Inspection, Audit 수검에서 DI 는 무엇을 점검 받을 까요?

 

식약처에서 DI(데이터 완전성) 관련 점검을 대대적으로 시작하게 될텐데, 

이를 위해 DI 정책을 만들고 절차/시스템을 열심히 평가/보완 하고 있는 상황일 것입니다. 

 

나중에 깔끔하게 한번 정리해서 포스팅하겠지만, 간략히 먼저 포스팅 합니다.

DI 관련 점검은 감사자(실사관/심사관) 이 찾겠다고 마음먹고 찾으면 안 걸릴 수가 없습니다.

 

예를 들면, 시설 점검 중에 시계라도 보이면, 저 시계는 관리가 되는 지, 누가 조정할 수 있는지 등등 물어보게되고, 권한 관리는 어떻게 하는지, 절차는 무엇인지, 실제 작업 기록은 있는지 등등 꼬리를 물고 물어볼 수 있습니다.

 

특히, PC 만 하나 정해서 파고들어도 반나절은 확인할 수 있는데요.

 

실험실에서 PC 가 보이면,

 

1) 로그인을 요청합니다. 이때 작업자와 계정을 확인하고, 계정 관리 절차(기준서) 와 관리 서식을 요청합니다. 

없으면?  지적사항#1 

추가로 해당 작업자가 어떤 권한 (User/Power user/admin 등) 을 부여받았는지, 파일 삭제 권한은 없는지 등을 확인합니다.

파일 삭제 권한이 있다면? 해당 위험에 대한 RA 수행 했는지 요청합니다. 없다면? 지적사항#2

 

2) 로그인 후에 바탕화면에 불필요한 파일은 없는지 (FDA 에서는 "찾기" 기능을 써서 엑셀 파일이나, 워드 파일 및 PDF파일 등 실험과 불필요한 파일이 있는지도 확인했던 경험이 있습니다) 확인합니다. 

분석시험법 밸리데이션 또는 적격성 평가때 사용한 파일들이 남아 있다면? 해당 파일이 왜 있는지 확인하고, 원본인지 확인합니다. 어떻게?  적격성 평가/분석시험법 보고서를 직접 요청해서 raw data 와 비교합니다. 실제 차이가 있다면? 데이터가 조작된 것이라면? #지적사항 3

 

3) 분석 S/W 로그인 후 사용 이력(데이터목록) 을 봅니다. 기기 사용 기록 서식(로그북) 을 요청합니다. 일주일치 만 1:1로 비교해 봅니다. 두가지 경우가 있습니다. 실수로 로그북만 안 쓴 경우 (단순 조치로 대응 가능합니다), 고의로 로그북을 안 쓴 경우, 이 경우는 분석을 여러번 진행하고, 하나의 결과만 사용했을 때 로그북은 정식으로 분석된 기록만 남길 수 있습니다. 이런 경우는 샘플 정보와 시퀀스, 분석 이름 등을 추가로 비교, 확인해서 고의/조작 여부를 판단할 수 있습니다. 

고의로 여러번 분석한 것이라면 #지적사항 4 (Critical)

 

이후는 다음 포스팅에 이어 쓰겠습니다.