实验室分析仪器的审计追踪

实验室分析仪器的数据完整性是当今药监机构的检查重点 ，而审计追踪则是确保其数据完整性的有效手段。特别是针对计算机化系统，审计追踪功能几乎成为强制要求。但究竟什么是审计追踪，哪些仪器需要审计追踪，如何进行审计追踪，审计追踪如何做到定期审核，我们或多或少会有点疑问。本文将根据国内外相关法规指南，提供这些问题的解答。

1.  什么是审计追踪

数据审计追踪：是一系列有关计算机操作系统、应用程序及用户操作等事件的记录，用以帮助我们从原始数据追踪到有关的记录、报告或事件，或从记录、报告、事件追溯到原始数据。

——中国GMP附录(2015):计算机化系统 第六章 术语

简单来说，审计跟踪是用来呈现系统中“谁、何时、做什么、为什么这样做”的记录，能够重现与电子记录的创建、修改或删除有关的事件过程。通过审核审计追踪，可以知道测试数据的产生是否真实、有效，是否符合数据完整性的要求。

2.  审计追踪的法规依据

2.1 中国GMP附录(2015):计算机化系统

第十六条 计算机化系统应当记录输入或确认关键数据人员的身份。只有经授权人员，方可修改已输入的数据。每次修改已输入的关键数据均应当经过批准，并应当记录更改数据的理由。应当根据风险评估的结果，考虑在计算机化系统中建立数据审计跟踪系统，用于记录数据的输入和修改以及系统的使用和变更。

2.2 美国联邦法规21章 第11款 (21 CFR Part 11) 中的11.10 (e)部分

使用审计追踪（独立地）记录操作者登录和操作（包括电子记录的创建、修改或删除）的日期和时间，该审计追踪记录应该是安全的、计算机自动生产的，自带时间标记的。审计追踪产生的新记录不能覆盖之前的记录信息。审计追踪记录应该与其所归属的记录的保存期一致；此外，当FDA需要审核和拷贝时，审计追踪文件应该是可用的。

 2.3 欧盟GMP附件11 中的审计追踪部分

基于风险评估，应该考虑在系统内部创建所有和GMP数据相关的创建、变更和删除记录（就是在系统内部产生审计追踪）。对于变更或者删除GMP相关的数据，应该记录原因。应该具有审计追踪功能，并且可以转化为一般意义上易于理解的形式，便于定期审核。

此外，MHRA的《GXP数据完整性指南和定义》，WHO的《数据完整性指南》以及其他与数据完整性相关的法规指南都有与上述法规相类似的审计追踪要求。

3. 哪些仪器需要审计追踪

并不是所有仪器都需要审计追踪，我国和欧盟的GMP 文件都提到“基于风险评估”进行考虑，企业应该通过科学合理的风险评估来决定哪些仪器的数据安全性风险高，需要审计追踪进行管控。例如，如果该仪器具有以下特点，应该评估为高风险：

（1）这些仪器产生的数据属于关键工艺参数，直接影响产品质量和患者安全。

（2）为保证测试数据的完整性和有效性，数据需要以电子数据的方式生成并存储于仪器的数据库中。这样的电子数据具有被修改，删除或伪造的风险。

（3）系统复杂，测试过程产生大量数据，无法通过简单的书面记录的方式进行完整的溯源。

一般来说，如溶出度仪、高效液相色谱仪、质谱仪、气相色谱仪等都属于这类高风险仪器。其中溶出度仪更是检测药物释放溶出程度的重要仪器，是保证和衡量固体口服制剂生产工艺及质量的重要环节，其测试结果将直接影响品质量和患者安全，是药监机构关注的重点。

这些高风险仪器的计算机化系统要求进行审计追踪管理。如果上述仪器没有审计追踪功能，或审计追踪功能处于关闭状态，审查人员就有理由怀疑其测试数据的真实性和有效性，如果企业无法提供有效证据来澄清这种造假的嫌疑，将会引发审查人员对产品质量的质疑和对企业整个GMP体系的不信任。

例如，《PIC/S GMP 缺陷分级指南》指出，如果有证据表明或发现企业有伪造、蓄意歪曲，或蓄意篡改产品或数据的行为，将会被定义是关键缺陷。而关键缺陷将直接导致企业的GMP证书被收回。

4. 如何进行审计追踪

审计追踪应该囊括整个计算机化系统的各个层面，一个完整的审计追踪才能保证所有与数据安全性相关的行为均有被记录。例如PDA TR80 /2018就给我们展示了一个囊括基础系统到测试结果各个层面的审计追踪流程：

另外，在对整个计算机化系统进行审计追踪的过程中，还应该注意以下几点：

（1）审计追踪均应激活，必要时采用风险评估来识别（如本文第3部分）。

（2）一般用户不应有权限修改或关闭审计追踪。如果系统管理员进行了修改，或者关闭了审计追踪，则应保存有一份该动作的记录和理由说明。

（3）审计追踪产生的新记录不能覆盖之前的记录信息。

（4）审计追踪记录应该可以被导出，以便提供审查人员审核。

（5）无法被审计追踪的行为应该被限制，例如直接在仪器上对测试样品进行单次进样。

5. 审计追踪应该包含哪些内容

各国法规就要求审计追踪需要完整可追溯，通过审计追踪可以重建与电子记录的创建、修改或删除有关的事件过程。这就要求审计追踪的记录中应该至少包含以下内容：

（1）时间

每个审计追踪记录都应该有时间戳，记录所有动作执行的时间和日期。

另外，所有系统的时间应该与标准时间同步。

（2）人物

所有动作都应该记录执行用户的名称，且必须能关联到指定人员。

（3）动作描述

通过动作描述应能够识别动作的内容和性质，能够知道当时究竟干了什么。动作对象的信息也应该明确，例如是执行测试动作，测试对象（样品）的信息应该完整，才能进行有效的归属和追溯。

（4）变更/删除的理由

如果涉及数据变更或删除的动作，还应记录其理由。

6. 审计追踪如何审核

相关法规中提到的“定期审核”，并不是要求例行审核所有的审计追踪内容。而究竟要审核哪些记录，多久审核一次，同样需要根据风险评估来确定。企业应该根据风险水平来决定不同系统的审核程度和审核频率，以及同一系统中不同种类审计追踪记录的审核优先程度。

以系统的风险水平进行分类。针对不同风险水平的系统，制定需要审核的内容，例如下面的范例：

高风险系统需要审核与下面行为相关的审计追踪：

（1）测试参数的变化

（2）数据处理参数的变化

（3）删除数据

（4）修改数据

（5）篡改数据

（6）分析人员的行为

（7）测试结果不合理的处理（如色谱峰不合理积分）

（8）与数据相关的安全漏洞

中、低风险系统需要审核与下面行为相关的审计追踪：

（1）数据的变更

（2）数据的删除

（3）未经授权的访问或操作

如前面第4部分所介绍的，在一个系统中会存在多种不同层面的审计追踪记录，不同层面的审计追踪对放行数据的影响程度不同，需要根据其风险水平来制定对应的审核规程，例如：

（1） 方法、结果、样品集的审计追踪，以及与数据安全性直接相关的应用层面的审计追踪（如数据的变更或删除），都会直接影响“关键数据”的真实有效性，其风险水平高。按照FDA的规定，“关键数据”应在每批放行前对记录和数据（包括审计追踪）进行审核。

（2）系统层面的审计追踪（如人员登入登出、用户账户管理和系统配置等），应用层面上反应人员一般行为的审计追踪（如数据文件的打开，查看和关闭等），并不直接影响“关键数据”的真实有效性，其风险水平较低，不需要每批放行前对进行审核。例如MHRA《GXP数据完整性指南和定义》就指出审计追踪的审核没有必要包括所有系统活动（例如用户的登录和退出，键盘输入等）。可以通过系统审核报告或系统验证报告等方式来周期性地审核这些系统活动记录。

锐拓溶出仪能够提供完全满足数据完整性要求的审计追踪功能。其审计追踪内容完整不可修改，审计追踪流程囊括从基础系统到测试结果的各个层面，且每个层面的审计追踪记录均可分别检索和调出，方便用户审核。对实验室分析仪器进行完整有效的审计追踪将能够有效地降低其出现数据完整性缺陷的风险，更好地助力企业通过越来越严格的GMP检查。