2023-07-04
由于云能够带来显著的财务优势和组织优势,因此制药行业的趋势也是在向云计算发展,与此同时我们也应考虑到潜在的合规风险和监管限制。以下是来自制药行业和监管部门的九位专家针对[对于供应商评估和供应商审计要求]主题发表的系列GxP相关问题:
问题11:审计CSP需要计划多少天?是否可以进行远程审计?
如果制药企业的部分活动外包给了第三方,那么承包商必须具备相关的资质。譬如,在生产活动中我们会把活性药物成分、成品药和医疗器械进行外包;同样,在IT服务领域,我们把一些IT工作进行外包也同样适用此原则,这意味着药企选择云服务提供商时,CSP应当通过其资质审核。首先,药企可以通过电子邮件发送问卷调查,并对调查内容进行相关评估,这在资格认证方面是有用的。但这样做,不太可能评估答复内容的正确性和真实性。
(图源网络,如侵删)
近年来,越来越多的对于IT服务提供商的远程审计被执行。这些审计对审计员来说非常具有挑战性,因为当涉及到分析被审计方的反应和身体语言、阅读和评估大型文档以及参观场所(例如数据中心)时,视频技术的局限性就会显现出来。
(图源网络,如侵删)
最好的解决方案是众所周知的现场审计,审计员可以客观地了解未来合作伙伴的品质和表现。
根据服务范围,对于IaaS的审计,在现场进行1-2天的审计可能就足够了。而对于SaaS应用程序,则需要对云服务提供商进行非常详细的了解,因为SaaS服务提供商还负责验证的关键部分。在这种情况下,审计个5-7天是非常普遍的。
(图源网络,如侵删)
根据外包的服务内容,首席审计官应该视情况召集更多的专家(例如来自信息安全领域),以便获得完整的供应商画像。
为了推进审计计划高效执行,服务提供商通常会获得一个清晰显示审计内容的计划,这个审计计划也可以集成到时间表中。但是,我们还是建议让接受审计的公司自行安排时间表,因为必须确保当审核特定的主题时,相关人员能够在场。
以下是SaaS审计计划的一个目录结构。在此计划中,服务提供商可以看到审计活动的主题,以便其可以为会谈安排出相应的员工和管理层来参加。
注:内容来源——ECA Academy
