![图片[1]-202510-ECA -Audit Trail Review SOP General Draft审计追踪审核实操指南-双语版下载-药研库](https://img.suyu.uk/i/2025/12/08/h3889q.png)
数据完整性是产品质量与患者安全的核心保障,而审计追踪(Audit Trail)作为记录数据全生命周期变更的关键工具,其合规审查已成为 GMP(药品生产质量管理规范)监管的核心要点。ECA在10月份发布了《审计追踪审查标准操作程序(SOP)》,发现其以风险为导向、权责清晰、实操性强的特点,恰好能为行业提供一套可落地的合规参考。
一、为什么需要审计追踪审查
![图片[2]-202510-ECA -Audit Trail Review SOP General Draft审计追踪审核实操指南-双语版下载-药研库](https://img.suyu.uk/i/2025/12/08/h3uhdx.png)
在数字化转型加速的当下,制药企业的生产、检验、放行等环节越来越依赖计算机化系统(如 LIMS、SAP、生产执行系统等),电子数据的真实性、完整性、可追溯性成为监管机构核查的重点。
从法规层面看,Eudralex 第 4 卷附件 11(计算机化系统) 明确要求:基于风险评估,计算机化系统在运行阶段必须具备可获取、可转换为易读格式的审计追踪,并进行定期审查;FDA 2018 年数据完整性指南 也强调,审计追踪需完整记录数据的修改、删除等操作,确保 “痕迹可查”。这些要求的核心逻辑的是:每一条与产品质量相关的决策,都必须有真实、可追溯的数据支撑 —— 审计追踪本质上就是电子版本的 “纸质记录修改痕迹”,其审查标准与纸质记录完全一致。
对企业而言,审计追踪审查不仅是应对监管检查的 “合规必修课”,更是防范数据造假、及时发现系统漏洞、保障产品质量的 “内部防火墙”。若忽视这一环节,可能面临产品召回、监管处罚甚至市场禁入的风险。
二、审计追踪审查的核心策略:风险导向,分类实施
这份 SOP 最亮眼的地方,是摒弃了 “一刀切” 的审查模式,基于系统风险和数据关键性,设计了四类差异化审查策略,既保证合规性,又避免资源浪费:
1. 无审计追踪审查(适用于低风险系统)
对于无审计追踪功能的系统(需在定期审查中评估风险),若其数据对患者安全、产品质量无直接影响,可豁免审查。但需注意:必须通过风险评估证明其 “低风险属性”,且后续需持续监控系统是否存在升级或风险变化的可能。
2. 运维阶段常规审查(适用于中等风险系统)
这类审查贯穿系统的 “运行与维护阶段”,主要结合变更管理和定期审查开展,核心聚焦审计追踪的 “功能有效性”,重点检查 5 点:
- 审计追踪是否在关键数据字段上激活;
- 记录是否完整(含用户 ID、旧值、新值、变更日期时间、变更原因);
- 系统资源是否被审计追踪过度占用(如存储溢出),以及纠正措施的落地情况;
- 审计追踪是否仍保持 “人类可读、可访问”(需与验证阶段的结论一致);
- 是否存在可疑操作模式(如特定人员频繁修改数据、非工作时间批量变更等),需与质量部门共同研判。
3. 批量放行全面审查(适用于高风险 “关键记录”)
对于直接影响产品放行的 “关键记录”(如批次放行数据、检验结果、关键主数据等),必须在批量放行前完成全面审查,核心目的是验证 “数据未被篡改”。这里有个实操要点:若系统能在放行环节 “透明展示所有修改痕迹”(如 SAP ECM 系统可记录所有变更的原因和审批流程),则无需手动重复审查 —— 既保证合规性,又提升效率。
4. 专项审查(适用于异常场景)
当发生偏差调查、内部审计、监管检查或数据差异时,需根据事件严重程度开展针对性审计追踪审查。审查深度与调查范围匹配,比如:某批次检验结果异常时,需追溯该数据的录入、修改、审批全流程,排查是否存在操作失误或数据造假。
三、职责与实操要点
1. 明确职责分工:跨部门协作是关键
审计追踪审查不是某一个部门的事,需要 IT、质量、业务部门协同配合,SOP 清晰界定了三大核心角色的职责:
- 系统所有者:批准《审计追踪审查评估表》,对审查结果的最终有效性负责;
- 流程所有者 / 应用经理:填写评估表、定义关键记录、制定本地操作流程,将批准后的表单归档至系统生命周期文档;
- 质量部门:发起审查评估、协助界定关键记录、批准评估表,全程监督审查的合规性。
2. 实操审查步骤:按 “清单化” 执行,确保无遗漏
对于关键数据的审查,需遵循 “全流程验证” 原则,步骤如下:
- 核查所有数据录入、关键计算的准确性,验证测试结果的真实性(符合数据完整性原则);
- 交叉核对数据字段的完整性,确认数据与验收标准的一致性;
- 复核所有相关打印件、附件,并确认其已记录在实验记录本中;
- 审查完成后,需签署姓名和日期,形成正式记录。
建议企业为每个计算机化系统定制专属审查清单,明确审查频率、审查范围、判定标准,让操作更标准化。
3. 错误处理:遵循 “可追溯、可纠正” 原则
若审查中发现数据错误或遗漏,需按三步处理:
- 要求数据录入者提供书面说明;
- 评估数据是否可纠正(需符合 ALCOA + 原则:可归因、清晰、同步、原始、准确、完整、一致、持久、可用);
- 若为影响产品质量的关键数据错误,必须启动偏差调查,确保问题闭环。
四、建议
- 以风险评估为起点:所有审查策略的制定,都必须基于系统风险评估和数据关键性分析,避免 “过度审查” 或 “审查不足”;
- 强化跨部门协同:IT 部门负责保障系统功能,质量部门负责监督合规,业务部门负责执行审查,三者需建立常态化沟通机制;
- 持续迭代优化:结合监管政策更新、系统升级、内部审计发现的问题,定期修订审查策略和操作流程,确保 SOP 的适用性。
结语
审计追踪审查不是 “形式主义”,这份 SOP 通过 “风险导向分类审查 + 清晰职责分工 + 标准化实操流程”,为企业提供了一套可落地的合规方案。
