北京市中伦文德(成都)律师事务所 王志坚、康琪、李玲蕊
引言
随着我国药品上市许可持有人制度及创新药物优先审评审批等鼓励医药创新的政策陆续出台,各类新药的申报数量均有所增加。新药研发分工的进一步专业化,促使一批以提供新药研发服务的CRO(Contract Research Organization)企业应运而生,医药行业的整体创新能力逐步增强。其中,临床CRO主要以临床研究服务为主,包括创新药的I至IV期临床试验技术服务、仿制药的生物等效性研究、临床试验数据管理和统计分析、临床试验现场管理及受试者招募、药品上市许可持有人的申报注册服务以及上市后药物的临床再评价等,是一种专业要求极高的外包服务。由于药物临床研究过程中涉及的法律法规及政策众多,临床CRO存在的不合规行为可能会导致药物临床试验不能获取行政批准或/和承担民商事法律责任,可能受到行政处罚,甚至构成刑事犯罪。同时,由于药品行业的合规风险点多、风险大、专业性强,往往风险被识别时已经较难挽回或者挽回代价较大。因此,建立有效的临床CRO合规管理制度就是非常有意义的工作。
一、临床CRO行业概况、涉及研究环节及其法律风险
药物临床试验的参与者主要包含申办者、临床试验机构、临床CRO等服务机构、药品监督管理机构、受试者等。其中,临床CRO主要协助申办者完成整个或部分临床试验不同阶段的工作。当前,临床CRO在药品研发产业链中的重要性日益凸显。临床CRO的上游是具备相应资格的临床试验机构。一方面,临床CRO能聚集全国各领域医生专家资源并高效对接医疗机构,另一方面,其能与国家药物审评机构进行良好协作沟通交流,缩短新药的整体研发时间。临床CRO的下游主要为制药企业,通过临床CRO公司外包开展临床试验与制药企业自己开展临床试验相比,能提高新药研发效率,降低研发成本。
临床CRO涉及的药物临床研究环节包括临床申报、新药的I-III期临床研究及仿制药的一致性评价和申报注册等环节(见下图)。其中,申报临床环节主要涉及药物代谢动力学药物效应动力学等药学研究申报资料、临床研究设计和临床研究准备,以及协助申办者申请临床试验批件和协助申办者选择合适的研究者及研究机构。临床研究环节包括新药的I-III期临床试验及仿制药的一致性评价研究,具体而言,包括协助申办者准备伦理材料,并递交伦理委员会审核;试验用药物包装与分发;临床试验的监查;临床试验的稽查;临床试验数据管理与核查;临床试验统计分析;撰写临床试验总结报告等。申报注册环节涉及申报资料准备及与国家药审部门的沟通协调与发补内容研究等。
临床CRO在药物临床申报、新药的I-III期临床研究及仿制药的一致性评价和申报注册等环节的法律风险包括民商事法律风险,行政风险和刑事风险。民商事法律风险分为违约风险与侵权风险,包括临床研究过程中临床CRO与申办者及试验机构间的合同纠纷、临床CRO与医疗机构与患者间的侵权纠纷等;行政风险包括药品不能获得行政许可(药品临床批件、药品上市许可持有人资格等)和承担行政处罚(调查结果向社会公开,并追究同研究组织直接责任人的责任等);刑事风险主要包括故意提供虚假证明文件罪(临床CRO的工作人员,故意提供虚假的药物非临床研究报告、药物临床试验报告及相关材料)。
以I期药物临床试验研究环节为例,涉及的民商事法律风险包括健康受试者知情同意、相关知识产权的归属,技术资料真实性及保密义务,试验药物是否有合法来源,试验用药品保存与使用是否影响受试者安全等。行政风险包括临床试验研究未能满足国家药品监督管理部门的规定,不能获得药品临床批件或药品生产批件等,此外如果临床CRO或申办者编造或者无合理解释地修改受试者信息以及试验数据、试验记录、试验药物信息的应承担三年内不受理其申报该品种的药品注册申请等行政处罚,同时可能构成故意提供虚假证明文件罪。
二、用“五张清单”构建有效的临床CRO合规管理制度
五张清单依次是法律法规清单、合规义务清单、合规风险清单、岗位职责清单和流程管控清单。五张清单之间功能上彼此衔接、工作顺序层层递进,形成完整闭环的管理逻辑。
五张清单的根本逻辑,是以法律法规作为临床CRO合规管理的基础及内部制度制定、修订的依据;以合规义务明确临床CRO业务相关的红线、底线,明确强制性、禁止性要求;以风险清单明确临床CRO合规管理的重点关注节点,合理设定管控措施;以岗位职责清单将临床CRO合规管控措施落实到岗到人,实现“事事有人管、人人都管事”,合规入岗;以流程管控清单实现各项临床CRO管理措施充分协同,将过往零散的管控措施、部门职责通过流程梳理充分融合,实现合规入流程。
1. “法律法规清单”的制作
合规的基础在于了解“规定”是什么。临床CRO从事业务活动需要遵守一定的法律法规。企业应全面收集法律法规,形成清单,并根据法律法规的制定修订、业务所在司法管辖区、业务内容的变化逐年滚动修订。企业应当全面收集其经营所适用的各项法律法规,明确制度名称、颁布机关、生效时间等,便于企业了解其应遵守的规则框架。临床CRO所涉及的法律法规在笔者团队打造的“医药健康与合规监管网”上均能精准查询。
2.“合规义务清单”的制作
在完成法律法规清单后,企业通过对上述法律法规中所规定的强制性和禁止性规范的识别,明确临床CRO开展业务必须履行的合规义务和不得从事的违规行为,对临床CRO起到行为指引的作用。
临床CRO合规义务清单应包含的内容应包括临床CRO在不同事项下需要遵守的合规义务,并列明义务来源、违规责任等。为了方便业务人员使用,还应当将行为模式以及法律后果具象化,表述清晰、动作指向明确。
临床CRO合规风险,是指企业及其员工因不合规行为,引发法律责任、受到相关处罚、造成经济或声誉损失以及其他负面影响的可能性。示例见下图:
具体而言,合规风险的内容,应包括风险事项、发生原因、风险后果、风险类别、管控措施,并明确对应的部门和岗位。就风险事项,企业可能的痛点问题是在风险没有实际暴露的情况下,如何搭建风险清单。发生原因方面,需要结合企业的业务场景进行分析,避免脱离业务实际。风险后果与风险类别,则需要根据法律法规的相关规定进行明确,通常会按照责任“高中低”采取赋值的方式划分风险严重性等级,按照发生可能性的大中小划分风险可能性等级,以判断重点风险节点并决定相应的管理资源投入。最后,只有具体识别企业存在哪些合规风险,才针对具体风险提出管控要求,并进一步将管控要求落实在企业各部门及各员工的岗位职责之上。
在制作 临床CRO合规风险清单的基础上可以进一步制作 临床CRO合规风险评估地图,示例见下图:
合规风险评估细节的程度和水平取决于企业的风险状况、环境、规模和目标。企业需要对发现的所有合规风险/场景进行监控、更正和纠正,高、中、低级合规风险评估只是企业将主要精力和资源放在优先级更高的合规风险上,但最终要涵盖所有的合规风险。
实践中,企业通常会有部门岗位清单,明确各部门/中心、处室/岗位的工作职责。具体到合规领域,岗位职责清单主要是以合规义务、合规风险清单为基础,明确各部门、岗位需要履行的合规义务、需要防控的合规风险,实现管控措施到岗到人,使合规岗位职责看得见、摸得着。示例见下图:
企业合规管理的进阶布置,通常是要求制度化、制度流程化、流程表单化和表单信息化。临床CRO应当充分依托既有的业务流程,明确节点,以合规为既有的管控机制“赋能”,避免对过往的工作机制进行颠覆性重构。流程管控清单是在有效地识别了合规义务、合规风险、岗位职责之后,结合企业的业务管理流程,明确流程管控的关键节点,明确相关节点的责任部门、管控措施、审查事项/文件载体等,进而实现流程管控动作准确、简练,合规管理与业务流程高度融合。 示例见下图:
B业务领域X业务事项流程管控清单示例
三、实施有效的临床CRO专项合规制度的要求
2021年4月13日,ISO 37301: 2021《合规管理体系 要求及使用指南》(Compliance management systems — Requirements with guidance for use)国际标准正式发布实施。该标准统一了各个国家针对合规管理体系的认知,为组织提高自身的合规管理能力提供系统化方法,为监管机构和司法机构采信组织的合规管理体系实践提供参考依据,为便利全球范围内相关方之间的贸易、交流与合作提供通用规则。2022年10月12日,国家标准GB/T35770-2022《合规管理体系 要求及使用指南》正式发布。该标准等同采用ISO国际标准:ISO 37301:2021,替代了原有的GB/T 35770-2017标准。这两个标准以良好治理、比例原则、透明和可持续性原则为基础,给出了合规管理体系的各项要素以及各类组织建立、实施、评价和改进合规管理体系的指导和建议。它的实施与应用为我国临床CRO企业建立合规管理体系,识别、分析和评价合规风险,改进合规管理流程,应对和管控合规风险提供良好的指导和建议。建立是前提,实施是必要条件,而“有效”则是关键,建立和实施都必须是有效的。我们理解这样的临床CRO合规管理需要具备以下条件:遵守法律法规的规定,合乎国际标准:ISO 37301:2021和国家标准GB/T35770-2022,合乎医药行业准则;以合规风险为导向,与企业的实际临床研究模式行为相一致;根据不同的临床研究环节予以动态监控并予以风险预警。不断改进,构成合规管理的动态循环。
特别需要指出的是,建立的临床CRO专项合规制度如果能够通过ISO 37301或GB/T35770认证,就更能使企业具备比较优势。因为通过两项认证具有如下意义:
1. 建设并弘扬与合规相关的核心价值观
2. 提升各级员工的合规意识
3. 维护良好的公司治理标准
4. 提升企业社会声誉
5. 证明企业符合法规要求
6. 帮助企业化解市场技术壁垒
四、合规管理应植入临床CRO业务流程
由于临床CRO涉及药物临床试验的环节繁杂,相关法律法规及药品审批审评的政策众多,在不同的环节涉及的法律风险有所不相同,有些环节只涉及某一类型的法律风险,有些环节可能涉及多个类型的法律风险。与此同时,风险发生的原因、行为人的动机、风险发生的可能性和风险后果的严重程度均可能导致防范方式的不同。怎样避免那些事前能够或不能够意识到的非故意风险?怎样避免那些事后很难弥补的非故意风险?怎样让不知道不合规行为后果的故意违规行为者能够意识到后果。有些合规风险可能临床CRO公司没有人意识、有些合规风险有人能意识到但不等于所有工作环节上的人员均能意识到、还有些风险虽然意识到风险可能产生但确没有意识到后果发生的可能性及严重度,没有意识到可能产生较大风险或者轻信可以避免。因此,临床CRO的风险合规管理除了需要建立一般制度外,还应当把合规植入到业务流程和岗位中去,在业务流程管理文件和岗位管理文件中植入合规管理内容并对不同环节予以动态监控。
随着时代的发展,在市场不断开放和技术工具不断创新的背景下,合规风险的表现形式越来越隐蔽。这些新的风险对合规管理技术提出了更高的要求。企业需要一个灵活的技术架构来支持其定制化的合规建设,合规管理信息系统就是其中重要的手段。
企业合规管理信息系统是合规管理必不可少的工具,其基本功能如下:
1. 可以对适用于企业的法律法规等进行收集、储存、分类和传递;
2. 可以将企业合规管理制度与流程、业务活动有机融合,对企业合规风险点进行识别、定位、分类、监测及储存;
3. 可以支持企业在线进行合规审查、合规检查、合规审核、合规评审及合规绩效评价;
4. 可以对企业合规管理的报告机制提供在线支持;
5. 可以支持企业开展在线合规培训、在线合规考试;
6. 可以收集、储存和管理企业员工的合规档案信息;
7. 能够在安全的前提下与内外部相关信息系统实现互通等。
但我们原则提倡把合规管理信息系统嵌入企业现有的信息系统中去而非另起炉灶。建立和实施植入药品研发环节的合规管理应用软件,该应用软件可以与在现有各类型药品研发阶段管理软件兼容基础上,实现不同研发阶段的各类法律风险的实时预警提示。植入药物临床研究环节的合规管理的最大特点在于将必须遵守的法律法规、国际标准、国家标准、行业准则等相关合规义务对应地融入到临床CRO的日常操作中,合规管理应用软件可根据不同的研发环节予以动态监控合规风险并予以识别预警及提示化解方法(合规管控),业务的培训也是合规的培训,让每一位一线临床药物研究人员都能参与到研发合规进程中,让合规过程与工作过程合二为一。
这种方法合理性的逻辑在于,一方面研发相关人员存在不能全面掌握体系化的法律(合规意识不足,对民事法律掌握不好没有相应风险意识)从而把握合规风险的问题,更严重的是知道存在合规风险但在工作进行中往往业务优先,忽略合规风险,等到合规风险外化时就有可能无法逆转;另一方面合规或法务人员/外聘律师对业务(相对)不熟悉、没有能力也没有机会介入到业务流程去进行合规管控。植入临床CRO工作环节的合规管理能够较好地解决这些问题。
在国家重视创新药、推进仿制药获得一致性评价之时,医药企业的研发热情空前,通过临床CRO公司外包开展临床试验与制药企业自己开展临床试验相比,能提高新药研发效率,降低研发成本。这些都使得制药企业与临床CRO的合作意愿不断升高,临床CRO在药品研发产业链中价值的日益凸显。但由于药物临床研究过程繁复,且涉及的法律法规及政策众多,临床CRO实时合规问题亟待解决。临床CRO须适应形势变化,改变现有法律/合规风险的管理方式,将法律纠纷事后处理的方式前置为法律风险事先防范——植入临床研究的业务流程中,提高合规意识,把合规作为临床CRO企业可持续发展的基石和经营的前提条件,进而把合规转化为生产力,推动企业业务发展。中伦文德王志坚律师团队在医药健康和合规法律服务方面拥有丰富的经验,期待把自己的法律/合规服务融入到临床CRO的发展中去,我们的口号是:法律要素参与商业竞争、制度设计决定风险控制、法律服务护航企业发展!