这几个问题我们制定审计跟踪审查制度时会关注以下几点：

1. SOP：要有系统特异性和操作指南性

• 审哪些内容：识别对产品质量至关重要的审计跟踪事件，涉及对原始数据的更改、对预设条件的干预或影响批次结果的操作，确保关键活动得到了审计。

•在哪里审：审计跟踪查看的位置及工具。

• 谁来审：1）操作/记录生成部门审查

                2）质量保证部审查

2. 执行周期

• 常规审核（例行）：对于直接影响产品质量和放行决策的关键数据，审计追踪审核应作为批记录审核/放行的固定环节，且必须在数据被用于最终批准之前完成。

• 定期审核：对于非关键数据或系统级操作，可按照预定周期（如年度或基于风险频率）作为定期回顾或自检的一部分执行。

• 专项审核（调查）：当发生偏差、数据差异或数据完整性存疑时，应针对特定数据集进行专项调查审核。

3. 关注重点

识别可能导致数据完整性失效的潜在问题：

•特别是修改和删除动作是否具有合理且文件化的理由；

•重点关注重复分析、试探性进样（Trial Injections）、孤儿数据（Orphan Data）、被作废的结果，以及试图通过多次重新积分/处理来使不合格结果变为合格的行为。

• 系统安全性：核查审计追踪功能是否曾被关闭或禁用、系统时钟是否被擅自修改、是否存在多次尝试非法登录的情况。

4. 执行记录

• 审核结论：审核人应对被审核数据的完整性、准确性以及是否符合既定标准给出明确的结论审核完成后，必须留下记录（如在批记录或专门的审核日志中），明确记录“谁”在“何时”完成了审核。

5. 审核人员的要求

• 独立性原则：审计追踪审核通常应由生成数据的操作区域以外的人员或同行（Peer）执行，确保审核的客观性。

• 业务理解力：审核人员必须深入了解业务流程及其所支持的计算机化系统。他们需要具备足够的专业知识，能判断某项操作（如色谱积分参数的调整）在科学上是否合理。

• 资质与培训：人员必须经过 GxP 原则、数据完整性、ALCOA+ 原则以及特定系统操作的培训，并保存相应的培训记录。

• 批判性思维：审核人员应具备批判性思维，能够从繁杂的电子记录中通过关联分析（如将登录时间与批记录操作时间对碰）发现潜在的造假或不规范行为。

一些细节，可以翻看个人公众号 [小易说合规] 专题文章《FDA 483（2025年10月速递）：把握FDA“审计跟踪审核”的核心关注》，希望能有点帮助。

欧盟附录 11 征求意见稿，审计追踪审核：

12.5. Reviews. Audit trail reviews should be conducted according to a documented procedure for the specific system, or type of systems.
12.5. 审查。应根据特定系统或系统类型的书面程序进行审计追踪审查。

The procedure should outline who should make the review, what should be reviewed, and when should the review be made.
程序应明确谁应进行审查、审查什么内容以及何时进行审查。

The use of tools to help conduct audit trail reviews is encouraged and appropriate action should be taken and documented following the reviews.
鼓励使用工具协助进行审计追踪审查，并应在审查后采取并记录适当措施。

Any significant variation from the expected outcome found during the audit trail review should be fully investigated and recorded.
在审计追踪审查期间发现的与预期结果的任何重大偏差都应进行全面调查并记录。

12.6. Independent review. Audit trail reviews should be conducted by personnel not directly involved in the activities covered by the review (a peer review).
12.6. 独立审查。审计追踪审查应由未直接参与所审查活动的人员进行（同行审查）。

12.7. Scope of review. Reviewing all entries in an audit trail record may not be effective.
12.7. 审查范围。审查审计追踪记录中的所有条目可能并不有效。

Reviews should be targeted, based on risk and adapted to local manufacturing processes.
审查应基于风险并适应本地制造流程，有针对性地进行。

Procedures for audit trail reviews should focus on detecting any deliberate or indeliberate changes to critical processes or data that indicate a violation of GMP principles, including, but not limited to, repetition of activities, errors, omissions, unauthorised process deviations and loss of data integrity.
审计追踪审查程序应侧重于检测对关键流程或数据的任何故意或非故意更改，这些更改表明违反了GMP原则，包括但不限于重复活动、错误、遗漏、未经授权的流程偏差以及数据完整性的丧失。

A key element should be to verify the reason why a change is made.
关键要素是验证更改的原因。

12.8. Timeliness of review. Audit trail reviews should be conducted in a timely manner according to the risk of the process reviewed.
12.8. 审查及时性。根据所审查流程的风险，审计追踪审查应及时进行。

The audit trail review should be conducted prior to batch release, unless the risk of a later detection of any unwarranted changes can be justified.
除非可以证明在批次放行后较晚发现任何不合理的更改的风险是合理的，否则应在批次放行前进行审计追踪审查。

12.9. Electronic copy. It should be possible to obtain a complete electronic copy of system data including audit trail data.
12.9. 电子副本。应能够获取包括审计追踪数据在内的系统数据的完整电子副本。

Flat and locked files are not acceptable, it should be possible to search and sort data.
平面和锁定文件是不可接受的，应能够搜索和排序数据。

12.10. Availability to QP. Audit trail reviews with direct impact on the release of a product should be available to the QP at the time of batch release.
12.10. 对QP的可用性。对产品放行有直接影响的审计追踪审查应在批次放行时可供质量受权人（QP）使用。

审计追踪的审核应由数据产生部门进行，必要时由质量部门核实，例如：在自查或调查活动中。综合法规和指南的要求，总结分析如下：

1、审计追踪的审核应该与相关的记录一并进行审核，由数据产生部门进行审核。

2、企业应基于风险的控制，对于关键性的数据的审计追踪由质量部门（QA）定期核查。

3、以色谱分析为例：审计追踪由实验室第二人进行审核，同时对于系统层面的审计追踪，QA定期进行检查