Audit Trail-Abweichungen im Rahmen von GMP-Inspektionen

Klaus Feuerhelm, ehemaliger GMP-Inspektor beim Regierungspräsidium Tübingen, hat eine TOP 3-Liste der Mängel von 2020 bei computergestützten Systemen erstellt. An Stelle 1 stehen Mängel beim Audit Trail.

Was ist die regulatorische Basis?

Die im Rahmen von Inspektionen gefundenen Mängel im Zusammenhang mit dem Audit Trail sind vielfältig. Nicht selten steht der Mangel im Zusammenhang mit der gelieferten Software. Die Softwarelieferanten bzw. Systemlieferanten bieten hier einfach nicht das an, was EU-GMP Annex 11 eigentlich fordert. Es gibt aber durchaus Software, die die Anforderungen nach EU-GMP erfüllt, wenn auch das in der Regel nicht so oft vorkommt.

Zunächst sollte man sich darüber klar werden, woher die Forderung nach der Audit Trail Funktionalität bei einem computergestützten System kommt. Dies ergibt sich aus § 10 der AMWHV: "Der ursprüngliche Inhalt einer Eintragung darf nicht unleserlich gemacht werden. Es dürfen keine Veränderungen vorgenommen werden, die nicht erkennen lassen, ob sie bei der ursprünglichen Eintragung oder erst später gemacht worden sind."

Eine ähnliche Formulierung finden wir in EU-GMP Kapitel 4: "4.9 … Jede Änderung einer Eintragung in einem Dokument sollte abgezeichnet und datiert sein. Trotz Änderung sollte die ursprüngliche Information lesbar bleiben. Sofern angezeigt, sollte der Grund für die Änderung protokolliert werden."

Genau diese Forderung muss also in einem computergestützten System in der Audit Trail Funktionalität umgesetzt werden; der Audit Trail ist also eine Funktionalität zur Dokumentation. Diese Hinweise findet man beispielsweise auch im GAMP® Records and Data Integrity Guide:
18.7. Audit Trail Considerations - "Audit Trails should be considered part of records."

Was derzeit in der Regel von vielen Lieferanten als Audit Trail angeboten wird, sind sogenannte Ereignisprotokolle, in denen alles Mögliche protokolliert wird; damit erschweren diese einen raschen Review des Audit Trails in erheblichem Umfang.

Mängel im Zusammenhang mit dem Audit Trail sind schon seit längerer Zeit auch bei der US-FDA zu finden.

Beispiele:
Gulf Pharmaceutical Industries Feb 2012
We also note that your SOP does not have provisions for any audit trail reviews to ensure that deletions and/or modifications do not occur.

Sunrise Jan 2010:
In addition, your firm's review of laboratory data does not include a review of an audit trail or revision history to determine if unapproved changes have been made.

Es gibt durchaus aber auch neuere Beispiele:
Strides Pharma Science Limited, India
On 02/04/2019, during the walkthrough of the Control Room where Formulation Plant processes were being monitored using a Building Automation System, we observed that the system was not qualified and had no audit trail capabilities. In addition, when asked about the alarms on the system, the Sr. Assistant Instrumentation group, stated that he would reset and clear the alarms.

Mängel im Zusammenhang mit dem Audit Trail, die bei Inspektionen gefunden worden sind:

  • Ein/e Mitarbeiter/in in einem Labor der Qualitätskontrolle hat die Rechte eines Systemadministrators. Er/sie war so beispielsweise in der Lage, bei selbst durchgeführten Analysen nicht mehr erkennbare Änderungen am Audit Trail vorzunehmen bzw. den Audit Trail ein- oder auszuschalten.
  • Es gab keine beschriebenen Maßnahmen die zu ergreifen sind, wenn bei der Prüfung des Audit Trails Probleme festgestellt werden.
  • Es war nicht eindeutig geregelt, wer die Audit Trail Funktionalität des Systems XYZ deaktivieren darf, und wie dies dokumentiert wird.
  • Im Labor wurde eine HPLC-Station zur Ermittlung der Wirkstoffgehalts einer Tablette genutzt. Die Chargenfreigabe erfolgt ohne Review von relevanten Audit Trail-Daten. Eintragungen im Audit Trail könnten auf eine Abweichung hinweisen; diese Abweichung sollte die QP vor der Freigabe kennen.
  • Es gibt keine dokumentierten Vorgaben und Hinweise zum Umgang mit dem Audit Trail.
    Hierzu gehören beispielsweise:
    - Wie oft und wann ist ein Audit Trail eines bestimmten Systems zu prüfen?
    - Wer soll die Überprüfung des Audit Trail durchführen?
    - Wie erfolgt die Archivierung des Audit Trail?
    - Wann dürfen Audit Trails gelöscht werden?
    - Welche Audit Trail-Einträge sind als kritisch zu bewerten?
    - Wie werden Audit Trail-Prüfungen dokumentiert?
    - Welche Maßnahmen sind zu ergreifen, wenn bei der Prüfung des Audit Trails Probleme festgestellt werden?

Zusammenfassend kann gesagt werden, dass insbesondere folgende Punkte von Bedeutung sind:

  • Der Audit Trail ist ein Dokumentationselement.
  • Wie bei allen anderen GMP-Dokumenten ist ein Review notwendig.
  • Wann ein Review notwendig ist, wird über eine Risikobewertung ermittelt.
  • In einem Audit Trail kann eine Abweichung verborgen sein.
  • Eine GMP-Entscheidung ist beispielsweise eine Freigabeentscheidung.

Für die Zukunft ist zu wünschen, dass in einer neuen Version des Annex 11 (derzeit in Bearbeitung durch eine Arbeitsgruppe bei der EMA) die Hinweise und Anforderungen zum Audit Trail genauer beschrieben und formuliert werden. Insbesondere die Abgrenzung zwischen Audit Trail und Change Control sollte dort klar geregelt werden.

Quellen:
EU GMP Leitfaden
GMP-Journal Ausgabe 59 - 02/21

Zurück

GMP Seminare nach Thema