“뻔한 기능이라 그냥 넘어갔다?”
URS 항목별 ‘진짜’ 작성법은 따로 있다
“로그인, 백업, 알람? 다들 하잖아요.”
그래서 그냥 넘어간다.
그러다 실사에서 털린다.
실제로는 거의 모든 시스템 URS에서 계정 관리, 백업, 알람, 트렌드, 설정 변경 항목이 등장한다.
그런데 그게 문제다. 너무 익숙해서 아무도 안 본다.
그냥 넘어간다. 대충 쓴다. 벤더가 준 거 그냥 붙인다.
그러다 실사에서 “이건 왜 이렇게 썼죠?”라는 질문을 받는다.
그리고 문서 책임자는 답을 못 한다.
이 항목들이 제일 흔한 기능이면서 동시에 가장 많이 털리는 기능이다.
익숙한 것일수록 더 위험하다.
계정 관리. 로그인만 되면 되는 게 아니다.
역할 기반 권한 설정은 기본.
로그인 성공/실패 로그는 변경 불가 형태로 자동 기록.
연속 실패 시 계정 잠금, 해제는 관리자만 가능.
“사용자는 ID로 로그인할 수 있어야 한다”
이 한 줄로는 규제기관은 절대 납득 못 한다.
EU GMP Annex 11, GAMP5, EMA DI 가이드라인 다 걸린다.
그 한 줄이 아니라,
“왜? 어떻게? 누구 권한으로? 기록은 어디 남고, 얼마간 보존되며, 누가 삭제 못하게 막는가?”
이걸 묻는다.
백업도 똑같다. 그냥 ‘백업 된다’고 쓰면 끝난다고 생각하지 마라.
주기? 경로? 실패했을 때 알람은?
설정은 누가 바꾸고, 그 이력은 어디 남나?
로그는 보존되며, 무결성은 확보되나?
“시스템은 백업 기능을 제공해야 한다”는 말은 아무 말도 아니다.
감사인이 원하는 건 데이터 무결성 기반의 백업 흐름 전체다.
알람? 그냥 띠링~ 울리면 되는 게 아니다.
알람 발생 조건은 어떻게 설정되고?
누가 바꿀 수 있고? 그 변경은 어디에 기록되나?
시각적 + 청각적 알림은 분리되어 있어야 하고
알람 발생 중에는 관련값 수정도 막아야 한다.
“시스템은 온도 이상 시 알람 발생”
→ 이건 진짜 아무 말도 아니다. 그냥 선언일 뿐이다.
문서화된 통제의 구조가 없다면, 기능은 없는 거나 마찬가지다.
트렌드는? 그래프 띄우면 끝?
30일치 확인 가능?
확대/축소 구간 조절?
출력한 그래프, 이후에 데이터 바뀌진 않나?
원본값이랑 일치하나?
트렌드는 ‘그림 보는 기능’이 아니다.
Data Review의 핵심이다.
ALCOA++의 Consistent, Original, Accurate 다 물린다.
설정 변경 이력은?
누가 바꿨는지, 언제 바꿨는지, 이전 값은 뭔지
로그는 바꿀 수 있나?
최소 보존 기간은? 5년? 변경 금지?
이런 항목은
“시스템은 설정을 변경할 수 있어야 한다”로 때우면,
그건 그냥 ‘문서화된 무책임’이다.
결국 URS의 기능 항목이란,
기능이 있느냐 없느냐를 묻는 게 아니다.
그 기능이 시스템 안에서 어떻게 통제되며,
데이터가 어떻게 남고, 그게 규제 기준을 만족하느냐를 묻는 것이다.
“대충 써도 돌아가긴 하잖아요.”
그래. 돌아는 가겠지.
근데 ‘문서’가 증명 못 하면, 돌아간 건 의미 없다.
