QRM의 3단계 – 검사관의 시각
의약품 산업에서 품질위험관리(QRM)는 점점 더 많은 GxP 규제 분야에서 필수적인 도구로 요구되고 있다. QRM의 적용 범위는 매우 복잡하며, 의약품의 전체 생애 주기를 포괄한다.
이러한 시스템의 구현은 품질경영시스템(QMS)과 밀접하게 연계되어 있다.
figure 1: The QRM process according to ICH Q9(R1)
QRM 프로세스는 위험 평가(risk assessment)로 시작되며, 이는 위험의 식별, 분석 및 평가 단계를 포함한다(그림 1 참조).
이 첫 번째 단계의 결과는 위험을 관리하기 위한 조치를 결정하는 위험 통제(risk control)의 기초가 된다. 이 단계에서는 위험 최소화가 우선이며, 이후 남아 있는 위험(residual risk)에 대한 수용이 이루어진다.
위험을 줄이기 위한 조치의 시행과 회사 내에서의 전체 결과 전달은 QRM 프로세스를 일단락 짓는다.
마지막으로, 이전 결과 및 평가의 정기적인 검토가 QRM 프로세스의 생애 주기를 완성한다. (위험 검토 risk review)
위험 평가
Figure 2: The three elements of risk assessment according to ICH Q9(R1)
What is risk assessment? |
Risk assessment consists of the identification of hazards and the analysis and evaluation of risks associated with exposure to those hazards. It consists of the following sub-steps: |
• Hazard identification is the systematic use of information to identify potential sources of harm (hazards) referring to the risk question or problem description. 위해요소 식별(hazard identification): 위해를 유발할 수 있는 잠재적 요인을 체계적으로 식별함. |
• Risk analysis is the estimation of the risk associated with the identified hazards. It is the qualitative or quantitative process of linking the likelihood of occurrence and severity of harms. 위험 분석(risk analysis): 위해요소의 발생 가능성과 심각도를 연결하여 위험 수준을 정량적/정성적으로 추정함. |
• Risk evaluation is a comparison of the estimated risk to given risk criteria using a quantitative or qualitative scale to determine the significance of the risk. 위험 평가(risk evaluation): 추정된 위험을 기준과 비교하여 위험의 중요성을 판단함. |
핵심은 ‘적절한 팀 구성’
위험 평가 주제가 명확하게 정의되면(위험 질문 또는 문제 정의), 이를 수행할 팀이 구성된다. 자원이 부족하다는 이유로 개인이 전반적인 위험 평가를 수행하는 것은 적절하지 않으며 효과적이지도 않다.
잠재적 위해요소를 최대한 포괄적으로 식별하고, 관련된 위험을 정확히 분석·평가하기 위해서는 다학제적 팀 구성이 필수적이다.
팀원의 전문성과 위험 분석/평가 경험, 그리고 팀워크와 소통 능력은 효과적인 QRM 수행의 핵심이다.
팀 구성 방식 예시:
이 중 어떤 방식을 택할지는 회사 재량이나, 그 절차는 명확히 정의되어야 한다.
1단계: 위해요소 식별
위험 평가의 대상이 명확히 설정되면, 그에 따른 위해요소 식별이 시작된다. 이를 위해 프로세스나 설비를 단계별로 세분화하여 각각을 상세히 분석함으로써, 일반적이고 추상적인 접근보다 더 구체적이고 정밀한 위해요소 식별이 가능하다.
2단계: 위험 분석 및 평가
위해요소 식별이 가능한 모든 위해요소(이론적이든 실제든)를 찾는 것이라면, 위험 분석 및 평가는 그중 실제적으로 관리가 필요한 위험을 선별하는 단계이다.
GMP 규정에서는 특정 분석 방법을 강제하지 않으며, 기업은 다음과 같은 접근이 가능하다.
중요한 점: 사용 방법은 QMS 내에서 정해진 기준에 따라야 하며, 그 선택은 명확히 정당화되어야 한다.
객관성이 핵심이다
리스크 관리는 리스크에 대한 체계적인 접근을 의미한다. 따라서 사용되는 방법 및 절차의 선택뿐만 아니라, 리스크 평가의 기반이 되는 사용 가능한 데이터의 성격과 범위 또한 결과에 결정적인 영향을 미친다. 과학적 근거에 기반한 접근은 이러한 요구사항에 부합하며, 이러한 평가는 기존 데이터, 트렌드 등을 기반으로 정당화 가능해야 하며, 이들과 동떨어져 있어서는 안 된다. 리스크 평가와 관련하여 특히 자주 관찰되는 한 가지 단점은 유사한 리스크가 서로 다른 사안에서 근거 없이 다르게 분류된다는 점이다.
| Unsubstantiated decisions made "on a gut feeling" do not meet the requirements of systematic procedure and scientific rigor. |
개정된 ICH Q9(R1) 문서에서 새롭게 추가된 5.3장은 QRM 프로세스에서의 주관성의 영향에 대해 다루고 있다. 주관적인 판단이나 편견이 반영된 개별 리스크 평가는 객관적인 관점과는 다른 결과를 초래할 수 있다.
QRM에서 주관성을 완전히 배제하는 것은 불가능하다. 따라서 QRM 프로세스에 참여하는 모든 사람은 이해관계에 의해 발생할 수 있는 행동을 인지하고 예측하며 이를 해결함으로써, QRM에서 주관성이 미치는 영향을 최소화하는 것을 명확한 목표로 삼아야 한다.
리스크 관리(Risk Control)
Figure 3: Definition of risk control according to ICH Q9(R1)
What is risk control? |
Risk control is the actions taken to implement risk management decisions. It encompasses the following phases: |
Risk reduction: actions taken to lessen the probability of occurrence of harm and the severity of that harm. |
Risk acceptance: an informed decision to take a particular risk. (ISO Guide 73:2009) |
이 단계에서 제약회사는 해당 리스크를 적절한 방식으로 어떻게 처리할 것인지 결정해야 한다. 이를 위한 기반은 위해 요소의 식별과 관련 위험의 평가, 필요시에는 위험의 정량화이다.
리스크 관리의 목적은 새로운 위험을 초래하지 않으면서 대상(공정, 장비, 시설, 의약품 공급 등)에 대해 존재하는 위험을 줄이는 것이다.
여전히 존재하지만 더 이상 영향을 줄 수 없는 리스크는 "잔여 리스크(residual risks)"라고 한다(그림 4 참조).
Figure 4: What is a residual risk?
What is residual risk? |
Residual risk
(Source: DIN EN ISO 12100:2010) |
리스크는 위해 발생 가능성과 그 위해의 심각도가 결합된 개념이다. 이론적으로는 심각도에 영향을 줄 수 있다고 보지만 (심각도를 감소시키는 것이 가능하다고 보지만), 실제로는 그 가능성이 낮다고 여겨진다.
이 두 요소 외에도, 위해 요소의 검출 가능성 역시 리스크의 정도에 결정적인 영향을 미친다.
1단계: 리스크 저감
리스크 저감 단계에서는 다음을 위해 적절한 조치를 정의한다:
• 리스크를 제거하거나,
• 회피하거나,
• 최소화하거나,
• 통제한다.
이는 위해 발생 가능성을 낮추거나, 위해 및 품질 리스크의 검출 가능성을 높이는 방식으로 달성할 수 있다.
위해 요소와 품질 리스크의 검출 가능성을 향상시키는 프로세스 또한 리스크 통제 전략에 통합될 수 있다.
조치를 정의할 때는, 해당 조치가 목적에 적합한지, 그리고 중요한 관리 지점이나 원인에 실제로 원하는 방식으로 영향을 미치는지를 확인하는 것이 매우 중요하다.
정의된 조치는 QMS(품질경영시스템)의 기준에 따라 계획되어야 하며, 필요 시 우선순위를 설정해야 한다. 해당 조치의 적시 이행 여부도 반드시 모니터링해야 한다.
리스크 저감 조치는 일반적으로 위해 발생 가능성을 줄이거나 검출 가능성을 높이는 것을 목표로 한다.
계획되었거나 이행된 리스크 저감 조치를 바탕으로, 잔여 리스크(residual risk)를 재평가하고, 리스크 수용 기준과 비교한다.
그러나 리스크 저감은 “어떤 대가를 치르더라도 조치를 취해야 한다”는 의미가 아니다. 오히려, 리스크 통제를 위한 노력은 해당 리스크의 중대성에 비례해야 한다 (GMP Compliance Adviser 1.1.4.2절 참조).
결정된 사항을 실행하는 과정에서, 원하는 결과가 달성되었는지 그리고 해당 조치가 새로운 리스크를 발생시켜 프로세스에 도입했는지 여부를 반드시 확인해야 한다.
절차와 결과, 그리고 필요한 후속 조치는 당연히 문서화되어야 한다.
| A complete exclusion of all risks is a goal that is unrealistic to achieve. On the contrary, a certain level of imponderables cannot be further reduced. A residual risk remains. |
2단계: 리스크 수용
리스크 저감 단계에 이어 리스크 수용 단계가 진행된다. 이를 위해, 리스크 관리 프로세스의 다른 모든 단계와 마찬가지로 의사결정 기준이 정의되어야 한다.
리스크 수용 단계는 리스크 평가 프로세스와 그 결과에 대한 규제된 처리를 마무리한다. 그러나 이것이 일회성 절차임을 의미하지는 않는다. QRM의 생애주기 동안 새로운 정보가 나타날 수 있다. 지식이나 이해의 변화는 우선 이전의 리스크 평가를 재검토하는 것을 의미한다. 만약 새로운 리스크가 확인되거나 특성에 변화가 있을 경우, 리스크 관리 절차는 새로운 상황에 맞게 조정되어야 한다.
리스크 검토
Figure 5: Definition of risk review according to ICH Q9(R1)
What is risk review? |
Risk review involves reviewing and monitoring the conclusions and results of the risk management process and, if necessary, taking into account new findings about or experience with the risk. |
리스크 검토는 리스크 관리 프로세스의 결론과 결과를 검토하고 모니터링하며, 필요할 경우 리스크에 관한 새로운 발견이나 경험을 반영하는 것을 포함한다.
품질 리스크 관리는 의약품의 품질을 보장하고 잠재적인 공급 부족을 방지하기 위해 오류와 유해 사건을 최소화하는 역할을 한다. 이로 인해 QRM은 모든 제약회사의 정책에서 근본적인 요소가 된다. QRM을 일회성 활동으로 보지 않고, 시간의 흐름과 이에 따른 지식 및 경험의 변화를 반영하는 것이 매우 중요하다.
이러한 배경에서, 기업들은 모든 리스크 평가 결과가 최신이며 적절한지 정기적으로 검토하는 데 이해관계를 가져야 한다. 이 검토는 자체 점검, 경영 검토, PQR(제품 품질 검토) 등의 평가 도구를 사용하거나 개별적으로 정의된 절차를 따르는 방식으로 수행할 수 있으며, 방법은 각 기업에 달려 있다.
리스크 모니터링의 목적은 리스크 관리 시스템의 효과성을 점검하고 평가하며 QRM 시스템의 성능을 확인하는 데 있다. 만약 부족한 점이 발견되면, 그 성능을 완전히 회복하기 위한 적절한 조치가 요구된다.
이 내용은 온라인 포털인 GMP Compliance Adviser에 수록된 GMP 지식의 일부로, 유럽을 중심으로 하면서도 미국, 일본 등 다양한 국가(PIC/S, ICH, WHO 등)의 GMP 우수 사례 및 규정을 심도 있게 제공한다.
