No todos los procesos o proveedores tienen el mismo riesgo asociado. Piensa en ello. Seguro que sabes qué proveedor es más importante para tu proceso, o hay otro que parece no ser muy de confianza. Tienes una clasificación mental de tus proveedores en A-B-C.
Si esto es así, y no lo haces ya, ¿a qué esperas para aplicar un programa de gestión de riesgos para la calidad a las auditorías?
Lo que sí suele ser algo fijo son nuestros recursos. Por ejemplo, 3 auditores. Lo que no es fijo es qué hacemos con nuestros recursos. El coste de oportunidad de auditar todo por igual es no destinar más recursos a los proveedores (o áreas para las auditorías internas) que presentan un mayor riesgo para la calidad. Y si es un coste, va a repercutir en nuestra cuenta de resultados (también en la de calidad).
Repaso a la normativa EU vigente:
La normativa GMP indica, en su Parte I, capítulo 9, que será necesario realizar autoinspecciones para comprobar el grado de aplicación y cumplimiento de las Normas de Correcta Fabricación y proponer las necesarias medidas correctoras.
Habla de que las áreas tendrán que examinarse periódicamente siguiendo un programa preestablecido. Parece una información insuficiente para aplicar lo que hemos hablado.
Para auditorías a proveedores, en el capítulo 7 se indica simplemente que el contrato debe permitir al contratante auditar las actividades subcontratadas, por medio del contratado o por subcontratados de mutuo acuerdo.
Para poder asignar criterios de riesgo a la hora de elaborar nuestro calendario de auditorías, habría que irse a la parte III, el anterior Anexo 20, o de Gestión de Riesgos para la Calidad (ICH guideline Q9 on quality risk Management). Un completo documento, y no sólo para la industria farmacéutica. A tener en cuenta que ya no es un anexo de las GMP, sino que se ha considerado como parte integrante de la misma, por lo que tiene validez total.
ICH Training Material: http://www.ich.org/products/guidelines/quality/training-programme-for-q8q9q10/presentations.html
En la página 14, punto I.8 (Risk ranking and filtering) se indica que esta herramienta puede ser utilizada por la industria o las agencias regulatorias para priorizar las plantas de fabricación a inspeccionar.
Ya en la página 16, indica una serie de elementos que se pueden tener en cuenta a la hora de definir la frecuencia de las auditorías, tanto internas como externas. Estos puntos son:
- La existencia de requerimientos legales.
- Estado regulatorio general e historia de la compañía o de la instalación.
- Robustez del sistema de gestión de riesgos de la compañía.
- Complejidad del sitio a auditar.
- Complejidad de las actividades desarrolladas en la instalación a auditar.
- Complejidad del producto final y su uso terapéutico.
- Número y significancia de los defectos de calidad (como recalls).
- Resultados de inspecciones y auditorías previas.
- Cambios críticos o mayores de edificios, equipo clave, procesos, personal clave.
- Experiencia en la fabricación de determinado producto (años, nº de lotes, etc.).
- Resultados de análisis de laboratorios oficiales
Dependiendo de las actividades, recomiendo asignar a estos u otros elementos diferente peso a nivel de riesgo. No va a pesar igual para nosotros un cambio crítico de Persona Cualificada que una Warning Letter de la FDA.
En la parte II.2 (páginas 16 y 17) se vuelve a indicar que se puede utilizar esta herramienta para asignación de recursos, tanto para la frecuencia como para la intensidad. No es lo mismo 3 auditores 5 días que 1 auditor 6 días.
Ligado a esto, nos recuerdan en este mismo apartado que se puede utilizar este análisis de riesgos para clasificar los potenciales hallazgos, o para definir el periodo de reauditoría.
Si nos vamos a la parte II.5, nos dirá que también será de utilidad a la hora de evaluar a nuestros proveedores externos.
Para aplicar directamente un programa basado en riesgos como este, o para clasificar a nuestros proveedores, a parte del sentido común, tenemos herramientas que nos pueden ayudar a la hora de redactar el procedimiento a seguir.
Por ejemplo, tenemos el documento de la Comisión Europea “Compilation of Community Procedures on Inspections and Exchange of Information” donde nos encontramos con el documento “A Model for Risk Based Planning for Inspections of Pharmaceutical Manufacturers” (páginas 76 en adelante) en el que se establecen los criterios a la hora de definir los planes de inspección de las agencias regulatorias según principios de gestión de riesgos. Está basado en la guía PIC/s PI-37-1.
Nos presenta los conceptos de criticalidad y complejidad para determinar el riesgo intrínseco, y lo relaciona con el “Compliance Risk”. Establece 3 niveles de inspección en base a este riesgo total, de 2 a 3 años, de 1 a 2, o inferior a 1 año cuando el riesgo sea definido como crítico. Aquí ya tenemos una clasificación de proveedores por riesgo A-B-C.
Aplicabilidad real:
Pero, ¿cómo podemos aplicar esto a nuestro sistema de calidad? Tal y como yo lo entiendo, y por ejemplo aplicado a proveedores que ya tenemos bien establecidos y de los que tenemos información, si éstos son capaces de aportarnos determinada información clave que incremente nuestra confianza y transparencia con respecto a sus procesos (KPIs clave por ejemplo) pues la consecuencia lógica va a ser una reducción de nuestro deseo de personarnos en sus actividades.
Se me ocurre que, por ejemplo, compartieran sus indicadores de calidad, sus PQRs de un producto concreto, sus resultados de auditorías internes, externas o inspecciones, que nos dieran acceso a su sistema informático, etc. Cuanto mayor grado de conocimiento, más fácil va a ser justificar plazos más alargados de auditoría. Pensemos en una relación de confianza y duradera por todas las partes, todo va a traer beneficios si se hace con transparencia, claridad y sin mala fe. Quizás el destino final sea la Calidad total del proveedor, es decir, que sea casi como una extensión del nuestro.
Pero, ¿cómo lo podemos aplicar?
Yo lo haría por fases. Primero, definir el sistema claramente y darlo a conocer. Después empezar por los procesos más críticos, proveedores más críticos. Diseñar el programa de auditorías por ejemplo a 3 años puede ser de utilidad aunque sólo se apruebe el de este año. La idea es tener recursos disponibles para asignar a los casos potencialmente más críticos. No deberíamos considerar todos los casos como críticos, así como tampoco todos como no críticos. Puede ser una buena idea que sea un ejercicio multipersonal y que haya más de una persona en la revisión.
Espero que sea de utilidad este enfoque, y os aporte herramientas para defender su implementación en vuestro sistema de calidad. Si necesitáis ayuda en la redacción de la documentación o queréis algún tipo de asesoría, contactadme y lo comentamos.
Gracias por leerme y espero vuestros comentarios.
1 comment