Audit Trail 리뷰 전략
– 리스크 기반 접근과 실전 검토 가이드 –
"Audit Trail은 단순한 기록이 아니라,
데이터 진실성 확보의 핵심 증거다."
— PIC/S, PI 041-1: Good Practices for
Data Management and Integrity in
Regulated GMP/GDP Environments, 2021
🔹 서론 – Audit Trail의 효과적인 관리와 검토 체계
- Audit Trail의 중요성 부상:
- 전자기록 시스템의 확산으로 Audit Trail(감사추적기록)이
GMP 실사의 필수 점검 항목으로 부상했습니다.
- 전자기록 시스템의 확산으로 Audit Trail(감사추적기록)이
- 흔한 오해와 규정 위반 소지:
- 그러나 여전히 많은 조직에서는 "자동 기록이므로 검토가 불필요하다"는
오해가 있으며, 이는 규정 위반 소지가 있는 인식입니다.
- 그러나 여전히 많은 조직에서는 "자동 기록이므로 검토가 불필요하다"는
- Audit Trail 검토의 필수성:
- Audit Trail은 반드시 리스크 기반으로 선별 검토되어야 하며,
검토 결과는 명확히 문서화되어야 합니다.
- Audit Trail은 반드시 리스크 기반으로 선별 검토되어야 하며,
- 본 포스팅의 목적:
- 본 포스팅은 실무자들이 감사추적기록을 효과적으로 운영하고
규제기관의 감사에 대응할 수 있는 검토 체계를 수립하도록
검토 항목, 사례 분석, SOP 기준을 중심으로 설명합니다.
- 본 포스팅은 실무자들이 감사추적기록을 효과적으로 운영하고
🔹 본론 – Audit Trail 검토 실무 기준
1️⃣ Audit Trail의 정의와 구조
- 정의: 전자기록의 생성, 수정, 삭제, 승인 등 변경 이력을 시간순으로 자동 저장하는 로그
- 구성 요소: 사용자 ID, 타임스탬프, 작업 유형, 변경 전/후 값, 변경 사유
2️⃣ 검토 대상 Audit Trail 유형
| 구분 | 시스템 예시 | 검토 항목 |
| 시험 데이터 | CDS, LIMS | 결과값 수정, 분석 조건 변경 |
| 제조기록 | MES | 배치기록 정정, 공정 파라미터 변경 |
| 전자서명 | 승인 시스템 | 서명 시점, 서명자 검증 |
| 계정관리 | AD, 사용자 DB | 권한 부여/회수, 접근 권한 적절성 확인 |
3️⃣ 리스크 기반 검토 전략 수립
✅ 우선순위 결정 기준
- 빈도 기준: 반복 수정 발생 기록
- 중요도 기준: 품질 이슈(OOS, OOT, Deviation 등) 관련 데이터 변경
✅ 주요 검토 포인트
- 누가, 언제, 어떤 작업을, 왜 수행했는지 확인
- 변경 사유 및 권한의 적절성
- 승인자와 작업자의 독립성 여부
4️⃣ 리스크 기반 검토 흐름 예시
5️⃣ 실제 사례 비교 분석
| 유형 | 예시 | 검토 포인트 |
| 단순 수정 | 시험값 0.067 → 0.065 변경 | 변경 사유와 승인 상태 확인 |
| 승인자 동일 | 수정자와 검토자가 동일인물 | 역할 분리 원칙 준수 여부 확인 |
| 반복 변경 | 동일 사용자의 3회 이상 수정 | 의도적 조작 가능성 및 패턴 분석 |
6️⃣ 전자서명 로그의 부적절 사례
| 이슈 | 설명 | 대응 포인트 |
| 이중 서명 | 동일인이 2단계 승인 | 책임 분리 원칙 위반, SOP 검토 필요 |
| 권한 외 사용 | 무권한 계정으로 전자서명 수행 | 계정 관리 및 권한 설정 절차 점검 |
| 시간 불일치 | 퇴근 시간 이후 서명 기록 | 계정 공유 또는 조작 가능성 조사 |
7️⃣ 검토 결과 문서화 요령
| 항목 | 내용 |
| 변경 내용 | 시험 결과 수정 (예: 0.067 → 0.065) |
| 변경 사유 | 분석기 오류로 인한 재검 후 수치 정정 |
| 변경자 | user123 (홍길동) |
| 검토자 | QA_Lee, 2024-12-02 |
| 후속 조치 | 단순 정정으로 CAPA 불필요, 관련 문서 갱신 완료 |
8️⃣ Audit Trail 검토 SOP 체크리스트
| 항목 | 설명 | 확인 |
| 시스템별 검토 주기 설정 | CDS – 주 1회, MES – 월 1회 등 | ☐ |
| 검토 대상 시스템 명시 | 전산장비별 목록 정비 | ☐ |
| 검토자 역할 정의 | QA 2인 이상, 기능별 독립성 확보 | ☐ |
| 검토 항목 기준 수립 | "누가, 무엇을, 왜, 언제" 변경했는지 확인 | ☐ |
| 이상 발생 시 보고 체계 | QA 보고, CAPA 또는 Deviation 절차 연계 | ☐ |
🔹 결론 – 시스템은 기록하고, 사람은 해석한다
Audit Trail은 자동으로 저장되는 정보지만, 진정한 무결성은 사람이
검토하고 문서화하는 과정에서 확보됩니다.
실무자는 다음 사항을 반드시 확보해야 합니다:
- 정기적이고 리스크 기반의 검토 체계 수립
- Audit Trail 변경 이력에 대한 명확한 해석과 근거 기록
- 이상 징후 발견 시 CAPA 체계 연계 및 개선 도출
이러한 체계를 갖춘 조직만이 Audit Trail을 품질보증 수단으로 활용하며,
규제기관의 신뢰를 얻을 수 있습니다.
📚 주요 용어 정리
| 용어 | 정의 |
| Audit Trail | 전자기록의 생성, 수정, 삭제, 승인 등의 이력을 자동으로 저장하는 로그 |
| CDS | Chromatography Data System, 시험기기의 데이터를 수집하고 관리하는 시스템 |
| MES | Manufacturing Execution System, 제조 공정을 기록하는 시스템 |
| OOS | Out of Specification, 규격을 벗어난 시험 결과 |
| OOT | Out of Trend, 데이터의 통계적 이상 추세 |
| Escalation | 이상 사항을 QA나 상위 책임자에게 보고하는 절차 |
📕 참고문헌
- PIC/S, PI 041-1: Good Practices for Data Management and Integrity in
Regulated GMP/GDP Environments, 2021 - FDA, 21 CFR Part 11: Electronic Records; Electronic Signatures, 2003
- 식품의약품안전처, 완제의약품 제조 및 품질관리기준 가이던스, 제3개정, 2021
- 식품의약품안전처, 첨단바이오의약품 데이터 완전성 안내서, 2023
🔗 관련 포스팅 링크
📌 이 글에서 다룬 주요 키워드:
AuditTrail, 데이터무결성, 데이터완전성, 전자기록검토, 전자서명, GMP실사, 로그분석, CDS, MES, QA검토전략, CAPA연계
반응형
'데이터 무결성(Data Integrity, DI) > DI 심화' 카테고리의 다른 글
| GMP 실사 지적사항 대응 전략 (0) | 2025.06.01 |
|---|---|
| 디지털 트랜스포메이션(DT) 시대의 DI 전략 (1) | 2025.05.22 |
| 법적 책임과 윤리적 데이터 관리 (0) | 2025.05.21 |
| 최신 기술 동향과 DI 미래 (1) | 2025.05.20 |
| 정성적 위험 평가와 조직 중심 DI 대응 전략 (0) | 2025.05.19 |