直到九月,长江流域的酷热才被北来的秋风所驱散。当大家都开始谈论菊黄蟹肥时,我们再来谈谈Excel合规。
Excel在各行各业中发挥着不可小觑的作用,制药行业也不例外。但是对于受到高度监管的制药行业,Excel并不完全符合诸如21 CFR Part 11等相关法规的要求。那么,我们在讨论Excel合规时我们会谈些什么呢?
♢如何确保使用者使用到正确版本的Excel模板?
模板管理的失控,是Excel电子表格合规管控失效的根源。单纯通过人员培训解决问题并非最优解,事实也证明此法效果欠佳。传统的方式是把Excel模板用邮件或者其他方式发送给相关人员使用,或者让用户去指定的地址下载。当模板更新了,用户可能即便收到通知,也还是使用旧版本的模板。那么,是否有其他途径解决问题呢?答案是肯定的,通过网络化部署Excel电子表格模板(扩展名不是xlsx,而是xltx),在各个Excel终端关联公共模板目录。在用Excel选择“新建”时,使用的模板将永远是最新版本。模板制作人员只需要在模板文件夹中更新即可,不用再考虑发送的问题。如果人员私自将电子表格拷贝到本地电脑上使用,模板自身需要进行合法路径检查,如果打开路径不对,将自动禁止使用该模板。
图1 模板网络化部署
♢如何确保使用者对电子表格规范地命名和存放?
当Excel的使用用户数量庞大时,我们无法期待通过SOP规定的方法来解决所有的使用者按照同样的规则命名Excel文件这个难题。一旦使用者按照各自习惯命名Excel文件,就会违反SOP规定,然而检查员签发的众多缺陷项中,违反SOP规定是最常见的缺陷。现在,Excel合规软件eInfotree能够配置电子表格命名规则,使用指定模板生成的记录,其保存名称只能按照配置规则进行,否则记录将无法保存。
图2 将“批号”配置为名称元素
图3 按照“批号”强制命名
和电子表格统一命名这个问题如出一辙,使用者可能将各自的记录随意存放在所谓的“私人路径”下,不仅不利于Excel电子记录的集中管理,同时也存在丢失记录的风险。同样的,eInfotree能够配置强制的保存路径,将固定路径与可变路径相结合,任何非法的记录保存都将失败。
图4 强制存储文件夹和路径
♢如何保证Excel的权限管理,审计追踪和电子签名符合法规要求?
Excel本身是不具备合规的权限管理,审计追踪和电子签名功能的,其中,广泛应用的“共享工作簿”审计追踪是不符合法规要求的,此法产生的所谓“审计追踪”记录可以被整体删除,并且可以任意篡改操作者等等。那么,对于Excel,什么样的管理方式才是符合诸如21 CFR Part 11等相关法规要求的权限管理,审计追踪和电子签名呢?它们必须:
· 使用独立于用户,计算机生成,带时间戳的审计跟踪,并且不可删除;
· 通过受限的系统访问实现系统和数据的安全性,完整性和机密性;
· 采用数字指纹生成的电子签名(即数字签名),而不仅仅是输入用户名和密码这种表象;
· 确保保留准确和完整的电子记录。
eInfotree软件的用户管理,权限管理功能确保电子记录的安全性,完整性和机密性,其审计追踪记录能够追踪单元格级别的任何修改。审计追踪信息独立于用户,无法修改,删除和伪造。嵌入电子签名信息无法修改和删除(基于Excel文件整体内容数字指纹的逻辑关联),且能够配置签名电子表格的全局或者局部锁定,确保电子记录的准确性和完整性。
图5 访问控制
图6 审计追踪
图7 电子签名
♢当我们有了LIMS,QMS,DMS是不是就可以不再考虑Excel合规,跟Excel彻底说拜拜?
最近20年,随着行业内各种专业软件的推出以及现有软件的完善,例如LIMS(实验室信息管理系统),CDS(色谱数据系统),ELN(电子实验记录系统),MES(生产执行系统),数据的存储和处理方式有了更多的选择。由此,为了减轻在Excel电子表格应用合规性上的压力,许多制药企业尝试在关键业务领域中逐步“替换”电子表格。由于需要替换的数量不小,加上替代系统也有很多潜在的合规问题需要解决,使得“替换”过程并不顺利。再者,专业软件只能处理其管理范围内的数据,在替换上有一定的局限性,即便是经历了几十年信息化建设的欧美大型药企,想要彻底杜绝Excel的使用也几无可能。Excel仍旧以其易用性和灵活性在药物研究与开发、生产、流通等各个环节扮演着独特的角色。在国内的制药企业都是中小规模的背景下,Excel仍不失为最简易廉价实用的生产力提升工具。
♢我们需要对Excel VBA谈虎色变吗?
除了公式,让Excel久负盛名的就是VBA(Visual basic for Application)。VBA让Excel如虎添翼。一些复杂的需求,用公式实现起来可能会非常复杂或者实现不了,但使用VBA则可以轻易解决。VBA让Excel的能力边界无限延伸。在制药行业,尤其是在GLP/GMP类型的实验室,按照GAMP5,用VBA做的程序原则上应划分到第5类——定制化软件。近年来,基于行业舆论以及定制化软件本身所带来的高风险,一些公司的质量部门对定制开发软件谈虎色变,甚至一票否决。被列入5类软件的VBA程序也成了清剿的对象,或者停止使用,或者需要改变实现方式。事实上,任何官方都没有规定不能用定制化软件。市面上的商业化软件溯其根源也是来源于定制化的软件项目。在做好验证工作,并能管理和应对好定制软件所带来的风险的前提下,药企使用完全没有问题。从复杂度来看,定制化还有复杂定制和简单定制之分。对于Excel VBA来说,其属于Excel的二次开发,需求复杂度和代码量都远小于普通的软件开发项目。因此,在常规Excel模板验证的基础上,增加一些挑战性测试,对代码进行注释,优化和审核,就能大大降低出现错误的概率。
Excel的合规使用是老生常谈的话题,就目前来说,除了现有使用方式和管理方式的改进之外,使用第三方合规软件彻底解决Excel的合规问题,如eInfotree软件,也不失为一个好的选择。
文章转自微信公众号:实验室信息化与自动化