pjt222/conduct-gxp-audit

GxP-Audit durchfuehren

Ein GxP-Audit von computergestuetzten Systemen, Datenintegritaetspraktiken oder regulierten Prozessen planen und durchfuehren.

Wann verwenden

• Geplantes internes Audit eines validierten computergestuetzten Systems
• Lieferanten-/Herstellerqualifizierungsaudit fuer GxP-relevante Software
• Inspektionsbereitschaftsbewertung vor einer Behoerdeninspektion
• Anlassbezogenes Audit ausgeloest durch Abweichung, Beanstandung oder Datenintegritaetsbedenken
• Regelmaessige Pruefung des Konformitaetsstatus eines validierten Systems

Eingaben

• Erforderlich: Auditumfang (zu auditierendes System, Prozess oder Standort)
• Erforderlich: Anwendbare Vorschriften (21 CFR Part 11, EU Annex 11, GMP, GLP, GCP)
• Erforderlich: Frueherer Auditbericht und offene CAPA-Punkte
• Optional: Systemvalidierungsdokumentation (URS, VP, IQ/OQ/PQ, Rueckverfolgbarkeitsmatrix)
• Optional: SOPs, Schulungsunterlagen, Aenderungskontrollprotokolle
• Optional: Spezifische Risikobereiche oder Bedenken, die das Audit ausloesen

Vorgehensweise

Schritt 1: Auditplan erstellen

# Audit Plan
## Document ID: AP-[SYS]-[YYYY]-[NNN]

### 1. Objective
[State the purpose: scheduled, for-cause, supplier qualification, pre-inspection]

### 2. Scope
- **System/Process**: [Name and version]
- **Regulations**: [21 CFR Part 11, EU Annex 11, ICH Q7, etc.]
- **Period**: [Date range of records under review]
- **Exclusions**: [Any areas explicitly out of scope]

### 3. Audit Criteria
| Area | Regulatory Reference | Key Requirements |
|------|---------------------|------------------|
| Electronic records | 21 CFR 11.10 | Controls for closed systems |
| Audit trail | 21 CFR 11.10(e) | Secure, computer-generated, time-stamped |
| Electronic signatures | 21 CFR 11.50 | Manifestation, legally binding |
| Access controls | EU Annex 11, §12 | Role-based, documented |
| Data integrity | MHRA guidance | ALCOA+ principles |
| Change control | ICH Q10 | Documented, assessed, approved |

### 4. Schedule
| Date | Time | Activity | Participants |
|------|------|----------|-------------|
| Day 1 AM | 09:00 | Opening meeting | All |
| Day 1 AM | 10:00 | Document review | Auditor + QA |
| Day 1 PM | 13:00 | System walkthrough | Auditor + IT + System Owner |
| Day 2 AM | 09:00 | Interviews + evidence collection | Auditor + Users |
| Day 2 PM | 14:00 | Finding consolidation | Auditor |
| Day 2 PM | 16:00 | Closing meeting | All |

### 5. Audit Team
| Role | Name | Responsibility |
|------|------|---------------|
| Lead Auditor | [Name] | Plan, execute, report |
| Subject Matter Expert | [Name] | Technical assessment |
| Auditee Representative | [Name] | Facilitate access and information |

Erwartet: Auditplan mindestens 2 Wochen vor dem Audit vom Qualitaetsmanagement genehmigt und dem Auditierten kommuniziert. Bei Fehler: Neu terminieren, wenn der Auditierte erforderliche Dokumente oder Personal nicht bereitstellen kann.

Schritt 2: Eroeffnungssitzung durchfuehren

Tagesordnung:

1. Auditteam und Rollen vorstellen
2. Umfang, Zeitplan und Logistik bestaetigen
3. Befundklassifizierungssystem erklaeren (kritisch/wesentlich/geringfuegig)
4. Vertraulichkeitsvereinbarungen bestaetigen
5. Begleiter und Dokumentenverantwortliche beim Auditierten benennen
6. Fragen klaeren

Erwartet: Eroeffnungssitzung mit Anwesenheitsliste dokumentiert. Bei Fehler: Sind Schluesskelpersonen nicht verfuegbar, betroffene Auditaktivitaeten neu planen.

Schritt 3: Nachweise erheben und pruefen

Dokumente und Aufzeichnungen gegen die Auditkriterien pruefen:

3a. Pruefung der Validierungsdokumentation

• [ ] URS vorhanden und genehmigt
• [ ] Validierungsplan entspricht Systemkategorie und Risiko
• [ ] IQ/OQ/PQ-Protokolle mit dokumentierten Ergebnissen ausgefuehrt
• [ ] Rueckverfolgbarkeitsmatrix verknuepft Anforderungen mit Testergebnissen
• [ ] Abweichungen dokumentiert und behoben
• [ ] Validierungszusammenfassungsbericht genehmigt

3b. Pruefung der betrieblichen Kontrollen

• [ ] SOPs aktuell und genehmigt
• [ ] Schulungsunterlagen belegen Kompetenz aller Nutzer
• [ ] Aenderungskontrollunterlagen vollstaendig (Antrag, Bewertung, Genehmigung, Verifizierung)
• [ ] Vorfall-/Abweichungsberichte gemaess SOP behandelt
• [ ] Regelmaessige Pruefung termingerecht durchgefuehrt

3c. Datenintegritaetsbewertung

• [ ] Auditpfad aktiviert und fuer Nutzer nicht aenderbar
• [ ] Elektronische Signaturen erfuellen regulatorische Anforderungen
• [ ] Sicherungs- und Wiederherstellungsverfahren dokumentiert und getestet
• [ ] Zugriffskontrollen setzen rollenbasierte Berechtigungen durch
• [ ] Daten sind zuzuordnen, leserlich, zeitgleich erfasst, original und korrekt (ALCOA+)

3d. Systemkonfigurationspruefung

• [ ] Produktionskonfiguration entspricht dem validierten Zustand
• [ ] Benutzerkonten geprueft — keine geteilten Konten, inaktive Konten deaktiviert
• [ ] Systemuhren synchronisiert und korrekt
• [ ] Sicherheitspatches gemaess genehmigter Aenderungskontrolle eingespielt

Erwartet: Nachweise als Screenshots, Dokumentkopien, Interviewnotizen mit Zeitstempeln gesammelt. Bei Fehler: "Nicht verifizierbar" als Beobachtung erfassen und den Grund notieren.

Schritt 4: Befunde klassifizieren

Jeden Befund nach Schweregrad klassifizieren:

| Klassifizierung | Definition | Erforderliche Reaktion | |---------------|------------|-------------------| | Kritisch | Direkter Einfluss auf Produktqualitaet, Patientensicherheit oder Datenintegritaet. Systematisches Versagen einer Schluesselkontrolle. | Sofortige Eindaemmung + CAPA innerhalb 15 Werktage | | Wesentlich | Erhebliche Abweichung von GxP-Anforderungen. Potenzieller Einfluss auf Datenintegritaet bei fehlender Korrektur. | CAPA innerhalb 30 Werktage | | Geringfuegig | Isolierte Abweichung vom Verfahren. Kein direkter Einfluss auf Datenintegritaet oder Produktqualitaet. | Korrektur innerhalb 60 Werktage | | Beobachtung | Verbesserungsmoeglichkeit. Keine regulatorische Anforderung. | Optional — fuer Trendanalyse verfolgt |

Jeden Befund dokumentieren:

## Finding F-[NNN]
**Classification:** [Critical / Major / Minor / Observation]
**Area:** [Audit trail / Access control / Change control / etc.]
**Reference:** [Regulatory clause, e.g., 21 CFR 11.10(e)]

**Observation:**
[Objective description of what was found]

**Evidence:**
[Document ID, screenshot reference, interview notes]

**Regulatory Expectation:**
[What the regulation requires]

**Risk:**
[Impact on data integrity, product quality, or patient safety]

Erwartet: Jeder Befund hat Klassifizierung, Nachweis und regulatorische Referenz. Bei Fehler: Wird die Klassifizierung beanstandet, an den Auditprogrammverantwortlichen zur Klaerug eskalieren.

Schritt 5: Abschlusssitzung durchfuehren

Tagesordnung:

1. Befundszusammenfassung praesentieren (keine neuen Befunde sollen mehr gemeldet werden)
2. Befundklassifizierungen durchgehen
3. Vorlaeutige CAPA-Erwartungen und Zeitplaene besprechen
4. Naechste Schritte und Berichtszeitplan bestaetigen
5. Kooperation des Auditierten wuerdigen

Erwartet: Abschlusssitzung mit Anwesenheitsliste dokumentiert. Auditierter erkennt Befunde an (Anerkennung ≠ Zustimmung). Bei Fehler: Bestreitet der Auditierte einen Befund, die Uneinigkeit dokumentieren und gemaess SOP eskalieren.

Schritt 6: Auditbericht erstellen

# Audit Report
## Document ID: AR-[SYS]-[YYYY]-[NNN]

### 1. Executive Summary
An audit of [System/Process] was conducted on [dates] against [regulations].
[N] findings were identified: [n] critical, [n] major, [n] minor, [n] observations.

### 2. Scope and Methodology
[Summarize audit plan scope, criteria, and methods used]

### 3. Findings Summary
| Finding ID | Classification | Area | Brief Description |
|-----------|---------------|------|-------------------|
| F-001 | Major | Audit trail | Audit trail disabled for batch record module |
| F-002 | Minor | Training | Two users missing annual GxP training |
| F-003 | Observation | Documentation | SOP formatting inconsistencies |

### 4. Detailed Findings
[Include full finding details from Step 4 for each finding]

### 5. Positive Observations
[Document areas of good practice observed during the audit]

### 6. Conclusion
The overall compliance status is assessed as [Satisfactory / Needs Improvement / Unsatisfactory].

### 7. Distribution
| Recipient | Role |
|-----------|------|
| [Name] | System Owner |
| [Name] | QA Director |
| [Name] | IT Manager |

### Approval
| Role | Name | Signature | Date |
|------|------|-----------|------|
| Lead Auditor | | | |
| QA Director | | | |

Erwartet: Bericht innerhalb von 15 Werktagen nach der Abschlusssitzung ausgegeben. Bei Fehler: Verzoegert sich die Ausgabe um mehr als 15 Tage, Stakeholder benachrichtigen und Grund dokumentieren.

Schritt 7: CAPA verfolgen und Wirksamkeit verifizieren

Fuer jeden Befund, der eine CAPA erfordert:

## CAPA Tracking
| Finding ID | CAPA ID | Root Cause | Corrective Action | Due Date | Status | Effectiveness Check |
|-----------|---------|------------|-------------------|----------|--------|-------------------|
| F-001 | CAPA-2025-042 | Configuration oversight during upgrade | Enable audit trail, verify all modules | 2025-04-15 | Open | Scheduled 2025-07-15 |
| F-002 | CAPA-2025-043 | Training matrix not updated | Complete training, update tracking | 2025-05-01 | Open | Scheduled 2025-08-01 |

Erwartet: CAPAs sind zugewiesen, verfolgt und die Wirksamkeit gemaess definiertem Zeitplan verifiziert. Bei Fehler: Ungeloeste CAPAs werden an das QA-Management eskaliert und im naechsten Auditzyklus markiert.

Validierung

• [ ] Auditplan genehmigt und vor dem Audit kommuniziert
• [ ] Eroeffnungs- und Abschlusssitzungen mit Anwesenheitslisten dokumentiert
• [ ] Nachweise mit Zeitstempeln und Quellenangaben gesammelt
• [ ] Jeder Befund hat Klassifizierung, Nachweis und regulatorische Referenz
• [ ] Auditbericht innerhalb von 15 Werktagen ausgegeben
• [ ] CAPAs mit Faelligkeitsterminen fuer alle kritischen und wesentlichen Befunde zugewiesen
• [ ] Frueherer CAPAs auf Abschlusswirksamkeit geprueft

Haeufige Stolperfallen

• Umfangsausweitung: Ausweitung des Auditumfangs waehrend der Durchfuehrung ohne formale Vereinbarung fuehrt zu unvollstaendiger Abdeckung und Streitigkeiten.
• Meinungsbasierte Befunde: Befunde muessen auf spezifische regulatorische Anforderungen verweisen, nicht auf persoenliche Praeferenzen.
• Gegnerischer Ton: Audits sind gemeinsame Qualitaetsverbesserungsuebungen, keine Verhoere.
• Positives ignorieren: Nur Befunde zu berichten ohne gute Praktiken anzuerkennen untergaebt das Vertrauen.
• Keine Wirksamkeitspruefung: Eine CAPA ohne Verifizierung der Fehlerbehebung zu schliessen ist eine wiederkehrende regulatorische Zitation.

Verwandte Skills

• perform-csv-assessment — vollstaendige CSV-Lebenszyklus-Bewertung (URS bis Validierungszusammenfassung)
• setup-gxp-r-project — Projektstruktur fuer validierte R-Umgebungen
• implement-audit-trail — Auditpfad-Implementierung fuer elektronische Aufzeichnungen
• write-validation-documentation — IQ/OQ/PQ-Protokoll- und Berichtserstellung
• security-audit-codebase — sicherheitsorientiertes Code-Audit (komplementaere Perspektive)