Lieferantenbewertung – Lieferantenauswahl – Lieferantenaudit

Dienstag 2. April 2019

Die MDR und die ISO 13485:2016 formulieren ebenso wie die FDA klare Anforderungen an die Lieferantenbewertung, Lieferantenauswahl und Lieferantenüberwachung.

Dieser Artikel verschafft Ihnen nicht nur einen Überblick über die regulatorischen Anforderungen. Er gibt Tipps zur praxisnahen Umsetzung und verrät, wann ein Lieferantenaudit notwendig ist.

1. Grundlagen des Lieferantenmanagements

a) Beispiele für Lieferanten und gelieferte Produkte und Dienstleistungen

Sobald Hersteller etwas nicht selbst entwickeln oder produzieren, sondern einkaufen, benötigen sie eine Lieferantenbewertung. Zu den Beispielen für extern bereitgestellte Produkte und Dienstleistungen zählen:

  • Produktentwicklung
    Sie beauftragen, ein komplettes Produkt zu entwickeln. Ein Sonderfall wäre, dass dieses Produkt ein Medizinprodukt ist.
  • Komponentenentwicklung
    Sie beauftragen, ein Teil eines Produkts zu entwickeln. Auch hier ist als Sonderfall zu betrachten, dass dieser Teil, diese Komponente, Teil eines Medizinprodukts wird.
  • Kauf von Komponenten („Katalogware“)
    Sie nutzen ein „fertiges“ d.h. ein bereits bestehendes Produkt innerhalb Ihres Produkts – gegebenenfalls Medizinprodukts.
  • Kauf oder Miete von Werkzeugen
    Sie kaufen oder mieten Produkte als Werkzeuge. Dazu zählt externe Software as a Service z.B. im Vertrieb Salesforce. (hier ist zusätzliche die CSV zu beachten)
  • IT-Services
    Sie nutzen einen IT-Service wie das Hosting eines Servers und einen Cloud-Service. Hier wäre zu unterscheiden, ob dieser Service Teil Ihrer Produkte oder Dienstleistungen wird.

b) Lieferantenauswahl, Lieferantenbewertung, Lieferantenüberwachung

Hersteller sollten zuerst Kriterien festlegen, anhand der sie die Lieferanten bewerten. Anschließend führen Sie diese Lieferantenbewertung durch. Auf Basis dieser Lieferantenbewertung wählen sie den / die geeignetsten Lieferanten aus (Lieferantenauswahl).

Abb. 1: Die Lieferantenbewertung, Lieferantenauswahl und Lieferantenüberwachung ist ein kontinuierlicher Prozess

Die Hersteller überwachen die Lieferanten fortlaufend z.B. im Rahmen von Lieferantenaudits und bewerten die Lieferanten regelmäßig beispielsweise anhand der Auditergebnisse und der Qualität der gelieferten Produkte und Dienstleistungen.

Die Kriterien, die man für die Bewertung nimmt, gleichen meist nicht den Kriterien für die Auswahl. Beispielsweise ist das Kriterium „Liefertreue“ bei der Auswahl nicht messbar, da es noch keine Lieferung gab. Bei der (fortlaufenden) Bewertung wird die Liefertreue hingegen ein Kriterium sein.

2. Regulatorische Anforderungen an die Steuerung der Lieferanten

a) MDR

Anforderungen ans QM-System

Die MDR macht unmissverständlich klar, dass das Qualitätsmanagement „die Auswahl und Kontrolle von Zulieferern und Unterauftragnehmern“ regeln muss (Artikel 10 (9)d.). Dass dies tatsächlich erfolgt, müssen die benannten Stellen prüfen.

Lieferantenaudits

Die benannte Stelle muss entscheiden, ob ein besonderes Audit des Lieferanten oder Unterauftragnehmers notwendig ist (Anhang VII 4.5.2.a, Anhang IX 2.3 und 3.3). Falls dies zutrifft, unterliegen sogar die Lieferanten („Zulieferer“) den unangekündigten Audits – „mindestens einmal alle fünf Jahre“ (Anhang IX 3.4).

Die benannte Stelle ist verpflichtet, Stichproben der Dokumentation beim Lieferanten („Zulieferer“) zu nehmen, insbesondere dann, wenn die gelieferten Teile einen Einfluss auf die Konformität der Produkte haben und der Hersteller nicht nachweisen kann, dass er die Zulieferer ausreichend kontrolliert (Anhang VII 5.5.2).

Anforderungen an die Dokumentation der Produkte

Die Hersteller müssen angeben, welche Lieferanten und Unterauftragnehmer bei der Entwicklung und Produktion beteiligt sind (s. Anhang II, 3.c.).

b) ISO 13485:2016 und ISO 9001:2015

Die ISO 9001:2015 und ISO 13485:2016 stellen konkrete Forderungen an die Auswahl und Bewertung von externen Anbietern von Produkten und Dienstleistungen – die Lieferantenauswahl, die Lieferantenbeurteilung und Lieferantenbewertung. Hersteller müssen…

  1. Kriterien für die Anbieter/Lieferanten festlegen (Beispiele für Kriterien sind weiter unten genannt)
  2. Anbieter/Lieferanten gemäß dieser Kriterien bewerten
  3. Anbieter/Lieferanten gemäß dieser Kriterien auswählen
  4. Anbieter gemäß dieser Kriterien überwachen
Vorsicht!

Beachten Sie: Diese Kriterien sind produktspezifisch festzulegen!

Die regulatorischen Anforderungen betreffen neben den Lieferanten auch die Produkte bzw. Dienstleistungen. Hersteller müssen…

  1. Spezifikationen für die zu beschaffenden Produkte festlegen
  2. den Anbietern/Lieferanten die notwendigen Informationen schriftlich zur Verfügung stellen
  3. festlegen, mit welchen Verfahren, Prozessen und Werkzeugen die gelieferten Produkte zu prüfen sind
  4. die Produkte gemäß dieser Vorgaben prüfen

Die ISO 13485 ergänzt Aspekte, die für Medizinprodukte spezifisch sind wie

  • regulatorische Vorgaben
  • Analyse der Auswirkungen des beschafften Produkts / Dienstleistung auf die Sicherheit und Leistungsfähigkeit des Medizinprodukts
  • Risiken, die generell (auch unabhängig vom beschafften Produkt) für das Medizinprodukt ausgehen

Die Norm besteht auch auf schriftlichen Qualitätsvereinbarungen:

Die Lenkungsmaßnahmen müssen in einem angemessenen Verhältnis zu dem damit verbundenen Risiko und der Fähigkeit der externen Parteien […] stehen [und] müssen schriftliche Qualitätsvereinbarungen enthalten.

ISO 13485:2016 Kapitel 4.1.5

c) Vorgaben der ZLG

Weitere Vorgaben zur Lieferantenbewertung finden Sie in den Dokumenten der ZLG z.B. den Schriftstücken 3.9 B16 und 3.9 B17.

d) Vorgaben der NBOG

Vorsicht!

Beachten Sie: Die Notified Body Organization Group NBOG nennt in ihren NBOG’s Best Practice Guide 2010-1 das alleinige Verlassen auf 9001/13485-Zertifizierungen ausdrücklich als Beispiel mangelnder Kontrolle. Dieses Vorgehen sollte/müsste somit Lieferantenaudits der Benannten Stelle nach sich ziehen.

Der geringe Nutzen von Zertifikaten deckt sich mit den Erfahrungen benannter Stellen bei diversen Audits: Selbst geschriebene, nicht akkreditierte, unseriöse Zertifikate sind letzten Endes leider nicht mehr als ein Zettel und bieten keine Verlässlichkeit bieten.

Der bessere Ansatz besteht darin, eine gute QSV abzuschließen und(!) Lieferantenaudits durchzuführen.

d) FDA: 21 CFR part 820

Nahezu identische Anforderungen nennt die FDA im 21 CFR part 820.50 „Purchasing Controls“. Sie nennt wie die ISO 13485 explizit eine Qualitätssicherungsvereinbarung:

Purchasing documents shall include, where possible, an agreement that the suppliers, contractors, and consultants agree to notify the manufacturer of changes in the product or service so that manufacturers may determine whether the changes may affect the quality of a finished device. 

FDA 21 CFR part 820.50

Die FDA betont, dass die Daten, die bei der Auswahl, Bewertung und Überwachung der Lieferanten und Produkte entstehen, der Dokumentenlenkung gemäß 21 CFR part 820.40 unterliegen.

3. Lieferantenbewertung praktisch umgesetzt

Wie Sie Ihre Lieferanten auswählen und bewerten, sollten Sie nicht für jeden Einzelfall neu entscheiden, sondern in einer Verfahrensanweisung zur Lieferantenauswahl und Lieferantenbewertung festlegen.

Lieferantenbewertung Lieferantenauswahl
Abb. 2: Die Maßnahmen bei der Steuerung der Lieferanten wie die Lieferantenüberwachung und Lieferantenbewertung sollte abhängig von spezifizierten Kriterien erfolgen

Diese Verfahrensanweisung muss – um die oben genannten Anforderungen zu erfüllen – Kriterien und Methoden für die Lieferantenauswahl und die Lieferantenbewertung bestimmen.

a) Schritt 1: Kriterien festlegen

Zu den Kriterien, die Sie berücksichtigen können, wenn Sie die Maßnahmen für die Auswahl und Bewertung Ihrer Lieferanten festlegen, zählen:

  • Entwickelt der Lieferant ein Medizinprodukt oder Teile/Komponenten dafür?
  • Stellt der Lieferant Dienstleistungen zur Verfügung, die Teil Ihrer Dienstleistung werden? Ein Beispiel wäre, ein Hosting-Dienstleister, mit dem Sie Ihre Software as a Service anbieten.
  • Ist Ihr Lieferant ISO 13485 zertifiziert?
  • Wie abhängig ist der Hersteller vom Lieferanten? Gibt es alternative Lieferanten, Produkte oder Verfahren?
  • Gibt es bereits Erfahrungen mit dem Lieferanten zur Liefertreue und Qualität der gelieferten Produkte?
    Eine Google-Suche, die den Lieferanten mit Begriffen wie „Problem“ oder „unzuverlässig“ kombiniert, fördert manchmal neue Erkenntnisse zu Tage. Auch Produktbewertungen können hilfreich sein.
  • Ist das Produkt oder die Dienstleistung geschäftskritisch?
    Würde eine Nichterfüllung der Anforderungen zu Gesetzesverstößen, zur Verletzung der Datensicherheit, zum Verlust von Firmengeheimnissen, zum Verlust der Reputation oder zu finanziellen Nachteilen führen?

Falls das gelieferte Produkt Software ist oder enthält, sind weitere Kriterien für die Lieferantenbewertung denkbar:

  • Welche Sicherheitsklasse hat diese Software?
  • Geht es um SOUP bzw. OTS?
  • Enthält diese Software selbst SOUP?
  • Ist die Software ein Werkzeug oder ein Teil eines Produkts?
  • Handelt es sich um Kauf bzw. Miete oder um Entwicklung?

b) Schritt 2: Maßnahmen zur Lieferantenbewertung auflisten

Ergreifen Sie abhängig von den Kriterien eine oder mehrere der folgenden Maßnahmen:

  • Qualitätssicherungsvereinbarung abschließen (bei kritischen Lieferanten zwingend)
  • Inhalt einer Qualitätssicherungsvereinbarung anpassen
    • Von Ihrem Lieferanten einzuhaltende Normen
    • Liste Ihrer Verfahrensanweisungen, die Ihr Lieferant befolgen muss
    • Anzahl und Qualifikation des vom Lieferanten bereitzustellenden Personals
    • Einverständnis des Lieferanten mit Lieferantenaudits einschließlich Umfang und Frequenz
  • Ggf. Einschränkung möglicher Lieferanten auf solche, die ISO 13485 zertifiziert sind
  • Wareneingangskontrolle
    • Häufigkeit, Stichproben
    • Methoden z.B. Nachtesten, Sichtprüfung
  • Art und Umfang der dem Lieferanten bereitgestellten Dokumentation z.B.
    • Produktspezifikationen
    • Akzeptanzkriterien
    • Projektvorgaben wie Zeit und Budget
    • Qualitätssicherungsvereinbarung (s.o.)
Weiterführende Informationen

Lesen Sie hier mehr zum Thema Qualitätssicherungsvereinbarung.

c) Schritt 3: Maßnahmen und Kriterien einander zuordnen

Die eben genannten Methoden und Maßnahmen werden Sie sicher nicht für jeden Lieferanten anwenden. So dürfte ein Audit bei Ihrem Lieferanten für Bürozubehör ein wenig sinnvolles Unterfangen sein. Wenn Ihr Lieferant hingegen die Software für Ihr Medizinprodukt schreibt und nicht selbst ISO 13485 zertifiziert ist, wird ein Lieferantenaudit Ihre Pflicht sein.

Im letzten Schritt legen Sie daher fest, welche Maßnahmen zur Lieferantenbewertung Sie bei welchen Kriterien anzuwenden. Da das Regelwerk sehr schnell unübersichtlich werden kann, können Sie die Maßnahmen gruppieren und verschiedene Typen von Lieferanten festlegen.

So könnte es einen Typ „hochkritische Lieferanten“ geben, mit denen Sie eine Qualitätssicherungsvereinbarung unterschreiben, die Audits, eine vollständige Wareneingangsprüfung und Personen einer bestimmten Qualifikationsstufe vorsehen.

Diesen Algorithmus zur Lieferantenbewertung können Sie tabellarisch, textuell oder als Flussdiagramm beschreiben.

 Weiterführende Informationen

Lesen Sie hier mehr zum Thema Qualitätssicherungsvereinbarungen QSV, zu den regulatorischen Anforderungen daran und zu den typischen Inhalten einer solchen QSV.

4. Lieferantenaudits

Wie oben dargestellt, zählen die Lieferantenaudits zu den Maßnahmen, die Hersteller im Rahmen der fortlaufenden Lieferantenüberwachung und Lieferantenbewertung vornehmen.

Ob und wann Lieferantenaudits stattfinden müssen, hängt von der Kritikalität der gelieferten Produkte und Dienstleistungen sowie davon ab, ob die Lieferanten über ein eigenständiges QM-System verfügen.

In anderen Worte: Hersteller sollten ihre Lieferanten so gut wie möglich mit Vereinbarungen, Vorgaben und Prüfungen (beim Lieferanten oder Hersteller) lenken. Wenn die Prüfung der Produkte oder Prozesse keine ausreichende Gewissheit verschaffen, ist ein Lieferantenaudit angesagt.

a) Lieferantenaudit: Wenn der Lieferant über kein eigenes QM-System verfügt

Im diesem Fall erklären die Hersteller ihr eigenes Qualitätsmanagementsystem bzw. die darin formulierten Regeln für ihre Lieferanten als verpflichtend. D.h. sie schreiben dem Lieferanten die Prozesse vor bzw. erarbeiten gemeinsam mit ihm diese Vorgaben.

Dass sich die Lieferanten an diese Regeln halten, müssen die Hersteller bei Lieferantenaudits prüfen. Im Rahmen eines solchen Audits prüfen die Hersteller beispielsweise, ob der Lieferant die Entwicklung oder Produktion gemäß den Herstellervorgaben dokumentiert. Diese Audits sollten mindestens einmal jährlich erfolgen.

Lieferantenaudit: Lieferant unter dem Dach des Hersteller QM-Systems
Abb. 3: Falls der Lieferant unter dem Dach des Hersteller QM-Systems arbeitet, muss der Hersteller beim Lieferantenaudit die Konformität mit dem QM-System prüfen.

Die Hersteller selbst werden ebenfalls auditiert. Gemäß ISO 13485 müssen sich diese Audits durch benannte Stellen auch auf die Lieferanten erstrecken, d.h. es kann durchaus sein, dass der Auditor zum Lieferanten fährt.

Da die Komponentenhersteller und Entwicklungsdienstleister selbst keine Medizinprodukte in den Verkehr bringen, müssten sich diese überhaupt keinem Audit einer benannten Stelle unterziehen. Sie gestatten das meist nur deshalb, um den Forderungen ihrer Kunden, der Hersteller, gerecht zu werden.

b) Qualitätsmanagementsystem statt Lieferantenaudit

Um dieses „Ausufern“ des eigenen Audits auf die Lieferanten zu vermeiden, bevorzugen viele Hersteller solche Lieferanten, die über ein eigenes QM-System verfügen. In diesem Fall beschränkt sich das Audit beim Hersteller durch eine benannte Stelle auf eine Dokumentenprüfung.

Lieferantenaudit: Lieferant hat eigenes QM-System
Abb. 4: Wenn der Lieferant über ein eigenes QM-System verfügt (nach ISO 13485:2016) , kann sich der Hersteller darauf berufen

Für Hersteller von Medizinprodukten bieten sich bei der Lieferantenauswahl v.a. die Unternehmen an, die ein Zertifikat nach ISO 13485 und nicht nur eines nach ISO 9001 haben.

Die Zertifizierung alleine reicht aber nicht aus: Die Hersteller müssen sicherstellen, dass der „Scope“ des Dienstleister-Zertifikats die Prozesse umfasst, die für den Hersteller relevant sind.

Von einem zusätzlichen Lieferantenaudit soll aber auch bei dieser Variante nicht abgeraten werden. Solche Audits müssten als Bestandteil der Verträge zwischen Medizinproduktehersteller und Lieferant aufgenommen werden.

c) Welche Firmen man vom Lieferantenaudit ausnehmen kann

Die Konformitätsbewertungsverfahren beziehen sich auf die Entwicklung und Produktion von Medizinprodukten. D.h. immer dann, wenn Hersteller Komponenten für ihre Medizinprodukt entwickeln oder produzieren lassen, können diese Arbeitsschritte Gegenstand eines Lieferantenaudits werden.

Anders sieht es bei Komponenten aus, die nicht speziell für das Medizinprodukt entwickelt oder produziert werden wie Monitore (Bildschirme), Netzteile oder auch „off-the-shelf“ Softwarekomponenten. Hier würden die Hersteller im Rahmen des Risikomanagements sicherstellen, dass diese „Zukaufteile“ („Katalogware“) zu keinen inakzeptablen Risiken führen. Ein Lieferantenaudit würden Sie dort nicht durchführen (dürfen).

Weiterführende Informationen

Lesen Sie hier mehr zum Thema Audit.

5. Zusammenfassung

a) Lieferantenbewertung und Lieferantenauswahl

Hersteller müssen Lieferanten vor der Beauftragung bewerten und auswählen. Diese Auswahl muss anhand klarer Kriterien erfolgen.

Die Steuerung („Control“) der Lieferanten d.h. die Lieferantenlenkung – dazu zählt insbesondere auch die Überwachung der Lieferanten – ist ein kontinuierlicher Prozess.

Die Wahl dieser Kriterien und die Intensität dieser Steuerung muss risikobasiert erfolgen.

b) Lieferantenaudits

Lieferantenaudits führt man bei Firmen durch, an die man einen Teil der eigenen Tätigkeiten z.B. der Entwicklung ausgelagert hat. Man spricht hier oft von der „verlängerten Werkbank“. Dann muss das Audit nach den Regeln des QM-Systems des Herstellers (ISO 13485) erfolgen.

Dieses Audit können sich die Hersteller (Inverkehrbringer) nur dann ersparen, wenn der Entwicklungspartner selbst über ein ISO 13485 QM-System verfügt und dem Hersteller die entsprechende Dokumentation für das Produkt vorlegt. Das gleiche gilt für Audits durch die benannte Stelle.

c) Fazit

Hersteller lagern zunehmend Tätigkeiten wie Entwicklung und Produktion ganz oder in Teilen aus. Die Regularien machen klar, dass dadurch die Tätigkeiten nicht einem Qualitätsmanagementsystem entzogen werden dürfen. Daher sind die benannten Stellen verpflichtet ggf. auch die Lieferanten zu prüfen – u.U. im Rahmen unangekündigter Audits.

Daher sind die Hersteller gut beraten, Lieferanten auszuwählen und zu überwachen, mit denen sie ein durchgängiges Qualitätsmanagement und so die Konformität und Sicherheit der Produkte gewährleisten können.

Unterstützung durch das Johner Institut

Das Johner Institut unterstützt Hersteller und Lieferanten u.a. bei den folgenden Tätigkeiten:

  • MDR, ISO 13485 und FDA-konforme Verfahrensanweisungen für die Bewertung, Auswahl und Überwachung von Lieferanten erstellen
  • Qualitätssicherungsvereinbarungen formulieren
  • Audits durch Hersteller und benannte Stellen vorbereiten
  • Korrektes Zusammenspiel der Tätigkeiten (z.B. Lieferantenüberwachung, Risikomanagement, Marktüberwachung, Trendanalyse etc.) im Rahmen der Post-Markt-Surveillance (zentrale Anforderung der MDR) gewährleisten

Nehmen Sie gleich Kontakt mit uns auf!

Kontakt aufnehmen

War dieser Artikel hilfreich? Bitte bewerten Sie:
1 Stern2 Sterne3 Sterne4 Sterne5 Sterne

Kategorien: Johner & Institut

4 Kommentare über “Lieferantenbewertung – Lieferantenauswahl – Lieferantenaudit”

  1. Jan Meiß schrieb:

    Eine Anmerkung zu Zertifizierungen: interessanterweise nennt „NBOG’s Best Practice Guide 2010-1“ das alleinige Verlassen auf 9001/13485-Zertifizierungen ausdrücklich als Beispiel *mangelnder* Kontrolle. Dieses Vorgehen sollte/müsste somit Lieferantenaudits der Benannten Stelle nach sich ziehen.
    Der geringe Nutzen von Zertifikaten deckt sich mit diversen Auditerfahrungen zu selbst geschriebenen, nicht akkreditierten, unseriösen Zertifikaten, die letzten Endes leider nicht mehr als ein Zettel sind und keine Verlässlichkeit bieten.
    Dann doch lieber eine gute QSV und Lieferantenaudits!

  2. Prof. Dr. Christian Johner schrieb:

    Super Hinweis! Danke, lieber Jan! Das ergänze ich sofort! Liebe Grüße, Christian

  3. Alfred Mahlau schrieb:

    Sehr geehrter Herr Johner

    Sie schreiben in diesem Artikel:

    „Da die Komponentenhersteller und Entwicklungsdienstleister selbst keine Medizinprodukte in den Verkehr bringen, müssten sich diese überhaupt keinem Audit einer benannten Stelle unterziehen.“

    Gilt dies auch nach der MDR?

    Mit freundlichen Grüssen
    A. Mahlau

  4. Prof. Dr. Christian Johner schrieb:

    Sehr geehrter Herr Mahlau,

    so ist es! Daran ändert die MDR nichts.

    Allerdings zwischen viele Medizinproduktehersteller ihre Dienstleister und Komponentenhersteller dazu, sich zertifizieren zu lassen. So etwas ist seid ISO 13485:2016 auch möglich.

    Beste Grüße, Christian Johner

Kommentar schreiben