2025年,一家创新药企因MES系统未完成PQ验证,导致生产数据被监管认定为"不可靠",IPO申报被迫暂停6个月。这样惨痛的教训在生物医药行业并非个例。随着"先H后A"跨境上市成为热潮,IT审计作为连接研发数据可靠性、生产合规性和财务真实性的关键纽带,正受到前所未有的关注。
生物医药行业的IT审计不仅关乎技术系统的正确运行,更直接关系到药品安全性、有效性的数据证据链,是监管机构和投资者信心的基石。
一、IT审计成为生物医药行业"必考题"的深层原因
生物制药企业面临着双重监管考验:既要满足A股对药品数据合规、财务真实的严格要求,也要符合H股国际GMP标准、数据完整性等全球监管规则。从临床试验EDC系统到生产MES系统,从研发工时记录到跨境数据传输,任何一个IT环节的控制缺失都可能导致IPO进程受阻。
数据完整性是医药企业的生命线。药品监管机构对数据真实性的要求近乎"零容忍"。国家药监局药物临床试验数据核查程序明确规定,对影响药物安全性、有效性评价数据进行真实性、完整性判断时,必须依法取证。
在生物医药企业IPO审核中,监管问询直指IT系统记录数据的真实性、准确性及完整性。例如,某专科医院IPO审核中被问及"就诊人次、平均单价、地域分布等数据是否存在异常,信息系统记录数据的真实性、准确性及完整性",这需要IT审计提供专业、可信的验证。
二、ITGC:筑牢系统"底层防线"
IT一般控制(ITGC)是所有IT审计的根基,直接决定了核心系统的数据可靠性与内控有效性。对于生物医药企业而言,以下四个控制点堪称"生死线":
1. 系统全生命周期验证
创新药企的核心系统(LIMS/MES/ERP/研发工时系统)必须遵循GMP Annex 11及FDA 21 CFR Part 11要求,完成从需求定义到设计验证的全流程验证。
审计核心在于核查验证文档是否完整、变更后是否重新验证、退役系统数据是否合规归档。系统验证缺失可能导致监管机构对整套数据体系产生质疑,进而影响药品注册和上市申请。
2. 访问权限管理
研发数据、临床试验数据、生产工艺参数均属于敏感信息,权限管理必须遵循"最小权限+职责分离"原则。
审计中需重点关注:离职员工权限是否及时注销?研发/生产/财务部门权限是否隔离?QA部门是否参与权限复核?A股《药品注册管理办法》明确要求"数据修改可追溯",H股PCAOB审计更是将权限滥用列为舞弊高风险点。
3. 变更管理
系统升级、配置修改、软件补丁安装,看似小事,实则可能导致数据连续性中断。审计需核查变更是否经过"申请-审核-QA审批-验证"全流程?是否评估对数据完整性的影响?
A股要求研制过程中系统变更需保留核查证据,H股SOX 404条款更是将变更管理纳入内控审计核心。
4. 操作日志与审计追踪
核心系统日志必须采用WORM(一次写入多次读取)技术,确保操作人、时间戳、操作内容、数据前后状态"四要素齐全",且不可篡改。
审计追踪的审核频次应遵循CGMP法规对数据审核的要求。例如,生产每个重要步骤后要进行审核,批放行之前要进行数据审核。在这些情况下,审计追踪适用相同的审核频次。
东曜药业对计算机化系统电子记录建立了完善的电子记录审核管理规程,制定电子数据审核年度计划,对生产及实验室电子数据、系统活动日志及审计追踪数据进行定期审核,确保电子数据的合规性、完整性及真实性。
三、ITAC:聚焦业务"核心场景"
IT应用控制(ITAC)直接对接研发、生产、财务等核心业务,是IPO审计的"重中之重",尤其需要关注以下五个场景:
1. 临床试验数据管理
癌症特效药的临床试验数据(如EDC系统记录)是药品注册的核心依据,必须满足ICH E6(R2)标准。审计核心包括:数据录入是否有逻辑校验?传输是否加密?修改是否留痕?
数据疑问单处理未留痕、导出格式可修改,均可能被认定为"数据不完整",直接影响药品牌照有效性。临床试验数据核查需确保数据在采集、报告与处理各个环节的准确性,通过制定详细的数据核查计划,对缺失数据、随机化等方面进行核查。
2. 生产工艺控制
生产过程中的关键工艺参数需在MES系统中固化,禁止非授权修改。审计需关注:批记录是否自动生成?工艺偏差是否联动系统记录?数据与实际生产是否一致?
GMP要求"生产过程数据实时采集、自动记录",香港联交所更是要求披露"产品质量相关内控有效性"。
3. 财务数据对接
ERP系统需与MES、LIMS、研发工时系统无缝对接,确保生产产值、成本核算、研发费用归集数据一致。审计核心包括:接口传输是否有自动校验?是否防范重复记账?跨境税务申报数据是否准确?
4. 质量控制数据
检验数据需自动采集(避免人工录入错误),检验标准需系统固化,不合格品处理需与LIMS数据联动。审计需核查检验结果判定是否符合质量标准?不合格品处理是否留痕?
质量数据造假是药品行业"高压线",一旦查实,直接取消上市资格。
5. 研发工时管理
生物制药企业研发投入占比高,研发工时记录直接影响研发费用核算准确性,是IPO财务核查重点。审计需验证:工时是否按项目/任务类型分类记录?跨项目分摊是否有审批依据?工时数据与财务费用是否匹配?
四、数据核查:穿透式验证,杜绝"数据失真"
数据核查是"结果验证",直接对接IPO监管问询核心,包括以下关键领域:
1. 临床试验数据完整性
审计会抽取核心试验数据,对比EDC系统记录与原始病历、实验室检测报告,验证数据一致性。核查重点包括:缺失数据是否有合理说明?修改记录是否经监查员确认?登记平台数据与内部系统是否一致?
某创新药企因临床试验数据"修改无原因",被证监会认定为"虚假申报",上市申请直接被否
。这表明数据完整性不仅是技术问题,更是合规红线。
2. 生产与质量数据一致性
需抽取关键产品批次,对比MES生产数据、LIMS检验报告、批记录的一致性,核查稳定性试验数据是否真实。A股注册核查要求"申报资料与生产现场数据一致",H股需符合国际GMP标准,证明产品质量可控。
3. 跨境数据合规
"先H后A"企业需重点关注数据跨境传输合规:临床试验数据、生产工艺数据是否履行出境安全评估?境外研发数据是否满足本地化存储要求?
监管依据包括A股《数据安全法》《个人信息保护法》,H股香港《个人资料(私隐)条例》,两者缺一不可。
4. 第三方审计视角的价值
在医药生产环境中,基于非业务系统对业务系统的第三方监管更具说服力。因为业务系统本身可能存在后门甚至特级权限,让业务人员在修改生产数据时不留痕迹。
IT人员借助非业务系统对业务人员的生产数据进行并行监管时,监管结论将更具有说服性,也更容易在企业做认证时被审查机构认可
。
五、生物医药企业IT审计实践建议
针对计划IPO的生物医药企业,我们提出以下实践建议:
1. 提前布局,建立常态化机制
IT审计不是"临时抱佛脚",而应贯穿研发、生产、财务全流程的常态化工作。建议企业在申报前1-2年启动系统梳理工作。
立即行动清单:
- 梳理核心系统清单,补全缺失的验证文档
- 优化权限与变更管理流程,确保QA全程参与
- 建立数据核查机制,定期开展内部自查
- 关注跨境数据合规,提前完成数据出境安全评估
2. 采用风险导向的审计方法
生物医药企业应基于对过程的了解和风险评估工具来确定审计重点和频次。风险评估应包括对数据关键性、控制机制以及产品质量影响的评估。
3. 构建全员参与的数据可靠性文化
东曜药业的经验表明,通过相关管理规程要求、培训及宣传等提高员工的DI意识,定期的质量管理培训以及严格的奖罚制度,能确保员工都做到对数据真实性的严格认识和重视。
结语
在生物医药行业数字化转型与监管趋严的双重驱动下,IT审计已从可选项变为必选项。它不仅是满足监管合规的要求,更是企业内在管理需要和核心竞争力的体现。
通过建立健全的IT审计体系,生物医药企业不仅能顺利通过IPO审核,更能为未来的可持续发展奠定坚实的数据基础,在创新药研发的激烈竞争中赢得监管信任和市场先机。
合规之路无捷径,唯有筑牢IT内控防线,才能在IPO监管核查中从容应对,顺利实现跨境上市目标。