GMP-Lieferantenqualifizierung: Vendor Assurance für Pharma-QA
Teilen

GMP-Lieferantenqualifizierung und Quality Agreement: die „risk-based“ Governance, die einer Inspektion standhält
Das Problem, das explodiert, wenn es zu spät ist
Ein „langjähriger“ Lieferant liefert einen Hilfsstoff mit perfektem CoA. In der Produktion beobachtest du jedoch ein anomales Verhalten: instabile Viskosität, schwankende Ausbeute, zunehmende Abweichungen.
Nach einigen Rückfragen stellt sich heraus, dass der Lieferant eine Prozessänderung eingeführt hat (neuer Trockner, neue Lösungsmittelquelle, neuer Sub-Lieferant) und diese als „minor“ eingestuft und daher nicht gemeldet hat.
📌 Aus Sicht der Produktion ist die Hauptanforderung die Kontinuität (keine Stillstände von Linien und Lieferungen).
📌 Aus Sicht der QA ist die Herausforderung entgegengesetzt: nachzuweisen, dass jede externe Schnittstelle mit derselben Strenge durch das PQS gesteuert wird wie der eigene Standort.
Dieser Artikel ist ein fortgeschrittenes Framework, um ein Vendor Assurance Program aufzubauen, das Inspektionen (EU GMP / ausgelagerte Tätigkeiten) standhält und Überraschungen reduziert.
1) Vendor Assurance Program: als Lebenszyklus denken (nicht als „Audit alle X Jahre“)
Ein reifes Programm umfasst 5 Phasen:
- Screening & Onboarding (Fragebogen + Schlüsseldokumente)
- Erstqualifizierung (Audit/Bewertung + risikobasierte Entscheidung)
- Quality Agreement / Technical Agreement (Verantwortlichkeiten und Informationsflüsse)
- Laufende Überwachung (KPI + Trending + Re-Evaluierungen)
- Eskalation / Dequalifizierung (wenn das Risiko die akzeptable Schwelle überschreitet)
✅ Merke:
Der teuerste Fehler ist zu glauben, dass „qualifiziert“ gleichbedeutend mit „für immer in Ordnung“ ist.
2) Risk Ranking: was einen Lieferanten wirklich „kritisch“ macht
Hier entscheidet sich alles. Ist das Ranking nicht robust, ist auch der Auditplan schwach.
Tabelle — Kriterien für Supplier Risk Assessment (SRM)
| Risikotreiber | Praktische Beispiele | Auswirkung auf Audit/Kontrollen |
|---|---|---|
| Materialkritikalität | API, sterile Primärverpackung, funktionaler Hilfsstoff | Häufigere Audits + verstärkte Wareneingangskontrollen |
| Prozesstyp | Komplexe Synthese, Biologika, Sterilprozess | Fokus auf Kontamination/Cross-Contamination, CCS/EM |
| Single Source | Keine zweite Bezugsquelle | Erfordert Business-Continuity-Pläne + Sicherheitsbestände |
| Reifegrad QMS | Langsame CAPAs, schwaches Change Control | Eskalation und gezielte Audits |
| Data-Integrity-Risiko | LIMS/Geräte ohne Audit-Trail-Review | Technische Prüfungen zu Zugriffen, Audit Trail, Rohdaten |
| Subcontracting | Nutzung nicht deklarierter Sub-Lieferanten | Strenge Klauseln + erweitertes Auditrech |
LSI (Keywords), die du – und der Inspektor – verwendet:
supplier risk assessment, QRM, audit frequency, critical material, single source, subcontractor control, data integrity, raw data, audit trail, CAPA effectiveness.
3) Qualifizierungsaudit: die Fragen, die den Unterschied machen (nicht die „Standard-Checkliste“)
Ein wirksames Audit ist keine Führung – es ist ein Test der Prozesskontrolle.
Fragen mit hoher diagnostischer Aussagekraft
- Wie funktioniert Ihr Change-Control-System? Wer bewertet die Auswirkungen auf Kunden?
- Zeigen Sie ein reales Beispiel einer Deviation Investigation mit zugehöriger CAPA (inkl. Effectiveness Check).
- Wie managen Sie OOS/OOT und Trending? Wer entscheidet über Eskalationen?
- Wie stellen Sie Traceability und Datenintegrität sicher (papierbasiert/elektronisch)?
- Wie handhaben Sie Cleaning Validation und die Vermeidung von Cross-Contamination? (falls relevant: HBEL/PDE)
- Wie steuern Sie Sub-Lieferanten und ausgelagerte Tätigkeiten (outsourced activities)?
- Als Contract Lab/CMO: Wie handhaben Sie Batch Records, Lot Disposition und kundenspezifische Abweichungen?
📌 Ein häufiges Problem in Audits ist die „kosmetische CAPA“: perfekter Bericht, aber kein Nachweis der Wirksamkeit. In der Inspektion wird daraus ein Finding wegen „lack of effectiveness“.
4) Quality Agreement: die 12 Klauseln, die dich wirklich schützen
Viele Agreements sind „juristisch korrekt“, aber nicht inspektionsfest. Sie müssen operativ sein.
Tabelle — Essenzielle Klauseln (QA-Version)
| Klausel | Operativer Inhalt | Relevanz für den Inspektor |
|---|---|---|
| Änderungsmitteilung | Fristen, Schwellen, Klassifizierung | Vermeidet Überraschungen und Prozessdrift |
| Abweichungen & OOS/OOT | Wer meldet, wann, mit welchem Detailgrad | Transparenz und zeitnahe Entscheidungen |
| Right to Audit | On-site/Remote, Zugriff auf Bereiche & Aufzeichnungen | Ermöglicht reale Oversight |
| Subcontracting | Verbot oder Vorabgenehmigung | Kontrolle der Lieferkette |
| Data Integrity | Zugriffsmanagement, Audit-Trail-Review, Rohdatenaufbewahrung | Reduziert Fälschungs-/Datenverlustrisiken |
| Reklamationen & Recall | Abläufe, Zeiten, Rollen | Patientensicherheit & Compliance |
| Dokumentenaufbewahrung | Dauer, Formate, Verfügbarkeit | „Available/Enduring“ über den Lebenszyklus |
| KPI & Performance Review | Kennzahlen und regelmäßige Meetings | Nachweis laufender Überwachung |
| Transport (falls zutreffend) | Verantwortung, Temperatur, logistische Abweichungen | Integration GDP/Cold Chain |
| Rückstellmuster | Wer, wie lange, wie | Unterstützung von Investigations & Stabilität |
| Training & Qualifikation | Mindestanforderungen, Kompetenzmatrix | Reduziert menschliche Variabilität |
| Eskalation & Dequalifizierung | Trigger, Maßnahmen, Stop-Ship | Belegt Risikogovernance |
✅ Merke:
Ein Quality Agreement ohne Change-Notification-Mechanismus und ohne Regeln zum Subcontracting ist eine Zeitbombe.
5) CoA und „Skip Testing“: Wettbewerbsvorteil oder Falle?
Konträrer Insight (Mythos): „Wenn das CoA konform ist, können wir die Prüfungen bedenkenlos reduzieren.“
Testreduktion ist – wenn zulässig – ein QA-Projekt, keine Abkürzung der Supply Chain.
Robuster (auditfreundlicher) Ansatz
- Identity-Test immer, wo gefordert und risikobasiert sinnvoll
- Geplante periodische Verifikationstests (begründete Frequenz)
- Vergleich CoA-Trends vs. interne Trends (Drift-Erkennung)
- Abweichungen im CoA als Deviation mit Eskalation behandeln
📌 Produktion: kürzere Lead Times.
📌 QA: Ohne Trending & Governance steigt das Risiko eines „stillen Defekts“.
6) Lieferantenänderungen managen: „Supplier Change Control“
Für null Überraschungen braucht es einen internen Prozess für:
- Eingang von Change Notifications
- Impact Assessment (Quality/Regulatory/Production/Validation)
- Entscheidung zu Bridging (z. B. Vergleichbarkeit, Studien, Zusatzkontrollen)
- Aktualisierung von Spezifikationen/Anweisungen, ggf. regulatorische Variation
- Abschluss mit Evidenzen und Update des Risk Rankings
Nützliche LSI: supplier change control, impact assessment, comparability, specification update, deviation escalation, risk acceptance criteria.
7) Lieferanten-KPI: was messen, um Probleme früh zu erkennen
Ein modernes Programm nutzt Supplier Performance Indicators.
Beispiele für Supplier Quality Metrics (dashboardfähig)
- OTD (on-time delivery) und right-first-time
- CoA Discrepancy Rate (auch minimale Inkonsistenzen)
- Abweichungsrate pro Charge, materialbedingt
- Audit-Finding-Closure-Time
- Timeliness der Change Notification
- Reklamationsrate bezogen auf Material/Verpackung
- Korrelation Lieferantenchargen ↔ interne Batch-Failures
✅ Merke:
KPI ohne Aktion = Theater. KPI mit Triggern = Governance
(z. B. „Closure Time > X Tage → Eskalation & Requalifizierung“).
8) Wenn der Lieferant in der Krise ist: Eindämmen ohne Business-Stopp
Hier wird QA auch Risk Manager.
Konkrete Strategie
- Quarantäne verdächtiger Chargen + Entscheidungsbaum
- Temporär verstärkte Wareneingangskontrollen
- Außerordentliches bzw. fokussiertes Audit (z. B. Data Integrity, Change Control)
- Business-Continuity-Plan (Second Source, Sicherheitsbestände, Alternativverpackung)
- Klare interne Kommunikation (Produktion/QC/Supply/RA)
📌 In der Inspektion schätzen Prüfer Kontrolle und Pragmatismus zugleich: nicht „alles stoppen“, sondern risikobasiert eindämmen und unter der Schwelle halten.
„10-Minuten“-Checkliste für die Review eines Quality Agreements
- Change Notification: Schwellen + Fristen + Kanal + Vorabgenehmigung
- Abweichungen/OOS/OOT: Meldefristen + Evidenzzugang
- Subcontracting: deklariert + Vorabgenehmigung
- Data Integrity: Zugriffe, Audit Trail, Rohdatenaufbewahrung
- Recall/Complaints: klare Rollen & SLA
- KPI & regelmäßige Performance-Meetings
FAQ
- Müssen alle Lieferanten on-site auditiert werden?
Nein. Der Ansatz muss risikobasiert sein. Entscheidend ist, dass das Rationale (Supplier Risk Assessment + alternative Evidenzen) dokumentiert und regelmäßig überprüft wird. - Wer sollte das Quality Agreement unterzeichnen?
Typischerweise QA (und/oder QP, sofern im System vorgesehen) mit Unterstützung von Legal/Procurement. Entscheidend ist die operative Nutzbarkeit. - Was ist die Written Confirmation für importierte APIs?
Ein Lieferketten-Dokument/Requirement, das QA beherrschen muss, wenn APIs aus Nicht-EU-Ländern importiert werden (Governance der GMP-Compliance des Herstellers).
Wenn du diese Prozesse mit Templates und Checklisten (Supplier Risk Assessment, Audit-Report-Skeleton, Quality-Agreement-Klauseln) standardisieren willst, ist der operative Leitfaden für QA Manager der ideale Container für sofort einsetzbare Tools.
