DIRA Data Integrity Risk Assessment für GMP-Audits

DIRA Data Integrity Risk Assessment: wie man sie audit-sicher macht

Während EMA-, FDA- und PIC/S-Audits gehört die Data Integrity zu den ersten Themen, die geprüft werden. Die DIRA – Data Integrity Risk Assessment ist das Instrument, mit dem ein Unternehmen seine Fähigkeit nachweist, Datenrisiken zu identifizieren und zu kontrollieren.
Eine schwache oder fehlende DIRA kann zu kritischen Beobachtungen führen – insbesondere, wenn Kontrollen in Bezug auf ALCOA+, Audit Trail, Backups und Data Lifecycle fehlen.

Regulatorische Anforderungen: was die Behörden verlangen

  • WHO 2021: verlangt eine DIRA für alle Systeme und Prozesse, die GxP-Daten generieren.
  • PIC/S PI 041: die Data Governance muss Bewertung und Risikominderung der Data Integrity einschließen.
  • EMA Annex 11 / EU GMP: fordert Kontrollen, die der Kritikalität der Daten entsprechen.
  • FDA 21 CFR Part 211/11: Integrität der Aufzeichnungen, Audit Trails, individuelle Zugänge.

Inspektoren überprüfen, ob die DIRA dokumentiert, aktuell, vollständig und mit realen CAPAs verknüpft ist.

Was Inspektoren konkret suchen

1. Klare Abbildung der Datenflüsse

Auditoren fragen häufig: „Zeigen Sie uns, wo dieser Datensatz entsteht.“
Sie wollen sicherstellen, dass das Unternehmen den vollständigen Data Lifecycle kennt und die kritischen Punkte versteht.

2. Risikobewertung basierend auf ALCOA+

Eine fehlende Analyse von Attributable, Original oder Available führt nahezu sicher zu einer Beobachtung.

3. Kohärente technische und organisatorische Kontrollen

Beispiele:

  • aktiver und regelmäßig geprüfter Audit Trail
  • individuelle Benutzerzugänge
  • verifizierte und getestete Backups
  • aktuelle und angewendete SOPs

4. Tatsächlich umgesetzte Maßnahmen

Inspektoren verlangen Belege: Screenshots, Logfiles, Register, Schulungsnachweise.

5. Aktualität und Governance

Eine 3 Jahre alte DIRA ohne Updates wird als nicht konform bewertet.

Wie man kritische Abweichungen vermeidet

Strategien aus der Leitlinie:

✔️ 1. Jeden einzelnen Risiko­punkt einer Phase des Data Lifecycle zuordnen

Inspektoren schätzen Analysen, die reale Risiken aufzeigen:
Datenverlust bei der Archivierung, Manipulationen während der Verarbeitung, Backdating bei der Erfassung usw.

✔️ 2. Datenkritikalität klar definieren

Chargenfreigabedaten und QC-Testergebnisse haben ein sehr hohes intrinsisches Risiko.

✔️ 3. Robuste Kontrollen für Audit Trails anwenden

In Warning Letters wird häufig bemängelt, dass Audit Trails deaktiviert oder nicht überprüft wurden.

✔️ 4. Excel-Sheets und manuelle Berechnungen validieren

Auditoren fordern immer eine Validierung kritischer Berechnungen.

✔️ 5. Gemeinsame Accounts eliminieren

Direkter Verstoß gegen das ALCOA-Attribut Attributable → Beobachtung garantiert.

🗂️ Audit-Readiness: unverzichtbare Dokumente

  • vollständige, unterschriebene DIRA
  • vollständige Datenflusskarte
  • Risikoliste mit Bewertung
  • Nachweis der implementierten Maßnahmen
  • Protokolle des Data Integrity Committee
  • Audit-Trail-Review-Register
  • Backup- & Restore-Tests
  • zugehörige CAPA und Statusverfolgung

🔴 Typischer Fehler → ✔️ Empfohlene Korrekturmaßnahme

Fehler: generische DIRA mit unbegründeten „mittel“-Bewertungen
Korrektur: numerische Kriterien definieren, konkrete Failure-Mode-Beispiele einfügen

Fehler: DIRA nicht mit realen Prozessen verknüpft
Korrektur: echte Datenflüsse mit Screenshots oder Systemreferenzen mappen

Fehler: Maßnahmen nicht umgesetzt
Korrektur: CAPA eröffnen, Verantwortlichkeiten definieren, Fortschritt im Quality Council monitoren

Fazit

Eine solide DIRA zeigt dem Inspektor, dass das Unternehmen seine Daten, Risiken und Schwachstellen kennt – und dass ein reifes Data-Governance-System vorhanden ist.
Halte dein Unternehmen audit-ready. Entdecke die vollständige Leitlinie auf GuideGxP.com.

Zurück zum Blog

Suchst du etwas Bestimmtes?

ENTDECKE DEN GESAMTEN GXP-KATALOG