浅谈计算机化系统验证：为什么做、什么时候做、怎么做、谁来做？

内容导航：

浅谈计算机化系统验证：为什么做、什么时候做、怎么做、谁来做？

浅谈如何开展计算机信息系统审计

计算机系统怎么做？

计算机验证性能确认怎么做

一、浅谈计算机化系统验证：为什么做、什么时候做、怎么做、谁来做？

前言

随着国家监管部门对制药企业合规性及数据完整性的要求越来越高，计算机化系统验证这个名词，似乎离我们很近却又显得神秘深奥而触不可及。其实我们换个角度去看去理解CSV，也就没有那么的神秘了，或许还会有豁然开朗的感觉。

今天把自己的几次计算机化系统验证的亲身经历，以及自己对计算机化系统验证的一些理解整理下。也结合GAMP5，FDA等相关法规，和IT行业计算机软件开发的角度去理解所谓的“计算机化系统验证”。希望对大家有一定的帮助和启发，当然对于一些大家觉得不正确的见解，欢迎一起讨论。

本文围绕“为什么做、什么时候做、怎么做、谁来做”的思路来一一阐述。

首先了解一下计算机化系统验证官方的定义：

计算机化系统验证（Computerized System Validation）简称CSV “执行验证原则、验证策略及验证计划和报告的生命周期活动；在系统的整个生命周期中采取适当的操作控制以达到并维持相关GXP法规且达到预期使用目的行动”。

用通俗易懂的话来描述，就是：

“对应用在药品生产及质量管理过程中的计算机化系统，是否按照要求的规格进行合理开发，且在运用开始后是够进行合理的管理，做出评估和确认的行为。”

一、为什么要做验证？

或许大家都会说是法规的要求，其实换个角度，我们做验证的目的是什么，是为了确保使用于产品生产或质量活动相关的系统或设备仪器，经验证确认安装使用以及通过长时间的运行之后，仍然满足公司最开始的法规要求、规格要求以及性能要求。

二、什么时候做？

单单从计算机化系统验证“V模型”定义来看，验证的整个过程包含了计划、规格、配置和开发、验证、报告，同时整个过程都应在系统中留下相应的痕迹从而证明其验证的有效性。我们可以得出验证的整个活动过程其实就是一次项目管理的过程。

计算机化验证V模型

如果我们仔细研读法规的要求和定义，“在计算机化系统生命周期中保持其验证状态”。也就是说，计算机化系统经过初次验证，放行到生产环境交付使用后，系统的变更、偏差直到最终的退役，都要在验证和再验证体系中体现。即，CSV验证活动是贯穿于计算机化系统的整个生命周期的。

计算机化系统生命周期

三、 怎么做？

在制药行业中，计算机系统指的不只是计算机硬件和软件，也包括了连接到计算机系统上的设备和仪器，同时还包含了操作系统的人员，标准操作流程(SOP)和系统使用者手册。

系统验证的进行，需要企业内部相关SOP的支持，以确保验证的合法合规性。这些SOP应明确规定如何进行验证，验证的原则是什么，验证的流程是什么等等。

任何计算机化系统都是支持流程的，还应建立相应的计算机化系统的运行相关的SOP文件，确保用户经过培训后按照操作规程正确使用系统。同时，系统的变更管理，配置管理等也需要有相应SOP的规范和约束，以确保系统时刻维持验证状态和合规性。

系统验证SOP框图

对于GAMP5中4类和5类计算机化系统，系统的复杂性和可配置性及客户定制化需求越来越高。CSV验证相关的法规指南也在与时俱进。ISPE（国际制药工程协会）在2020年发布的-《Data Integrity By Design》附录S2 –计算机软件保证的指南内容，提出了软件测试环节的重要性，并强调了软件供应商在软件开发配置阶段测试的关键性。

由此可见，有效落实供应商评审，以及后续指导和规范供应商以法规合规性和行业规范要求执行必要的测试并能提供足够的测试证据来支撑开发的功能符合既定的要求。显得尤为关键和重要！

四、谁来做

目前，制药行业计算机化系统的验证活动大部分通过以下三种方式执行:

1.设备/系统供应商提供配套的验证服务：这种验证方式价格合理，甚至会”半卖半送“，由于验证的执行方为供应商，会有意无意的以验证通过为目的，需要使用方的QA合规部门重点关注验证过程的合规性和执行的规范性。

2.第三方验证服务供应商提供验证服务：验证成本最高，由于验证方是代表使用者执行验证活动，验证合规性和验证的效果最好。

3.甲方自己做验证：验证成本最低，但需要人力资源的投入，且团队对法规知识的了解以及数据完整性理解程度直接影响验证结果的效果。另外，由于验证团队是各职能部门抽调人员临时搭建的，其日常的本职工作也会影响验证活动的按时开展。如果前期职责没定义清晰，也会带来后续验证工作分工不清带来的扯皮和推脱等现象，导致验证无法按时完成甚至失败。

以上三种验证方式各有利弊，需要各自权衡后选择适合自己公司实际情况的验证方式。

总之，不管采用哪种验证方式，或由谁主导验证，我们要始终秉承计算机化系统验证的初衷：

• 使计算机化系统符合适用的GxP法规要求及符合预定用途

• 确保“数据完整性”的法规要求，保护“产品质量”和“患者安全”

在最后，与各位分享计算机化系统验证的几个误区或误解。

Q1:计算机系统供应商提供了IQ/OQ验证文件/证书，是否意味着系统经过了验证，不需要再验证了？

不能，IQ/OQ仅仅是完成计算机系统验证(CSV)的一部分，还需要结合企业内部的需求和环境特性，进行进一步的验证，使之符合公司的规格要求和性能要求。

Q2: 一旦验证完成，上线使用，系统是否就合规了？

前面提到过，CSV验证活动是贯穿于计算机化系统的整个生命周期的。系统运行期间，通过变更控制和配置管理情况下对验证系统进行维护。此外，法规还要求定期对系统进行审查或回顾性验证，并记录结果，以确保系统保持验证状态与合规性。

Q3：验证是质量部的事，与业务部门或系统管理部门无关。

错！计算机化验证活动是各相关职能部门共同参与的一项活动，在验证活动执行期间明确分工，各司其职，分工合作，来确保系统能按照既定的要求交付使用，并在验证和使用期间符合法规要求。

一、浅谈如何开展计算机信息系统审计

未来一段时期内，审计机关要想完成“全面审计，突出重点”的审计目标，担负起社会经济运行的“免疫系统”作用，就必须要使信息系统审计有所作为，这迫使我们必须加快信息系统审计的步伐。
信息系统审计是一个获取并评价证据，以判断信息系统是否能够保证资产的安全、数据的完整，以及有效率地利用组织的资源并有效果地实现组织目标的过程（国际信息系统审计与控制协会ISACA的定义）。目前审计机关信息系统审计主要有两种方式，一种是将信息系统审计作为常规审计的一部分，为实现审计项目的总体目标服务，即数据审计、信息系统审计和系统内部控制审计“三位一体”的结合方式。信息系统审计和系统内部控制审计为数据审计服务，通过审计数据得出结论。另一种是独立立项的，直接审计信息系统本身的安全性、可靠性和有效性。
二、开展信息系统审计的紧迫性
信息系统审计作为国家审计机关的一项重要工作，是信息化发展到一定程度的必然产物。
（一）开展信息系统审计是控制审计风险的要求。近几年，审计纸质账目时，内部控制也要审计，不能假账真审。同样的道理也不能假电子数据真审，如果被审计单位运载电子数据的信息系统的安全性、可靠性和有效性出现了问题，计算机数据审计就会存在风险，系统的可信与可靠程度是数据审计得以进行的前提和最终实现的基本条件。
（二）开展信息系统审计是全面履行审计职责的要求。信息化环境下的审计，电子数据、信息系统、系统内部控制审计必须“三位一体”，在审计过程中，这三项内容不能少。只有这样，我们才能完成“全面审计，突出重点”的要求，全面履行审计职责。
（一）提高全体审计人员信息系统审计的意识。
“审计人员不掌握计算机技术，将失去审计资格”这一观点基本得到了八万审计人员的认同，这些年计算机在审计领域得到了普遍的应用，数据审计得到了有力的推进，但大多数人对于信息系统审计的认识还不到位，对开展信息系统审计的必要性、紧迫性认识不足，甚至对开展信息系统审计的可行性持怀疑态度。为保证信息系统产生的数据真实完整，信息系统的安全、可靠和有效，重大的审计项目，只要被审计单位应用的是信息系统，我们就必须审计信息系统，检查系统内部控制，只有这样才能防止假账真审。
（二）重视计算机信息系统审计人才的培养，不断提高其审计技能。
计算机信息系统审计对审计人员的专业技能要求较高，除了需要审计人员具备相应的审计技能外，还要具备较高的计算机水平。计算机信息系统审计人员的获得有两个渠道，一是在配备人员时就将计算机技能作为一个必要条件，在实际工作中不断培养其审计技能；二是对现有审计人员进行计算机知识的培训，增强其信息技术审计能力。由于计算机技术涉及的范围广、技术复杂性强、计算机信息技术快速发展的特点，决定了不论以何种方式获得的信息技术审计人员，都要对其进行持续不断的后续教育。
（三）信息系统审计应重点关注三个环节
（1）内部控制环节。
在计算机系统中，应检查以下方面来证明内控制度的有效性：1.控制系统资源的存取。包括物理资源，例如终端、服务器、连接盒、相关文档等；还包括逻辑资源，如软件、系统文件和表、数据等。2.控制系统资源的使用。用户应该只能对授权给他们的那些资源进行操作。3.建立按用户职能分配资源的制度。把重要的任务功能按用户或用户组进行分离，以减少无意的误操作、滥用系统资源和对数据的非授权修改。4.记录系统的使用情况。按时间顺序建立一个使用记录，记录内容应包括例外事例和与安全有关的事件是由谁触发的，财务信息的创建、修改和删除是由谁完成的。5.确认处理过程的准确性。用产生财务控制信息，确认处理过程的准确完成。6.管理人员对财务信息系统的修改。应该保证财务信息系统的所有修改都是经过授权、有文档记录、经过彻底(独立地)测试的，确认最后以一种有控制的方式投入使用。7.保护财务信息系统免遭计算机病毒的袭击。必须建立一套控制措施，检测病毒，防止病毒感染财务信息系统。
（2）数据环节。
在审计中，审计人员选择一些交易对其进行详细检查，确认交易记录是否符合一般的审计目标。一是检查会计事项信息，要检查它的完整性、时效性、合规性和信息披露等方面，检查内容包括与本会计年度有关的交易是否全部记录在册；所有记录的交易是否都是合理发生的并与本会计年度有关；记录的交易是否数据准确，计算无误：记录的交易是否符合基本的和辅助的法律规定，符合特定权威机构的要求；对记录的交易是否进行正确的分类，并符合信息对外披露的要求等。二是检查财务报表信息，要检查完整性、存在性、会计计量、所有权以及信息披露等方面，检查内容包括是否记录了所有的资产和负债：所有记录的资产和负债是否都是存在的；对资产和负债的计量是否精确，计算方法是否符合按合理性、一致的标准制定的会计政策的要求：确认资产是被审主体所有的、负债是被审主体应该承担的，并且资产和负债是否由合法的经济活动产生的；资产、负债、资本和存货是否都得到正确的披露。同时对信息系统提供的业务信息也要进行分析，例如每月的工资总数、某阶段的付款清单和订货信息等，要弄清基本的交易情况，并一直追踪到信息源。对上述信息的分析可以采用计算机辅助审计技术，按照特定的标准对数据进行汇总、分类、排序、比较和选择，并进行各种运算。
(3)数据传输转移环节.
在信息系统中，有些数据需要在两个财务信息系统或财务信息系统与业务信息系统之间相互转移，在此过程中可能会出现一些问题，尤其是在需要手工重新录入时。因此在审计时要重点关注以下方面：在转移过程中数据可能会发生变化；新的科目代码表与老的可能不一样，需要在两个财务信息系统之间建立复杂的对应关系：中心数据库可能被一些地理上分散的服务器取代；当前财务信息系统中的数据质量不佳；当用一个总的信息系统取代一个预定财务信息系统时，需要补充许多新的数据。在检查这一环节时，一定要保证输出的消息是经过批准、完整和精确的，保证输出的消息在约定时间内准确地发送给指定的接收者，保证流人的消息是完整、准确和真实可靠的。

二、计算机系统怎么做？

第一步，设置光启：
　　所谓光启，意思就是计算机在启动的时候首先读光驱，这样的话如果光驱中有具有光启功能的光盘就可以赶在硬盘启动之前读取出来（比如从光盘安装系统的时候）。
　　设置方法：
　　1.启动计算机，并按住DEL键不放，直到出现BIOS设置窗口（通常为蓝色背景，黄色英文字）。
　　2.选择并进入第二项，“BIOS
SETUP”（BIOS设置）。在里面找到包含BOOT文字的项或组，并找到依次排列的“FIRST”“SECEND”“THIRD”三项，分别代表“第一项启动”“第二项启动”和“第三项启动”。这里我们按顺序依次设置为“光驱”“软驱”“硬盘”即可。（如在这一页没有见到这三项E文，通常BOOT右边的选项菜单为“SETUP”，这时按回车进入即可看到了）应该选择“FIRST”敲回车键，在出来的子菜单选择CD-ROM。再按回车键
　　3.选择好启动方式后，按F10键，出现E文对话框，按“Y”键（可省略），并回车，计算机自动重启，证明更改的设置生效了。

三、计算机验证性能确认怎么做

工业布局合苛 yuejiao3797