 21st Century - A Risk-Based Approach où les programmes d'inspections sont basés sur des analyses de risques : les sites pharmaceutiques à risque seront audités de façon prioritaire.

5 Mars 2006 Page 5 de 6 Les points clefs du management du risque Le processus de management du risque est basé sur les risques liés aux fonctions et/ou processus d'un produit, d'un procédé ou d'un système. La définition des fonctions/processus (définition des exigences) est donc l'une des étapes majeures de la conception. Le produit ou le système ne réalise pas que des fonctions de type métier. Le produit s'insère dans un environnement complexe. Par exemple, un système informatisé qui doit permettre de faire de l'acquisition de données environnementales, doit aussi répondre aux exigences 21 CFR part 11 (réglementaire), fonctionner sous Oracle (standard société IT), La définition des exigences n'est donc pas qu'une problématique utilisateur. L'évaluation et la maitrise des risques doivent être réalisées sur toutes les fonctions spécifiées du produit. Les exigences étant pluridisciplinaires (métier, réglementaire, IT,..), l'évaluation et la maîtrise des risques le sont aussi. L'équipe doit être force de proposition si le risque résiduel reste trop élevé : redéfinition des exigences et de la conception. Le suivi de l'implémentation des fonctions/processus est un élément majeur pour assurer la qualité du produit car il permet d'apporter la preuve que le produit est conçu pour répondre au besoin exprimé. Les vérifications (tests et revue des risques) des fonctions du produit et des mesures mises en place pour maîtriser le risque sont essentielles pour s'assurer que le niveau de risque réel correspond à au niveau de risque résiduel accepté par le management. Le management du risque ne s'arrête pas à la mise en production, l'introduction de nouvelles exigences au cours de la vie d'un produit (change control) nécessite une réévaluation du risque au travers des indicateurs qualité définis dans le management du risque. L'accompagnement d'adn sur le management du risque ADN spécialiste du Risk, Regulatory et Requirement management vous apportera son expertise en management du risque tout au long d'un projet d'implémentation/mise en production/support d'un système informatisé au sein d'un processus pharmaceutique. Nous intervenons dès le recueil du risque : identifié les risques potentiels de l'intégration/mise à jour d'un système informatisé sur le processus pharmaceutique Nous intervenons lors de la définition des besoins où le management du risque permet de définir les criticités de fonctions et/ou processus d'un système : évaluation des impacts d'une défaillance d'un point de vue produit & réglementaire. Nous intervenons à l'analyse des solutions techniques où le management du risque permet d'évaluer les effets et les causes des défaillances. Nous participerons à la mise en place de mesures de diminution des risques organisationnelles si d'un point de vue technique le système ne peut y répondre, nous proposerons des solutions pour redesigner le système si le risque résiduel reste trop élevé. C'est la revue de conception. Nous intervenons lors de définition de la stratégie de test du système où le management du risque permet d'orienter les tests de QC, QI, QO, QP (quelles fonctions testées?) et la portée (comment les tester?) Nous intervenons lors de la mise en place du support du système où le management du risque permet d'évaluer l'impact des modifications (qu'est-il nécessaire de tracer sous change control avec revue AQ? quel est le risque lié à un changement sur le système ou sa conduite?) De part son expérience en Risk, Regulatory et Requirement management, ADN a développé et maintient une base de données regroupant des défaillances typées par métiers /

6 Mars 2006 Page 6 de 6 réglementations / systèmes afin d'optimiser les phases d'évaluation et de maîtrise des risques. Partenaire des industries des Sciences de la Vie, ADN est le spécialiste du Risk Requirement - Regulatory Management (R 3 Management). ADN accompagne ses clients tout au long du cycle de vie de leurs projets, grâce une méthodologie permettant une définition exhaustive de leurs exigences et du risque associé, ainsi que la prise en compte dynamique de leur évolution pendant et après la mise en production du projet. Au travers de sept centres de compétences, ADN apporte tout le bénéfice d une expertise réglementaire de 13 années, couplée à une expertise métiers (Manufacturing, EDMS, ERP/Supply Chain, Vigilances/Essais cliniques, Infrastructure, Compliance & Quality Management). Ayant son siège à Paris La Défense, ADN est implantée à Lyon et à Londres. Pour de plus amples informations, visitez le site Web d ADN à l'adresse