Lieferantenbewertung: Wie geht das bei Software?

Freitag 29. Januar 2016

Die Lieferantenbewertung ist Pflicht. Doch wie macht man eine Lieferantenbewertung? Und eine Lieferantenauswahl?

Dieser Artikel gibt Ihnen Tipps, wie Sie eine Lieferantenbewertung auch bei Software oder Software-bezogene Dienstleistungen durchführen.

Beispiele für „gelieferte“ Produkte und Dienstleistungen

Sobald Sie etwas nicht selbst entwickeln, sondern einkaufen, benötigen Sie eine Lieferantenbewertung. Zu Beispielen für extern bereitgestellte Produkte und Dienstleistungen zählen:

  • Produktentwicklung
    Sie beauftragen, ein komplettes Produkt zu entwickeln. Ein Sonderfall wäre, dass dieses Produkt ein Medizinprodukt ist.
  • Komponentenentwicklung
    Sie beauftragen, ein Teil eines Produkts zu entwickeln. Auch hier ist als Sonderfalls zu betrachten, dass dieser Teil, diese Komponente, Teil eines Medizinprodukts wird.
  • Kauf von Komponenten („Katalogware“)
    Sie nutzen ein „fertiges“, bereits bestehendes Produkts innerhalb Ihres Produkts – gegebenenfalls Medizinprodukts.
  • Kauf oder Miete von Werkzeugen
    Sie kaufen oder mieten Produkte als Werkzeuge. Dazu zählt externe Software as a Service z.B. im Vertrieb Salesforce.
  • IT-Services
    Sie nutzen einen IT-Service wie das Hosting eines Servers und einen Cloud-Service. Hier wäre zu unterscheiden, ob dieser Service Teil Ihrer Produkte oder Dienstleistungen wird.

Regulatorische Anforderungen an die Lieferantenbewertung

Die ISO 9001:2015 und ISO 13485:2016 stellen ebenso konkrete Forderungen an die Auswahl und Bewertung von externen Anbietern von Produkten und Dienstleistungen – die Lieferantenauswahl, die Lieferantenbeurteilung und Lieferantenbewertung. Die Normen unterscheiden diese Begriffe:

  • Lieferantenbeurteilung: Beurteilung des Leistungsvermögens eines Lieferanten durch den Auftraggeber vor Auftragserteilung (z.B. durch Audit, Sammlung von Informationen) und nach Auftragserteilung (z.B. durch Lieferantenaudit, Wareneingangsprüfung)
  • Lieferantenbewertung: Wiederkehrende, regelmäßige Beurteilung der Lieferanten durch den Abnehmer nach bestimmten Kriterien d.h. die Beurteilung nach Aufnahme von Kunden-Lieferantenbeziehungen. Auch hier bieten sich Lieferantenaudits an.

Die Normen erheben Anforderungen bezüglich Lieferantenbewertung an Produkte, Dienstleistungen und Prozesse.

Was Sie auf jeden Fall benötigen sind:

  1. Kriterien für die Anbieter/Lieferanten festlegen
  2. Überwachung und Bewertung der Anbieter/Lieferanten gemäß dieser Kriterien
  3. Kriterien für die Produkte festlegen
  4. Überwachung und Bewertung der Produkte gemäß dieser Kriterien
  5. Informationen, die Sie den Anbietern/Lieferanten zur Verfügung stellen.

Die ISO 13485 ergänzt das zum Aspekte, die für Medizinprodukte spezifisch sind wie

  • regulatorische Vorgaben
  • Analyse der Auswirkungen des beschafften Produkts / Dienstleistung auf die Sicherheit und Leistungsfähigkeit des Medizinprodukts
  • Risiken, die generell (auch unabhängig vom beschafften Produkt) für das Medizinprodukt ausgehen

Weitere Vorgaben zur Lieferantenbewertung finden Sie in den Dokumenten der ZLG z.B. den Schriftstücken 3.9 B16 und 3.9 B 17.

Lieferantenbewertung praktisch umgesetzt

Wenn Sie Ihre Lieferanten auswählen und bewerten, sollte Sie das nicht für jeden Einzelfall neu entscheiden, sondern in einer Verfahrensanweisung zur Lieferantenauswahl und Lieferantenbewertung festlegen.

Lieferantenbewertung Lieferantenauswahl

Diese Verfahrensanweisung muss – um die oben genannten Anforderungen zu erfüllen– Kriterien und Methoden für die Lieferantenauswahl und die Lieferantenbewertung bestimmen.

1. Schritt: Maßnahmen zur Lieferantenbewertung auflisten

Abhängig von den Kriterien können Sie eine oder mehrere der folgenden Maßnahmen ergreifen:

  • Qualitätssicherungsvereinbarung abschließen (j/n)
  • Inhalt einer Qualitätssicherungsvereinbarung anpassen
    • Von Ihrem Lieferanten einzuhaltende Normen
    • Liste Ihrer Verfahrensanweisungen, die Ihr Lieferant befolgen muss
    • Anzahl und Qualifikation des vom Lieferanten bereitzustellenden Personals
    • Einverständnis des Lieferanten mit Lieferantenaudits einschließlich Umfang und Frequenz
  • Einschränkung möglicher Lieferanten auf solche, die ISO 13485 zertifiziert sind (j/n)
  • Wareneingangskontrolle
    • Häufigkeit, Stichproben
    • Methoden z.B. Nachtesten, Sichtprüfung,
  • Art und Umfang der dem Lieferanten bereitgestellten Dokumentation z.B.
    • Produktspezifikationen
    • Akzeptanzkriterien
    • Projektvorgaben wie Zeit und Budget
    • Qualitätssicherungsvereinbarung (s.o.)

2. Schritt: Kriterien festlegen

Die eben genannten Methoden und Maßnahmen werden Sie sicher nicht für jeden Lieferanten anwenden. So dürfte ein Audit bei Ihrem Lieferant für Bürozubehör ein wenig sinnvolles Unterfangen sein. Wenn Ihr Lieferant hingegen die Software für Ihr Medizinprodukt schreibt und nicht selbst ISO 13485 zertifiziert ist, wird ein Lieferantenaudit Ihre Pflicht sein.

Zu Kriterien, die Sie berücksichtigen können, wenn Sie die Maßnahmen für die Lieferantenauswahl und Lieferantenbewertung festlegen, zählen:

  • Entwickelt der Lieferant ein Medizinprodukt oder Teile/Komponenten dafür?
  • Stellt der Lieferant Dienstleistungen zur Verfügung, die Teil Ihrer Dienstleistung werden? Ein Beispiel wäre, ein Hosting-Dienstleister, mit dem Sie Ihre Software as a Service anbieten.
  • Ist Ihr Lieferant ISO 13485 zertifiziert?
  • Beinhaltet die Entwicklungsdienstleistung Software? Falls ja:
    • Welche Sicherheitsklasse hat diese Software?
    • Enthält diese Software selbst SOUP?
  • Handelt es sich um Kauf bzw. Miete oder um Entwicklung?
  • Falls es um einen Kauf (auch unentgeltlich) oder um Miete handelt,
    • beinhaltet dieser Kauf/diese Miete Software?
    • Geht es um SOUP bzw. OTS?
    • Geht es um Werkzeuge?
  • Ist das Produkt oder die Dienstleistung geschäftskritisch?
    Würden eine Nichterfüllung der Anforderungen daran zu Gesetzesverstößen, zu Verletzung der Datensicherheit, zum Verlust von Firmengeheimnissen, zum Verlust der Reputation oder zu finanziellen Nachteilen führen?

3. Schritt: Maßnahmen und Kriterien einander zuordnen

Im letzten Schritt legen Sie fest, welche Maßnahmen zur Lieferantenbewertung Sie bei welchen Kriterien anzuwenden sind. Da das Regelwerk sehr schnell unübersichtlich werden kann, können Sie die Maßnahmen gruppieren und verschiedene Typen von Lieferanten festlegen. So könnte es einen Typ „hochkritische Lieferanten“ geben, mit denen Sie eine Qualitätssicherungsvereinbarung unterschreiben, die Audits, eine vollständige Wareneingangsprüfung und Personen einer bestimmten Qualifikationsstufe vorsehen.

Diesen Algorithmus zur Lieferantenbewertung können Sie tabellarisch, textuell oder als Flussdiagramm beschreiben.

Weiterführende Informationen

Lesen Sie hier mehr zum Thema Qualitätssicherungsvereinbarungen QSV, zu den regulatorischen Anforderungen daran und zu den typischen Inhalten einer solchen QSV.


Kategorien: QM-Systeme & ISO 13485
Tags:

2 Kommentare über “Lieferantenbewertung: Wie geht das bei Software?”

  1. Jochen Neuhaus schrieb:

    Sehr geehrter Herr Professor Johner,

    wie ist denn die Lieferantenbewertung zu sehen, wenn man eine Open Source Softwarebibliothek in seinem Medizinprodukt verwenden will? Hier gibt es ja keinen „Kauf“ und keine „Auftragsentwicklung“ im klassischen Sinn. Es gibt nicht mal unbedingt einen klar definierten „Hersteller“, da ja viele verschiedene und über die Zeit wechselnde Individuen an der Softwareentwicklung teilgenommen haben.

    Aus pragmatischer Sicht würde ich sagen, dass eine Verifizierung/Validierung der Softwarebibliothek hier sinnvoller wäre, als eine Bewertung des „Lieferanten“, auch gerade weil es sich ja
    1) um eine einmalige Lieferung handeln dürfte
    2) das einzelne gelieferte Produkt dank vorhandensein des Quelltexts sehr gut verifizierbar sein dürfte.
    Kann man hier aus regulatorischer Sicht sagen, dass hier eine Verifizierung des Quellcodes als „Wareneingangskontrolle“ als alleinige Lieferantenbewertungsmaßnahme ausreichend ist?

    Herzliche Grüße
    Jochen Neuhaus

  2. Christian Johner schrieb:

    Sehr geehrter Herr Dr. Neuhaus,
    danke fr die wirklich spannende Frage!
    Ich stimme Ihren Überlegungen absolut zu.
    Auch Open-Source macht eine Lieferantenbewertung notwendig. Kriterien können sein

    1. Kosten
    2. Qualität des Produkts
    3. Support, Verfügbarkeit eines Ansprechpartners
    4. Dokumentation einschließlich Source Code
    5. usw. usw.

    D.h. ein Open-Source-Produkt entbindet zwar nicht von der Lieferantenbewertung, aber ein No-Go ist das keineswegs. Daher finde ich Ihr Vorgehen sehr passend.

    Viele Grüße
    Christian Johner

Kommentar schreiben