Audit Trail: le non conformità più comuni

Durante le ispezioni si riscontrano spesso non conformità legate ai sistemi computerizzati. In cima alla lista troviamo quelle legate all’Audit Trail.

An audit trail is a chronology of the “who, what, when, and why” of a record.

FDA Data Integrity Guidance for Industry, 2016

Dunque l’Audit Trail è definito come l’insieme dei metadati registrati in merito alle informazioni critiche per permettere la ricostruzione delle attività GMP.

I requisiti regolatori

Le non conformità riscontrate nel corso delle ispezioni in relazione all’Audit Trail sono molteplici e spesso correlate al software utilizzato. Infatti i fornitori di software o di sistemi spesso non forniscono ciò che è effettivamente richiesto dalle normative

Ma dove viene il requisito per la funzionalità di audit trail in un sistema computerizzato?
Un riferimento si trova nel capitolo 4 delle EU GMP:

… Any change to an entry in a document should be signed off and dated. Despite modification, the original information should remain legible. If indicated, the reason for the change should be recorded.

EU GMP, § 4.9

Queste informazioni possono essere trovate anche nella linea guida GAMP Records and Data Integrity:

“Audit trails should be considered part of records.”

GAMP, §18.7

Anche l’Annex 11 parla di Audit Trail richiedendone la presenza sulla base di un risk assessment e inserendo tra i requisiti anche la review.

Consideration should be given, based on a risk assessment, to building into the system the creation of a record of all GMP-relevant changes and deletions (a system generated “audit trail”). For change or deletion of GMP-relevant data the reason should be documented. Audit trails need to be available and convertible to a generally intelligible form and regularly reviewed.

Annex 11, EU GMP

Nel 2018, anche MHRA ha unito il concetto di review alla valutazione del rischio. Nello stesso documento si fa specifico riferimento a chi si occupa della review e si afferma l’importanza di una conoscenza sufficiente allo svolgimento dell’attività.

Routine data review should include a documented audit trail review where this is determined by a risk assessment.

[…] Reviewers should have sufficient knowledge and system access to review relevant audit trails, raw data and metadata.

MHRA ‘GXP’ Data Integrity Guidance and Definitions, 2018

Non conformità trovate da FDA

Ma non sono solo gli ispettori Europei a trovare non conformità relative agli Audit Trail in sede di ispezione. Ecco qualche esempio proveniente da Warning Letter FDA:

We also note that your SOP does not have provisions for any audit trail reviews to ensure that deletions and/or modifications do not occur.

Gulf Pharmaceutical Industries, 2012

In addition, your firm’s review of laboratory data does not include a review of an audit trail or revision history to determine if unapproved changes have been made.

Sunrise, 2010

During the walkthrough of the Control Room where Formulation Plant processes were being monitored using a Building Automation System, we observed that the system was not qualified and had no audit trail capabilities. In addition, when asked about the alarms on the system, the Sr. Assistant Instrumentation group, stated that he would reset and clear the alarms.

Strides Pharma Science Limited, India, 2019

FDA ha inoltre pubblicato la Guidance for Industry Data Integrity and Compliance with drug CGMP_ Questions and Answers.
La linea guida è la versione aggiornata della bozza pubblicata nel 2016 e comprende informazioni aggiornate sul punto di vista dell’Agenzia in merito alle best practice per progettare, mettere in opera, monitorare e mantenere un sistema di data integrity.
La struttura del documento prevede 18 domande e risposte. Le domande 8 e 9 riguardano la review dell’audit trail.

Ne avevamo parlato in questo articolo

Non conformità più comuni

Tante sono le non conformità che vengono riscontrare riguardanti l’Audit Trail. Le più comuni sono le seguenti:

  • Un membro del personale di Laboratorio ha i diritti di un amministratore di sistema ed è in grado di apportare modifiche non rilevabili durante le analisi, di attivare o disattivare l’Audit Trail.
  • Non viene descritta alcuna azione da intraprendere in caso di problemi durante la review.
  • Non esiste una politica chiara su chi sia autorizzato a disabilitare la funzionalità di Audit Trail e su come documentare questa attività.
  • Il rilascio del lotto viene effettuato senza la revisione dei dati rilevanti dell’Audit Trail.
  • Mancano SOP e istruzioni sulla gestione dell’Audit Trail:
    • Quando e con che frequenza effettuare la review
    • Chi deve eseguire la review
    • Come archiviare l’Audit Trail
    • Quando un Audit Trail può essere cancellato
    • Quali dati sono considerati critici
    • Come documentare la review
    • Quali azioni intraprendere in caso si identifichino dei problemi durante la review.

Approfondisci il tema della data integrity in Laboratorio

Conclusione

In conclusione, ci sono alcune cose che è bene tenere in considerazione quando si parla di Audit Trail:

  • L’Audit Trail è parte della documentazione GMP ed è un requisito normativo
  • Così come per tutti i documenti GMP, la sua review è necessaria
  • Il risk assessment serve a determinare quando effettuare la review e con che frequenza
  • L’audit trail dovrebbe essere parte della convalida del sistema. La documentazione di convalida serve a dimostrare che gli audit trail sono funzionali e che tutte le attività e i cambiamenti sono registrati in una forma utilizzabile.

Per il futuro, si spera che in una nuova revisione dell’Annex 11 vengano dettagliati e specificati meglio i requisiti per l’Audit Trail in modo da ridurre sensibilmente le non conformità riscontrate in sede di ispezione.


Fonti

EU GMP Capitolo 4

EU GMP Annex 11

FDA Data Integrity and Compliance with drug CGMP_ Questions and Answers.

Sistemi computerizzati in ambito GCP

Sconto del 15% per iscrizioni anticipate (entro 30 giorni dalla data dell’evento)
Sconto del 20% sul secondo iscritto della medesima azienda

A chi si rivolge

Il webinar si rivolge al personale di QA degli sponsor ed in particolare di chi si occupa degli audit, ma più in
generale a chi gestisce gli studi clinici, anche all’interno delle CRO.

Programma

Quality Systems propone un webinar di approfondimento sul tema “Sistemi informatici in ambito GCP”.
I relatori, consulenti del settore, illustreranno i requisiti regolatori e le aspettative delle Autorità sulla convalida dei sistemi informatici utilizzati per gli studi clinici, anche alla luce del crescente impiego di Software in cloud.

Saranno trattati in dettaglio i criteri di base della convalida dei sistemi informatici nell’ambito della ricerca clinica
e ci saranno momenti di confronto e dibattito durante i quali i relatori risponderanno alle domande dei partecipanti.
Non verrà tralasciato l’approfondimento normativo, e sarà presa in esame anche la nuova draft EMA Guideline on computerised systems and electronic data in clinical trials.

Si ricorda che le iscrizioni chiudono 7 giorni lavorativi prima dell’evento

Principali argomenti in agenda

  • Definizioni e Data Integrity per GCP
  • Requisiti regolatori
    • La nuova draft EMA Guideline on computerised systems and electronic data in clinical trials
  • Convalida degli Electronic Data Systems
    • Software Life Cycle
    • Platform Life Cycle
    • Study Life Cycle
  • Convalida e outsourcing

POLICY DI CANCELLAZIONE
Non è possibile annullare gratuitamente la propria iscrizione dopo il ricevimento della email di CONFERMA dell’evento. Trascorso tale termine, sarà addebitata l’intera quota di iscrizione.
L’eventuale disdetta di partecipazione dovrà essere comunicata in forma scritta.
In qualsiasi momento sarà possibile sostituire il nominativo dell’iscritto con altro nominativo purchè questo venga comunicato via posta elettronica almeno 1 giorno prima della data dell’evento.

Approvare documenti GxP da remoto è possibile con qualche accorgimento

A causa della pandemia di COVID-19, molte aziende hanno incentivato il lavoro da remoto. Tuttavia i maggiori problemi che si riscontrano sono quelli relativi alla firma e all’approvazione della documentazione GxP.

MHRA ha quindi pubblicato una linea guida che prende in considerazione cosa fare per approvare i documenti anche in smart working.

L’agenzia suggerisce alle aziende che dispongono già di sistemi elettronici convalidati che supportano le firme elettroniche in remoto di continuare ad utilizzarli per l’approvazione documentale.

Nonostante possano essere condivisi con chi lavora da remoto, spesso per i documenti tradizionalmente stampati su carta – quali protocolli di convalida, risk assessment, technical report, SOP o richieste di change – mancano sistemi formali che descrivano il processo di revisione e approvazione fuori dal sito.

Principi per approvare i documenti da remoto

La soluzione a questo problema dipende dalle aziende, dal tipo di documenti, dagli strumenti disponibili (stampanti, scanner, software) e dalle persone che devono approvare i documenti.

Indipendentemente dal sistema o dal processo utilizzato, è necessario che:

  • I controlli siano proporzionati al rischio e considerino il tipo di documento e i metodi usati per distribuirlo e approvarlo.
  • La firma da remoto sia equivalente alla firma manoscritta del firmatario.
  • Il metodo per la distribuzione e l’approvazione dei documenti minimizzi il rischio di errore dovuto a fraintendimenti su cosa vada rivisto/approvato.

Ad esempio:

  • il documento firmato deve riportare il nome e il numero del documento/la versione in modo che sia chiaro qual è il documento approvato;
  • se la persona non ha a disposizione uno scanner, la scansione può essere sostituita da una fotografia a patto che il documento sia chiaramente leggibile;
  • non è accettabile incollare l’immagine della firma su un documento perchè si perdono l’attribuibilità e la compliance ai requisiti GxP; bisogna invece che il documento sia stampato, firmato e scansionato;
  • approvare un documento/processo per email è appropriato solo per processi a basso rischio (ad esempio l’approvazione della revisione di una SOP) ma non per firme su documenti che impattano la qualità del prodotto;
  • in caso di documenti in cartelle condivise è necessario che ci siano controlli per evitare modifiche ai documenti e garantire la disponibilità dell’ultima versione di un file.

Approvare i documenti da remoto: i rischi

Nella valutazione dei rischi legati all’approvazione di documenti GxP da remoto, bisogna considerare:

  • l’attribuibilità della firma ad un individuo
  • i requisiti legislativi e le linee guida GxP sulla firma
  • la criticità della firma (ad esempio la firma della QP per il rilascio di un lotto è più critica della firma per l’approvazione di un piano di training)
  • la sicurezza della firma elettronica
  • la registrazione dell’azione di firma in modo che il documento non possa essere alterato senza invalidare la firma stessa
  • la disponibilità di tutti i dati associati alla firma.

Fonti

Potrebbe interessarti anche:

videocorso

Audit Trail Review dei sistemi computerizzati di laboratorio – CONFERMATO

A chi si rivolge

Il seminario è dedicato ai responsabili e al personale del Lab QC, ai QA coinvolti nella review dei dati di laboratorio o negli audit di data integrity e agli auditor responsabili di auto-ispezioni e audit presso i fornitori.

Programma

L’Annex 11 delle EU GMP sui sistemi computerizzati richiede la review periodica dell’audit trail.
Inoltre le linee guida MHRA, WHO, FDA, EMA e PIC/S sul data integrity sottolineano la necessità di eseguire la review dei dati dell’audit trail da parte di una seconda persona.

Tutte le linee guida dicono di fare la review dell’Audit Trail ma non come farla, lasciando a ciascun laboratorio l’interpretazione e l’implementazione: serve una funzione di Audit Trail per tutti i software? chi deve eseguirla? con quale frequenza?

Questa situazione è ulteriormente complicata dal fatto che molte applicazioni software sono state progettate prima che la data integrity diventasse di interesse per le Autorità.

Questo corso è sviluppato per aiutare le aziende farmaceutiche e di API a comprendere come gestire la review dell’Audit Trail e come effettuarla utilizzando un approccio risk based.

Obiettivi

  • Comprendere i requisiti regolatori per la review dell’Audit Trail dei sistemi computerizzati di laboratorio.
  • Identificare le responsabilità e le modalità per l’esecuzione della review.
  • Identificare probabili problemi di data integrity grazie all’analisi di esempi di Audit Trail.

Principali argomenti in agenda

  • Requisiti regolatori: EU, FDA, MHRA, WHO e PIC/S
  • Audit Trail durante le ispezioni: quali sono le aspettative dell’Autorità?
  • Tipologie e Life cycle dei dati nel Laboratorio
    • Quali sono i dati GMP-relevant?
    • Dati critici e come determinarli
  • Convalida delle funzioni di Audit Trail: 
    • Definizione dei requisiti
    • Configurazione dell’audit trail
    • Review by exception
    • Log vs audit trail
  • Audit Trail review
    • quando eseguirla
    • chi deve farla
    • come eseguirla e documentarla
    • cosa cercare
  • Second Person Review e Audit Trail Review

Convalida e gestione dei sistemi computerizzati per Dispositivi Medici

Sconto del 15% per iscrizioni anticipate (30 giorni dalla data dell’evento)
Sconto del 20% per il secondo iscritto della medesima azienda

A chi si rivolge

Il corso è indirizzato al personale QA, IT e a tutte le funzioni aziendali che lavorano con sistemi computerizzati con impatto sui sistemi di gestione e produzione di Dispositivi Medici.

Programma

Una delle novità presentata dalla nuova ISO 13485:2016 riguarda il requisito 4.1.6 che richiede la validazione di ogni applicazione software che abbia influenza sul Sistema di Gestione della Qualità dei prodotti MD.
Questo conferma la volontà di accrescere l’affidabilità dei MD e in particolare delle applicazioni software, non limitandosi a quelle che permettono la produzione ed il controllo dei dispositivi commercializzati, ma estendendo il requisito di convalida a tutti gli strumenti informatici del Sistema di Gestione dei MD.

La nuova ISO 13485 si avvicina così al 21 CFR Part 820 che attualmente permette di commercializzare i dispositivi medici negli Stati Uniti ed in altri Paesi del mondo.

Durante la giornata la docente approfondirà i requisiti normativi e gli aspetti pratici legati alla convalida dei sistemi computerizzati in accordo al nuovo documento di riferimento ISO/TR 80000-2, fornendo ai partecipanti tutti gli strumenti indispensabili per assicurarne l’affidabilità e garantire la loro efficace gestione.

Il corso NON affronterà la validazione di un software medico e software all’interno di dispositivi medici.

Si ricorda che le iscrizioni chiudono 7 giorni lavorativi prima dell’evento

Obiettivi

  • Familiarizzare con le richieste regolatorie applicabili ai sistemi computerizzati.
  • Approfondire le linee guida fondamentali per la convalida dei sistemi IT e per il loro mantenimento.

Parleremo di:

  • Introduzione
  • I requisiti per la convalida
    • FDA 21 CFR part 820 e ISO 13485:2016
    • FDA 21 CFR part 11
  • Le linee guida
    • FDA General Principles of Software validation
    • ISO/TR 80002-2
    • ISO/TR vs GAMP5
  • Attività e documenti del ciclo di vita
    • La convalida iniziale
    • Il mantenimento
    • Il retirement
  • Esempi di strategia di convalida e tool

POLICY DI CANCELLAZIONE
Non è possibile annullare gratuitamente la propria iscrizione dopo il ricevimento della email di CONFERMA dell’evento. Trascorso tale termine, sarà addebitata l’intera quota di iscrizione.
L’eventuale disdetta di partecipazione dovrà essere comunicata in forma scritta.
In qualsiasi momento sarà possibile sostituire il nominativo dell’iscritto con altro nominativo purchè questo venga comunicato via posta elettronica almeno 1 giorno prima della data dell’evento.

contatti

Convalida dei sistemi informatizzati e conformità all’Annex 11 e 21 CFR parte 11

Sconto del 15% per iscrizioni anticipate (entro 30 giorni dalla data dell’evento)
Sconto del 20% sul secondo iscritto della medesima azienda

A chi si rivolge

Il corso è indirizzato al personale QA, IT e a tutte le funzioni aziendali coinvolte nella gestione dei sistemi computerizzati ad impatto GxP in ambito farmaceutico, medicale, biotech e CRO, inclusi i fornitori di apparecchiature e servizi.
Il seminario risulterà sicuramente interessante anche a chi si avvicina per la prima volta alla convalida dei sistemi informatizzati.

Programma

L’aumento di strumenti ed applicazioni informatiche per la gestione e il controllo di processi GxP critici rende ogni giorno più di attualità il tema della Computer Systems Validation quale solida base per garantire il Data Integrity.
QS ripropone questo seminario interamente dedicato ai sistemi computerizzati che fanno da supporto alle attività dell’industria farmaceutica.

Durante la giornata la docente approfondirà i requisiti normativi e gli aspetti pratici legati alla convalida dei sistemi computerizzati, fornendo ai partecipanti tutti gli strumenti indispensabili per assicurare l’affidabilità dei sistemi e creare un sistema di qualità indispensabile alla loro continua gestione.

La docente analizzerà il quadro normativo prendendo in considerazione la nuova linea guida utilizzata dall’FDA durante le ispezioni e le linee guida GAMP5 e PCI/s 011 per la convalida delle diverse categorie di sistemi e il loro mantenimento.

Si ricorda che le iscrizioni chiudono 7 giorni lavorativi prima dell’evento

Obiettivi

  • Familiarizzare con gli strumenti indispensabili per assicurare l’affidabilità dei sistemi computerizzati
  • Approfondire le linee guida GAMP5 e PCI/s 011 per la convalida delle diverse categorie dei sistemi IT e per il loro mantenimento.

Principali argomenti in agenda

  • Il nuovo EU GMP Annex 11 e il nuovo Cap. 4 delle EU GMP
  • Confronto con il 21 CFR Parte 11
  • I diversi approcci della convalida
  •  Analisi dei rischi
  • Categorie dei sistemi
  • La linea guida PIC/s 011 e le GAMP5
  • Pianificazione, convalida e gestione dei sistemi computerizzati
  • Come mantenere lo stato di convalida: manutenzione, change control, back-up, gestione degli accessi
  • Esempi applicativi: fogli elettronici, qualifica delle infrastrutture …
  • Domande e discussione

POLICY DI CANCELLAZIONE
Non è possibile annullare gratuitamente la propria iscrizione dopo il ricevimento della email di CONFERMA dell’evento. Trascorso tale termine, sarà addebitata l’intera quota di iscrizione.
L’eventuale disdetta di partecipazione dovrà essere comunicata in forma scritta.
In qualsiasi momento sarà possibile sostituire il nominativo dell’iscritto con altro nominativo purchè questo venga comunicato via posta elettronica almeno 1 giorno prima della data dell’evento.