Qualität im Fokus Erfolgskritische Aspekte der Auditierung von IT-Lieferanten und Dienstleistern

Partner oder Risiko? Gerade in der global produzierenden Pharmaindustrie ist diese Fragestellung nicht trivial. Für mehr Transparenz im Qualitätsmanagement können Digitalisierungsmaßnahmen sorgen. Doch immer wieder auftretende Rückrufe und Engpässe bei Arzneimitteln zeigen, dass damit neue Herausforderungen einhergehen. Ein wichtiger Schritt zur Risikominimierung liegt darin, der Auditierung von kritischen IT-Technologien ebenso hohe Priorität einzuräumen wie den "klassischen" Lieferanten-Audits. 

Risikofaktor Digitalisierung beachten

Lieferantenaudits sind vom Gesetzgeber als Bestandteil eines effizienten Lieferantenmanagements vorgesehen. Dabei ist eine physische Auditierung nur für Auftrags-Hersteller, -Labore und Wirkstoffhersteller / Lieferanten vorgeschrieben¹. Jedoch ergibt sich aus dem in den GMP Guidelines vorgegebenen risikobasierten Ansatz² und aus der AMWHV §9.2 eine gewisse Verpflichtung zur Auditierung auch von weiteren kritischen Lieferanten. Darüber hinaus gebietet ein risikobasierter Ansatz hinsichtlich Geschäftsrisiken ebenfalls, kritische Lieferanten genauer zu betrachten. 

Wer oder was dabei als "kritisch" gilt, ist heute eng mit der fortschreitenden Digitalisierung verknüpft: immer mehr Prozesse in der pharmazeutischen Herstellung und Inverkehrbringung werden per IT gesteuert und kontrolliert, womit sich deren Einfluss und somit die Kritikalität in Bezug auf Produktqualität, Patientensicherheit und Geschäftsbetrieb erhöht. Wenngleich ein computerisiertes System vor Nutzung stets validiert werden muss, empfiehlt es sich für kritische Systeme, den Lieferanten zuvor zu auditieren und sich so ein besseres Bild seiner Arbeitsweise und Qualitätssicherung zu verschaffen³. Noch wichtiger wird dies bei einer starken Abhängigkeit von Lieferanten wie bspw. Anbietern von Cloud-Lösungen, auf die immer mehr Pharmafirmen auch für sehr produktqualitätsnahe Systeme wie MES und LIMS zurückgreifen. 

Seminarempfehlung

Mannheim7./8. Mai 2024

Cloud Computing im GxP-Umfeld (CV 27)

Kompetenzschnittstelle schaffen

Allerdings beschäftigt sich die Lieferantenqualifizierung i. d. R. eher mit stofflichen Lieferanten. Wie also bettet man solche IT- oder  CSV-bedingten Audits⁴ in diese Prozesse und in das eigene  QMS⁵ mit ein? Und wie führt man solche Audits am besten durch? Schließlich sind die typischen Auditoren in einem  Unternehmen eher Herstellprozess-, QC- und QA-Experten,  während die IT und CSV Experten wiederum oft keine typischen  "Auditoren-Skills" haben. 

Hinzu kommen technologische Herausforderungen. Zum Beispiel  sind insbesondere bei Cloud-basierten Anwendungen die Service Level Agreements das qualitätsgarantierende "A und  O" der kontinuierlichen Service-Erbringung. Eben diese SLAs  sind aber nutzungsbedingt sehr technisch formuliert und für  viele Nicht-IT-Experten unverständlich. 

Spezialistenexpertise effektiv kombinieren

Für ein "IT-Audit" - etwa zur Auditierung eines Software-Herstellers - benötigt man also einen IT-Experten, welcher nicht nur über Auditor-Erfahrung verfügt, sondern darüber hinaus über Expertise in pharmazeutischen QM-Systemen und oft  auch CSV. Zudem muss dieser Experte die SLAs verstehen und interpretieren können, um deren korrekte Umsetzung zu verifizieren, was wiederum forensische Auditor-Skills benötigt. Hat  man solche Experten nicht in-house verfügbar, kann man (wie  für alle Audits nach §11 AMWHV) auf externe Ressourcen zurückgreifen. Alternativ wird ein "klassischer" Auditor von einem IT-Experten / SME⁶ begleitet. Auf jeden Fall müssen im Audit die Anforderung an das IT-System sowie die geplante oder existierende Nutzung und deren Einfluss auf Produkt- und Patientensicherheit bekannt sein, um die richtigen Aspekte in angemessener Breite und Tiefe während des Audits zu berücksichtigen.     

IT-Audits in Lieferantenqualifizierung  integrieren

Die Einbettung des Audits in die existierende Lieferantenqualifizierung⁷ geschieht entweder über herkömmliche Kategorisierungsprozesse  mit risikobasierter Zuweisung einer einmaligen  oder wiederkehrenden Auditanforderung oder wird direkt einmalig aus einem Projekt zur Softwareimplementierung angestoßen.  Das Audit wird dann nach zeitlichem Bedarf oder nach allgemeinem Vorgehen im Audit- (Jahres-) Kalender terminiert. Unbedingt zu berücksichtigen sind die folgenden Anforderungen  an den auditierten Software-Betrieb ("Auditee"): 

• Systematisches QMS: Obwohl die Software bei Lieferung und vor Nutzung nach GMP, oder besser gesagt nach GAMP, validiert werden muss, kann vom Lieferanten per  se keine GMP Zertifizierung erwartet werden8. Jedoch sollte  ein möglichst systematisches QMS existieren, das beispielsweise  den Anforderungen von GAMP genügen muss. Letztlich muss das QMS die Qualitätsanforderungen des  Auftraggebers erfüllen - die man wiederum mittels detaillierter  Quality-/Service Level Agreements definiert. 
• Software-Lebenszyklus: Im QMS muss der komplette  Software-Lebenszyklus geregelt sein und auch eingehalten  werden. Dieser umfasst i. d. R. kontrollierte Entwicklung, Testing, Design-Freeze bzw. Konfigurations-Beherrschung und finale Freigabe sowie das Release und  Change-Management. 
• Kompetenzentwicklung: Ebenso lassen sich im Audit das Qualitätsbewusstsein und die Schulung der Mitarbeiter hinsichtlich GMP-Relevanz besser evaluieren. Hierbei  muss der Auditor bzw. das Auditorenteam die Funktionalität  des QMS sowohl bei Vorgehen nach klassischen als  auch nach agilen Methoden bewerten können. Dabei sind  Erfahrung und spezifisches Einfühlungsvermögen des Auditors  unerlässlich. 

Seminarempfehlung

Heidelberg14.-17. Mai 2024

Validierung computergestützter Systeme (CV 1) & SPS in der Pharmaindustrie (CV 10)

Besonders die tatsächliche Umsetzung und Einhaltung der Anforderungen  ist nur durch ein Audit feststellbar. Die Kritikalität  von gefundenen Mängeln muss dann risikobasiert in Relation  zum Einsatz der auditierten Software festgelegt werden. Hieraus  können sich sogar neue Anforderungen an die Software oder weitere Tests für die Validierungsphase ergeben. Sind  mögliche Lücken und Mängel nicht technisch lös- bzw. kontrollierbar, können eventuell eigene prozedurale Maßnahmen potenzielle Risiken im späteren Betrieb minimieren. 

Risikobetrachtungen von IT- und Lieferanten-  Audits harmonisieren

Wie verfährt man aber, wenn sich ein Software-Anbieter nicht auditieren lässt - etwa ein bestimmter Cloud-Anbieter oder  Marktführer? Typischerweise liegen von solchen Herstellern  Whitepapers oder Verbands-Audits vor, alternativ wird ein Remote-  Zugang zum QMS gewährt. In beiden Fällen ist dann zumindest  ein "Paper-Audit" durchführbar, bei dem die vorhandenen Unterlagen gegen die eigenen Anforderungen geprüft  werden. Potenzielle Gaps müssen dann wieder durch eigene  Maßnahmen wie Validierungstests oder prozedurale Kontrollen  beherrscht werden. Die Zielsetzung ändert dies nicht: Letztendlich müssen beide, sowohl klassische Lieferanten- als auch  IT-Audits dazu beitragen, ein niedriges Qualitäts- und somit  Patientenrisiko zu generieren. 

 

Autor:
Dr. Georg Sindelar
... ist Head of Pharma QMS Consulting bei der msg industry advisors ag. Seine Beratungsschwerpunkte liegen in den Bereichen GMP Compliance, Auditierung und Qualitätsmanagementsystem-Optimierung.

Fußnoten:
¹ AMWHV §9 & §11, EU GMP Guide, Annex 16.
² EU GMP Guide p1 Ch.5.27; vgl. auch AMWHV §11 (4).
³ vgl. GAMP5 Guide 5.3, 6.1.4 ff.
⁴ CSV: Computer System Validierung
⁵ QMS: Qualitätsmanagementsystem
⁶ SME: Subject Matter Expert
⁷ vgl. GAMP5 6.2.5.3.
⁸ Diese verleiht, vereinfacht gesagt, der Staat nur an Pharmazeutische und Wirkstoff-Hersteller.