In un panorama normativo sempre più rigoroso e in un mercato dove è fondamentale garantire qualità e trasparenza, l’audit rappresenta uno degli strumenti più potenti per monitorare, valutare e migliorare l’operato di un’azienda.

Che cos’è un audit aziendale? 

L’audit è un processo sistematico e documentato, che permette di raccogliere evidenze per valutare se le attività aziendali siano conformi a determinati requisiti normativi, contrattuali o interni. Gli obiettivi principali includono:

• la verifica della conformità a standard e normative come ad esempio ISO 9001, GMP, ISO/IEC 17021;
• l’identificazione di non conformità o rischi nei processi;
• la promozione del miglioramento continuo e ottimizzazione dei processi;
• il supporto alla gestione strategica e alla presa di decisioni basate sui dati.

Tipologie di audit: interni ed esterni

Gli audit si classificano in base allo scopo e all’origine:

• Audit Interni: viene condotto dall’azienda stessa, attraverso il lavoro degli Internal Auditor, per valutare i propri sistemi di gestione e garantire che siano efficaci e conformi agli obiettivi aziendali, inoltre è uno strumento prezioso di autovalutazione e prevenzione.
• Audit Esterni: condotti da clienti (second party) o da enti certificatori (third-party), con l’obiettivo di valutare l’idoneità dell’azienda secondo standard specifici.

Ogni audit, interno o esterno, rappresenta un’opportunità di crescita, se gestito con consapevolezza e proattività. 

Il ruolo dell’Internal Auditor: competenze e responsabilità

L’Internal Auditor è una figura professionale chiave che si occupa di pianificare, condurre, documentare e monitorare audit interni. La sua funzione non è punitiva o ispettiva ma piuttosto di supporto strategico poiché, attraverso un’analisi oggettiva dei processi e dei sistemi, contribuisce a migliorare la gestione e la performance dell’azienda.

Le sue principali responsabilità includono:

• la valutazione dell’efficacia del sistema di gestione;
• la verifica della corretta applicazione delle procedure;
• la rilevazione e classificazione delle non conformità;
• la collaborazione nella definizione di azioni correttive e preventive;
• la redazione di report chiari e tempestivi;
• la promozione della cultura della qualità.

I Lead Auditor S4BT si distinguono per la conoscenza normativa approfondita, la visione analitica e un approccio collaborativo e orientato al risultato.

Come si svolge un audit efficace? Le 4 fasi essenziali

1. Pianificazione
   • definizione di obiettivi, criteri e ambiti;
   • preparazione del piano di audit e delle checklist.
2. Esecuzione
   • interviste, osservazione diretta, raccolta documentale;
   • identificazione di eventuali non conformità e opportunità di miglioramento.
3. Reporting
   • redazione e condivisione di un report tecnico e strategico;
   • evidenze oggettive, punti di forza e raccomandazioni.
4. Follow-up
   • verifica e monitoraggio delle azioni correttive;
   • riesame dei risultati e chiusura delle non conformità.

Audit ISO e GMP: la specializzazione di S4BT

Nel concreto, S4BT fornisce supporto operativo alle aziende per:

• audit conformi alla ISO 9001:2015, fondamentale per il controllo e il miglioramento dei processi aziendali;
• audit secondo ISO 19011, per una gestione efficiente delle attività ispettive interne ed esterne;
• supporto nella gestione di audit e certificazioni secondo ISO/IEC 17021-1 e 17021-3, garantendo la competenza tecnica e la neutralità dell’auditor;
• verifiche secondo le Good Manufacturing Practice (GMP), requisito fondamentale nel settore farmaceutico e regolato dalle autorità sanitarie internazionali.

Buone pratiche e strumenti a supporto degli audit

Un audit efficace si basa su strumenti adeguati e best practice consolidate:

• piattaforme digitali per audit management;
• approccio Risk-Based Thinking, per concentrarsi sulle aree a maggior rischio;
• tecniche come Root Cause Analysis (RCA) per individuare le vere cause delle non conformità;
• monitoraggio tramite KPI e dashboard;
• cultura della qualità in azienda;
• formazione continua per gli auditor.

Il valore strategico dell’audit aziendale

Per concludere possiamo confermare che l’audit aziendale (in particolare quello interno) non deve essere visto come un costo o un intralcio, ma come un motore di miglioramento continuo e un alleato della crescita aziendale. Infatti, se costruito bene, consente all’azienda di rafforzare il controllo e la governance, migliorare la gestione del rischio, aumentare la fiducia di clienti e guidare al cambiamento con decisioni basate su dati raccolti.

S4BT affianca le aziende nella costruzione di un sistema di audit efficace e sostenibile, grazie a servizi di consulenza e supporto operativo altamente specializzati.

Hai bisogno di supporto nella gestione degli audit?
Contattaci! I nostri consulenti sono pronti ad accompagnarti nel tuo percorso di miglioramento continuo.

Nel settore Life Science, la qualità rappresenta un requisito imprescindibile, regolato da normative e linee guida stringenti come le GXP, le ISO 13485, le ICH Q10 e la FDA 21 CFR Part 11. Le organizzazioni attive nella produzione di farmaci, dispositivi medici e biotecnologie operano in contesti altamente complessi, dove la gestione strutturata della qualità è strettamente connessa alla tutela della salute pubblica e al rispetto degli standard regolatori. 

In questo scenario, le Quality Metrics assumono un ruolo centrale nel monitoraggio sistematico delle performance, nella valutazione dell’efficacia dei processi e nell’individuazione di eventuali aree di miglioramento.

Un sistema di misurazione ben definito consente di prendere decisioni basate su dati oggettivi, promuovendo il miglioramento continuo e assicurando la conformità lungo l’intero ciclo di vita del prodotto.

Cosa sono le Quality Metrics? 

Le Quality Metrics sono indicatori quantitativi e qualitativi utilizzati per misurare, valutare e migliorare la qualità dei processi, dei prodotti e dei sistemi all’interno di un’organizzazione. Nel settore Life Science, queste metriche sono fondamentali per garantire la conformità alle normative, come le Good Manufacturing Practices (GMP) e gli standard ISO, oltre a sostenere l’efficienza operativa e la cultura del miglioramento continuo.

FDA Quality Metrics Initiative

L’FDA Quality Metrics Initiative è un programma avviato dalla Food and Drug Administration (FDA) per promuovere la cultura della qualità, migliorare la trasparenza e l’efficienza della produzione farmaceutica, Identificare preventivamente i rischi nella produzione di medicinali e Premiare i produttori proattivi, con ispezioni meno frequenti o più leggere (risk-based inspections).

Con questa iniziativa FDA vuole che le aziende farmaceutiche raccolgano e condividano alcune metriche di qualità, per:

• monitorare meglio la salute dei loro processi produttivi,
• prevenire problemi di qualità,
• ridurre carenze di medicinali,
• favorire l’adozione del miglioramento continuo (continuous improvement).

Il ruolo strategico delle Quality Metrics nel Life Science

Nel contesto regolatorio attuale, le autorità sanitarie come FDA ed EMA promuovono un approccio basato sul rischio e orientato alla qualità. 

Per questo le aziende devono dotarsi di strumenti capaci di rilevare in tempo reale eventuali criticità e intervenire tempestivamente. Le Quality Metrics, se implementate correttamente, permettono di:

• Monitorare e ottimizzare la qualità dei processi e dei prodotti in modo oggettivo e continuativo riducendo costi e sprechi.
• Valutare l’efficacia dei sistemi di gestione della qualità aziendali, individuando deviazioni, trend negativi e non conformità.
• Incrementare l’affidabilità del prodotto, migliorando la soddisfazione del cliente.
• Facilitare la conformità normativa, dimostrando concretamente l’impegno dell’azienda nel mantenere standard elevati.
• Agevolare decisioni rapide e basate su dati oggettivi, grazie a un’informazione strutturata e trasparente.
• Supportare la gestione del rischio, permettendo di adottare azioni preventive piuttosto che correttive.
• Favorire una cultura della qualità, coinvolgendo attivamente tutto il personale.

Perché questo accada, è essenziale che le Quality Metrics siano parte integrante del sistema di gestione aziendale, raccolte attraverso piattaforme digitali affidabili e analizzate in modo strutturato.

Il ruolo strategico delle Quality Metrics nel Life Science

Le Quality Metrics devono essere selezionate con attenzione, in base al contesto operativo e agli obiettivi strategici dell’azienda. Tra le più utilizzate nel Life Science troviamo:

• Deviation Rate: ovvero il tasso di deviazioni rispetto ai processi standardizzati.  
  Questo indicatore misura con quale frequenza i processi si discostano dalle procedure operative standard (SOP). È essenziale per il controllo dei processi perché un elevato numero di deviazioni può indicare criticità nella struttura dei processi stessi, nella formazione del personale o nella gestione del cambiamento. Monitorarlo consente interventi tempestivi, riducendo il rischio di gravi non conformità e migliorando la stabilità operativa.
• CAPA Effectiveness: indica l’efficacia delle azioni correttive e preventive. Questa metrica consente di valutare se le azioni intraprese per risolvere o prevenire un problema hanno effettivamente eliminato la causa alla radice. Un CAPA efficace contribuisce a diminuire la ricorrenza dei problemi, a migliorare la qualità del prodotto e a dimostrare all’autorità regolatoria un approccio strutturato alla gestione del rischio.
• Right First Time (RFT): percentuale di attività completate correttamente al primo tentativo. L’RFT riflette l’efficienza dei processi produttivi e la loro capacità di generare output conformi senza necessità di rilavorazioni o scarti. Un valore elevato di RFT consente di ridurre i costi, i tempi di produzione e gli sprechi, migliorando al contempo l’affidabilità dell’organizzazione percepita da clienti e auditor.
• OOS (Out of Specification): numero e frequenza di risultati fuori specifica nei test di controllo qualità. I risultati OOS possono segnalare possibili criticità nella produzione, nei materiali utilizzati o nelle condizioni ambientali. Il monitoraggio continuo di questi dati è fondamentale per garantire la conformità dei prodotti finiti, ridurre i rischi di rilavorazioni o richiami e preservare l’integrità dei dati nei processi analitici.
• Audit Findings: numero di osservazioni e non conformità rilevate durante gli audit interni ed esterni e proprio per questo rappresentano uno specchio della conformità aziendale. Analizzarle consente non solo di correggere i singoli problemi riscontrati, ma anche di individuare tendenze sistemiche. Una riduzione progressiva delle osservazioni indica un miglioramento dell’efficacia del sistema qualità.
• Complaints Rate: frequenza e tipologia dei reclami dei clienti. Il tasso di reclami è una misura diretta del livello di soddisfazione del cliente e della qualità percepita del prodotto o servizio. Un aumento di reclami può indicare problematiche nei processi produttivi, nella logistica o nella comunicazione. Analizzarne la natura consente di intervenire in maniera mirata, migliorando l’esperienza del cliente e rafforzando la reputazione del marchio.
• Change Control Efficiency: tempo medio necessario per implementare modifiche a processi, impianti, sistemi, documentazione, ecc., che potrebbero impattare su qualità, sicurezza o conformità. La capacità di gestire con efficienza i cambiamenti richiesti – che siano normativi, tecnologici o di processo – è indicativa della maturità organizzativa, infatti un sistema di change control efficace riduce i tempi di risposta e mantiene la conformità, contribuendo al contenimento del rischio operativo.

L’analisi di queste metriche consente di ottenere una visione chiara dello stato di salute dei processi aziendali e della qualità complessiva del prodotto. 

Spesso queste informazioni vengono raccolte e sono monitorate all’interno di dashboard KPI e integrate nei Quality Management System (QMS), ovvero un insieme strutturato di processi, procedure, documentazione e responsabilità che un’azienda implementa per garantire che i prodotti o servizi erogati rispettino gli standard di qualità definiti e siano conformi alle normative applicabili.

S4BT: il partner ideale per un sistema di misurazione efficace

S4BT si propone come partner strategico per le aziende del settore Life Science, grazie a una combinazione unica di competenze consulenziali altamente specializzate nell’aerea Quality and Compliance.

Il nostro team si occupa della qualità del prodotto E2E partendo dalla fase clinica fino alla dismissione del prodotto internamente all’azienda e esternamente (presso terzisti).

Supportiamo sia per la fase di stesura e revisione documentazione che nella gestione dei processi e delle attività di assicurazione qualità e nella stesura dei report periodici sulle metriche di qualità.

Reference:

–https://www.fda.gov/files/drugs/published/Submission-of-Quality-Metrics-Data-Guidance-for-Industry.pdf

–https://simplerqms.com/quality-kpis/https://medvacon.com/establishing-quality-metrics-and-key-performance-indicators/

-https://www.scilife.io/blog/essentials-quality-management-life-sciences

–https://www.spartasystems.com/resources/measure-what-matters/

–https://www.rcainc.com/published-articles/quality-metrics/

Torniamo con questo articolo a parlare del tema della Data Integrity, più volte affrontato nei blog di S4BT e PRAGMA4U sotto differenti prospettive. 

Articoli correlati: Cosa sono i principi ALCOA e perché sono fondamentali nel Data Integrity 

In questo approfondimento ci soffermeremo in particolare sul legame tra Computer System Validation e Data Integrity. Faremo riferimento alle normative FDA 21 Cfr Part 11 e EU cGMP Annex 11, con un accenno a MHRA con il Framework ALCOA++. 

Successivamente ci soffermeremo sull’automazione dei processi a garanzia della Data Integrity, con uno sguardo in merito alle nuove tecnologie di Blockchain, Intelligenza Artificiale e Robotic Process Automation (RPA). 

Cosa significa Computer System Validation (CSV)?

La validazione dei sistemi computerizzati è il processo in cui un sistema computerizzato viene documentato e verificato, per garantire che soddisfi i requisiti specifici del cliente, funzioni come desiderato e sia conforme alle normative di riferimento. La convalida di un sistema computerizzato, inteso come insieme di componenti hardware e software, fornisce la prova documentata che il sistema, di supporto ad un processo:

• farà ripetutamente e in modo affidabile ciò per cui è progettato 
• è idoneo all’uso previsto 
• rispetta le norme e i regolamenti applicabili. 

In altre parole, la CSV dimostra che un determinato sistema computerizzato è in grado di svolgere in modo coerente e riproducibile le funzioni previste, mantenendo l’integrità dei dati che gestisce, in termini di:  

• produzione di risultati accurati e affidabili 
• tracciabilità, protezione e non alterabilità dei dati. 

Le principali normative di riferimento per la Data Integrity

Numerose sono le normative di riferimento internazionali che affrontano il tema della Data Integrity e della validazione dei sistemi all’interno del settore farmaceutico e dei settori regolamentati affini. Tra le principali di riferimento vediamo la FDA 21 cfr part 11 e EU cGMP Annex 11.    

FDA 21 cfr part 11  

La normativa FDA CFR 21 part 11 definisce i requisiti minimi per sistemi che generano record soggetti alle predicate rule/GMP, sottomessi all’FDA o soggetti a ispezioni FDA, oppure che prevedano la gestione di firme per tali record, in formato elettronico. L’obiettivo è assicurare che record elettronici, firme elettroniche e firme manuali effettuate su record elettronici siano considerati affidabili, sicuri ed equivalenti (legalmente) a registrazioni su carta e a firme manoscritte su carta. 

La Data Integrity è un principio fondamentale in questa normativa, anche se non viene menzionato esplicitamente con questo termine. Le sue disposizioni garantiscono infatti che i dati elettronici siano affidabili, autentici e protetti da alterazioni. Nello specifico, troviamo riferimenti alla Data Integrity nelle sezioni: 

• 11.10 e 11.30 Part B, dove si definiscono i controlli per garantire l’integrità, l’accuratezza e affidabilità dei dati elettronici, di cui i punti chiave relativi alla Data Integrity (Audit Trail; controllo degli accessi; Protezione dei Record, Validazione dei Sistemi Computerizzati, per garantire l’accuratezza, l’affidabilità, la coerenza delle prestazioni previste e la capacità di distinguere i record non validi o alterati, …) 

• 11.50 Part B, dove si richiede che ogni firma elettronica sia associata a informazioni che dimostrino chi, cosa, quando e perché il record è stato registrato (concetto ALCOA+). 

• 11.70 Part B, stabilisce che le firme elettroniche debbano essere legate in modo univoco e non modificabile al record firmato, evitando manomissioni. 

Reference: https://www.ecfr.gov/current/title-21/chapter-I/subchapter-A/part-11  

EU cGMP Annex 11  

La normativa EU cGMP Annex 11 “Computerized Systems” fornisce una guida dettagliata su come garantire la conformità ai requisiti delle Direttive GMP europee quando un sistema computerizzato sostituisce un’operazione manuale. 

L’Annex 11 si divide in 17 sezioni, molte delle quali riguardano direttamente la Data Integrity, anche se non esplicitamente citato nel testo. I principi fanno infatti riferimento al Framework ALCOA+ e tra queste citiamo ad esempio: 

• Sezione 5 “Dati”. Richiede controlli automatici in caso di dati scambiati elettronicamente (interfacce) per minimizzare i rischi di processare dati errati (built-in checks vs device checks). 

• Sezione 6 “Controlli di correttezza”. Per i dati critici inseriti manualmente è richiesto un ulteriore controllo di esattezza, effettuato da un secondo operatore o da un sistema automatico validato. 

• Sezione 7 “Conservazione dei dati”. I dati devono essere preservati da danneggiamenti per tutto il periodo di ritenzione. Il Backup deve essere eseguito regolarmente. La possibilità di ripristino e quindi la leggibilità e l’integrità dei dati, devono essere verificati periodicamente, oltre che durante la convalida iniziale. 

• Sezione 9 “Audit Trail”. Devono essere automaticamente registrate, in base a un’analisi dei rischi, modifiche e cancellazioni di dati GMP con il motivo della modifica. L’Audit Trail deve essere disponibile e convertibile in formato leggibile e deve essere periodicamente rivisto. 

• Sezione 12 “Sicurezze”. L’accesso ai sistemi deve essere limitato al personale autorizzato tramite controlli fisici e/o logici. Le modifiche alle autorizzazioni di accesso devono essere registrate. 

• Sezione 17 “Archiviazione”. I dati possono essere archiviati. In tal caso occorre verificarne accessibilità, leggibilità e integrità. In caso di modifiche rilevanti al sistema (HW o SW), la capacità di ripristinare i dati deve essere garantita e testata. 

Il presupposto che affronta la normativa è che senza una validazione adeguata, non si può garantire che i dati siano affidabili. 

Reference: Volume 4 Good Manufacturing Practice Medicinal Products for Human and Veterinary Use Annex 11: Computerised Systems 

Linea Guida MHRA e Principi ALCOA+ 

Del framework dei principi ALCOA+, oggi evoluto in ALCOA++, abbiamo scritto in un precedente articolo. Offriamo qui un approfondimento rispetto al legame tra Data Integrity e Computer System Validation nella linea guida inglese di MHRA “‘GXP’ Data Integrity Guidance and Definitions”. 

La linea guida fa riferimento alla data integrity, in formato tanto elettronico, quanto ibrido e cartaceo. Come nel caso di Annex 11, c’è anche qui il presupposto che un sistema computerizzato validato assicura che i dati generati siano accurati e non alterabili in modo non autorizzato; c’è quindi un rapporto di interdipendenza tra il processo di convalida e la linea guida.  

La Computer System Validation (CSV) fornisce la struttura e le garanzie tecniche e/o procedurali (audit trail, controlli, change management) necessarie per assicurare che il sistema supporti la raccolta, l’elaborazione e la conservazione dei dati in conformità con le normative. 

La Data Integrity verifica che i dati siano accurati, completi e protetti da alterazioni non autorizzate: il che è maggiormente applicabile se il sistema è stato adeguatamente validato. 

Se il sistema non è correttamente validato, può aumentare il rischio di errori o manipolazioni che potrebbero compromettere la qualità e la sicurezza dei prodotti farmaceutici. 

Nuove tecnologie a supporto della Data Integrity

Le nuove tecnologie e l’automazione sono sempre più utilizzate per garantire la Data Integrity, andando a ridurre o eliminare il fattore degli errori umani nei processi GMP oltreché aumentarne i controlli. 

Una recente ricerca propone l’adozione di sistemi computerizzati ottimizzati mediante modelli matematici e algoritmi per il monitoraggio continuo della qualità dei record elettronici, riducendo così il rischio di errori umani. 

Tra le tecnologie emergenti, lo studio discute il potenziale della blockchain, che presenta notevoli vantaggi per garantire l’integrità dei dati in ambito farmaceutico. Grazie, infatti, alla sua natura di registro distribuito e crittografato, la blockchain assicura che ogni operazione, una volta registrata, diventi immutabile e trasparente, eliminando il rischio di manomissioni o alterazioni non autorizzate.  

In un settore in cui la tracciabilità dei dati è fondamentale, l’adozione di questa tecnologia offre un supporto solido agli audit trail, poiché ogni modifica viene registrata in modo permanente e verificabile. 

Integrata con altre tecnologie come l’Intelligenza artificiale e la Robotic Process Automation (RPA), essa contribuisce a un approccio multidisciplinare per la gestione dei record elettronici, riducendo l’intervento manuale e gli errori umani, e potenziando la capacità di individuare tempestivamente anomalie e rischi.  

L’approccio multidisciplinare proposto nello studio favorisce l’integrazione tra sistemi legacy e nuove tecnologie digitali, offrendo raccomandazioni per future implementazioni e miglioramenti nella validazione dei sistemi computerizzati.  

I risultati mostrano un significativo incremento nell’affidabilità e nel controllo della qualità dei record elettronici, ponendo le basi per processi più sicuri e conformi ai requisiti regolatori. 

Reference: Adla Padma, Mangayarkarasi Ramaiah, Blockchain based solution for secure information sharing in pharma supply chain management, Heliyon, Volume 10, Issue 22, 2024, e40273, ISSN 2405-8440, https://doi.org/10.1016/j.heliyon.2024.e40273 

Il punto di vista normativo 

Spostandoci sul lato normativo, ad oggi tuttavia l’implementazione di queste nuove tecnologie è al vaglio degli enti regolatori, che in questi anni hanno rilasciato considerazioni in merito al loro utilizzo. Un esempio è il documento FDA in stato draft “Considerations for the Use of Artificial Intelligence to Support Regulatory Decision-Making for Drug and Biological Products” di gennaio 2025 e il documento  EMA “Reflection paper on the use of Artificial Intelligence (AI) in the medicinal product lifecycle” di settembre 2024 rilasciato da EMA.  

Un altro apporto interessante al tema, lo troviamo nell’appendice D11 (Artificial Intelligence and Machine Learning (AI/ML)) della guida GAMP5 2nd Edition, che fornisce una conoscenza di base di queste soluzioni digitali e indicazioni su come garantirne la compliance integrativa e l’idoneità all’uso in un ambiente convalidato.

Concentrandoci sulla Data Integrity, l’appendice descrive l’importanza dell’integrità dei dati per la qualità complessiva di AI/ML oltre a presentare una comprensione dei rischi inerenti. 

Nonostante una discussione sul tema, quindi è ancora in corso una direzione normativa. 

Conclusioni 

Il legame interdipendente tra Data Integrity e Computer System Validation è un requisito normativo, e allo stesso tempo una necessità operativa nel settore farmaceutico. Senza una validazione adeguata, non si può infatti garantire che i dati siano affidabili. 

Le normative FDA 21 CFR Part 11, EU GMP Annex 11 e la linea guida MHRA stabiliscono principi chiari per garantire che i dati siano affidabili, accurati e protetti, indipendentemente dall’evoluzione tecnologica. 

L’adozione di Blockchain, AI e RPA rappresenta una grande opportunità per automatizzare le operazioni e rafforzare i meccanismi di controllo e ridurre il rischio di errori o manomissioni.  

L’introduzione di queste tecnologie deve essere gestita con un approccio di convalida rigoroso, in linea con le aspettative degli enti regolatori, che si stanno muovendo nella definizione di linee guida e normative.  

Servizio di consulenza in Computer System Validation & Data Integrity Compliance 

Abbiamo un’esperienza ventennale nella validazione dei sistemi computerizzati in accordo alle normative e linee guida di riferimento per il settore Pharma & Life Science, in particolare FDA CFR 21, Eudralex Vol.4. Seguiamo ogni fase di ciascun progetto dalla pianificazione inziale alla reportistica finale. 

Scopri di più