欢迎您注册蒲公英
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
1. 前言
关于供应商审计这块,咱们制药企业在做原物料供应商审计的时候做的已经非常好了,但对于计算机化系统的供应商审计在我接触过的企业中,是比较薄弱的,仍然采用之前的方式进行相关审计,得来的结果只能是高风险的供应商。 那么如何规避此项风险,我们可以换个角度来思考,对于计算机化系统的供应商审计,至少应从其供应商企业本身的质量管理抓起,通过各级审查从而得出其相对合格的供应商。而对于软件系统代理商(其风险等同原物料的代理商)其要求就更严格了。因为其代理权限的到期或者被收回,很可能就意味着其技术服务的中止。 2. 供应商审计概述关键字:供应商审计 概述 抛开原物料供应商的审计过程,我们在此只谈关于计算机化系统的供应商的审计。在描述审计过程之前,我们先看下GAMP5中关于供应商的规范化活动,这块GAMP5花了一个大的章节包含14个小节来说明,从供应商的产品、应用及服务谈起,经过其质量管理、产品规划、产品设计、编码开发、系统测试、产品发布、用户文档、技术支持到系统的退役全过程进行详细的规范化管理说明。具体参见Supplier Activities 7 Sec GAMP5。 从其活动过程来看,GAMP5实际上在供应商建立计算机化系统的全过程的活动中给出了规范化的操作,也就是说供应商至少应按照这些活动来建立相关计算机化系统,才能保证其系统满足相关法规的要求。那么企业在选择供应商时所进行的供应商审计即是围绕这些活动进行。抛开供应商的财务状况、资质能力、企业合法性等,企业应当着重审计供应商的质量管理体系相关文件,当然也存在无论是物料供应商还是计算机化系统供应商其有体系而不完全执行的风险。关于这个风险,按照GAMP5中的软件类别划分,如果是5类软件系统,企业则承担起监督的作用。而对于4类软件系统供应商则审查其软件系统形成过程中的相关产出物了。如软件系统设计/开发/测试过程产生的相关文档。 3. 供应商活动说明无论是4类软件系统供应商还是5类软件系统供应商,其供应商活动都是一致的。对于一个规范化的软件系统供应商,GAMP5给出了其规范化程序即良好实践。包含有建立QMS、需求管理、质量计划管理、子供应商评估、产品规格、执行设计审核、软件开发/配置、实施测试、系统的商业发布、提供的用户文档和培训、相关技术支持、系统的更新换代与退役。相关解释在GAMP5中有说明,在此我就不重复了。 1)建立QMS,供应商应提供一套标准化的程序已支持其后续的相关活动,同时应对对相关人员进行培训,以确保参与系统建设活动的相关人员都明确。这套标准化的程序建立应对符合供应商文件化程序的管理标准,包括后续的版本升级过程。这里拥有CMMI 2级以上的供应商基本上都可以满足。 2)需求管理,需求可以是用户提供(5类软件),也可以是供应商内部建立。标准化的需求管理,最关键的是体现在其跟踪、追溯方面的管理。 3)质量管理计划,供应商应建立相关质量管理系统,以保证其质量管理计划的执行。至少应满足GAMP5给出的良好实践相关内容。 4)子供应商评估,供应商在产生相关的软件系统时,可能会遇到与其子供应商合作的情况,因此应当建立对子供应商的评估相关规程。 5)产品规格,对于产品开发,供应商应当建立系统的功能规格FS(包含软件功能规格SFS、硬件功能规格HFS)、设计规格DS(包含软件设计规格SDS、硬件设计规格(HDS)。功能规格主要明确软件、硬件将要做什么,而设计规格是基于功能规格的,主要明确软件怎么做。 6)设计审核,供应商应对建立完善的设计审核制度,以确认产品的设计至少应对满足其需求。同时建立用户需求跟踪矩阵,明确URS-FS-DS的对应关系,确保用户需求已被完成相关设计。当然设计审核过程也包括了产品的设计的合理性、技术的先进性等等。 7)软件开发/配置,供应商开发或配置团队根据相关设计文档进行编码开发或配置。 8)实施测试。供应商应对建立全面的测试计划,包括单元测试、集中测试、系统测试以及白盒测试。测试过程应对涵盖所有FS。并且以文档化保存测试过程。 9)商业发布。供应商应对建立系统发布的相关规程,明确版本控制。发布时应对建立与其对应的更新日志。如果是5类软件,还应对遵循应用企业的相关政策。 10) 用户文档和培训。供应商应建立完善的用户文档,包括操作文档、配置文档、安装文档、培训文档等。 11) 供应商技术支持。供应商应当有完善的售后服务管理机制,以确保软件系统应用企业得到足够的技术支持。包括有变更管理计划、配置管理计划、补丁管理计划、应急事件管理计划、文件管理计划、备份还原计划、业务连续性计划、培训管理计划、系统维护计划等。 12) 系统的退役或更新换代。供应商应对根据书面流程进行系统的退役及更新换代。这里与微软的操作系统在退役或更新换代时所进行的相关流程类似。 以上,即是供应商在建立相关软件系统时所进行的活动。对于供应商的测试过程文档是否可以替代验证过程中的测试文档,应当根据软件类别(4类或5类)进行选择。对于4类软件,由于其需求有可能是供应商自定义的,需求是否满足或部分满足相关法规要求而未知,因此无法完全替代。而对于5类软件,由于系统建立过程是在企业与供应商共同参与下完成的,其验证过程和供应商的软件系统建设过程同步进行,所以可以使用其测试过程文档代替验证过程的测试文档,但需在验证计划中明确说明。 4. 供应商审计检查列表了解了供应商的相关活动后,我们即可建立相关的供应商审计检查列表,通过对列表中的条码一一确认,从而进行合格供应商的选择。如下是GAMP5的供应商审计检查列表(部分),供大家参考。 
5. 总结关于供应商审计这块,我认为主要的还是我们要了解软件供应商的主题活动,即使没有GAMP5提供的相关指导意见,我们也应当对我们选择的供应商的产品特性有所了解,从而才能保证我们选择的供应商风险最低。
| 
|手机版|蒲公英|ouryao|蒲公英
( 京ICP备14042168号-1 ) 增值电信业务经营许可证编号:京B2-20243455 互联网药品信息服务资格证书编号:(京)-非经营性-2024-0033
发表于 2018-7-25 15:17:17
置顶卡
变色卡
发表于 2019-8-22 08:02:39
