Cualificación de Proveedores GMP: Vendor Assurance para QA Pharma

Cualificación de proveedores GMP y Quality Agreement: la gobernanza “risk-based” que resiste una inspección

El problema que estalla cuando ya es demasiado tarde

Un proveedor “histórico” entrega un excipiente con un CoA perfecto. Sin embargo, en producción se observa un comportamiento anómalo: viscosidad inestable, rendimiento variable, aumento de desviaciones.

Tras algunos intercambios, se descubre que el proveedor introdujo un cambio de proceso (nuevo secador, nueva fuente de disolvente, nuevo subproveedor) y lo trató como “menor”, por lo que no fue notificado.

📌 Desde la perspectiva de Producción, el principal reto es la continuidad (no detener líneas ni entregas).
📌 Desde la perspectiva de QA, el reto es el opuesto: demostrar que cada eslabón externo está gobernado por el PQS con el mismo rigor que el propio sitio productivo.

Este artículo proporciona un framework avanzado para construir un Vendor Assurance Program que resista inspecciones (EU GMP / actividades externalizadas) y reduzca sorpresas.

1) Vendor Assurance Program: pensarlo como un ciclo de vida (no como “una auditoría cada X años”)

Un programa maduro consta de 5 fases:

  • Screening & onboarding (cuestionario + documentos clave)
  • Cualificación inicial (auditoría/evaluación + decisión basada en riesgo)
  • Quality Agreement / Technical Agreement (roles y flujos de información)
  • Monitorización continua (KPI + trending + reevaluaciones periódicas)
  • Escalado / descalificación (cuando el riesgo supera el umbral aceptable)

Mensaje clave:
El error más costoso es creer que “cualificado” significa “correcto para siempre”.

2) Risk ranking: qué hace que un proveedor sea realmente “crítico”

Aquí se decide todo. Si el ranking no es sólido, el plan de auditorías tampoco lo será.

Tabla — Criterios de Supplier Risk Assessment (SRM)

Factor de riesgo Ejemplos prácticos Impacto en auditorías/controles
Criticidad del material API, envase primario estéril, excipiente funcional Auditorías más frecuentes + controles de entrada reforzados
Tipo de proceso Síntesis compleja, biológicos, estéril Enfoque en contaminación/cross-contamination, CCS/EM
Single source No hay segunda fuente Requiere planes de continuidad de negocio + stock de seguridad
Madurez del QMS CAPA lentas, change control débil Escalado y auditorías focalizadas
Riesgo de data integrity LIMS/instrumentos sin revisión de audit trail Verificaciones técnicas de accesos, audit trail y raw data
Subcontratación Uso de subproveedores no declarados Cláusulas estrictas + derecho de auditoría ampliado

LSI usados por ti y por el inspector:
supplier risk assessment, QRM, audit frequency, critical material, single source, subcontractor control, data integrity, raw data, audit trail, CAPA effectiveness.

3) Auditoría de cualificación: las preguntas que marcan la diferencia (no la checklist “estándar”)

Una auditoría eficaz no es una visita guiada; es una prueba de control.

Preguntas de alto poder diagnóstico

  • ¿Cómo funciona su change control? ¿Quién evalúa el impacto en los clientes?
  • Muéstreme un ejemplo real de investigación de desviación y su CAPA (con verificación de eficacia).
  • ¿Cómo gestionan OOS/OOT y trending? ¿Quién decide la escalada?
  • ¿Cómo garantizan la trazabilidad y la integridad de los registros (papel/electrónicos)?
  • ¿Cómo gestionan la cleaning validation y la prevención de cross-contamination? (si aplica: HBEL/PDE)
  • ¿Cómo gestionan subproveedores y actividades externalizadas?
  • Si son contract lab/CMO: ¿cómo gestionan batch records, lot disposition y desviaciones del cliente?

📌 Un problema frecuente es la “CAPA cosmética”: informe perfecto, pero sin evidencia de reducción de recurrencia. En inspección se convierte en un finding de “lack of effectiveness”.

4) Quality Agreement: las 12 cláusulas que realmente te protegen

Muchos acuerdos son “legales”, pero no auditables. Deben ser operativos.

Tabla — Cláusulas esenciales (enfoque QA)

Cláusula Qué debe establecer (operativamente) Por qué interesa al inspector
Notificación de cambios plazos, umbrales, clasificación Evita sorpresas y deriva de proceso
Desviaciones & OOS/OOT quién notifica, cuándo, nivel de detalle Garantiza transparencia y decisiones rápidas
Right to audit auditorías on-site/remote, acceso a áreas y registros Permite un oversight real
Subcontratación prohibición o aprobación previa Control de la cadena
Data integrity gestión de accesos, audit trail review, retención de raw data Reduce riesgo de falsificación/pérdida
Reclamos & recall flujos, tiempos, roles Protección del paciente y compliance
Retención documental plazos, formatos, disponibilidad “Available/Enduring” en el ciclo de vida
KPI & performance review indicadores y reuniones periódicas Evidencia de monitorización continua
Transporte (si aplica) responsabilidades, temperatura, desviaciones logísticas Integra GDP/cold chain
Muestras de retención quién conserva, cuánto tiempo, cómo Soporte a investigaciones/estabilidad
Formación & cualificación requisitos mínimos, matriz de competencias Reduce variabilidad humana
Escalado & descalificación triggers, acciones, stop-ship Demuestra gobernanza del riesgo

Mensaje clave:
Un Quality Agreement sin notificación de cambios y sin reglas de subcontratación es una bomba de relojería.

5) CoA y “skip testing”: ¿ventaja competitiva o trampa?

Insight contrarian (mito):
“Si el CoA es conforme, podemos reducir controles sin más.”

La reducción de ensayos, cuando es defendible, es un proyecto QA, no un atajo de supply chain.

Enfoque robusto (audit-friendly)

  • Identity test siempre cuando sea requerido y justificado por riesgo
  • Ensayos de verificación periódica planificados
  • Comparación de tendencias CoA vs tendencias internas (detección de drift)
  • Gestión de discrepancias del CoA como desviaciones con escalado

📌 Producción: menos ensayos = lead time más corto.
📌 QA: menos ensayos sin governance = mayor riesgo de “defecto silencioso”.

6) Gestión de cambios del proveedor: “Supplier Change Control”

Para cero sorpresas necesitas un proceso interno para:

  • recepción de change notifications
  • impact assessment (Quality/Regulatory/Production/Validation)
  • decisión sobre bridging (comparabilidad, estudios, controles adicionales)
  • actualización de especificaciones e instrucciones, variaciones regulatorias si aplican
  • cierre del cambio con evidencias y actualización del risk ranking

LSI útiles: supplier change control, impact assessment, comparability, specification update, deviation escalation, risk acceptance criteria.

7) KPI de proveedores: qué medir para anticipar problemas

Un programa moderno utiliza Supplier Quality Metrics.

Ejemplos (listos para dashboard)

  • OTD (on-time delivery) y right-first-time
  • CoA discrepancy rate (incluso inconsistencias menores)
  • Tasa de desviaciones por lote atribuibles al material
  • Tiempo de cierre de findings de auditoría
  • Puntualidad en la notificación de cambios
  • Tasa de reclamaciones ligadas a material/envase
  • Correlación entre lotes del proveedor y fallos internos

Mensaje clave:
KPI sin acción = teatro. KPI con triggers = gobernanza
(p. ej. “closure time > X días → escalado y recualificación”).

8) Cuando el proveedor entra en crisis: contención sin parar el negocio

Aquí QA también actúa como risk manager.

Estrategia práctica

  • Cuarentena de lotes sospechosos + árbol de decisión de uso
  • Refuerzo temporal de controles de entrada
  • Auditoría extraordinaria o focalizada (data integrity, change control)
  • Plan de continuidad de negocio (segunda fuente, stock de seguridad, envase alternativo)
  • Comunicación interna clara (Producción/QC/Supply/RA)

📌 En auditoría se valora ver control y pragmatismo juntos: no “parar todo”, sino contener con criterios y demostrar riesgo bajo control.

Checklist “10 minutos” para revisar un Quality Agreement

  • Notificación de cambios: umbrales + plazos + canal + aprobación previa
  • Desviaciones/OOS/OOT: tiempos de notificación + acceso a evidencias
  • Subcontratación: declarada + aprobación previa
  • Data integrity: accesos, audit trail, retención de raw data
  • Recall/reclamaciones: roles y SLA claros
  • KPI y reuniones periódicas de desempeño

FAQ

  • ¿Todos los proveedores deben auditarse on-site?
    No. El enfoque debe ser risk-based. Debes poder demostrar el racional (supplier risk assessment + evidencias alternativas) y revisarlo periódicamente.
  • ¿Quién debe firmar el Quality Agreement?
    Normalmente QA (y/o QP según el sistema), con soporte Legal/Compras. Lo clave es que sea usable operativamente.
  • ¿Qué es la Written Confirmation para APIs importados?
    Es un requisito/documento de cadena de suministro que QA debe gestionar al importar APIs de países no-UE, garantizando la conformidad GMP del fabricante.

Si quieres estandarizar estos procesos con templates y checklists (supplier risk assessment, skeleton de informe de auditoría, cláusulas de quality agreement), la guía operativa para el QA Manager es el contenedor ideal de herramientas listas para usar.

Regresar al blog

¿Buscas algo específico?