Autoinspección GMP: diseña un programa eficaz 2026

Manos con guantes anotando registro junto a bandeja de viales y sello en laboratorio farmacéutico

El Capítulo 9 de las GMP europeas ocupa exactamente tres párrafos. Es el capítulo más corto de EudraLex Volumen 4 y, paradójicamente, el que más margen deja a la interpretación. No especifica frecuencias mínimas, no define el tamaño del equipo auditor, no establece el formato del informe. Solo dice que las autoinspecciones deben realizarse de forma independiente y detallada, que deben cubrir todas las áreas GMP relevantes, que deben registrarse y que deben derivar en acciones correctivas documentadas.

Lo que el Capítulo 9 no dice lo suple la realidad inspeccional: cuando un inspector regulatorio llega a una planta y revisa el programa de autoinspección, sabe con mucha rapidez si ese programa existe para cumplir el requisito o para encontrar y corregir problemas reales. La diferencia entre ambas versiones es exactamente la diferencia entre una planta que supera las inspecciones regulatorias sin sobresaltos y una que las supera de milagro —o no las supera—.

Este artículo explica cómo diseñar un programa de autoinspección GMP que funcione como herramienta real de mejora continua y que, al mismo tiempo, prepare a la organización para afrontar con solidez cualquier inspección regulatoria.

Lo que dice el Capítulo 9 y lo que no dice: el punto de partida exacto

El texto del Capítulo 9 de EU GMP establece tres requisitos concretos. Primero, que las autoinspecciones se realicen siguiendo un programa preestablecido y a intervalos regulares. Segundo, que sean realizadas por personas competentes designadas de forma independiente, aunque también admite que auditores externos independientes pueden ser útiles. Tercero, que todo quede registrado: el informe debe contener todas las observaciones, las propuestas de medidas correctivas y, posteriormente, las acciones tomadas.

Este tercer punto tiene una implicación que muchos equipos de calidad desconocen o subestiman: en el ámbito europeo, los informes de autoinspección deben conservarse y ponerse a disposición de los inspectores regulatorios cuando lo soliciten. Negarse a facilitar el informe de autoinspección durante una inspección de la AEMPS o de cualquier otra autoridad competente de la UE puede ser considerado una observación crítica. Esto es diametralmente opuesto a lo que ocurre en EE.UU., donde la FDA, por política publicada (CPG Sec. 130.300), no revisa ni copia los informes de auditoría interna de los programas de garantía de calidad escritos, y donde las empresas pueden destruirlos una vez cerradas las CAPAs. Un programa diseñado para el mercado americano que no contemple la exigencia europea de conservación y disponibilidad de informes no cumple con los requisitos de EudraLex.

Más allá de los tres párrafos del Capítulo 9, el marco de referencia para diseñar un programa robusto se construye con ICH Q10 (que convierte la autoinspección en una entrada clave del Management Review y en un mecanismo central de monitorización del sistema de calidad) e ICH Q9 (que proporciona la lógica de gestión del riesgo para planificar frecuencias y alcances de forma inteligente, no uniforme).

Los pilares de un programa que funciona

Planificación basada en riesgo: no todo merece la misma frecuencia

El Capítulo 9 no establece frecuencias mínimas porque la frecuencia adecuada depende del riesgo. Aplicar ICH Q9 a la planificación del programa de autoinspección significa que la frecuencia y la profundidad con que se audita cada área deben ser proporcionales a su impacto potencial sobre la calidad del producto y la seguridad del paciente, y al historial de esa área (desviaciones recientes, cambios introducidos, resultados de autoinspecciones anteriores).

Como orientación práctica, las áreas de mayor criticidad —fabricación de productos estériles, laboratorio de control de calidad, gestión de materiales y sistemas informatizados con impacto GMP— deberían auditarse con una frecuencia mínima semestral. Áreas de criticidad media pueden auditarse anualmente. Lo que no es aceptable, desde el punto de vista regulatorio ni desde el del sentido común, es un programa donde todas las áreas se auditan con la misma frecuencia independientemente de su historial y de su riesgo.

El plan anual de autoinspecciones debe documentarse como tal —con áreas, fechas previstas, auditores asignados y alcance— y revisarse al inicio de cada año incorporando los datos del ejercicio anterior: ¿qué áreas acumularon más observaciones? ¿Qué cambios significativos se introdujeron? ¿Qué indicó la revisión anual de producto? Esa revisión convierte el plan de un formulario burocrático en una herramienta de gestión real.

El equipo auditor: independencia no es sinónimo de distancia

El Capítulo 9 exige independencia en la persona o personas que realizan la autoinspección. Esto significa, en la práctica, que el auditor no debe auditar su propio departamento. Pero independencia no significa que el auditor deba ser ajeno a la planta o ignorante de sus procesos; al contrario, un auditor con profundo conocimiento del proceso que está auditando —pero sin conflicto de interés directo— identificará problemas sistémicos que un auditor externo sin contexto puede pasar por alto.

El enfoque más robusto es un equipo multidisciplinar: Calidad lidera y coordina, pero la auditoría de fabricación se enriquece con un técnico de ingeniería que conoce los equipos, la auditoría de laboratorio mejora con alguien de producción que hace las preguntas que el laboratorio no se haría a sí mismo, y así sucesivamente. Este modelo favorece también el aprendizaje cruzado entre departamentos y contribuye a la cultura de calidad de la organización —una de las cinco áreas de práctica que la FDA evalúa en su programa QMM.

Independientemente del modelo elegido, todos los auditores deben estar formados en técnicas de auditoría y en los requisitos GMP aplicables. Una autoinspección mal ejecutada —que solo verifica si los procedimientos existen sin comprobar si realmente se siguen— es tan inútil como no hacerla.

La preparación: las listas de verificación como punto de partida, nunca de llegada

Las listas de verificación son útiles para garantizar que ningún área crítica se omite durante la auditoría. Son un punto de partida, una memoria de cobertura mínima. El error más frecuente es convertirlas en el único instrumento de la autoinspección: el auditor recorre la lista, marca «Sí/No» y considera la auditoría completada.

Una autoinspección efectiva va más allá de verificar la existencia de documentos: verifica que los procesos documentados reflejan lo que realmente ocurre y que los controles existen y funcionan. Esto requiere revisar registros reales, observar operaciones en curso, entrevistar a los operadores que realizan las tareas —no solo a los supervisores que las describen— y rastrear la trazabilidad de un incidente reciente desde su detección hasta el cierre de la CAPA. Es exactamente lo que hace un inspector regulatorio competente, y la autoinspección debe simularlo.

El informe: estructura mínima y plazos que importan

El informe de autoinspección debe incluir el alcance y los objetivos de la auditoría, la fecha y los auditores participantes, las áreas y procesos revisados, todas las observaciones identificadas clasificadas por criticidad, las propuestas de acciones correctivas con responsable y plazo, y el estado de las acciones de auditorías anteriores. Este último punto es especialmente importante: un inspector que revisa el historial de autoinspecciones y encuentra que las mismas observaciones se repiten año tras año entiende de inmediato que el programa no está funcionando como herramienta de mejora.

El informe debe emitirse en un plazo razonable tras la finalización de la auditoría —habitualmente entre dos y cuatro semanas—. Los informes que tardan meses en emitirse pierden utilidad operativa y generan la sospecha, fundada o no, de que los hallazgos se están gestionando antes de quedar documentados formalmente.

El seguimiento de CAPAs: donde mueren la mayoría de los programas

El punto de fallo más común en los programas de autoinspección no está en la planificación ni en la ejecución de la auditoría: está en el seguimiento. Observaciones correctamente identificadas, propuestas de acción bien redactadas, responsables asignados… y plazos incumplidos, verificaciones de efectividad omitidas, acciones cerradas formalmente sin evidencia objetiva de que el problema se ha resuelto.

El seguimiento de las CAPAs derivadas de autoinspecciones debe estar integrado en el sistema general de gestión de CAPA de la empresa, con revisión periódica por parte de la dirección. ICH Q10 es explícito: los resultados de las autoinspecciones son una entrada clave del Management Review, no un dato que queda en el departamento de Calidad. Cuando la dirección revisa regularmente el estado de cierre de CAPAs de autoinspección —y cuando esa revisión queda documentada—, el programa adquiere un peso y una seriedad que transforma la autoinspección de ejercicio técnico en mecanismo real de gobernanza de la calidad.

Los temas que los inspectores esperan ver cubiertos en 2026

El contenido de las autoinspecciones debe evolucionar al ritmo de las prioridades regulatorias. En el contexto de 2025-2026, hay cuatro temas que los inspectores de la AEMPS, la EMA y la FDA esperan encontrar sistemáticamente cubiertos en el historial de autoinspecciones:

  • Integridad de datos y sistemas informatizados. La MHRA publicó ya en 2013 sus expectativas de que las autoinspecciones cubrieran la integridad de datos. En 2026, con las directrices de la EMA, MHRA y PIC/S plenamente vigentes, una autoinspección que no evalúa el estado de los audit trails, la gestión de cuentas de usuario y los controles sobre sistemas informatizados está incompleta desde el punto de vista regulatorio.
  • Gestión de cambios. Cambios en procesos, equipos, proveedores o sistemas que no han pasado correctamente por el sistema de control de cambios son uno de los hallazgos más frecuentes en inspecciones regulatorias. La autoinspección debe verificar activamente que los cambios realizados en el periodo auditado han sido evaluados, aprobados y documentados de forma adecuada.
  • Efectividad de las CAPAs anteriores. No basta con verificar que las CAPAs están cerradas formalmente. La autoinspección debe incluir una muestra de CAPAs cerradas en el periodo anterior y evaluar si las acciones implementadas han sido realmente efectivas: ¿ha vuelto a ocurrir el mismo tipo de desviación? ¿Los indicadores de calidad mejoraron tras la implementación?
  • Actividades externalizadas. Si la planta externaliza fabricación, análisis u otras actividades GMP, el programa de autoinspección debe incluir la verificación de los controles sobre esas actividades: estado de los acuerdos de calidad, resultados de las auditorías a CMOs, seguimiento de indicadores de rendimiento de contratistas.

La inspección de ensayo: cuándo y cómo integrarla

Una inspección de ensayo (mock inspection) es una simulación de una inspección regulatoria real, donde uno o varios auditores —internos o externos— adoptan el rol y la metodología de un inspector de la autoridad competente. Va más allá de una autoinspección convencional porque evalúa no solo el estado de los sistemas y la documentación, sino también la capacidad de la organización para responder bajo presión inspeccional: cómo accede al personal a los registros, cómo responden a preguntas técnicas inesperadas, cuánto tiempo se tarda en localizar un documento solicitado.

Una inspección de ensayo es especialmente valiosa en tres situaciones: antes de una inspección regulatoria prevista o inminente, tras un periodo largo sin inspección regulatoria, y tras cambios organizativos o de proceso significativos que hayan podido afectar la madurez del sistema de calidad. No es un sustituto del programa regular de autoinspección, sino un complemento que evalúa una dimensión diferente: la preparación operativa, no solo el cumplimiento técnico.

Errores frecuentes que invalidan el programa

Más allá de los fallos ya descritos en el seguimiento de CAPAs, los errores más frecuentes que los propios inspectores señalan al revisar programas de autoinspección son: alcance sistemáticamente incompleto (siempre se auditan las mismas áreas cómodas, nunca las más complejas o conflictivas), auditores sin formación en técnicas de auditoría que producen informes superficiales, observaciones redactadas de forma tan vaga que son imposibles de convertir en acciones concretas, y ausencia de evaluación de la efectividad de las acciones de ciclos anteriores. Todos estos fallos tienen un denominador común: un programa diseñado para existir, no para funcionar.

Conclusión práctica: la autoinspección que no incomoda, no sirve

El mejor indicador de que un programa de autoinspección está funcionando es que produce observaciones que incomodan. Observaciones que señalan problemas sistémicos reales, que requieren inversión para resolverse, que cuestionan prácticas establecidas. Un programa que año tras año produce únicamente observaciones menores de documentación no está midiendo el estado real del sistema de calidad: está midiendo lo que la organización ha aprendido a gestionar cosméticamente.

La autoinspección GMP, bien diseñada y bien ejecutada, es el mecanismo más potente que una organización tiene para conocer su estado real de cumplimiento antes de que lo haga un inspector externo. Es la diferencia entre llegar a una inspección regulatoria sabiendo lo que el inspector va a encontrar —y tenerlo resuelto— o descubrirlo al mismo tiempo que él.

Referencias normativas principales: EudraLex Vol. 4, Capítulo 9 (Self Inspection). ICH Q10 (Pharmaceutical Quality System). ICH Q9 (R1) (Quality Risk Management, 2023). MHRA expectation regarding self inspection and data integrity (diciembre 2013). FDA CPG Sec. 130.300 (FDA Access to Results of Quality Assurance Program Audits and Inspections). 21 CFR 211. WHO TRS 986 Annex 4 (Good Manufacturing Practices for pharmaceutical products).

Deja un comentario

Descubre más desde cGMPs / NCF

Suscríbete ahora para seguir leyendo y obtener acceso al archivo completo.

Seguir leyendo