权限管理是数据完整性管理的一个非常重要的环节，其通过避免非授权操作来降低有意或无意操作的可能性；也可以通过独立账户管理配合审计追踪的方式，实现数据相关的操作得到有效发现，来提高异常操作的可发现性。在权限管理过程经常有一个词叫“职责分离”，而这个“职责分离”在CSV和后续管理过程需要进行哪些特殊管理。本文进行简要分析。

一、职责分离的来源

1.ISPE《ISPE GAMP® RDI良好实践指南:数据完整性-关键概念》

在受监管的生命科学行业中，有必要进行职责分离。在这种情况下，基于规范制衡机制以质量保证或授权人员角色形式存在的平衡。

当实施计算机化系统以自动化业务流程时，同样的原则也适用。一般来说，有必要将任务分开，以确保不同的人负责执行活动的不同部分，即职责分离(SOD)。

二、为什么要进行职责分离

从上述指南描述看，职责分离主要目的是要让个人实施的任务和他承担的责任要进行分离，不能明显产生利益关系，以最大限度的降低有意执行的风险。如QA进行了检验的操作，然后QA再审核自己的电子数据，从利益角度看，QA有规避自己操作异常的潜在风险。而对于各指南推荐管理员权限给IT或工程的目的本质上也是因为职责分离的原因。

同时，《药品记录与数据管理要求（试行版）》描述的“建立操作与系统管理的不同权限，业务流程负责人的用户权限应当与承担的职责相匹配，不得赋予其系统（包括操作系统、应用程序、数据库等）管理员的权限”本质上也是一种职责分离的要求。

二、常见的职责分离有哪些

通过指南不难发现，职责分离是一项非常重要的数据完整性工作，在系统设计和日常运行过程中忽视可能导致潜在风险，最终引起数据完整性崩溃的情况。前段时间某公司生产负责人在DMS上进行重复打印的FDA警告信，本质上就是职责分离管理失效的问题。一般要进行以下的职责分离：

1.管理级别和业务级别的分离，即日常时间元数据调整、账户权限创建等属于管理层级，日常业务操作属于业务层级，需要进行分离。而管理员权限不应进行业务操作。

2.数据产生和数据审核分离，即数据产生人员和数据审核人员的权限应该是分离的。PDA TR84描述审计追踪审核人员不能是数据的创建人和确认人，原因就是这个。

3.数据库管理职责分离，数据库层面可以修改和删除相关数据，其不同意应用层面的管理员，要进行职责分离。

4.业务管理和业务操作职责分离，如进行进样操作人员和手动积分管理权限进行分离。

总结，职责分离在数据完整性管理过程发挥了重要作用，职责分离管理不足可能有重大潜在数据完整性风险，历史上因职责分离管理不足带来的缺陷非常多，包含但不限于：管理员权限管理不足、批记录重复打印、手动积分管理混乱等等。所以职责分离在系统的采购和设计阶段就需要进行提前考虑，如在URS阶段就要求设备的职责分离内容（如数据审核人员和创建人员有不同的角色组），并且在后续验证过程进行确认。在后续管理过程，根据职责分离的情况进行角色的分配，如批记录打印权限不应分给业务操作人员。但是完整的适用于公司的业务方式职责分离上述描述可能不是很完全，建议在数据完整性体系管理中具体描述公司职责管理的方式，并在DI审计过程进行不断的完善和提升。

如果必须给到QA，其实可以将权限给到QA体系中的其他人员，例如文件管理员，体系管理员，这类人员通常与生产检验无直接的数据利益关系，且在职责中也可以很好的区分。

Peter：

这是一个非常非常重要的问题。指南在这一点上很明确，它指出，如果你要成为管理员，你就不能对系统中生成的数据有直接的利益关系。所以大多数公司的做法是在IT部门中设立一个名为IT QA的部门，但并不是每家公司都有资源这样做。正如我们在这里看到的，对于小公司来说，可能没有能力做到这一点。在这种情况下，监管机构的期望是公司尽最大可能做到职责分离。所以，可能不是IT部门，这可能没问题，但你必须证明，在你这个小型组织内部，你已经尽力做到了职责分离。

所以，是的，QA可以拥有管理权限，但应该尽量避免，因为QA的职责是审查审计追踪。这是一个复杂的问题。这非常复杂。所以，是的，他们可以。但同样地，如果有些系统非常复杂，比如要查看审计记录，你必须拥有管理权限或类似的权限。因此，如果QA没有管理权限，他们就无法完成自己的工作。无论如何，你必须有风险评估，来评估你设置系统的方式。所以，如果你的场地允许QA成为管理员，那么必须有风险评估来说明这意味着什么。