目前国内几个知名的ERP系统都发布了医药行业版本,很多ERP实施商也都有医药行业ERP实施的解决方案包。而在做验证的时候,需要针对不同的ERP产品有针对性地制定验证方案,并根据系统的不同情况有侧重地做风险评估。
举个例子,针对审计追踪功能,如果需要进行二次开发来实现,就需要进行更多的测试。对于被选定的本土ERP系统哪些功能有标准的审计追踪功能,哪些需要进行二次开发,则需要实施商有成熟的解决方案,或者熟悉这个系统的验证SME在项目实施阶段投入更多精力参与方案讨论,受监管企业在产品选型和供应商招投标时应对供应商做充分的评估。
目前,ERP验证项目有实施与验证同步的,也有实施后再验证的。其中实施验证同步的项目会更加节省时间与精力,也会在最大程度满足用户需求的同时保证技术文档质量。对于已上线使用的系统,需进行补充验证,多数情况是实施团队已撤场,如果实施团队没有交付相关技术文档,补充验证过程就会花费更多的时间和精力,并且也会出现系统功能无法完全满足用户需求需要进行系统优化的情况。所以对于计划上ERP系统的企业来说,最佳选择就是实施和验证同步的项目模式,如果这种形式在实现时有困难,那么也建议企业要求实施团队提供项目实施期间的技术文档,为以后的验证工作提供信息。
ERP系统验证过程的CSA应用
随着CSA的推广,ERP系统的验证过程也在不断的完善和优化以达到一种平衡:预期用途的验证方法应做相应的调整,以支持公司快速向市场交付产品,同时还应确保患者安全、产品质量和数据完整性。而CSA使计算机化系统以更高的质量和速度验证预期用途。
在GAMP5 第二版中,在提到CSA的地方都会强调批判性思维以及SME。这是因为在缺乏批判性思维和使用非熟练从业者的时候,CSA并不能得到有效的应用,从而导致数据完整性风险。结合ERP的验证过程中遇到的问题,可能的风险在于:缺乏过程定义和数据流,配置设置定义和管理不当,电子数据和审计跟踪审核的程序制定和培训方面的差距,自动化业务流程的治理。
而从另一方面讲,在缺乏批判性思维的情况下,验证通常会成为模板活动,根据ISPE GAMP5附录M3应用公式化风险评估,无论风险评估的结果如何都会进行测试,以符合其内部公司精神。这样虽然做到了功能点的覆盖,但是也存在真正高风险的功能没有进行充分的测试,或者为了规避某些风险而进行了大量的且重复的测试。
例如:
- ERP中的权限测试中,为了满足法规要求而对每个角色的权限进行功能和挑战测试,忽略了成熟商业化软件的标准功能出现错误的概率,以及分配给不同角色的相同权限在分配过程中出现错误的概率问题,在确认阶段进行大量且冗余的挑战测试。
- 忽略了SAP生产环境和验证环境在相同的传输请求号中所包含的配置不一样的可能性,在生产环境重复检查系统配置。
上面的例子中提到的是一些商业化软件的标准功能,对于标准功能是否需要进行大量的重复的测试,在风险评估过程中应结合批判性思维以及SME的既往经验,并结合对供应商和产品的评估,定义适当的系统生命周期活动以及软件测试范围和软件测试方法。
CSA中有脚本测试和无脚本测试的概念,对于实施CSA来说,难点一般在于无脚本测试该如何把握范围和结果记录,因为CSV会强调测试执行结果的证据留档,对于执行结果要进行审核和批准确保用户既定需求的完整和正确实现。所以无脚本测试该如何执行才是可接受的?我们参照ISPE给出的建议(下表),做出了下面的实践案例:
