GMP Inspection Readiness: Playbook für den Pharma-QA-Manager

GMP Inspection Readiness: das operative Playbook des QA Managers (AIFA/EMA/FDA)

Die reale Situation, die über den Ausgang der Inspektion entscheidet

Wenn du schon einmal eine Inspektion begleitet hast, weißt du:
Nicht der gewinnt, der mehr Dokumente hat, sondern der, der Kontrolle nachweisen kann.

Die Fragen, die reife von fragilen Standorten trennen, kommen oft schon in der ersten Stunde:

  • „Zeigen Sie mir die Abweichungstrends und das CAPA Aging der letzten 12 Monate.“
  • „Wie funktioniert Ihr Eskalationsprozess?“
  • „Wer ist Owner des PQS und wie wird es im Management Review überprüft?“
  • „Zeigen Sie mir ein Beispiel einer Batch Disposition mit kritischen Aspekten und wie Sie entschieden haben.“

📌 In Audits sehe ich am häufigsten dieses Problem:
Der Standort ist „document-ready“ (alles existiert), aber nicht „inspection-ready“ (niemand kann kohärent erklären, warum das System funktioniert und wo sich die Kontrollsignale zeigen).

Was folgt, ist ein praxisnahes Playbook für QA Manager, basierend auf den Punkten, die Inspektoren tatsächlich vor Ort testen.

1) Inspection Readiness ist kein Ereignis – es ist ein System

Wenn dich eine Inspektion zum „Rennen“ zwingt, ist dein Inspection-Readiness-Programm nicht in die tägliche Arbeit integriert.

Signale, dass du bereit bist:

  • Self-Inspections (EU GMP Kapitel 9) erzeugen robuste CAPAs mit abgeschlossenem Effectiveness Check
  • PQR/APR ist keine reine „Ausfüllübung“, sondern führt zu Entscheidungen (Änderungen, Trainings, Investitionen)
  • Die Abteilungen können erklären, warum eine SOP etwas vorschreibt (nicht nur „weil QA es verlangt“)
  • Für Hochrisikobereiche existieren bereits fertige Evidence Packages

Merke:
Der Inspektor sucht keine Perfektion. Er sucht Governance:
Wie identifizierst du Risiken, wie kontrollierst du sie und wie lernst du, wenn etwas schiefläuft.

2) Operative Timeline: was vorbereiten – und wann

Eine Timeline reduziert Stress und verhindert vor allem „Lücken“, die zu Findings werden.

Tabelle — Inspection-Readiness-Timeline (bereit für den Einsatz im Plan)

Zeitpunkt Ziel Audit-proof Deliverables Typischer Fehler
T-90 / T-60 Identifikation von Hochrisikobereichen Risk Assessment (ICH Q9), Risiko-Heatmap, Top-10-Gaps Alles gleich behandeln (nicht risikobasiert)
T-45 Stabilisierung der Evidenzen Aktuelle PQR/APR, Abweichungstrends, CAPA-Backlog, Change Log PQR unterschrieben, aber nicht genutzt
T-30 Inspektion simulieren Mock Inspection, Fragenliste, Antwort-Training „Show-Audit“ ohne Follow-up
T-7 Hosting vorbereiten War Room, Rollen, Request Log, Dokumentenset Unklare Rollen, „alle sprechen“
Inspektionstage Steuerung des Informationsflusses Front Room/Back Room, Daily Debrief, Issue Log Ungeprüfte Dokumente abgeben
T+15 (typisch) Antwort CAPA Letter / 483 Response mit realistischem Plan Zu viel versprechen, unrealistische Fristen
Post-Inspection Umsetzung Evidenzabschluss + Effectiveness Check Nur „auf dem Papier“ schließen

3) Hosting-Struktur: Front Room / Back Room / Request Log

Rollen, die Fehler (und unnötige Beobachtungen) reduzieren

  • Lead Host (QA): steuert Agenda, Tonalität, Prioritäten, Eskalation
  • Scribe (Protokollführer): dokumentiert Fragen und Antworten wortgetreu, nummeriert Requests
  • Runner: beschafft Dokumente (inkl. Versionskontrolle)
  • SME (Subject Matter Expert): antwortet ausschließlich im eigenen Fachbereich
  • Document Controller: prüft Versionierung, Vollständigkeit, Anhänge, minimale Schwärzung

📌 Die häufigste Schwachstelle im Audit ist das „schnell übergebene Dokument“:
fehlende Seiten, veraltete Anhänge, Logbücher mit ungeklärten Korrekturen oder – schlimmer – Records, die eine „schlafende“ Abweichung öffnen.

Der Request Log – der Inspektions-Lebensretter

Ein sauber geführter Request Log verhindert:

  • verlorene Anfragen
  • doppelte Lieferungen
  • inkonsistente Antworten zwischen Abteilungen

Mindestinhalt des Logs:
Request-ID, Uhrzeit, Inspektor, Beschreibung, Owner, ETA, geliefert (ja/nein), Follow-up-Notizen.

4) Gemba Walk: wie man „Korridor-Findings“ vermeidet

Viele Findings entstehen nicht aus Dokumentenprüfungen, sondern bei Rundgängen im Betrieb.

Hier „wittert“ der Inspektor Systemschwächen:

  • inkonsistente Statuskennzeichnung (Quarantäne / freigegeben / gesperrt)
  • Line Clearance „aus dem Gedächtnis“
  • Logbücher mit Lücken oder identischen Einträgen (Red Flag)
  • unzureichende physische/logische Trennung (Materialien, Abfälle, Rückläufer)
  • nicht standardisiertes Gowning-Verhalten (auch außerhalb des Sterilbereichs)

Merke:
Produktion denkt in Operativität.
Der Inspektor denkt in Reproduzierbarkeit.
QA muss beides zusammenbringen.

5) Die 7 goldenen Regeln für sichere Dokumentenübergabe

  1. Niemals Originale herausgeben – nur kontrollierte Kopien (oder „view-only“ PDFs).
  2. Versionskontrolle: gleiche Revision im Besprechungsraum und im Betrieb.
  3. Vollständigkeitscheck: Anhänge, Referenzen, Appendices.
  4. Keine ungefragten Zusatzinformationen – weniger Angriffsfläche.
  5. Rückverfolgbarkeit: wer hat das Dokument wann und aus welchem System gezogen (EDMS/eQMS/LIMS/MES).
  6. Narrative Konsistenz: Trends müssen mit Entscheidungen verknüpft sein (CAPA, Change, Training).
  7. Keine Improvisation: Wenn du es nicht weißt – „wir prüfen und melden uns zurück“ (mit ETA im Request Log).

6) Closing Meeting und Antwort: eine glaubwürdige CAPA Letter schreiben

Eine schwache Antwort ist nicht nur „unschön“, sondern gefährlich, weil sie überprüfbare Erwartungen erzeugt.

Struktur, die funktioniert (und einem Re-Audit standhält):

  • Acknowledge: Beobachtung anerkennen (ohne reflexartige Verteidigung)
  • Immediate Containment: Sofortmaßnahmen zur Risikokontrolle
  • Root Cause: systemisch, nicht „Bedienfehler“
  • CAPA: Maßnahmen, Owner, Fristen, Deliverables
  • Effectiveness Check: wann und wie Wirksamkeit gezeigt wird
  • Risk Assessment: Auswirkung auf Chargen/Patient, ggf. Eskalation

📌 Contrarian Insight (Mythos): „Hauptsache schnell antworten.“

Schnelle Antworten mit generischen CAPAs („Re-Training“) erzeugen Wiederholungen.
Besser wenige, messbare Maßnahmen (z. B. SOP-Update + Kompetenzbewertung + Feldverifikation + fokussiertes Audit).

„30-Sekunden“-Checklist

  • Request Log bereit und zugewiesen
  • Evidence Package: PQR/APR, Abweichungstrends, CAPA Aging, Change Log
  • Rollen: Host / Scribe / Runner / SME / Document Control
  • Betriebsrouten: Statuslabel, Segregation, Logbücher, Line Clearance
  • Antwortplan: Template für CAPA Letter / 483 Response

FAQ

  • Wer sollte während einer GMP-Inspektion mit dem Inspektor sprechen?
    Idealerweise eine führende Stimme (QA Host) und SMEs nur bei Bedarf. Zu viele Sprecher erhöhen Inkonsistenzen.
  • Wie viel Material sollte gezeigt werden?
    Nur das Geforderte plus das zur Einordnung Notwendige. „Over-Sharing“ erhöht die Finding-Rate.
  • Was macht eine CAPA aus Sicht des Inspektors „schwach“?
    Nicht messbar, kein Effectiveness Check oder eine rein „menschliche“ Root Cause ohne Evidenz.

Wenn du dieses Playbook in ein operatives Toolkit (Hosting-Checklisten, Request-Log-Templates, CAPA-Antwortstruktur) überführen willst, ist die vollständige Guide zum QA-Manager-Rollenverständnis die wertvollste interne Referenz.

Zurück zum Blog

Suchst du etwas Bestimmtes?