Actualización de un sistema de información global de SAP ECC a S4HANA – Caso de Estudio

por David Bini, PhD, ERP Operations Unit Manager & Senior Associate Partner @PQE Group

Introduction

Actualmente, SAP es la empresa líder en soluciones ERP para medianas y grandes empresas farmacéuticas. Muchas de ellas enfrentan un desafío para identificar una solución para actualizar de SAP ECC a S4HANA como un paso requerido: el soporte de la solución de SAP ECC finalizará en 2025.

La complejidad incorporada del proyecto se debe al impacto mismo del proyecto:

  1. El número de cambios y estratificación de modificaciones durante los años, las cuales incluyen un alto número de n transacciones.
  2. El número de interfaces con equipo de campo (impresoras, dispositivos portátiles) y sistemas (también véase la figura 2);
  3. El número de compañías y procesos diferenciados entre ellos, por ejemplo:
    • 3 plantas de producción farmacéutica
    • 1 planta de producción de API
    • +10 de sitios de distribución alrededor del mundo

SAP ECC fue validado en sus primeras implementaciones y luego en todos los despliegues sucesivos. El ejercicio de validación de S4HANA debería ser ejecutado para mantener el estado validado del sistema.

Operational Technology and Cyber Security must walk hand in hand - int

Enfoque basado en riesgos

  1. El número de riesgos incorporados en el proyecto requieren una fuerte dirección de proyecto, especialmente con respecto al manejo de riesgos que están altamente relacionados con el ciclo de validación, el cual debería ejecutarse para mitigar riesgos en el ambiente de las GxP. El enfoque basado en riesgos es clave y debe ser aplicado al ciclo de vida: Un enfoque basado en riesgos debe ser usado para seleccionar el alcance del proyecto:

    1. El alcance debería ser limitado a la actualización de SAP ECC a S4HANA en un subcontrato de infraestructura de IT “en premisa”: se requiere cualquier posible adopción de la nube para una segunda fase del proyecto;
    2. El enfoque al proceso de actualización del proceso está limitado a las simplificaciones obligatorias que introdujo S4HANA;
    3. Consolidación en un único ciclo de vida de implementación/cambios múltiples y documentación que de 2009 a 2020 constituyó una base de validación débil: un nuevo ciclo de vida solido brindo la ocasión para introducir procesos de cumplimiento como seguridad lógica y revisión de seguimiento de auditoria.

  2. Un enfoque basado en riesgo en la selección del socio (integrador de sistemas) para liderar un proyecto tan complejo y fundamental;
  3. Un enfoque basado en riesgos en la verificación de migración (SUM, SAP Upgrade Manager utilizado para dirigir la actividad)
  4. Un enfoque basado en riesgos en el ejercicio de validación general que enfoque su atención en la personalización afectada por el cambio.

id178graphic1

Figura 1: Arquitectura del Sistema SAP HANA (PRD= ambiente de producción, QUA= Ambiente de calidad, TST= Ambiente de Pruebas, DEV= ambiente de desarrollo)

id178graphic2

Figura 2: Arquitectura de SAP

Entregable de validación del proyecto

El ciclo de vida del proyecto duró 12 meses de implantación, incluida la liberación única en todas las sedes en una solución única.

Los factores clave de éxito fueron la aplicación del concepto de un sistema de información global  (consulta también GAMP5 Guideline: GPG Global information System Control and Compliance, referencia 1y, por lo tanto, toda la estructura del ciclo de vida se basa en una documentación de nivel central que se utiliza como apalancamiento para los siguientes lanzamientos:

id178graphic3

Figura 3: Ciclos de vida de la Validación

 

Evaluación de riesgos funcionales

La piedra anular de todo el ciclo de vida de la validación es la evaluación de riesgos funcionales que pretende impulsar la fase de prueba OQ/PQ para cada sitio en el alcance.

Un enfoque basado en el riesgo incluido en el ciclo de vida de la validación incluye el enfoque FMEA estándar para el enfoque:

  1. Criticidad del proceso (en el sentido de seguridad del paciente, calidad del producto e integridad de los datos);
  2. Ocurrencia (es fundamental centrarse en la complejidad técnica de la actualización, incluidos los casos definidos en la tabla 1);
  3. Detectabilidad

 Tabla 1 

Tipo de transformación  

Razón fundamental

Estándar a estándar (sin modificación funcional

A esta categoría pertenecen todas las transacciones que eran estándar en SAP ECC y se han mantenido como estándar, incluso en el nuevo SAP HANA. Todos los objetos de SAP vinculados a la función también se han mantenido para el nuevo entorno del sistema ERP.

Estándar a estándar (con modificación funcional)

A esta categoría pertenecen todas las transacciones que eran estándar en SAP ECC y han sido reemplazadas por otra función estándar en SAP HANA. El medio ambiente podría verse afectado parcialmente por este cambio, pero las posibles fallas aún son fácilmente detectables.

Volver al estándar

A esta categoría pertenecen todas las transacciones que fueron personalizadas en el SAP ECC y que han sido reemplazadas por una nueva función estándar del sistema SAP HANA. El entorno podría verse muy afectado por este camino y el proceso comercial en el que está involucrada la función puede necesitar una modificación. La capacidad de detección de posibles fallos es inferior a la categoría anterior.

Personalizado a personalizado/ Nuevo personalizado

Esta categoría compleja englobe todas las transacciones que se personalizaron en SAP ECC y que se reemplazaron por una nueva función personalizada o que faltaba en SAP ECC y se crearon desde cero. El entorno se ve muy afectado por la personalización y el objetivo vinculado relacionado. La capacidad de detectar fallas potenciales es muy limitada.. 

 

Mitigación de Riesgos en las GxP

Como resultado de una combinación de los tres factores (criticidad, ocurrencia, detectabilidad), el análisis puede enfocarse en las actividades de validación—Acciones de mitigación de riesgo derivadas directamente de la estrategia de riesgo incluida en la evaluación funcional e impulsando las actividades de OQ/PQ:

Tabla 2 

PRIORIDAD DE RIESGO

 

% de Transacciones (*)

ACTIONES DE MITIGACION

NULA

45,6%

No se requieren acciones. El nivel de riesgo se considera aceptable

BAJA

26,5%

·       Prueba de requisitos: No se   Requiere

·       Pruebas Funcionales: No se requieren

·       Capacitacion del usuario: Obligatorio

·       Manual de Usuario: Requerido

MEDIA

20,5%

·       Pruebas de requisitos: Obligatorio

·       Pruebas funcionales: No requeridas

·       Capacitacion del usuario: Obligatoria

·       Manual de usuario: Requerido

ALTA

7,4%

·       Pruebas de requisitos: Obligatorio

·     Pruebas funcionales: Requeridas (deben incluir pruebas negativas de desafio)

·       Capacitacion del usuario: Requerida

·       Manual de usuario: Requerido

 

(*) = Nota: el %de clasificación de transacciones está destinado a ser específico para este caso de estudio y no como suposición general.

 

Conclusiones 

La validación es un ejercicio que constituye un proyecto en sí mismo en el proyecto de implementación general, que requiere plazos, recursos y dependencias. 


Se ejecutó una implementación y validación rentable enfocando el ejercicio de validación en los riesgos más significativos que fueron mitigados. De lo contrario, el plan general de implementación no habría sido posible.

Mejoras futuras
El caso de estudio tuvo una conclusión exitosa a pesar de que la empresa decidió planificar para los siguientes años, algunas transformaciones tecnológicas sobre el sistema S4HANA y el sistema de gestión de la calidad en general:

  • Implementar una plataforma de infraestructura de IT basada en la nube: los procesos de copia de seguridad y restauración, recuperación ante desastres y alta disponibilidad se mejoraran sensiblemente con una solución rentable;
  • Introducir un sistema de ciclo de vida de la aplicación (ALM) para aprovechar el costo de preparación y ejecución de pruebas, posiblemente interconectado con una herramienta automatizada para ejecutar pruebas de regresión automáticas para los cambios que la empresa pretendía implementar.

Estas evoluciones se incluyen en la corriente principal de la transformación digital. Las pautas actuales ya están capturadas en la nueva edición de la GAMP5: un enfoque basado en riesgos para sistemas computarizados que cumplen con las GxP (consulte la referencia 2).

References 

  1. Good Practice Guide: Global Information Systems Control and Compliance, segunda Edición
  2. GAMP5 A Risk based approach to Compliant GxP Computerized systems, segunda Edición

¿Quieres más información?

El personal de PQE Group está formado por expertos experimentados y cualificados, disponibles para apoyar a tu empresa en la consecución de los más altos niveles de seguridad para tus sistemas.

Visita nuestra página de servicios de Gobernanza Digital para saber más o para ponerte en contacto con nosotros, y encontrar la solución más adecuada para tu empresa.

Contáctanos