近期,ISPE发布了《GAMP5-良好自动化生产实践规范指南》第二版,是自2008年以来的首次更新,由于目前的GAMP5的基本理念与结构仍适应目前的IT技术发展环境与CSV的验证规定,故GAMP5第二版不是新指南,而是对现有指南的修订。
(1)GAMP5 第二版
ISPE GAMP5第二版的新理念:GAMP是指南,随着科学技术的发展,虽然升级了版本,但本质上并没有翻天覆地的变化,主要是改变“为了验证而验证,为了检验而检验”的僵化理解。通过第二版的调整,将CSV放在质量风险管理的大背景下,基于质量风险,完整的质量保证体系,充分利用服务供应商提供的文件并与质量体系要求和验证体系要求相结合。
(2)供应商重要性
从目录上看,GAMP5第二版主要内容涵盖了:介绍、关键概念、生命周期方法、生命周期阶段、质量风险管理、受监管公司活动、供应商活动、效率改善、管理类附录、研发类附录、运营类附录、特定附录与通用附录。
经过近15年的科技发展与行业法规更新,计算机化系统也随之进行了翻天覆地的升级。自动化系统的供应商的水平与信心也随之有了巨大的提升。所以新版GAMP5与第一版相比一个重大变化就是:自动化系统与服务供应商的重要性增加,包括鼓励受监管公司最大限度地利用供应商,以尽可能利用知识、经验和文件。
因此,本文将针对GAMP5第二版的供应商内容进行专项解析。
1:供应商评估要求
GAMP5第二版全文贯穿了供应商评估与其参与程度的描述和要求。
-
受监管的公司应让供应商最大限度地参与系统的整个生命周期管理,接受评估结果为满意的供应商,充分利用供应商的知识、经验和文件
-
计算机化系统产品和服务的供应商应适当地参与系统的整个生命周期活动
-
根据供应商评估的满意结果和控制措施,可将许多活动委托给供应商
-
在贯穿整个生命周期的批判性思维中,描述了计算机化系统的批判性思维,主动采用基于风险的方法并适合于计算机化系统预期使用的,为业务流程中其他地方提供的多层保证,也包括供应商活动
-
第4章生命周期阶段,明确了项目阶段涉及的多种活动,包含了供应商的评估,且生命周期活动的调整应考虑供应商评估结果(供应商能力)
-
验证过程中,可以根据评估结果使用供应商审查与测试的文件
-
给合全文,可以明确看出供应商的评估与审核结果在验证生命周期中具有很高的重要性
-
在第5章质量风险管理,对项目阶段中的风险管理,应确定供应商审计的需要,并作为供应商评估的一部分
-
第7章供应商活动,在供应商的良好行为中列出了适用于产品和应用程序开发、支持和服务提供的良好实践活动
2:供应商评估增加的关注重点
附录M2提供了——基于风险来执行供应商评估。第二版跟GAMP5第一版相比,主要增加了以下几点考虑:
-
利用云计算XaaS平台来提供IT基础设施或应用软件服务,主要原因是目前越来越多的应用程序是基于云的SaaS服务,如何积极拥抱云,充分利用云带来的益处是受监管公司需要重点考虑的
-
使用敏捷软件开发方法以及对应的工具来支持和维护研发过程的信息记录,这些信息将作为供应商审计时的重要数据来源,而不能简单僵化地理解为记录必须是纸质文件
-
监管对数据完整性越来越重视,以及越来越关注数据的风险和数据的迁移
-
外部因素(如新冠疫情)导致的远程在线审计需求的增加
3:供应商评估过程和参与程度
受监管公司应根据供应商评估的结果来制定计划,以实现预期的合规和适应性使用情况,包括确定供应商的参与程度。
以上表明了批判性思维、风险评估和供应商评估相结合,可以作为有效的质量风险管理方法。综上所述,充分利用供应商的活动与文档这个大概念,整体可以总结为以下三点:
-
受监管企业应根据质量风险评估的理念建立供应商评估的科学化的流程及相关文件
-
若供应商的评估或审计结果符合法规与受监管企业的相关要求,则应考虑充分让供应商参与到CSV过程中,包括利用供应商参与验证活动,利用供应商文件,包括测试文档
-
若利用供应商参与验证与供应商的文档,则受监管企业在验证生命周期中的文件应该说明参与程度与利用情况,对供应商的文档的结构、格式等细节问题可以灵活接受
2022-11-02
