数据的原始记录案例及风险考虑要素

恨我不成钢

关于什么是Original Data（原始数据），WHO的指南给出了这样的定义：首次采集的数据或者采集数据的数据源，也包括后续的数据，这些原始数据可以用于重新构建GxP相关的活动。

对于原始数据，GxP的要求是应该对原始数据进行审核；原始数据或者其真实拷贝需要在记录的整个生命周期内得到保留同时在整个生命周期内可以被获得。

对于原始数据，为纸质的情况下，WHO的指南要求有相应的流程去规定如何去审批原始数据（记录）、审核原始数据的修改并确保有相关的支持性证明，同时重视在审批过程中的签字的含义，对于数据或者记录审核的签字，不应该是仅仅一个签字，而应该代表对于数据的准确，完整，一致以及合规有一个证明和确认。

对于原始记录是电子记录的情况，企业应该将自己对于数据审核的行为从纸质记录方式转化到电子记录审核的方式，这句话说起来简单，做起来真心不易，需要对于计算机化系统有一个深入的理解，需要对自己的业务数据哪些是关键的数据有一个深入的理解。

再说一下所谓的电子签名，电子签名不是电子图片化的签名，而是通过输入用户名和密码的组合，完成的具有特定含义的动作，这在上周五的数据的归属性案例及风险考虑要素同样，对于电子记录的丢失，也应该有相应的调查和纠正措施。

再来看看原始数据相关的风险，对于原始数据不进行必要的审核，而将审核依然停留在纸质数据上，本身就蕴含着风险，并且对原始数据的审核也应该基于风险，这段话中的一个很好的词组Rely Solely Upon，希望大家能好好体会其中的含义。

WHO的指南中也描述了在进行审计追踪审核的时候一些风险的考虑点，WHO的指南没有明确说明，但从潜在的文字下可以读出，所谓的审计追踪有两种类型，一种是类似于系统日志的审计追踪，可以用来追溯系统维护相关的活动，另外一种审计追踪则是对于关键的GMP数据的修改，对于这两种审计追踪，WHO的指南建议都需要基于风险建立一个审核的策略，但是对于后一种审计追踪的审核，需要在进行关键的GMP决策之前或者数据被批准之前。

既然谈到了风险管理，自然又少不了一个关键词，基于流程和知识（Process Understanding and Knowledge Based），包括对于计算机系统本身的知识，其中的数据流，数据和元数据的架构等，有些软件厂商在设计自己的产品的时候，也没有设计一些很好的Query条件，去帮助进行审计追踪的审核，这就要求做为业务流程的所有人或者说数据的所有人去定义哪些是关键数据，如何去审核这些关键数据，并将这些要求细化、内化到公司的质量体系之内。WHO指南还提了一句关于审核时发现非正常数据如何进行处理，但现阶段估计还是先把数据审核的要求理顺了是重点。

对于数据审计追踪审核是否达到预期的目的和规定的要求，指南要求质量部进行定期的自检和抽查，以确保体系的Robust。

对于Hybrid的方法，打印出来的报告通常被认为是一个总结性质的报告，应该审核电子记录还是审核纸质的打印记录的问题，指南明确指出，有必要由第二人对于原始的电子数据进行审核，包括对于审计追踪进行审核，在这种情况下，打印出来的记录才可以被用作GMP相关的决策。

syhorchid

谢谢分享