GMP 指南 2023版

3.5 产品和物料

现场质量审计

企业应该建立物料供应商现场质量审计的策略，基于风险对不同级别供应商现场审计的必要性予以区分。除主要物料必须按GMP 第二百五十五条规定开展现场质量审计外，其他物料，若非质量影响特别轻微(如发运外包材),应基于合理的评估方法开展评估，通过评估结果决定是否开展供应商现场质量审计。表3-36提供了一个针对某常规药用辅料供应商现场质量审计必要性的评估示例。

EU GMP Annex 11

3. Suppliers and Service Providers

3.供应商与服务提供商

3.1 When third parties (e.g. suppliers, service providers) are used e.g. to provide, install, configure, integrate, validate, maintain (e.g. via remote access), modify or retain a computerised system or related service or for data processing, formal agreements must exist between the manufacturer and any third parties, and these agreements should include clear statements of the responsibilities of the third party. IT-departments should be considered analogous.

3.1 当使用第三方（如供应商，服务提供商），例如提供、安装、配置、集成、验证、维护（例如，通过远程访问）、修改或保留计算机化系统或相关服务或进行数据处理，生产商和任何第三方之间必须签订正式的协议，而且这些协议应包括对第三方的责任明确的声明。 信息技术部门应做类似考虑。

3.2 The competence and reliability of a supplier are key factors when selecting a product or service provider. The need for an audit should be based on a risk assessment.

3.2 当选择产品或服务提供商的时候，供应商的能力和可靠性是关键因素。 应以风险评估为基础，确定是否需要审计。

3.3 Documentation supplied with commercial off-the-shelf products should be reviewed by regulated users to check that user requirements are fulfilled.

3.3 受监管的用户应审查所提供的商业化现货产品随附的文件，以确认用户需求得到满足。

3.4 Quality system and audit information relating to suppliers or developers of software and implemented systems should be made available to inspectors on request.

3.4 应根据检查员的要求提供软件和实施系统的供应商或开发商的质量体系和审计的相关信息。

应该对供应商进行分级和评估，根据风险评估的结果进行判定 哪些需要审计，哪些不需要审计等;例如根据GAMP5 对于计算机服务商分为 关键，重要和次要；关键和重要需要定期审计. 例如：4,5类需要审计. 1~3类无需审计.

纯粹的法规指南要求请看GAMP5，实践出发：

首先我大致分为automation system和software system。

涉及到automation，都是和设备一起由设备制造商提供，个人不认为需要单独对设备制造商进行审计，不如和制造商一起做好DQ\FAT等工作。

涉及到software，一般都是软件公司提供，如果只是考虑资质审核，一般也就是营业执照、软件产品认证、可能还有ISO认证等；如果软件公司理解GMP审计的话，双方能够很好沟通，去现场审计也是一个选项。

至于说供应商管理策略，除非自身有足够的资源去做好日常管理，否则最多规定需要进行资质审计，不要硬性规定现场审计的需求。

1. I类计算机化系统：这类系统对药品生产的质量和安全有直接影响，因此供应商管理非常重要。建议对供应商进行资质审核和审批，并进行定期的供应商审计，以确保其符合相关的法规要求和质量管理标准。

2. III类计算机化系统：这类系统对药品生产的质量和安全有间接影响，但仍然具有一定的重要性。建议对供应商进行资质审核和审批，可以根据风险评估的结果来决定是否进行定期的供应商审计。

3. IV类计算机化系统：这类系统对药品生产的质量和安全影响较小，但仍然需要进行一定程度的供应商管理。建议对供应商进行资质审核，可以根据风险评估的结果来决定是否进行定期的供应商审计。

4. V类计算机化系统：这类系统对药品生产的质量和安全影响非常小，供应商管理的要求相对较低。可以根据具体情况来决定是否进行供应商资质审核和审批，以及是否进行供应商审计。

第四条 企业应当针对计算机化系统供应商的管理制定操作规程。 供应商提供产品或服务时（如安装、配置、集成、验证、维护、数据处理等），企业应当与供应商签订正式协议，明确双方责任。企业应当基于风险评估的结果提供与供应商质量体系和审计信息相关的文件。

欧盟GMP附录11

3.1 当使用第三方（如供应商，服务提供商），例如提供、安装、配置、集成、验证、维护（例如，通过远程访问）、修改或保留计算机化系统或相关服务或进行数据处理，生产商和任何第三方之间必须签订正式的协议，而且这些协议应包括对第三方的责任明确的声明。信息技术部门应做类似考虑。
3.2 当选择产品或服务提供商的时候，供应商的能力和可靠性是关键因素。应以风险评估为基础，确定是否需要审计。
3.3 受监管的用户应审查所提供的商业化现货产品随附的文件，以确认用户需求得到满足。
3.4 应根据检查员的要求提供软件和实施系统的供应商或开发商的质量体系和审计的相关信息。

评估可参考GAMP5第二版，或者一刀切，4类或者5类系统需要供应商审计。