G-PDR8S3N2ZG
top of page

5 erreurs courantes dans la validation de système ERP

Photo du rédacteur: Frederic LandryFrederic Landry

Un système ERP (Enterprise Resource Planning / Progiciel de gestion intégré) est une technologie critique et complexe qui a des impacts opérationnels massifs. Avec une sélection judicieuse et la mise en œuvre appropriée d'un système ERP, des opérations efficaces et efficientes sont soutenues. L'inverse peut également être ressenti à partir de systèmes ERP mal choisis ou mis en œuvre. Cependant, les systèmes ERP sont souvent injustement blâmés pour des problèmes liés à une approche de sélection ou de mise en œuvre déficiente.

Certains de ces problèmes peuvent être atténués, voire complètement évités, grâce à une solide stratégie de validation du système informatique (CSV).


Le blog actuel détaille 5 erreurs risquées et courantes liées à la validation des systèmes ERP.


1. Absence d'une vue holistique du système

Une question trompeuse et simple à laquelle il est souvent difficile de répondre est la suivante: "Quel est votre système ERP?" Cela peut être une question difficile car les systèmes ERP sont souvent un amalgame d'éléments qui peuvent être combinés de différentes manières… Ils peuvent être déployés sur site ou dans le cloud. Ils peuvent inclure une grande variété de modules et de fonctionnalités prêts à l'emploi. Ils peuvent utiliser des sous-systèmes pour la gestion des codes-barres, des étiquettes, des Master Batch Records (MBR) ou des Master Device Records (MDR). Ils peuvent s'interfacer avec d'autres systèmes (CRM, MES et QMS, pour n'en nommer que quelques-uns). Il n'y a tout simplement aucune loi définissant ce que devrait être votre système et il vous incombe de le faire.


Ces choix d'architecture, de configuration ou d'intégration ERP peuvent tous avoir un impact sur votre effort de validation. Sans une image claire du système et de sa portée, il est extrêmement difficile d'assurer une couverture complète du système tout en évitant un travail redondant.


Trop souvent, les organisations s'efforcent de valider rapidement un système qui n'a jamais été clairement défini. Heureusement pour nous, la création d'un document de description du système peut aider à peindre cette image essentielle et ISPE, GAMP 5 comprend une section que vous pouvez utiliser pour vous aider à construire un tel document.


2. Ne pas suivre une approche de validation basée sur les risques

Si vous êtes familier avec la validation de système informatique (CSV) dans le secteur des sciences de la vie, vous êtes à l'aise avec une approche de validation basée sur les risques. En une phrase, adopter une approche basée sur les risques signifie que vous devez évaluer les utilisations de votre système en rapport aux risques posés à la sécurité des patients, à la qualité des produits et à l'intégrité des données. ISPE, GAMP 5 est un cadre reconnu par l'industrie qui explique comment cela peut être fait, mais il est malheureusement trop souvent mal mis en œuvre ou pire encore, ignoré.

Bien qu'une évaluation des risques ERP soit une activité de longue durée, elle est nécessaire. Passer trop de temps à tester et à documenter les éléments à faible risque d'un système, pour des raisons de documentation, ajoute un travail d'une valeur douteuse qu'une évaluation solide des risques peut aider à éliminer. Une évaluation des risques peut également aider à identifier les exigences ou les fonctionnalités manquantes qui pourraient empêcher, par exemple, des rappels mettant la santé en danger.


3. Processus d'évaluation des fournisseurs inadéquat

Déployer et valider un système ERP est une entreprise importante. Que vous soyez un sous-traitant de petits dispositifs médicaux ou une grande organisation pharmaceutique, ignorer le besoin de faire preuve de diligence raisonnable avec votre fournisseur ERP est une autre erreur courante.


Évaluer un fournisseur de services informatiques potentiel avant de le contracter est inhérent à un bon processus de vérification raisonnable. Le but de cette évaluation est d'évaluer le(s) risque(s) associé(s) à l'utilisation de ce fournisseur par rapport aux contrôles mis en place pour développer, livrer et maintenir ses offres de produits/services. Voici quelques-unes des questions auxquelles une bonne évaluation de fournisseur devrait répondre:

  • Pouvez-vous vous fier aux processus internes du fournisseur pour vous fournir un système de haute qualité?

  • Pouvez-vous compter sur le cycle de vie du développement logiciel (SDLC) du fournisseur pour vous fournir ce niveau de qualité en ce concerne les futures mises à jour et personnalisations du système?

  • Existe-t-il une documentation du fournisseur ou des programmes de formation applicables disponibles pour soutenir vos utilisateurs?

  • Le système du fournisseur a-t-il été développé et testé en tenant compte de vos exigences réglementaires?


Avoir ces réponses vous permettra non seulement d'atténuer les risques potentiels de se lancer en affaires avec ce nouveau fournisseur, mais cela vous permettra également d'adapter votre stratégie de validation pour travailler en cohésion avec les spécificités des produits ou services de votre fournisseur.


Si vous avez un système ERP intégré, vous pensez peut-être que cette erreur ne peut pas s'appliquer à vous, mais elle le fait de nombreuses manières auxquelles vous ne pensez pas. En fonction de votre scénario particulier, une évaluation du fournisseur peut ne pas être le bon outil pour le travail, mais cela ne signifie pas que vous devez éviter de prêter une attention particulière à vos opérations internes et au niveau de support qui sera attendu de votre base d'utilisateurs, eux qui suivent essentiellement les mêmes principes que ceux présentés ci-dessus.


4. Processus opérationnels clés manquants pour gérer les systèmes validés

Nous avons couvert l'importance d'évaluer votre fournisseur ERP, mais compte tenu du fait qu'il incombe à l'organisation utilisant le système ERP et non au fournisseur ERP lui-même, de valider le système, le manque de processus internes clés est une autre erreur courante potentielle. En fonction du niveau de maturité des processus d'une organisation, ce problème se présente dans l'une des trois grandes catégories de processus: Assurance Qualité générale (AQ), gestion des Technologies de l'Information (TI) et utilisation du système ERP.


Sans trop entrer dans les détails, les problèmes rencontrés dans les processus d'AQ touchent généralement les pratiques internes de gestion des enregistrements électroniques, des signatures électroniques et de la formation aux employés.

La gestion informatique comprend des processus qui prennent en charge la gestion des systèmes eux-mêmes, tels que:


  • Validation du système informatique (CSV)

  • Sécurité physique / logique

  • Maintenance du système

  • Sauvegarde et récupération

  • Continuité de l'activité

  • Contrôle des changements de système

  • La gestion des incidents


Les processus d'utilisation du système ERP sont ceux qui définissent la manière dont les utilisateurs doivent interagir avec le système. Des exemples d'utilisation du système peuvent inclure des procédures décrivant comment saisir une commande client, rejeter un produit défectueux ou émettre une commande en atelier.


5. Non-qualification de l'infrastructure réseau

Un élément souvent ignoré de la validation d'un système ERP est la criticité de ses éléments d'infrastructure réseau. Les décisions de conception et de mise en œuvre concernant l'infrastructure réseau ont un impact direct sur la sécurité, la disponibilité, la vitesse, la fiabilité et l'intégrité des données de tout système pris en charge. Peu importe que votre système ERP soit basé sur le cloud ou sur site, si votre infrastructure n'est pas correctement conçue et mise en œuvre, vous vous exposez à des risques sérieux et inutiles.


Étant donné que votre infrastructure prend probablement en charge plusieurs systèmes, sous-systèmes et applications, il est très judicieux de la qualifier indépendamment de votre effort de validation ERP. Vous pouvez considérer une infrastructure qualifiée comme une condition préalable à un système ERP validé, il n'est pas nécessaire de combiner forcément les deux dans une perspective CSV.


ISPE GAMP® Good Practice Guide: IT Infrastructure Control and Compliance est un document judicieux que vous devriez acquérir si vous recherchez un cadre établi pour la qualification d'infrastructure.


En rétrospective

Une fois qu'un système a été validé et mis en service, il est essentiel de ne pas gâcher ce dur travail en perdant le contrôle. Un plan de suivi et de surveillance solide combiné à de bonnes pratiques de gestion du changement sont des amis inestimables lorsqu'il s'agit d'empêcher que des conséquences involontaires se glissent dans vos opérations quotidiennes. Qu'importe le fait que le respect de ces principes devrait également vous protéger contre la non-conformité.


Les erreurs présentées ci-dessus sont basées sur des preuves empiriques et des années d'expérience personnelle dans l'industrie. J'espère que vous avez trouvé cette information intéressante. N'hésitez pas à partager vos réflexions ou à nous contacter si vous souhaitez en savoir plus sur les solutions qui peuvent vous aider à éviter ces mêmes erreurs.


Références:

  • Ref. [1] ISPE, GAMP® 5 - A Risk-Based Approach to Compliant GxP Computerized Systems, 2008

  • Ref. [2] ISPE GAMP® Good Practice Guide: IT Infrastructure Control and Compliance (Second Edition), 2017

10 vues0 commentaire

Commentaires


bottom of page