GxP 合规检查与供应商问卷分析
核心能力
- 合规性分析 - 评估系统/流程是否满足GxP要求
- 供应商评估 - 分析供应商问卷并给出评分和建议
- 差距分析 - 识别当前状态与GxP要求的差距
- 检查清单生成 - 生成验证和审计检查清单
参考文档
使用前先阅读相关参考文档:
快速使用
供应商问卷分析
收到供应商问卷后,按以下流程分析:
1. 提取供应商答案
2. 对照评估矩阵打分
3. 识别关键风险项
4. 生成评估报告
评估输出格式:
## 供应商评估报告
### 总体评分
| 领域 | 平均分 | 状态 |
|------|--------|------|
| 质量体系 | X.X/5 | ✅符合/⚠️待改进/❌不符合 |
| 验证能力 | X.X/5 | ... |
| 开发能力 | X.X/5 | ... |
### 关键发现
#### 🔴 高风险项 (必须整改)
| 问题 | 描述 | 建议 |
|------|------|------|
| ... | ... | ... |
#### 🟡 中风险项 (建议改进)
| 问题 | 描述 | 建议 |
|------|------|------|
| ... | ... | ... |
#### 🟢 低风险项 (可选优化)
| 问题 | 描述 | 建议 |
|------|------|------|
| ... | ... | ... |
### 最终结论
- [ ] 批准
- [ ] 条件批准 (需完成以下整改)
- [ ] 拒绝
合规检查清单
生成GxP合规检查清单:
检查项 | 法规依据 | 当前状态 | 风险等级 | 整改建议
风险等级定义:
- CRITICAL: 法规强制要求,违反会导致483/警告信
- HIGH: 最佳实践建议,可能导致数据完整性问题
- MEDIUM: 改进机会,建议实施
- LOW: 可选优化项
21 CFR Part 11 合规检查
针对电子记录和电子签名系统,重点检查:
| 检查项 | Part 11条款 | 检查方法 |
|---|
| 审计追踪 | §11.10(e) | 验证操作日志存在且不可修改 |
| 电子签名唯一性 | §11.100 | 确认每个签名绑定唯一用户 |
| 签名链接 | §11.70 | 确认签名与记录不可分割 |
| 访问控制 | §11.10(d) | 验证权限管理和密码策略 |
| 数据备份 | §11.10(c) | 确认备份频率和恢复测试 |
| 电子签名认证 | §11.200 | 确认双要素认证机制 |
GAMP5 Category 判定
根据系统类型判定GAMP5 Category:
| Category | 类型 | 验证要求 |
|---|
| 1 | 基础设施软件 | 低 - 标准验证 |
| 2 | 非配置型商业软件 | 低-中 |
| 3 | 配置型商业软件 | 中 |
| 4 | 用户定制软件 | 中-高 |
| 5 | 定制/嵌入式软件 | 高 |
判定依据:
- 是否开源/现货软件?
- 是否需要客户化配置?
- 是否有源代码修改?
- 是否影响GxP关键流程?
差距分析模板
## GxP合规差距分析报告
### 分析对象
- 系统/供应商名称:
- 分析日期:
- 分析范围:
### 法规框架
[ ] FDA 21 CFR Part 11
[ ] EU Annex 11
[ ] GAMP5 2nd Edition
[ ] 其他:_________
### 差距矩阵
| 需求项 | 法规要求 | 当前状态 | 差距描述 | 风险等级 | 整改措施 | 优先级 |
|--------|----------|----------|----------|----------|----------|--------|
| ... | ... | ... | ... | ... | ... | ... |
### 整改路线图
#### Phase 1 (0-3个月) - 关键风险
- [ ] 整改项1
- [ ] 整改项2
#### Phase 2 (3-6个月) - 重要改进
- [ ] 整改项3
- [ ] 整改项4
#### Phase 3 (6-12个月) - 优化项
- [ ] 整改项5
### 验证建议
[ ] 需要重新验证
[ ] 补充验证活动
[ ] 持续监控即可
关键判断标准
数据完整性 (ALCOA+)
评估数据完整性时,检查:
A - Attributable (可归属): 操作可追溯到具体人员
L - Legible (可读): 数据清晰可读
C - Contemporaneous (同时): 实时记录
O - Original (原始): 使用原始记录
A - Accurate (准确): 数据真实准确
+ - Complete (完整): 所有数据完整
+ - Consistent (一致): 数据逻辑一致
+ - Enduring (持久): 记录长期保存
+ - Available (可用): 数据可随时调取
供应商关键问题 (Must Have)
以下问题如答案为"否"或评分<3,供应商应被拒绝:
- ISO认证: 是否有ISO 9001或ISO 13485证书?
- CSV经验: 是否有GxP系统验证经验?
- 审计追踪: 系统是否支持完整的审计追踪?
- 电子签名: 是否符合Part 11电子签名要求?
- 合规声明: 供应商是否提供书面合规声明?
电子签名合规要点
| 要求 | 说明 | 检查方法 |
|---|
| 唯一性 | 每个签名绑定唯一用户 | 身份管理验证 |
| 两要素 | 高级签名需双认证 | 认证机制测试 |
| 链接 | 签名与记录不可分割 | 技术架构评审 |
| 审计 | 每次签名有完整日志 | 日志内容检查 |
| 不可伪造 | 防伪造措施到位 | 安全测试 |
输出格式规范
合规报告
所有合规报告应包含:
- 执行摘要 (最多200字)
- 评估范围与方法
- 详细发现 (按风险等级排序)
- 整改建议 (按优先级排序)
- 结论与建议行动
术语表
| 缩写 | 全称 | 中文 |
|---|
| GxP | Good Practices | 良好实践 |
| CSV | Computerized System Validation | 计算机化系统验证 |
| GMP | Good Manufacturing Practice | 药品生产质量管理规范 |
| GLP | Good Laboratory Practice | 良好实验室规范 |
| GCP | Good Clinical Practice | 良好临床规范 |
| URS | User Requirement Specification | 用户需求规格 |
| FS | Functional Specification | 功能规格 |
| DS | Design Specification | 设计规格 |
| IQ | Installation Qualification | 安装确认 |
| OQ | Operational Qualification | 运行确认 |
| PQ | Performance Qualification | 性能确认 |
| SOP | Standard Operating Procedure | 标准操作规程 |
| CAPA | Corrective And Preventive Action | 纠正和预防措施 |
| ALCOA | Attributable, Legible, Contemporaneous, Original, Accurate | 可归属、可读、同时、原始、准确 |
使用示例
示例1: 供应商问卷分析
输入: 供应商填写了GxP合规问卷
处理:
- 读取供应商答案
- 对照评估矩阵逐项打分
- 识别关键风险项
- 生成评估报告
输出: 结构化评估报告含总体评分、风险分析、整改建议
示例2: 21 CFR Part 11合规检查
输入: 需要评估某系统是否满足Part 11
处理:
- 对照Part 11条款逐一检查
- 执行差距分析
- 评估电子签名合规性
- 生成检查清单和整改建议
输出: Part 11合规检查清单和差距分析报告
示例3: GAMP5 Category判定
输入: 需要确定某供应商系统的GAMP5 Category
处理:
- 分析系统类型(现货/配置/定制)
- 评估GxP关键性影响
- 确定最终Category
- 给出验证要求建议
输出: Category判定结果及验证活动建议
