Programma Audit Interni GMP Risk-Based: come costruire un Piano Annuale “a prova di ispezione”

Se vuoi che gli audit interni GMP siano un vantaggio competitivo (e non un adempimento), la differenza la fa una cosa: la pianificazione.

Un ispettore non si “innamora” perché hai tanti report: si convince quando vede che il tuo programma è:

• pre-arrangiato (non improvvisato),
• risk-based (priorità dove il rischio è maggiore),
• indipendente (auditor senza conflitti),
• tracciato end-to-end (finding → CAPA → verifica efficacia → management review).

Questo articolo ti guida passo-passo a costruire un Programma Annuale Audit Interni robusto, difendibile e davvero utile.

1) Cosa si aspettano i regolatori (in pratica)

In Europa, il riferimento chiave è EU GMP Chapter 9 – Self Inspection: richiede auto-ispezioni svolte in modo indipendente, con report registrati e con osservazioni/azioni correttive dove applicabile.

Se vuoi un programma moderno, aggiungi due pilastri:

• ICH Q9(R1): la formalità, l’effort e la documentazione devono essere commisurati al rischio.
• ICH Q10 (PQS): gli audit non sono un’isola; devono alimentare CAPA e management review.

Traduzione operativa: non auditare tutto “uguale”. Auditare “uguale” è la forma più comune di spreco di risorse… e una delle più facili da smontare in ispezione.

2) Step 1 — Definisci l’“universo di audit” (senza buchi)

Prima di mettere date in calendario, devi mappare tutto ciò che impatta GMP.

Esempi tipici:

• Produzione (sterile / non sterile / pesate / confezionamento)
• QC chimico e microbiologico
• QA system (documenti, training, deviation, change control)
• Magazzini e logistica (stato, etichettatura, FEFO, quarantene)
• Engineering/manutenzione (tarature, qualifiche)
• Validazioni/CSV/Data Integrity (se applicabile)
• Attività esternalizzate critiche (almeno come “sistema”: supplier management)

Regola d’oro: se un processo può influire su qualità/sicurezza/integrazione dei dati, deve essere “auditabile”.

Template rapido – Universo di audit (minimo sindacale)

Area / Processo | Criticità GMP (H/M/L) | Ultimo audit | Esiti ultimi 2 audit | Eventi recenti (deviation/OOS/change) | Note

3) Step 2 — Costruisci la priorità con una matrice rischio (semplice ma difendibile)

Non ti serve un trattato. Ti serve un metodo ripetibile.

Esempio pratico: matrice Severità × Probabilità

• Severità: impatto potenziale su paziente/prodotto/integrazione dati.
• Probabilità: quanto è probabile trovare non conformità (storico deviazioni/OOS, turnover, cambiamenti, trend reclami).

Questo approccio è perfettamente allineato al principio cardine di ICH Q9(R1): rigore proporzionato al rischio.

Template – Scoring (consigliato 1–5)

• Severità: 1 (bassa) → 5 (molto alta)
• Probabilità: 1 (rara) → 5 (frequente)
• Rischio totale = S × P
• Soglie (esempio): 15–25 Alto | 6–14 Medio | 1–5 Basso

Esempio realistico (mini)

• Produzione sterile: S=5, P=4 → 20 (Alto)
• QC microbiologico: S=4, P=3 → 12 (Medio)
• Magazzino materiali non critici: S=2, P=2 → 4 (Basso)

4) Step 3 — Traduci il rischio in frequenza e calendario

Qui si vede la maturità del sistema.

Frequenze tipiche (adattale al tuo contesto)

• Alto rischio: ogni 6 mesi (o più spesso se “for cause”)
• Medio rischio: annuale
• Basso rischio: 18–24 mesi (se giustificato e documentato)

Inserisci anche audit “for cause”

Un programma audit-proof prevede esplicitamente la possibilità di:

• anticipare un audit se c’è un segnale (deviazioni ripetute, OOS, trend EM, reclamo serio, cambiamento rilevante),
• fare un audit mirato/flash su un punto critico.

Questo è un dettaglio che “suona bene” in ispezione perché dimostra reattività del PQS.

5) Step 4 — Assegna auditor davvero indipendenti (e dimostrabili)

EU GMP Chapter 9 parla chiaro: indipendenza e competenza.

Operativamente:

• evita che un responsabile auditi il proprio reparto,
• usa cross-auditing (QC audita produzione, QA audita engineering, ecc.),
• per temi complessi (CSV, DI, sterile) valuta co-auditor SME o supporto esterno.

Template – Registro auditor (per ispezione)

Auditor | Reparto | Aree auditabili | Training GMP | Training auditing | Co-audit svolti | Audit leader svolti

6) Step 5 — Definisci KPI e “prove” di governance

Se vuoi che il programma sia difendibile, devi poter rispondere in 30 secondi a:

• Quanti audit pianificati vs completati?
• Tempo medio emissione report
• % CAPA chiuse entro scadenza
• finding ripetuti (se >0, perché?)
• Trend Major/Critical

FAQ

Ogni quanto vanno fatti gli audit interni GMP?
Dipende dal rischio: le aree ad alto rischio vanno coperte più frequentemente; ciò che conta è che la scelta sia giustificata e documentata (risk-based).

È obbligatorio avere un programma annuale scritto?
In UE, l’aspettativa di un programma pianificato e report registrati è esplicita nel Chapter 9.

Posso ridurre la frequenza su aree “sempre ok”?
Sì, se hai dati solidi e un risk assessment coerente (e se non stai “tagliando” un controllo critico).

Vuoi andare oltre e avere template completi, esempi di matrici rischio già pronte e una roadmap end-to-end (audit → CAPA → efficacy → management review)?

👉 Scarica la guida completa “Audit Interni GMP: come renderli efficaci e difendibili in ispezione” su GuideGxP: vai alla guida in vendita su GuideGxP.com