要根据风险级别及计算机化系统的类别开展。审计团队应包括使用部门、工程部、验证办公室、质量部的技术人员。审计方式可以采取三种方式：a历史经验（基于可用信息的判断），根据公司或集团公司的经验总结共享；b调查问卷邮寄审计；c现场审计，此种审计费用较高，但是对于风险级别较高、系统复杂的计算机化系统供应商，开展现场审计是非常必要的。供应商审计应主要关注供应商的质量体系、软件开发项目管理、软件开发方法、测试、配置管理、制造、项目实施管理、现场变更管理、GMP实施经验、文档管理、安全管理、培训管理、售后支持等。
46计算机化系统验证管理
461计算机化系统的验证范围与程度应当基于科学的风险评估。风险评估应当充分考虑计算机化系统的使用范围和用途。原则上，类别1及类别2的计算机化系统，具备显示及控制功能，无独立的应用软件操作系统，该类计算机化系统应重点确认其显示及控制功能的准确性，和设备运行确认一并进行。类别3及类别4的计算机化系统，具备显示、控制、软件数据处理、贮存功能，具有独立的应用软件操作系统，该类计算机化系统验证应包括硬件确认及软件验证。
462计算机化系统的确认总体框架同普通设备确认一样，包括设计确认（DQ）、安装确认（IQ）、运行确认（OQ）及性能确认（PQ），但是计算机化系统确认的特点在于除了对系统硬件确认之外，还应当着重对系统的软件进行确认，包括显示、控制、数据的采集及存贮、数据处理、贮存、报警、安全控制、断电／修复、灾难恢复等等。
463具体的验证内容见公司《认证与验证管理规程》规定
47计算机化系统安全管理
f471计算机化系统的安全和数据的安全在管理中是非常重要的。用于备份的储存设备或介质和备份的程序要保证数据的完整性。建立计算机化系统数据完整性管理文件，有关备份操作须描述备份的频率、备份复本保留的时间、定期备份的方法和职责，备份复本的保管。
472不管是小的还是复杂的计算机化系统都要求清晰的定义系统安全管理的职责，并且满足以下要求：
a系统应当安装在适当的位置，以防止外来因素干扰。
b明确并设置所有人员访问计算机化系统的权限，包括：物理访问和逻辑访问。并通过使用人员密码、通行证和制定相关的规定来控制。多次登陆系统不成功后（如：密码输入不正确），有禁止再次尝试访问的措施。密码持有者应至少由部门负责人授权。
c至少有两个超级用户管理每台计算机系统，并且不能同时出差或休假，若必须，则进行临时r