审计跟踪,译自英文“Audit trail”,初遇这个词,略微有些奇怪,因为其中的“trail”,更多让人联想到刑侦一类的事件和人物,比如痕迹分析,比如李昌钰,比如卷福,好吧,跑题了。
首先,我们来看下国内外法规的定义:
中国CFDA在GMP附录《计算机化系统》中的定义:
“数据审计跟踪:是一系列有关计算机操作系统、应用程序及用户操作等事件的记录,用以帮助从原始数据追踪到有关的记录、报告或事件,或从记录、报告、事件追溯到原始数据。”
同时在该规范的第十六条也提到
“应当根据风险评估的结果,考虑在计算机化系统中建立数据审计跟踪系统,用于记录数据的输入和修改以及系统的使用和变更。”
欧盟HPRA在EU GMP的附录11 计算机化系统(链接:http://academy.gmp-compliance.org/guidemgr/files/ANNEX11_01-2011_EN.PDF)中提到:
“Consideration should be given, based on a risk assessment, to building into the system the creation of a record of all GMP-relevant changes and deletions (a system generated "audit trail"). For change or deletion of GMP-relevant data the reason should be documented. Audit trails need to be available and convertible to a generally intelligible form and regularly reviewed. ”
大致翻译如下:
“在应该基于风险评估的考量,建立一个系统来记录所有与GMP相关的变更和删除(该审计跟踪系统应是由系统自动生成)。对于所有与GMP相关数据的变更和删除理由均应该被记录。审计追踪需要能将数据转换成可被通常理解的形式并可被定期审核。”
另外,欧盟在2015年公布的数据完整性指南(链接:https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/412735/data_integrity_definitions_and_guidance_v2.pdf)中进一步解释了审计跟踪,
“Audit trails are metadata that are a record of critical information (for example the change or deletion of relevant data) that permit the reconstruction of activities.”
大致翻译如下:
“审计跟踪是元数据(计算机术语,用来描述数据属性的数据),用来记录对GMP关键信息的操作行为(例如相关数据的变更和删除)”
在该指南里,还对具体的计算机化系统中的审计跟踪提了具体的要求,例如:
“wher computerised systems are used to capture, process, report or store raw data electronically, system design should always provide for the retention of full audit trails to show all changes to the data while retaining previous and original data. It should be possible to associate all changes to data with the persons making those changes, and changes should be time stamped and a reason given. Users should not have the ability to amend or switch off the audit trail. ”
大致翻译如下:
“如果计算机系统用于电子采集、处理、报告或存贮原始数据,系统设计应能提供全面审计追踪并保存,记录更改之前的原始数据的同时显示对该数据进行的所有更改信息。伴随对该数据的所有更改,应可以显示 做这些更改的人,更改均应有时间记录,并给出理由。用户不应具备修订或关闭审计追踪的能力。”
美国FDA在最新的21CFR Part 11(链接:https://www.fda.gov/RegulatoryInformation/Guidances/ucm125067.htm#f1)中也作了类似的定义和解释有兴趣的朋友可以通过上述链接自行了解。
(个人感觉,欧盟的定义和解释最为清晰和具体,美国的定义更多偏向法规角度。中国的法规解释,更偏向欧盟的方向。)
综合上述法规定义,我们可以大致了解,审计跟踪是一个系统,是一个基于风险评估对GMP关键信息的操作行为进行记录的跟踪系统。
另外,我们也发现,各国法规在提到审计跟踪时也都无一例外的提到了另两个名词:计算机化系统(Computerised System)和数据可靠性(Date Integrity)。
下面我们来看下这两个专有名词的定义:
计算机化系统:是包括计算机系统、工艺过程、功能设备和使用环境(如SOP,人员等)的整体控制系统。
典型的有用于生产的MES(iBatch Pharm),用于实验室的Lims(Lab Ware),用于质量管理的QMS,设备的EQMS等等。
数据可靠性:应能保证在数据的整个生命周期内,所有数据均完全、一致和准确。
“data must be:
A –attributable to the person generating the data
L – legibleand permanent
C –contemporaneous
O – original(or ‘true copy’)
A – accurate ”
大致翻译:
“数据必须:
A—可追踪至产生数据的人
L—清晰,能永久保存
C—同步
O—原始(或真实复制)
A—准确”
那这三者是怎样紧密联系呢?
通常来讲,分以下3个方面:
1、GMP活动达到数据可靠性(ALCOA)是最终目的。
2、计算机化系统是实现目的的最优先配置。
3、审计跟踪是计算机化系统中不可或缺的功能。
综上所述,当我们谈审计跟踪时,我们是在谈为了达到数据可靠性的要求而推荐建立的计算机化系统中必须存在的一个基于风险评估来记录对GMP关键信息操作痕迹的系统功能。
(能一口气读完上句的朋友,可授予“华少成就奖”,大雾….)
