Wie man sich auf eine Datenintegritätsinspektion vorbereitet

Data Governance und Datenintegrität sind in der letzten Zeit mehr und mehr in den Fokus behördlicher Inspektionen gerückt. Unternehmen können sich jedoch mit regelmäßigen internen Audits auf diese Inspektionen vorbereiten und sicherstellen, dass Compliance und Performance aufrecht erhalten und Korrekturmaßnahmen bereits im frühen Stadium ergriffen werden können.

Das ALCOA-Prinzip

Das englische Akronym ALCOA wird als Rahmen für Datenintegrität und Governance genutzt. ALCOA bezieht sich auf Daten, auf Papier oder elektronisch, und setzt sich zusammen aus Attributable, Legible, Contemporaneous, Original and Accurate:

• Attributable (zuordenbar) - wer führt eine Aktion aus und wann?
• Legible (lesbar) - ist eine Datei bzw. sind alle handschriftlichen Einträge lesbar?
• Contemporaneous (zeitnah) - wurde zum Zeitpunkt der Aktion auch dokumentiert?
• Original (original) - handschriftlich ausgefüllter Ausdruck oder Beobachtung oder eine zertifizierte Kopie
• Accurate (korrekt) - keine Fehler oder Editierung ohne dokumentierte Ergänzung

Dies sollte als Basis für alle Ihre Data Governance Aktivitäten dienen und ist wegweisend für die Kontrolle über Ihre Datenintegrität.

Was man beachten sollte

Wenn Sie Ihre Systeme auf Compliance hin überprüfen, sollten Sie die folgenden Punkte beachten:

• Sind alle Daten und Metadaten vollständig (wie definieren Sie Daten und wie werden diese gesammelt)?
• Wie werden die Daten verarbeitet (wie stellen Sie sicher, dass Daten nicht verändert oder gar gefälscht werden)?
• Wie werden die Daten geprüft (was wird in welchem Umfang überprüft)?
• Wie werden Daten zusammengefasst, gesichert und berichtet (wie stellen Sie sicher, dass alle relevanten Daten verwendet werden und Datenselektion vermieden wird)?
• Wie werden die Daten verwahrt und archiviert (was, wie und wann)?
• Wurden alle Prozesse und Schnittstellen validiert?

Was hilft dem Auditor bei der Datenprüfung?

Ein systematischer Ansatz sollte gewählt werden und der Auditor sollte:

• die anwendbaren SOPs prüfen,
• Flowcharts und Prozesspläne überprüfen oder anlegen,
• kritische Schritte identifizieren,
• kritische Schnittstellen identifizieren,
• kritische Dokumentation identifizieren
• und, nicht zu vergessen, vorherige interne und externe Auditergebnisse mit Korrekturmaßnahmen auf ihre Effektivität überprüfen.

Im Detail sollte man als Auditor einen Blick auf Dateneinträge werfen und für verschiedene Schritte und deren Effektivität Plausibilitätsprüfungen durchführen. Man sollte außerdem einen genauen Blick auf den Anwender und das Zugriffsmanagement sowie die Aufgabentrennung werfen. Darüber hinaus sollten folgende Bereiche geprüft werden:

• Audit-Trail-Funktionen
• Vollständigkeit der Ausdrucke
• Backup-Management

Das bedeutet sicherlich viel Arbeit, die nicht in einem kurzen internen Audit erledigt werden kann. Darum könnte es ratsam sein, einen Fragebogen oder eine Checkliste auf Grundlage eines Datenflussmodells oder von Mind Maps zu entwickeln. Vereinbaren Sie Gespräche mit System- und Prozessverantwortlichen und ziehen Sie eventuell einen Experten aus der IT-Abteilung zurate.

Berichten Sie nach dem Audit über die Ergebnisse und bewerten Sie alle (GMP-) Risiken, um notwendige Maßnahmen zu definieren. Und haben Sie keine Angst, auch negatives Feedback muss möglich sein. Datenintegritätsbewertungen sollten Teil eines jeden Audits sein.