考慮到患者安全、數據完整性及產品質量，計算機化系統的整個生命周期都應當應用風險管理。作為風險管理的一部分，應當以計算機化系統的合理的文件化的風險評估為基礎，來決定驗證范圍和數據完整性控制。

（企業要重點關注的內容包括：管理文件完整性、操作文件適用性、風險評估合理性、驗證過程規范性、系統控制措施有效性等。）

        所有相關人員，例如，“流程所有者"“(計算機化)系統所有者"、質量受權人以及信息技術人員之間應密切合作。所有人員應具備恰當的資質、適當的訪問權限和明確的職責，以便執行所指。定的工作任務。

（企業的崗位或職位說明書中應當明確崗位職責以及相關的資質要求，人員應培訓考核合格后上崗，相關的管理規程或者操作規程中需明確業務流程對應的崗位。）

?  當使用第三方(例如，供應商、服務商)用于供應、安裝、配置、集成、驗證、維護(例如，通過遠程訪問)、變更或保存一個計算機系統或相關服務或數據處理，必須有制造企業與任何第三方之間的正式協議，且協議應清楚規定第三方的責任。信息技術部門亦應做類似考慮。

（企業應當注重對供應商或者第三方的管控，明確需要的職責以及簽訂相關的協議或者合同，并確保系統的安全性以及保密性。）

?  供應商的能力與可靠性是選擇一個產品或服務的關鍵因素。應當以風險評估為基礎，確定是否需要現場審計。

（應當注重對供應商的管理，需制定相關的管理規程進行管控，并按照要求進行相應的審計工作，定期維護合格供應商名單。）

?  商業現貨產品提供的文件應由受監管的用戶審核，以檢查是否滿足用戶要求。

?  供應商或開發商質量體系相關信息及所實施的(質量)體系相關信息，如果檢查官要求提供的話，應當提供。

（應當注重供應商的審計，以及相應的質量體系文件。）

?   驗證文件與報告應覆蓋(計算機化系統)生命周期的相關步驟。(藥品)制造企業應當能夠基于風險評估來證明(所采用的計算機化系統的)標準、方案、可接受標準、規程與記錄的合理性。

（驗證活動應當伴隨計算機化系統的全生命周期開展，且能夠證明風險可控。）

?  驗證文件應包括在驗證過程中產生的變更控制記錄(如有)以及觀察到的任何偏差報告。 

（驗證活動的變更評估以及關閉過程，偏差的影響性評估及糾正措施。）

?  所有相關計算機化系統以及各系統GMP功能的最新清單（詳細目錄）。

?  對于關鍵系統，應當有最新的系統描述，以詳述物理與邏輯安排、數據流及與其他系統或程序的接口、所有必。備的軟硬件、安全措施等內容。

?  用戶需求標準應基于風險評估文件和GMP影響，并描述對計算機化系統要求的功能。應當可追溯在生命周期內的用戶需求。

（用戶需求內容應當是能夠進行驗證和確認的。)

?  固定用戶應采取所有合理措施，來確保計算機化系統的開發符合適當的質量管理體系。應對供應商進行適當評估。

?  對于預訂的或定制的計算機化系統的驗證，應有規程來確保對系統整個生命周期各階段的正式評估、質量及工作指標匯報。

(在驗證活動過程中，驗證體系的管理文件是必。不。可。少的，整個驗證活動應當在管控范圍內。）

?  適當的測試方法及測試場景的證據應得到演示。應特別考慮系統（工藝）參數限度、數據限度以及錯誤處理。對于自動化測試工具與測試環境，應當有文件化的評估，以證明工具與環境是適當的。

?  如果數據被轉換成其他數據格式或系統，驗證應包括核實在數據遷移過程中的數值和/或含義未發生改變。

（數據遷移過程應當進行評估和驗證，并確認遷移后未發生改變。例如：服務器遷移、數據傳輸、數據加密解密。）