欢迎您注册蒲公英
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
FDA 483观察项、EMA数据完整性缺陷、NMPA飞检不合规... 这些触目惊心的通告背后,有多少次祸根埋在了软件选型环节?功能相似、报价接近的GMP软件供应商,其底层“合规基因”和产品质量可能天差地别。现在越来越多的药企认识到供应商产品质量的重要性,所以很多药企也会安排对软件供应商的质量审计,但是由于药企质量部门并不熟悉软件开发过程和管理特点,药企的IT部门同样因为缺乏软件产品开发经验,造成对软件供应商审计往往是走马观花,形式重于实质。但一次流于形式的供应商审计,足以让药企在未来数年背负沉重的“合规负债”。
今天,我们抛开浮华宣传,聚焦供应商审计的6大核心审计项,手把手教你如何像资深审计官一样识别软件供应商的真实实力,并揭示高品质软件背后的“硬核支撑”。选择大于努力,品质决定成败!
一、 痛点深挖:为何你的软件成了审计“暴雷点”?
药企在GMP软件选型中,常陷入两大困境:
1. “选择困难症”:供应商宣传材料千篇一律,都说自己“合规”、“遵循GAMP5”、“功能强大”,难以辨别真伪深浅。
2. “审计无力感”: 审计了,但总觉得“隔靴搔痒”,看了证书、听了介绍、走了流程,却难以触及软件开发过程的质量控制核心,为后续实施、验证、运维埋下隐患。
核心症结在于:审计焦点错位!过多关注表象(如UI界面、功能清单、销售承诺),而忽视了决定软件长期合规性与可靠性的根基——供应商自身的开发质量体系及其执行效力。
真正的GMP软件供应商,其产品开发过程本身,就应该是一个严格遵循质量管理原则的“制药过程”。审计它,就要像审计一个CMO(合同生产组织)一样严谨
二、 实战拆解:6大核心审计项,直击供应商“合规底牌”
一次有效的供应商审计,必须聚焦影响软件内在质量、数据完整性(ALCOA+CCEA)、长期可维护性与合规性的关键过程。以下是经过众多药企验证的6大必查审计项及深度审计要点,可以在与供应商审计中对其发问:
01 审计项1:质量体系根基 - 是“纸面文章”还是“行动纲领”?
“请供应商展示产品质量手册和核心SOP(如设计控制、变更控制、缺陷管理),并说明负责产品质量的开发人员如何在日常开发活动(如需求评审、代码审查、测试放行)中有效进行质量控制?
需要注意的是,可能所有做GMP软件产品的供应商都会准备一套看似完善的软件开发质量体系文件,甚至某些供应商还会号称获得了CMMI等软件开发质量体系认证,但是基于众所周知的原因,国内很多IT企业的SOP是“写一套、做一套”,所以审计的关键是要确认厂商按照标准严格执行了相关流程。事实上,因为软件开发过程管理的复杂性,运作良好的软件厂商必然使用在线工具管理从需求到测试发版的整个开发过程,所以最有效的审计方式是直接要求查看软件厂商所使用的产品开发管理系统,可以随机抽取相关的需求评审记录、产品设计文档、测试用例、测试报告等看其是否与相关SOP要求一致。如果软件厂商声称相关流程还是线下记录的话,那几乎可以肯定软件厂商在弄虚作假。
02 审计项2:需求掌控力 - 需求“从哪来,到哪去”是否清晰可溯?
“请现场操作需求管理工具,展示一个典型用户需求(URS)如何被分解为功能需求(FS),并双向追溯到设计文档、测试用例和最终代码?”“当发生需求变更时,如何评估其对已验证状态的影响?请提供一份已关闭的变更请求(CR)全记录(含原始需求、变更原因、影响评估、QA审批、验证方案更新记录)。”
如同GMP的质量管理非常重视工艺变更的管理一样,要想保证持续可靠的产品质量,严格追溯需求、设计方案、测试用例,并在变更时充分进行有效评估是质量控制的基础,否则往往会在功能变更调整时引入新的问题而不被发现,或者在功能测试时有所疏漏将有缺陷的产品直接放行。所以在审计时可以抽查几个需求和变更记录,让供应商通过其产品开发管理系统直接追溯展示从需求到测试放行的全部过程记录。同时在审计时可特别关注,软件厂商在需求评审阶段是否专门做了风险影响评估,识别该功能变更对版本平滑升级的影响,是否建立了合理的风险等级标准及采取相应的行动措施降低风险。
03 审计项3:代码质量管控 - “脏代码”是合规的定时炸弹!
“请现场登录代码仓库(如GitLab),展示一个典型模块的最近代码审查(Pull Request)记录,包括审查意见、修改记录和最终合并批准。”
“使用哪些自动化静态代码分析工具(如SonarQube)?关键质量阈值的设定标准是什么?请展示一份最新分析报告。”
“使用哪些安全测试工具(如Fortify SCA,AppScan)?测试策略是什么?请展示一份最新分析报告。”
当前所有成熟的软件厂商都会使用如Gitlab之类的代码仓库进行源代码的管理,所以在审计时,直接查看其对源代码的管理过程是最能真实反映软件厂商对代码开发过程的实际管理水平的。运作良好的厂商更会进一步使用自动化的CI/CD流水线,在代码合并时自动触发测试,未达到标准或通过测试的代码会被禁止合并。通过审计其代码仓库的代码提交、审核、合并记录是否与其管理规程相符,可以进一步识别软件厂商的开发过程管理管控规范性。
04 审计项4:测试与验证策略 - 测试网够密吗?验证包能用吗?
“回归测试策略是什么?如何确保新功能/变更不影响旧功能?自动化回归测试覆盖率是多少?请展示报告。”
“客户实施时,你们提供哪些开箱即用的验证包,这些验证文件是否基于合理的风险评估并严格执行?能否提供风险评估管理规程和具体样例。
如果药企的QC检验对于产品质量保障至关重要一样,软件测试是保证软件产品质量的最重要一道防线,所以测试策略和测试执行的真实性、有效性是对软件厂商质量体系审计的关键部分。现代的软件显然是在不断的持续迭代,不论是修复缺陷还是增加新的功能,这都是在改变原有的软件代码,每次改变后如何保证没有产生新的缺陷,标准的做法是进行回归测试,但是回归测试的资源消耗量巨大,这可能是为什么头部大厂和“小作坊”软件产品质量差异的一个主要原因。所以在审计时,可以要求其提供回归测试的策略,检查其是否已建立了足够数量的回归测试用例库,是否有测试覆盖率数据,通常来说,因为回归测试量巨大,且对时效性要求高,管理良好的厂商都应该采用了自动化测试的方式进行主要的回归测试。
另外,对于GMP用途的软件,为了降低系统实施时的验证难度和工作量,主流的厂商在每次正式版本发布时均会提供预验证包。审计时可以重点关注其验证策略执行的有效性,是否充分识别了对GMP合规有风险的功能项,并严格按照GMP合规标准进行验证。
05 审计项5:产品版本与发布管理 - 生产环境的代码是“正品”吗?
“如何管理代码和配置的版本与基线?如何确保生产环境部署的代码/配置与受控库中的版本完全一致?请提供版本号编制规范并要求查看代码仓库的软件打包记录是否和版本编制原则一致” “请演示从代码提交到生产发布的受控流程,包括关键审批点(特别是QA放行)。”
“请提供最近两年的产品版本发布清单,以及每次的版本发布说明和验证文件”
如同药企的产品放行流程一样,对于软件产品,同样需要有严格的控制流程来避免未经过充分测试验证的产品被提供给客户。这里需要特别注意的是,国内很多软件厂商号称自己提供的是经过验证的可商业化标准产品,但由于自身产品技术架构不能满足客户个性化需求,每次在项目实施中,在基线代码包的基础上拉取独立分支进行定制开发,实质上形成一个全新的版本交付给客户使用,包括每次代码更新并不严格遵循版本管理。所有这些做法都会给客户形成一个不可持续维护的软件产品,被识别到软件缺陷修复不能直接合并到客户独有的代码分支,在变更后也无法有效进行回归测试。严格来讲,从GAMP 5等CSV验证指导之所以将软件划分为几个类别可采取不同程度的验证复杂度,就是认为商业化产品被很多企业所使用,在大量企业的使用中已证明其可靠性,所以不需要药企自身再重复进行验证,但如果软件厂商不能严格遵循商业化产品的开发管理过程,给不同客户提供的是不同的代码包,即使其复用了大量的基础代码包,也就是其软件产品缺乏一致性,自然也不能被认为该软件产品已被大量使用而证明其可靠性,所以药企对于此类产品应该按照5类软件的标准进行验证。
06 审计项6:产品运维与缺陷管理 - 升级/打补丁会引入风险吗?
“当客户报告一个生产环境缺陷,你们的处理流程?如何确保修复方案经过充分测试和验证?提供的补丁包包含哪些合规文档?请提供最近半年的产品缺陷清单,调查记录和处理措施” “系统升级流程?如何管理升级前后的配置差异?是否有可靠的回滚方案?”
因为软件产品本身的复杂性以及外部运行环境的不断变化,软件缺陷不可避免,如同药企质量部门非常重视偏差管理,并通过偏差调查和CAPA措施不断提升企业的质量管理水平一样,软件厂商是否建立并有效运行了相应的缺陷管理机制和同样重要。可以通过审计查看软件厂商具体的缺陷记录和调查报告,评估其缺陷调查的能力,在发生产品缺陷后能否及时采取有效应对措施,包括是否类似药企的召回管理一样,主动通知其他客户及时修复缺陷,进一步查找根本原因以避免类似问题重复发生,持续提高企业质量管理水平。
三、价值之选:超越功能,选择“合规伙伴”
选择GMP软件供应商,本质是选择长期合规风险共担者。通过以上6项深度审计,你将清晰判断: ● 供应商的“合规底牌”是否够硬? 流程是表面文章还是深入骨髓? ● 谁能在未来数年为你的系统合规性持续背书? 面对监管审计时,谁更有底气提供坚实证据? ● 谁的“总合规成本”(TCC)更低? 高品质的开发过程意味着更低的验证成本、运维风险与系统生命周期成本。
GMP软件的世界里,功能是下限,质量与合规才是上限。一次严谨、深入、聚焦核心的供应商审计,是药企规避未来重大合规风险、降低总体拥有成本的最有效投资。别再被华丽的PPT和流畅的Demo迷惑,拿起这8把“审计利器”,直击供应商的“合规心脏”。选择经得起“显微镜”检验的伙伴,让你的GMP软件真正成为质量与合规的加速器,而非绊脚石。审计见真章,选择定未来。
来源:本文转载自公众号GXPCSQ
| 
|手机版|蒲公英|ouryao|蒲公英
( 京ICP备14042168号-1 ) 增值电信业务经营许可证编号:京B2-20243455 互联网药品信息服务资格证书编号:(京)-非经营性-2024-0033
发表于 
置顶卡
变色卡
