Regulatory Life Cycle

Compliance Management und Prozessunterstützung mit KI

Komplexität bekommt man mit automatisierten Prozessen gut in den Griff.

Regulatorische Vorgaben definieren die Anforderungen und Standards für GxP-relevante Prozesse in Unternehmen. Hersteller, Zulieferer und „Inverkehrbringer“ von medizinischen und pharmazeutischen Produkten sind verpflichtet, unternehmensinterne Prozesse so zu definieren und implementieren, dass sie den regulatorischen Vorgaben entsprechen. Die unternehmensinterne Prozesswelt muss nach regulatorischen Vorgaben gestaltet sein; dies ist die Voraussetzung für die Annahme, dass „richtige“ und wirksame Vorkehrungen für Produkt- und Patientensicherheit getroffen wurden. Auf dieser Grundlage erfolgt denn auch die Zulassung bzw. (Re-)Zertifizierung von Unternehmen im Rahmen von Audits; Abweichungen oder Unzulänglichkeiten bei unternehmensinternen Prozessen – gemessen an den regulatorischen Vorgaben – ziehen negative Konsequenzen für betroffene Unternehmen nach sich.

Unternehmensinterne Prozesse zur Sicherstellung von GxP sind vielfältig. Sie betreffen Unternehmensprozesse, Geschäftsprozesse, Prozesse zur Qualitätssicherung, zur Mitarbeiterqualifizierung etc. bis hin zu genauen Vorgaben für Detailprozesse – für die Arbeit im Reinraum, die Kalibrierung von Prüfmitteln, zur Bedienung von Geräten, zur Versionskontrolle, Genehmigung und Freigabe von Dokumenten etc. Festgehalten werden Prozesse in Prozessmodellen, aber auch in Form von Dokumenten „mit anweisendem Charakter“, also Standard Operating Procedures (SOPs): SOPs enthalten detaillierte Vorgaben für die korrekte Ausführung von Prozessen mit Blick auf Sicherheit, Qualität, Compliance etc.; Mitarbeiter müssen dazu dokumentiert geschult werden.

Diese überaus komplexe Landschaft aus mehr oder weniger allgemeinen externen Prozessvorgaben einerseits und aus ihrer individuellen Ausprägung und konsistenten Anwendung in der unternehmerischen Praxis andererseits ist herausfordernd: Compliance-Lücken sind nicht leicht zu identifizieren; Vollständigkeit und Stimmigkeit der unternehmensinternen Prozesswelt sind schwer zu überprüfen. Hier zeigt KI ein großes Potenzial für Entlastung, für mehr Compliance-Sicherheit, etwa bei der Identifizierung relevanter Prozesse und bei der Analyse von Einzelprozessen sowie der unternehmensweiten Prozesswelt mit Blick auf regulatorische Lücken und Inkonsistenzen.

Process Mining und Generative KI sind hier besonders relevant: Erste Forschungsarbeiten fokussieren auf die Extraktion von Prozessmodellen aus textuellen Beschreibungen wie SOPs; dieses können dann für den Abgleich interner Prozesse mit Vorgaben aus dem regulatorischen Kontext genutzt werden. Grundlage ist ein bestehendes Large Language Model (LLM), das zunächst um die aktuelle Spezifikation eines Prozesses erweitert wird – entweder in Form eines Modells oder einer SOP – und das dann eine neue regulatorisch konforme Prozessspezifikation in einem gewünschten Format als Output generiert.

 

„Compliance Check“ mit KI

Die beiden folgenden fiktiven Anwendungsszenarien sollen verdeutlichen, wie mit generativer KI Prozesse und Prozesswelten auf regulatorische Compliance geprüft werden können:

 Use Case „Zulassung“: Die META Biotech SE bereitet eine klinische Studie zu einem neuen Wirkstoff gegen eine Autoimmunkrankheit vor. Planung, Durchführung, Dokumentation und Berichterstattung der Studie unterliegen den Vorgaben der „Good Clinical Practice“ (GCP), insbes. den „ICH-GCP“-Leitlinien bzgl. Sicherheit, Qualität und Wirksamkeit von klinischen Studien. Die Studiendokumentation folgt den Guidelines der EMA; die Dokumentenablage orientiert sich am DIA-Referenzmodell. In diesem Rahmen wird die Studiendurchführung durch ca. 150 SOPs und Anweisungen zu Dokumentation, Datensicherheit, Patientenschutz etc. geregelt. Vor Beantragung der Studie bei der EMA und vor Einreichung der Studiendokumentation prüft META Biotech AG mit dem IT-Tool „ComplianceCheck“ die implementierten Prozesse auf Vollständigkeit und Konsistenz; Lücken zum Regelwerk werden identifiziert und geschlossen bzw. mit dem speziellen Studiendesign begründet. Der Antrag wird von der EMA geprüft und ohne Beanstandungen hinsichtlich Studien-Setup und Compliance genehmigt.

Use Case „Audit“: Die Nice Naturkosmetik GmbH folgt einem Qualitätsmanagementsystem gem. ISO 9001. Für die Produktion gilt ISO 22716 mit Regelungen zur Guten Herstellungspraxis (GMP) von kosmetischen Produkten. Ein nachhaltiges Umweltmanagementsystem nach dem europäischen „Eco-Management und Audit Scheme“ (EMAS) ist implementiert. Die entsprechenden Prozesse sind gut dokumentiert; ca. 250 SOP und Arbeitsanweisungen dokumentieren die Vorgaben für ihre Umsetzung im Unternehmen. Die EMAS-Zertifizierung läuft Ende des Jahres ab; ein externes Audit zwecks Re-Zertifizierung ist erforderlich. Das Audit wird mit dem KI-Tool „ComplianceCheck“ durchgeführt; der Auditor prüft Vollständigkeit und Konsistenz der implementierten Prozesse und Dokumente sowie deren Compliance mit den regulatorischen Vorgaben. MAGIC signalisiert eine Abweichung im Bereich der „Indirekten Umweltaspekte“; für die im Vorjahr aktualisierten „Aspekte des Lebenswegs von Produkten und Dienstleistungen“ der Verordnung liegen bei Nice keine Prozessbeschreibungen bzw. SOPs vor. Das Audit schließt mit der Auflage zur Nachbearbeitung der beanstandeten Abweichung.

 

In eine ähnliche Richtung gehen KI-basierte Ansätze zur Extraktion von Inhalten aus Dokumenten und ihre Wiederverwendung in anderen regulatorisch relevanten Kontexten. Ein Beispiel dafür ist die automatisierte Analyse von SOPs bzw. anderen Dokumenten mit anweisendem Charakter mit Blick auf die Unterweisung von Mitarbeitern, z.B. nach 21 CFR 820.25(b). Mit Generativer KI lassen sich trainingsrelevanten Dokumente analysieren; Testfragen für die regulatorisch geforderte Überprüfung und Dokumentation des Wissensstands von Mitarbeitern können generiert werden.

 

Wie sich mit KI das Mitarbeitertraining verbessern lässt

Mitarbeiter müssen für ihre Tätigkeit in GxP-regulierten Unternehmen qualifiziert werden. Das ist regulatorisch gefordert, etwa im Code of Federal Regulations der FDA – und dort im Abschnitt 21 CFR 820.25(b) – wo die allgemeine Verpflichtung von Unternehmen zum angemessenen Training von Mitarbeitern geregelt und die Verpflichtung zur mitarbeiterbezogenen Trainingsdokumentation festgehalten ist. In digitalen Managementprozessen bezieht sich das Training in der Regel auf Dokumente bzw. andere digitale Trainingsmaterialen (z.B. Videos); die Dokumentation erfolgt gem. 21 CFR Part 11. Die technische Umsetzung erfolgt über digitale Workflows im Rahmen der Dokumentenlenkung; der Trainingsnachweis wird über elektronische Signaturen erbracht.

Nun ist es möglich, die Textanalyse automatisiert durchführen zu lassen, was insbesondere bei großen Textmengen vorteilhaft. KI-basierte Frameworks sind in der Lage, Dokumente zu analysieren und Textbausteine sowie Metadaten zu extrahieren. Daraus können dann in einem zweiten Schritt Testaufgaben für die Mitarbeiterunterweisung generiert und über ein entsprechendes digitales Managementsystem administriert werden. Die Lösung dazu wurde im Projekt „RegTechSmart – KI-basierte regulatorische Technologien für automatisierte Content-Generierung und Content-Kuratierung“ (ZTS – Zentrales Technologieprogramm Saar) entwickelt. Auch hier führt Automatisierung zu deutlichen Effizienzgewinnen: Testaufgaben müssen nicht manuell erstellt und gepflegt werden; und sie verfügen über die notwendige Aktualität, da sie aus den jeweils gültigen Dokumenten generiert werden können. Dies führt auch zu einer besseren Qualität in der Mitarbeiterunterweisung: Statt der im Trainingsmanagement üblichen Bestätigung „gelesen und verstanden“ kann auf das Verständnis von Sachverhalten abgezielt werden; Defizite in der Trainingsorganisation, die ja immer wieder bei Inspektionen aufgedeckt werden, können vermieden werden.

Wissenswertes | News | Aktuelles