Razbijamo bauk audit trail-a

Ah, taj audit trail; dvije riječi koje još uvijek zadaju mongo muke i glavobolje prvenstveno u GMP reguliranim kompanijama, ali sve više i u GDP okruženju. Zbog toga u svega nekoliko minuta čitanja demistificiramo sve oko audit trail-a.

A prije toga, samo kratki podsjetnik što je zapravo audit trail. Prema FDA CFR 21 Part 11, to je siguran, automatski generiran i vremenski označen zapis bilo koje pristupanja ili aktivnosti u smislu kreiranja, izmjene ili brisanja elektroničkih zapisa u nekoj GxP računalnoj aplikaciji.


Audit trail je glup i nepotreban

Naprotiv, audit trail je logična GMP funkcionalnost. Ako se za neku proceduru koristi obrazac u koji se upisuju neki podaci ili provedba koraka i donošenje odluka te se svaki takav zapis potpisuju uz naznaku datuma, zašto isto ne bi bilo i kod elektroničkih zapisa? Dapače, taj dio posla računalna aplikacija odrađuje za nas.

Svaka kompanija za sebe određuje sadržaj audit trail-a

Pa ne baš; audit trail treba uvijek sadržavati sljedeće elemente: datum i vrijeme neke transakcije ili aktivnosti, identifikaciju osobe koja je to provela, opis/naziv transakcije ili aktivnosti, prethodnu vrijednost i novu vrijednost.


OK; validacijom smo potvrdili da audit trail funkcionira, zašto ga moramo provjeravati

Provjeravamo li kod rukom vođenih zapisa u laboratoriju svaki obrazac ili logbook? Da. A provjeravamo li u proizvodnji potpise operatera i vremena provedbe pojedine aktivnosti? Da. A zašto onda nije potrebno provjeriti isti takav zapis, samo u drugom obliku unutar GMP softvera?


U redu je da administrator aplikacije može slobodno uključivati i isključivati audit trail

Ne, nije baš u redu. Ako je uključivanje/isključivanje audit trail-a omogućeno unutar postavki GxP softvera, procedurom mora biti vrlo jasno utvrđeno pod kojim uvjetima, na koji način te prema čijim odobrenjima se to može provesti. Dodatno, upravljanje audit trail-om treba periodički kontrolirati kroz pregled sistemskog audit trail-a (stižemo ubrzo i do toga).


Ne moram znati ništa o audit trail-u; ako mi nešto zatreba pitat ću IT

I ovdje imamo što za reći. Naime, i QP i rukovoditelj laboratorija ili proizvodnog pogona i niz drugih pozicija treba li bi znati kako se audit trail-u pristupa i kako se „čita“ da bi mogli provjeriti audit trail zapise kada je to potrebno (npr. pregled analize, puštanje serije lijeka u promet, straga odstupanja).

Ovdje je važno i sljedeće: audit trail mora biti u logičnom i čitljivom obliku, što nije uvijek praksa jer u GMP okruženju još uvijek postoje brojne računalne aplikacije u kojima sadržaj audit trail-a može dešifrirati jedino osoba koja je razvijala aplikaciju, a i to ako…


Audit trail je tehnička stvar sama za sebe i nema veze s ničim drugim

Naprotiv, audit trail i nema puno smisla ako cijeli koncept integriteta podatak ne funkcionira ispravno. Pogledajmo tri primjera:

  • Računalna aplikacija ima ispravno konfiguriranu audit trail funkcionalnost, no tri osobe pristupaju sustavu koristeći iste pristupne podatke (štedimo na licencama); u tom slučaju audit trail nema više svoju svrhu, jer tko god od ovih troje proveo neku transakciju, aplikacija će uvijek zabilježiti istog korisnika

  • U ERP aplikaciji svi zaposlenici Kvalitete mogu provesti odobrenje serije lijeka; istina, audit trail će zabilježiti tko je takvu transakciju proveo, ali koja korist od toga ako je seriju na neograničeni status prebacila osoba koja to ne bi smjela učiniti

  • U nekom GxP relevantnom softveru moguće je slobodno mijenjati postavke datuma i vremena; audit trail u takvoj aplikaciji gubi svaki smisao jer ne znam jesu li zabilježeni zapisi o datumu i vremenu vjerodostojni


Sistemski audi trail važan je samo za kompleksne računalne sustave

Sistemski audit trail (System audit trail) bilježi i čuva povijest izmjena s obzirom na opće postavke aplikacije, dakle važan je za svaki GMP softver. Stavke koje bi sistemski audit trail trebao obuhvaćati su npr. upravljanje korisnicima, promjene ključnih postavki aplikacije, postavke audit trail-a, odbijeni pristupi u sustav, brisanja pokrenutih transakcija i sl.

Kako bi sistemski audit trail imao svoju svrhu, potrebno je provoditi dokumentirani periodički pregled takvog sistemskog audit trail-a što se obično radi od jednom mjesečno pa do jednom-dvaput godišnje, ovisno o GxP aplikaciji, kritičnosti procesa koje pokriva i procjeni rizika.