一个专业IT审计师解读GMP附录

一个专业IT审计师解读GMP附录: 计算机化系统

NNIT 生命科学行业总监路璐（NNIT版权所有，如有转载请注明出处）

2015年五月，CFDA发布了GMP附录一：计算机化系统，从2015年12月1日开始执行。从食品

药品审核查验中心（CFDI）的资料显示，该附录起草背景如下：

1．科技发展，自动化越来越高

2．专业属性强，风险识别困难

3．数据完整性越来越被重视

4．多个国家/组织已将其作为单独附录发布

该附录共分为六章，分别从范围、原则、人员、验证、系统、术语几个角度，对GMP范围内的计算机

化系统提出了合规的要求。笔者在医药行业有六年的经验，在与医药行业相关的IT公司从事IT审计工

作八年的时间，取得了IT审计师资格证书。下面，就从IT审计的角度来解读一下这个附录的内容，希

望对于大家做自查或审计供应商有所帮助。

第一章范围

第一条本附录适用于在药品生产质量管理过程中应用的计算机化系统。计算机化系统由一系列硬件和软

件组成，以满足特定的功能。

第一章是最简单的一个章节，但是信息量非常大。如何界定范围一向是审计的关键。我们一定要把和GMP相关的系统界定出来，也就是要在GMP生产的整个环节去梳理，形成计算机化系统的清单。这个清单可以统一管理，也可以在部门或车间为单位管理，甚至这些信息可以存在于系统中，随时可以导出。很多系统其实在资产管理的台帐里都有体现，只是没有区分哪些是GMP相关的，哪些是GMP不相关的，那就需要在这些现有的台帐里加上一列，去识别GMP相关性。在我们做审计的时候，一个GMP

相关系统的完整清单通常是审计师最先要求的一个文档，因为这样便于我们规划审计。这个清单通常在

审计之前就会要求提供。有些药厂会故意隐瞒一些系统，这种做法是非常错误的。因为在审计的过程中，我们通常会关注数据的出处，这样就很容易发现一些不在清单上的系统，这样就会导致一个发现项：清

单没有及时更新，严重的时候，审计师会质疑被审方的诚信，会扩大审计范围或导致数据完整性的发现项。

很多人会问，那么如何界定哪些是和GMP相关的系统。这个就会用到风险评估的一些工具。对于审计

师来说，只要你有自己的评估方法，并且你的评估方法是合理的，我们通常会认可你的结论。合理的评

估方法就是，多关注系统里的数据，而不是单纯针对系统去评估。比如，我在培训的时候经常有人问我，ERP算不算GMP相关，PLC算不算GMP相关，等等。这个理念本身就是错误的，再复杂的系统，如

果你只是在里面输入一些财物、行政办公类的数据，它就不是GMP相关。反之，哪怕是一个excel表格，如果用来管理质量数据，它也是GMP相关。EMA的网站上问答里明确说到，与GMP相关的

excel表格也是需要验证的。所以，如果你的系统里用来管理GMP相关的数据，它就是GMP相关系统。至于哪些数据属于GMP相关的数据，相信在药厂工作的你比我要清楚。

在第一章，还有一个重点是说明了什么是计算机化系统。计算机化系统由一系列硬件和软件组成，以满

足特定的功能。我们在药厂有很多设备、仪器，现在由于自动化的发展，很多都带有软件和工作站。这

些软件如果在设备或仪器验证的时候已经验证了，我们在审计时不会要求单独再出一份验证文件，但是

我们会审核一下设备或仪器的这些验证文档里是否涵盖了软件这部分的功能。同时，我们会更关注这些

软件的运行和维护，比如用户名和密码、系统时间、审计追踪等功能。对于与设备相连的PLC，属于GAMP 5里界定的3类软件，不可配置的类型。要按照三类软件进行验证和管理。对于更高级别的软件，如ERP、MES等，要按照4类或4+5类来管理。还有很多药厂定制了一些软件，这些不是商业化的通用软件，而是企业按照自己的需求外包给开发商或内部IT部门自行开发的系统，这类系统属于5类软件，相对于其它类别来说，成熟度相对较低，风险较高，因此需要验证和管理的工作量加大。

目前IT审计的通行做法也是基于风险的，也就是说更关注风险较高的系统，如5类软件，可能会审到

代码的级别，或者至少会关注如何管理源代码。但是对于1、3、4类软件，会将关注点放在需求、功能、配置方面，不会涉及到源代码的问题。

以上内容为个人审计经验，与大家共享。请继续关注后期对其它章节的解读。谢谢。