Audit trail: cos’è e perché è importante nel Pharma & Life Science
Le industrie Life Science sono soggette a stringenti normative per la gestione e sicurezza dei dati sia cartacei che digitali.
In merito al dato digitale, negli ultimi anni le autorità regolatorie internazionali, FDA ed EMA in testa, stanno profondamente cambiando la loro struttura in ottica digital transformation e stanno spingendo sempre di più anche le aziende Life Science a digitalizzare i loro processi e quindi la documentazione con sistemi sicuri e compliant.
Reference: FDA’s “All-in” Approach to Enterprise Transformation
Digitalizzare i dati in compliance significa attenersi alle linee guida e normative di riferimento e questo vale tanto per le aziende produttrici di farmaci e medical devices quanto per i loro fornitori di sistemi informatici.
Tra le funzionalità cardine di un sistema informatico compliant all’interno del settore Life Science, c’è l’Audit Trail. Nei prossimi paragrafi andremo ad approfondire il tema con un focus sulle normative di riferimento e consigli per scegliere in modo consapevole un sistema con un audit trail efficiente e compliant.
Cos’è un Audit Trail?
Con il termine Audit Trail intendiamo una registrazione cronologica delle attività eseguite sul sistema, sufficiente a garantire la ricostruzione, la revisione, l’esame della sequenza di attività che hanno condotto al record finale.
Perché è importante un Audit Trail?
L’Audit Trail è parte della documentazione GMP ed è un requisito normativo. La tracciabilità, l’integrità e sicurezza del dato è collegata alla sicurezza e alla qualità del prodotto e quindi alla salute del paziente, in questo senso l’Audit Trail è fondamentale per la qualità dell’azienda e strumento per il controllo esterno da parte delle autorità. Inoltre l’Audit Trail tracciando ogni valore aiuta a recuperare i dati.
Fino a non molto tempo fa, l’Audit Trail non era disponibile in molti dei sistemi GMP rilevanti delle aziende Pharma & Life Science, nonostante questa funzionalità esistesse da decenni nei sistemi moderni.
Nel momento in cui la conformità a FDA CFR 21 Part 11 e EU Annex 11 è stata seriamente introdotta nelle aziende e sempre più richiesta dalle autorità, l’Audit Trail è diventato più importante e oggi che le recenti linee guida e requisiti sull’integrità dei dati sono “l’argomento caldo” negli ambienti GxP, avere un buon l’Audit Trail (oltre che un sistema di gestione e revisione robusto) è determinante per la conformità o non conformità dell’azienda.
Audit trail nelle normative e linee guida
Tra le normative di riferimento riprendiamo le più comuni sulla gestione dei sistemi computerizzati che parlano di Audit Trail:
FDA cfr 21 Part 11
Il Sistema computerizzato deve generare automaticamente un Audit Trail sicuro e cronologico che registri la data e l’ora di ingresso a sistema degli utenti e le azioni di creazione, modifica o cancellazione dei record. Le modifiche ai Record non devono oscurare i valori precedenti. L’Audit Trail deve essere conservato almeno per lo stesso periodo richiesto per il record elettronico e deve essere disponibile per revisione e copia della FDA.
Reference: CFR – Code of Federal Regulations Title 21
EU Annex 11
Devono essere automaticamente registrate, in base a un’analisi dei rischi, modifiche e cancellazioni di dati GMP con il motivo della modifica. L’Audit Trail deve essere disponibile e convertibile in formato intellegibile e deve essere periodicamente rivisto.
Il sistema deve consentire la registrazione dell’identità univoca degli operatori che inseriscono o confermano dati critici. Qualsiasi inserimento o alterazione dei dati critici deve
essere autorizzato e registrato con il motivo del cambiamento. Occorre prendere in considerazione, nella costruzione nel sistema, la creazione di un registro completo di tutti i dati inseriti e delle modifiche effettuate (Il cosiddetto “Audit Trail” generato dal sistema).
L’Audit trail deve rispecchiare con precisione i cambiamenti apportati sul sistema. Per esempio, se un record elettronico è stato creato utilizzando una serie di campi dati, tutti questi campi di dati devono essere collegati all’interno dell’Audit trail. L’obiettivo è quello di avere uno storico di come il dato è stato modificato nel tempo. L’Audit trail deve essere sempre disponibile ed in formato umanamente leggibile.
Reference: EU Annex 11 Computerised Systems
Responsabilità del fornitore
La competenza e l’affidabilità di un fornitore sono fattori chiave nella scelta di un prodotto
o servizio. Un fornitore di sistemi computerizzati GMP rilevanti deve garantire un sistema dotato di Audit Trail che registri tutte le azioni di creazione, modifica e cancellazione dei record elettronici insieme a data e ora, utente e descrizione dell’evento. Tali registrazioni devono essere sicure e protette da alterazioni.
Digitalizza la tua azienda con PRAGMA4U
Una piattaforma, infiniti processi
Audit Trail Review
Così come per tutti i documenti GMP, la review dell’Audit Trail è necessaria. Avere un Audit Trail non garantisce infatti il rispetto dei requisiti, pertanto è fondamentale controllarlo sistematicamente per sfruttarne tutte le funzionalità. A tale scopo, ogni azienda dovrebbe implementare una SOP, in cui si definisce la strategia e la procedura per la review dell’audit trail in conformità con i principi di risk management.
Per quanto riguarda la frequenza di revisione dell’Audit trail, questa dovrebbe rifarsi pertanto a un approccio risk-based, basato sui rischi rispetto alla qualità e sicurezza del prodotto, del processo, del paziente.
Per la revisione dell’Audit Trail di processo questa dovrebbe essere fatta su ogni processo, se incide sul rilascio del lotto, altrimenti è periodica.
La system audit trail review si fa periodicamente sulla base della criticità (di utilizzo) del sistema, di eventuali limiti tecnologici del sistema (es. dopo un certo numero di record il sistema sovrascrive i dati), ecc.
Quali dati dovrebbe contenere un Audit Trail?
Data e Ora
Il tracciamento della data e l’ora di un’azione svolta nel sistema è uno dei componenti più importanti per mantenere registrazioni elettroniche sicure.
Log accessi
Gli accessi e i tentativi non validi di accedere al sistema devono essere registrati nell’audit trail.
Tipo di azione
L’audit trail deve indicare il tipo di azione effettuata sul record: creazione, modifica, disattivazione, cancellazione
Collegamento al record corrispondente
In molti casi, questo collegamento di riferimento sarà l’ID univoco del record corrispondente. Ciò è necessario per la tracciabilità e quindi garantire che il percorso possa essere ricondotto direttamente al record.
ID utente
Insieme a un collegamento al record, ogni voce dell’audit trail deve essere riconducibile alla persona responsabile della creazione, modifica o eliminazione del record.
Valori originali e modificati
Tutti i valori applicati a un record nel tempo devono essere presenti nell’audit trail. Ciò garantisce che una cronologia completa venga preservata e possa essere rivista.
Motivo del cambio
Le modifiche apportate durante la stesura o la raccolta dei commenti di revisione di un record di documento in genere non necessitano di essere tracciati per l’audit, ma nel caso di dati GXP è necessario un “registro” per annotare i motivi alla base di una modifica e dovrebbe essere gestito tramite un processo di modifica controllato.
Audit Trail leggibili e accessibili: l’interfaccia di PRAGMA4U
PRAGMA4U digitalizza i processi aziendali in compliance alle stringenti normative delle aziende Pharma e Life Science e automatizza le attività ripetitive.
La piattaforma gestisce dati GxP critici ed è confome alla FDA CFR 21 Part 11 e EU Annex 11.
PRAGMA4U dispone quindi dell’Audit Trail, gestito in una specifica area di lavoro e progettato con approccio human-centered per facilitare l’utente nell’accessibilità e leggibilità del dato attraverso un’interfaccia intuitiva.
Quali sono i vantaggi?
Molti sistemi GMP rilevanti pur possedendo tutte le caratteristiche dettate dalle normative hanno Audit Trail complessi e di conseguenza richiedono un maggiore sforzo e tempo di revisione dei dati. In PRAGMA4U l’intenzione di facilitare il più possibile il lavoro delle persone ha portato ad introdurre all’interno dell’Audit Trail delle facilitazioni nella ricerca, nella lettura del dato, nella creazione di salvataggi automatici di ricerche.
Lettura facilitata della tabella
Nella tabella dell’Audit Trail i dati sono organizzati in modalità user-friendly nella sequenza più semplice di lettura, per esempio il dato originale è inserito contestualmente al dato modificato, così da avere in un colpo d’occhio la modifica e la motivazione.
Audit Trail di processo e audit trail di sistema
In PRAGMA4U gli Audit Trail di processo sono separati dagli audit trail di sistema.
Tracciabilità
Negli audit trail di processo, l’utente può risalire alla localizzazione precisa del dato nella sezione del processo direttamente nell’area Audit Trail.
Filtri avanzati
I filtri avanzati facilitano la visualizzazione e revisione, soprattutto nel caso dell’Audit Trail di processo (dati), poiché l’utente può selezionare oltre al range di date, informazioni sempre più dettagliate fino al codice del processo per individuare tutto lo storico accaduto.
Salvataggio ricerche
Nel momento in cui si effettua un audit trail il sistema lo salva automaticamente cosìcché l’utente possa rivederlo in un secondo momento e/o aggiornarlo con un nuovo time range.
Invio email ed esportazione
Un utente può inviare dal sistema l’audit trail via email o scaricarlo in formato PDF.