Audit di Data Integrity: scopo, checklist e auditor

Introduzione

Ormai da diversi anni la compliance alla data integrity costituisce un focus di primaria importanza durante gli audit, siano questi di prima, seconda o terza parte.

In contesti e ruoli differenti, le aziende sono tenute a conoscerne gli aspetti fondamentali per assicurare e/o verificare che l’integrità dei dati ad impatto GMP sia mantenuta durante l’intero ciclo di vita degli stessi.

Assicurare la data integrity richiede un appropriato quality e risk management, inclusa l’aderenza a principi scientifici e alle good documentation practices – aspetti, tra gli altri, che devono essere sfidati in fase di audit.

Le buone pratiche di gestione dei dati si applicano a tutti gli elementi del Sistema di Qualità Farmaceutico e i corrispondenti principi si applicano, allo stesso modo, ai dati generati da sistemi elettronici e cartacei. E’ possibile affermare, pertanto, che in un audit di data integrity è coinvolta l’intera struttura qualitativa aziendale.


Vuoi approfondire l’argomento?
Ne parleremo nel webinar

Garantire la Data Integrity nel Laboratorio QC

Contesto normativo

Numerosi sono i riferimenti in ambito normativo internazionale che possono essere considerati nell’approccio alla data integrity:

  • WHO, Technical Report Series No. 996, Maggio 2016e Guideline on Data Integrity (DRAFT Giugno 2020)
  • EMA, Data integrity Q&A, Agosto 2016
  • FDA, Data integrity and compliance with drug CGMP Questions and Answers Guidance for industry, Dicembre 2018
  • MHRA, ‘GxP’ Data Integrity Guidance and Definitions, Marzo 2018
  • ISPE GAMP, Records and Data Integrity Guide, Marzo 2017; GPG Data Integrity – Key Concepts, Ottobre 2018; GPG Data Integrity – Manufacturing Records, Maggio 2019; GPG Data Integrity – Data Integrity by Design, Ottobre 2020

Nel contesto dell’audit di data integrity, il più recente riferimento è rappresentato dalla PIC/SGuidance, Good Practices for data management and integrity in regulated GMP/GDP environments, doc. PI 041-1” del 1° Luglio 2021.

La linea guida è stata scritta per le ispezioni di siti che svolgono attività di produzione (GMP) e distribuzione (GDP). I principi contenuti in questa guida sono applicabili a tutte le fasi del ciclo di vita del prodotto e possono essere utilizzati anche per audit di prima parte o come preparazione per audit di terza parte.

Audit di Data Integrity

Un audit di Data Integrity deve essere indirizzato alla verifica della compliance ai principi dell’ALCOA+, ma deve anche essere focalizzato sull’intera gestione del ciclo di vita del dato.

Come indicato dalla PIC/S, la gestione dei dati si riferisce a tutte quelle attività svolte durante il trattamento dei dati, inclusi, a titolo esemplificativo ma non esaustivo, la politica dei dati, la documentazione, la qualità e la sicurezza.

Le buone pratiche di gestione dei dati influenzano la qualità di tutti i dati generati e registrati da un produttore. Queste pratiche dovrebbero, naturalmente, garantire che i dati siano attribuibili, leggibili, contemporanei, originali, accurati, completi, coerenti, durevoli e disponibili; ma, i principi contenuti nelle PIC/S dovrebbero essere considerati anche nel più ampio contesto di un corretto sistema di Data Governance e quindi, in tutte quelle disposizioni che garantiscono lintegrità dei dati stessi.

Un audit di data integrity non sarà solo focalizzato sulla gestione tecnica del dato, ma riguarderà anche la disponibilità delle risorse, la cultura della trasparenza, il coinvolgimento del senior management, la formazione, il sistema procedurale, i processi di monitoraggio, etc. Unitamente a questo non dovranno mancare punti di attenzione sui sistemi computerizzati e sulla documentazione cartacea.

Operativamente, l’auditor potrà seguire un approccio a flussi, ad esempio verificando il flusso completo dei dati relativi ad un’analisi o ad un processo produttivo., Oppure potrà utilizzare un approccio che identifichi e valuti dal punto di vista dell’integrità i CQA (Critical Quality Attribute) e i CPP (Critical Process Parameter) dei processi.

Check list

Ai fini della esecuzione o della preparazione per un audit di data integrity, potrebbe essere utile la preparazione di check lists indicative dei principali punti da sfidare. Le check lists possono essere preparate come documenti esaustivi, considerando tutti i requisiti indicati nei criteri di riferimento adottati, o possono essere personalizzate di volta in volta, in accordo ad approcci risk based stabiliti sulla base delle criticità riscontrate.

Nel caso di audit di prima o seconda parte, personalizzare le check lists sulla base del know how aziendale e delle criticità emerse durante la fase di raccolta informazioni preliminare, è da considerarsi un utile punto di partenza.

Gli audit e, conseguentemente, le check lists possono essere suddivise in macro argomenti, a titolo esemplificativo:

  • verifica della governance
  • verifica della gestione dei sistemi computerizzati
  • verifica della gestione di dati elettronici
  • verifica della gestione delle true copies
  • verifica della gestione dei dati cartacei
  • verifica della gestione dei sistemi ibridi

Ciascun marco argomento, suddiviso in dettagli, può rappresentare una guida per l’auditor. Sotto sono riportati stralci esemplificativi di check lists:

Governance
DomandaEsitoNoteRif. linee guida PIC/S 041-1 2021
Esiste una Governance o Policy per la gestione dell’integrità dei dati?5.2.3
È stato eseguito un Risk Assessment per verificare la conformità dei sistemi, in particolare strumentazione di laboratorio e equipment di processo, verso i requisiti di Data Integrity?5.3.4
Durante le Self Inspection vengono osservati aspetti di Data Integrity?5.2.3
Convalida sistemi computerizzati
DomandaEsitoNoteRif. linee guida PIC/S 041-1 2021
I software ad impatto GxP sono stati convalidati verso le normative rilevanti (Annex 11, 21CFR part 11, ecc.)?9.3 (expectation 1)
I SW sono mantenuti in stato di convalida (SOP di mantenimento e periodic review)?9.3 (expectation 5)
Le interfacce tra sistemi (e.g. PLC macchina, software gestionali, strumenti di laboratorio) sono convalidate?9.4 (expectation 1)
Data Integrity: DATI ELETTRONICI
DomandaEsitoNoteRif. linee guida PIC/S 041-1 2021
Il ruolo di amministratore del sistema è assegnato a enti aziendali che non sono direttamente coinvolti nella gestione dei dati critici, in accordo al principio della segregation of duties?9.5 (expectation 1)
L’accesso ai sistemi informatici è consentito mediante username e password personali?9.5 (expectation 1)
Il sistema consente la modifica della password da parte dell’utente?9.5 (expectation 1)
Data Integrity: AUDIT TRAIL
DomandaEsitoNoteRif. linee guida PIC/S 041-1 2021
La funzionalità dell’audit trail è convalidata?9.6 (expectation 1)
L’audit trail è periodicamente rivisto?9.8 (expectation 2)
Data Integrity: DATI CARTACEI
DomandaEsitoNoteRif. linee guida PIC/S 041-1 2021
Esiste una procedura che regoli la generazione dei documenti Master (e.g. Master Batch Record, versione Master di una SOP, Metodo, ecc.)?
I master sono identificati con codice univoco, versione, riferimento a SOP.
8.1.3
Esiste una procedura che regoli la generazione di documenti a partire dai documenti Master che assicuri l’integrità di questi ultimi?8.1.3
Le procedure cartacee sono generate in maniera tale che sia assicurata la loro riconciliazione (distribuzione controllata)?8.1.3

L’auditor

Indipendentemente dall’utilizzo della check list, il lead auditor selezionato deve essere competente nelle norme che si applicano, nelle tecniche di verifica ispettiva, nella conduzione di un gruppo d’ispezione; deve essere stato preventivamente qualificato e la sua qualifica deve essere stata mantenuta nel tempo.

L’auditor deve inoltre assicurare imparzialità, eticità, segretezza, oltre che possedere caratteristiche personali tali che gli permettano di eseguire l’attività con completezza e professionalità, nel rispetto delle caratteristiche specifiche del compito da svolgere.

In conclusione

Concludendo, un audit di data integrity necessita di un’attenta analisi di tutte le attività effettuate per la gestione dei dati, dall’organizzazione aziendale al sistema di qualità. L’attività deve essere svolta da personale competente e tecnicamente preparato, in modo tale che le evidenze siano raccolte secondo approccio risk based e che siano significative delle conclusioni dell’audit stesso.

Il contributo di Quality Systems

Possiamo darti una mano con attività di consulenza o di supporto alla preparazione delle procedure, e possiamo prenderci prenderci cura della tua formazione GxP, sia con un ricco calendario di eventi che con la possibilità di organizzare attività in-house.

Articolo a cura di Marta Carboniero, GxP Expert di Quality Systems

QRM: la checklist per gli auditor

Dal 1° Gennaio 2021 sono entrate in vigore le revisioni degli Aide Memoire delle linee guida PIC/S.
Gli Aide Memoire sono documenti utili a chi svolge attività di Auditor perché forniscono delle vere e proprie checklist con domande da porre relative agli ambiti GMP oggetto di audit e specificano il punto norma in cui trovare il riferimento.

Il processo di revisione degli Aide Memoire, riguardante l’aggiornamento dei riferimenti normativi, ha interessato questi documenti:

  • PI 024-3 Aide Memoire on Biotech
  • PI 028-2 Aide Memoire on Packaging
  • PI 038-2 Aide Memoire on Assessment of QRM Implementation

Di seguito vediamo nello specifico l’Aide Memoire sull’implementazione del Quality Risk Management.

Quality Risk Management

Questo documento ha lo scopo di assistere gli ispettori nell’implementazione del QRM all’interno delle aziende e di armonizzare le attività di audit all’interno degli Stati membri.

Sistemi complessivi

Questa prima sezione del documento ha lo scopo di dimostrare l’integrazione dei principi del QRM nel sistema operativo dell’azienda e il supporto attivo del Senior Management.
Le domande presenti in questa sezione mettono in evidenza:

  • l’uso pianificato del QRM,
  • la definizione e la documentazione degli elementi chiave del programma di QRM
  • la comunicazione dei risultati
  • il supporto del Senior Management

Alcuni esempi:

1.3 – What evidence is there that senior management shows commitment to the programme?
ICH Q10 & GMP Guide 1 Principle

1.6 – QRM activities are monitored, evaluated and reviewed for effectiveness?
GMP Guide 1.12

1.10 – The QRM methodologies are selected and applied?
GMP Guide 1.12

Come il QRM dovrebbe essere implementato

Il fine di questa sezione è dimostrare che il livello di sforzo, formalità e documentazione del processo di QRM è commisurato al livello di rischio.
Deve essere garantito che:

  • i Risk Assessment si basino su conoscenza scientifica ed esperienza;
  • l’azienda sia consapevole che conclusioni sbagliate portano a una valutazione del rischio inadeguata;
  • l’azienda sappia che l’uso di risorse esterne comporta un rischio maggiore.

Inoltre, gli ispettori devono prestare attenzione anche alla valutazione dei rischi complementari, come quelli relativi ad ambiente, salute e sicurezza sul lavoro, poiché possono compromettere la qualità.

Alcune domande:

2.4 – Is [the Risk Assessment] conducted in a systematic manner and supported by appropriate evidence for risk mitigation?
GMP Guide: 1.12 & 1.13

2.8 – Does [the Risk Assessment] ensure that key steps and decisions are documented with a formality that is commensurate with the level of risk?
GMP Guide 1.13

Aree e attività che dovrebbero essere interessate dal QRM

La sezione seguente è relativa alle aree in cui risulta ragionevole applicare i principi del QRM, ad esempio change control, deviazioni, metodi di campionamento, monitoraggi in-process…
L’Annex 20 (Potential Applications for Quality Risk Management) fornisce i suggerimenti per l’implementazione.

Alcune domande:

3.1 – To what extent does the company use the potential applications of QRM suggested in ICH Q9?
GMP Guide Annex 20

3.9 –The following areas of operation are examples of where there should be evidence of the implementation of QRM principles: validation and qualification.
GMP Guide Annex 15

Revisione dei rischi residui

In questa sezione si indaga se l’azienda ha previsto una routine di realizzazione, comunicazione e documentazione dei Risk Assessment e dei risultati dei piani di gestione del rischio, che devono essere revisionati periodicamente e aggiornati in caso di cambiamenti.

Un modello per il riesame della direzione è fornito nell’ICH Q10.

Alcune domande:

4.1 – Is there a robust system to ensure that all the risk reduction measures (by mitigation or avoidance) have really been implemented in the manner they appear in the risk assessment?

4.2 – Are individual risk assessments and their outcomes reviewed, controlled and re-assessed periodically for currency?
ICH Q10

4.5 – Are the reviews of the risk management plans effective; for example are the following covered: responsibilities?
GMP Guide 1.12

Revisione e miglioramento delle attività di QRM

Dopo l’implementazione, l’azienda dovrebbe realizzare, comunicare e documentare le revisioni periodiche del QRM relativamente alla sua integrazione nelle attività aziendali, la sua gestione e implementazione.
Inoltre, andrebbe promosso il miglioramento continuo..

5.3 – Are the reviews of the QRM system effective; for example are the following covered: frequency?
GMP Guide 1.12

5.7- Are the reviews of the QRM system effective; for example are the following covered: recommendations and follow up?
GMP Guide 1.12


Fonte

PI 038-2 Aide Memoire on Assessment of QRM Implementation

Arriva la checklist per prepararsi alla Brexit

La fine del periodo di transizione per la Brexit si avvicina e ancora non c’è un accordo tra UE e UK.
Dopo aver pubblicato una comunicazione per prepararsi al cambiamento della Brexit, la Commissione Europea ha ora pubblicato una checklist per aiutare le aziende europee nei loro rapporti con il Regno Unito e capire se arriveranno pronte al 1 gennaio 2021.

Il documento si apre proprio con la deadline: le aziende che hanno rapporti con il Regno Unito devono essere pronte per il 1 gennaio 2021. Il cambiamento è inevitabile.

I punti chiave che emergono dalla checklist sono i seguenti:

  • Le aziende che acquistano merci dal mercato UK e le immettono sul mercato UE diventeranno importatori; le aziende che distribuiscono sul mercato UK diventeranno esportatori.
    Dovranno quindi familiarizzare con le leggi UE che regolano import/export con i Paesi Terzi.
  • Tutti i prodotti commercializzati tra UK e UE saranno soggetti ai controlli necessari a garantire la sicurezza e la salute dei cittadini.
    Dunque le aziende dovranno conoscere le formalità doganali che si applicheranno a partire da gennaio 2021.
  • Le aziende dovranno dare prova dell’origine delle merci. Merci che non soddisfano questo requisito saranno soggette a dazi doganali (anche in caso di accordi commerciali che prevedono il libero scambio).
  • Le regole per il pagamento e il rimborso dell’IVA cambieranno.
  • Le autorizzazioni all’immissione in commercio UK non saranno più valide sul mercato UE. Laddove la legge UE richieda la certificazione da parte di un Organismo Notificato (ad esempio per i dispositivi medici), i prodotti certificati da Organismi con sede in UK non saranno vendibili sul mercato UE.
  • Le norme UE in materia di registrazione, valutazione, autorizzazione e restrizione dei prodotti chimici (REACH) non si applicheranno in UK.
  • A partire dal 1° gennaio 2021, il Regno Unito non sarà più coperto dalle norme dell’UE sul riconoscimento dei titoli di studio. I cittadini britannici e i cittadini dell’UE con qualifiche acquisite nel Regno Unito dovranno far riconoscere il titolo di studio dallo Stato membro in cui intendono farlo valere.
  • La trasmissione di dati personali dall’UE al Regno Unito sarà soggetta alle norme per i trasferimenti di dati a Paesi Terzi, come stabilito nel GDPR.

Fonte

‘BREXIT READINESS CHECKLIST’ FOR COMPANIES DOING BUSINESS WITH THE UK

Corso per Auditor/Lead Auditor di sistemi di gestione per la qualità ISO 9001 ed EU GMP_ modulo 2

Corso qualificato AICQ-SICEV

EVENTO AL COMPLETO. ISCRIZIONI CHIUSE

A chi si rivolge

Il corso è dedicato a tutti coloro che intendono intraprendere l’attività di auditor, sia in ambito di certificazione (parte terza) sia in contesti aziendali (auditor interni) o presso i fornitori della propria organizzazione. Risulterà utile a tutti coloro che sono coinvolti nella realizzazione di Sistemi di Qualità o migliorare la gestione dei sistemi già esistenti.

Il corso completo (MOD1 e MOD2-GMP) permette di soddisfare i requisiti di formazione richiesti da AICQ-SICEV per l’ammissione agli esami di Valutatore dei Sistemi di Gestione per la Qualità ISO con qualifica GMP 

Prerequisiti per la partecipazione:

  • Conoscenza di base dei requisiti ISO 9001:2015, ISO 19011:2018, ISO 17021:2015
  • Conoscenza di base delle EU GMP parte I e II
  • L’accesso al MOD2 è possibile anche a tutti coloro che già possiedono un riconoscimento di Auditor di Sistema di Gestione della Qualità ISO.

ATTENZIONE
La frequenza ai due moduli è obbligatoria nel caso si voglia accedere al percorso di certificazione di AUDITOR presso AICQ-SICEV ma resta indipendente nel caso non si voglia percorrere tale strada.

Il numero di partecipanti è limitato a 20, le iscrizioni saranno accettate in ordine di ricevimento.

Programma

Il corso ha l’obbiettivo di formare i partecipanti al ruolo di Auditor/Lead Auditor dei sistemi di gestione della Qualità secondo le ISO 9001 e le GMP del settore farmaceutico (per produzione principi attivi e prodotto finito), garantendo una formazione teorica e pratica sulla conduzione di audit in ambito farmaceutico.

Il corso completo ha una durata di 4 giorni per un totale di 32h complessive e consentirà di acquisire gli elementi e gli strumenti di base necessari per gli auditor di sistemi di gestione della qualità.
Il percorso è MODULARE per consentire a coloro che già possiedono una certificazione di Auditor  ISO di poter accedere alla sola parte di “approfondimento” relativa alle GMP (Modulo 2-GMP).

La partecipazione allo specifico MODULO 2-GMP sarà utile per comprendere e rinforzare i comportamenti idonei per condurre un efficace Audit ISO-GMP nelle diverse aree aziendali.

AGENDA_ MODULO 2 – GMP

Giorno 1

  • Rapido richiamo ai concetti esposti nel MOD1
  • Condurre un Audit GMP al Magazzino di Materie Prime e Prodotti finiti
  • Esercitazione 1: check list per audit in magazzino
  • Condurre un Audit GMP in Produzione di prodotti finiti
  • Condurre un Audit GMP al Confezionamento farmaceutico
  • Verifica dei documenti GMP di produzione
  • Condurre un Audit GMP in Produzione API
  • Esercitazione 2: check list per audit in produzione

Giorno 2

  • Condurre un Audit GMP al laboratorio Controllo Qualità
  • Esercitazione 1: role play – a spasso nel Laboratorio CQ
  • Condurre un Audit GMP a un impianto dell’acqua (Purified Water e Water for Injection)
  • Esercitazione 2: check list per impianto acqua
  • Condurre un Audit GMP ai sistemi computerizzati
  • condurre un Audit GMP alla Quality Assurance
  • Esercitazione 3: conduzione di una riunione di chiusura (Role Play)
  • Test finale di valutazione delle conoscenze acquisite: 1 test di valutazione di circa 10 scenari per la classificazione delle NC + 10 punti GMP da individuare 
  • Cleaning Validation
  • Discussione e verifica del test finale