GMP-Lieferantenqualifizierung: Vendor Assurance für Pharma-QA

GMP-Lieferantenqualifizierung und Quality Agreement: die „risk-based“ Governance, die einer Inspektion standhält

Das Problem, das explodiert, wenn es zu spät ist

Ein „langjähriger“ Lieferant liefert einen Hilfsstoff mit perfektem CoA. In der Produktion beobachtest du jedoch ein anomales Verhalten: instabile Viskosität, schwankende Ausbeute, zunehmende Abweichungen.

Nach einigen Rückfragen stellt sich heraus, dass der Lieferant eine Prozessänderung eingeführt hat (neuer Trockner, neue Lösungsmittelquelle, neuer Sub-Lieferant) und diese als „minor“ eingestuft und daher nicht gemeldet hat.

📌 Aus Sicht der Produktion ist die Hauptanforderung die Kontinuität (keine Stillstände von Linien und Lieferungen).
📌 Aus Sicht der QA ist die Herausforderung entgegengesetzt: nachzuweisen, dass jede externe Schnittstelle mit derselben Strenge durch das PQS gesteuert wird wie der eigene Standort.

Dieser Artikel ist ein fortgeschrittenes Framework, um ein Vendor Assurance Program aufzubauen, das Inspektionen (EU GMP / ausgelagerte Tätigkeiten) standhält und Überraschungen reduziert.

1) Vendor Assurance Program: als Lebenszyklus denken (nicht als „Audit alle X Jahre“)

Ein reifes Programm umfasst 5 Phasen:

  • Screening & Onboarding (Fragebogen + Schlüsseldokumente)
  • Erstqualifizierung (Audit/Bewertung + risikobasierte Entscheidung)
  • Quality Agreement / Technical Agreement (Verantwortlichkeiten und Informationsflüsse)
  • Laufende Überwachung (KPI + Trending + Re-Evaluierungen)
  • Eskalation / Dequalifizierung (wenn das Risiko die akzeptable Schwelle überschreitet)

Merke:
Der teuerste Fehler ist zu glauben, dass „qualifiziert“ gleichbedeutend mit „für immer in Ordnung“ ist.

2) Risk Ranking: was einen Lieferanten wirklich „kritisch“ macht

Hier entscheidet sich alles. Ist das Ranking nicht robust, ist auch der Auditplan schwach.

Tabelle — Kriterien für Supplier Risk Assessment (SRM)

Risikotreiber Praktische Beispiele Auswirkung auf Audit/Kontrollen
Materialkritikalität API, sterile Primärverpackung, funktionaler Hilfsstoff Häufigere Audits + verstärkte Wareneingangskontrollen
Prozesstyp Komplexe Synthese, Biologika, Sterilprozess Fokus auf Kontamination/Cross-Contamination, CCS/EM
Single Source Keine zweite Bezugsquelle Erfordert Business-Continuity-Pläne + Sicherheitsbestände
Reifegrad QMS Langsame CAPAs, schwaches Change Control Eskalation und gezielte Audits
Data-Integrity-Risiko LIMS/Geräte ohne Audit-Trail-Review Technische Prüfungen zu Zugriffen, Audit Trail, Rohdaten
Subcontracting Nutzung nicht deklarierter Sub-Lieferanten Strenge Klauseln + erweitertes Auditrech

LSI (Keywords), die du – und der Inspektor – verwendet:
supplier risk assessment, QRM, audit frequency, critical material, single source, subcontractor control, data integrity, raw data, audit trail, CAPA effectiveness.

 

3) Qualifizierungsaudit: die Fragen, die den Unterschied machen (nicht die „Standard-Checkliste“)

Ein wirksames Audit ist keine Führung – es ist ein Test der Prozesskontrolle.

Fragen mit hoher diagnostischer Aussagekraft

  • Wie funktioniert Ihr Change-Control-System? Wer bewertet die Auswirkungen auf Kunden?
  • Zeigen Sie ein reales Beispiel einer Deviation Investigation mit zugehöriger CAPA (inkl. Effectiveness Check).
  • Wie managen Sie OOS/OOT und Trending? Wer entscheidet über Eskalationen?
  • Wie stellen Sie Traceability und Datenintegrität sicher (papierbasiert/elektronisch)?
  • Wie handhaben Sie Cleaning Validation und die Vermeidung von Cross-Contamination? (falls relevant: HBEL/PDE)
  • Wie steuern Sie Sub-Lieferanten und ausgelagerte Tätigkeiten (outsourced activities)?
  • Als Contract Lab/CMO: Wie handhaben Sie Batch Records, Lot Disposition und kundenspezifische Abweichungen?

📌 Ein häufiges Problem in Audits ist die „kosmetische CAPA“: perfekter Bericht, aber kein Nachweis der Wirksamkeit. In der Inspektion wird daraus ein Finding wegen „lack of effectiveness“.

4) Quality Agreement: die 12 Klauseln, die dich wirklich schützen

Viele Agreements sind „juristisch korrekt“, aber nicht inspektionsfest. Sie müssen operativ sein.

Tabelle — Essenzielle Klauseln (QA-Version)

Klausel Operativer Inhalt Relevanz für den Inspektor
Änderungsmitteilung Fristen, Schwellen, Klassifizierung Vermeidet Überraschungen und Prozessdrift
Abweichungen & OOS/OOT Wer meldet, wann, mit welchem Detailgrad Transparenz und zeitnahe Entscheidungen
Right to Audit On-site/Remote, Zugriff auf Bereiche & Aufzeichnungen Ermöglicht reale Oversight
Subcontracting Verbot oder Vorabgenehmigung Kontrolle der Lieferkette
Data Integrity Zugriffsmanagement, Audit-Trail-Review, Rohdatenaufbewahrung Reduziert Fälschungs-/Datenverlustrisiken
Reklamationen & Recall Abläufe, Zeiten, Rollen Patientensicherheit & Compliance
Dokumentenaufbewahrung Dauer, Formate, Verfügbarkeit „Available/Enduring“ über den Lebenszyklus
KPI & Performance Review Kennzahlen und regelmäßige Meetings Nachweis laufender Überwachung
Transport (falls zutreffend) Verantwortung, Temperatur, logistische Abweichungen Integration GDP/Cold Chain
Rückstellmuster Wer, wie lange, wie Unterstützung von Investigations & Stabilität
Training & Qualifikation Mindestanforderungen, Kompetenzmatrix Reduziert menschliche Variabilität
Eskalation & Dequalifizierung Trigger, Maßnahmen, Stop-Ship Belegt Risikogovernance

Merke:
Ein Quality Agreement ohne Change-Notification-Mechanismus und ohne Regeln zum Subcontracting ist eine Zeitbombe.

5) CoA und „Skip Testing“: Wettbewerbsvorteil oder Falle?

Konträrer Insight (Mythos): „Wenn das CoA konform ist, können wir die Prüfungen bedenkenlos reduzieren.“

Testreduktion ist – wenn zulässig – ein QA-Projekt, keine Abkürzung der Supply Chain.

Robuster (auditfreundlicher) Ansatz

  • Identity-Test immer, wo gefordert und risikobasiert sinnvoll
  • Geplante periodische Verifikationstests (begründete Frequenz)
  • Vergleich CoA-Trends vs. interne Trends (Drift-Erkennung)
  • Abweichungen im CoA als Deviation mit Eskalation behandeln

📌 Produktion: kürzere Lead Times.
📌 QA: Ohne Trending & Governance steigt das Risiko eines „stillen Defekts“.

6) Lieferantenänderungen managen: „Supplier Change Control“

Für null Überraschungen braucht es einen internen Prozess für:

  • Eingang von Change Notifications
  • Impact Assessment (Quality/Regulatory/Production/Validation)
  • Entscheidung zu Bridging (z. B. Vergleichbarkeit, Studien, Zusatzkontrollen)
  • Aktualisierung von Spezifikationen/Anweisungen, ggf. regulatorische Variation
  • Abschluss mit Evidenzen und Update des Risk Rankings

Nützliche LSI: supplier change control, impact assessment, comparability, specification update, deviation escalation, risk acceptance criteria.

7) Lieferanten-KPI: was messen, um Probleme früh zu erkennen

Ein modernes Programm nutzt Supplier Performance Indicators.

Beispiele für Supplier Quality Metrics (dashboardfähig)

  • OTD (on-time delivery) und right-first-time
  • CoA Discrepancy Rate (auch minimale Inkonsistenzen)
  • Abweichungsrate pro Charge, materialbedingt
  • Audit-Finding-Closure-Time
  • Timeliness der Change Notification
  • Reklamationsrate bezogen auf Material/Verpackung
  • Korrelation Lieferantenchargen ↔ interne Batch-Failures

Merke:
KPI ohne Aktion = Theater. KPI mit Triggern = Governance
(z. B. „Closure Time > X Tage → Eskalation & Requalifizierung“).

8) Wenn der Lieferant in der Krise ist: Eindämmen ohne Business-Stopp

Hier wird QA auch Risk Manager.

Konkrete Strategie

  • Quarantäne verdächtiger Chargen + Entscheidungsbaum
  • Temporär verstärkte Wareneingangskontrollen
  • Außerordentliches bzw. fokussiertes Audit (z. B. Data Integrity, Change Control)
  • Business-Continuity-Plan (Second Source, Sicherheitsbestände, Alternativverpackung)
  • Klare interne Kommunikation (Produktion/QC/Supply/RA)

📌 In der Inspektion schätzen Prüfer Kontrolle und Pragmatismus zugleich: nicht „alles stoppen“, sondern risikobasiert eindämmen und unter der Schwelle halten.

„10-Minuten“-Checkliste für die Review eines Quality Agreements

  • Change Notification: Schwellen + Fristen + Kanal + Vorabgenehmigung
  • Abweichungen/OOS/OOT: Meldefristen + Evidenzzugang
  • Subcontracting: deklariert + Vorabgenehmigung
  • Data Integrity: Zugriffe, Audit Trail, Rohdatenaufbewahrung
  • Recall/Complaints: klare Rollen & SLA
  • KPI & regelmäßige Performance-Meetings

FAQ

  • Müssen alle Lieferanten on-site auditiert werden?
    Nein. Der Ansatz muss risikobasiert sein. Entscheidend ist, dass das Rationale (Supplier Risk Assessment + alternative Evidenzen) dokumentiert und regelmäßig überprüft wird.
  • Wer sollte das Quality Agreement unterzeichnen?
    Typischerweise QA (und/oder QP, sofern im System vorgesehen) mit Unterstützung von Legal/Procurement. Entscheidend ist die operative Nutzbarkeit.
  • Was ist die Written Confirmation für importierte APIs?
    Ein Lieferketten-Dokument/Requirement, das QA beherrschen muss, wenn APIs aus Nicht-EU-Ländern importiert werden (Governance der GMP-Compliance des Herstellers).

Wenn du diese Prozesse mit Templates und Checklisten (Supplier Risk Assessment, Audit-Report-Skeleton, Quality-Agreement-Klauseln) standardisieren willst, ist der operative Leitfaden für QA Manager der ideale Container für sofort einsetzbare Tools.

Zurück zum Blog

Suchst du etwas Bestimmtes?