Risk-Based GMP-Programm für interne Audits: Jahresplan „inspektionssicher“ gestalten

Internal GMP Audits: how to make them effective, risk-based, and defensible during AIFA/FDA/EMA inspections

Risk-Based GMP-Programm für interne Audits: So erstellen Sie einen „inspektionssicheren“ Jahresplan

Wenn interne GMP-Audits ein echter Wettbewerbsvorteil sein sollen – und nicht nur eine formale Pflichtübung –, macht vor allem eines den Unterschied: die Planung.

Ein Inspektor lässt sich nicht dadurch überzeugen, dass viele Auditberichte vorhanden sind. Überzeugend wird ein Programm dann, wenn klar erkennbar ist, dass es:

  • vorab geplant ist – nicht improvisiert;
  • risikobasiert ist – mit Prioritäten dort, wo das Risiko am höchsten ist;
  • unabhängig durchgeführt wird – durch Auditoren ohne Interessenkonflikte;
  • End-to-End nachverfolgbar ist – vom Finding über CAPA und Wirksamkeitsprüfung bis hin zum Management Review.

Dieser Artikel führt Sie Schritt für Schritt durch den Aufbau eines robusten, nachvollziehbaren und wirklich nützlichen Jahresprogramms für interne GMP-Audits.

1) Was Regulierungsbehörden in der Praxis erwarten

In Europa ist die zentrale Referenz EU GMP Chapter 9 – Self Inspection. Dieses Kapitel fordert unabhängig durchgeführte Selbstinspektionen, dokumentierte Berichte sowie – sofern zutreffend – dokumentierte Beobachtungen und Korrekturmaßnahmen.

Wenn Sie ein modernes Auditprogramm aufbauen möchten, sollten Sie zwei weitere Säulen berücksichtigen:

  • ICH Q9(R1): Formalität, Aufwand und Dokumentation müssen dem Risiko angemessen sein.
  • ICH Q10 (PQS): Audits sind kein isolierter Prozess; sie müssen CAPA-Prozesse und Management Reviews speisen.

Operative Übersetzung: Auditieren Sie nicht alles „gleich“. Alles gleich zu auditieren ist eine der häufigsten Formen von Ressourcenverschwendung – und zugleich eine der am leichtesten angreifbaren Schwachstellen während einer Inspektion.

2) Schritt 1 — Definieren Sie das „Audit-Universum“ vollständig

Bevor Termine in den Kalender eingetragen werden, muss alles erfasst werden, was GMP-relevant ist.

Typische Beispiele:

  • Produktion – steril / nicht steril / Wägung / Verpackung
  • Chemische und mikrobiologische Qualitätskontrolle
  • QA-System – Dokumente, Training, Abweichungen, Change Control
  • Lager und Logistik – Status, Kennzeichnung, FEFO, Quarantänebereiche
  • Engineering / Instandhaltung – Kalibrierungen, Qualifizierungen
  • Validierung / CSV / Data Integrity – sofern anwendbar
  • Kritische ausgelagerte Tätigkeiten – mindestens als System über Supplier Management

Goldene Regel: Wenn ein Prozess Qualität, Patientensicherheit oder Datenintegrität beeinflussen kann, muss er auditierbar sein.

Schnellvorlage – Audit-Universum

Bereich / Prozess GMP-Kritikalität (H/M/L) Letztes Audit Ergebnisse der letzten 2 Audits Aktuelle Ereignisse (Deviation/OOS/Change) Notizen






Interne GMP-Audits: wie man sie wirksam, risikobasiert und in AIFA/FDA/EMA-Inspektionen verteidigungsfähig gestaltet

3) Schritt 2 — Legen Sie Prioritäten mit einer Risikomatrix fest: einfach, aber verteidigbar

Sie benötigen keine wissenschaftliche Abhandlung. Sie benötigen eine wiederholbare Methode.

Praktisches Beispiel: Matrix aus Schweregrad × Wahrscheinlichkeit

  • Schweregrad: potenzieller Einfluss auf Patient, Produkt oder Datenintegrität.
  • Wahrscheinlichkeit: Wahrscheinlichkeit, Nichtkonformitäten zu finden – basierend auf Historie von Abweichungen/OOS, Personalfluktuation, Änderungen und Reklamationstrends.

Dieser Ansatz entspricht dem Kernprinzip von ICH Q9(R1): Der Grad an Strenge muss proportional zum Risiko sein.

Vorlage – Scoring, empfohlen 1–5

  • Schweregrad: 1 (niedrig) → 5 (sehr hoch)
  • Wahrscheinlichkeit: 1 (selten) → 5 (häufig)
  • Gesamtrisiko = S × P
  • Schwellenwerte, Beispiel: 15–25 Hoch | 6–14 Mittel | 1–5 Niedrig

Realistisches Kurzbeispiel

Bereich / Prozess Schweregrad (S) Wahrscheinlichkeit (P) Gesamtrisiko Priorität
Sterile Produktion 5 4 20 Hoch
Mikrobiologische Qualitätskontrolle 4 3 12 Mittel
Lager für nicht kritische Materialien 2 2 4 Niedrig

4) Schritt 3 — Übersetzen Sie das Risiko in Auditfrequenz und Kalender

An diesem Punkt zeigt sich die Reife des Systems.

Typische Frequenzen, anzupassen an Ihren Kontext

  • Hohes Risiko: alle 6 Monate oder häufiger, wenn ein „For Cause“-Audit erforderlich ist
  • Mittleres Risiko: jährlich
  • Niedriges Risiko: alle 18–24 Monate, sofern begründet und dokumentiert

Berücksichtigen Sie auch „For Cause“-Audits

Ein inspektionssicheres Auditprogramm sieht ausdrücklich die Möglichkeit vor:

  • ein Audit vorzuziehen, wenn ein Signal vorliegt – wiederholte Abweichungen, OOS, EM-Trends, schwerwiegende Reklamationen oder relevante Änderungen;
  • ein gezieltes oder „Flash“-Audit zu einem kritischen Punkt durchzuführen.

Dieses Detail wirkt in einer Inspektion besonders positiv, weil es die Reaktionsfähigkeit des Pharmaceutical Quality System (PQS) belegt.

5) Schritt 4 — Weisen Sie wirklich unabhängige Auditoren zu – und machen Sie dies nachweisbar

EU GMP Chapter 9 ist eindeutig: Unabhängigkeit und Kompetenz sind erforderlich.

Operativ bedeutet das:

  • Vermeiden Sie, dass ein Verantwortlicher den eigenen Bereich auditiert.
  • Nutzen Sie Cross-Auditing – zum Beispiel QC auditiert Produktion, QA auditiert Engineering usw.
  • Für komplexe Themen wie CSV, Data Integrity oder sterile Prozesse sollten SME-Co-Auditoren oder externe Unterstützung in Betracht gezogen werden.

Vorlage – Auditorenregister für Inspektionen

Auditor Abteilung Auditierbare Bereiche GMP-Training Audit-Training Durchgeführte Co-Audits Durchgeführte Lead-Audits







6) Schritt 5 — Definieren Sie KPI und Nachweise für Governance

Wenn das Programm verteidigbar sein soll, müssen Sie innerhalb von 30 Sekunden folgende Fragen beantworten können:

  • Wie viele Audits waren geplant vs. abgeschlossen?
  • Wie lange dauert die Berichtserstellung im Durchschnitt?
  • Wie hoch ist der Anteil der fristgerecht abgeschlossenen CAPA?
  • Gibt es wiederholte Findings? Falls ja: warum?
  • Wie entwickeln sich Major- und Critical-Findings im Trend?

FAQ

Wie oft müssen interne GMP-Audits durchgeführt werden?

Das hängt vom Risiko ab. Hochrisikobereiche müssen häufiger abgedeckt werden. Entscheidend ist, dass die gewählte Frequenz begründet und dokumentiert ist – also risk-based.

Ist ein schriftliches Jahresprogramm verpflichtend?

In der EU ist die Erwartung an ein geplantes Programm und dokumentierte Auditberichte im Chapter 9 ausdrücklich verankert.

Kann ich die Frequenz für Bereiche reduzieren, die „immer in Ordnung“ sind?

Ja, wenn belastbare Daten und ein konsistentes Risk Assessment vorliegen – und sofern dadurch keine kritische Kontrolle unangemessen reduziert wird.

Möchten Sie weitergehen?

Möchten Sie vollständige Templates, sofort nutzbare Beispiele für Risikomatrizen und eine End-to-End-Roadmap erhalten – vom Audit über CAPA und Wirksamkeitsprüfung bis hin zum Management Review?

👉 Laden Sie die vollständige Guide „GMP Internal Audits: How to Make Them Effective and Defensible During Inspections“ auf GuideGxP herunter: zur Guide auf GuideGxP.com

Zurück zum Blog

Suchst du etwas Bestimmtes?

ENTDECKE DEN GESAMTEN GXP-KATALOG