ICH Q9 (R1) e gestão de risco de qualidade na prática

O framework que sustenta toda a abordagem moderna de CSV baseada em risco — com as ferramentas certas pra cada situação.

ICH Q9 (Quality Risk Management) é provavelmente o documento mais influente da última década pra farma regulada. Publicado em 2005 e atualizado em 2023 (R1), ele estabeleceu uma forma sistemática de tratar risco como elemento central — não periférico — de toda decisão de qualidade. RDC 658, GAMP 5, Annex 11 e até FDA cGMP foram redesenhados ao longo dos anos pra ficarem alinhados com Q9. Quem entende Q9 entende a lógica por trás de todas essas normas.

Esse artigo destrincha o framework e as ferramentas, com foco em quando usar cada uma. Não é teórico — é o que você precisa pra abrir uma avaliação de risco que sobreviva à auditoria.

O princípio: risco é função de probabilidade × severidade × detectabilidade

Q9 define risco como a combinação de duas variáveis: severidade do dano potencial × probabilidade da ocorrência. Em algumas ferramentas (FMEA), adiciona-se detectabilidade. O importante: risco não é sentimento — é uma conta documentável. Pode ser qualitativa (alto/médio/baixo) ou quantitativa (escala 1-5 em cada eixo).

O dano relevante em farma é sempre o dano ao paciente — direto (intoxicação, ineficácia) ou indireto (falta de medicamento, dados falsos em pesquisa). Risco operacional ou financeiro não pode pesar mais que risco ao paciente.

O processo padrão de QRM

1. Risk Assessment: identificar o risco, analisar (severidade + probabilidade), avaliar (priorizar).
2. Risk Control: definir ações de redução (eliminar, mitigar, transferir, aceitar com controle).
3. Risk Communication: documentar e compartilhar com partes interessadas.
4. Risk Review: revisar periodicamente — risco não é estático.

Toda decisão de qualidade que envolva risco GxP deveria passar por esse ciclo. Avaliação de impacto de mudança, análise de causa-raiz de desvio, qualificação de fornecedor, validação de sistema — todos são aplicações de QRM.

As 6 ferramentas mais usadas (e quando usar cada)

1. 5-porquês

Quando: análise rápida de causa-raiz de desvio simples. Pergunta "por que?" cinco vezes até chegar à raiz estrutural.

Quando não: problemas complexos com múltiplas causas. 5-porquês mal feito para no segundo "por quê" e aceita "erro humano" como raiz.

2. Ishikawa (Espinha de Peixe)

Quando: brainstorm de causas potenciais quando há múltiplas dimensões (Pessoas, Processo, Equipamento, Material, Método, Meio Ambiente). Útil em equipe.

Quando não: quando você precisa de priorização quantitativa ou de análise de detectabilidade.

3. FMEA (Failure Mode and Effects Analysis)

Quando: avaliação sistemática de modos de falha em processo, equipamento ou sistema. Gera RPN (Risk Priority Number) = severidade × probabilidade × detectabilidade.

Quando não: problemas urgentes — FMEA dá trabalho. Use em projeto novo, validação, qualificação.

4. HAZOP (Hazard and Operability)

Quando: análise estruturada de processo complexo, especialmente produção. Usa "palavras-guia" (NÃO, MAIS, MENOS, etc.) sistematicamente.

Quando não: sistemas simples ou problemas isolados.

5. FTA (Fault Tree Analysis)

Quando: partir de um evento indesejado e mapear hierarquicamente as causas em árvore. Bom pra investigação profunda de incidente grave.

Quando não: análise preventiva ampla — FTA é reativa.

6. Risk Ranking and Filtering

Quando: priorizar muitos itens (ex.: lista de fornecedores, lista de sistemas, lista de SOPs) pra decidir o que merece esforço de validação/qualificação mais alto.

Aplicado a CSV: a abordagem GAMP 5

GAMP 5 (2ª ed.) é o exemplo mais maduro de QRM aplicada a sistemas. A categorização (Cat 1-5), a profundidade de validação proporcional à criticidade, a definição de testes priorizados por impacto — tudo é Q9 aplicado. Quem rodou validação seguindo GAMP 5 já fez QRM, mesmo sem chamar pelo nome.