Erfolgskritische Aspekte der Auditierung von IT-Lieferanten und Dienstleistern
Partner oder Risiko? Gerade in der global produzierenden Pharmaindustrie ist diese Fragestellung nicht trivial. Für mehr Transparenz im Qualitätsmanagement können Digitalisierungsmaßnahmen sorgen. Doch immer wieder auftretende Rückrufe und Engpässe bei Arzneimitteln zeigen, dass damit neue Herausforderungen einhergehen. Ein wichtiger Schritt zur Risikominimierung liegt darin, der Auditierung von kritischen IT-Technologien ebenso hohe Priorität einräumen wie den „klassischen“ Lieferanten-Audits.
Risikofaktor Digitalisierung beachten
Lieferantenaudits sind vom Gesetzgeber als Bestandteil eines effizienten Lieferantenmanagements vorgesehen. Dabei ist eine physische Auditierung nur für Auftrags-Hersteller, -Labore und Wirkstoffhersteller / Lieferanten vorgeschrieben (1). Jedoch ergibt sich aus dem in den GMP Guidelines vorgegebenem risikobasierten Ansatz (2) und aus der AMWHV §9.2 eine gewisse Verpflichtung zur Auditierung auch von weiteren kritischen Lieferanten. Darüber hinaus gebietet ein risikobasierter Ansatz hinsichtlich Geschäftsrisiken ebenfalls, kritische Lieferanten genauer zu betrachten.
Wer oder was dabei als „kritisch“ gilt, ist heute eng mit der fortschreitenden Digitalisierung verknüpft: immer mehr Prozesse in der pharmazeutischen Herstellung und Inverkehrbringung werden per IT gesteuert und kontrolliert, womit sich deren Einfluss und somit die Kritikalität auf Produktqualität, Patientensicherheit und Geschäftsbetrieb erhöht. Wenngleich ein computerisiertes System vor Nutzung stets validiert werden muss, empfiehlt es sich für kritische Systeme, den Lieferanten zuvor zu auditieren und sich so ein besseres Bild seiner Arbeitsweise und Qualitätssicherung zu verschaffen (3). Noch wichtiger wird dies bei einer starken Abhängigkeit von Lieferanten wie bspw. Anbietern von Cloud-Lösungen, auf die immer mehr Pharmafirmen auch für sehr produktqualitätsnahe Systeme wie MES und LIMS zurückgreifen.
Kompetenzschnittstelle schaffen
Allerdings beschäftigt sich die Lieferantenqualifizierung i.d.R. eher mit stofflichen Lieferanten. Wie also bettet man solche IT- oder CSV-bedingten Audits (4) in diese Prozesse und in das eigene QMS (5) mit ein? Und wie führt man solche Audits am besten durch? Schließlich sind die typischen Auditoren in einem Unternehmen eher Herstellprozess-, QC- und QA- Experten, während die IT und CSV Experten wiederum oft keine typischen „Auditoren-Skills“ haben.
Hinzu kommen technologische Herausforderungen. Zum Beispiel sind insbesondere bei Cloud-basierten Anwendungen die Service Level Agreements das qualitätsgarantierende „A und O“ der kontinuierlichen Service-Erbringung. Eben diese SLAs sind aber nutzungsbedingt sehr technisch formuliert und für viele Nicht-IT-Experten unverständlich.
Spezialistenexpertise effektiv kombinieren
Für ein „IT-Audit“ – etwa zur Auditierung eines Software-Herstellers – benötigt man also einen IT-Experten, welcher nicht nur über Auditor-Erfahrung verfügt, sondern darüber hinaus über Expertise in pharmazeutischen QM-Systemen und oft auch CSV. Zudem muss dieser Experte die SLAs verstehen und interpretieren können, um deren korrekte Umsetzung zu verifizieren, was wiederum forensische Auditor-Skills benötigt. Hat man solche Experten nicht in-house verfügbar, kann man (wie für alle Audits nach §11 AMWHV) auf externe Ressourcen zurückgreifen. Alternativ wird ein „klassischer“ Auditor von einem IT-Experten / SME (6) begleitet. Auf jeden Fall müssen im Audit die Anforderung an das IT-System sowie die geplante oder existierende Nutzung und deren Einfluss auf Produkt- und Patientensicherheit bekannt sein, um die richtigen Aspekte in angemessener Breite und Tiefe während des Audits zu berücksichtigen.
IT-Audits in Lieferantenqualifizierung integrieren
Die Einbettung des Audits in die existierende Lieferantenqualifizierung (7) geschieht entweder über herkömmliche Kategorisierungsprozesse mit risikobasierter Zuweisung einer einmaligen oder wiederkehrenden Auditanforderung oder wird direkt einmalig aus einem Projekt zur Softwareimplementierung angestoßen. Das Audit wird dann nach zeitlichem Bedarf oder nach allgemeinem Vorgehen im Audit- (Jahres-) Kalender terminiert. Unbedingt zu berücksichtigen sind die folgenden Anforderungen an den auditierten Software-Betrieb („Auditee“):
- Systematisches QMS: Obwohl die Software bei Lieferung und vor Nutzung nach GMP, oder besser gesagt nach GAMP, validiert werden muss, kann vom Lieferanten per se keine GMP Zertifizierung erwartet werden (8). Jedoch sollte ein möglichst systematisches QMS existieren, das beispielsweise den Anforderungen von GAMP genügen muss. Letztlich muss das QMS die Qualitätsanforderungen des Auftraggebers erfüllen – die man wiederum mittels detaillierter Quality-/Service Level Agreements definiert.
- Software-Lebenszyklus: Im QMS muss der komplette Software-Lebenszyklus geregelt sein und auch eingehalten werden. Dieser umfasst i.d.R. kontrollierte Entwicklung, Testing, Design-Freeze bzw. Konfigurations-Beherrschung und finale Freigabe sowie das Release und Change-Management.
- Kompetenzentwicklung: Ebenso lassen sich im Audit das Qualitätsbewusstsein und die Schulung der Mitarbeiter hinsichtlich GMP-Relevanz besser evaluieren. Hierbei muss der Auditor bzw. das Auditorenteam die Funktionalität des QMS sowohl bei Vorgehen nach klassischen als auch nach agilen Methoden bewerten können. Dabei sind Erfahrung und spezifisches Einfühlungsvermögen des Auditors unerlässlich.
Besonders die tatsächliche Umsetzung und Einhaltung der Anforderungen ist nur durch ein Audit feststellbar. Die Kritikalität von gefundenen Mängeln muss dann risikobasiert in Relation zum Einsatz der auditierten Software festgelegt werden. Hieraus können sich sogar neue Anforderungen an die Software oder weitere Tests für die Validierungsphase ergeben. Sind mögliche Lücken und Mängel nicht technisch lös- bzw. kontrollierbar, können eventuell eigene prozedurale Maßnahmen potenzielle Risiken im späteren Betrieb minimieren.
Risikobetrachtungen von IT- und Lieferanten-Audits harmonisieren
Wie verfährt man aber, wenn sich ein Software-Anbieter nicht auditieren lässt – etwa ein bestimmter Cloud-Anbieter oder Marktführer? Typischerweise liegen von solchen Herstellern Whitepapers oder Verbands-Audits vor, alternativ wird ein Remote-Zugang zum QMS gewährt. In beiden Fällen ist dann zumindest ein „Paper-Audit“ durchführbar, bei dem die vorhandenen Unterlagen gegen die eigenen Anforderungen geprüft werden. Potenzielle Gaps müssen dann wieder durch eigene Maßnahmen wie Validierungstests oder prozedurale Kontrollen beherrscht werden. Die Zielsetzung ändert dies nicht: Letztendlich müssen beide, klassische Lieferanten- als auch IT-Audits dazu beitragen, ein niedriges Qualitäts- und somit Patientenrisiko zu generieren.
Quellenangaben u. Anmerkungen
(1) AMWHV §9 & §11, EU GMP Guide, Annex 16.
(2) EU GMP Guide p1 Ch.5.27; vgl. auch AMWHV §11 (4).
(3) vgl. GAMP5 Guide 5.3, 6.1.4 ff.
(4) CSV: Computer System Validierung
(5) QMS: Qualitätsmanagementsystem
(6) SME: Subject Matter Expert
(7) vgl. GAMP5 6.2.5.3.
(8) Diese verleiht, vereinfacht gesagt, der Staat nur an Pharmazeutische und Wirkstoff-Hersteller.