4. Рекомендация Коллегии Евразийской экономической комиссии от 19.09.2023 N 25 "О Руководстве по обеспечению целостности данных и валидации компьютеризированных систем"

Организационная (корпоративная) культура компании

49. Следует уделять большое внимание организационной (корпоративной) культуре регулируемой компании, показателям эффективности, целям и мотивации персонала компании на достижение успешности мер управления данными, заданными высшим руководством регулируемой компании. Политика управления данными (или ее эквивалент) утверждается высшим руководством регулируемой компании.

50. Руководству регулируемой компании следует сформировать прозрачную и открытую рабочую среду (организационную (корпоративную) культуру компании), в которой персонал компании может свободно сообщать о сбоях и ошибках процессов, включая потенциальные проблемы с надежностью данных, с тем чтобы можно было проводить соответствующие корректирующие и предупреждающие мероприятия.

51. Структура организационной подчиненности должна обеспечивать информационный поток между сотрудниками всех уровней. Эффективному управлению данными в одних случаях может способствовать расширение прав и возможностей сотрудников для выявления и сообщения о проблемах посредством системы качества. В других случаях для достижения эквивалентного уровня контроля может потребоваться большее внимания надзору и вторичной проверке в связи с социальным барьером на пути передачи нежелательной информации.

52. Возможность прямого анонимного обращения к руководству может также быть важной в этой ситуации.

53. Руководство регулируемой компании может стимулировать внедрение и развитие организационной (корпоративной) культуры компании посредством:

а) обеспечения осведомленности персонала компании и понимания персоналом ожиданий компании относительно своего персонала (например, путем принятия кодекса этики компании и кодекса поведения персонала компании или аналогичных им документов);

б) лидерства посредством личного примера, посредством которого руководство должно демонстрировать то поведение, которое ожидают увидеть от подчиненных;

в) обеспечения отчетности за действия и решения;

г) постоянного и активного участия в производственных процессах регулируемой компании;

д) установления реалистичных ожиданий с учетом ограничений, которые оказывают давление на сотрудников.

Кодекс этики компании и кодекс поведения
персонала компании

54. Кодекс этики компании должен отражать философию руководства компании в отношении качества работ и продукции, достигаемых посредством моделей поведения (кодекса поведения персонала компании), которые соответствуют организационной (корпоративной) культуре компании и создают атмосферу доверия, в которой все сотрудники несут ответственность за обеспечение безопасности пациентов и качества продукции.

55. Общие стандарты этики и добросовестного поведения персонала регулируемой компании должны быть установлены и известны каждому сотруднику компании, и соответствующие ожидания руководства компании должны доводиться до сведения персонала своевременно и на регулярной основе.

56. Политика кодекса поведения персонала регулируемой компании должны четко определять нормы этического поведения, такие как честность. Это должно быть доведено до сведения всего персонала и должно быть надлежащим образом понято. Недостаточно ограничиваться только знанием требований, следует понимать, почему требования были установлены, и последствия их невыполнения. В отношении нежелательных действий (например, преднамеренной фальсификации данных, несанкционированных изменений, уничтожения данных или других действий, нарушающих целостность данных) следует принять незамедлительные меры. При необходимости принимаются дисциплинарные меры. Поведение, соответствующее требованиям, следует определить надлежащим образом.

Программы обучения

57. Персонал следует обучить политике целостности данных и ее соблюдению. Руководству регулируемой компании следует обеспечить, чтобы персонал был обучен понимать разницу между надлежащим и ненадлежащим поведением в политике целостности данных и выявлять ненадлежащее поведение (включая преднамеренную фальсификацию), а также был осведомлен о потенциальных последствиях ненадлежащего поведения.

58. Ключевых сотрудников, включая управленческий персонал, руководителей и работников службы качества, следует обучить мерам по предотвращению правонарушений и обнаружению подозрительных данных.

59. Руководству регулируемой компании также следует обеспечить обучение всего персонала процедурам обеспечения надлежащей практики документирования (GDocP) (как для бумажных, так и для электронных записей) как при наборе персонала, так и периодически в процессе трудовой деятельности (по мере необходимости).

Совершенствование фармацевтической системы качества

60. Применение современных принципов управления рисками для качества и надлежащей практики управления данными к существующей фармацевтической системе качества служит для модернизации системы качества в целях решения задач, которые возникают в связи с генерацией сложных данных.

61. Фармацевтическая система качества регулируемой компании должна быть способна предотвращать, обнаруживать и исправлять слабые места в системе или процессах, которые могут привести к нарушениям целостности данных. Компания должна знать жизненный цикл своих данных и интегрировать соответствующие средства контроля и процедуры, чтобы полученные данные были пригодными, полными и надежными. В частности, такой контроль и соответствующие процедурные обновления могут осуществляться в следующих областях:

а) оценка и управление рисками;

б) программы расследований, направленные на предотвращение нарушений целостности данных и (или) на изучение выявленных нарушений;

в) практика обзора данных;

г) валидация программного обеспечения;

д) управление поставщиками (подрядчиками);

е) программа обучения, включающая политику целостности данных и процедуры по целостности данных;

ж) включение принципов обеспечения целостности данных в программу самоинспекции.

Показатели качества и отчетность перед
высшим руководством

62. Следует критически осмыслять эффективность процедур контроля и обзора в достижении желаемых результатов. Показателем зрелости управления данными является организационное понимание и принятие остаточного риска, который определяет приоритетность действий. Регулируемая компания, которая считает, что риска нарушения целостности данных нет, вряд ли сделала адекватную оценку рисков, присущих жизненному циклу данных. Поэтому следует подробно изучить подход к оценке жизненного цикла данных, их критичности и степени риска. Это может указывать на возможные виды сбоев, которые могут быть исследованы в ходе проверки.

Показатели качества для обеспечения целостности данных

63. Следует приводить регулярные обзоры показателей качества со стороны руководства регулируемой компании, в том числе касающиеся целостности данных, чтобы выявлять, передавать на вышестоящий уровень и своевременно решать важные вопросы. Следует проявлять осторожность и выбирать ключевые показатели эффективности таким образом, чтобы не занизить важность и приоритетность целостности данных.

64. Показатели качества охватывают следующие виды действий:

превентивные, ориентированные на надзор за правилами предотвращения нарушений целостности (например, уровень осведомленности операторов и (или) руководителей смен о целостности данных, полное время обработки образцов);

корректирующие, ориентированные на мониторинг соответствия выполнения и результатов записей в сравнении с критериями ALCOA+ (например, показатель оценки электронных записей, показатель корректирующих действий в отношении целостности данных);

мониторинг, ориентированный на контроль количества фактических нарушений целостности и соответствующих последующих действий (например, показатель внутренней проверки целостности данных, показатель самопроизвольных сбоев целостности, в том числе сообщаемых операторами).

Для периодической проверки эффективности и контрольных мер в отношении указанных показателей, направленных на демонстрацию приверженности руководства регулируемой компании обеспечению целостности управления данными в сфере GMP, целесообразно привлекать независимого эксперта.