Cualificación de Proveedores GMP: Vendor Assurance para QA Pharma
Compartir

Cualificación de proveedores GMP y Quality Agreement: la gobernanza “risk-based” que resiste una inspección
El problema que estalla cuando ya es demasiado tarde
Un proveedor “histórico” entrega un excipiente con un CoA perfecto. Sin embargo, en producción se observa un comportamiento anómalo: viscosidad inestable, rendimiento variable, aumento de desviaciones.
Tras algunos intercambios, se descubre que el proveedor introdujo un cambio de proceso (nuevo secador, nueva fuente de disolvente, nuevo subproveedor) y lo trató como “menor”, por lo que no fue notificado.
📌 Desde la perspectiva de Producción, el principal reto es la continuidad (no detener líneas ni entregas).
📌 Desde la perspectiva de QA, el reto es el opuesto: demostrar que cada eslabón externo está gobernado por el PQS con el mismo rigor que el propio sitio productivo.
Este artículo proporciona un framework avanzado para construir un Vendor Assurance Program que resista inspecciones (EU GMP / actividades externalizadas) y reduzca sorpresas.
1) Vendor Assurance Program: pensarlo como un ciclo de vida (no como “una auditoría cada X años”)
Un programa maduro consta de 5 fases:
- Screening & onboarding (cuestionario + documentos clave)
- Cualificación inicial (auditoría/evaluación + decisión basada en riesgo)
- Quality Agreement / Technical Agreement (roles y flujos de información)
- Monitorización continua (KPI + trending + reevaluaciones periódicas)
- Escalado / descalificación (cuando el riesgo supera el umbral aceptable)
✅ Mensaje clave:
El error más costoso es creer que “cualificado” significa “correcto para siempre”.
2) Risk ranking: qué hace que un proveedor sea realmente “crítico”
Aquí se decide todo. Si el ranking no es sólido, el plan de auditorías tampoco lo será.
Tabla — Criterios de Supplier Risk Assessment (SRM)
| Factor de riesgo | Ejemplos prácticos | Impacto en auditorías/controles |
|---|---|---|
| Criticidad del material | API, envase primario estéril, excipiente funcional | Auditorías más frecuentes + controles de entrada reforzados |
| Tipo de proceso | Síntesis compleja, biológicos, estéril | Enfoque en contaminación/cross-contamination, CCS/EM |
| Single source | No hay segunda fuente | Requiere planes de continuidad de negocio + stock de seguridad |
| Madurez del QMS | CAPA lentas, change control débil | Escalado y auditorías focalizadas |
| Riesgo de data integrity | LIMS/instrumentos sin revisión de audit trail | Verificaciones técnicas de accesos, audit trail y raw data |
| Subcontratación | Uso de subproveedores no declarados | Cláusulas estrictas + derecho de auditoría ampliado |
LSI usados por ti y por el inspector:
supplier risk assessment, QRM, audit frequency, critical material, single source, subcontractor control, data integrity, raw data, audit trail, CAPA effectiveness.
3) Auditoría de cualificación: las preguntas que marcan la diferencia (no la checklist “estándar”)
Una auditoría eficaz no es una visita guiada; es una prueba de control.
Preguntas de alto poder diagnóstico
- ¿Cómo funciona su change control? ¿Quién evalúa el impacto en los clientes?
- Muéstreme un ejemplo real de investigación de desviación y su CAPA (con verificación de eficacia).
- ¿Cómo gestionan OOS/OOT y trending? ¿Quién decide la escalada?
- ¿Cómo garantizan la trazabilidad y la integridad de los registros (papel/electrónicos)?
- ¿Cómo gestionan la cleaning validation y la prevención de cross-contamination? (si aplica: HBEL/PDE)
- ¿Cómo gestionan subproveedores y actividades externalizadas?
- Si son contract lab/CMO: ¿cómo gestionan batch records, lot disposition y desviaciones del cliente?
📌 Un problema frecuente es la “CAPA cosmética”: informe perfecto, pero sin evidencia de reducción de recurrencia. En inspección se convierte en un finding de “lack of effectiveness”.
4) Quality Agreement: las 12 cláusulas que realmente te protegen
Muchos acuerdos son “legales”, pero no auditables. Deben ser operativos.
Tabla — Cláusulas esenciales (enfoque QA)
| Cláusula | Qué debe establecer (operativamente) | Por qué interesa al inspector |
|---|---|---|
| Notificación de cambios | plazos, umbrales, clasificación | Evita sorpresas y deriva de proceso |
| Desviaciones & OOS/OOT | quién notifica, cuándo, nivel de detalle | Garantiza transparencia y decisiones rápidas |
| Right to audit | auditorías on-site/remote, acceso a áreas y registros | Permite un oversight real |
| Subcontratación | prohibición o aprobación previa | Control de la cadena |
| Data integrity | gestión de accesos, audit trail review, retención de raw data | Reduce riesgo de falsificación/pérdida |
| Reclamos & recall | flujos, tiempos, roles | Protección del paciente y compliance |
| Retención documental | plazos, formatos, disponibilidad | “Available/Enduring” en el ciclo de vida |
| KPI & performance review | indicadores y reuniones periódicas | Evidencia de monitorización continua |
| Transporte (si aplica) | responsabilidades, temperatura, desviaciones logísticas | Integra GDP/cold chain |
| Muestras de retención | quién conserva, cuánto tiempo, cómo | Soporte a investigaciones/estabilidad |
| Formación & cualificación | requisitos mínimos, matriz de competencias | Reduce variabilidad humana |
| Escalado & descalificación | triggers, acciones, stop-ship | Demuestra gobernanza del riesgo |
✅ Mensaje clave:
Un Quality Agreement sin notificación de cambios y sin reglas de subcontratación es una bomba de relojería.
5) CoA y “skip testing”: ¿ventaja competitiva o trampa?
Insight contrarian (mito):
“Si el CoA es conforme, podemos reducir controles sin más.”
La reducción de ensayos, cuando es defendible, es un proyecto QA, no un atajo de supply chain.
Enfoque robusto (audit-friendly)
- Identity test siempre cuando sea requerido y justificado por riesgo
- Ensayos de verificación periódica planificados
- Comparación de tendencias CoA vs tendencias internas (detección de drift)
- Gestión de discrepancias del CoA como desviaciones con escalado
📌 Producción: menos ensayos = lead time más corto.
📌 QA: menos ensayos sin governance = mayor riesgo de “defecto silencioso”.
6) Gestión de cambios del proveedor: “Supplier Change Control”
Para cero sorpresas necesitas un proceso interno para:
- recepción de change notifications
- impact assessment (Quality/Regulatory/Production/Validation)
- decisión sobre bridging (comparabilidad, estudios, controles adicionales)
- actualización de especificaciones e instrucciones, variaciones regulatorias si aplican
- cierre del cambio con evidencias y actualización del risk ranking
LSI útiles: supplier change control, impact assessment, comparability, specification update, deviation escalation, risk acceptance criteria.
7) KPI de proveedores: qué medir para anticipar problemas
Un programa moderno utiliza Supplier Quality Metrics.
Ejemplos (listos para dashboard)
- OTD (on-time delivery) y right-first-time
- CoA discrepancy rate (incluso inconsistencias menores)
- Tasa de desviaciones por lote atribuibles al material
- Tiempo de cierre de findings de auditoría
- Puntualidad en la notificación de cambios
- Tasa de reclamaciones ligadas a material/envase
- Correlación entre lotes del proveedor y fallos internos
✅ Mensaje clave:
KPI sin acción = teatro. KPI con triggers = gobernanza
(p. ej. “closure time > X días → escalado y recualificación”).
8) Cuando el proveedor entra en crisis: contención sin parar el negocio
Aquí QA también actúa como risk manager.
Estrategia práctica
- Cuarentena de lotes sospechosos + árbol de decisión de uso
- Refuerzo temporal de controles de entrada
- Auditoría extraordinaria o focalizada (data integrity, change control)
- Plan de continuidad de negocio (segunda fuente, stock de seguridad, envase alternativo)
- Comunicación interna clara (Producción/QC/Supply/RA)
📌 En auditoría se valora ver control y pragmatismo juntos: no “parar todo”, sino contener con criterios y demostrar riesgo bajo control.
Checklist “10 minutos” para revisar un Quality Agreement
- Notificación de cambios: umbrales + plazos + canal + aprobación previa
- Desviaciones/OOS/OOT: tiempos de notificación + acceso a evidencias
- Subcontratación: declarada + aprobación previa
- Data integrity: accesos, audit trail, retención de raw data
- Recall/reclamaciones: roles y SLA claros
- KPI y reuniones periódicas de desempeño
FAQ
- ¿Todos los proveedores deben auditarse on-site?
No. El enfoque debe ser risk-based. Debes poder demostrar el racional (supplier risk assessment + evidencias alternativas) y revisarlo periódicamente. - ¿Quién debe firmar el Quality Agreement?
Normalmente QA (y/o QP según el sistema), con soporte Legal/Compras. Lo clave es que sea usable operativamente. - ¿Qué es la Written Confirmation para APIs importados?
Es un requisito/documento de cadena de suministro que QA debe gestionar al importar APIs de países no-UE, garantizando la conformidad GMP del fabricante.
Si quieres estandarizar estos procesos con templates y checklists (supplier risk assessment, skeleton de informe de auditoría, cláusulas de quality agreement), la guía operativa para el QA Manager es el contenedor ideal de herramientas listas para usar.
