Qualifica fornitori GMP e Quality Agreement: la governance “risk-based” che regge in ispezione

Il problema che esplode quando è troppo tardi

Un fornitore “storico” ti consegna un eccipiente con CoA perfetto. In produzione, però, vedi un comportamento anomalo: viscosità instabile, resa che balla, deviazioni in aumento.

Dopo qualche scambio, scopri che il fornitore ha introdotto un cambio di processo (nuovo essiccatore, nuova fonte di solvente, nuovo sub-fornitore) e lo ha trattato come “minore”, quindi non notificato.

📌 Dalla prospettiva della produzione, la sfida principale è la continuità (non fermare linee e consegne).
📌 Dalla prospettiva QA, la sfida è opposta: dimostrare che ogni anello esterno è governato dal PQS con lo stesso rigore del sito.

Questo articolo è un framework avanzato per costruire un Vendor Assurance Program che regga sotto ispezione (EU GMP / outsourced activities) e riduca sorprese.

1) Vendor Assurance Program: pensalo come ciclo di vita (non come “audit ogni X anni”)

Un programma maturo ha 5 fasi:

1. Screening & onboarding (questionario + documenti chiave)
2. Qualifica iniziale (audit/assessment + decisione risk-based)
3. Quality Agreement / Technical Agreement (responsabilità e flussi)
4. Monitoraggio continuo (KPI + trending + rivalutazioni)
5. Escalation / dequalifica (quando il rischio supera la soglia accettabile)

✅ Da ricordare

L’errore più costoso è credere che “qualificato” significhi “a posto per sempre”.

2) Risk ranking: cosa rende un fornitore davvero “critico”

Qui si gioca tutto. Se il tuo ranking non è robusto, anche il piano audit non lo sarà.

Tabella — Criteri per Supplier Risk Assessment (SRM)

Driver di rischio	Esempi pratici	Impatto su audit/controlli
Criticità materiale	API, sterile primary packaging, eccipiente funzionale	Audit più frequenti + controlli incoming rafforzati
Tipo processo	Sintesi complessa, biologico, sterile	Focus su contaminazione/cross-contamination, CCS/EM dove applicabile
Single source	Nessuna seconda fonte disponibile	Richiede piani di business continuity + safety stock
Maturità QMS	CAPA lente, change control debole	Escalation e audit mirati
Data integrity risk	LIMS/strumenti senza audit trail review	Verifiche tecniche su accessi, audit trail, raw data
Subcontracting	Uso di subfornitori non dichiarati	Clausole forti + diritto di audit esteso

LSI da usare (e che l’ispettore usa): supplier risk assessment, QRM, audit frequency, critical material, single source, subcontractor control, data integrity, raw data, audit trail, CAPA effectiveness.

3) Audit di qualifica: le domande che fanno la differenza (non la checklist “standard”)

Un audit efficace non è una tour guidata. È un test del controllo.

Domande “ad alto potere diagnostico”

• Come funziona il vostro change control? Chi valuta impatto su clienti?
• Mostratemi un esempio reale di deviation investigation e relativa CAPA (con effectiveness check).
• Come gestite OOS/OOT e trending? Chi decide escalation?
• Come garantite traceability e integrità delle registrazioni (cartacee/elettroniche)?
• Qual è la vostra gestione di cleaning validation e prevenzione cross-contamination? (se rilevante: HBEL/PDE)
• Come gestite subfornitori e attività esternalizzate? (outsourced activities)
• Se siete un contract lab/CMO: come gestite batch record, lot disposition, deviazioni del cliente?

📌 In fase di audit, il problema che riscontro più spesso è la “CAPA cosmetica”: report perfetto, ma nessuna prova che l’azione abbia ridotto la ricorrenza. In ispezione, questo si trasforma in finding di “lack of effectiveness”.

4) Quality Agreement: le 12 clausole che ti proteggono davvero

Molti agreement sono “legali”, ma non “ispettivi”. Devono essere operativi.

Tabella — Clausole essenziali (versione QA)

Clausola	Cosa deve dire (operativamente)	Perché interessa all’ispettore
Notifica cambi	tempi, soglie, classificazione change	evita sorprese e drift di processo
Deviazioni & OOS/OOT	chi notifica, in quanto tempo, quale livello dettaglio	garantisce trasparenza e decisioni tempestive
Right to audit	audit on-site/remote, accesso aree e registri	abilita oversight reale
Subcontracting	divieto o approvazione preventiva	controllo filiera
Data integrity	gestione accessi, audit trail review, retention raw data	riduce rischio falsificazione/perdita dati
Reclami & recall	flusso, tempi, ruoli, supporto investigazioni	tutela paziente e compliance
Document retention	tempi, formati, disponibilità	“Available/Enduring” su ciclo di vita record
KPI & performance review	indicatori e meeting periodici	prova di monitoraggio continuo
Trasporto (se applicabile)	responsabilità, temperatura, deviazioni logistiche	integra aspetti GDP/cold chain
Campioni retain	chi conserva, quanto, come	supporto investigazioni e stabilità
Training & qualifica	requisiti minimi, matrice competenze	riduce variabilità umana
Escalation & dequalifica	trigger, azioni, stop-ship	dimostra governance del rischio

✅ Da ricordare

Un Quality Agreement senza meccanismo di change notification e senza regole su subcontracting è una bomba a orologeria.

5) CoA e “skip testing”: vantaggio competitivo o trappola?

Contrarian insight (mito da sfatare): “Se il CoA è conforme, possiamo ridurre i controlli senza pensarci.”

La riduzione dei test (quando sostenibile) è un progetto QA, non una scorciatoia supply chain.

Approccio robusto (audit-friendly)

• identity test sempre dove richiesto e dove ha senso in base al rischio
• periodic verification testing pianificato (es. a frequenza definita e giustificata)
• confronto tra trend CoA e trend interni (drift detection)
• gestione delle discrepanze CoA come deviazioni con escalation

📌 Dalla prospettiva della produzione, ridurre test accelera il lead time.
📌 Dalla prospettiva QA, ridurre test senza trending e governance aumenta la probabilità di “difetto silenzioso”.

6) Gestire i change del fornitore: il “Supplier Change Control”

Se vuoi zero sorprese, devi avere un processo interno per:

• ricezione change notification
• impact assessment (Quality/Regulatory/Production/Validation)
• decisione su bridging (es. comparabilità, studi, controlli aggiuntivi)
• aggiornamento specifiche, istruzioni, eventuale variazione regolatoria (se applicabile)
• chiusura change con evidenze e aggiornamento risk ranking

LSI utili: supplier change control, impact assessment, comparability, specification update, deviation escalation, risk acceptance criteria.

7) KPI fornitori: cosa misurare per anticipare un problema

Un programma “moderno” usa indicatori di performance fornitori.

Esempi di Supplier Quality Metrics (pronti per dashboard)

• OTD (on-time delivery) ma soprattutto “on-time + right-first-time”
• CoA discrepancy rate (anche minime incongruenze)
• deviation rate per lotto attribuibile al materiale
• audit finding closure time
• change notification timeliness (quanto prima ti avvisano)
• complaint rate collegata a materiale/packaging
• batch failure correlation (correlazione tra lotti fornitore e problemi interni)

✅ Da ricordare

KPI senza azione = teatro. KPI con trigger = governo (es. “se closure time > X giorni → escalation e rivalutazione qualifica”).

8) Quando il fornitore è in crisi: contenimento senza fermare il business

Qui QA diventa anche “risk manager”.

Strategia concreta:

• quarantena dei lotti sospetti + decision tree di utilizzo
• incoming testing rafforzato temporaneo
• audit straordinario o “focused audit” (es. data integrity, change control)
• piano di business continuity (second source, safety stock, alternative packaging)
• comunicazione interna chiara (Produzione/QC/Supply/RA)

📌 In audit, l’ispettore apprezza quando vede due cose insieme: controllo e pragmatismo. Non “fermare tutto”, ma “contenere con criteri” e dimostrare rischio sotto soglia.

Checklist “10 minuti” per review di un Quality Agreement

• Notifica change: soglie + tempi + canale + approvazione preventiva
• Deviazioni/OOS/OOT: tempi notifica + accesso evidenze
• Subcontracting: dichiarato + approvazione preventiva
• Data integrity: accessi, audit trail, raw data retention
• Recall/complaints: ruoli e SLA chiari
• KPI e meeting periodici di performance

FAQ 

• Tutti i fornitori devono essere auditati on-site?
  No: l’approccio deve essere risk-based. Ma devi poter dimostrare il razionale (supplier risk assessment + evidenze alternative) e rivalutare periodicamente.
• Chi dovrebbe firmare il Quality Agreement?
  Tipicamente QA (e/o QP dove previsto dal sistema aziendale) con supporto Legal/Procurement. L’importante è che il documento sia usabile dai reparti.
• Che cos’è la Written Confirmation per API importati?
  È un requisito/documento di filiera che QA deve saper gestire quando si importano API da paesi extra-UE (governance di conformità del produttore).

Se vuoi standardizzare questi processi con template e checklist (supplier risk assessment, audit report skeleton, quality agreement clauses), la guida operativa sul QA Manager è il contenitore ideale da cui estrarre strumenti pronti all’uso.