,

GxP-Audits: Wie wichtig sind sie und wie werden sie durchgeführt?

In der stark regulierten Pharmaindustrie sind Audits mehr als nur ein Kontrollmechanismus – sie sind ein unverzichtbares Instrument, um die Qualität und Compliance von Prozessen sicherzustellen. Audits tragen wesentlich dazu bei, dass Unternehmen die strengen Anforderungen der Guten Herstellpraxis von Arzneimitteln (Good Manufacturing Practice, GMP) und anderer GxP-Standards einhalten. Dabei geht es nicht nur darum, Fehler zu identifizieren, sondern auch darum, Prozesse kontinuierlich zu verbessern und Schwachstellen zu beheben bevor sie zu Fehlern oder Qualitätsproblemen führen. Die Rolle von Audits im Qualitätsmanagement kann daher gar nicht hoch genug eingeschätzt werden. Sie helfen, den regulatorischen Anforderungen gerecht zu werden und gleichzeitig das Vertrauen von Kunden und Behörden in das Unternehmen zu stärken. 

Im Folgenden erfahren Sie, was ein GxP-Audit ausmacht, warum es für Unternehmen in regulierten Branchen so wichtig ist und wie es optimal durchgeführt werden kann.

Was ist ein GxP-Audit?

Ein Audit ist eine systematische, unabhängige und dokumentierte Überprüfung, die dazu dient, festzustellen, ob Tätigkeiten und Ergebnisse den geplanten Anforderungen entsprechen. Soweit die Theorie. 

Im GxP-Bereich sind Audits in der Praxis besonders wichtig, da sie sicherstellen, dass alle Prozesse den strengen Vorgaben der GMP-, GLP- und GCP-Standards tatsächlich entsprechen. Diese Audits prüfen nicht nur die Einhaltung von Vorschriften, sondern auch, ob Prozesse zur kontinuierlichen Verbesserung und Risikominderung eingesetzt werden und faktisch wirklich diesen Beitrag leisten.

Warum sind Audits im GxP-Bereich so wichtig?

Audits erfüllen eine zentrale Funktion im sogenannten Pharmazeutischen Qualitätssystem (PQS) und bieten viele Vorteile, die für die gesamte Branche von Bedeutung sind:

  • Audits garantieren, dass Unternehmen die gesetzlichen und regulatorischen Anforderungen so einhalten und umsetzen, dass die hergestellten Arzneimittel wirklich qualitativ einwandfrei und auch sicher sind.
  • Durch Audits lassen sich potenzielle Fehlermöglichkeiten im Betrieb und bei der Herstellung frühzeitig erkennen, sodass Maßnahmen zur Risikominimierung ergriffen werden können. So wird verhindert, dass kritische Fehler oder Schwachstellen im Produktionsprozess zu ernsthaften Problemen führen und bedenkliche Arzneimittel in den Vertrieb und an Patienten gelangen.
  • Audits bieten die Möglichkeit, bestehende Prozesse zu bewerten und Optimierungspotenziale zu identifizieren. Auf diese Weise können Unternehmen ihre Effizienz steigern und gleichzeitig die Qualität verbessern.
  • Regelmäßige Audits stärken das Vertrauen von Kunden, Partnern und Regulierungsbehörden. Ein gut dokumentiertes und durchgeführtes Audit zeigt, dass das Unternehmen in der Lage ist, sich selbst kritisch zu hinterfragen, um so anhaltend hochwertige Produkte zuverlässig für die Marktversorgung zu liefern.

Der Ablauf eines Audits: Schritt für Schritt

Ein Audit im GxP-Bereich folgt einem strukturierten Ablauf, der es dem Auditor ermöglicht, die Prozesse im Unternehmen gründlich zu prüfen. Typischerweise besteht ein Audit aus sechs Hauptphasen:

  1. Die Planung: Die Auditvorbereitung ist entscheidend für den Erfolg. Die beteiligten Parteien müssen sicherstellen, dass alle relevanten Personen und Dokumente verfügbar sind. Eine gründliche Planung sorgt für einen reibungslosen Ablauf.
  2. Die Eingangsbesprechung: In diesem Schritt treffen sich die Auditoren und die Vertreter des zu auditierenden Unternehmens zum Auditbeginn. Der Auditplan bzw. die Audit-Agenda wird nochmals besprochen. Hier werden auch Fragen geklärt und Erwartungen festgelegt, soweit sie nicht bereits vor dem Audit klar verstanden wurden.
  3. Die Durchführung des Audits: Der Auditor überprüft die Räumlichkeiten, Maschinen, Dokumente und Prozesse des Unternehmens. In dieser Phase finden auch Interviews mit den Mitarbeitern statt, um die praktische Umsetzung der Prozesse zu bewerten.
  4. Die Abschlussbesprechung: Am Ende des Audits werden die Ergebnisse zusammengefasst. Hier wird besprochen, was gut funktioniert hat und wo es Verbesserungsbedarf gibt.
  5. Der Auditbericht: Der Auditor erstellt einen detaillierten Bericht, der die Ergebnisse des Audits dokumentiert. Dieser Bericht enthält auch Empfehlungen, die dem Unternehmen helfen sollen, Schwachstellen zu beheben und die Prozesse weiter zu verbessern.
  6. Die Nachverfolgung der Auditergebnisse: Nach dem Audit ist die Nachverfolgung essenziell, um sicherzustellen, dass die empfohlenen Maßnahmen umgesetzt wurden. Dies umfasst die Dokumentation der Korrekturen und ggf. erneute Überprüfungen, um die Nachhaltigkeit der Verbesserungen zu gewährleisten.

Vorbereitung der auditierten Firma auf ein GxP-Audit: So gelingt es

Eine gründliche Vorbereitung ist der Schlüssel zu einem erfolgreichen Audit. Unternehmen sollten sicherstellen, dass ihre Dokumente vollständig und aktuell sind und ihre Mitarbeiter über die Anforderungen des Audits informiert sind. Die Schulung der Mitarbeiter spielt hierbei eine zentrale Rolle, da ein gut vorbereitetes Team dazu beiträgt, dass das Audit reibungslos verläuft und mögliche Mängel frühzeitig erkannt werden können.

Tipps für die Auditvorbereitung:

  • Überprüfen Sie alle wichtigen Dokumente, einschließlich SOPs (Standardarbeitsanweisungen), Chargendokumentationen und Qualifizierungsunterlagen
  • Führen Sie vorab, wenn möglich, interne Mock-Audits durch, um Schwachstellen vorab zu identifizieren
  • Bringen Sie Ihr Team auf den neuesten Stand, was regulatorische Anforderungen und die Erwartungen des Audits angeht

Erfolgreiche Auditpraxis: Der Schlüssel zum Erfolg

Ein erfolgreiches Audit erfordert eine sorgfältige Vorbereitung, eine klare Struktur und eine detaillierte Nachbereitung. Die Zusammenarbeit zwischen Auditor und auditiertem Unternehmen ist von großer Bedeutung, um ein gemeinsames Verständnis der Anforderungen und Erwartungen zu entwickeln. Dies fördert nicht nur die Compliance, sondern auch die kontinuierliche Verbesserung der Prozesse. Unternehmen, die regelmäßige Audits in ihren Geschäftsablauf integrieren, verbessern ihre Qualitätssicherung und verringern das Risiko von Produktionsfehlern oder Nichteinhaltung von Vorschriften.

Fazit: Audits als Schlüssel zur Qualitätssicherung

Audits sind ein unverzichtbarer Bestandteil des Qualitätsmanagements im GxP-Bereich. Sie helfen nicht nur, die Einhaltung von Vorschriften zu sichern, sondern fördern auch die Qualität und Sicherheit von Produkten. Eine gründliche Vorbereitung und die Auswahl erfahrener Auditoren sind entscheidend für den Erfolg eines Audits. 

Wir beim Experts Institut bieten nicht nur Schulungen für Auditoren an, sondern unterstützen Sie auch gerne dabei, Ihre Compliance sicherzustellen und Ihre Prozesse kontinuierlich zu verbessern. Wir können „Audits“. Kontaktieren Sie uns unter info@expertsinstitut.de

Sie möchten mehr erfahren?

Hören Sie sich unsere Podcastfolge „Audits in der Pharmaindustrie“ an, in der wir die Bedeutung und Herausforderungen von Audits im Detail beleuchten: https://podcasters.spotify.com/pod/show/experts-insights/episodes/Audits-in-der-Pharmaindustrie-e2of577

Lesen Sie unseren Blog: experts-institut.de/newsroom

Folgen Sie uns auf LinkedIn: Experts Institut LinkedIn

/von
,

GMP Guidance for Artificial Intelligence (AI), Machine Learning (ML) and Digital Transformation: How it Finally Begins to Enter the EU GMP Guide

The Now: Gaping Holes

When sifting through today´s status of the EU GMP Guide, it does not take an expert to see that there are gaping holes on topics of engineering, management of computerized systems, data integrity, digitalization and application of artificial intelligence.

Not that the guide has nothing to say to some of these areas. At least by means of implication the guide says lots of things between the lines. This very “in-between” is what gives pharmaceutical manufacturers quite a headache when facing governmental inspections.

The issue is that what it has to say does not cover what´s actually out there. And “by implication” is simply not a good advisor for the industry. It may be good enough for an inspector to set up interpretive requirements and for giving industry a hard time. But for a company it is simply not practicable when a text is elusive.

Although we have best practices like ISPE GAMP5 or other guidance somewhere out in the GxP universe, we would like to know from our most relevant guide-the EU GMP Guide-what is required. And this very guide has been doing a rather horrible job to provide the input industry needs (it seems not surprising that some EU countries struggle massively to keep life sciences and pharmaceuticals on their territory).

A New Hope

A new hope may be on the horizon as we have been expecting a revised version of Annex 11. There-so tells us the concept paper-we will receive a text that will address words such as artificial intelligence, clouds, and even digital transformation. One might wonder whether it is worth holding our breath for the release of the new Annex 11, as high hopes have been shown to greatly disappoint before. One might remember Annex 21 or interpretive documents from local supervizing authorities, that in the end have not been helpful for real life at all.

However, in this case it may be different. Can we guess some consequences from this next generation Annex 11?

GMP

GMP Data Integrity Finally Takes Center Stage

Although some would passionately disagree with me on this, the EU GMP guide has virtually lacked clarity on data integrity for decades. It was the US FDA who had to essentially teach us in Europe what Data Integrity is and why this is important. Without them we would still think that Good Documentation Practices and Validation of Spreadsheets is all it takes.

I love how every EU member state GMP inspector knows exactly what is necessary in terms of data integrity-only with next to no express textual basis for it in the EU GMP guide. I mean sure: evey company has by now heard of data integrity, letalone has received inspections that dealt with it. And yes, we were told after the fact that the GMP guide has “always meant” data integrity in various little phrases of the guide. But that seemed a bit of a crutch to assure the colleagues from US FDA that in Europe data integrity is something we “totally want and require!”

Point taken, it is true that in the Annex 11 we had such wording in some spots. And now the EU guide will finally take into consideration the fuller importance of data integrity-at least for computerized systems. One can tell that the EU grows more toward considering guidance from for example WHO or PIC/S.

The consequences will be that audit trails and audit trail review requirements will be clarified and likely deepend. More work. The bar for what is “basic” will be raised.

The same will happen for archiving, backups, and retrieval requirements for archived data. Companies will unlikely be able to keep playing the low-key game in the archiving area.

Management of Clouds will be a Topic

This will be upgraded, or actually decently considered in the new Annex 11. And here I must say that this is positive improvement. The GMP guide has been pretty much blind to this for quite some time now. It will be a reasonable change. It will be interesting to see how block-chain systems will be treated under the new Annex 11.

And I certainly will be interested to see how cloud hosts seriously validate and qualify their systems, software, and infrastructure. The hunsh is: this is going to cause trouble for some service providers. My recommendation to cloud providers who have pharma-clients: Get ready for it now, or You will be out of business before You know it.

If this enters Annex 11 it could mean:

– cloud services must qualify their infrastructure according GMP.

– they must validate their software fully in line with GMP as well.

This essentially would require a quality-oriented quality management system (and no, ISO9001 would not suffice, not the slightest chance for anyone who wants to take this seriously).

GMP for Artificial Intelligence (AI) and Machine Learning (ML) will Hatch

We must be honest here: it might not be a whole lot of guidance what we will receive from the revised Annex 11:

The primary focus should be on the relevance, adequacy and integrity of the data used to test these models with, and on the results (metrics) from such testing, rather that on the process of selecting, training and optimising the models.

https://www.ema.europa.eu/en/documents/regulatory-procedural-guideline/concept-paper-revision-annex-11-guidelines-good-manufacturing-practice-medicinal-products-computerised-systems_en.pdf

Though this quote from the concept paper is as elusive as sand running through one´s fingers, it does give us a tiny insight in what will be important to a regulator or a GMP-inspector: data (and their quality) used to feed AI models.

One of the biggest questions is: How in the world do we validate AI and ML? Will AI or ML need to be validated according to the typical V-model? In reality this seems almost impssible, since any software code change would required re-validation. And code changes might have to be expected, especially with machine learning. My assupmtion is that we will not receive much help here form the new Annex 11. Industry will be thrown back on non-governmental best practice guidance-as is often the case.

“No New Requirements”

It must be acknowledged that some of what we will find in the revised Annex 11 will likely be clarification and nailing down of requirements that were logical consequences from what is in the current version of the Annex. Yet, we will also find more work, new requirements.

For each company a careful gap assessment will be in order, and for those who have gotten away with mediocre management of electronic systems it will be time to act and invest in modernization.

Needless to say, that I am already looking forward to the next years at Experts Institut, when those projects will continue to fill our work schedules. It is a great challenge!

GMP Challenges for Small Pharmaceutical Businesses

I encourage representatives of small businesses – smaller pharmaceutical entities – to comment and to give feedback once the draft to the new Annex 11 is out. Often it is the larger pharmaceutical businesses that drive or influence what best practice is or what those texts may contain. A consequence can be that the requirements push smaller companies off the cliff of financial and infrastructural fesability. This does not need to be so. But small businesses must take a bit of a stand here. Take the chances You get, that is my recommendation. Digitalization and the use of AI and ML are unstoppable because neither society and nor the economy will not stop it. This is coming at the industry real fast. And it will likely make or break smaller business in the near future. Thus – get ahead with it!

Experts Institut can help!

Need help with GMP-Digitalization projects and AI-validation concepts? Contact us. Management consultancy GMP, GXP & Business Solutions | Experts Institut (experts-institut.com).

Read our full blog: https://experts-institut.de/newsroom/

And feel free to follow us on LinkedIn: https://de.linkedin.com/company/expertsinstitut

/von

Informationssicherheit – Ein Muss für moderne Unternehmen

In der heutigen digitalen Welt ist Informationssicherheit mehr als nur ein technisches Anliegen: sie ist eine geschäftskritische Notwendigkeit. Unternehmen müssen sensible Daten schützen und gleichzeitig gesetzliche Anforderungen erfüllen. Dieser Beitrag beleuchtet die wichtigsten Aspekte der Informationssicherheit mit einem Fokus auf die Implementierung eines ISMS nach ISO 27001 und der neuen EU NIS2-Richtlinie, die 2024 in Kraft tritt.

Warum ist Informationssicherheit wichtig?

Informationssicherheit gewährleistet die Vertraulichkeit, Integrität und Verfügbarkeit von Daten und IT-Systemen. Sie schützt nicht nur vor Cyberangriffen, sondern sichert auch die Kontinuität der Geschäftsprozesse. Ein effektives Informationssicherheitsmanagementsystem (ISMS) hilft Unternehmen, Risiken zu identifizieren und zu minimieren.

Implementierung eines ISMS durch ISO 27001

ISO 27001 ist ein international anerkannter Standard, der Unternehmen hilft, ein ISMS zu entwickeln und zu implementieren. Er bietet einen systematischen Ansatz, um Informationen zu schützen und Risiken zu minimieren. 

Warum ist ISO 27001 wichtig?

  • Durch die Einhaltung von ISO 27001 können Unternehmen das Vertrauen ihrer Kunden und Partner stärken
  • Viele Branchen erfordern die Einhaltung bestimmter Sicherheitsstandards, ISO 27001 hilft, diese Anforderungen zu erfüllen
  • Der Standard bietet einen klaren Rahmen, um Sicherheitsrisiken zu identifizieren und zu managen

Schritte zur Implementierung

  1. Ein Projektteam wird aufgebaut, das die Verantwortung für die Implementierung des ISMS übernimmt
  2. Es werden klare Rollen und Verantwortlichkeiten definiert, um eine reibungslose Umsetzung zu gewährleisten
  3. Ein Delta-Audit sowie eine Bestandsaufnahme werden durchgeführt, um Schwachstellen und den aktuellen Sicherheitsstatus zu ermitteln
  4. Alle beteiligten Mitarbeiter werden durch gezielte Schulungen sensibilisiert und qualifiziert
  5. Fachbereiche erhalten wöchentliche Aufgabenpakete, die verschiedene Kapitel der ISO 27001 abdecken
  6. Ein umfassendes, digitalisiertes ISMS wird erstellt, um die Informationssicherheit nachhaltig zu gewährleisten
  7. Interne Auditoren werden ausgebildet, um regelmäßige Überprüfungen im Unternehmen durchzuführen
  8. Regelmäßige interne Audits stellen sicher, dass alle Maßnahmen ordnungsgemäß eingehalten werden
  9. Durch eine Lückenanalyse werden Schwachstellen identifiziert und mit einem konkreten Aktionsplan behoben
  10. Der Aktionsplan wird umgesetzt, indem die geplanten Maßnahmen zielgerichtet implementiert werden
  11. Es erfolgt eine kontinuierliche Begleitung des Zertifizierungsprozesses bis zum erfolgreichen Abschluss der ISO 27001-Zertifizierung

NIS2 und der Zusammenhang zu ISO 27001

Die im Oktober 2024 in Kraft tretende NIS2-Richtlinie verschärft die Anforderungen an die Informationssicherheit, insbesondere für Betreiber kritischer Infrastrukturen (KRITIS), und betrifft rund 21.600 neue Unternehmen in Europa. Ziel der Richtlinie ist es, den Schutz vor Cyberangriffen und die Widerstandsfähigkeit zu stärken.

ISO 27001 und NIS2 verfolgen beide das Ziel der Informationssicherheit, unterscheiden sich jedoch im Umfang. Während ISO 27001 einen flexiblen Rahmen für die Implementierung eines ISMS bietet, fügt NIS2 zusätzliche Anforderungen hinzu, die speziell auf KRITIS-Betreiber und wichtige Einrichtungen abzielen. Unternehmen, die ISO 27001-konform sind, haben bereits viele der NIS2-Vorgaben erfüllt.

NIS2 führt folgende Pflichten für Unternehmen ein:

  • Unternehmen müssen ihre Sicherheitsstandards weiter ausbauen und regelmäßig Audits durchführen, um sowohl Cyber-Sicherheit als auch physische Resilienz zu gewährleisten
  • Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet werden, da es strengere Meldepflichten gibt
  • Bei Verstößen drohen Sanktionen in Form von Bußgeldern in Höhe von bis zu 10 Millionen Euro oder 2 % des weltweiten Umsatzes

Fazit: Warum Informationssicherheit für Unternehmen unverzichtbar ist

Die Bedeutung der Informationssicherheit in der modernen Geschäftswelt kann nicht genug betont werden. Mit der zunehmenden Vernetzung und der stetigen Zunahme von Cyberbedrohungen wird es für Unternehmen unerlässlich, robuste Sicherheitsstrategien zu entwickeln und die gesetzlichen Anforderungen, wie die NIS2-Richtlinie, zu erfüllen. Durch die Implementierung eines effektiven Informationssicherheitsmanagementsystems nach ISO 27001 können Unternehmen nicht nur ihr Risiko minimieren, sondern auch das Vertrauen ihrer Kunden und Partner stärken. Angesichts der neuen Herausforderungen, die mit NIS2 einhergehen, ist es entscheidend, dass Unternehmen proaktiv handeln, um sich den gestiegenen Anforderungen an die Informationssicherheit anzupassen und mögliche Sanktionen zu vermeiden.

Wie wir als Experts Institut helfen können

Als Experts Institut bieten wir umfassende Beratungsleistungen zur Implementierung und Optimierung von ISMS nach ISO 27001. Zudem unterstützen wir Unternehmen bei der Umsetzung der neuen Anforderungen der NIS2-Richtlinie. Unser Fokus liegt darauf, Kunden bei der Einhaltung von IT-Compliance-Vorgaben zu begleiten und ihre Informationssicherheit zu stärken.

Überlegen Sie, die Sicherheitsmaßnahmen in Ihrem Unternehmen zu optimieren? Get ahead and in touch with us – info@expertsinstitut.de

Lesen Sie unseren gesamten Blog: https://experts-institut.de/newsroom/

Und folgen Sie uns gerne auf LinkedIn: https://de.linkedin.com/company/expertsinstitut

/von
Logo Experts Institut

Webpräsenz der Allianz für Cyber- Sicherheit
kununu widget

Business Solutions

GMP / GXP Beratung

EI Academy

Neustadt

Experts Institut Beratungs GmbH
Kirchwiesenstraße 5

D-67434 Neustadt a. d. Weinstraße

Tel.: +49 (0)6321 969210
E-Mail: info@expertsinstitut.de

Fax: +49 (0)6321 9692199

Bamberg

Experts Institut Beratungs GmbH
Untere Sandstraße 53

D-96047 Bamberg

Tel.: +49 (0)951 51939330
E-Mail: info@expertsinstitut.de

St. Gilgen (Österreich)

Experts Institut Beratungs GmbH
Helenenstraße 16

A-5340 St. Gilgen, Österreich

Tel.: +43 (0)6227 21068
E-Mail: info@expertsinstitut.de