Audit-Bereitschafts-Checkliste für Business Central in regulierten Industrien

audit · compliance · gxp26. März 2026

Konform zu sein und audit-bereit zu sein sind nicht dasselbe. Ein konformes System erfüllt regulatorische Anforderungen. Ein audit-bereites System ist eines, bei dem die Konformitatsnachweise klar, ohne Verzögerung abgerufen, präsentiert und erläutert werden können. In der Praxis erzeugen Systeme, die konform, aber nicht audit-bereit sind, Befunde bei Inspektionen — nicht weil die Anforderungen nicht erfüllt sind, sondern weil die Nachweise nicht produziert werden können.

Was Inspektoren prüfen

Inspektoren, die ein ERP-System in einer GxP-Umgebung prüfen, suchen typischerweise nach Nachweisen für vier Dinge: dass das System validiert wurde; dass Datenintegritätsanforderungen erfüllt sind; dass die Zugriffskontrolle angemessen ist; und dass Änderungen am System gemanagt und dokumentiert werden.

Die 20-Punkte-Audit-Bereitschaftscheckliste

Validierungsdokumentation

  1. Validierungszusammenfassungsbericht (VSR) vorhanden, genehmigt und aktuell
  2. URS verfügbar und von QA genehmigt
  3. IQ-/OQ-/PQ-Protokolle und ausgeführte Aufzeichnungen verfügbar und vollständig
  4. Alle Abweichungen aus der Validierungsprüfung dokumentiert, bewertet und abgeschlossen
  5. Validierungspaket innerhalb der letzten 12 Monate überprüft (periodische Überprüfung)

Zugriffskontrolle

  1. Jeder aktive BC-Nutzer hat ein Einzelkonto — keine gemeinsam genutzten Logins
  2. Nutzerkonten sind Berechtigungssätzen zugewiesen, die die Arbeitsfunktion widerspiegeln
  3. Eine aktuelle Rollenmatrix verknüpft jede Arbeitsfunktion mit ihrem BC-Berechtigungssatz
  4. Deaktivierte Nutzer wurden zeitnah abgemeldet — Zugriffskontrollüberprüfung in den letzten 6 Monaten durchgeführt
  5. Systemadministratorzugang ist eingeschränkt und protokolliert

Audit-Trail

  1. Change Log für alle GxP-relevanten Tabellen konfiguriert
  2. Change-Log-Konfiguration dokumentiert und im Validierungspaket enthalten
  3. Change-Log-Einträge können von keinem Nutzer — einschließlich Administratoren — gelöscht oder geändert werden
  4. Audit-Trail getestet, Testnachweise verfügbar

Chargen- und Losverfolgbarkeit

  1. Alle GxP-relevanten Artikel haben obligatorische Losverfolgung aktiviert
  2. Eine vollständige Vorwärts- und Rückwärtsverfolgbarkeitsdemonstration kann für jedes Los innerhalb von 30 Minuten erstellt werden
  3. Ablaufdatumsverwaltung konfiguriert und validiert

Änderungskontrolle

  1. Ein dokumentiertes Änderungskontrollverfahren ist vorhanden und seit dem Live-Gang in Verwendung
  2. Alle Post-Validierungs-Änderungen an der BC-Konfiguration haben Änderungskontrolldokumentationen
  3. Änderungskontrolldokumentationen umfassen eine Auswirkungsbeurteilung auf den Validierungsstatus

Häufige Befunde in BC-Audits

Change Log nicht für alle relevanten Tabellen konfiguriert: der häufigste Befund.

Gemeinsame Logins oder inaktive Konten: regelmäßige Nutzerverwaltungsüberprüfungen werden nicht durchgeführt.

Keine Änderungskontrolle für BC-Updates: die Organisation hat die automatischen SaaS-Updates von BC nicht auf ihre Auswirkungen auf validierte Funktionalitäten bewertet.

Veraltetes Validierungspaket: das System hat sich seit der ursprünglichen Validierung geändert, aber die Validierungsdokumentation wurde nicht aktualisiert.

Keine periodische Überprüfung: die ursprüngliche Validierung ist älter als 12 Monate, und keine periodische Überprüfung wurde durchgeführt.

Laden Sie die vollständige Audit-Bereitschaftscheckliste für Business Central als PDF über den untenstehenden Link herunter.