오늘날 생명과학 산업에서는 특히 GMP 시스템을 다룰 때 규정 준수를 유지하기 위해 데이터 완전성을 보장하는 것이 중요하다.
회사가 새로운 제조 운영을 탐색하든, 새로운 시장에서 제품을 출시하든, 처음으로 위험 기반 접근 방식을 채택하든, 감사자가 원하는 것이 무엇인지 이해하는 것이 필수적이다.
데이터 완전성에 초점을 맞춘 감사는 단지 광범위한 제조소 전체 평가에 관한 것이 아니라 운영을 지원하는 특정 시스템이나 제3자 공급업체에도 중점을 둘 수 있다.
이 기사에서는 생명 과학 시스템 감사의 주요 측면을 안내하고 감사자가 요청할 가능성이 있는 상위 10가지 데이터 완전성에 대한 통찰력을 제공한다.
데이터 완전성 감사 유형
데이터 완전성 감사는 검토 중인 시스템 또는 프로세스의 범위와 특성에 따라 여러 형태를 취할 수 있다. 다음은 생명과학 부문에서 흔히 발생하는 네 가지 유형의 데이터 완전성 감사이다.
-제조소 데이터 완전성 감사: 여기에는 조직 전체에서 일관된 데이터 완전성 관행을 보장하기 위해 여러 시스템, 공정 및 부서를 포괄하는 전체 생명 과학 제조소에 대한 전반적인 검토가 포함된다.
-시스템별 감사: 이는 특정 GxP 시스템과 그 사용에 중점을 두고 데이터 완전성 기준 준수를 보장한다.
-공급업체 감사: 회사가 위탁생산업체(CMO), 위탁연구기관(CRO) 또는 기타 CxO와 협력하는 경우 데이터 완전성 감사는 공급업체의 프로세스 및 시스템이 적절한 기준을 충족하는지 확인하는데 중점을 둘 수 있다.
-제3자 IT 공급업체 감사: 많은 생명 과학 기업은 제3자 IT 공급업체에 의존하여 GxP 시스템을 관리한다. 감사자는 이러한 공급업체가 귀사의 데이터를 어떻게 관리하고 그들의 진행한 솔루션 내에서 데이터의 완전성을 어떻게 보장하는지 평가할 것이다.
각 유형의 감사에는 고유한 과제가 있지만 모두 엄격하게 작성 된 SOP, 적절한 밸리데이션 및 21 CFR Part 11, Annex 11 및 GAMP5와 같은 규제 기준 준수를 통해 지원되는 효과적인 데이터 완전성 거버넌스가 존재하는지 확인해야 한다.
데이터 완전성 감사의 단계
이 기사에서는 시스템별 감사 유형에 중점을 둘 것이다. 이러한 유형의 감사는 특정 GxP 시스템을 확대하여 데이터 완전성 원칙 및 규제 요건 준수 여부를 평가한다.
GxP 시스템의 일반적인 데이터 완전성 감사에는 여러 단계가 포함된다. 이 문서에서는 세 가지에 중점을 둘 것이다(시스템 자체에 집중할 수 있도록 초기 계획 및 종료 단계를 제외함).
1. SOP 및 거버넌스 검토: 감사자는 시스템 및 그 사용에 대한 데이터 완전성을 어떻게 제어하는지 파악하기 위해 먼저 SOP(표준작업지침서) 및 거버넌스 정책을 검토한다.
2. GxP 기록 지원 검토: 다음으로 감사자는 시스템 운영과 관련된 주요 기록에 중점을 둔다. 여기에는 완료되었거나 진행 중인 밸리데이션 문서, 변경 관리, 일탈 및 기타 관련 GxP 데이터가 포함될 수 있다.
3. "보여주고 설명하기" 시연: 마지막으로 SME(Subject Matter Expert)에게 시스템 작동 시연을 요청한다. 이 시연에서는 시스템이 어떻게 작동하는지, 데이터를 캡처하는 방법, 데이터 완전성 기준을 어떻게 준수하는지를 보여준다.
상위 10개 데이터 완전성 요구사항
생명과학 시스템이 감사에 대응할 수 있도록, 감사자가 절차를 검토하고 GxP 기록을 지원하는 동안 요청할 가능성이 있는 상위 10가지 데이터 완전성은 다음과 같다.
1. 데이터 거버넌스 및 SOP
감사자는 귀사의 데이터 거버넌스 체계를 검토하여 데이터의 정확성, 완전성, 일관성 및 보안을 유지하기 위한 정책이 마련되어 있는지 확인한다.
SOP를 확인하여 귀속성, 가독성, 동시성, 원본성, 정확성, 완전성, 일관성, 지속성 및 가용성 등 데이터 완전성의 특성을 강조하는 ALCOA+ 원칙과 같은 규제 기대 사항과 일치하는지 확인한다. 또한 21 CFR Part 11 또는 EudraLex Volume 4 Annex 11과 같은 규제 준수에 대한 추가 증거를 찾을 수도 있다.
2. 재고 목록
모든 시스템, 특히 GAMP category 5 system과 같은 고위험 시스템의 전체 인벤토리 목록을 제공한다. 이러한 시스템은 복잡한 기능을 처리하며 엄격한 밸리데이션이 필요로 한다.
3. 밸리데이션 보고서
감사자는 시스템의 밸리데이션 보고서를 검토하여 비즈니스 요구 사항에 대한 명확한 설명과 적절한 밸리데이션 활동(GAMP category 5 customized system에 대한 code 검토 포함)이 이루어졌다는 증거를 찾는다.
4. 초기 시스템 평가
초기 평가(예: 시스템 위험 평가)는 시스템을 GxP로 결정하고, 그 중요성과 GAMP 분류로 추가적인 통제를 결정하기 위해 수행되며, 이 문서는 검토를 위해 제공되어야 한다.
5. 요구사항 추적 매트릭스(RTM)
RTM은 각 시스템 요구 사항이 밸리데이션되었으며 데이터 완전성 관리가 제대로 이루어졌는지 입증하는 것이 매우 중요하다. 감사자는 요구사항에 대한 위험 평가가 어떻게 수행되었는지, 그리고 이를 완화하기 위한 시험 자료가 적절한 지에 중점을 둘 수 있다.
6. 관리자 SOP
시스템 관리자 SOP는 시스템에 대한 높은 수준의 접근 권한을 갖는 경우가 많으므로 매우 중요하다. 감사자는 사용자 계정 관리 및 시스템 유지 관리를 포함한 관리 작업이 적절하게 관리되는지 확인한다.
7. 사용자 SOP
사용자 SOP도 검토하여 시스템에 대한 비즈니스 요구 사항을 반영하는지 확인한다. 데이터 완전성을 유지하려면 적절한 사용자 교육과 문서화된 절차가 필수적이다.
8. QMS 문서 – 변경 관리, 일탈, CAPA
감사자는 품질 경영 시스템(QMS)에서 시스템 변경, 일탈, 시정 및 예방조치(CAPA)가 어떻게 문서화되고 관리되는지 보여주는 증거를 요청할 것이다. 그들은 모든 변경 사항과 일탈이 추적되고, 데이터 완전성에 미치는 영향을 평가하고, 적절하게 승인되어 시스템 수명 주기 전반에 걸쳐 데이터가 정확하고 안정적으로 유지되는지 확인하기를 원할 것이다.
9. 백업 및 복원 증거
감사자는 복원이 절차에 언급된 일정에 따라 성공적으로 수행되었음을 증명하는 문서뿐만 아니라, off-site(제조소 밖)에 저장된 성공적인 시스템 백업에 대한 증거를 요청한다. 실행 가능한 백업이 부족하다는 것은 재해 발생으로 데이터 손실을 의미하며, 이는 복원 테스트를 통해 완화될 수 있는 주요 위험 사항이다.
10. 주기적 검토 증거
감사자는 시스템이 계속해서 규제 요구 사항을 충족하고 의도한 대로 작동하는지 확인하기 위해 시스템에 대해 마지막으로 완료된 정기 검토에 대한 문서를 요청할 것이다. 이 검토에서는 시스템 성능, 데이터 완전성 제어, 이전 검토 이후 확인된 변경 사항이나 문제를 다루면서 위험이 적절하게 평가되고 완화되도록 해야 한다.
검토가 완료되면 지금까지의 결과를 바탕으로 감사자가 "보여주고 말하기" 시연을 주도하게 된다. 시스템 사용자는 실행 중인 절차를 보여 달라는 요청을 받을 수 있으며, 관리자는 데이터가 정확하고 변경되지 않았음을 증명하기 위해 액세스 제어, 사용자 역할 분리, 감사 추적 또는 수정 로그를 보여 달라는 요청을 받을 수 있다.
결론: 다음 감사 준비
데이터 완전성 감사를 준비하는 것은 부담스러울 수 있지만, 무엇을 예상할지 알면 과정이 훨씬 원활해지고 팀의 감사 준비 상태가 향상될 수 있다. SOP 검토부터 성공적인 백업의 증거 제공에 이르기까지 적절한 문서를 준비하는 것이 중요하다.
이 기사의 버전은 ERA Science의 블로그에 처음 게재되었다. 허가를 받아 여기에 다시 게시되었다.
