相关标签

探讨财务审计跟踪核审的医药企业试验室数据库管理平台建设

发布时间:2019-09-11 10:50

  目前,计算机化系统的审计追踪功能已基本在业内普及,也是国内外核查的重点内容之一。审计追踪指一种元数据,包含与创建、修改和删除 GxP 记录相关行为的信息 [1]。审计追踪的根本目的是用来确保对电子数据及系统在数据生命周期内的所有操作活动的可追溯性,是维护系统安全的关键。

  关键词 :审计追踪 ;实验室 ;数据可靠性 ;质量管理

  数据安全性、数据完整性、审计追踪三者相辅相成、互不可缺,是电子数据管理的基本要求,也是计算机数据管理系统的标配功能[2]。审计追踪是实验室数据安全性、完整性的有效证据,审计追踪审核是保证数据安全性、完整性的一种被动手段。有证据表明,我国一些企业增加硬件投入,配备具有审计追踪功能的操作系统与操作软件后,计算机系统及操作软件的缺陷占比明显下降 [3]。同时,大部分数据可靠性问题源于企业内部数据管理体系设计不当,通过审查审计追踪,可以发现偏差,察觉数据操纵行为,将责任追溯至个人 [4]。

  审计追踪审核不应是一个刻板的常规数据核对过程,作为企业内部审计程序的一部分,通过审核找出数据可靠性问题所在,发现潜在风险,设计并实施补救措施,而后标准化、程序化,可改进数据管理体系及管理流程,逐步建立科学、有效的数据管理框架。制药企业的数据管理体系折射出质量管理体系是否有效运行,可以说,审计追踪是判断企业质量体系优劣的最有力证据,也是完善企业内部数据质量管理体系的入手点之一。

  1 药品生产企业实验室计算机化系统审计追踪管理的现状

  目前我国多数企业对于计算机的电子数据管理仍处于起步阶段。实验室使用的部分工作站系统老旧,不支持审计追踪功能。一些具有审计追踪功能的系统,由于企业专业技术人员配备不足,审计追踪功能未打开,或打开后权限设置等控制措施不完善,仍不能满足法规要求。

  审计追踪广义上包括对纸质记录、电子记录的追溯,而狭义是指计算机化系统针对电子数据产生、处理等一系列操作过程的记录。我国药企实验室对于复杂系统产生的具有动态特性的电子数据缺乏审计追踪功能。纸质打印为静态数据,无法还原原始记录,用户与系统之间进行交互的数据采集、处理过程无法通过审计追踪全程记录,不能作为计算机化系统数据可靠性的有效证据。因此,为关键设备开启审计追踪功能,并且正确维护尤为重要。

  据调查显示 [5—6],国内外加强对药品生产企业的检查力度后,发现大量计算机化系统数据可靠性缺陷集中在原料药生产企业及一些中小型制剂生产企业,其计算机化系统管理基础薄弱,尚无一套合规的数据管理体系,难以通过有效的审计追踪维护来为数据可靠性和合规性的检查提供证明。主要问题集中在以下几点 [7] :①关键仪器不具备审计追踪功能 ;②关键仪器未开启审计追踪功能 ;③无审计追踪审核程序和审核记录 ;④系统重装或更换电脑导致审计追踪文件丢失 ;⑤用户的系统权限允许关闭审计追踪等类似的逻辑、技术控制问题。

  可见,我国药企实验室计算机化系统的审计追踪仍多发基础合规性问题。审核工作量巨大,需要定期跟进确认每一台计算机化系统仪器的审计追踪状态。为节约成本,提高效率,并确保对每台设备、仪器都达到充分控制的目的,审计追踪审核的范围、深度和频率都应基于科学合理的风险评估。而这些原料药、制剂生产企业对关键数据的评估及其审核方式仍模糊不清,尚无一套结合自身实际情况的成本、风险、获益相平衡的高效的审计追踪审核程序。

  2 审计追踪及其审核的改善措施

  为确保整个实验室仪器数据管理体系的整改是有意义、可获得实际收益和改善的,我们将审计追踪审核分为 2 个阶段的 PDCA 循环 [ 是将质量管理分为 4 个阶段,即计划 ( plan)、执行 ( do)、检查( check)、处理 ( act)。在质量管理活动中,要求把各项工作按照作出计划、计划实施、检查实施效果, 然后将成功的纳入标准、不成功的留待下一循环去解决 ] 逐步展开,如图 1 所示,先系统化整改,再模块化复核,阶梯式提升数据管理体系。

  2.1 基础整改阶段的 PDCA 循环

  2.1.1 P 阶段 :依据实验室系统类别,判断审计追踪功能开启范围,制定计划

  计划阶段是 PDCA 循环的上游环节,在进行审计追踪审核之前,依据数据采集过程来确定哪些仪器应开启审计追踪功能。依据数据生成方式及处理过程,生产企业实验室中常见仪器的审计追踪开启要求如表 1 所示 [8]。

  2.1.2 D 阶段 :开启系统审计追踪功能,确认基本状况

  审计追踪中包括的项目应当是与重现过程或活动有关的数据,其主要功能就是将关键的检测操作 步骤记录下来,以便重建检测行为和原始数据收集 过程的重要细节证据。因此,审计追踪应至少包括“4W”基本要素,即 :“when”—— 操作执行日期和具体时间 ;“who”—— 执行操作的人员,确保 信息标识的唯一性 ;“what”—— 删除或更改动作 的详细信息,包括原记录的数据 ;如果可以的话, “why”—— 记录下删除或更改的原因,解释该操作的必要性 [9]。这也是实现药品生产质量管理“有据可依”,确保数据可靠性、遵守数据管理规范所 必需的。

  确定审计追踪功能开启的仪器后,将相关步骤加入计算机化系统验证中,定期确认其可靠性和准确性。审计追踪的定期确认可按项目表 ( 表 2)中预设的要求执行,避免包含不必要的项目.

  2.1.3 C 阶段 :检查并总结执行结果

  审计追踪功能开启后,要定期检查确认,总结执行结果。鉴于审计追踪的作用,仅开启这一功能是远远不够的,需对其采取更多的逻辑和过程控制, 在设计针对审计追踪的数据可靠性管理系统时,对数据全生命周期中潜在的风险和漏洞加以考量并进行有效控制。

  2.1.4 A 阶段 :处理结果中出现的问题,流程标准化整改基础设施,完善程序,关闭不合格项。建

  立合理的审计追踪标准制度及其验证、使用等一系列管理程序,其中应包括规范审计追踪的数据保存程序。审计追踪应被视为记录的一部分,合理贮存和维护,数据迁移和备份等活动也应保留审计追踪信息,以便审计追踪数据的恢复和读取。审计追踪文件的保存期限应至少与该系统电子记录要求的时间一致。如果审计追踪信息在日常操作管理中遇到丢失风险,则数据的可靠性会受到威胁。需要注意

  2.2.1 P 阶段 :基于系统综合评估,明确数据重要等级

  实验室计算机的应用已有多年,技术成熟度高,计算机本身技术风险低。因此,应重点关注其使用场合与实现功能,结合被控对象进行评估。对于计算机化系统产生的数据,风险等级判断应依据:

  ①数据关键程度 C(data criticality),即 :对制定决策和产品质量或安全性的影响程度 ;②数据风险R(data risk),即 :数据安全事件一旦发生,重建原始信息的可行性,系统发生数据安全事件的机会, 以及相关者日常审核程序中检测此类异常的可能性 [10]。其中,“数据关键程度”所要考虑的要素包括“数据影响了什么决策”及“数据对药品质量和安全有什么影响”。因此,针对数据关键程度的判断应考虑该系统是否用于产品放行的决策,是否涉及对关键质量属性、关键工艺参数的测量,可通过系统影响性评估判断 [11]。“数据风险”应考虑仪器设备系统层面的特性,例如 :系统流程复杂性,生成、处理数据的方式及确保数据质量和完整性的能力,结果输出的主观性等,可借助各种风险分析工具确定。数据关键程度及风险分类如表 3 ~ 5 所示。

  关键程度(C) 描述 直接与产品关键质量属性有关;提供与产品放行有关的数据或信息,出现偏差可导致产品召回或退回;生产的高 批次放行数据;长期稳定性数据;药物安全警戒和投诉处理的数据,与产品生产、检验直接相关的自动化处理数据间接与产品关键质量属性有关;出现偏差可能造成资中的极度浪费或对企业形象产生较坏影响

  2.2.2 D 阶段 :依据重要等级合理分配资源,实施审计追踪审核

  有必要先确认整体资源情况,综合重要等级规划分配,再实施审计追踪的审核。如法规中没有规定数据的审核频率,则依据重要等级,建立各系统的审核方法及频率 [12]。对于涉及产品质量和批次放行的高重要等级数据,应在每批放行前审核或相应增加审核频率 ;中重要等级数据可每季度或每半年审核一次,抽取部分批次审核 ;低重要等级数据一般一年审核一至两次。审核内容随设备系统、被测物、用途等各异,但基本围绕以下几点。

  (1) 确认上次审核以来 :审计追踪一直处于开启状态,无异常事件发生 ;是否有删除或修改数据等异常现象 ;系统审计追踪或日志中记录的仪器故障都有记录并经评估 ;与数据相关的安全漏洞。

  (2) 确认有无不合规操作问题 :未经批准的样品重复检测 ;是否按规定方法检测 ;预测试样品 ; 未经批准的手动修改积分。

  (3) 确认书面记录与电子记录的一致性 :基于风险决定抽查批次数量,核对该批次在各系统上的电子数据和审计追踪与书面记录、报告等是否一致; 系统使用记录与检测批次记录是否一致,是否有无依据或无报告的检测 ;报告的数据或结果与原始电子数据比对,审核一致性。

  2.2.3 C 阶段 :回顾执行情况,得出审核结果,完善审核程序

  审核审计追踪后,应总结执行情况。本着确保患者安全和产品质量的目的,审核对产品或患者决策有直接影响的审计追踪信息。审核过程由经过培训且系统运行经验丰富的人员执行,以便区分可靠数据和具有潜在风险的不可靠数据 [13]。对于系统中发生的数据或分析方法被删除等情况,最有效的方法是在系统权限中主动控制,限制修改权限,而不是被动审核,以便减少不必要的工作,提高效率。

  2.2.4 A 阶段 :建立或修定审计追踪审核规程,将成功经验标准化

  基于评估系统优先等级,挑选关键信息,将每个系统的审核步骤程序化,写入规程。审计追踪审核的目的之一就是核实所检测的试验数据是否准确、完整,可从相关原始文件中重现数据采集分析过程。审计追踪记录了关键数据的产生过程,对其的审核应作为 GMP 质量控制活动的一部分加以程序化、系统化 [14]。质量部门负责系统产生不同类型的元数据的评估,在每一系统程序中定义数据可靠性的相关控制,设计与公司实际资源情况相一致的审核程序。

  3 总结

  计算机化系统管理基础薄弱的原料药生产企业或中小型制剂生产企业可参考以上流程,设计一套数据可靠性自检及整改的方案,通过审计追踪审核的方式,找出主要缺陷和问题所在。同时,对审计追踪的审核只是完善数据管理体系过程中可入手的一方面,企业可全方位、多角度地构建数据管理体系,采取公开、透明的数据管理文化。数据完整性掀起的制药业质量和诚信革命是大势所趋,我国企业只有融入发展、革新进取,才能在激烈的市场竞争中占有一席之地 ;一味地追求通过监管检查,得过且过,终将被市场淘汰。

  参考文献:

  [1] 国家食品药品监督管理局.总局办公厅公开征求《药品数据管理规范(征求意见稿)》意见[EB/OL].[2017-08- 25].http://eng.sfda.gov.cn/WS01/CL0778/176732. html.

  [2] FDA.Part 11, Electronic Records; Electronic Signatures- Scope and Application [EB/OL].https://www.fda.gov/ downloads/RegulatoryInformation/Guidances/ucm125125. pdf.

  [3] 颜若曦, 曹 轶.药品生产企业数据可靠性缺陷分析[J]. 中国药物警戒, 2018, (1): 20-23.

毕业论文:http://www.3lunwen.com/kj/sj/3795.html

上一篇:有关企业内部审计隐患以及预防措施剖析

下一篇:评估财务审计报告改革创新、财务审计质量与财务审计成本费

     移动版:探讨财务审计跟踪核审的医药企业试验室数据库管理平台建设

本文标签:
最新论文