Revisión del audit trail

 ¿Cómo hacer la revisión del audit trail?

La revisión del audit trail se hace para saber los cambios de datos y metadatos durante su ciclo de vida dentro del sistema informatizado. Garantiza que los datos y metadatos son íntegros. Es decir, ALCOA+. La revisión se hace lo más cerca posible de la generación de los datos. Y, además, la revisión se hace antes de usar los datos para tomar decisiones. Y, en consecuencia, se hace antes de pasar los registros de calidad, al siguiente departamento.

Revisión del audit trail ¿Cuáles es la expectativa de un inspector?

Primero:    Cuando se prepara la URS, basándonos en el riesgo, y vamos a comprar, la funcionalidad de audit trail es un requisito de compra.

Segundo: Si nuestro software no lo tiene, debe actualizarse a versiones que sí lo tengan. Si el software es muy básico, el audit trail se sustituye por un procedimiento manual robusto.

Tercero:     El audit trail se valida. Debe haber test de validación concretos.

Cuarto:      Hay un procedimiento detallado para ejecutar el audit trail.

Quinto:       El usuario (revisor de datos) sabe interpretar el audit trail para decidir si los datos se pueden usar o no, para tomar decisiones.

Sexto:        La frecuencia de revisión del audit trail depende de para qué se usará. Se diferencia el uso crítico (uso 100% a tiempo) del uso no critico (bajo frecuencia basada en el riesgo)

Séptimo:    Si el audit trail dice que los datos no  son íntegros, no se usan: Desviación de integridad de datos.

Octavo:      El audit trail se activa antes de validación y no debe ser posible la desactivación.

Noveno:     El audit trail se revisa cerca de la generación de los datos, antes de usar los datos, y antes de soltar los registros de calidad. Lo revisa el departamento generador. Garantía de Calidad, lo audita.

¿Cómo evitar deficiencias en una Inspección de GMPs?

Primero:     La validación demuestra que el audit trail funciona. El audit trail captura todas las actividades y cambios. En forma de datos y metadatos.

Segundo:   El audit trail se revisa para frecuencias establecidas. De uso crítico y no crítico. Basado en el riesgo.

Tercero:     Si no hay audit trail electrónico, vale un registro en papel. De contenido equivalente.

La falta de revisión del audit trail permite que la Unidad de Calidad y/o la Persona cualificada tomen decisiones sobre datos manipulados o erróneos.

Los consultores de ERANOVA PHARMA son expertos en cumplimiento regulatorio de sistemas informatizados. Incluyendo: Primero, los requerimientos de integridad de la información. Segundo, el diseño de la configuración del sistema. Tercero, la validación de los sistemas informatizados. Cuarto, la redacción de los procedimientos de uso. Y quinto, la auditoría de los sistemas informatizados, basada en el riesgo. Pincha aquí para saber cómo podemos ayudarte con asesoramiento, implementación y formación, mediante un contrato de servicios o mediante acciones individuales.

Registro del audit trail. ¿Qué debe contener un registro?

 Primero:     La funcionalidad de audit trail se configura para cumplir integridad de datos.

Segundo:   El audit trail debe capturar cualquier actividad relacionada con la adquisición, eliminación, sobrescritura y cambios en los datos.

Tercero:     El audit trail debe asegurar que toda actividad mantiene los atributos ALCOA+ de los datos.

Quinto:       El audit trail debe decir quién hizo la actividad, qué se cambió, valor antes y valor después, cuándo (fecha y hora), por qué (justificación GMP). En el caso de datos, además, quien autorizó el cambio.

Sexto:        El audit trail debe permitir reconstruir la secuencia de acontecimientos de un registro electrónico.

Séptimo:    La funcionalidad debe poder permitir la impresión del registro de audit trail y la visualización en pantalla.

Octavo.      No confundir audit trail con control de cambios.

¿Cómo evitar deficiencias en una Inspección?

Primero:     Ve por delante y asegura que tu registro de audit trail captura toda la información requerida.

Segundo:   Siempre debe estar la información antes y después de un cambio.

Tercero:     Las actividades deben quedar registradas con fecha y hora, y ser individualizadas paso a paso.

Procedimiento de uso del audit trail. ¿Cómo evitar deficiencias en una inspección?

El uso del audit trail debe estar documentado en procedimiento. El procedimiento debe indicar la forma de uso en auditoría de sistemas. Y, además, la forma de uso del audit trail para revisar la integridad de los datos antes de usarlos. La primera debe basarse en un ejercicio de gestión de riesgos. El objetivo es establecer la frecuencia de revisión. La segunda debe hacerse justo después de generar los datos, y antes usarlos para tomar decisiones.

El procedimiento debe indicar cómo generar el audit trail en el sistema informático. Paso a paso. Es decir, ha de ser una instrucción de uso. Y debe considerar cada tipo de información. Es decir, política de seguridad, gestión de usuarios, métodos, recetas, secuencias, y, sobre todo, datos.

Además, debe indicar en cada tipo de audit trail, qué cosas concretas se debe revisar, y cuáles son los criterios de aceptación. Es decir, la justificación para poder afirmar que la información es íntegra o no.

Finalmente, debe indicar qué hacer en caso de deficiencias de integridad. Lo normal es usar una referencia cruzada a otro procedimiento. Este procedimiento es el de investigación de desviaciones de integridad de datos.

Revisión del audit trail. ¿Y si no tenemos funcionalidades?

A veces, sucede que las funcionalidades de audit trail no son muy buenas. Esto depende de la edad del software. En este caso, hay que describir otro tipo de revisiones, sobre los ficheros de datos, mediante inspección manual, un software complementario o una actualización a un sistema compatible. Esto se debe hacer para asegurar que no hay evidencias sospechosas de falta de integridad.

Si la remediación no es posible, debe justificarse que se trabaja con otras acciones de mitigación, que admita temporalmente el uso continuado. Se pueden lograr niveles alternativos de control, por ejemplo, mediante el uso de logbooks. Las impresiones de los datos también podrían considerarse si se garantiza la integridad de los datos, incluidos los metadatos. Se debe demostrar que las medidas de control alternativas son efectivas. Basadas en el riesgo. Definidas en procedimiento. Y revisadas periódicamente para su reevaluación.

¿Tú quieres que nosotros te ayudemos?

Los consultores de ERANOVA PHARMA son expertos en cumplimiento regulatorio de sistemas informatizados. Incluyendo: Primero, los requerimientos de integridad de la información. Segundo, el diseño de la configuración del sistema. Tercero, la validación de los sistemas informatizados. Cuarto, la redacción de los procedimientos de uso. Y quinto, la auditoría de los sistemas informatizados, basada en el riesgo. Pincha aquí para saber cómo podemos ayudarte con asesoramiento, implementación y formación, mediante un contrato de servicios o mediante acciones individuales.