اگه امروزه گایدلاین های مختلف رو مطالعه بکنین میبینین که خیلی دارن به این سمت میرن که تصمیم گیری های بیشتری بر اساس انجام عملیات ریسک آنالیز انجام بشه. یعنی در بسیاری از موارد دیگه یک قاعده کلی رو برای همه قائل نیستن که رعایت بشه و این مسئولیت تصمیم گیری روبه عهده اعضای تیم کیفیت یا تولید و یا سایر بخشها میزارن که براساس مدیریت ریسک تصمیم درست رو بگیرن. مثلا اینکه در چه زمانهایی از سیستم آبساز نمونه برداری بشه، هر چند وقت از شرکتهایی که با ما همکاری میکنن بازرسی بشه، آیا تستی روی ماده انجام بشه یا نه؟ و موارد دیگه
اما مطالعه و انجام عملیات ریسک هم اصول و قاعده ای داره که به طور مفصل در گایدلاین ICH Q9 که در سال 2023 هم ویرایش مجدد شده اومده. در این گایدلاین در ابتدا مدیریت ریسک به این صورت تعریف شده مدیریت ریسک یک پروسه سیستماتیک هست که از مراحل زیر تشکیل شده:
ارزیابی ریسک( Risk Assessment)
کنترل ریسک( Risk Control)
انتشار اطلاعات مربوط به ریسک با سایر واحدهای شرکت ( Risk Communication)
بازبینی و مرور ریسک ( Risk Review)
گایدلاین در جدول بالا به طور شماتیک مراحل رو توضیح داده که به نظرم شکل مهمی هست در درک کلی ریسک آنالیز.
نکته ای که در مورد پروسه ریسک آنالیز باید به یاد داشته باشیم این هست که ارزیابی ریسک یک پروسه دائمی هست. یعنی ما به طور مداوم باید درحال ارزیابی مجدد ریسکهای قدیمی و شناسایی ریسک های جدید در شرکت باشیم.
حالا بریم کمی در مورد مراحل ریسک آنالیز که در بالا ذکر کردم بیشتر بدونیم.
1) ارزیابی ریسک ( Risk Assessment):
این بخش شامل 3 مرحله میشه:
شناسایی خطر اولین مرحله هست و یکی از تفاوتهای اصلی نسخه جدید گایدلاین با نسخه قبل هم همین مورده. ما در ورژن جدید کلمه Hazard Identification رو به جای کلمه Risk Identification میبینیم. شناسایی خطر یک مرحله قبل از شناسایی ریسک قرار میگیره. اگه معنای کلمه ریسک رو بدونین شاید براتون بهتر جا میفته. ریسک احتمال بروز خطر( Hazard) هست که میتونه آسیبی ایجاد کنه. پس ما اول باید خطر رو شناسایی کنیم( Hazard Identification) فارغ از اینکه احتمال بروزش چقدر هست یا چقدر میتونه آسیب بزنه.
بعد این خطر رو آنالیز میکنیم که احتمال بروزومیزان آسیبش رو به دست بیاریم ( Risk Analysis) که میشه دومین مرحله. این آنالیز میتونه به صورت کیفی صورت بگیره یا کمی. در هر دو مدل اعضای تیم ریسک شرکت باید در جلسات متعدد ریسک رو بررسی بکنن و به این نتیجه برسن که ریسک بروز خطرات شناسایی شده میتونه زیاد/ متوسط یا کم باشه. یا اینکه بیان و به 3 فاکتور احتمال بروز خطر( probability)، شدت خطر(Severity) و شناسایی خطر هنگام وقوع( Detectability) نمره بدن. برای آنالیز به صورت کمی هم متدهای مختلفی در گایدلاین معرفی میشه که توصیه میکنم حتما بخونین تا بیشتر آشنا بشین.
در مرحله سوم باید ریسک ارزیابی بشه. حالا این یعنی چی و فرقش با مرحله دوم چیه؟ باید بدونیم که شدت و احتمال بروز هر خطری در همه شرکتها یکسان نیست. هر شرکتی براساس استاندارهای داخلی، اهداف، نوع محصولی که تولید میکنه، موقعیت مکانی و خیلی چیزهای دیگه ممکنه احتمال و شدت وقوع یک خطر براش زیاد باشه یا کم. پس باید بعد از شناسایی خطر و آنالیزش، یه بار با استاندارهای شرکت مقایسه و بررسی بشه و بعد درموردش تصمیم گیری بشه که آیا جز گروه پر ریسک قرار داده بشه یا نه.
2) کنترل ریسک ( Risk Control):
حالا به مرحله ای رسیدیم که خطرها رو شناسایی و ارزیابی کردیم. حالا یا به این نتیجه میرسیم که بعضی ریسکها خیلی پرخطر نیستن و میتونیم بپذیدیم ( Risk Acceptance ) یا اینکه پرخطرهستن و باید راهی رو پیشنهاد بدیم که احتمال بروز خطر، یا شدت بروز رو کم کنیم یا راه شناسایی ریسک هنگام وقوعش رو بالا ببریم ( Risk Reduction).
3) مرور ریسک ( Risk Review):
همونطور که گفتم مدیریت ریسک یک پروسه همیشگی هست. یعنی همیشه باید نتایج آنالیز و ارزیابی ریسک بررسی مجدد بشن و ریسکهای جدید شناسایی و ارزیابی بشن. ما در طول فعالیت شرکت در حال یادگیری و بالابردن اطلاعاتمون از فرآیندها هستیم و این موجب میشه نظراتمون در مورد ریسکهای گذشته در حال تغییر باشه و قدرت شناسایی خطرات جدید هم بالا بره. یا ممکنه در طول فعالیت به واسطه عدم انطباقهایی که پیش میاد یا مروری کیفیت محصول به صورت سالیانه( Product Quality Review) یا تغییرات در فرآیند، به این نتیجه برسیم که تغییری در نظراتمون در خصوص ریسکهای قبلی بدیم.
4) انتشار نتایج ریسک ( Risk Communication) :
از این مرحله نباید غافل شد. حتما باید افرادی که ریسکهای شناسایی شده بهشون مربوط میشه در جریان نتایج ارزیابی قرار بگیرن یا در طول ارزیابی از نظراتشون استفاده کارشناسی بشه.
آیا همیشه باید از یک متد برای ارزیابی تمامی ریسکهای شرکت استفاده کرد؟ یعنی اگر متد مرسوم شرکت برای ارزیابی ریسک روش FMEA هست آیا نیازه که همیشه از این روش استفاده بشه؟
نسخه جدید گایدلاین ICH Q9 بیان میکنه که انتخاب روش ارزیابی ریسک میتونه براساس اهمیت اون ریسک، میزان اطلاعاتی که در موردش داریم و پیچیدگی ریسک متفاوت باشه و همیشه هم نیازی نیست از متد های پیچیده و فرمال استفاده کرد. شاید شکل زیر به درک بهتر موضوع کمک کنه:
مسئله دیگه ای که نسخه جدید گایدلاین بهش تاکید داره اینه که ارزیابی ریسک بر اساس تصمیم گیری افراد و حس اونها نسبت به خطر پدیده هاست. مثلا ممکنه یک ریسک از نظر یک فرد احتمال وقوع بالایی داشته باشه از نظر فرد دیگه اینطور نباشه. پس هر فردی دید و نظر مختلف نسبت به خطر داره و همین میتونه روی ارزیابی ها تاثیر بزاره. گایدلاین تاکید داره که تا اونجایی که میشه باید این پدیده که بهش Subjectivity گفته میشه رو کم کرد اما چطور؟ افزایش دانش نسبت به اون ریسک و انتخاب ابزار مناسب برای ارزیابی ریسک. باید دونست که هیچ گاه نمیشه پدیده Subjectivity رو حذف کرد ولی میشه به حداقل رسوند.
همچنین گایدلاین در مورد ریسک کمبود دارو به علت مشکلات کیفی صحبت میکنه که میتونه مشکلات در بازار و تامین دارو برای بیمار ایجاد بکنه. گایدلاین تاکید داره که ارزیابی ریسک یک روش موثر و پیشگیری کننده برای شناسایی خطرات موجود در بخش های مختلف شرکت مثل تولید، آزمایشگاه، انبار، تجهیزات و غیره هست که میتونه به عنوان زنگ خطر تلقی بشه و شرکتها با شناسایی این ریسکها و جلوگیری یا حل اونها مانع ایجاد مشکلات کیفی شدید در خط تولید که موجب تعطیلی خطوط بشه بشن. اگه سری به FDA Warning Letter ها بزنین متوجه میشین که این مشکلات کیفی چقدر میتونه مانع تولید دارو بشه که همین میتونه موجب کمبود دارویی بشه. این موضوع اهمیت ریسک آنالیز رو بسیار زیاد نشون میده. پس حتما آنالیز ریسک رو در شرکت جدی بگیرین و قبلش نسخه جدید گایدلاین رو مطالعه کنین.
