Regulatorische Anforderungen an Audit Trail Reviews

Audit Trails und deren Review sind eine wichtige Anforderung in den aktuellen GMP Regelwerken. So fordert der Anhang 11 des EG-GMP-Leitfadens zu Computergestützten Systemen schon seit 2011, dass Aufzeichnungen aller GMP-relevanten Änderungen und Löschungen als systemintegrierter Audit Trail implementiert werden muss: bei Änderungen und Löschungen ist der Grund der Änderung zu dokumentieren. Audit Trails müssen verfügbar sein, in eine allgemein lesbare Form überführt werden können und regelmäßig überprüft werden.

Weiterhin werden im PIC/S Entwurf "Good Practices for Data Management and Integrity in Regulated GMP/GDP Environments" vom August 2016 Audit Trails definiert und ausführliche Vorgaben zu deren Überprüfung gemacht.

GMP/GDP Audit Trails werden definiert als Metadaten, die über kritische Informationen wie beispielsweise die Änderung oder Löschung von GMP-/GDP-relevanten Daten aufgezeichnet werden, um die Rekonstruktion der GMP-/GDP-Aktivitäten zu ermöglichen.

Pharmazeutische Unternehmen sollten ihre Software so aufrüsten, dass die Funktionalität für den Audit Trail enthalten ist. Dadurch können sämtliche Ereignisse im System aufgezeichnet werden und auch alle Aktivitäten mit Bezug auf die Erfassung, die Auswertung, das Löschen und das Überschreiben von Daten für den Audit Trail Review zur Verfügung stehen.

Audit Trails sollen Bestandteil der Validierung des Systems sein. Die Validierungsdokumentation muss zeigen, dass die Audit Trails funktionieren und dass alle Aktivitäten, Änderungen und sonstige Transaktionen in auswertbarer Form aufgezeichnet werden.

Es wird auch gefordert, dass Audit Trails regelmäßig überprüft werden. Dazu muss jedes Unternehmen eine Anweisung (SOP) implementieren, in der die Strategie und das Verfahren für die Audit Trail Reviews in Übereinstimmung mit den Prinzipien des Risikomanagements festgelegt werden. Dies gilt auch für die Durchführung von "ongoing reviews" von Audit Trails in Abhängigkeit von der Kritikalität und Komplexität der Systeme.

Falls während des Audit Trail Reviews signifikante Abweichungen gefunden werden, müssen diese vollständig untersucht und dokumentiert werden. Die Vorgehensweise, welche Maßnahmen ein Unternehmen in solch einem Fall ergreift, um die Qualität der hergestellten Arzneimittel sicher zu stellen, muss ebenfalls in einer firmeninternen SOP beschrieben werden.

Darüber hinaus hat auch die FDA in ihrer Data Integrity and Compliance With Drug CGMP Questions and Answers Guidance for Industry den Begriff Audit Trail definiert: ein Audit Trail ist eine chronologische Darstellung, "wer, was, wann und warum" für einen bestimmten Datensatz getan hat. Als Beispiel wird  der Audit Trail eines HPLC-Systems genannt. Der HPLC Audit Trail sollte umfassen: den Anwender, den Tag und die Uhrzeit des Laufs, die verwendeten Integrationsparameter, falls zutreffend nähere Details zur Reprozessierung einschließlich der Begründung für das Reprozessieren.

Trotz dieser regulatorischen Vorgaben bleiben nach wie vor viele Fragen zur konkreten Umsetzung in der Praxis offen.