数据可靠性,CS合规,数据治理体系,ALCOA,审计跟踪,数据风险评估

数据可靠性管理近年来一直是监管热点。国家药监局核查中心(CFDI)于5月发布了《药品质量控制实验室数据可靠性检查指南》征求意见稿,全文24页正文+20页附录,相比2022年发布的《药品记录与数据管理要求》(7页),内容大幅扩容,指导性显著增强。
意见稿立足国内制药行业实际,同时结合了WHO、PIC/S等国际组织的最新要求,对制药企业有重要的参考意义。
今天我们来看一看,这份新发布的文件有哪些亮点?
亮点一:首次引入“数据治理体系”概念
第3.2节,正式提出“数据治理体系”要求:
专家解读:这意味着,数据可靠性不再是单纯的技术或操作问题,而是上升到公司治理层面,要求管理者参与和推动。
亮点二:明确ALCOA+CCEA+T原则,强调可追溯性
第4节在国内首次明确数据可靠性原则“ALCOA+CCEA+T”(简称ALCOA++),与国际法规指南保持同步。

(点击放大查看图片)
专家解读:指南对可追溯性的界定不仅包括数据操作本身,还扩展至数据总体的历史,例如存储环境的变化、计算机化系统变更等,体现了更全面的追溯理念。
可追溯性(Traceability)与审计跟踪(Audit Trail)概念区分:
亮点三:审计跟踪数据审查要求升级,聚焦关键权限
第6.1.2节:应当将审计跟踪融入常规数据审查流程,并制定清晰的审查程序,特别是对于 IT 管理员和系统管理员,或其他高级权限账户进行活动的审计跟踪。
专家解读:
专家解读:尽管本指南针对质量控制实验室,但检查员很可能以相同思路审核其他业务系统的审计跟踪。
亮点四:数据传输与迁移的技术要求首次明确
第6.1.3节:系统接口应当确保电子数据传输的安全。应当使用安全的传输方式、加密和校验。
专家解读:在开展相关工作时,应将技术设计纳入合规考量。
除了上述亮点,这份文件还有以下值得关注的内容:
1、数据风险评估(第3.1.2.1节):
数据风险评估应当侧重于质量控制活动的具体方法类型涉及的样品流和数据流展开,而非仅仅考虑信息技术系统的功能或复杂性。
专家解读:这一要求纠正了部分企业将数据风险评估简化为IT系统数据风险评估的误区。
企业应围绕业务流和数据流开展风险评估,关注以下因素:
2、系统安全(第6.1.1节):
需要特别理解的是:此处的“删除”并非仅指物理清除文件,而是指一切使数据无法被正常审核或追溯的行为活动。
因此,在审视“删除权限”时,不应只关注回收站或文件删除键,而应全面识别所有可能让数据从报告路径中消失的操作——包括覆盖、筛选、关闭日志、修改积分参数导致结果不可见等。凡是能让数据变“透明”的操作,都应被界定为“删除活动”并加以严格控制。
提问:针对人员不足时,操作员账户与主管权限账户可否由同一人承担?
解答:这种做法并不违反“应当禁止同一账户同时执行两个权限级别的活动”的要求。
如果特定情形需要为同一人分配两个账户,应当有适当的理由,同时评估人员的资质与培训情况,确保权限分配与实际职责相匹配。
在开展相关活动时,确保系统可以记录关联的账户,说明用户是作为什么角色开展的业务活动。
3、记录修改(第5节):
记录的更正应当划改错误信息,其中追溯性信息(如日期、时间、批准信息、样品编号等)、关键步骤操作、原始数据、结论判断等内容的修改都应当提供说明,签名并注明日期。
专家解读:上述列举几乎涵盖了绝大多数记录类型,企业应识别哪些信息属于例外情况,并据此完善记录管理程序。
给企业的建议
基于本指南的发布,建议企业尽早开展以下工作:
本文基于CFDI发布的《药品质量控制实验室数据可靠性检查指南》征求意见稿进行解读,供行业参考。最终要求请以正式发布文件为准。
指南下载:药品质量控制实验室数据可靠性检查指南(征求意见稿).pdf
以上就是文章的全部内容,如果你觉得有帮助,欢迎转发给更多的人~
关注我们,获取更多合规前沿解读。
gempex德恩咨询作为源自德国的GMP咨询与执行机构,深耕合规领域20余年,提供专业的计算机化系统(CS)与AI合规解决方案:
如有合规方面的问题,欢迎留言或联系我们。点击下方图片,了解我们完整的合规服务类型。
服务热线:400 166 2002
邮箱:info-cn@gempex.com
