計算機化系統供應商管理

王世鹽 阮紅勛 熊建兵

摘要：隨著信息化系統在制藥企業生產線上廣泛應用，企業一方面享受著信息化系統帶來的效率提升，另一方面也面臨監管方面的壓力。國內外監管機構對信息化系統（計算機化系統）有著較嚴的監管力度。制藥企業應當對供應商進行分級管理，并按照分級結果進行分類管理。

關鍵詞：制藥企業;信息化;計算機化系統;供應商管理

【中圖分類號】 F224-39 【文獻標識碼】 A? ? ? 【文章編號】2107-2306（2022）05--01

1 歐盟GMP和中國GMP要求[1][2]

當使用第三方（例如，供應商、服務商）用于供應、安裝、配置、集成、驗證、維護（例如，通過遠程訪問）、變更或保存一個計算機化系統或相關服務或數據處理，必須有制造企業與任何第三方之間的正式協議，且協議應清楚規定第三方的責任。信息技術部門亦應做類似考慮。

供應商的能力與可靠性是選擇一個產品或服務的關鍵因素。應當以風險評估為基礎，確定是否需要現場審計。

固定用戶應審核所供現貨商品附帶的文件，以確保符合用戶需求。

對軟件供應商或開發商審計的信息、軟件供應商或開發商質量體系相關信息以及實施體系的相關信息，如果檢查員要求提供的話，應當提供。

2 PIC/S要求[3][4]

供應商和開發人員的聲譽和軟件產品的交易歷史為可能分配給所提供的產品的可靠性水平提供了一些指導。因此，應制定程序和記錄，說明如何以及根據何種方式選擇供應商。

遵守認可的質量管理系統可使受監管的用戶和管理機構對系統中使用的軟件和硬件產品的結構完整性、操作可靠性和持續支持具有預期的信心。認證評估時間表和認證范圍需要與擬議申請的性質相關。結構完整性和良好的軟件和硬件工程實踐的應用對關鍵系統非常重要。

對結構完整性的信心可能在某種程度上是基于對公司的軟硬件開發方法和質量管理系統符合ISO 9001標準的相關認證的認可。然而，認證審計員對這些計劃適用的評估范圍和時間表必須涵蓋現有的工程質量標準、實際做法、控制和記錄，包括不合格產品、糾正行動、變更管理等。這些對于設計工程、復制和維護標準的供應商來說都是非常有用的基準。

3 ISPE要求[5]

計算機化系統生命周期的各個階段都要求企業與內外部的供應商進行合作，包括IT和工程部門。在合同簽訂之前，公司應證實供應商有足夠的專業知識和資源來實現用戶需求與預期。最普遍的應對機制是進行供應商評估，這包括取決于系統風險性、復雜性和新穎性而進行的審計。

3.1不同類別軟件管理要求

第三類軟件：如果該產品是現成購買的，并且不需要配置來支持業務流程，或者在被監管公司使用默認配置的情況下，供應商與受監管公司的參與通常僅限于提供文檔、培訓、支持和維護。產品應由供應商按照良好做法進行開發和維護。

第四類軟件：如果產品需要配置來支持特定的業務流程，供應商參與受監管的公司通常包括對系統的規范、配置、驗證和操作的支持。所遵循的程序應在受監管的公司和供應商之間達成一致，并記錄在適當的計劃中。采用的程序可以是受監管公司的程序，也可以是供應商質量管理系統的程序。產品本身應由供應商按照良好做法進行開發和維護。

第五類軟件：對于自定義應用程序，受監管的公司通常與供應商簽訂合同，根據定義的需求開發應用程序。因此，供應商將參與整個項目生命周期的系統，并提供支持。所遵循的程序應在受監管的公司和供應商之間達成一致，并記錄在適當的計劃中。

3.2供應商評估

供應商評估分三類：①根據現有信息進行基本評估。②郵政審計，使用問卷。③由有關專家、核數師或審核小組進行現場審核。

通常，對影響較小的系統進行基本評估就足夠了，而較高的影響系統可能需要正式的審計。郵政審計可能適合于標準和可配置產品和服務的供應商。

四、結論

EU GMP和中國GMP對供應商審計提出了要求。ISPE GAMP5提供了供應商審計的方法。

第一類軟件認為是商業化軟件，風險較低的系統，不需要供應商評估;第三類軟件風險適中，應進行基礎評估;第四類軟件風險較高，應進行問卷調查;第五類軟件風險高，應進行現場審計。

參考文獻：

[1]國家藥品監督管理局 藥品生產質量管理規范（2010年修訂）附錄：計算機化系統

[2] EU GMP Annex 11： Computerised Systems;

[3] PIC/S： Good Practices for Computerised Systems in Regulated “GxP” Environment;

[4] PIC/S： Good Practices for Data Management and Integrity in Regulated;

[5] ISPE： GAMP 5 A Risk-Based Approach to Compliant GxP Computerized Systems