Il 24 febbraio Marta Carboniero, GxP Compliance Expert di Adeodata, ha tenuto un free webinar sulle non conformità più diffuse rilevate in fase di audit dai nostri esperti “Audit Report 2022: le non conformità più comuni”. Ecco le risposte a tutte le domande che sono state poste dai partecipanti durante l’incontro.
1. È realistico che l’investigazione di una deviazione si completi in 3 giorni lavorativi?
Dipende dalla deviazione, è possibile che sia completata in due/tre giorni lavorativi oppure che ce ne vogliano 30.
Quello che è importante, nella gestione di una deviazione è verificare in tempistiche celeri (1-2 giorni) l’impatto della stessa e attuare eventuali trattamenti o correzioni, in modo da isolare il problema. A seconda del grado dell’impatto e quindi della relativa classificazione, si può poi procedere all’indagine in tempi diversi.
2. Formazione auditor: è più corretto che l’auditor in training esegua due audit da osservatore + un audit da lead auditor, oppure tre audit da osservatore?
Le GMP/GDP non indicano espressamente quanti audit in affiancamento è più corretto fare, però la pratica più comune prevede tre audit in affiancamento (variando i reparti) e un audit come lead.
3. La non apertura delle CAPA per le eventuali raccomandazioni, non rischia che se ne perda traccia?
Le raccomandazioni, proprio per loro natura, possono non essere accettate dall’auditato, soprattutto se questo è indicato espressamente nel report, pertanto il fatto di perderne traccia non dovrebbe costituire una mancanza GMP.
4. In generale, se i criteri di riferimento sono gli stessi (es. GDP), un auditor interno può svolgere anche audit di seconda parte?
Se i criteri sono gli stessi, generalmente un auditor interno effettua anche audit di seconda parte, attenzione: nel caso in cui le SOP interne (quella delle self inspection e quella degli audit esterni) differiscano, ci vuole almeno il training per entrambe. Suggerisco comunque, in questo caso, di effettuare almeno un audit di seconda parte in affiancamento (es. due interni e uno esterno)
5. Vorrei sapere se la mancata possibilità di rilasciare il tracciato delle temperature a cui è stata sottoposta la merce durante il trasporto può essere inquadrata come non conformità minore?
La mancata possibilità di rilasciare tracciato può costituire deviazione minore o maggiore a seconda dei casi: ad esempio una merce sotto cold chain che viaggia a luglio in territorio Italiano costituisce una criticità maggiore rispetto ad una merce 15-25°C che viaggia in primavera. Dipende dai casi, per valutare la classificazione, bisogna valutare caso per caso. A mio parere è comunque una deviazione.
6. Relativamente alla seguente NC: “Process Validation: PQ requires a minimum of 3 consecutive batches, but the number of batches must be justified” non ho compreso se:
– occorre giustificare perchè ho scelto 3 lotti oppure
– occorre giustificare il fatto che non siano stati scelti 3 lotti
La deviazione era dovuta al fatto che l’auditor si aspettava che la scelta di tre lotti in PQ fosse motivata e non lo era. Personalmente posso aggiungere che, in accordo all’Annex 15, questa poteva anche non essere una deviazione, magari una raccomandazione. Contestualizzando, la deviazione è stata assegnata ad una ditta indiana e l’auditor era indiano, pertanto è possibile che la loro prassi nell’applicazione delle EuGMP preveda una giustificazione. Era comunque una minore.
7. Riguardo gli OOS, un ispettore ci ha suggerito di inserire la QP invece che QA in quanto il QA non ha necessariamente conoscenza del laboratorio mentre la QP per definizione deve averla (almeno secondo le attuali normative.) E’ necessario inserire nell’indagine di laboratorio il QA anche se c’è comunque la QP?
Bisognerebbe capire bene in quale fase della gestione OOS era previsto il coinvolgimento del QA.
Mi spiego: solitamente QA non interviene nell’indagine di OOS nelle sue prime fasi (IA e IB), in quanto sono indagini di laboratorio.
Necessariamente interviene invece nella fase II, nel caso ci fosse quindi coinvolgimento di reparti produttivi.
La QP firma come chiusura/approvazione/giudizio finale OOS.
Secondo il mio parere, non era necessario il coinvolgimento del QA nella fase di indagine di laboratorio, se è a quella che ci stiamo riferendo, personalmente lo escluderei a priori.
8. Per la formazione del personale, ad esempio il training legato alla revisione di una SOP, può essere sufficiente formalizzare il training sul form dedicato alla registrazione dei training oppure è necessario allegare un’evidenza dell’avvenuta formazione, ovvero un questionario di verifica apprendimento o un email in cui vengono spiegate le modifiche della SOP in revisione?
Dipende da quali sono le modifiche al documento: se è una modifica formale (es. cambio layout) senza modifiche operative, va bene la formalizzazione su form dedicato.
Nel caso invece in cui le modifiche siano sostanziali (es. cambio operatività), è preferibile effettuare una prova di valutazione (es. questionario).
Escluderei invece gli scambi di mail per documentare una formazione.
9. Come deve essere strutturato un modulo di avvenuta formazione per essere considerato completo?
Un modulo di avvenuta formazione deve riportare al minimo: data di formazione e durata, argomento (titolo e breve descrizione), formatore e personale formato (nome-firma-data ), esito.
10. Document & Record Retention: è accettabile archivio unicamente cartaceo per coc/ coa da fornitore per raw material di packaging secondario? Ci sono differenze tra requisiti Eudralex e ISO13485?
Sì, è accettabile per entrambe (ISO/GMP); se si rispettano i corrispondenti requisiti, non dovrebbero esserci controindicazioni a livello normativo; è pur vero che, probabilmente, un ipotetico ispettore spingerà per una gestione elettronica, come stanno già facendo in molti casi.
11. Controllo delle condizioni di trasporto raw material in incoming: è accettabile affidare la responsabilità al supplier definendolo in apposito quality agreement? Oppure il produttore del prodotto finito deve mantenere supervisione delle condizioni di trasporto (es. verifica data logger, mantenimento validazione trasporto)? È accettabile mantenere la supervisione non per singolo lotto ma in occasione di audit a supplier?
E’ possibile definire in un QTA chi ha la responsabilità di assicurare che il trasporto avvenga in condizioni controllate e chi debba effettuare convalida (es. supplier). All’arrivo della merce è però sempre richiesta una verifica da parte della sede ricevente, che, si suppone, sia anche l’utilizzatore della stessa (controllo identità, integrità, temperatura soprattutto in caso di cold chain, verifica del mezzo etc…).La convalida di trasporto e successive può essere verificata in sede di audit al supplier.
12. Formazione internal auditor: pur avendo ben definito e documentato training teorici e on the job per qualifica di auditor, è generalmente richiesta prova di esperienza sulla specifica area auditata? Oppure la formazione generale può abilitare l’auditor all’ispezione di qualsiasi area aziendale?
Per la qualifica di un auditor non basta solo la formazione, è necessario considerare altri fattori, ad esempio il grado di istruzione, l’esperienza e il campo lavorativo.
Es. Se un collega ha lavorato in passato X anni in QC, è possibile bypassare la prova di esperienza su QC, basandosi sulle sue conoscenze ed esperienze passate. Se mi trovo invece di fronte ad un collega neolaureato o neodiplomato, una prova pratica su ciascuna area potrebbe essere richiesta.
13. C’è una differenza specifica tra DEVIAZIONE e NON CONFORMITA’?
Tendenzialmente non c’è differenza, a meno che, all’interno delle vostre procedure aziendali, vogliate differenziare i due aspetti.
Es. deviazione per ragioni commerciali/marketing, NC per anomalie GMP, ma è una scelta interna, nella maggior parte dei casi non c’è differenza. Specificatelo in procedura.
14. Periodic review dell’infrastruttura IT e Restore hanno una frequenza da rispettare nell’anno?
Non ci sono frequenze predefinite, decide l’azione regolata sulla base di un’analisi dei rischi. Di solito la revisione viene fatta annualmente o ogni due anni.
15. Qual è il miglior tool in sostituzione all’Excel per la gestione degli elenchi?
Ce ne sono di diverso tipo, la scelta dipende dall’utilizzo che se ne vuole fare e dalla verifica della loro compliance GMP, ne cito qualcuno a solo titolo esemplificativo. Ripeto, è da valutare l’eventuale applicabilità ai requisiti GMP.
- I sistemi EDMS e QMS (come Adiuto) per la gestione di elenchi relativi a change, deviazioni etc…
- Sharepoint, ad esempio attraverso l’applicazione “lists”, anche se Sharepoint continua ad avere alcune limitazioni relativamente alla compliance.
- Sistemi che supportano la gestione di anagrafiche e scadenziario (ad esempio manutenzione di equipment) che possono essere adattati per gestire altri elenchi.
16. Cosa intendete per tool di infrastruttura? (la deviazione era: I tool di infrastruttura non sono qualificati né sono oggetto di SOP/WI ufficiali)
I SW tool di infrastruttura includono quei tool come i SW per il monitoraggio della rete, i tool per la schedulazione dei job, i SW di sicurezza, gli antivirus, e i tool per la gestione della configurazione (GAMP5 ed.2 Appendix M4 §12.3.4).
17. Ambito GMP dove si è fatta la mappatura iniziale del magazzino che ha un sistema computerizzato convalidato di monitoraggio e controllo, la mancanza della mappatura periodica come si potrebbe considerare?
Bisogna fare riferimento alla linea guida WHO No. 961, 2011, che definisce che la mappatura deve essere ripetuta con una certa periodicità per valutare la compliance: in generale si prevede una ripetizione della mappatura ogni 3-massimo 5 anni; nella maggior parte dei casi per le camere fredde anche ogni anno; suggerirei di operare con risk assessment.
Si tratta di una linea guida, le EuGMP sono un po’ scarne da questo punto di vista, però è riconosciuta per mappature sia di magazzini che incubatori ecc., in generale potrebbe essere una deviazione minore, per camere fredde anche maggiore se non ripetuta da parecchi anni.
18. Per la qualifica di sedi corporate, se si definisce in procedura che ha una criticità minore rispetto ai criteri di qualifica degli altri fornitori, può essere valido?
Non è possibile rispondere in maniera univoca a questa domanda: dipende dall’attività o dal prodotto che la sede corporate fa. Se, dall’analisi/risk analysis effettuata all’interno della vostra sede, la sede corporate risulta a basso impatto ok, ma deve essere evidenziato e dimostrato, non può essere preso di default (es. se la sede corporate effettuata per mio conto una sterilizzazione di prodotto, non può essere considerata a bassa criticità, anche se è una sede del gruppo).
19. Come gestire i sistemi non GMP ma sicuramente impattanti la ISO9001?
La 9001 non necessita convalida software, per cui potrebbero essere sufficienti i controlli inziali, che solitamente fa l’installatore e i controlli periodici di manutenzione del sistema.
Non mi aspetto una convalida in compliance con Annex 11 e simili.
20. Cosa si intende per “fogli con pochi dettagli” nelle evidenze della formazione? Cosa mancava?
Le evidenze della formazione devono, al minimo, riportare titolo e breve descrizione della formazione, nome del trainer e del personale sottoposto alla sessione, data della sessione con giorno, ora e durata, firme e date sia del formatore che del personale, esito. In questo caso mancava la durata, l’esito e la firma del formatore.
Articolo a cura di
Marta Carboniero
GxP Compliance Expert, Adeodata srl
