SOS Kit : Audit de prestataires et solutions informatiques dans le secteur pharmaceutique
Nous reprenons ci-dessous quelques extraits de l’annexe 11 des Bonnes Pratiques de Fabrication indiquant les raisons pour lesquelles vous devez auditer vos prestataires informatiques et quelles sont les activités qui doivent être auditées.
Réglementation EU-GMP Annexe 11 – Computerised Systems
§ 4.5 « The regulated user should take all reasonable steps, to ensure that the system has been developped in accordance with an appropriate quality management system. The supplier should be assessed appropriately »
§ 3.2 « The competence and reliability of a supplier are key factors when selecting a product or service provider. The need for an audit should be based on a risk assessment.»
§3.4 « Quality system and audit information relating to suppliers or developpers of software and implemeted systems should be made available to inspectors on request. »
§ 3 .1 “When third parties (e.g. suppliers, service providers) are used e.g. to provide, install, configure, integrate, validate, maintain (e.g. via remote access), modify or retain a computerised system or related service or for data processing, formal agreements must exist between the manufacturer and any third parties, and these agreements should include clear statements of the responsibilities of the third party. IT-departments should be considered analogous.”
Quels sont Prestataires informatiques que vous devez auditer ?
En résumé, vous devez auditer les prestataires informatiques suivants :
Réglementation EU-GMP Annexe 11 – Computerised Systems
§ 4.5 « The regulated user should take all reasonable steps, to ensure that the system has been developped in accordance with an appropriate quality management system. The supplier should be assessed appropriately »
§ 3.2 « The competence and reliability of a supplier are key factors when selecting a product or service provider. The need for an audit should be based on a risk assessment.»
§3.4 « Quality system and audit information relating to suppliers or developpers of software and implemeted systems should be made available to inspectors on request. »
§ 3 .1 “When third parties (e.g. suppliers, service providers) are used e.g. to provide, install, configure, integrate, validate, maintain (e.g. via remote access), modify or retain a computerised system or related service or for data processing, formal agreements must exist between the manufacturer and any third parties, and these agreements should include clear statements of the responsibilities of the third party. IT-departments should be considered analogous.”
Quels sont Prestataires informatiques que vous devez auditer ?
En résumé, vous devez auditer les prestataires informatiques suivants :
Qu’est-ce que le Cloud Computing ?
Les entreprises pharmaceutiques sont responsables de la conservation sécurisée d'une immense quantité de données sensibles et elles font parfois appel à des solutions de Cloud Computing qui peuvent être de trois types :
Les entreprises pharmaceutiques sont responsables de la conservation sécurisée d'une immense quantité de données sensibles et elles font parfois appel à des solutions de Cloud Computing qui peuvent être de trois types :
D’après la définition normalisée du NIST : Le Cloud Computing un modèle qui permet un accès pratique et à la demande de n’importe quel terminal connecté sur le réseau internet, à des ressources internet partagées et configurables (par exemple de composants réseaux, serveurs, stockages, applications et services) qui peuvent être rapidement provisionnées et activées avec un minimum d’effort de gestion et sans l’interaction du fournisseur de services.
Si les intérêts économiques d’une telle architecture sont mis en avant par les principaux acteurs du marché (Amazon, Microsoft, Google, etc …), les industriels de la santé doivent s’interroger sur l’impact d’un tel changement d’infrastructure matérielle et logicielle sur leurs applications réglementées : quid de la localisation des données, de l’opacité sur la gestion des changements et de la confidentialité des données hébergées.
Comment les auditer ?
Tout d'abord, il est nécessaire d'Intégrer dans les contrats informatiques la possibilité de les auditer et les textes réglementaires applicables. Ensuite, il est important de connaitre la réglementation en vigueur et les guides concernant l’intégrité des données et la validation des systèmes informatisés - voir liste non exhaustive ci-dessous
Si les intérêts économiques d’une telle architecture sont mis en avant par les principaux acteurs du marché (Amazon, Microsoft, Google, etc …), les industriels de la santé doivent s’interroger sur l’impact d’un tel changement d’infrastructure matérielle et logicielle sur leurs applications réglementées : quid de la localisation des données, de l’opacité sur la gestion des changements et de la confidentialité des données hébergées.
Comment les auditer ?
Tout d'abord, il est nécessaire d'Intégrer dans les contrats informatiques la possibilité de les auditer et les textes réglementaires applicables. Ensuite, il est important de connaitre la réglementation en vigueur et les guides concernant l’intégrité des données et la validation des systèmes informatisés - voir liste non exhaustive ci-dessous
De ces réglementations, il en découle 13 standards :
L'agenda d'audit sera adaptée à la structure auditée – voir ci-dessous
- Système de management de la qualité (SMQ)
- Système documentaire (manuel qualité, procédures, instructions de travail)
- Accord formel (contrat, cahier des charges, etc..)
- Qualification du personnel
- Exigences et spécifications
- Management du risque
- Développement et test
- Installation et Infrastructure
- Traçabilité
- Incident et change control
- Contrôle des accès
- Intégrité des données
- Disponibilités
L'agenda d'audit sera adaptée à la structure auditée – voir ci-dessous
Par exemple, vous auditerez uniquement pour :
Vous déterminerez la fréquence, le type d’audit (postal ou présentiel),et les priorités sur la base d'une analyse de risque.
- un vendeur de solution informatique : Quality Management System, Formal Agreement, Development & testing, Incident & change control,
- et pour un fournisseur de solution cloud Saas : tous les points indiqués dans notre tableau ci-dessus
Vous déterminerez la fréquence, le type d’audit (postal ou présentiel),et les priorités sur la base d'une analyse de risque.
Le planning des audits peut se définir en fonction des éléments factuels et historiques enregistrés, tels que : réalisation ou non du plan d’audits de l’année n-1, incidents/anomalies, nombre de litiges et/ou réclamations, résultats des audits précédents, criticité du processus sous-traité, etc.
La conduite de l’audit se fera en 5 étapes :
En bref :
1- Intégrer dans les contrats informatiques la possibilité d’auditer vos prestataires informatiques et les textes réglementaires applicables.
2- Connaitre la réglementation en vigueur et les guides concernant l’intégrité des données et la validation des systèmes informatisés pour une montée en compétences de votre personnel.
3- Mettre en place une analyse des risques pour déterminer le plan d’audit et rédiger vos procédures.
4- Auditer vos prestataires et suivre les CAPAs jusqu’à leurs clôtures
La conduite de l’audit se fera en 5 étapes :
- Réunion d’ouverture : Lors de la réunion d’ouverture, le plan d’audit est lu intégralement et reprécisé par l’auditeur. Il s’assure également de l’acceptation de celui-ci par l’audité et de la disponibilité des ressources. Un enregistrement des personnes présentes est également réalisé.
- Audit : L’audit est alors réalisé sur la base de documents référentiels en vigueur et/ou questionnaires de pré-audit et/ou de directives globales de votre entreprise. Les constats et preuves sont recueillis tout au long des entretiens avec les audités et visites sur sites. Ils doivent être le reflet concret des observations réalisées et de l’examen des documents disponibles.
- Réunion de clôture : À l’issue de l’audit, une réunion de clôture réunissant les principales personnes ayant participé à l’audit est organisée. L’auditeur fait ses remerciements, expose les points positifs, énumère et commente les écarts faits lors de l’audit ainsi que ses conclusions. Cette réunion est menée et clôturée par le Responsable d’audit
- Rapport d’audit : Un rapport d’audit est ensuite rédigé par le Responsable de l’Audit. Ce rapport est formalisé sous une forme écrite, complète, précise, concise et claire. La classification des écarts et les délais de réponse sont rappelés dans le rapport.
- Diffusion, clôture du rapport et archivage : Le Responsable de l’audit diffuse le Rapport de l’audit, approuve les CAPAs proposés par les audités puis clôture l’audit après avoir vérifié que toutes les CAPAs ont été mises en place par les audités. Enfin, il faut savoir que le suivi des CAPAs jusqu'à leurs clôtures est l'aspect le plus long de l'audit. N'abandonnez jamais !
En bref :
1- Intégrer dans les contrats informatiques la possibilité d’auditer vos prestataires informatiques et les textes réglementaires applicables.
2- Connaitre la réglementation en vigueur et les guides concernant l’intégrité des données et la validation des systèmes informatisés pour une montée en compétences de votre personnel.
3- Mettre en place une analyse des risques pour déterminer le plan d’audit et rédiger vos procédures.
4- Auditer vos prestataires et suivre les CAPAs jusqu’à leurs clôtures