实验室数据可靠性检查指南解读:CS合规专家划重点

数据可靠性,CS合规,数据治理体系,ALCOA,审计跟踪,数据风险评估

图片





数据可靠性管理近年来一直是监管热点。国家药监局核查中心‌(CFDI)于5月发布了《药品质量控制实验室数据可靠性检查指南》征求意见稿,全文24页正文+20页附录,相比2022年发布的《药品记录与数据管理要求》(7页),内容大幅扩容,指导性显著增强。


意见稿立足国内制药行业实际,同时结合了WHO、PIC/S等国际组织的最新要求,对制药企业有重要的参考意义。


今天我们来看一看,这份新发布的文件有哪些亮点?





亮点一:首次引入“数据治理体系”概念


第3.2节,正式提出“数据治理体系”要求:


  • 企业管理层应当致力于数据治理,营造支持数据可靠性的文化;
  • 分配足够的具备数据可靠性管理专业知识的人力与资源;
  • 持续提升组织与技术双重控制措施;
  • 在管理评审相关工作中纳入数据治理体系。


专家解读:这意味着,数据可靠性不再是单纯的技术或操作问题,而是上升到公司治理层面,要求管理者参与和推动。


亮点二:明确ALCOA+CCEA+T原则,强调可追溯性


第4节在国内首次明确数据可靠性原则“ALCOA+CCEA+T”(简称ALCOA++),与国际法规指南保持同步。


(点击放大查看图片)


专家解读:指南对可追溯性的界定不仅包括数据操作本身,还扩展至数据总体的历史,例如存储环境的变化、计算机化系统变更等,体现了更全面的追溯理念。


可追溯性(Traceability)与审计跟踪(Audit Trail)概念区分:


  • 可追溯性强调的是数据在整个生命周期中的完整历史脉络,范围远超系统内的修改。
    场景举例:数据最初在旧版的CDS系统中产生,后来随着服务器升级迁移到了新系统;或者数据从实验室的LIMS系统转移到了公司总部的QMS系统;甚至是纸质记录从一个档案柜移到了另一个档案室的物理转移。

  • 审计跟踪强调的是系统内部对单条数据或单次操作的记录能力。
    场景举例:某条含量测定的色谱图,被谁修改了积分参数?什么时候改的?改之前数值是多少,改之后是多少?




亮点三:审计跟踪数据审查要求升级,聚焦关键权限


第6.1.2节:应当将审计跟踪融入常规数据审查流程,并制定清晰的审查程序,特别是对于 IT 管理员和系统管理员,或其他高级权限账户进行活动的审计跟踪。


专家解读:

  • 审计跟踪审查不局限于业务操作,系统管理活动同样是审查重点;
  • 审查对象应涵盖业务活动 + 管理活动;
  • 审查人员应包括业务部门、质量保证部门(QA)以及IT部门。


专家解读:尽管本指南针对质量控制实验室,但检查员很可能以相同思路审核其他业务系统的审计跟踪。


亮点四:数据传输与迁移的技术要求首次明确


第6.1.3节:系统接口应当确保电子数据传输的安全。应当使用安全的传输方式、加密和校验。


专家解读:在开展相关工作时,应将技术设计纳入合规考量。


除了上述亮点,这份文件还有以下值得关注的内容:


1、数据风险评估(第3.1.2.1节):

数据风险评估应当侧重于质量控制活动的具体方法类型涉及的样品流和数据流展开,而非仅仅考虑信息技术系统的功能或复杂性。


专家解读:这一要求纠正了部分企业将数据风险评估简化为IT系统数据风险评估的误区。


企业应围绕业务流和数据流开展风险评估,关注以下因素:


  • 过程的复杂性(如步骤多少、数据传输频次、数据处理复杂度);
  • 数据生成、处理、存储和归档的方法以及确保数据质量和可靠性的能力;
  • 自动化与人机交互的程度;
  • 一致性;
  • 结果的主观性;
  • 电子数据和人工记录之间的比较结果;
  • 系统或软件固有的数据可靠性控制。



2、系统安全(第6.1.1节):


  • 用户权限应当按照最小权限要求进行分配;
  • 应当禁止同一账户同时执行两个权限级别的活动;
  • 应当禁止账户申请批准和操作权限归于一个部门;
  • 应当禁止删除权限出现在使用部门的用户权限中。


需要特别理解的是:此处的“删除”并非仅指物理清除文件,而是指一切使数据无法被正常审核或追溯的行为活动。


因此,在审视“删除权限”时,不应只关注回收站或文件删除键,而应全面识别所有可能让数据从报告路径中消失的操作——包括覆盖、筛选、关闭日志、修改积分参数导致结果不可见等。凡是能让数据变“透明”的操作,都应被界定为“删除活动”并加以严格控制。


提问:针对人员不足时,操作员账户与主管权限账户可否由同一人承担?


解答:这种做法并不违反“应当禁止同一账户同时执行两个权限级别的活动”的要求。


如果特定情形需要为同一人分配两个账户,应当有适当的理由,同时评估人员的资质与培训情况,确保权限分配与实际职责相匹配。


在开展相关活动时,确保系统可以记录关联的账户,说明用户是作为什么角色开展的业务活动。


3、记录修改(第5节):

记录的更正应当划改错误信息,其中追溯性信息(如日期、时间、批准信息、样品编号等)、关键步骤操作、原始数据、结论判断等内容的修改都应当提供说明,签名并注明日期。


专家解读:上述列举几乎涵盖了绝大多数记录类型,企业应识别哪些信息属于例外情况,并据此完善记录管理程序。


给企业的建议

基于本指南的发布,建议企业尽早开展以下工作:


  1. 差距分析:将指南要求与现行体系逐条对标,识别改进空间;
  2. 数据治理体系建设:将数据可靠性纳入管理评审,明确管理层职责;
  3. 风险评估方法论升级:从IT风险评估转向业务流 + 数据流的风险评估;
  4. 审计跟踪审查与权限管理完善:评估权限分配是否合理,开展审计追踪审核,特别关注高级权限账户的活动;


对于在用的、在建的或未来计划建设的系统,评估数据传输技术方案,确保加密、校验等安全措施到位。



本文基于CFDI发布的《药品质量控制实验室数据可靠性检查指南》征求意见稿进行解读,供行业参考。最终要求请以正式发布文件为准。


指南下载:药品质量控制实验室数据可靠性检查指南(征求意见稿).pdf



以上就是文章的全部内容,如果你觉得有帮助,欢迎转发给更多的人~


关注我们,获取更多合规前沿解读。





gempex德恩咨询作为源自德国的GMP咨询与执行机构,深耕合规领域20余年,提供专业的计算机化系统(CS)与AI合规解决方案:


  • CS管理体系:提供CS体系搭建服务,文件贴合企业实际、便于日常运行和持续维护。
  • CSV计算机化系统验证:制定合理的验证策略,交付符合法规要求的验证服务,提供验证执行指导与验证报告。
  • IT基础架构确认:立足企业的信息化现状,开展IT基础设施的确认与评估。
  • 数据可靠性:围绕数据全生命周期提供审计、差距分析、风险评估、数据迁移及培训等服务,解决数据管理痛点。
  • AI理念及合规:识别AI工具与模型的应用风险,制定合理的验证与监控策略。



如有合规方面的问题,欢迎留言或联系我们。点击下方图片,了解我们完整的合规服务类型。


服务热线:400 166 2002

邮箱:info-cn@gempex.com



分享