计算机化系统合规-定期审查
计算机化系统一旦验证,必须对其进行持续监控,以证明系统维持在验证状态并符合GMP要求。
为了保持验证的状态,必须采取必要程序来记录和分析系统中的变更、错误或故障,以确定其是否仍然适合其预期用途和流程。
验证状态的维护包括通过对工艺数据、变更控制、偏差、CAPA以及其他相关活动的审查,不断证明生产过程仍在控制之中,确保质量和患者安全。
计算机化系统定期审查的频率
定期审查≠再验证,对于计算机化系统,定期审查的周期根据系统的风险程度而决定。
系统投入使用后,根据系统对GxP的影响形成书面的评估,确定定期检查的频率,可根据定期审查结果调整审核的周期。
计算机化系统定期审查范围
一般情况下,GAMP5分类的3、4、5类系统需要定期审查,1类系统可在评估后不列入审核范围
计算机化系统定期审查流程
计算机化系统定期审查的流程应在SOP中概述。
计算机化系统定期审查的方式
定期审查可以作为专门审查进行,也可以利用针对不同运营活动进行的日常审查的结果,例如用户访问审查和问题管理审查。在可能的情况下,定期审查应利用现有的持续审查,如用户访问审查、问题管理审查等,以避免重复劳动。
计算机化系统清单可用于计划定期审查。
计算机化系统定期审查中可能考虑的因素
1. 系统信息
2. 上次定期审查的CAPA有效性
3. 验证文件与SOP
4. 变更控制与配置管理
5. 安全与权限管理
6. 培训管理
7. 运行与操作记录(审计追踪状态)
8. 备份与恢复
9. XaaS云部署情况下的定期审查
1.系统信息:统计系统的相关基本信息。
计算机化系统清单中的基本信息,如系统所在位置、使用部门、所属管理部门、系统编号、系统功能、系统配置信息、系统使用日期、上次审核日期、定期审查的频率等。
2.上次定期审查的CAPA有效性 :
检查上次审核的发现项是否得到妥善地跟踪与处理。
需要确认之前发现的问题是否有明确的CAPA及时间限制,CAPA是否在相应的时间节点完成,书面的证据是否作了相应的归档。
3.验证文件与SOP :
验证文件的归档与管理,SOP与法规的符合性。
对照系统的验证计划及SOP,确认所有验证文件是否都是即时有效。检查这些纸质文件的归档情况,是否按照公司的管理要求妥善保管。还需检查对上一审核周期内,是否有相关的法规或指南的更新,SOP是否及时响应并更新。
4.变更控制与配置管理 :
变更应经过适当的评估,配置管理应与变更或其他事件做关联。
检查周期内该系统的所有变更是否按照变更SOP的要求填写。变更的风险评估是否充分,变更后系统生命周期文档的维护(如业务流程、用户需求、数据生命周期文档、设计等)。当变更触发的影响需要对系统作配置时,配置的测试范围及深度是否基于风险作了充分评估。
5.安全与权限管理 :
用户账户管理、密码管理。
检查系统中的用户组和权限分配是否依旧符合业务流程需求,是否满足职责分离,系统管理员、超级用户、服务用户是否合适。
检查系统安全、用户管理以及权限管理是否按照既有规程进行监控和管理。例如系统是否有未经授权的访问和操作、用户清单是否及时更新,系统中有无已离职、调岗但未做变更的账号,如有,其权限是否及时冻结或撤销,账户是否被重新激活或使用过。
审查既定的密码策略是否被改变,如:密码的长度、特殊字符、字母、数字的规则,强制更改周期等。检查系统中的登录信息,是否有未授权的登录尝试。
6.培训管理 :
检查用户经过适当的培训并始终维持培训的有效性。
检查是否为新用户维护培训记录,培训记录是否依照规程进行管理归档,培训内容是否满足需求,时间逻辑是否恰当等。
7.运行与操作记录 :
查看系统的事件清单与运行维护记录。
按照相关SOP的要求检查是否进行了恰当的系统维护。例如,故障是否有规律地发生,处理措施。
另外通过事件清单或其他途径,识别系统时间是否有人为的修改。审计追踪功能是否被短暂关闭后重新开启。这都预示着可能存在不合规的操作。
8.备份与恢复 :
系统的备份方式是自动还是手动,风险因素是否得到良好的控制。
检查手动备份,介质是否做好生命周期管理,标识、追溯台账,物理安全,访问控制,定期检查介质状态的记录。
检查自动备份是否按既定的系统备份的策略进行增量备份和全备份,如果有备份失败或故障等异常事件,需要执行相应的调查。
查看恢复操作记录,是否都已记录在案。操作的IT人员是否经过备份与恢复的培训。
对涉及到数据迁移的事件也要纳入审核范围。最重要的是迁移后需要检查数据是否完整保存下来,且未发生变化。
系统的备份与恢复,是用来支持业务持续计划(business continuity plan),SOP是否有定义BCP的范围,如硬件、软件、数据等。或者当线上系统宕机,短期无法恢复时,是否考虑用纸质文件来维持业务的持续性。
9.XaaS云部署情况下的定期审查
在XaaS解决方案的情况下,云服务提供商可能无法提供对完整的设置和数据的访问权限以执行定期审查。
应执行基于风险的定期审查,以了解供应商变更管理计划以及配置管理。使用适用于各自受监管公司的已验证系统中可用的历史数据,验证在此期间实施的每项变更的完整性和正确性。另外服务提供商应证明对其控制下的解决方案的所有方面进行了定期审查。
另外需要注意的是:
-
定期审查流程应该是通用的,适用于所有系统。应该应用于操作环境,而不是开发或测试环境。审核的深度和严格程度应基于系统的影响、复杂性和新颖性,或触发审核的事件或事件的性质。
-
在适当的情况下,对IT系统的定期审查可以作为更广泛活动的一部分进行,例如对生产过程的定期审查。
-
定期审查应考虑并参考其他合适的审核,不应重复活动。
-
为特定系统制定个性化的定期审查检查清单会更有益。
-
无论选择何种方法,流程都应形成文件,经管理层的批准,明确责任和决策标准。
总之,计算机化系统验证不是一次性事件,系统一旦验证,必须对其进行持续监控。这种监控必须在产品的整个生命周期内保持。应该清楚的是,验证永远不会真正结束,活动只是从过程设计和过程确认到持续过程验证阶段的变化。