供应商资质认定

对提供 GxP 相关软件、基础设施或服务的供应商进行评估和资质认定，确保其满足法规质量标准。

适用场景

• 为 GxP 关键计算机化系统选择新供应商
• 为受监管数据引入云服务提供商
• 现有供应商的定期再资质认定到期
• 供应商审计发现需要重新评估
• 法规要求进行供应商资质认定（EU Annex 11 §3.4、ICH Q10）

输入

• 必填：供应商名称、产品/服务及其预期 GxP 用途
• 必填：供应商风险分类标准
• 必填：适用的法规要求
• 可选：供应商提供的质量文件（ISO 认证、SOC 报告）
• 可选：以往供应商审计报告或资质认定记录
• 可选：参考客户的使用经验

步骤

第 1 步：供应商风险分类

根据 GxP 影响确定供应商的风险等级：

# 供应商风险分类
## 文档 ID：VRC-[VENDOR]-[YYYY]-[NNN]

### 风险分类标准
| 因素 | 权重 | 关键 | 重大 | 轻微 |
|------|------|------|------|------|
| GxP 影响 | 40% | 直接处理 GxP 数据或影响产品质量 | 间接支持 GxP 流程 | 无 GxP 影响 |
| 数据访问 | 20% | 访问或存储受 GxP 监管的数据 | 仅访问辅助数据 | 无数据访问 |
| 可替代性 | 15% | 唯一来源，无替代 | 替代有限 | 有多个替代 |
| 法规暴露 | 15% | 受法规检查约束 | 可能在申报中被引用 | 无法规暴露 |
| 业务关键性 | 10% | 系统停机会导致运营停止 | 停机导致延误 | 对运营影响极小 |

### 供应商分类
| 供应商 | 产品/服务 | 风险评分 | 分类 | 资质认定方式 |
|------|---------|---------|------|------------|
| [供应商名称] | [产品] | [评分] | 关键 / 重大 / 轻微 | 现场审计 / 桌面审计 / 仅问卷 |

### 按风险等级确定资质认定方式
| 风险等级 | 资质认定活动 | 再资质认定频次 |
|---------|------------|-------------|
| **关键** | 问卷 + 桌面审计 + 现场审计 | 每年 |
| **重大** | 问卷 + 桌面审计 | 每 2 年 |
| **轻微** | 仅问卷 | 每 3 年 |

预期结果： 供应商风险分类驱动相应比例的资质认定工作量。 失败处理： 若风险分类存在争议，默认选择更高的等级。对关键供应商资质认定不足是法规风险。

第 2 步：设计并发送评估问卷

# 供应商评估问卷
## 文档 ID：VAQ-[VENDOR]-[YYYY]-[NNN]

### 第 1 节：公司信息
1. 法定名称、地址和母公司（如适用）
2. 员工总数（以及质量/开发部门人数）
3. 与本次资质认定相关的产品和服务
4. 制药/生命科学行业的主要客户

### 第 2 节：质量管理体系
5. 是否维护经认证的 QMS？（ISO 9001、ISO 13485、ISO 27001——提供证书）
6. 描述你们的文件控制系统
7. 描述你们的变更管理流程
8. 描述你们的 CAPA 流程
9. 如何处理客户投诉？
10. 最近一次外部审计是何时？提供摘要报告。

### 第 3 节：软件开发（如适用）
11. 描述你们的软件开发生命周期（SDLC）
12. 是否遵循 GAMP 5、IEC 62304 或其他开发标准？
13. 描述你们的测试方法（单元测试、集成测试、系统测试、回归测试）
14. 如何管理源代码（版本控制、分支、代码审查）？
15. 描述你们的发布管理流程
16. 如何处理缺陷报告和补丁？

### 第 4 节：数据完整性和安全
17. 如何确保数据完整性（ALCOA+ 原则）？
18. 描述你们的审计追踪功能
19. 描述你们的访问控制模型（基于角色、基于属性）
20. 描述你们的数据备份和恢复程序
21. 过去 3 年内是否发生过数据泄露？如有，请描述。
22. 提供你们最新的 SOC 2 Type II 报告（如有）

### 第 5 节：法规合规
23. 你们的产品是否用于 FDA 监管或 EU 监管环境？
24. 能否提供 21 CFR Part 11 合规声明？
25. 能否提供 EU Annex 11 合规声明？
26. 是否提供验证支持文件（IQ/OQ/PQ 资料包）？
27. 如何通知客户可能影响其验证状态的变更？

### 第 6 节：支持和服务级别
28. 描述你们的支持层级和响应时间
29. 你们的系统可用性目标（正常运行时间 SLA）是多少？
30. 描述你们的灾难恢复和业务连续性计划
31. 对于计划内和计划外的停机，你们的客户通知流程是什么？
32. 你们的产品寿命终止/支持终止政策是什么？

预期结果： 问卷已发送给供应商，并设有答复截止日期（关键供应商通常为 4-6 周）。 失败处理： 若供应商无法或不愿完成问卷，这本身就是一个风险信号。记录拒绝行为并上报给采购部门和 QA。

第 3 步：评估供应商回应

审查并评分问卷回应：

# 供应商评估
## 文档 ID：VE-[VENDOR]-[YYYY]-[NNN]

### 回应评估矩阵
| 章节 | 评分（1-5） | 主要发现 | 是否可接受？ |
|------|-----------|---------|-----------|
| 质量管理体系 | [评分] | [发现摘要] | [是/否/有条件] |
| 软件开发 | [评分] | [摘要] | [是/否/有条件] |
| 数据完整性和安全 | [评分] | [摘要] | [是/否/有条件] |
| 法规合规 | [评分] | [摘要] | [是/否/有条件] |
| 支持和服务级别 | [评分] | [摘要] | [是/否/有条件] |

评分：1 = 不可接受，2 = 存在重大差距，3 = 有条件通过，4 = 良好，5 = 优秀

### 红色警报（自动上报）
- [ ] 无 QMS 或认证已过期
- [ ] 无向客户通知变更的流程
- [ ] 无审计追踪功能
- [ ] 发生数据泄露且无纠正行动
- [ ] 无法提供 21 CFR 11 或 EU Annex 11 合规声明
- [ ] 无验证支持文件

预期结果： 每个章节均有明确发现并作出总体可接受性判断。 失败处理： 若回应不完整或含糊其辞，要求澄清。持续无回应是资质认定失败标准。

第 4 步：开展审计（如需）

对关键和重大供应商开展桌面或现场审计：

# 供应商审计计划
## 文档 ID：VAP-[VENDOR]-[YYYY]-[NNN]

### 桌面审计（远程）
| 请求文件 | 已收到？ | 评估 |
|---------|---------|------|
| QMS 手册或概述 | [是/否] | [发现] |
| SDLC 文档 | [是/否] | [发现] |
| 最近一次内部审计报告 | [是/否] | [发现] |
| SOC 2 Type II 报告 | [是/否] | [发现] |
| 21 CFR 11 / EU Annex 11 合规声明 | [是/否] | [发现] |
| 示例发布说明（近 3 次发布） | [是/否] | [发现] |
| 客户通知示例 | [是/否] | [发现] |

### 现场审计（如为关键供应商）
| 领域 | 活动 | 时长 |
|------|------|------|
| 质量体系 | 审查 QMS 文档、CAPA 记录、投诉处理 | 2 小时 |
| 开发 | 介绍 SDLC、代码审查流程、测试证据 | 2 小时 |
| 运营 | 观察数据中心（如适用）、审查安全控制 | 1 小时 |
| 支持 | 审查支持工单解决情况、SLA 合规指标 | 1 小时 |

### 审计发现
| 发现 ID | 领域 | 观察 | 严重性 | 是否需要供应商回应？ |
|--------|------|------|------|----------------|
| VF-001 | [领域] | [观察] | [重大/轻微/观察] | [是/否] |

预期结果： 审计发现已客观记录并附有严重性分类。 失败处理： 若无法安排现场审计，开展彻底的桌面审计并辅以视频会议访谈。

第 5 步：评估质量协议和 SLA

# 质量协议评估
## 文档 ID：QAE-[VENDOR]-[YYYY]-[NNN]

### 质量协议检查清单
| 条款 | 是否存在？ | 是否充分？ | 备注 |
|------|---------|---------|------|
| 角色和职责（供应商与客户） | [是/否] | [是/否] | |
| 变更通知（变更前通知） | [是/否] | [是/否] | [最短通知期？] |
| 审计权（审计供应商的权利） | [是/否] | [是/否] | [频次、范围？] |
| 数据所有权和可迁移性 | [是/否] | [是/否] | [终止时数据返还？] |
| 安全和保密义务 | [是/否] | [是/否] | |
| 法规检查配合 | [是/否] | [是/否] | [供应商是否支持法规检查？] |
| 质量问题的 CAPA 流程 | [是/否] | [是/否] | |
| 验证支持义务 | [是/否] | [是/否] | [IQ/OQ/PQ 支持？] |
| 分包商管理 | [是/否] | [是/否] | [供应商分包商的质量？] |
| 终止和过渡支持 | [是/否] | [是/否] | [数据迁移支持？] |

### SLA 评估
| 指标 | 供应商承诺 | 行业基准 | 是否可接受？ |
|------|---------|---------|-----------|
| 可用性（正常运行时间） | [如 99.9%] | 99.5% - 99.99% | [是/否] |
| 响应时间（关键问题） | [如 1 小时] | 1-4 小时 | [是/否] |
| 解决时间（关键问题） | [如 4 小时] | 4-24 小时 | [是/否] |
| 计划维护通知 | [如 5 天] | 5-14 天 | [是/否] |
| 数据备份频次 | [如每日] | 最低每日 | [是/否] |
| 灾难恢复 RTO | [如 4 小时] | 4-24 小时 | [是/否] |

预期结果： 在合同签署前，质量协议和 SLA 条款均经过充分审查。 失败处理： 若质量协议缺少关键条款，就其纳入进行谈判。不得在没有足够审计权和变更通知的情况下认定供应商资质。

第 6 步：作出资质认定决定

# 供应商资质认定报告
## 文档 ID：VENDOR-QUALIFICATION-[VENDOR]

### 资质认定摘要
| 标准 | 结果 |
|------|------|
| 供应商风险分类 | [关键 / 重大 / 轻微] |
| 问卷评估 | [评分/5] |
| 审计结果（如适用） | [满意 / 有条件满意 / 不满意] |
| 质量协议 | [充分 / 需修订] |
| SLA | [充分 / 需修订] |

### 资质认定决定
| 决定 | 含义 |
|------|------|
| **已认定资质** | 供应商满足所有要求；继续采购 |
| **有条件认定资质** | 供应商满足大部分要求；必须在规定时间内满足特定条件 |
| **未认定资质** | 供应商不满足要求；不得继续 |

**决定：** [已认定资质 / 有条件认定资质 / 未认定资质]
**条件（如适用）：** [列出具体条件及截止日期]

### 持续监测
| 活动 | 频次 | 负责人 |
|------|------|------|
| 绩效指标审查 | 每季度 | 系统负责人 |
| 质量协议合规 | 每年 | QA |
| 再资质认定审计/评估 | [按风险等级] | QA |
| 法规更新审查 | 按需 | 监管事务 |

### 批准
| 角色 | 姓名 | 签名 | 日期 |
|------|------|------|------|
| 质量保证 | | | |
| 系统负责人 | | | |
| 采购 | | | |

预期结果： 明确的资质认定决定，有记录在案的理由和持续监测计划。 失败处理： 若决定为"未认定资质"，记录具体缺陷并通知采购部门。确定备选供应商。

验证清单

• 供应商风险已分类并有文档记录的依据
• 评估问卷涵盖 QMS、开发、安全、合规和支持
• 供应商回应已通过评分发现进行评估
• 关键和重大供应商均已开展审计
• 质量协议已对所有必要条款进行审查
• SLA 已依据法规和业务要求进行评估
• 资质认定决定已有批准签字记录
• 持续监测计划已明确频次和职责

常见问题

• 资质认定前先采购：在资质认定完成前签署合同会失去质量协议谈判的筹码，并产生合规差距
• 仅凭问卷不加核实：仅凭供应商自我评估不足以满足要求。通过审计、参考核查或文件审查来核实关键声明
• 无变更通知条款：没有合同约定的变更通知，供应商可以在不知情的情况下以影响验证状态的方式变更其产品或服务
• 将资质认定视为一次性事件：供应商资质认定是持续进行的。定期监测、再资质认定和绩效审查对于持续合规至关重要
• 忽视分包商：若供应商将关键服务（如托管、开发）分包出去，分包商的质量也必须进行评估

相关技能

• design-compliance-architecture

  — 确定哪些供应商需要进行资质认定

• conduct-gxp-audit

  — 供应商审计遵循与内部审计相同的方法

• prepare-inspection-readiness

  — 检查期间经常要求提供供应商资质认定文件

• manage-change-control

  — 供应商发起的变更需要变更控制评估

• perform-csv-assessment

  — 供应商资质认定为供应商产品的验证方法提供依据