Punkt 11.1
Risikomanagement
Risk-Assessment dokumentiert je System; lebendes Artefakt, nicht ein Einmal-Dokument.
Regulatorisches Fundament · Pharma · Biotech · MedTech
GAMP 5, Annex 11 und 21 CFR Part 11 — die Regulatorik, auf der Ihre Validierung steht.
Risikobasierter Validierungs-Ansatz nach GAMP 5 Second Edition, EU GMP Annex 11 und FDA 21 CFR Part 11 — für eine Validierung, die im Audit hält, ohne ein Validierungs-Programm zu sein.
01
GAMP 5 Second Edition
Risikobasiert · Lifecycle · Critical Thinking
02
EU GMP Annex 11
17 Kontroll-Punkte · EMA · BfArM
03
21 CFR Part 11 + CSA
E-Signaturen · Audit-Trail · CSA-Bridge
100 % Audit-Bestehensquote
0 kritische Findings
60+ validierte Systeme
FDA · EMA · BfArM Inspektionen
01 GAMP 5
GAMP 5 ist mehr als „ein Framework".
Die Second Edition von 2022 verschiebt den Fokus vom Compliance-Dokumentieren zum risikobasierten Critical-Thinking-Entscheid. Wo der Leitfaden hilft — und wo nicht.
GAMP 5 — der ISPE-Leitfaden — definiert einen risikobasierten, lifecycle-orientierten und Critical-Thinking-zentrierten Validierungs-Ansatz. Fünf Kategorien computerisierter Systeme (1 / 3 / 4 / 5), explizite Test-Tiefe pro Kategorie und ein End-to-End-Qualifizierungs-Framework, das sich auf Annex 11 und 21 CFR Part 11 abbilden lässt.
- Risikobasiert — Test-Tiefe skaliert mit Patient-/Datenintegritäts-Risiko, nicht mit Software-Komplexität.
- Lifecycle — jede Phase von Konzept bis Retirement abgedeckt, inklusive Betrieb und Decommissioning.
- Critical Thinking — begründete Entscheidungen statt vordefinierte Test-Skripte.
Die Second Edition (2022) adressiert, was sich seit 2008 in der Pharma-IT verändert hat: Cloud, agile Lieferung, kontinuierliche SaaS-Releases und die FDA-CSA-Initiative als Brücke zum risikobasierten Ansatz.
- Stärkere Critical-Thinking-Betonung — weniger vorgeschriebene Test-Artefakte, mehr qualifizierte Begründung.
- Cloud + agiler Lifecycle — Leitlinien für kontinuierliche Validierung in SaaS-/PaaS-Kontexten.
- CSA-Bridge — explizites Mapping zur FDA Computer-Software-Assurance-Guidance (2022 final).
GAMP 5 ist ein Framework, kein Projektplan. Drei Bereiche, wo der Leitfaden bewusst stoppt und wo Beratung Wert liefert:
- Konkrete Test-Protokolle — GAMP 5 setzt Kategorien und Tiefe, nicht die tatsächlichen Test-Schritte pro Plattform.
- Plattform-spezifisches Vorgehen — SAP-Validierung läuft anders als Veeva oder MES. GAMP 5 ist bewusst plattform-neutral.
- Validation Velocity — „wie man von 14 auf 9 Monate kommt" ist kein GAMP-5-Kapitel.
02 Annex 11
Was EU-Inspektoren wirklich prüfen — die 17 Annex-11-Punkte.
Jede Karte deckt einen der 17 Annex-11-Kontroll-Punkte ab. Der Heat-Marker zeigt, wie oft dieser Punkt in BfArM-, EMA- und Swissmedic-Findings auftaucht (aus unserer Projekt-Praxis).
Punkt 11.2
Personal
Qualifikations-Nachweise und definierte Verantwortlichkeiten; Schulungs-Logs in einer durchgängigen Kette.
Punkt 11.3
Lieferanten + Dienstleister
Lieferanten-Audits in der richtigen Tiefe; Cloud-/SaaS-Vendoren brauchen klare Verantwortungs-Trennung.
Punkt 11.4.1
Validierungs-Master-Plan
Strategie-Dokument mit Scope, Verantwortlichkeiten, Risiko-Kategorisierung; lebt mit jedem System-Change.
Punkt 11.4.2
Spezifikationen + Anforderungen
URS, FS, DS mit klarer Trazierbarkeit über alle Test-Phasen.
Punkt 11.5
Datenübertragung + -Migration
Migration-Validierung mit klaren Akzeptanz-Kriterien; Stichprobenpläne mit statistischer Begründung.
Punkt 11.6
Genauigkeits-Prüfungen
Plausibilitäts-Prüfungen für kritische Daten-Eingaben; automatisierte Checks wo möglich.
Punkt 11.7.1
Datenspeicherung + -sicherung
Backup-Strategie mit Restore-Tests; Retention-Pflichten je Datenkategorie definiert.
Punkt 11.7.2
Datenintegrität (ALCOA+)
ALCOA+ end-to-end: Attributable, Legible, Contemporaneous, Original, Accurate — plus Complete, Consistent, Enduring, Available.
Punkt 11.8
Ausdrucke
Druck-Ausgaben aus GxP-Systemen mit klarer Status-Kennzeichnung und Audit-Trail-Referenz.
Punkt 11.9
Audit-Trails
Audit-Trail-Reviews mit dokumentierter Periodizität und Eskalations-Pfaden; häufigster Inspector-Finding-Punkt.
Punkt 11.10
Änderungsmanagement
Change vs. Configuration trennen; jede Änderung mit Risiko-Bewertung und Re-Test-Scope.
Punkt 11.11
Periodische Evaluierung
Periodic Review je System; lebende Risiko-Bewertung statt einmaliges Initial-Assessment.
Punkt 11.12
Sicherheit
Zugriffs-Kontrolle, Rollen-Konzept, regelmäßige Berechtigungs-Reviews; Segregation of Duties.
Punkt 11.13
Vorfall-Management
Deviation- und CAPA-Handling mit Audit-Trail-Bindung; Closure-Rates messen und reporten.
Punkt 11.14
Elektronische Signaturen
E-Signatur-Workflows nach Annex 11.14 + 21 CFR Part 11; Equivalence zur Handschrift sicherstellen.
Punkt 11.15
Batch-Freigabe
Batch-Release-Gate mit Vier-Augen-Prinzip; jede Freigabe traceable auf Operator, Equipment, Methode.
Punkt 11.16
Business Continuity
DR-Plan mit getesteten Recovery-Zeiten; Annex 11.16 erwartet dokumentierte BCP-Übungen.
Punkt 11.17
Archivierung
Langzeit-Archivierung mit definierter Retention; Read-Back-Tests in regelmäßigen Abständen.
Findings:
häufig
mittel
selten
03 21 CFR Part 11 + FDA CSA
Das US-Komplement und die Brücke zum Risiko-basierten.
Ein Validierungs-Programm muss EMA und FDA gleichzeitig bedienen. Beide Regime teilen Wurzeln, setzen Schwerpunkte aber unterschiedlich — hier das praktische Mapping.
EU
EMA · BfArM · Swissmedic
-
Annex 11 + GMP-Kapitel 4
EU-GMP-Guide als primärer Anker; Annex 11 deckt 17 Kontroll-Punkte für computerisierte Systeme.
-
Starker Fokus auf QP-Verantwortung
Qualified Person (QP) zeichnet jede Batch-Freigabe — Annex 11 leitet sich von dieser Unterschrift ab.
-
Dokumenten-getriebene Inspektionen
EU-Inspektoren fordern typischerweise zuerst Validation-Master-Plan, Change-Logs und Audit-Trail-Reviews.
US
FDA · ORA
-
21 CFR Part 11 + CSA Guidance
Part 11 deckt elektronische Signaturen und Records; CSA (final 2022) deutet Validierung als Critical-Thinking-Risiko-Bewertung um.
-
Predicate-Rule-Logik
Part 11 sitzt auf Predicate-Rules (z. B. 21 CFR 211, 820). Erst Predicate validieren, dann Part 11.
-
Inspektoren-vor-Ort-Logik
FDA-ORA-Inspektoren betonen Live-Walkthroughs, Operator-Interviews und beobachtete Praxis — nicht Papier allein.
04 Risiko-basiert
Mehr Test-Skripte ≠ mehr Compliance.
Die vier GAMP-Kategorien (1 / 3 / 4 / 5) definieren, wieviel Test-Tiefe ein System braucht. Die meisten Programme über-testen die unteren Kategorien und unter-testen die oberen. Wir re-balancieren.
Kat. 5
Custom-
Applikationen
Applikationen
Volle Lifecycle-Validierung — URS, FS, DS, FAT/SAT, OQ/PQ. Dokumenten-intensiv, an jedem Schritt risiko-begründet.
~100 % Aufwand-Basislinie
Kat. 4
Konfigurierte
Produkte
Produkte
Kommerzielle Plattformen mit Kunden-Konfiguration (SAP, Veeva Vault, MasterControl). Konfigurations-Grenzen entscheiden über den Test-Scope.
~60 % vs. Kat. 5
Kat. 3
Standard-
Software
Software
Standard-Software, unverändert eingesetzt. Vendor-Audit + Lieferanten-Qualifikation decken oft den größten Teil ab.
~25 % vs. Kat. 5
Kat. 1
Infrastruktur
Betriebssysteme, Datenbanken, Netzwerk-Infrastruktur. Qualifiziert über IT-Operations-Kontrolle, nicht über individuelle Validierung.
~10 % vs. Kat. 5Aufwand-Prozente sind typische Basislinien aus unseren 60+ Audit-Begleitungen — Ihr Plattform-Mix variiert.
05 Inspektions-Vorbereitung
Den Inspektions-Tag — vor dem Inspektor durchgehen.
Pre-Inspection-Walkthrough · Mock-Audit · On-Day-Begleitung. Die vollständige Drei-Schritt-Vorbereitung hat eine eigene Service-Seite — hier nur die Verbindung.
Track Record
15+ Jahre GAMP 5, Annex 11, 21 CFR Part 11 in der Praxis.
100%
Audit-Bestehensquote
FDA · EMA · BfArM · Swissmedic
60+
validierte Systeme
LIMS · MES · Veeva · SAP · MasterControl · eQMS
0
kritische Findings
auf den von uns verantworteten Systemen
15+
Jahre Praxis
Pharma · Biotech · MedTech
06 FAQ
Häufige Fragen vor dem ersten Gespräch.
Wir haben schon einen Validierungs-Master-Plan. Brauchen wir GAMP-5-Beratung trotzdem?
Oft ja — aber gezielt. Der Master-Plan ist ein Strategie-Dokument; die Beratung setzt dort an, wo Critical-Thinking-Begründungen fehlen, Test-Skripte über-dimensioniert sind oder Cloud/SaaS-Anteile nach 2008er-Logik validiert wurden. Wir machen typischerweise einen halbtägigen Gap-Walk, bevor wir Beratungs-Umfang vorschlagen.
Wie kompatibel ist GAMP 5 mit CSA? Müssen wir zwei Programme fahren?
Nein. CSA und GAMP 5 Second Edition teilen den Critical-Thinking-Kern. Ein gut aufgesetztes GAMP-5-Programm bedient gleichzeitig CSA — ohne doppelte Test-Artefakte. Die Kunst liegt in der Aufsetzung: Risiko-Bewertung, Test-Schablonen und Trazierbarkeit so strukturieren, dass beide Inspektoren-Logiken bedient werden.
Was tun, wenn wir Annex 11 lückenhaft umgesetzt haben und in 8 Wochen eine Inspektion ansteht?
8 Wochen sind genug für eine fokussierte Audit-Vorbereitung. Wir starten mit einem 1-Tages-Walkthrough, identifizieren die 4–6 Top-Risiken, dokumentieren Closure-Pfade für die kritischsten Punkte und führen 1–2 Mock-Audits durch. Ehrlich gesagt: 8 Wochen sind besser als 4. Wenn Sie weniger Zeit haben, sagen wir es Ihnen direkt.
Wie behandeln Sie GxP-Systeme, die in Kategorie 5 (Custom) fallen?
Kategorie 5 verlangt volle Lifecycle-Validierung — aber mit Critical-Thinking-Risiko-Bewertung pro Komponente. Wir gehen modular vor: kritische Komponenten bekommen volle Tiefe, weniger kritische bekommen risikobasiert reduzierte Tiefe. Das spart bei einem typischen Custom-System 30–40 % Test-Aufwand gegenüber „alles voll validieren".
Was kostet eine GAMP-5-Compliance-Beratung?
Tagessatz-basiert, mit klaren Phasen-Toren. Ein typischer Initial-Walkthrough kostet 1–2 Beratungstage; ein vollständiges Audit-Vorbereitungs-Programm liegt je nach Scope zwischen 8 und 20 Beratungstagen. Wir starten immer mit einer 2-Wochen-Initialphase, bevor langfristige Commitments stehen — damit wissen beide Seiten, was sinnvoll ist.
Machen wir Ihr Projekt
Audit-Proof.
Ihr Projekt verdient eine Validierung, die den Go-Live beschleunigt — nicht blockiert. Profitieren Sie von der Sicherheit aus 60+ erfolgreichen Projekten.
60+
Projekte
15+
Jahre
100 %
Audit-Pass
0
Findings
Kostenlose Ersteinschätzung · Fokus auf Ihr Projekt, nicht auf Folien