Audit Trail: le non conformità più comuni

Durante le ispezioni si riscontrano spesso non conformità legate ai sistemi computerizzati. In cima alla lista troviamo quelle legate all’Audit Trail.

An audit trail is a chronology of the “who, what, when, and why” of a record.

FDA Data Integrity Guidance for Industry, 2016

Dunque l’Audit Trail è definito come l’insieme dei metadati registrati in merito alle informazioni critiche per permettere la ricostruzione delle attività GMP.

I requisiti regolatori

Le non conformità riscontrate nel corso delle ispezioni in relazione all’Audit Trail sono molteplici e spesso correlate al software utilizzato. Infatti i fornitori di software o di sistemi spesso non forniscono ciò che è effettivamente richiesto dalle normative

Ma dove viene il requisito per la funzionalità di audit trail in un sistema computerizzato?
Un riferimento si trova nel capitolo 4 delle EU GMP:

… Any change to an entry in a document should be signed off and dated. Despite modification, the original information should remain legible. If indicated, the reason for the change should be recorded.

EU GMP, § 4.9

Queste informazioni possono essere trovate anche nella linea guida GAMP Records and Data Integrity:

“Audit trails should be considered part of records.”

GAMP, §18.7

Anche l’Annex 11 parla di Audit Trail richiedendone la presenza sulla base di un risk assessment e inserendo tra i requisiti anche la review.

Consideration should be given, based on a risk assessment, to building into the system the creation of a record of all GMP-relevant changes and deletions (a system generated “audit trail”). For change or deletion of GMP-relevant data the reason should be documented. Audit trails need to be available and convertible to a generally intelligible form and regularly reviewed.

Annex 11, EU GMP

Nel 2018, anche MHRA ha unito il concetto di review alla valutazione del rischio. Nello stesso documento si fa specifico riferimento a chi si occupa della review e si afferma l’importanza di una conoscenza sufficiente allo svolgimento dell’attività.

Routine data review should include a documented audit trail review where this is determined by a risk assessment.

[…] Reviewers should have sufficient knowledge and system access to review relevant audit trails, raw data and metadata.

MHRA ‘GXP’ Data Integrity Guidance and Definitions, 2018

Non conformità trovate da FDA

Ma non sono solo gli ispettori Europei a trovare non conformità relative agli Audit Trail in sede di ispezione. Ecco qualche esempio proveniente da Warning Letter FDA:

We also note that your SOP does not have provisions for any audit trail reviews to ensure that deletions and/or modifications do not occur.

Gulf Pharmaceutical Industries, 2012

In addition, your firm’s review of laboratory data does not include a review of an audit trail or revision history to determine if unapproved changes have been made.

Sunrise, 2010

During the walkthrough of the Control Room where Formulation Plant processes were being monitored using a Building Automation System, we observed that the system was not qualified and had no audit trail capabilities. In addition, when asked about the alarms on the system, the Sr. Assistant Instrumentation group, stated that he would reset and clear the alarms.

Strides Pharma Science Limited, India, 2019

FDA ha inoltre pubblicato la Guidance for Industry Data Integrity and Compliance with drug CGMP_ Questions and Answers.
La linea guida è la versione aggiornata della bozza pubblicata nel 2016 e comprende informazioni aggiornate sul punto di vista dell’Agenzia in merito alle best practice per progettare, mettere in opera, monitorare e mantenere un sistema di data integrity.
La struttura del documento prevede 18 domande e risposte. Le domande 8 e 9 riguardano la review dell’audit trail.

Ne avevamo parlato in questo articolo

Non conformità più comuni

Tante sono le non conformità che vengono riscontrare riguardanti l’Audit Trail. Le più comuni sono le seguenti:

  • Un membro del personale di Laboratorio ha i diritti di un amministratore di sistema ed è in grado di apportare modifiche non rilevabili durante le analisi, di attivare o disattivare l’Audit Trail.
  • Non viene descritta alcuna azione da intraprendere in caso di problemi durante la review.
  • Non esiste una politica chiara su chi sia autorizzato a disabilitare la funzionalità di Audit Trail e su come documentare questa attività.
  • Il rilascio del lotto viene effettuato senza la revisione dei dati rilevanti dell’Audit Trail.
  • Mancano SOP e istruzioni sulla gestione dell’Audit Trail:
    • Quando e con che frequenza effettuare la review
    • Chi deve eseguire la review
    • Come archiviare l’Audit Trail
    • Quando un Audit Trail può essere cancellato
    • Quali dati sono considerati critici
    • Come documentare la review
    • Quali azioni intraprendere in caso si identifichino dei problemi durante la review.

Approfondisci il tema della data integrity in Laboratorio

Conclusione

In conclusione, ci sono alcune cose che è bene tenere in considerazione quando si parla di Audit Trail:

  • L’Audit Trail è parte della documentazione GMP ed è un requisito normativo
  • Così come per tutti i documenti GMP, la sua review è necessaria
  • Il risk assessment serve a determinare quando effettuare la review e con che frequenza
  • L’audit trail dovrebbe essere parte della convalida del sistema. La documentazione di convalida serve a dimostrare che gli audit trail sono funzionali e che tutte le attività e i cambiamenti sono registrati in una forma utilizzabile.

Per il futuro, si spera che in una nuova revisione dell’Annex 11 vengano dettagliati e specificati meglio i requisiti per l’Audit Trail in modo da ridurre sensibilmente le non conformità riscontrate in sede di ispezione.


Fonti

EU GMP Capitolo 4

EU GMP Annex 11

FDA Data Integrity and Compliance with drug CGMP_ Questions and Answers.

Data Integrity nel Laboratorio QC: le cose da ricordare

Ormai da diversi anni la data integrity è un punto chiave della compliance aziendale, ciononostante gli ispettori continuano a riscontrare non-conformità, soprattutto all’interno dei laboratori QC.

Quali tipi di dati vengono raccolti in laboratorio?

  • dati dai lotti testati e dati del personale che esegue i test
  • dati su campionamento e conservazione dei campioni, registrazioni, osservazioni
  • peso e preparazione dei campioni, standard e reagenti utilizzati
  • dati di qualifica e calibrazione degli strumenti utilizzati
  • controlli sugli strumenti
  • sequenze di dati complete
  • dati che devono essere registrati
  • dati di processo
  • calcoli specifici di dispositivo
  • picchi
  • calcoli
  • trend
  • risultati dei suitability test
  • report generati da dati elettronici
  • audit trail, deviazioni e cambi
  • osservazioni documentate
  • calcoli eseguiti utilizzando software esterni

Tutti questi dati devono essere in compliance con i principi ALCOA, o meglio ALCOA plus.

Prendiamo ora in esame gli aspetti fondamentali della data integrity durante la generazione di un dato.


Data integrity in laboratorio: cosa ricordare

  • L’accesso alle funzionalità chiave di amministrazione del sistema (abilitare/disabilitare l’audit trail, cambiare data e ora…) deve essere limitato al solo personale autorizzato e indipendente (segregation of duties).
  • Gli account devono essere, quando applicabile, nominali e non di tipo amministrativo. Non devono esserci account di gruppo o login anonimi. I privilegi degli utenti devono essere assegnati in funzione del ruolo a sistema. Non devono essere assegnati in funzione del ruolo aziendale (es. il QC manager non necessariamente deve aver i privilegi più alti: se entra in un sistema solo per eseguire analisi, deve avere il ruolo di analista junior).
  • E’ essenziale la qualifica, la convalida, la taratura periodica e la manutenzione di tutti i sistemi computerizzati critici, degli strumenti di laboratorio e dei sistemi di valutazione e controllo. 
  • I dati e l’Audit Trail devono essere rivisti prima di prendere decisioni basate sui dati, in particolare per il rilascio del lotto. Le deviazioni devono essere indagate. Devono esserci meccanismi di blocco dei dati per impedire le modifiche a dati verificati/approvati.
  • Non è ammessa la cancellazione, la sovrascrittura di raw data e risultati e il testing-into-compliance.
  • Ogni modifica ai dati (integrazione manuale, riprocessamento o modifica a fattori di calcolo, pesi e quantità) deve essere documentata, deve essere eseguita in accordo a una procedura scritta e deve essere oggetto di revisione.
  • Le analisi devono essere eseguite in accordo a procedure scritte e metodi qualificati. Ogni analisi ripetuta deve essere giustificata in forma scritta.
  • OOS, OOT, OOE o deviazioni devono essere investigate.
  • Se i dati mancano di robustezza e accuratezza (per esempio per una calibrazione o una convalida incomplete) non devono essere utilizzati.
  • L’audit trail deve essere attivo.
  • Le registrazioni devono essere contemporanee e nella documentazione ufficiale (es. quaderni di laboratorio, copie controllate dei moduli,,…).
  • I backup devono essere eseguiti, monitorati e verificati.  

Ottimizzare l’analisi dei dati mediante l’utilizzo avanzato di Excel – CONFERMATO

A chi si rivolge

Il corso è rivolto a chi possiede una conoscenza di base di Excel e vuole approfondire gli argomenti e le funzionalità che possono spingere questo programma ai massimi livelli.

Programma

Una conoscenza avanzata di Excel è una competenza imprescindibile per tutti coloro che quotidianamente si trovano di fronte alla richiesta di analisi dati e di creazione di report di sintesi.

Il docente accompagnerà i partecipanti alla scoperta delle specifiche funzioni di questo applicativo di Office che renderanno semplice il lavoro svolto quotidianamente: gestione di elenchi, filtri, tabelle pivot, funzioni ricerca, introduzione alle Macro.

Obiettivi

  • Comprendere le potenzialità di Excel per l’analisi dei dati
  • Migliorare le proprie competenze analitiche
  • Operare in modo efficace e professionale

Principali argomenti in agenda

  • Presentazione ed introduzione al corso
  • Gestione di elenchi e database
  • Analisi e gestione dei dati: subtotali, istogrammi, formattazione condizionale, protezione del foglio di lavoro
  • Tabelle pivot: creare una tabella, aggiornare dati e campi, creazione di grafici
  • Le funzioni integrate nel foglio di lavoro: funzioni di testo, di data, logiche, di ricerca, matematiche e statistiche
  • L’analisi dei dati
  • Introduzione alle Macro
  • Domande e risposte

data integrity

CONFERMATO! Data Integrity: novità normative e compliance

A chi si rivolge

Il corso è diretto a tutti coloro che vogliono approfondire i requisiti per la corretta gestione del dato GMP in ottica Data Integrity: dalla sua creazione fino all’archiviazione.

Programma

L’attenzione delle Autorità per la Data Integrity non sembra diminuire e prova ne sono le numerose Warning Letter emesse negli ultimi anni e le recenti normative per sottolineare l’importanza della corretta gestione del dato GMP.

Partendo da un’analisi delle recenti normative (emesse dal MHRA e dal WHO) e dalle osservazioni degli ispettori, il docente guiderà i partecipanti attraverso l’analisi critica del processo di generazione dei dati, definendone il loro ciclo di vita e indicando i principali e indispensabili requisiti di sicurezza.

Il corso fornirà indicazioni utili per comprendere cosa le Autorità richiedono concretamente per allinearsi alle nuove Linee Guida e consentirà di valutare in modo critico i propri sistemi di gestione dei dati o quelli di aziende a cui si sono affidate attività rilevanti dal punto di vista GMP, riuscendo così a ottimizzare risorse e sforzi.

Obiettivi

  • Gestire correttamente i dati dalla loro generazione (raw data) all’archiviazione finale.
  • Comprendere i problemi di sicurezza che accompagnano il ciclo di vita del dato GMP.
  • Valutare in modo critico i sistemi IT in ottica Data Integrity.

Principali argomenti in agenda

  • Introduzione al corso
  • Le normative EU/US
  • La nuova linea guida WHO
  • Inspection Issue: FDA-483 e WL
  • I requisiti di integrità dei documenti e dati
  • Il ciclo di vita dei dati: dati grezzi (Raw), copie conformi, dati, metadati,…
  • La Governance dei documenti/dati in formato elettronico
  • Applicare i requisiti di sicurezza:
    – controllo accessi,
    – audit trail e sua verifica
    – backup e restore
    – sicurezza logica
  • Condurre un audit di Data Integrity
  • Le sfide del clouding: è possibile assicurare la compliance dei sistemi affidati a terzi?
  • Domande e risposte

statistica

Elaborazioni statistiche applicate al PQR

Sconto del 15% per iscrizioni anticipate
(entro 30 giorni dalla data dell’evento)
Sconto del 20% dal secondo iscritto della medesima azienda

A chi si rivolge

Il workshop è rivolto al personale di Quality Assurance, responsabili Lab CQ e di Produzione coinvolto nella raccolta, elaborazione e valutazione dei dati GMP fondamentali per la stesura del PQR.

Prerequisiti per la partecipazione:

Conoscenze di base delle principali funzioni statistiche :

  • definizione variabili,
  • indicatori di posizione quali media, moda e mediana,
  • distribuzione gaussiana e suoi principi,
  • indicatori di dispersione quali varianza e dev. standard 

Programma

La scelta corretta dei dati da inserire nel PQR, la loro elaborazione e la creazione di trend adeguati sono operazioni fondamentali per la redazione del PQR e il punto di partenza per una buona valutazione dei parametri di qualità del prodotto.

Il docente saprà illustrare in modo chiaro le elaborazioni statistiche più comunemente utilizzate e più significative, evidenziandone i requisiti minimi di applicabilità e la loro significatività.

Saranno inoltre fornite utili raccomandazioni per la valutazione di trend e la scelta di grafici che possano facilitare l’esposizione dei risultati e la loro lettura.

Si ricorda che le iscrizioni chiudono 7 giorni lavorativi prima dell’evento

Alla fine del corso sarai in grado di:

  • Realizzare trend adeguati che aiutino nel processo di analisi e valutazione dei parametri di qualità del prodotto.
  • Conoscere ed approfondire le elaborazioni di dati più utilizzate.
  • Scegliere grafici che possano facilitare l’esposizione dei risultati e la loro lettura.

Parleremo di:

  • Strumenti per valutare i trend
  • Carte di controllo: come trarne informazioni utili
  • Valutare la capacità del processo
  • Scegliere il grafico giusto 
  • Discussione delle principali problematiche suggerite dai partecipanti

POLICY DI CANCELLAZIONE
Non è possibile annullare gratuitamente la propria iscrizione dopo il ricevimento della email di CONFERMA dell’evento. Trascorso tale termine, sarà addebitata l’intera quota di iscrizione.
L’eventuale disdetta di partecipazione dovrà essere comunicata in forma scritta.
In qualsiasi momento sarà possibile sostituire il nominativo dell’iscritto con altro nominativo purchè questo venga comunicato via posta elettronica almeno 1 giorno prima della data dell’evento.