基于风险的药物警戒审计 - II

上期(基于风险的药物警戒审计 - I)，我们介绍了药物警戒审计的类型及目的，基于风险的药物警戒审计计划和常见的药物警戒检查发现等话题。本期，将从流程的角度，分享如何开展一个常规的药物警戒审计，以及审计流程中各个部分的基本考量。

------------------------------------------------------------------------------

根据年度审计计划及其安排，审计团队/人员开展相应的审计工作并形成相应的文件记录。一个常规的审计，其流程包括以下环节，

注：CAPA=纠正与预防措施。

1. 审计准备

人员：

注：若有旁听者(observer)参加，则其不应在审计过程中行使审计员的角色和职责。

流程：

1.1. 沟通工作

在发出正式的审计通知之前，有必要进行适当的沟通。包括审计团队内部，沟通各自的工作安排，出差事宜，职责分工等；审计团队以外，视情况需要和领导层，业务部门（被审计对象）和/或业务管理团队(如药物警戒负责人)进行前期沟通，以获得相关信息(如业务范围，审计联络人，业务部门大致日程安排，日常合规及质量情况等)及必要的支持。

注：审计准备之前，年度审计计划应和相关方进行沟通。

1.2 审计通知

审计通知需要尽量提前，例如审计日前2-3个月。如果是对合作方及供应商进行审计，通知期限还需要遵守合作协议中关于审计的规定。

通知对象，视各个公司内部协商确定。如果是子公司，通知对象包括但不限于，总部及区域审计支持部门，如子公司质量部门，EU QPPV(欧盟药物警戒负责人)或药物警戒负责人，受影响的业务部门总部、区域及子公司负责人、联络人等。如果是外部合作伙伴，通常通知到外部联络人，再由外部联络人转发至其他相关人员，同时需要抄送内部相关人员。

随审计通知，通常会向业务部门发送审计问卷，以了解业务部门的一些基本信息，如药物警戒涉及的团队信息，地址，业务范围，电子系统，药物警戒相关活动/项目列表，外包情况，法规/SOP列表等。问卷的信息有助于后续起草审计计划及审计日程。

· 基本信息：

o 主要业务所覆盖的国家和地区，如药物警戒，临床试验，注册事务，医学事务、医学信息、呼叫中心，非干预性研究、研究者发起的研究，市场和销售，供应链和产品质量管理等。

o 主要业务部门的名称，团队主要负责人，组织结构及人员分布，办公地点等。

o 电子化系统和工具名单。

· 适用的法规、指南和SOP列表及副本：审计团队还可使用一些法规数据库来获取最新的法规文件。

· 业务合作、外包及合作方列表：需要了解一些和药物警戒相关的关键业务的合作(business partner)及外包(supplier)情况，如监管、伦理机构递交，CRO，SMO，存档，呼叫中心，翻译，文献检索，市场调研，患者支持项目，社交媒体，非干预性研究等。

· 各类研究/项目列表：包括计划中、进行中和已完成的项目，如临床试验(I期至IV期)，非干预性研究，研究者发起的临床研究，PASS，重点监测，“先行先试”项目，PSP，药品捐赠，市场调研等。列表应该包括各类研究的基本信息，以供后期抽样审阅。

注：以上数据的选取范围通常为2年或3年。

1.3 审计计划

审计计划需要管理层审批，其内容通常包括：审计日期，审计团队，审计地址(远程或现场)，审计目标及范围，审计依据/参考，抽样计划，过往审计情况等。审计目标通常是确定法规及公司SOP和/或合作协议等要求的合规情况及过往检查/审计的整改情况和有效性，范围包括药物警戒质量体系，药物警戒体系及相关业务。如果是有因审计，则其目标及范围是特定的。

对于子公司的药物警戒审计，审计范围通常比较固定。但是对于其他类型的审计(例如供应商(vendor/supplier)，合作伙伴(business/license partner)和全球药物警戒系统(PV system/ process))，为了完整清晰地确定审计范围，审计团队需要充分阅读相关资料(例如相关的合同协议，SOP等)。如果需要，审计团队和审计项目负责人和业务部门沟通，确保审计范围合理、全面且不和其他审计重合。

根据审计常规日程、上述问卷及对业务部门的了解，审计团队需制定合适的审计日程并获得管理层的审批。之后应提前分发给业务部门，以安排各方的日程，并根据需要动态调整该日程。同时，审计日程上应包括每个环节的参会人员姓名及职务。参会人员应是相关业务和项目的实际执行人或管理人，可以是公司内部人员，也可以是合作方的人员(视情况要求参加)。如参会人员不合适或不全，可要求调整。

1.4 审计文件获取

审计文件主要有三种来源：

1. 公司内部的各种相关SOP，数据库和信息、文件存储系统。审计员可能需要提前申请权限。

2. 审计员没有权限但是需要从业务部门/总部获取的数据，比如不良事件列表。审计员要留给业务部门足够的时间来准备这些资料。

3. 来自业务部门/总部的资料。

在审计日之前(例如1-2个月)，审计团队向业务部门发送审计文件清单。该清单基于常规清单，审计前了解的信息及问卷而制定。文件清单可分批次发送，第一批次可以是获取常规信息和一些系统/研究/项目列表等，第二批次可以是基于第一批次文件的审阅结果，进一步要求的文件信息，以此类推。

在制定文件清单和选取样本时，应基于风险的思维，充分考虑年度审计计划的打分要点，业务部门日常合规和质量情况，各方反馈和需求及审计经验和常见问题等，重点关注新的、关键的、风险较高的组织、人员、流程、产品和活动。

所要求的文件和数据包括但不限于：

· 培训/CV/JD：要求审核关键团队和人员的培训计划，简历和岗位描述。同时还需要审核与内外部利益相关人分享和更新关键人员信息的记录。

· AE, PQC, MI列表：应该包括所有渠道来源，有效和无效的案例，还包括向监管机构提交的列表。基于列表，抽样审核相关案例从接收，报告，转发，处理，递交和存档等全流程的合规性和质量。

· 汇总报告(ASR)：包括年度计划，相关时限和递交安排等。需要审核每一种ASR是否包括适用的产品，递交周期和截止日期是否正确。还需要抽样审核特定报告的递交时限、内容和方式的合规性。

· 产品及其许可状态列表，最新版说明书日期及推广材料列表：用于审核电子化系统内业务规则设定，推广、非推广材料内容是否合规。除了需要关注销售所使用的推广材料外，还需要关注公司内外部网页所刊登的产品信息，向HCP及患者分发的含有产品信息的材料，其内容是否合规。

· 说明书变更记录：重点关注产品安全性相关的变更，抽样审核变更的发起，审批，递交和分发等流程。其中，对内外部利益相关方的分发是需要重点关注的部分，同时还需要关注后续药品标签(artwork)的制作和分发管理。

· 社交媒体、数字化工具：例如公司所有或赞助的网页， app，公众号，聊天机器人等。药物警戒团队应对所有数字化渠道和工具有风险评估及相应的监控措施。可抽样考核相关平台和工具上产品信息是否最新，沟通渠道是否有所监控，后台内容是否有AE/PQC未报告。审计团队还可以做一些测试来进行验证。

· 和监管机构的沟通：包括日常沟通及安全性事件的通知管理。需要审核沟通的及时性，沟通的方式，事项的内部审批，监管机构回复及确认，存档等。

· 数据隐私：基于《个人数据保护费》的要求，需要审核的内容包括但不限于隐私数据声明，对外数据交换所使用的方式等。涉及的流程可能包括，前台、呼叫中心来电、来信处理，个例报告随访，市场调研数据收集，对外沟通和数据交换等。

· 文献检索：文献列表，产品列表，检索策略，假期检索安排等。

· RMP/aRMM：递交列表，内外部审批记录，记录表，相关的材料，培训记录，有效性验证等。

· 各类研究及项目：重点关注风险较高的研究和项目，需要的材料通常包括，项目计划，内外部审批记录，合同协议，培训记录，研究手册、问卷指南及项目执行材料，监管、伦理递交列表，以及原始记录等。

· 电子化系统：验证报告，用户权限控制，业务规则配置(如安全性数据库)，基本信息维护，系统内流程监管等。

· 其他：公司全员药物警戒培训记录，合同、协议的管理，风险和问题列表，业务连续性计划、灾难恢复计划及其测试报告等。

向业务部门发送审计日程，审计文件清单后，需要召开审计前沟通会，以沟通和解释审计计划，范围，日程安排，文件清单，后勤安排(如会议室，电话，网络会议支持等)并解答相关疑问。同时，还需要确定的重要事项包括，审计文件存储形式(电子、纸质)和可及性、传输方式(需确保符合数据存储及隐私政策的规定，如加密邮件、sftp(安全文件传送协议)、符合数据存储规定的网盘、指定电脑等)等。审计文件的可及度、获取方式及期限将严重影响审计的整体安排。如获取文件遇到困难，应尝试多方协调，尽早制定可行的方案。

注：疫情期间，还需要考虑疫情的影响，做好远程审计的准备。

文件：

该阶段形成和需要存档的文件应包括：审计通知，审计计划，审计日程，审计文件清单等。

1.5 文件审阅

根据审计团队大小，审计人员经验，工作量及公司领导对审计团队的期望。审计文件的审阅可以有两种形式：

1. 所有审计人员审阅同一批文件，然后分享审阅意见。这样可以尽量发现问题，同时审计人员可以互相学习。有经验的审计员可以通过这种形式培训年轻的审计员。

2. 审计团队提前分工，每个审计员根据自己的职责审阅不同的资料，这种形式常见于经验丰富的审计员。主审计员要确保不会有资料被遗忘。

审计员可以详细记录下来审阅意见，在审计实施前团队内部进行交流。

2. 审计实施

人员：

流程：

首次会议可以简单介绍审计团队，审计范围，审计流程，审计安排等事项。

根据审计日程安排开展访谈。访谈时，可基于前期的文件审阅中发现的潜在问题，有针对性的进行提问，以确认问题并评估潜在影响。如需要，在审计期间，可安排临时的访谈/讨论环节，以讨论未尽事宜。

审计过程中可能需要获取额外的文件，应明确文件提供时限，以便及时进行审阅。

小结会议可以放在当天审计结束时或次日审计开始之前，非必须但很有用，其目的是帮助双方及时沟通和澄清一些潜在的缺陷，以避免末次会议上发生过多的讨论。

审计访谈结束至末次会议开始之前，建议预留足够的时间，以防有需要进行额外的讨论和澄清。末次会议上，对各方进行感谢，介绍审计初步发现的缺陷，待解决的问题，审计后的流程和行动预告等。末次会议的幻灯片材料应视情况而定，分发给相应的团队和人员。

特别注意，如果审计过程中发现潜在的严重缺陷(Critical finding)，审计团队应尽快启动上报程序，与相应的管理层进行沟通汇报。此外，在某些情况下(如监管迟报、漏报)，则相关的整改措施可能需要尽快执行。

文件：

该阶段形成和需要存档的文件至少应包括：审计日程，审计文件清单，会议幻灯材料等。

3. 审计报告

在合理的时限内(例如一个月)，审计团队应及时将审计结果以书面报告的形式发送给业务部门。报告应载明审计的一些基本信息，缺陷描述、严重程度分级及参考依据等。报告应得到管理层的审批，并分发给内外部利益相关方。

缺陷描述应简明扼要，准确直接地表述所发现的问题，缺陷已经/可能造成的影响。同时还应包含抽样的情况，访谈获知的关键信息，其他支持性信息等。报告中要统一日期及数字格式，首次提及缩写词应展开，系统名称应备注用途，文中避免出现个人隐私信息，英文版本的缺陷描述书写应使用过去时态等。

缺陷严重程度分级应充分考虑缺陷发生的可能性，频率，对患者、产品及公司业务造成/可能造成的影响，是否重复发生等因素。缺陷描述和分级直观不符的情况下，还需要给与适当的备注和解释。

审计报告一经发出，不做更改。若因审计沟通不畅/不足/延迟导致内容有出入，则相关信息可在CAPA执行阶段，在整改报告中进行回复和澄清。最后，根据法规要求，严重缺陷、主要缺陷(Major finding)及其CAPA需要记录在药物警戒体系主文件(PSMF)中，并追踪至整改完成。

注：为确保审计的独立性，审计报告不应交由业务部门审批。

需要存档的文件包括，审计报告及其审批记录等。

4. CAPA制定及实施

在收到审计报告后，相关业务部门应尽快(例如收到报告后的一个月内)对审计报告中的缺陷项进行回复，包括根本原因分析，影响分析，纠正和预防措施制定等。在提交给审计团队审批之前，该回复应得到业务部门管理层的审批。

在收到回复后，审计团队应审阅相关的回复，确保根本原因分析准确，整改措施制定全面，整改时限合理且及时。

业务部门在收到审计报告回复审批后，应在规定时限内完成整改计划，并向审计团队提交相应的支持性文件作为整改完成的依据。在所有整改完成后，标志着审计正式完成。对于严重的缺陷，整改完成后的一定时间内，还应进行再审计/有因审计，以评估CAPA有效性。

该阶段需要存档的文件包括审批后的整改报告，整改支持性文件等。

--------------------------------------------------------------------------------------------------------------------------------

以上，就是一个常规审计的流程及其注意事项。本文分享仅供参考，每个公司都有自己的流程和要求，只要符合法规要求，能够为患者、产品及业务保驾护航，并契合公司当前发展阶段，便是好的流程。

--------------------------------------------------------------------------------------------------------------------------------

作者：Jesse Liu (MSD China)

审阅：Winnie Wu (BI China)

致谢：感谢Jessica Zhou (Baxter China)及 Arrow Li (AstraZeneca UK)对本文提出的修改意见和支持！