数据完整性审计追踪审核

数据完整性审计追踪审核AuditTrailsReviewsforDataIntegrity|IVT数据完整性审计追踪审核ByIvanSotoPeerReviewed:DataIntegrityINTRODUCTION说明Annex11requiresthataudittrailsareregularlyreviewedtoensuredataintegrity.Thereareasignificantamountofinconsistentinterpretationsabouttherequirementtoregularlyreviewaudittrails.Someoftheinterpretationsarethataperiodicreviewofaudittrailsshouldbeperformedtoensuredataintegrity.Underaperiodicreviewapproachsomecompanieshaveimplementedamonthly,quarterly,bi-annualandyearlyreviewofaudittrails.Thechallengeishowrelevantitistoperformaperiodicreviewafteranextendedperiodoftimewhenthedatawasgenerated.Whatisthevalue?Whatarewesupposedtobelookingfor?Whatconstitutesadataintegrityissue?Whichdataiscritical?Shouldwetakeariskbasedapproach?附录11要求审计追踪被定期审核以确保数据完整性。对于定期审核审计追踪的要求有很多不一样的解释。部分的解释是，一个审计追踪的定期审查应确保数据的完整性。定期审查在一些企业的做法是每月、每季度、每半年和年度实施。面临的挑战是在数据生成较长一段时间后执行定期审查的相关性。价值是什么？我们要找的是什么？什么是数据的完整性问题？哪些数据是重要的？我们应该采取一种基于风险的方法吗？Thisarticlewillprovideanswerstothesechallengingquestionsandsolutionsabouthowtoperformregularlyaudittrailreviews.本文将提供这些问题的解答以及如何执行定期的审计追踪审核。THECHALLENGES面临的挑战Aligningwiththerequirementtoregularlyperformaudittrailsreviewscanbeverychallengingforsomecompanies.Thisrequirementisbasedontheassumptionthatallsystemprovideaudittrailsthatare“userfriendly”,adequateandeasytoreviewfordataintegrity.OneofthebiggestchallengesisthatsomesystemsspecificallyintheQualityControllaboratoriesdon’tgenerateaudittrailsthatfacilitateareviewregularly.Anotherchallengeiswhethertoperformperiodicreviewortoassesstheaudittrailspriortosigningorapprovingthedata.CanweimplementthesameapproachforallareaswithGMPimpactorcanwetakeariskbasedapproach.Whichapproachesaremorevalueaddedandnotjustapaperworkexercise?根据要求定期进行审计跟踪评审可能对一些公司很有挑战性。 这一要求是基于假设所有的系统提供审计追踪是“用户友好”的、适当的以及容易审核数据完整性的。最大的挑战之一是，特别是在质量控制实验室，一些系统不生成审计追踪来进行定期审核。另一个挑战是，在签署或批准数据之前是否需要进行定期审核或评估审计追踪。我们可以所有GMP的影响的区域采取相同的方法吗，或者我们可以采取基于风险的方法。哪种方法更有价值，并且不仅仅是书面的的文件化活动？UnfortunatelyAnnex11andotherdataintegrityphilosophiesfailtoprovideadequateguidanceanddirectionabouthowtoregularlyreviewaudittrails.Thereisalwaysthechallengeonhowtodealwithalltheassumptionsrelatedtothisrequirementandthisalsoincludesresourcestoregularlyreviewaudittrails.Inordertoreviewaudittrailsregularlyqualifiedresourcesareneededtoperformthiswork.Theresourceimpactneedstobeclearlyunderstoodbasedonthepopulationofimpactedsystems,thevolumeofthereviewsandthedefinedfrequency.Allthepotentialchallengesneedtobewellunderstoodandaddressedpriortocommittingtoperformaudittrailsreviews,otherwisetheeffortwillbemeaninglessandsimplyapaperexercise.不幸的是，附件11和其他数据的完整性指南无法对如何定期审查审计跟踪提供充分的指导。如何应对这一要求相关的所有设想也是一个挑战，这也包括满足定期审查审计跟踪的资源。为了审查审计追踪，需要定期确认硬件资源。资源的影响需要基于影响系统的种类、审核的范围、和定义的频率清楚地理解。所有潜在的挑战，需要在执行审计审查之前很好地理解和解决，否则将是毫无意义的和仅仅是纸上功夫。AUDITTRAILASSESSMENTS审计跟踪评估Inordertoalignwiththerequirementtoregularlyreviewaudittrailsanassessmentneedstobeperformedforallimpactedsystems.Theaudittrailassessmentisthefirstandthemostcriticalstepstoimplementaudittrailreviews.Aninventoryofallimpactedsystemsneedtobecreated.Thisinventorywillidentifyallimpactedsystemsthatneedtobeincludedintheaudittrailassessment.Theintentoftheassessmentistoidentifywhethereachindividualsystemprovideaudittrailsthatareadequateandthatcanbeusedforperformingthesereviews.为了完成定期审查审计追踪的需求，需要对所有有影响的系统进行评估。审计追踪评估是实施审计追踪审核首要的也是最关键的步骤。需要创建一份所有有影响的系统的清单。这份清单将确定所有需要包括在审计评估的有影响的系统。评估的目的是确定是否每个系统提供审计追踪是充分的并可用于执行这些审核。Systemlevelriskassessmentsneedtobeperformedtoidentifywhetherthesystemishigh,mediumorlowrisk.Thesystemriskneedstobeusedtoprioritizetheaudittrailassessmentandimplementationofperiodicreviews.Forexampleaqualitycontrolsystemtomeasurecriticalqualityattributesisprobablyhighriskandshouldbeapriority.Ariskbasedapproachwillbediscussedinmoredetaillaterinthisarticle.需要执行系统层面的风险评估确定系统是否是高风险、中等风险还是低风险。系统风险需要决定审计追踪评估和实施定期审核的优先级。例如，一个用来测量关键质量属性的质量控制系统可能是高风险的，应优先考虑。基于风险的方法将在本文后面详细讨论。EachfunctionalareathathaveGxPcomputersystemsneedtoperformtheaudittrailassessmenttodeterminethefollowing:每一个有GXP计算机系统的领域需要进行审计追踪评估以确定如下：Whohasaccesstoviewtheaudittrails?谁有权访问查看审计追踪？Cantheaudittrailbeprintedfromtheapplication?审计追踪可以从软件中打印吗？Canthereviewerselectadatarange?审核人能选择数据范围吗？Canthereviewerselectaspecificactivityofinterestduringtheaudittrailreview?审核人审核审计追踪时能选择某一特定活动的审计追踪吗？Willitfeasibletoincludetheaudittrailwiththedataresults?能否包括数据结果的审计追踪？WillitbefeasibleforQCsystemstoincludetheaudittrailwiththeassayresults?质量控制体系是否包括检测结果的审计跟踪？Areuser’sactiontimeanddatestamped?是否记录了用户活动的时间和日期？Doestheaudittrailrecordscreation,modificationanddeletionofrecords?审计跟踪能否记录记录的创建，修改和删除活动？Theanswertoeachquestionwillbepotentiallybeingdifferentforeachsystemassessed.Basedontheresultsofthisassessmentremediationactivitiesmayberequiredtoaddressanygapsorimprovementsneedforaudittrails.不同的系统对每个问题的答案可能是不同的。基于这一评估的结果，可能需要整改活动来处理任何缺口或改进审计追踪的需求。Todocumenttheresultsoftheaudittrailassessmentasummaryreportshouldbecreatedtosummarizethefindings.为了记录审计追踪评估的结果，应创建一份总结报告来总结发现的情况。Aremediationplanshouldbecreatedtodescribethecorrectiveactionsthatwillbetakenforeachsystem.应建立整改计划描述将为每个系统采取的纠正措施，。Onceallremediationactivitiesareclosedproceduresneedtobecreatedorrevisedtoincludethestepsforperformingaudittrailsperiodicreview.一旦所有的整改活动关闭，需要创建或修订程序将执行审计追踪定期审核的步骤写入规程。RISKBASEDAPPROACH基于风险的方法Ariskbasedapproachtoaudittrailreviewsiscriticalforanimplementationthatprovideameaningfulprocesswithouthavinganegativeimpactoncostandresources.Thefactisthatwithouttakingariskbasedapproachaudittrailreviewscanhaveanegativeimpactoncostandresources.AudittrailreviewsforGxPsystemsareatimeconsumingactivitythatrequiresresourcestoexecuteandmanagetheinformationanactionsrelatedtothereview.基于风险的审计追踪审核的方法是非常重要的实现，提供一个有意义的过程，而无需对成本和资源的负面影响。事实上，审计追踪的审核若不采取基于风险的方法可能对成本和资源有负面影响。GXP系统的审计追踪审核是一个耗时的活动，需要资源来执行和管理需要审核的活动相关的信息。Inordertotakeariskbasedapproachtoaudittrailreviewsthesystemrisklevelneedtobeidentified.Prioritizingtheaudittrailassessmentbasedonthelevelofriskiscriticaltoprioritizetheassessmentsandimplementation.SystemsinvolvedinthetestingofCriticalQualityAttributesarehighriskandshouldbethehighestpriorityduringtheassessmentsandimplementation.为了采取基于风险的审计跟踪审核，需要确定系统的风险水平。按照系统的风险水平关键程度的优先级别，来评估和实施。参与关键质量属性的测试系统是高风险的，应在评估和实施过程中最高优先考虑。Thesystemrisklevelshouldbeusedtoestablishthefrequencyandscopeoftheaudittrailsperiodicreviews.ForhighrisksystemssuchasthoseusedinQualityControltheaudittrailsshouldbereviewedwiththetestresultstoensuretheintegrityofthetestdata.Thescopeofthisreviewshouldincludeassessingtheaccuracyandintegrityofthedatausingtheaudittrail.Inthissituationtheaudittrailwillbereviewedforthefollowing:系统风险水平应该被用来建立审计追踪定期审核的频率和范围。 对于那些高风险的系统，如用于质量控制的，审计追踪应该与测试结果一起审核以确保试验数据的完整性。这种审核的范围应包括使用审计跟踪评估数据的准确性和完整性。在这种情况下，审计追踪将审核以下：Changestotestparameters测试参数的变化Changestodataprocessingparameters数据处理参数的变化Datadeletion数据删除Datamodifications数据修改Analystactions分析人员的行为Datamanipulation数据篡改Excessiveintegrationofchromatographypeaks色谱峰过度整合Securitybreachesrelatedtodata与数据相关的安全漏洞QCproceduresneedtodefinethecontrolsrelatedtodataintegrity;thiswillensureconsistencyduringtheaudittrailreview.QC程序应该定义数据完整性相关的控制；这将确保审计跟踪审核过程中的一致性。Formediumandlowrisksystemstheapproachwillbelessintensivethatforhighrisk.Forthesesystemsitcanbepossibletoreviewperiodicallytheaudittrails.Theperiodicreviewperiodshouldbeestablishedbasedonthelevelofsystemrisk.Mediumrisksystemsshouldbereviewedmorefrequentlythanlowrisksystems.Forexampleadocumentmanagementsystemisprobablymediumriskthatshouldbeonaperiodicreviewscheduleofeverysixmonthsorayearlyschedule.Lowrisksystemcanbereviewedonayearlyorbi-annualbasis.对于中、低风险的系统，审计追踪的方法将没有高风险系统那么密集。这些系统可能定期审核审计追踪。定期审核的周期应根据系统风险水平建立。中等风险的系统应该比低风险的系统更频繁。例如，文档管理系统可能是中等风险，应定期计划每六个月或每年进行。低风险的系统可以每年或每年 2次进行。Thescopeoftheaudittrailreviewsformediumandlowrisksystemsshouldincludethefollowing:对中、低风险的系统审计追踪的范围，应包括以下内容：Datachanges数据的变化Datadeletions数据删除Unauthorizedaccessortransactions未经授权的访问或操作Toimplementaudittrailreviewsiscriticaltotakeariskbasedapproach.Aonesizefitsallapproachcanhaveasignificantimpactoncostandresources.实施审计追踪的审查是采取一种基于风险的方法的关键。它是一个放之四海而皆准的方法，可能对成本和资源有重大影响。Insummaryariskbasedapproachiscriticalfortheimplementationofaudittrailperiodicreviews.综上所述，基于风险的方法是实施审计追踪定期审核的关键。IMPLEMENTATION实施Oncetheaudittrailassessmentareperformed,systemriskidentifiedandallcorrectiveactionsareclosedtheaudittrailreviewscanbeimplemented.Priortoimplementationtheimpacttoresourceneedtobewellunderstoodbasedontheexpectedvolumeofwork.Oncethisimpactisunderstoodhiringandreassigningofresourceneedtobecompletedpriortoformalimplementation.一旦进行审计追踪评估，识别出系统的风险并且所有纠正措施已关闭吗，就可以实施审计追踪的审核了。在实施之前，应该基于所期望的工作量好好理解对资源的影响。一旦理解这种影响，应该在正式实施之前完成资源的征用和重新分配。Procedurema