Audit trail (점검 기록) 검토 주체와 주기 결정

DI 지침 준비 단계에서 우선 적용이 필요한 순서는 Audit trail - Authority management - Data backup/restore - security 입니다.  (Audit trail 은 식약처 지침 용어로는 '점검기록' 입니다. 개인적으로는 점검기록 용어에 의문이 있으나 필드에서는 audit trail 이 더 고유하게 쓰이는 것 같아 넘어 가겠습니다)

 

먼저, Audit trail (점검기록) 이 강조되는 이유는 종이 기록에서는 추적성을 확인하는데 제약이 있기 때문입니다. 

'언제/누가/어떻게/무엇을/왜' 만들었고, 바꿨고, 지웠는지에 대한 이력을 믿을 수 없다는 것입니다. 

 

그런 이유에서 최근의 GMP data 는 전자 파일/Database 기반으로 생성/관리 되는 추세 입니다. 

eDMS, LIMS, eQMS, ERP, MES, MCS, BMS, WMS, eTraining system 등등 많은 시스템이 개발 및 도입되었습니다. 

 

이들 System 들은 공통적으로 Audit trail (점검기록) 기능을 제공한다는 것입니다. (Audit trail 이 시스템 도입 목적 중 하나이긴 합니다)

 

이런 Audit trail 를 주기적으로 점검해야함은 대부분 인지하고 계실겁니다.

아마도 어떤 Audit trail 을 어떻게 점검(=주기적인 검토)해야할지에 대해 고민을 갖고 계실텐데요.

 

이것도 역시 정답은 없습니다만, 

너무 자세하게 보기에는 끝도 없고, 너무 간략히 보기에는 형식적 절차로 지적 받을 수 있으므로 

아래 내용을 참고해 적절 수준의 점검 항목과 방법을 수립해 보시는 게 어떨까 합니다. 

 

Audit trail 의 정의나 개념 등은 이전 글 내용을 참고하시면 좋습니다.

---

 

 

 

• Audit trail 검토는 누가하나? 

 

국내 식약처 데이터완전성 민원인 안내 내용에는 DI 전담조직이라고 명시합니다.

 

 

 

반면, FDA DI QnA 가이던스에서는 'Quality Unit' 이라고 명시하고 있습니다. 

 

 

Quality Unit 에 대해 추가로 CFR Part 211.192 내용에서는 Production record reivew 는 Quality control unit 의 검토/승인이 필요함을 명시하고 있습니다. 

 

 

검토의 주체 결정으로 인해 QA/QC 간 논의가 필요할 수도 있고, 협의가 어려운 경우도 있습니다. 

사실 누가 하냐의 문제 보다는 어떻게, 놓치지 않고 할 수 있을지를 고민하고 결정하는 게 좋지 않을까 합니다. 

 

일전에 Peter baker 님께서 그려줬던 audit trail 검토 컨셉에서도 보면, 

개별 data 는 data 의 소유자 (QC) 의 1차적인 수행이 필요하고, 개별 데이터를 포함하는 전반적인 Compliance 점검 측면에서 QA 의 역할이 요구됨을 알 수 있습니다. 

 

 

 

•  Audit trail 검토의 범주는?

 

Audit trail 기록은 크게 Data 생성/가공/폐기 등에 직접적으로 연관된 Audit trail 과

System configuration (설정 변경, 사용자 추가/삭제, 백업, DB 삭제 등) 와 연관된 System audit trail 로 나뉠 수 있습니다. 

 

두 가지 형태의 Audit trail 기록이 S/W 마다 한꺼번에 표시되는 것도 있고, 개별 접근 항목으로 구분해 표시되도록 하는 S/W 도 있습니다. (후자가 물론 좀 더 최신 Trend 라고 판단됩니다)

 

따라서, 정기적인(2주 또는 한달 등) Audit trail 은  System audit trail 검토 절차로써 QA 또는 DI 전담 부서에서 역할과 권한을 부여 받은 인원이 수행하는 것이 적절하고, 데이터와 연관된 audit trail 은 개별 데이터가 검토되는 시점에 Raw data + meta data 검토의 일환으로 Audit trail 이 함께 검토되는 것이 적절합니다(왜냐하면 Audit trail 도 meta data 이기 때문입니다)

 

• Audit trail 검토의 주기

GMP 에서 특정 활동 (예: 점검/재 검증/재교육/백업 등) 을 정기적인 주기를 정하는 것은 크게 두가지 approach 가 가능합니다. 

 

1) 단순한 방식 -  '중대한/중요한/덜중요한' 으로 rough 하게 구분하고 각각의 주기를 정하거나 Decision tree 를 통해서 구분하는 방법. (장점- 편하다. 단점- 지적 받을 수 있다)

 

2) 별도의 RA 를 통한 주기 선정 - 종류나 특성 차이가 심해 개별적인 평가가 필요한 경우 (예: 생산 장비/설비, QC 장비 등) 개별 device/equipment 단위로 Severity  ,Occurrence, Detectability 등을 통해 주기를 결정할 수 있습니다. 

(장점 - 거의 지적 받지 않는다. 단점 - 평가 시간이 오래걸리고, 추가되는 장비들에 대한 추가 평가가 요구되어 별도의 절차 마련이 필요하다)