探索中国CIO人才现状 | 第四季调研报告
医药企业信息化建设合规探讨
2013-04-26  作者:CIO发展中心/ShineGong 整理 


  今天非常感谢见到各位专家,上午也听到医药行业的分享和交流,让我感觉到不虚此行。首先从我的职位说起,在拜耳十分注重IT合规,分别在北美、亚太和大陆区单独设立了IT质量合规部门,我是负责亚太区的四个国家,我的职位更像是中国的反贪局、廉政公署,从项目实施起草阶段到实施过程、交付、系统上线全过程,涉及到的工作有定义项目质量标准、合规的风险、项目节点控制、偏差与预防、IT审计,遍及项目的全过程。


拜耳亚太区信息合规经理 林伟豪


  谈到合规,最早诞生于财务风险规避,后一直作用于各类财务审计。合规其实不是某个具体规范,而是落实一系列质量体系的过程。医药企业最早将合规概念推广到流程管控,保证制药符合质量规范,对于制药企业,合规在行业级别"设计",却在企业级别"执行",合规是具有信服力的质量保证,是药企保障质量管理体系(QMS)的源动力,信息技术合规是业务合规的延伸,为药企市场准入审核的必要环节之一,没有系统不代表不合规,合规的企业可能因为系统的应用而不合规。


  如何"合规"及其意义


  很多人跟我说,希望提供一套合规的指南,但需要首先明确的是,"合规"没有固定的目录和统一的格式。先订规,再去合,然后验证合上了规,就是合规的过程。规来自行业标准,合来自企业应用。其中ICHQ*,GxP,ISO9000,PDMA等是行业规,生产过程,工艺流程,人员管理,财务政策等是企业规。确保合规实现的方法是各类验证计划,体现在文字上的结果叫验证报告。证明验证结果真实有效的方法叫IT审计,审计报告可作为官方依据。


  其次,"合规"是验证出来的,不是审计出来的。合规是通过一系列的验证,证明所定的规是满足行业标准和符合企业现状,证明所做的事是按照所定的规范执行,证明所得到的结果是符合规范要求的范围,验证就是根据企业定的规范去验证上述几点如何符合。这就是如何去满足合规的一个基本步骤,也是拜耳每年都在做的循环工作。


  从药企信息化建设的合规意义来看,信息化的合规是业务规范化的重要反映,是提高企业管理水平的有效手段。信息化建设必然带来企业业务流程的革新,利用信息化实施可以为企业形成一套合规管理体系的基础,同时也为QbD理念和GxP规范在信息化层面的应用提供理论支持和行为依据。


  在实施信息化合规中,首先必须坚持的原则是信息化应用保障患者的安全,产品的质量和数据的有效。信息化合规的价值体现在将IT技术有效嵌入业务管理体系,GxP要求对企业的药品生产过程进行严格管理,必然包括企业信息流;信息化合规可帮助药企落实质量体系(QMS)的执行,提升管理效率。同时,合规触发企业进行系统验证,验证文档是FDA/EMA准入审计的必要环节,药企的IT建设标准高于其他行业正因为"合规"驱动。


  从药企信息化建设的合规途径来看,合规从IT项目立项和系统选型开始,基于GAMPSDLC提供系统验证的理论依据。从项目立项阶段就要明确质量管理要求和系统验证标准,以验证计划来指导项目计划以明确各环节的关键质量因素,在项目计划中明确各实施阶段的关键文档交付,责任方和质量标准。基于关键质量及风险分析来规范系统流程和功能测试,明确变更和偏差管理机制以保证项目实施和系统应用的持续受控性,以符合CMS为基础建立可追溯的结构化项目文档管理制度。其中,GAMP是由ISPE提出的一套针对计算机化系统的实践指南,目前已EMA/FDA及PIC/S组织各成员国广为认可,理论化的阐述了制药企业如何以QbD为基础搭建计算机化系统架构的过程指南(SDLC),也为信息建设"合规"提供了可供参考的行为指南。


  合规管理体系建立与规划、评估


  不是企业设备的先进与否,信息化成功与否,就能决定是否合规,而是保证质量在信息化运行中落实的程度,才是合规的根本要求。合规管理体系实际上是一种符合质量管理体系QMS的结构化文档管理方案。CMS可以表现为IT化的文档管理系统,也可以是手工化的文档管理结构,从上至下提供了合规管理架构,需求分析的方向、SOP、最佳实践四个方面更细的指南。


  那么如何规划IT项目合规呢?IT项目的合规就是保证实施过程符合所支持业务领域质量标准的要求。其步骤包括:在项目计划制定阶段,遵照QbD确认总体方法论SDLC,编写验证主计划指导项目实施过程,包括项目发起和计划、开发和获得、实施和接受、运行和维护、系统隐退五个环节;在流程/功能搭建过程中,做到流程建设/测试引入行业法规/业务实践,功能搭建/测试引入风险分析,完成VMP关键交付,结构化文档管理,从而有效达成项目"合规"管理。


  在测试任何一个功能时,首先要想到它的风险,风险的评判可从以下四个方面来看:第一,如果这个功能实现不了该怎么办;第二,如果这个功能实现不了又影响到别的功能该怎么办;第三,如果这个功能实现不了对企业的业务怎么办;第四,实现不了这些功能,为了让它实现我们该怎么去规避。并基于这个测试出来的系统应用,建立企业的工作流。


  在过程中,将引入质量和验证标准的项目实施V模型,这是基于SDLC确定V-Model模型为系统搭建提供合规的实施环境。在拜耳的这个模型中,包括有需求层和交付层,搭建了整个项目追溯矩阵,定义每个项目节点是否完成,分清整个项目相关的角色和责任。其中在项目实施过程中特别注意建立和保留验证实施项目合规的关键文档,包括从项目发起和计划到开发和获得、实施和接受、运行和维护,系统隐退全过程的关键交付文档和验证合规标准。


  从功能风险评估体系来看,功能风险评估包含GXP相关性、业务相关性(ICS/HSE)、风险等级三大评估层面,每一个URS所定义的流程都需要进行这三方面相关性判定。同时应"合规"规范的变更管理也十分重要,系统变更管理就是GxP对其所应用的业务载体所发生变更要求的流程化定义,合规的系统必须遵守GxP规范化基于CAPA的变更管理流程SOP。


  另外谈谈系统合规和系统验证的关系,系统合规是通过一系列质量要求和规章制度来定义系统在流程和功能方面的实际应用标准,系统验证是通过文档化工具去证明系统在流程和功能方面的实际应用符合所设标准。系统的验证计划正是系统的合规标准如何转化为项目实施的过程指南。验证可以看作合规的项目实施,验证帮助企业合规体系"自圆其说"。


  项目合规审核标准,对于制药起来来说,项目过程中的关键交付是直接反映系统是否"合规"的有效途径,也是欧美市场对信息化企业准入审核的必要环节。因此在体系建设上要做到有规可合有据可循,在质量意识上要贯彻质量风险责任意识,在系统选择上要保证可靠受控的信息技术。


  最后对药企信息化建设合规的建议,我认为要明确合规的目的,确保企业信息化建设方向正确合理。信息化合规是用信息技术支持合规的业务实现,合规必然带来企业业务流程的提升,可更多理解成去规范行业应用标准,系统的市场成熟度是合规过程重要的考量标准,系统验证就是证明满足设计标准的系统长期稳定工作的过程,项目选型阶段应明确企业合规的应用标准,再进行系统和供应商选型。参照国际制药企业的成熟合规实践可以大大提高完成效率,利用信息化合规可以为企业形成一套结构化的文档管理体系。需要特别指出的是,"合规"不增加额外IT成本,因为"合规"本身就是药企IT建设的质量标准。