規制当局が要求する監査について 潟Cーコンプライアンス


規制当局が要求する監査について

筆者がコンサルテーションや外部監査、模擬査察などを実施する中、監査に対する誤解が多いように感じている。

監査は、「間違いを見つけること」ではない。「間違いがないことを確認する」ことである。
間違いを見つけるのはQCの仕事である。また品質を保証するのはQAの仕事である。
では、いったい監査の目的は何であろうか。

例えば、PIC/S GMPの第9章には以下のような要件が記載されている。
「それらが品質保証の原則に適合しているか検証するため、あらかじめ定められたプログラムに従った間隔にて監査されること。」
また、21 CFR Part 820 QSRの820.22 品質監査には以下の記載がある。
「各製造業者は、品質監査の手順を確立し、品質システムが品質システム要求を遵守していることを確実にするため、および品質システムの有効性を判定するために監査を実施すること。」
いずれも間違いを発見せよとは記載されていない。
監査では、品質システム(QMS)が、規制要件を満たしているか、また品質システム(QMS)の有効性を判定することがその目的である。

どのような企業がFDA等の規制当局に好印象を与えるかというと、
・FDA査察官と同様のスキル・洞察力をもった監査員が存在し、内部監査(Self Inspection)が適切に実施されている。
・内部監査の指摘に対して、CAPAを実行し、常に改善を図っている。
・品質システムが有効に機能しており、その証拠が揃っている。
上記を満たす企業である。

医薬品企業・医療機器企業がグローバル化を促進する中、FDAをはじめ海外の規制当局の査察を受ける機会が多くなった。
一方で規制当局は、サプライチェーンがグローバル化していることに伴い、海外査察の回数を増やしている。
しかしながら、査察にかけることができるリソースは限られているため、効率的な査察手法が必要である。
従来の査察では、査察官から指摘された事項を是正しておけば、容認されてきた。
しかしである。わずか数日の査察(FDAによる査察は、日本においては4日間)で査察官が発見することができる問題点・リスクは数が限られている。
したがって、査察官が発見したエラー(リスク)に対して是正を行えば自国民の安全が守られるということにはならない。
そこでFDAなどの査察では、エラー(リスク)を発見する査察手法から、当該企業が経営者のガバナンス(統治)のもと『品質システム(品質システム)』を確立しているかどうかを調査するといった手法に切り替えているのである。

「自己点検」は、英語では「Self Inspection」を訳したものであるが、この訳には問題がある。本来は「自己査察」または「内部監査」である。
lこれまでの製薬・医療機器企業は、当局の指摘に従って改善していれば、許可が与えられた。しかしながら、当局の指摘を行う能力や、時間に依存する。
したがって、当局の査察(Authority Inspection)ではなく、自社の監査(Self Inspection)により、リスクを受容可能まで低減することが重要である。
なお、「自己点検」は、内部監査、外部監査、定期レビュ、マネージメントレビュなどからなる。

また、監査を実施し、指摘事項をまとめ、監査報告書を作成することで監査を終了しているケースをしばしば見かける。
そうではない。監査は、指摘に対して被監査部門が是正処置を行い、その結果をフォローアップ(再監査)することによって確認することによって終了するのである。