深度长文| CSV系统：定期审核了解一下？

定期审核的内容至少在工厂级别的SOP正文中都要有所描述，需要涉及的内容应至少包括以下几点：

验证文件的归档与管理，SOP与法规的符合性。

对照该系统的VP及SOP，确认所有验证文件是否都是即时有效。检查这些纸质文件的归档情况，是否按照公司的管理要求妥善保管。还需检查对上一审核周期内，是否有相关的法规或指南的更新，SOP是否及时响应并更新。

变更应经过适当的评估，配置管理应与变更或其他事件做关联。

检查周期内该系统的所有变更是否按照变更SOP的要求填写。思考变更的来源，是由某次系统故障或事件、操作人员的不适应或其他因素，是否得到有效控制。变更的风险评估是否充分，当变更触发的影响需要对系统作配置时，配置的测试范围及深度是否基于风险作了充分评估。

用户账户管理、密码管理。

需要检查安全与权限管理是否得到贯彻执行。例如要求系统导出一份用户清单，检查是否有员工调岗或离职。如有，其权限是否及时冻结或撤销，账户是否被重新激活或使用过。

回顾原定的系统策略是否被改变，如：密码的长度、特殊字符、字母、数字的规则，强制更改周期等。进入系统查看系统日志，检查企图登录的尝试是否被记录，如用不存在的账号密码登录事件等。

检查用户经过适当的培训并始终维持培训的有效性。

对照系统导出来的用户清单，随机抽取几名用户，交叉对比培训记录，检查时间逻辑是否合理，培训效果是如何评估的。

查看系统的事件清单与运行维护记录。

按照相关SOP的要求检查是否进行了恰当的系统维护。例如，系统历史或事件记录中，发生的故障是否有规律地发生，维护人员做了什么措施来响应这一故障。有时候，可能会因为某个故障而撤销已批准的变更申请，这时候就需要查清楚背后的问题。

另外通过事件清单或其他途径，识别系统时间是否有人为的修改。审计追踪功能是否被短暂关闭后重新开启。这都预示着可能存在不合规的操作。

在系统出现故障时，如公司现有资源解决不了，可能需要供应商或三方服务商协助，如远程接入系统处理。因此需要定义对系统外部接入的管理，比如供应商用什么账号、账号的时效性，需要什么样的流程，是否需要QA批准才能接入系统等等。处理好问题后，要及时断开内网外网的链接等，都要做好全盘考虑。

系统的备份方式是自动还是手动，风险因素是否得到良好的控制。

例如手动备份，人为的影响因素较多，风险相对较高，一般不建议。如不得不仍然使用该方式，则需谨慎行事，至少需要更为全面的评估和控制。

但自动备份也不代表一劳永逸，需要按系统备份的策略，增量备份与完整备份的时间点等预先定义的规则进行审核。查看系统记录，检查发生过几次恢复操作，是否都已记录在案。操作的IT人员是否经过备份与恢复的培训。另外备份资料的准确性，是否检查其数值及含义未发生改变。

对涉及到数据迁移的案例，如有的话也要纳入审核范围。有可能需要一个完整的退役+迁移计划，并按计划实施，最重要的是迁移后需要检查数据是否完整保存下来，且未发生变化。

系统的备份与恢复，是用来支持业务持续计划(business continuity plan)，SOP是否有定义BCP的范围，如硬件、软件、数据等。或者当线上系统宕机，短期无法恢复时，是否考虑用纸质文件来维持业务的持续性。

检查上次审核的发现项是否得到妥善的跟踪与处理。

需要确认之前发现的问题是否有明确的CAPA及时间限制，CAPA是否在相应的时间节点完成，书面的证据是否作了相应的归档。

CSV系统定期审核的方式，简单来说分为横向审核、纵向审核、问答式审核。具体如下图所见。