GMP/GAMP und Best Practice ITIL - kein Widerspruch

GMP, GAMP und ITIL sind Schlagwörter, denen sich wohl heute kaum jemand in Pharma, Biotec und Medtec entziehen kann. Aber passen sie auch zusammen, oder wird hier nicht versucht etwas zu kombinieren, was sich nicht kombinieren lässt? Arcondis zieht ein Resumée was aus der anfänglichen Idee im Jahr 2003 wurde, welche praktischen Erfahrungen gesammelt werden konnten und  gibt einem Ausblick wo noch brachliegendes Potential ausgeschöpft werden kann.

 

Verschiedene Herkunft der Best Practices

Die Good bzw. Best Practices GMP/GAMP und ITIL haben gemäss Ihrer Herkunft und Ihrem Haupt-Ziel auf den ersten Blick nicht viel gemeinsam:

 

• GMP sind behördliche Muss-Anforderungen, daraus abgeleitet wurde der GAMP Leitfaden der ISPE. Die Unternehmen der regulierten Industrie wie z.B. Pharma. Das Ziel ist die Compliance, dass heisst die Übereinstimmung mit und die kontinuierliche Erfüllung von rechtlichen (z.B. GMP) und selbst auferlegten (z.B. GAMP oder ISO 9000) Standards. Vielmehr als eine Produktivitätssteigerung wird die Produktqualitätssicherung zum Schutz der menschlichen Gesundheit angestrebt.
• ITIL wird als Service-Management-Framework vor allem für den IT-Betrieb eingesetzt. Es gibt keine regulatorischen Anforderungen, die ein Unternehmen direkt oder indirekt dazu ermuntern könnten sich nach ITIL auszurichten. Die Motivation basiert vielmehr auf dem Ziel, die Kundenzufriedenheit und die Qualität der Services kontinuierlich zu verbessern.

Die theoretische Idee
Eine Auflage an qualitätsrelevante Systeme eines Pharma oder Medtech –Unternehmens ist nicht nur die initiale Validierung des Systems, sondern vielmehr muss dieser validierte Zustand des System auch während des Betriebes aufrecht erhalten bleiben. Im Wesentlichen ist es dafür nötig, die Änderungen an Systemkonfiguration zu verfolgen, aber auch Störfälle  müssen strukturiert behandelt und System-Probleme nachvollziehbar gelöst werden. Je nach Einsatz der Systems bekommt  das Sicherheitsmanagement und die Sicherstellung der Kontinuität (z.B. für Produkt Rückrufaktionen bzw. Chargenrückverfolgung) eine besondere regulatorische Bedeutung.

 

 

Und genau für diese sich aus den GAMP Anforderungen ableitenden Aufgaben des IT-Betriebes, sollen die ITIL Best Practices mit Service Support- und Service Delivery-Prozessen sowie dem Security Management eingesetzt werden.

 

Unsere allgemeinen Praxiserfahrungen
Für alle systemübergreifenden IT-Betriebs SOPs wie z.B. Change Management ist zumeist die IT zuständig. Diese SOPs werden im Idealfall in einem losgelösten systemunabhängigen Projekt vorab für den IT-Betrieb als CSV-Operation Framework entwickelt. Dabei lassen sich grossteils die ITIL Best Practices verwenden (siehe Vergleichstabelle mit Abdeckungsgrad).

 

 

An gewissen Stellen müssen je nach organisatorischer Aufstellung noch besondere Assessments, Qualitätsfreigaben und Dokumentations- bzw. Testing-Anforderungen eingearbeitet werden. Kommt es dann zu einem CSV-Projekt, können zusätzliche systemspezifische SOPs auf die generischen systemunabhängigen SOPs verweisen. Im besten Fall lassen sich die systemunabhängigen SOPs durch systemspezifische Formulare ausprägen. Der nachhaltige Effizienzgewinn ist in diesem Fall sehr hoch.

 

Schwieriger gestaltet sich die Situation wenn die SOPs für den Betrieb erst mit dem CSV-Projekt entwickelt werden müssen. Oft sind nur die notwendigsten Massnahmen zum Erreichen der Compliance budgetiert. Für den System-Betrieb werden nur die notwendigsten systemspezifischen SOPs entwickelt. Nachhaltiger Effizienzgewinn und Produktivität stehen hier nicht im Vordergrund.

 

Als Schlüssel für eine erfolgreiche Kombination der GAMP Good Practices mit und den ITIL Best Practices sehen wir vor allem die frühzeitige und kontinuierliche Absprache des Verantwortlichen für den IT-Betrieb mit dem Verantwortlichen für CSV-Projekte.

 

Zwei konkrete Herausforderungen mit unseren Empfehlungen
Durch folgende 2 Empfehlungen lässt sich der Synergiebereich von GAMP und ITIL sogar noch sinnvoll erweitern:

 

• Herausforderung: Nicht selten wird ein pauschales und aufwendiges Change Management für jede kleine Standard-Systemänderung betrieben. Zudem schleichen sich Fehler aufgrund nicht bekannter logischer Abhängigkeiten zwischen den einzelnen Konfigurationselementen ein. Bewegungs-, Stamm- und Konfigurationsdaten werden vermischt bzw. aus rein technischer Systemsicht als Stammdaten definiert.
• Empfehlung: Abgeleitet aus dem Verständnis der  Risikoanalyse lassen sich die einzelnen Systemfunktionen anhand der Funktionalen Spezifikation in eine sinnvolle Konfiguration mit den wesentlichen Attributen und logischen Abhängigkeiten überführen. Das bedeutet, es wird bereits in der Projektphase vorausgedacht, um mittels eines durchgängigen Configuration Managements einen hinsichtlich des Änderungswesens effektiven System Betrieb zu designen.

• Herausforderung: Eine der Schwachstellen des GAMP Projektvorgehen sind die einmal kreierten und statischen Spezifikationen, welche einen Periodic Review des Systems und seiner Spezifikation erfordern. Zudem gestalten sich Revalidierungen als äusserst mühsam, da keine verlässliche Spezifikations-Baseline als Referenz zur Verfügung steht. Es ist meist leichter die Spezifikationen komplett zu überarbeiten als nachträglich alle Systemänderungen in die Spezifikation einzuarbeiten.
• Empfehlung: Als Auswirkung von Systemänderungen wird gleich zu Beginn die Notwendigkeit zur Aktualisierung der Projektspezifikation durch das Release Management definiert. Dies vereinfacht sowohl den Periodic Review als auch eine Revalidierung, welche z.B. durch ein Systemupdate bedingt wird. Zudem wird die Auswirkungsanalyse beim Beurteilen von Änderungsanträgen durch eine konsistente und aktuelle Spezifikation erleichtert.

 

Allen Verantwortlichen für CSV-Projekte bzw. IT-Betrieb bietet die Arcondis AG an, sich unverbindlich über unsere  Empfehlung bei einem persönlichen Gespräch zu informieren. Laden Sie bei dieser Gelegenheit gleich Ihren Kollegen, den CSV-Projekt- bzw. IT-Betriebsverantwortlichen, mit ein.

Gerne führen wir auch ein Assessment der Effizienz ihres CSV- und IT-Betriebs Frameworks durch, um einen Massnahmenplan zur sauberen Integration der beiden Bereiche und damit zur effizienten Erreichung der Compliance zu erarbeiten.

 

zurück