制药行业计算机化系统管理过程中，审计追踪是一个非常重要的环节。无论是中国还是欧盟的GMP附录，均对审计追踪的要求进行了详尽描述。然而，行业内尚未形成针对审计追踪功能的设计、测试和审核的系统性管理策略，导致企业在合规管理过程中因缺乏系统性管理而面临不必要的风险和缺陷。本文从审计追踪的设计、测试和审核角度出发，探讨如何进行审计追踪系统性管理，以提高企业计算机化系统的合规管理水平。

Part1 引言

自 2015 年制药行业数据完整性风暴以来，审计追踪一直是业内热议的话题，甚至数据完整性风暴的起源就是通过审计追踪检查发现的。各国随后出台了一系列数据完整性和计算机化系统指南，其中审计追踪管理占据了重要地位。我国也及时发布了 GMP附录《计算机化系统》^[1] 和《药品记录与数据管理要求（试行版）》^[2]，从官方层面正式对制药企业的计算机化系统提出了全面的合规管理要求，并在审计追踪要求和监管方面提出了诸多设想。同时，国家药品监督管理局信息中心正式发布并实施了《疫苗生产检验电子化记录技术指南》^[3] 和《血液制品电子化记录技术指南》^[4]，标志着疫苗和血液制品两种特殊药品生产管理信息化的全面实施。由于生产检验相关数据承载了大量药品的关键信息，指南对数据审计追踪的要求也给予了高度关注。

Part2审计追踪的目的 

NMPA GMP 附录《计算机化系统》指出，计算机化系统应记录输入或确认关键数据人员的身份。只有经授权人员方可修改已输入的数据。每次对已输入的关键数据进行修改，均须经过批准，并详细记录更改数据的理由。应根据风险评估的结果，考虑在计算机化系统中建立数据审计跟踪系统，以记录数据的输入和修改以及系统的使用和变更。《疫苗生产检验电子化记录技术指南（试行）》对审计追踪的功能、审核和管理提出了更全面的要求。综合来看，审计追踪的功能并非像权限管理那样通过控制访问级别来确保操作合规和数据完整性，而是通过关键操作留痕的方式，让后续能够有效追溯现有操作的合规性和潜在风险，这也是GMP 管理的一个重要指标。因此，审计追踪管理的前提是系统必须具备独立账户追溯到个人的能力。从系统角度来看，只能追溯到账户，如果账户是公用的，那么审计追踪的对象将陷入不确定性，进而使得追踪失去实际意义。综合来看，审计追踪还具备以下目的：

• 检查并确认异常操作是否合规，例如时间调整是否按照公司 SOP，是否有质量评估，是否有相应的记录证明；
• 发现不合规操作，并采取必要的后续干预措施，例如，若人员调整了产品灭菌时间，导致实际灭菌时间短于验证状态。此时，鉴于产品无菌性受影响，需暂停产品放行，并按照偏差或公司其他合规流程进行处理；
• 及时发现审计追踪管理过程中需要提升的方面。例如，若审核过程中发现管理员进行了程序下装，而日常管理中缺乏相应的程序下装流程管控，可能导致非受控及超出验证状态的程序下装，所以需建立相应的流程管控机制。

Part3 哪些地方需要设计审计追踪

从法规角度来看，审计追踪至少需要涵盖数据和系统使用操作两个方面，且重点在于追溯“变化”。这种变化一般源于业务流程，因此审计追踪的范围可以基于业务操作进行设计，涉及的业务操作点需进行审计追踪。以配液系统操作员为例，其操作业务示例如图 1 所示。

图 1 配液系统操作员操作业务示例

从图 1 的设计可以看出，操作员进行系统操作时所需的审计追踪范围；然而，日常操作不仅限于操作员，还会涉及其他角色的介入。因此，需要根据不同角色的介入情况建立相应的审计追踪机制，例如管理员创建用户组的审计追踪设计如图 2 所示。

图 2 管理员创建用户组的审计追踪设计

当然，涉及管理员的业务流程众多，如创建账号、修改时间、配置导入等关键操作，均需通过业务流程来确定审计追踪的设计。而配方创建、参数修改等审计追踪可能出现在工艺员的角色业务流程中。这里提到的关键数据，从 GMP 角度出发，越是影响成品质量或患者安全的数据越关键。至少，针对 CQA（关键质量属性）、CPP（关键工艺参数）、CMA（关键物料属性）的控制、监测、检测和安全管理的数据应被视为关键数据。

Part4 审计追踪的测试

审计追踪的设计和测试并非仅是随机检查某个操作是否可追溯的过程，而是基于目的和风险进行全面测试。在审计追踪模块非定制的情况下（5 类模块），通常应进行如下测试。

4.1审计追踪关键字段的全面性

 确认单项审计追踪能追溯全面的信息，关键字段包括操作时间戳（一般精确到分，但是对于某些业务操作，若秒级差异可能影响业务，则需追溯至秒）、操作用户（用户名、用户 ID）、操作类型（如新增、编辑、删除）、操作前后的数据值（如将 2 改成 3）、操作的 IP 地址或设备信息（以追溯是否存在同一账号在多个终端同时或相近时间操作）。
4.2审计追踪的安全性

测试审计追踪不可被常见手段规避，如不可随意停用、业务界面应无法修改和删除、配置界面修改审计追踪应有日志记录。

4.3记录更改后审计追踪是否正常

记录因某种原因更改后，除保留原有信息外，针对记录的审计追踪也应保留。例如，DMS 文件升版后，旧版文件需保留，且针对该文件的审计追踪也应保留（如谁、什么时间修改了文件、签出了文件等）。

4.4审计追踪保留机制

确认审计追踪不应循环存储，而应长期保存，以便人工归档处理。此测试可能需要查看配置界面，或依托供应商的测试文件来证明。

4.5审计追踪查看机制

后续运行阶段的审计追踪需进行审核。审计追踪审核需要由具备专业能力的其他人员进行，并由QA进行抽查。需测试相关人员是否具备查看审计追踪的权限，而非仅限于特定人员（如管理员），也不应出现仅本人可查看自身审计追踪的情况。

4.6审计追踪导出功能

为了完善监管查看机制，审计追踪功能必须支持导出为日常可读的格式，如 PDF。需确认导出信息的全面性和可读性，确保关键信息无遗漏（如数据修改未导出），且导出内容易于有效阅读（避免出现 XX 代码，需查阅说明书才能理解其具体含义）。

4.7审计追踪筛选和排序

需测试是否可以通过模糊字段的方式筛选审计追踪，以便更有效地进行审核，如“删除”，并且可以通过排序方式审核特定时间段的审计追踪。
4.8审计追踪触发完整性

需要测试所有设计的审计追踪类型均能被触发。这个可以与 UAT 测试联合确认审计追踪触发的完整性。例如，在账号创建类 UAT 过程中，确认用户组和用户创建是否触发与审计追踪追溯相关的动作；在配方管理类的UAT 中，确认配方的创建、修改、选择、删除等操作是否触发与审计追踪追溯相关的动作。
4.9备份恢复

如果审计追踪管理独立进行，需要单独确认其备份恢复能力并确保可追溯相关数据。如果是和数据一同备份恢复，则在备份恢复测试中需确认审计追踪数据的完整性。
4.10连续业务操作审计追踪追溯的细节性

部分涉及连续操作的情况，需要测试审计追踪是否可以追溯到每个操作步骤。例如，某关键工艺段投入 4种物料，审计追踪应详细记录每种物料的投入信息，而非笼统地记录某个时间段内由谁投了物料。
4.11某些特殊情况的审计追踪测试

在某些特殊情况下，审计追踪可能会出现异常，因此需要进行相应的测试：

• 当审计追踪存储在本机或中间机上，并在一定时间后转存至服务器时，需要测试网络中断后的恢复情况，确认审计追踪是否可以续传、手动传输或是否存在丢失风险；
• 涉及数据转移的审计追踪，需测试是否需在源系统和目标系统均进行审计追踪。例如，在 ERP 系统中将物料状态改为“非限制”并传输至 WMS系统时，需确保在 ERP 系统中可追溯审计追踪，但如果在 WMS 系统中也需要追溯，则必须将审计追踪数据一同转移。否则 WMS 系统中可能仅记录一个日志信息，描述某接口在何时接收到信息并更改了状态。

Part5审计追踪的审核

根据前文描述，审计追踪是一种操作追溯机制，主要用于事后评估人员的操作合规性，对不合规的操作进行干预，并对合规的操作进行信息补充。因此，对审计追踪进行审核显得尤为重要。在开展审计追踪审核之前，需要预先识别系统中存在的审计追踪类型，并确立明确的判断标准，以确保每位审核人员能够按照统一标准进行操作。例如，当发现一个报警参数被修改时，如何判断该修改既合规又对质量影响可控？不同员工可能对此有不同的见解：a. 有员工可能认为只需在设备日志中登记即可；b. 另有员工则认为需要 QA 签字确认；c. 还有员工认为必须提供完整的评估报告才算合规。由此可见，统一的判断标准至关重要。我们日常工作中常见的审计追踪类型包括：

• 登录类：此类审计追踪主要记录人员的登录和登出情况，一般在特殊情况下配合审核检查使用。若公司具备严格的权限管理制度，理论上不应存在不合规的登录和登出行为。但需特别关注特殊账号（如厂家账户、管理员账号等）的登录，如果发现此类账号进行日常业务操作，需要判断是否有合规流程支持；
• 新建类：如新建配方、方法、录入数据等，需要判断是否有合规流程支持，关键类的新建是否经过复核；
• 修改类：如修改参数、配方等，此类审计追踪需特别关注，除非有特殊情况（如调试），日常原则上不应进行修改；
• 启用和停止类：如启用或停止报警，此类审计追踪同样需特殊关注，特殊情况（如调试、区域停用等）需关联相关记录；
• 终止类：日常运行过程中突然终止操作，可能是预判到趋势即将出现不合格情况，而进行的提前终止操作。对于此类情况，除了审查关键终止记录的原因描述，还需要进一步审查原因的合理性。例如，若某操作终止的原因记录为“试剂忘记放入”，则需继续查看操作前的准备工作是否已确定试剂已放入；
• 动态数据处理类：如手动积分、人工选择报告模板等，如果是 SOP 规定的日常操作，需要确定复核人；如果是 SOP 规定的特殊情况操作，则需要确定相应的授权流程。
• 结果类：如果在相近时间内出现多次测试结果，需要确定多次测试的原因。对于不合格的结果，需确认是否已进行必要的评估；
• 删除类：无论是数据删除还是账号删除，均需遵循相关流程，尤其是数据删除，需要判断是因有效期届满销毁还是空间不足归档，且相关记录需要完整审查。
  

审计追踪的审核工作专业性较强、关键程度高且工作量较大，因此需要明确审核职责。以下摘录相关指南描述：

• PDA TR 84《数据完整性要求在生产制造和包装操作中的应用》^[5] 指出：“执行审计追踪审核的人员必须是独立的，并且在技术上能够理解审计追踪。该人员不应参与所审核数据的创建或确认”；
• CFDI《疫苗生产检验电子化记录技术指南（试行）》规定：“非关键审计追踪的审核可按预定的频次在系统审核期间执行。此类审核应该由使用部门执行，必要时由质量部门进行核查（例如，在批放行、自检或调查性活动期间）”。

从上述两个指南可以看出，审计追踪审核人员需要具备独立性、相关技术水平且不能是记录的产生者和确认人。对于关键每批次的审计追踪，一般和批生产记录一同审核，而对于非每批次的审计追踪，建议由使用部门进行审核，质量部门则在特殊情况下进行核查。

Part6审计追踪和设备使用日志的关系

从上述内容可以看出，审计追踪是对操作过程的追溯，而同样用于设备操作追溯的还有一份文件，名为“设备使用日志”。两者是否存在重复管理？在审计追踪完善的情况下，是否可以取消使用日志？实际上，设备使用日志和审计追踪在概念上存在显著差异。在某些特殊情况下，设备使用日志可以对审计追踪审核进行必要的补充，以确保审核的有效执行。具体如下：

•  2010 版《药品生产质量管理规范》第八十六条规定：“用于药品生产或检验的设备和仪器，应当有使用日志，记录内容包括使用、清洁、维护和维修情况以及日期、时间、所生产及检验的药品名称、规格和批号等”；^[6]
• 从法规描述可以看出，设备使用日志针对的是整个设备，而审计追踪仅针对设备软件。设备还包含机械和传动等部分，如清洗设备、更换轴承等操作，在设备使用软件的审计追踪中是无法追溯的；
• 审计追踪仅反映客观的操作过程，仅凭其内容难以判断操作的合规性。而设备使用日志可以记录“合规性理由”，辅助审核，如日志记录“现场调试设备，更新时间”，以匹配审计追踪中时间调整的解释；
• 设备使用日志可以记录审计追踪审核不合规情况的联动追溯，减少后续的重复解答和分析。例如，设备使用日志记录“X 年 X 月 X 日审计追踪审核发现 XXX 违反 SOP 操作进行时间调整（由 XX 调整为 XX），已开启偏差调查，偏差编号 XXX”；
• 设备使用日志记录的事件是一个连续的动作，需要通过审计追踪进一步审查或其他辅助记录进行匹配。例如，设备使用日志记录 XX 时间谁进行了设备调试，而实际设备审计追踪中可能包含调整时间、调整参数、删除配方、新建配方等一系列动作，此时需进行一轮审计追踪审核，以确认对后续使用无影响或进行进一步验证。

Part7结论

审计追踪是计算机化系统和数据完整性管理的重要基石。它主要通过系统功能追溯相关的操作的合理性和合规性，及时干预不合规的操作，从而降低产品风险。由于追溯的特性，其前提条件是系统须具备独立账户管理能力，并从数据关键性角度结合业务操作来确定审计追踪的设计方案。在审计追踪功能投入使用前，必须进行全面测试，测试内容不仅包括其追踪功能的正常运作，还要涵盖搜索、备份恢复等方面的便利性。最后，审计追踪的结果需经过严格审核，尤其是关键数据需逐批审核，且审核工作应由另一位专业人员负责执行。

参考文献

[1] 国家药监局关于发布药品记录与数据管理要求（试行）的公告（2020年第74号）[EB/OL]. (2020-07-01).https://www.nmpa.gov.cn/xxgk/fgwj/xzhgfxwj/20200701110301645.html.

[2] 国家食品药品监督管理总局关于发布《药品生产质量管理规范（2010年修订）》计算机化系统和确认与验证两个附录的公告（2015年第5 4号）[EB/OL]. (2015-05-26). https://www.nmpa.gov.cn/xxgk/ggtg/ypggtg/ypqtggtg/20150526120001509.html.

[3] 国家药品监督管理局信息中心 食品药品审核查验中心关于发布《疫苗生产检验电子化记录技术指南（试行）》的通告（2022年第1号）[EB/OL]. (2022-06-27).https://www.nmpa.gov.cn/xxgk/ggtg/yptg/20220627160503117.html.

[4] 国家药品监督管理局信息中心 食品药品审核查验中心关于公开发布《血液制品生产检验电子化记录技术指南（试行）》的通告（2024年第1号）[EB/OL]. (2024-06-11). https://www.nmpaic.org.cn/yjzcfg/202509/t20250905_428512.html.

[5] PDA. Technical Report No. 84(TR 84): Integrating Data Integrity Requirements into Manufacturing and Packaging Operations[M/OL]. 2020-09. https://www.pda.org/bookstore/product-detail/5801-tr-84-data-integrity.

[6] 中华人民共和国卫生部. 药品生产质量管理规范（2010年修订）[S].卫生部令第79号. 2011.