可以结合GMPA5分级及系统的影响性评估进行综合判定，分为ABC三类，例如直接影响系统，GMPA5 5类软件，做为A类，需开展现场审计，其余如B类和C类可以进行书面审计或资质审核。

这一类企业通常都不是做药的，不能做药的体系概念去审计他们， 做一个调查问题，收集下营业啥的，就行了，真做审计你也未必有审计的能力。审计一次好了，重复审核没必要，除非有异常。审计内容主要看是不是正规公司，有没有解决问题的能力和持续维护的能力，就差不多了。

需要，根据分类评估确认是否进行问卷调查或现场审计，一般审计内容：企业资质、组织架构、质量体系、软件开发/变更管理、数据完整性控制、基础设施与云安全、验证服务能力、售后支持与培训等

1：首先需要先分类，即按照ISPE GAMP5的分类方式：“一/三/四/五”类，通常只有四类和五类的要求高一点。如下图：

2：但是毕竟这是协会指南，不是法律，虽然现在四类计算机化系统已经很多很常见，如LIMS系统，WMS系统等等，对于现场审计，其实严格意义说有必要，但是因为行业都在用，所以即使去现场审计，也审核不出来太大问题，所以说四类计算机化系统，现场审计设置为可选，根据重要程度，是不是行业知名，大家都用的大平台。

3：周期性审计，个人觉得没必要，别把计算机化系统按照物料供应商那样管理，因为计算机化系统，如果有Bug，有问题，日常每天运营过程中，早出现Bug了，不用等到最后才发现，但是也可以，周期性审计设置为“可选”。

4：审计的内容：那就多了，可以审计体系，另外着重注意IT行业的，偏差，变更，测试（验证），文档，备份恢复，就是他们的软件迭代更新，测试流程是什么样，过程中有没有文档记录进行证明，以及有无灾难性恢复等，总之，药企内部计算机化系统管理的这一套，可以往供应商处靠，要求体系和重要流程节点是靠谱的，合规的。