SAP-Validierung in der Pharmaindustrie
16.12.2012 -
SAP-Validierung in der Pharmaindustrie - Geschäftsprozesse bilden die Basis für Implementierung und Validierung. Die regulatorischen Anforderungen bezüglich der Validierung von ERP-Systemen sind in den letzten Jahren mehr und mehr gestiegen.
Innerhalb der pharmazeutischen Industrie rücken deshalb auch die elektronischen Systeme bei Inspektionen verstärkt in den Fokus. Denn jedes Computer-System, das bei der Planung, Produktion, Qualitätskontrolle und Qualitätssicherung zum Einsatz kommt, ist validierungsrelevant.
CHEManager sprach mit Frank Wallrafen, Manager Core Service „Compliance" beim Beratungsunternehmen DHC in Saarbrücken.
Das Gespräch führte Dr. Michael Klinge.
CHEManager: Herr Wallrafen, was ist bei der Implementierung von ERP-Systemen hinsichtlich der Validierung generell zu beachten?
F. Wallrafen: Die Basis für eine Systemimplementierung und Validierung bilden die Geschäftsprozesse. Hierfür ist es erforderlich, dass die entsprechenden Prozesse und Funktionen innerhalb des Unternehmens oder der Organisationsstruktur definiert sind. Doch da fängt es meist schon an.
In der Realität ist es häufig so, dass ein Unternehmen zwar Prozesse hat und kennt, aber letztlich keinen Überblick hat, welche Detailprozesse tatsächlich vorhanden sind. Oftmals ist es so, dass jeder Bereich seine Prozesse kennt, aber diese letztlich nicht oder nur unzureichend dokumentiert hat.
Dies führt automatisch dazu, dass die Prozessübersicht und das Prozesswissen im Unternehmen auseinander driften. Dies wiederum kann bei einer SAPImplementierung zu großen Schwierigkeiten führen.
Hier ist immer die entscheidende Frage: Passt mein Prozess ins System oder muss ich meinen Prozess dem System anpassen? Wie so oft, liegt die Antwort irgendwo in der Mitte. Die Implementierung eines ERP-Systems, wie SAP, bringt sowohl positive als auch negative Aspekte mit sich.
Teilweise müssen die vorhandenen Prozesse und Strukturen überarbeitet werden. Klassisch sind die Fragen: Welches System ist das führende System: Papier oder das SAP-System? In der Regel ist immer das SAP-System der Master, also das führende System, da die Materialbewegungen nach der Freigabe automatisiert erfolgt.
Dies ist für viele eine Umstellung innerhalb ihres Prozesses. Daraus abgeleitet, also aus der Master-Definition, ergeben sich direkte Anforderungen an das System. Stichworte wie Audit-Trail oder elektronische Signatur bedürfen der besonderen Erwähnung.
Sollte mein Unternehmen am amerikanischen Markt tätig sein, muss ich die FDA darüber informieren, dass ich beabsichtige eine elektronische Signatur zu verwenden. Sollte ich dies bewusst oder unbewusst unterlassen, könnte dies im Falle eines Audits zu Komplikationen führen.
Grundlage für die Verwendung der Signatur ist ein validiertes System. Ist das System ordnungsgemäß validiert, aber die Meldung noch nicht an die FDA versendet worden, gelten alle Unterschriften im System als nicht geleistet. Und was dies für ein Unternehmen bedeutet, brauche ich hier nicht zu erwähnen.
Bezüglich der Validierung eines SAP-Systems ist der rein funktionsorientierte Ansatz immer mehr durch den prozessorientierten Ansatz ersetzt worden. Das bedeutet, es muss eine klare Definition und ein Verständnis der Prozesse im Unternehmen vorhanden sein.
Ein ERP-System hat viele unterschiedliche Aufgaben und ist dementsprechend komplex. Ein solches System stellt bzw. sollte die entsprechenden unternehmerischen Prozesse darstellen.
Da nicht alle Bereiche/ Prozesse, z. B. Finanzen & Controlling, GxP-relevant sind, ist eine entsprechende Vorgehensweise zu definieren, die die Anforderungen bezüglich der „Compliance" und der wirtschaftlichen Aspekte genüge tut.
Welches Vorgehensmodell empfehlen Sie der pharmazeutischen Industrie?
F. Wallrafen: Die Herausforderung heutzutage ist es, eine SAP-Einführung und Validierung im regulierten Umfeld kostengünstig, schnell und mit einem vertretbaren Aufwand durchzuführen.
Bei der Implementierung und Validierung von SAP-Systemen sollte daher ein Vorgehensmodell verwendet werden, dass als Grundlage die Prozesssicht hat. Beratungsunternehmen wie DHC bieten hierzu spezielle Referenzmodelle, die auf Basis von „Best Practice" Wissen, eine schnelle Prozessaufnahme bzw. -abgleich erlauben. Eine solche Prozessbeschreibung erfolgt in drei Ebenen.
„Ein gut definiertes Testmanagement reduziert den Testaufwand und Kosten" Die erste Ebene stellt die so genannte „process landscape" des Unternehmens dar (Wertschöpfungskette). Die zweite Ebene stellt die „Business Processes" dar. Hier werden weitestgehend die Geschäftsprozesse abgebildet und entsprechenden (organisatorischen) Schnittstellen definiert und ungesetzt.
Auf der untersten Ebene werden die einzelnen Funktionen des Systems betrachtet und entsprechend den Anforderungen innerhalb des Systems umgesetzt. (Abb. 1). Leider ist dies in vielen Unternehmen heute noch nicht klar strukturiert bzw. etabliert. Durch die Verwendung von Referenzprozessen lassen sich somit Implementierungs- und Validierungsaufwände signifikant senken.
So ist zum Beispiel die GxP-Relevanz anhand der Prozessdarstellungen und Beschreibungen einfach und sicher zu bewerten. Auf Basis dieser Betrachtung können die für die Validierung relevanten Prozesse definiert werden. Die Grundlage der Validierung stellt das so genannte "V-Modell" dar, das den Zyklus der Validierung verdeutlicht (Abb. 2).
Das V-Model ist sicherlich ein brauchbares Vorgehensmodell für die Softwarevalidierung, aber es muss auf die Anforderungen des ERP-Systems angepasst und prozessorientiert angewandt werden. Die DHC hat dazu eine Vorgehensweise entwickelt und das V-Modell entsprechend.
Damit sind wir in der Lage, externe Aufwände, interne Ressourcenbindung und somit die Gesamtkosten für Implementierung und Validierung deutlich zu senken. Dies zeigt sich nicht nur in der reinen Projektphase, sondern wirkt sich insbesondere im Betrieb des Systems (Stichwort: Change Control) kostendämpfend aus.
Was halten Sie in diesem Zusammenhang vom so genannten „Risk Based Approach"?
F. Wallrafen: Dies ist in der Tat ein wichtiger Aspekt bei der Anpassung bzw. innerhalb der Validierung. Bei der Betrachtung der GxP-Risikopotentiale innerhalb eines Prozesses werden besonders die System- und funktionsorientierten Prozesse betrachtet.
Dies erfolgt teilweise bis auf Daten- und/oder Feldebene. Die Prozesse auf den oberen Ebenen stellen die Grundlage für die benötigten Integrationstests dar. Aus dem Risk Based Approach Ansatz lassen sich somit für das System sinnvolle und vertretbare Maßnahmen ableiten und dementsprechend Aufwände reduzieren.
Wie baut man ein sinnvolles Testmanagement auf?
F. Wallrafen: Das ist ein spannender Aspekt, der in der Praxis oft vernachlässigt wird. Testmanagement ist ein leidiges Thema. Keiner kann so richtig etwas damit anfangen. Welche Tests sind erforderlich? Wie tief muss ich testen?
Aber genau hier ist meist der Knackpunkt, was den Zeitbedarf einer Validierung anbelangt. Aus diesem Grund ist es wichtig, ein auf die Firma abgestimmtes Testframework zu erstellen. Alles zu testen ergibt keinen Sinn. Hier sind besonders die Compliance Aspekte von Bedeutung.
Wie teste ich sinnvoll mein ERES1 Assessment. Hier haben viele „Köche" unterschiedliche Rezepte. Ein gut definiertes Testmanagement reduziert den Testaufwand und Kosten. Hierzu ist es erforderlich, dass die Testziele gut formuliert werden, die einzelnen Testphasen aufeinander abgestimmt sind und es zu wenigen redundanten Tests kommt.
Hier sind folgende Punkte besonders zu beachten: Wie werden die Testspezifikationen hinsichtlich Wiederverwendbarkeit erstellt? Wie werden die Stammdaten einbezogen (Stammdatenmanagement)? Welche Testvoraussetzungen können definiert werden? Es kann durchaus sinnvoll sein Testtool, wie z. B. eCatt2 einzusetzen.
Hier ist zwar ein etwas höherer Erstellungsaufwand zu beachten, dieser amortisiert sich jedoch recht schnell im Rahmen des Change Controls bzw. beim wiederholten Testen, falls erforderlich (z. B. Roll- Out). Die Testphase ist die personell intensivste Phase der Validierung.
Daher sollte man sich ausreichend Gedanken über ein gutes Testmanagement machen, da hier ein hohes Einsparpotenzial vorhanden ist.
Wird man sich auch mit dem Thema SOA3 (Service Oriented Architecture) befassen müssen?
F. Wallrafen: Ja, ganz sicher. Auch hier kann das angepasste Vorgehensmodell eingesetzt werden. Denn bei einer SOA stehen ebenfalls die Prozesse im Vordergrund. Hier wird die Herausforderung darin bestehen, so genannte „Services" zu validieren. Diese stellen eine komplexe Einheit dar, die entsprechend betrachtet werden muss.
Der zukünftige Validierungsansatz mit SOA wird sich insoweit zu heute unterscheiden, dass wir Services betrachten und im Gegensatz zu heute nur einmal das Frontend. Dieses wird sich nicht wesentlich ändern, solange ich meine Prozesse nicht gravierend ändere. Dies verdeutlicht aber auch, dass sich das Unternehmen recht früh mit dieser Thematik auseinander zusetzten muss, damit ein Verständnis für solche Dinge vorhanden ist.
- ERES - Electronic Records / Electronic Signatures
- eCatt = extended Computer Aided Test Tool
- SOA : Eine Anwendungsarchitektur, in der alle Funktionen als unabhängige Services mit wohldefinierten, aufrufbaren Schnittstellen vorliegen, so dass eine Auswahl - in einer sinnvollen Reihenfolge aufgerufen - einen Geschäftsprozess abdecken
Kontakt:
Frank Wallrafen
DHC GmbH
Saarbrücken
Tel.: 0681/936660
Fax: 0681/93666-33
frank.wallrafen@dhc-gmbh.com