當我們談“審計跟蹤”時(shí) 我們在談什么？

熱門(mén)推薦：審計跟蹤 , 電子采集 , GMP ,

作者：hacter 來(lái)源：蒲公英

2019-01-12

“數據審計跟蹤：是一系列有關(guān)計算機操作系統、應用程序及用戶(hù)操作等事件的記錄，用以幫助從原始數據追蹤到有關(guān)的記錄、報告或事件，或從記錄、報告、事件追溯到原始數據。”

審計跟蹤，譯自英文“Audit trail”，初遇這個(gè)詞，略微有些奇怪，因為其中的“trail”，更多讓人聯(lián)想到刑偵一類(lèi)的事件和人物，比如痕跡分析，比如李昌鈺，比如卷福，好吧，跑題了。

首先，我們來(lái)看下國內外法規的定義：

中國CFDA在GMP附錄《計算機化系統》中的定義：

同時(shí)在該規范的第十六條也提到

“應當根據風(fēng)險評估的結果，考慮在計算機化系統中建立數據審計跟蹤系統，用于記錄數據的輸入和修改以及系統的使用和變更。”

歐盟HPRA在EU GMP的附錄11 計算機化系統（鏈接：http://academy.gmp-compliance.org/guidemgr/files/ANNEX11_01-2011_EN.PDF）中提到：

“Consideration should be given, based on a risk assessment, to building into the system the creation of a record of all GMP-relevant changes and deletions (a system generated "audit trail"). For change or deletion of GMP-relevant data the reason should be documented. Audit trails need to be available and convertible to a generally intelligible form and regularly reviewed. ”

大致翻譯如下：

“在應該基于風(fēng)險評估的考量，建立一個(gè)系統來(lái)記錄所有與GMP相關(guān)的變更和刪除（該審計跟蹤系統應是由系統自動(dòng)生成）。對于所有與GMP相關(guān)數據的變更和刪除理由均應該被記錄。審計追蹤需要能將數據轉換成可被通常理解的形式并可被定期審核。”

另外，歐盟在2015年公布的數據完整性指南(鏈接：https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/412735/Data_integrity_definitions_and_guidance_v2.pdf)中進(jìn)一步解釋了審計跟蹤,

“Audit trails are metadata that are a record of critical information (for example the change or deletion of relevant data) that permit the reconstruction of activities.”

大致翻譯如下：

“審計跟蹤是元數據（計算機術(shù)語(yǔ)，用來(lái)描述數據屬性的數據），用來(lái)記錄對GMP關(guān)鍵信息的操作行為（例如相關(guān)數據的變更和刪除）”

在該指南里，還對具體的計算機化系統中的審計跟蹤提了具體的要求，例如：

“Where computerised systems are used to capture, process, report or store raw data electronically, system design should always provide for the retention of full audit trails to show all changes to the data while retaining previous and original data. It should be possible to associate all changes to data with the persons making those changes, and changes should be time stamped and a reason given. Users should not have the ability to amend or switch off the audit trail. ”

大致翻譯如下：

“如果計算機系統用于電子采集、處理、報告或存貯原始數據，系統設計應能提供全面審計追蹤并保存，記錄更改之前的原始數據的同時(shí)顯示對該數據進(jìn)行的所有更改信息。伴隨對該數據的所有更改，應可以顯示做這些更改的人，更改均應有時(shí)間記錄，并給出理由。用戶(hù)不應具備修訂或關(guān)閉審計追蹤的能力。”

美國FDA在最新的21CFR Part 11（鏈接：https://www.fda.gov/RegulatoryInformation/Guidances/ucm125067.htm#f1）中也作了類(lèi)似的定義和解釋有興趣的朋友可以通過(guò)上述鏈接自行了解。

（個(gè)人感覺(jué)，歐盟的定義和解釋最為清晰和具體，美國的定義更多偏向法規角度。中國的法規解釋?zhuān)驓W盟的方向。）

綜合上述法規定義，我們可以大致了解，審計跟蹤是一個(gè)系統，是一個(gè)基于風(fēng)險評估對GMP關(guān)鍵信息的操作行為進(jìn)行記錄的跟蹤系統。

另外，我們也發(fā)現，各國法規在提到審計跟蹤時(shí)也都無(wú)一例外的提到了另兩個(gè)名詞：計算機化系統（Computerised System）和數據可靠性（Date Integrity）。

下面我們來(lái)看下這兩個(gè)專(zhuān)有名詞的定義：

計算機化系統：是包括計算機系統、工藝過(guò)程、功能設備和使用環(huán)境（如SOP，人員等）的整體控制系統。

典型的有用于生產(chǎn)的MES（iBatch Pharm），用于實(shí)驗室的Lims（Lab Ware），用于質(zhì)量管理的QMS，設備的EQMS等等。

數據可靠性：應能保證在數據的整個(gè)生命周期內，所有數據均完全、一致和準確。

“Data must be:

A –attributable to the person generating the data

L – legibleand permanent

C –contemporaneous