Tabla de Resultados Análisis de Riesgo Actualización Sistema de Control

EVALUACION INICIAL RE-EVALUACION

Controles
Causa Consecuencia (ingeniería y/o G P D R Recomendaciones Fecha compromiso y responsables G P D R Observaciones
administrativos)
No se cuenta con un formato para Desarrollo de un sistema que no Capacitación referente a la creación de
realizar los requerimientos de cumple con la funcionalidad URS's, definir equipo de personas
usuario. requerida para el proyecto, involucradas en la generación de un
El URS no se realiza de forma desviaciones de calidad, Experiencia previa en la generación de URS de URS. 15/06/2021
multidisciplinaria y no se incumplimiento del plan de 4 2 4 32 Consultar fuentes externas de 4 1 1 4
otros equipos / proyectos. (Vivian Padilla / Martha Lozada)
consideran todos los producción. información.
requerimientos.

Proveedor no calificado o mal Sistema entregado con errores de Revisión, actualización y cumplimiento
evaluado. programación / documentación del PNT existente sobre evaluación de
Procedimientos existentes no críticos. proveedores, con el propósito de
cubren de manera más especifica Si la falla / error se presenta completar la parte de proveedores de
la evaluación de proveedores de después de la validación, el software.
software. impacto es directo a la calidad del PNT asociado a la evaluación de proveedores, 15/06/2021
producto y fechas de entrega de 4 2 3 24 4 1 1 4
solicitud de referencias comerciales a terceros. (Vivian Padilla / Martha Lozada)
los mismos.
Incumplimiento regulatorio de las
normas vigentes.

Incorrecta especificación del Retraso en la liberación del NA

hardware / software por parte del sistema validado, con el Documentos de Especificación de Hardware y
fabricante. consecuente retraso en el Software, apego a las recomendaciones del 2 1 1 2 NA 4 1 1 4
programa de producción. fabricante del software.

No se tienen requerimientos de Retraso en la liberación del Establecer una fecha límite para la
hardware y software en tiempo. sistema validado, incumplimiento adquisición de hardware a través de TI
Retraso en la solicitud de recursos regulatorio, e incumplimiento con del cliente, en caso se rebasar dicha
al Departamento de TI del cliente. las espectativas del cliente. fecha realizar la compra a través de un
Retraso en la respuesta a los Cronograma del proyecto, comunicación a proveedor local (incluye HMI's). 15/06/2021
requerimientos de hardware y Dirección General de Planta y el Corporativo 3 3 1 9 4 1 1 4
(Vivian Padilla / Martha Lozada)
software solicitados al sobre el avance del mismo.
Departamento de TI del cliente.

Integrador no calificado y/o mal Interfaz de usuario confusa que Revisión, actualización y cumplimiento
evaluado. dificulte la operación del sistema y del PNT existente sobre evaluación de
provoque errores de los PNT asociado a la evaluación de proveedores, proveedors, con el propósito de
operadores, impacto a la calidad solicitud de referencias comerciales a terceros, y completar la parte de proveedores de
del producto. manual de operación existente para la software. 15/06/2021
4 1 1 4 4 1 1 4
generación de nuevas pantallas, y revisiones de (Vivian Padilla / Martha Lozada)
diseño (formalizar en algún documento dichas
revisiones).

No se especifica a detalle la parte Diseño inadecuado de las Establecer revisiones de diseño en el

de los documentos entregrables pruebas, de tal manera que no se cronograma del proyecto.
por el proveedor (URS, sección detecten durante la validación,
Requerimientos Documentales). errores de configuración o
Integrador no calificado para el programación y sean detectados
desarrollo e implementación del durante el uso productivo del PNT asociado a la evaluación de proveedores, 15/06/2021
sistema. sistema. Impacto en la calidad del Protocolos de Calificación de las etapas IQ y OQ 4 2 2 16 (Vivian Padilla / Martha Lozada 1 1 1 1
No se tienen agendadas en el producto. del sistema. /Cliente)
cronograma revisiones de diseño.

No se genera un informe de Sistema instalado en planta con Incluir en el procedimiento actual de

pruebas de integración por parte errores que surjan durante la calificaciones la solicitud de un informe
del proveedor. etapa de validación, retraso en la de pruebas FAT. 15/06/2021
No existen controles 3 3 4 36 4 1 1 4
implementación e incumplimiento (Vivian Padilla / Martha Lozada)
regulatorio.
El Integrador no tiene el Sistema instalado en planta con Revisión, actualización y cumplimiento
conocimiento suficiente acerca del errores que surjan durante la del PNT existente sobre evaluación de
hardware / software a instalar. etapa de validación. proveedorse, con el propósito de
Retraso en la implementación del completar la parte de proveedores de
sistema, e incumplimiento software.
regulatorio. PNT de evaluación de proveedores, referencias Solicitar por escrito la experiencia que se 15/06/2021
3 2 3 18 tiene en la configuración del software de 3 1 1 3
comerciales a terceros. (Vivian Padilla / Martha Lozada)
control a utilizar, y realizar auditoria
presencial sobre algún sistema
previamente instalado en alguna otra
emrpesa.

El proveedor no realiza pruebas Validación dictaminada como Se solicita al integrador la ejecución de

unitarias y de integración. rechazada, retraso en la pruebas FAT como parte de los alcances
No se realizan pruebas FAT del implementación del sistema, e de trabajo, y a realizar antes de la 15/06/2021
sistema por parte de CMS. incumplimiento regulatorio. No existen controles 3 3 1 9 calificación de la nueva plataforma. 3 1 1 3
(Cliente)

Retraso en la generación, Retraso en la liberación del Establecer una fecha límite en la

actualización y aprobación de los sistema validado, con el aprobación de procedimientos requeridos
procedimientos. consecuente retraso en el para la validación del sistema, en caso
programa de producción, e de rebasar dicha fecha, se estaría
incumplimiento regulatorio. proponiendo la actualización / creación
de los procedimientos mínimos
Cronograma del proyecto, comunicación a
necesarios para poder continuar con la 15/06/2021
Dirección General de Planta y el Corporativo 3 3 1 9 4 3 1 12
validación del sistema (Calidad e (Cliente)
sobre el avance del mismo.
Ingeniería), solicitar la aprobación local
de dichos procedimientos por parte de la
Dirección de Planta.

Retraso en la generación, No existe integridad de la Establecer una fecha límite en la

actualización y aprobación de los información, pérdida de datos aprobación de procedimientos requeridos
procedimientos. relevantes y en consecuencia para la validación del sistema, en caso
posible impacto en la calidad del de rebasar dicha fecha, Rockwell estaría
producto. proponiendo la actualización / creación
de los procedimientos mínimos
necesarios para poder continuar con la
Cronograma del proyecto, comunicación a validación del sistema, solicitar la 15/06/2021
Dirección General de Planta y el Corporativo 4 3 1 12 aprobación local de dichos (Vivian Padilla / Martha Lozada 3 1 1 3
sobre el avance del proyecto. procedimientos por parte de la Dirección /Cliente)
de Planta.
Generar procedimiento de respaldos y
realizar pruebas de dicho procedimiento.

No se definen responsables y No existe integridad de la Establecer una fecha límite en la

responsabilidades sobre el información, pérdida de datos aprobación de procedimientos requeridos
sistema validado. relevantes y en consecuencia para la validación del sistema, en caso
posible impacto en la calidad del de rebasar dicha fecha, Rockwell estaría
producto. proponiendo la actualización / creación
Cronograma del proyecto, comunicación a de los procedimientos mínimos 15/06/2021
Dirección General de Planta y el Corporativo 4 3 1 12 necesarios para poder continuar con la 4 1 1 4
(Cliente)
sobre el avance del proyecto. validación del sistema, solicitar la
aprobación local de dichos
procedimientos por parte de la Dirección
de Planta.

No existe plan de recuperación de Desviación por parte de algún Generar / actualizar procedimiento que
la información en caso desastres, auditor por no contar con un plan contenga el plan de pruebas y plan de
no se realizan pruebas de de recuperación de desastres, y restauración del sistema en caso de
restauración del sistema de algún no es posible la trazabilididad de desastre. 15/06/2021
respaldo almacenado. la información. Posible impacto en NA 4 3 1 12 Probar / ejecutar el plan de restauración (Vivian Padilla / Martha Lozada/ 4 1 1 4
la calidad del producto. del sistema una vez validado el mismo. Cliente)

No se corren pruebas FAT, SAT o Desviaciones de calidad que Incluir dentro de la IQ, una prueba de
simplemente se tienen defectos pongan en riesgo la calidad del fallo de energia electrica. Elaborar una
de fábrica del hardware adquirido. producto. Protocolos de calificacion DQ, IQ,OQ (bajo la instrucción técnica para la atencion de
estos eventos. Valorar la contratación de 15/06/2021
Gamp 4), Contratacion de poliza de
4 2 2 16 un servicio de soporte 24/7 por parte del (Rockwell/ Cliente/ Vivian Padilla / 4 1 2 8
mantenimiento por el hardware, servicio de
integrador. Establecer protocolos DQ, IQ, Martha Lozada)
soporte 24/7 por parte del cliente.
OQ y PQ (Bajo GAMP 5)
No se definen responsables y Pérdida del estado validado del Establecer protocolos DQ, IQ, OQ y PQ
responsabilidades sobre el sistema, e incumplimiento Evaluacion GMP´s, controles de cambio . (Bajo GAMP 5), incluir matriz de
sistema validado. regulatorio. Puede afectar la 4 2 1 8 trazabilidad. Elaboracion del PG60. 4 1 1 4
Auditorias internas
calidad del producto

Incumplimiento regulatorio por los Pérdida del estado validado del Elaborar la matriz de trazabilidad. Gestionar la adquisicion de la herramienta
responsables del sistema, así sistema, e incumplimiento de software Access Centre para control de
como la ausencia de una matriz regulatorio. Puede afectar la Auditorias internas 4 1 2 8 4 1 2 8
cambios de programación. Esto bajaria la
de trazabilidad. calidad del producto detectabilidad a 1
Actualización periódica del Imposibilidad de consultar los Generar un plan de retiro del sistema
sistema, y ausencia de un plan de datos generados por el sistema Tecnicas de fabricación con históricos de datos actual, y conservar un entorno del
retiro del sistema. después del retiro. relevantes del proceso. El sistema actual no 2 3 1 6 sistema actual para consulta. 2 1 1 2
cuenta con gestor de recetas.

Actualización periódica del Imposibilidad de consultar los Generar un plan de retiro del sistema
sistema, no se llevan a cabo de datos generados por el sistema actual, y conservar un entorno del
manera correcta los respaldos de después del retiro. Tecnicas de fabricación con históricos de datos sistema actual para consulta.
la información, o simplemente no relevantes del proceso. El sistema actual no 1 1 1 1 4 1 1 4
se tiene un plan de retiro del cuenta con gestor de recetas.
sistema.

No se sigue de manera correcta Documentos operativos y técnicos N/A

el PNT asociado a Controles de del sistema no acordes con el
Cambio, y no se involucra a toda estado real del sistema, y
la gente relacionada al control de desviaciones de calidad. 4 1 1 4 4 1 1 4
cambio.

Falta de experiencia / tiempo para Retraso en la entrega del sistema N/A

el análisis de riesgos. validado. Corregir los riesgos Análisis de riesgos, equipo multidiciplinario para
cuando ya se esta en entorno el analisis de riesgos, soporte externo 4 1 1.5 6 4 1 1.5 6
productivo por lo tanto impacto en especializado.
la calidad del producto

No se informa del Plan Maestro / Incumplimiento del programa de Revisiones periodicas del cumplimiento
Cronograma a todos los validación, posibles del cronograma con Direccion de Planta.
departamentos involucrados. observaciones durante alguna Habilitar mas recursos(humanos) en
auditoría. caso de ser necesario para cumplimiento
En el analisis de riesgos se incluye la revision del de fechas compromiso.
plan maestro / cronograma, el cual sera revisado 2 2 1.5 6 Definir las tareas principales y 2 1 1.5 3
por el equipo multidisiplinario. responsabilidades en el control de
cambios.

Falta de una metodolología para Existencia de sistemas no Definir un coordinador del inventario de
identificación de todos los validados operando en ambiente sistemas dentro del area de Garantia de
sistemas de planta. productivo, con el consecuente Calidad.
Evaluacion GMP´s, controles de cambio .
Ausencia de evaluación GxP de incumplimiento regulatorio. 4 3 2 24 4 1 1.5 6
Auditorias internas
los sistemas computarizados de
planta.

No se actualiza formato de Incumplimiento regulatorio. Definir un coordinador del inventario de

inventario siguiendo los Evaluacion GMP´s, controles de cambio . sistemas dentro del area de Garantia de
lineamientos de las regulaciones 4 3 2 24 Calidad. 4 1 1.5 6
Auditorias internas
vigentes (GAMP 5).

No se tiene procedimientos Desviaciones de calidad e Elaborar procedimiento general / PNT

especifiquen las acciones a invalidación del proceso de que describa todas la acciones a realizar
realizar para la validación de un validación del sistema, posible Protocolos de calificacion DQ, IQ,OQ (bajo la para la validación de sistemas
4 2 2 16 4 1 1.5 6
sistema computarizado. impacto a la calidad del producto. GAMP 5) computarizados de planta (bajo GAMP
5).

Algunos instrumentos no se Desviaciones de calidad y N/A

encuentra en el programa de rechazo de la etapa de I, posible Programa de calibraciones 4 1 1 4 4 1 1 4
calibraciones. impacto en la calidad del
producto.
Ausencia de la etapa de DQ en el Desviaciones de calidad y URS, Protocolo DQ y Hojas de Especificación NA
proceso de la calificación. rechazo de la etapa de IQ. 4 1 1 4 4 1 1 4
de Instrumentos
Falta de recursos necesarios para Desviaciones de calidad y Obtener y definir recursos internos /
dicha validación. rechazo de la etapa de IQ. Programa de Calibraciones en formato impreso, externos para dicha validación, así como
certificados de calibración y etiquetas de también colocar el software de
calibración impresas, certificados de calibración calibraciones en red para poder solicitar
de los pratones de calibración por parte de un 4 3 1 12 a la gente de TI el respaldo automático 4 1 1 4
proveedor externo, y respaldo mensual de la diario, semanal, mensual y anula de la
base de datos de las calibraciones en forma base de datos de calibraciones.
manual.
Corte de energía general desde la Incumplimiento regulatorio. Implementar y probar la redundancia
compañía proveedora, no se Observaciones críticas durante Por el momento no se cuenta con ningún tipo de propuesta entre servidores de la nueva
valida la conexión de red entre una auditoría. 4 4 1 16 platafomra de control. 4 1 1 4
control para mitigar dicho riesgo
sites.

No se tiene control de acceso a Infección del sistema por virus Colocar chapa electrónica con
uno de los sites, o no se cuenta informático, asociado con pérdida Bitácora de control de acceso al site del edificio contraseña para el control de acceso al
con un procedimiento de control de información. de producción, y acceso restringido con llave al 4 2 1 8 site. 4 1 1 4
de acceso a los plc´s de planta. Modificación no autorizada del mismo.
programa del PLC.

Siniestro por causa de incendio en Desviaciones de calidad y paro de Implementar y probar la redundancia
el site principal del edificio de producción. propuesta entre servidores de la nueva
producción, y/o CCM´s donde se Por el momento no se cuenta con ningún tipo de platafomra de control, e instalación de un
ubican los PLC's. control para mitigar dicho riesgo sistema de mitigación de incendio en
caso de siniestro.

No se tiene control de acceso a Desviación de calidad, Establecer procedimiento para el contro

uno de los sites, o no se cuenta modificación no autorizada de la de acceso a los CCM´s de planta, donde
con un procedimiento de control programación de las aplicaciones Bitácora de control de respaldo manual de todos 4 1 1 4 se incluya la posible instalación chapas 4 1 1 4
de acceso a los plc´s de planta. de control / programa de PLC's. los programas de PLC de planta. con llave a cada uno de los tableros de
control donde se ubican los PLC's.

No existe procedimiento aprobado Modificación de límites de alarma, Revisar y proponer una sola tabla de
que defina la seguridad a nivel del e instalación de programas no seguridad lógica, realizar pruebas de los
sistema operativo / aplicaciones autorizados. privilegios de usuario, ligar las cuentas
de control. Tablas de seguridad lógica y control de cambios de usuario de FTView a las de Windows,
para la alta, baja y/o modificación de las cuentas 4 3 1 12 y solicitar apoyo a TI para la Martha Lozada/ Vivian Padilla 4 1 1 4
de usuario. administración de cuentas de usuario
con el fin de tener apoyo de TI en los
diferentes turnos de planta.

No se corren pruebas FAT, SAT Incumplimiento regulatorio. Instalar opción de audit trail, y correr
que involucren la revisión del Observaciones críticas durante Por el momento no se tiene implementada la pruebas FAT y SAT con el integrador.
correcto funcionamiento del audita una auditoría. 4 4 1 16 4 1 1 4
opción de Audit Trail
trail.

NA NA NA 4 1 1 4 NA NA 4 1 1 4
No se sigue PNT de la seguridad Operación incorrecta del sistema
de lógica y revisión periódica, y no y posible impacto en la calidad del Definir e implementar formato que
se emite control de cambio para la producto. Por el momento no se cuenta con ningún tipo de incluya fechas de revisión periódica de
4 3 1 12 4 1 1 4
alta de una cuenta de usuario. control para mitigar dicho riesgo acuerdo al PNT correspondiente.

No se aplica el PNT de controles Operación incorrecta del sistema Establercer seguridad física mencionada
de cambio para la aprobación y y posible impacto en la calidad del en el punto 29 de éste análisis de riesgo.
ejecución de algún cambio. producto.
No se cuenta con las herramientas Por el momento no se cuenta con ningún tipo de
que detecten automaticamente un 4 3 1 12 4 1 1 4
control para mitigar dicho riesgo
cambio a nivel de programación
 P G

PROBABILIDAD GRAVEDAD

Probabilidad de Afecta a la Afecta a

seguridad de las
que suceda las personas instalaciones

Accidente Afectación
4 Muy probable
muy grave muy grave

Accidente Afectación
3 Probable
grave

grave

Afectación
2 Poco probable Accidente

leve

1 Muy poco probable (probabilidad remota) No afecta No afecta

 G D

GRAVEDAD DETECTABILIDAD

Afecta a Afecta a la Capacidad de

calidad del eficiencia
producto productiva detección previa

Máximo
Impacto No hay mecanismo
impacto en

la calidad muy elevado para detectarlo

Podría detectarse con

Impacto en Impacto
controles manuales
punto crítico elevado
periódicos

Impacto en Impacto Podría detectarse con

controles manuales
definidos en rutina

la calidad bajo

No afecta Sin impacto Existen sistemas