DIRA Data Integrity Risk Assessment: come renderla audit-proof

Durante audit EMA, FDA e PIC/S, la Data Integrity è uno dei primi temi analizzati. La DIRA – Data Integrity Risk Assessment è lo strumento che dimostra la capacità dell’azienda di identificare e controllare i rischi sui dati. Una DIRA debole o assente può portare osservazioni critiche, soprattutto quando mancano controlli su ALCOA+, audit trail, backup e data lifecycle

Normative di riferimento: cosa chiedono le autorità

• WHO 2021: richiede una DIRA per tutti i sistemi e processi che generano dati GxP.
• PIC/S PI 041: la Data Governance deve includere valutazione e mitigazione dei rischi di Data Integrity.
• EMA Annex 11 / EU GMP: richiede controlli proporzionati alla criticità dei dati.
• FDA 21 CFR Part 211/11: integrità dei record, audit trail, accessi individuali.

Le ispezioni verificano che la DIRA sia documentata, aggiornata, completa e collegata a CAPA reali.

Cosa cercano gli ispettori

1. Mappatura chiara dei flussi dati
   Gli auditor spesso chiedono: “Mostratemi dove nasce questo dato”.
   Vogliono verificare che l’azienda conosca il ciclo di vita completo del dato e i suoi punti vulnerabili.
2. Valutazione dei rischi basata su ALCOA+
   Omessa analisi di Attributable, Original o Available = osservazione quasi certa.
3. Controlli tecnici e organizzativi coerenti
   Esempi:
• audit trail attivo e revisionato
• accessi individuali
• backup verificato e testato
• SOP aggiornate e applicate
4. Azioni mitiganti realmente implementate
   Gli ispettori chiedono prove: screenshot, log, registri, training.
5. Aggiornamento e governance
   Una DIRA vecchia di 3 anni senza revisioni è considerata non conforme.

Come evitare deviazioni critiche

Ecco le strategie tratte dalla guida:

✔️ 1. Collegare ogni rischio a una fase del Data Lifecycle

Gli ispettori apprezzano analisi che mostrano rischi reali: perdita dei dati in archiviazione, manipolazioni nella fase di elaborazione, backdating in registrazione, ecc.

ALCOA+ & Data Governance_Guida …

✔️ 2. Identificare chiaramente criticità dei dati

Dati di rilascio lotto e test QC hanno rischio intrinseco molto alto.

✔️ 3. Applicare controlli robusti su audit trail

Le warning letter citano frequentemente audit trail disattivi o non revisionati.

✔️ 4. Validare fogli Excel e calcoli manuali

Gli auditor chiedono sempre la validazione dei calcoli critici.

✔️ 5. Eliminare account condivisi

Violazione diretta dell’attributo ALCOA: osservazione assicurata.

🗂️ Audit Readiness: documenti essenziali

• DIRA completa e firmata
• mappa dei data flow
• elenco dei rischi con punteggi
• evidenza delle mitigazioni implementate
• verbali del Data Integrity Committee
• registri di audit trail review
• test di backup & restore
• CAPA correlate e stato avanzamento

🔴 Errore tipico → ✔️ Azione correttiva consigliata

Errore: DIRA generica con punteggi “medio” non motivati
Correzione: definire criteri numerici, includere esempi concreti di failure mode

Errore: non collegare la DIRA ai processi reali
Correzione: mappare flussi dati veri con screenshot o riferimenti a sistemi

Errore: mitigazioni non implementate
Correzione: aprire CAPA, definire responsabilità, monitorare in Quality Council

Conclusione

Una DIRA solida dimostra all’ispettore che l’azienda conosce i propri dati, i propri rischi e le proprie vulnerabilità — e che ha un sistema maturo di Data Governance.
Mantieni la tua azienda audit-ready. Scopri la guida completa su GuideGxP.com