王世盐 阮红勋 熊建兵
摘要:随着信息化系统在制药企业生产线上广泛应用,企业一方面享受着信息化系统带来的效率提升,另一方面也面临监管方面的压力。国内外监管机构对信息化系统(计算机化系统)有着较严的监管力度。制药企业应当对供应商进行分级管理,并按照分级结果进行分类管理。
关键词:制药企业;信息化;计算机化系统;供应商管理
【中图分类号】 F224-39 【文献标识码】 A 【文章编号】2107-2306(2022)05--01
1 欧盟GMP和中国GMP要求[1][2]
当使用第三方(例如,供应商、服务商)用于供应、安装、配置、集成、验证、维护(例如,通过远程访问)、变更或保存一个计算机化系统或相关服务或数据处理,必须有制造企业与任何第三方之间的正式协议,且协议应清楚规定第三方的责任。信息技术部门亦应做类似考虑。
供应商的能力与可靠性是选择一个产品或服务的关键因素。应当以风险评估为基础,确定是否需要现场审计。
固定用户应审核所供现货商品附带的文件,以确保符合用户需求。
对软件供应商或开发商审计的信息、软件供应商或开发商质量体系相关信息以及实施体系的相关信息,如果检查员要求提供的话,应当提供。
2 PIC/S要求[3][4]
供应商和开发人员的声誉和软件产品的交易历史为可能分配给所提供的产品的可靠性水平提供了一些指导。因此,应制定程序和记录,说明如何以及根据何种方式选择供应商。
遵守认可的质量管理系统可使受监管的用户和管理机构对系统中使用的软件和硬件产品的结构完整性、操作可靠性和持续支持具有预期的信心。认证评估时间表和认证范围需要与拟议申请的性质相关。结构完整性和良好的软件和硬件工程实践的应用对关键系统非常重要。
对结构完整性的信心可能在某种程度上是基于对公司的软硬件开发方法和质量管理系统符合ISO 9001标准的相关认证的认可。然而,认证审计员对这些计划适用的评估范围和时间表必须涵盖现有的工程质量标准、实际做法、控制和记录,包括不合格产品、纠正行动、变更管理等。这些对于设计工程、复制和维护标准的供应商来说都是非常有用的基准。
3 ISPE要求[5]
计算机化系统生命周期的各个阶段都要求企业与内外部的供应商进行合作,包括IT和工程部门。在合同签订之前,公司应证实供应商有足够的专业知识和资源来实现用户需求与预期。最普遍的应对机制是进行供应商评估,這包括取决于系统风险性、复杂性和新颖性而进行的审计。
3.1不同类别软件管理要求
第三类软件:如果该产品是现成购买的,并且不需要配置来支持业务流程,或者在被监管公司使用默认配置的情况下,供应商与受监管公司的参与通常仅限于提供文档、培训、支持和维护。产品应由供应商按照良好做法进行开发和维护。
第四类软件:如果产品需要配置来支持特定的业务流程,供应商参与受监管的公司通常包括对系统的规范、配置、验证和操作的支持。所遵循的程序应在受监管的公司和供应商之间达成一致,并记录在适当的计划中。采用的程序可以是受监管公司的程序,也可以是供应商质量管理系统的程序。产品本身应由供应商按照良好做法进行开发和维护。
第五类软件:对于自定义应用程序,受监管的公司通常与供应商签订合同,根据定义的需求开发应用程序。因此,供应商将参与整个项目生命周期的系统,并提供支持。所遵循的程序应在受监管的公司和供应商之间达成一致,并记录在适当的计划中。
3.2供应商评估
供应商评估分三类:①根据现有信息进行基本评估。②邮政审计,使用问卷。③由有关专家、核数师或审核小组进行现场审核。
通常,对影响较小的系统进行基本评估就足够了,而较高的影响系统可能需要正式的审计。邮政审计可能适合于标准和可配置产品和服务的供应商。
四、结论
EU GMP和中国GMP对供应商审计提出了要求。ISPE GAMP5提供了供应商审计的方法。
第一类软件认为是商业化软件,风险较低的系统,不需要供应商评估;第三类软件风险适中,应进行基础评估;第四类软件风险较高,应进行问卷调查;第五类软件风险高,应进行现场审计。
参考文献:
[1]国家药品监督管理局 药品生产质量管理规范(2010年修订)附录:计算机化系统
[2] EU GMP Annex 11: Computerised Systems;
[3] PIC/S: Good Practices for Computerised Systems in Regulated “GxP” Environment;
[4] PIC/S: Good Practices for Data Management and Integrity in Regulated;
[5] ISPE: GAMP 5 A Risk-Based Approach to Compliant GxP Computerized Systems