Programa de Auditorías Internas GMP Basado en Riesgo: Plan Anual “Preparado para Inspección”
Programa de Auditorías Internas GMP Basado en Riesgo: cómo construir un Plan Anual “preparado para inspección”
Si quieres que las auditorías internas GMP sean una verdadera ventaja competitiva — y no solo un requisito de cumplimiento — hay un elemento que marca la diferencia: la planificación.
Un inspector no se convence simplemente porque existan muchos informes de auditoría. Un programa resulta convincente cuando se puede demostrar claramente que está:
- planificado de antemano — no improvisado;
- basado en riesgo — priorizando las áreas donde el riesgo es mayor;
- realizado de forma independiente — por auditores sin conflictos de interés;
- trazable de extremo a extremo — desde el hallazgo hasta la CAPA, la verificación de eficacia y la revisión por la dirección.
Este artículo te guía paso a paso en la construcción de un programa anual de auditorías internas GMP sólido, defendible y realmente útil.
1) Qué esperan los reguladores en la práctica
En Europa, la referencia clave es EU GMP Chapter 9 – Self Inspection. Este capítulo exige que las autoinspecciones se realicen de forma independiente, con informes registrados y, cuando corresponda, con observaciones y acciones correctivas documentadas.
Si quieres construir un programa de auditoría moderno, añade dos pilares adicionales:
- ICH Q9(R1): la formalidad, el esfuerzo y la documentación deben ser proporcionales al riesgo.
- ICH Q10 (PQS): las auditorías no son una actividad aislada; deben alimentar los procesos CAPA y la revisión por la dirección.
Traducción operativa: no audites todo “por igual”. Auditar todo de la misma manera es una de las formas más comunes de desperdiciar recursos — y una de las debilidades más fáciles de cuestionar durante una inspección.
2) Paso 1 — Define el “universo de auditoría” completo
Antes de poner fechas en el calendario, debes mapear todo lo que tiene impacto GMP.
Ejemplos típicos:
- Producción — estéril / no estéril / pesadas / acondicionamiento
- Control de calidad químico y microbiológico
- Sistema QA — documentos, formación, desviaciones, control de cambios
- Almacenes y logística — estado, etiquetado, FEFO, áreas de cuarentena
- Ingeniería / mantenimiento — calibraciones, cualificaciones
- Validación / CSV / Data Integrity — cuando aplique
- Actividades críticas externalizadas — al menos como sistema mediante supplier management
Regla de oro: si un proceso puede impactar la calidad, la seguridad del paciente o la integridad de los datos, debe ser auditable.
Plantilla rápida – Universo de auditoría
| Área / Proceso | Criticidad GMP (H/M/L) | Última auditoría | Resultados de las últimas 2 auditorías | Eventos recientes (Deviation/OOS/Change) | Notas |
|---|---|---|---|---|---|
3) Paso 2 — Prioriza utilizando una matriz de riesgo: simple pero defendible
No necesitas una tesis científica. Necesitas un método repetible.
Ejemplo práctico: matriz Severidad × Probabilidad
- Severidad: impacto potencial sobre el paciente, el producto o la integridad de los datos.
- Probabilidad: probabilidad de encontrar no conformidades — basada en el historial de desviaciones/OOS, rotación del personal, cambios y tendencias de reclamaciones.
Este enfoque está plenamente alineado con el principio central de ICH Q9(R1): el nivel de rigor debe ser proporcional al nivel de riesgo.
Plantilla – Scoring, recomendado 1–5
- Severidad: 1 (baja) → 5 (muy alta)
- Probabilidad: 1 (rara) → 5 (frecuente)
- Riesgo total = S × P
- Umbrales de ejemplo: 15–25 Alto | 6–14 Medio | 1–5 Bajo
Mini-ejemplo realista
| Área / Proceso | Severidad (S) | Probabilidad (P) | Riesgo total | Prioridad |
| Producción estéril | 5 | 4 | 20 | Alto |
| Control de calidad microbiológico | 4 | 3 | 12 | Medio |
| Almacén de materiales no críticos | 2 | 2 | 4 | Bajo |
4) Paso 3 — Traduce el riesgo en frecuencia y planificación del calendario
Aquí es donde se hace visible la madurez del sistema.
Frecuencias típicas, a adaptar a tu contexto
- Riesgo alto: cada 6 meses, o con mayor frecuencia si se requiere una auditoría “for cause”
- Riesgo medio: anualmente
- Riesgo bajo: cada 18–24 meses, si está justificado y documentado
Incluye también auditorías “for cause”
Un programa preparado para inspección prevé explícitamente la posibilidad de:
- adelantar una auditoría cuando aparece una señal — desviaciones repetidas, OOS, tendencias EM, reclamaciones graves o cambios significativos;
- realizar una auditoría dirigida o “flash” sobre un punto crítico.
Este detalle tiene especial fuerza durante una inspección porque demuestra la capacidad de respuesta del Pharmaceutical Quality System (PQS).
5) Paso 4 — Asigna auditores realmente independientes — y hazlo demostrable
EU GMP Chapter 9 es claro: se requieren independencia y competencia.
En la práctica, esto significa:
- Evitar que un responsable audite su propio departamento.
- Utilizar cross-auditing — por ejemplo, QC audita Producción, QA audita Ingeniería, etc.
- Para temas complejos como CSV, Data Integrity o procesos estériles, considerar co-auditores SME o apoyo externo.
Plantilla – Registro de auditores para inspecciones
| Auditor | Departamento | Áreas auditables | Formación GMP | Formación en auditorías | Co-auditorías realizadas | Auditorías lideradas |
6) Paso 5 — Define KPI y evidencias de gobernanza
Si el programa debe ser defendible, tienes que poder responder a las siguientes preguntas en menos de 30 segundos:
- ¿Cuántas auditorías fueron planificadas vs. completadas?
- ¿Cuál es el tiempo medio de emisión del informe?
- ¿Qué porcentaje de CAPA se cerraron dentro del plazo?
- ¿Existen hallazgos repetidos? Si es así, ¿por qué?
- ¿Cuál es la tendencia de los hallazgos Major y Critical?
FAQ
¿Con qué frecuencia deben realizarse las auditorías internas GMP?
Depende del riesgo. Las áreas de alto riesgo deben cubrirse con mayor frecuencia. Lo importante es que la frecuencia seleccionada esté justificada y documentada — es decir, que sea risk-based.
¿Es obligatorio tener un programa anual escrito?
En la UE, la expectativa de contar con un programa planificado e informes de auditoría documentados está claramente establecida en Chapter 9.
¿Puedo reducir la frecuencia en áreas que están “siempre bien”?
Sí, si dispones de datos sólidos y de una evaluación de riesgos coherente — y siempre que no estés reduciendo de forma inapropiada un control crítico.
¿Quieres ir más allá?
¿Te gustaría disponer de plantillas completas, ejemplos de matrices de riesgo listas para usar y una roadmap end-to-end — desde la auditoría hasta CAPA, verificación de eficacia y revisión por la dirección?
👉 Descarga la guía completa “GMP Internal Audits: How to Make Them Effective and Defensible During Inspections” en GuideGxP: ir a la guía disponible en GuideGxP.com