这是《计算机化系统误区》系列的第5篇。

在GMP检查中，当问到商用软件的验证情况时，经常听到这样的回答：

“我们用的是SAP/Oracle/Emerson/Thermo Fisher的系统，供应商说符合GMP要求，还提供了合规证明文件，所以我们不需要再验证了。”

听起来很有道理：大品牌、成熟产品、供应商背书，应该没问题。

答案是：不是。

一、供应商验证的是”产品功能”，不是”你的使用方式”

商用软件供应商做的验证，验证的是软件本身的功能是否符合设计要求、是否稳定可靠。

但他们不知道：

• 你用这个软件做什么？
• 你配置了哪些参数？
• 你启用了哪些模块？
• 你做了哪些定制开发？
• 你的业务流程是什么？
• 你的数据流向是什么？

这些问题，供应商不可能替你回答。

更关键的是，GMP要求验证的不是”软件能不能用”，而是”软件在你的环境下、按你的用途使用时，能不能满足预期功能、能不能保证数据完整性”。

这个责任，永远在使用方，不在供应商。

二、供应商提供的文档，不能替代你的验证

很多企业拿到供应商提供的一堆文档：产品白皮书、功能说明、测试报告、合规声明，就以为验证完成了。

不能证明：

• 你的配置是否正确？
• 你的权限设置是否合理？
• 你的审计追踪是否开启？
• 你的数据备份是否有效？
• 你的接口集成是否可靠？
• 你的业务流程是否符合GMP要求？

这些问题，必须由使用方通过验证来证明。

供应商的文档可以作为验证的输入，但不能替代验证本身。

三、出了问题，供应商不会替你承担GMP责任

现场见过这样的情况：

最后，检查发现缺陷，监管部门问责的是谁？

是企业，不是供应商。

如果你没有验证，出了问题，你拿什么证明系统是受控的、数据是可靠的？

四、商用软件验证，至少要做这些事

这些工作不需要重复供应商已经做过的测试，但必须证明系统在你的环境下、按你的用途使用时是合规的。

五、一句话说透本质

供应商负责产品，企业负责使用。

供应商可以保证软件本身没问题，但不能保证你用得对、配得对、管得对。

GMP验证的核心，不是证明”软件好不好”，而是证明”你用得对不对”。

这个责任，推不掉，也躲不掉。

结语

商用软件不是”免验证通行证”。

无论是SAP、Oracle，还是Emerson、Thermo Fisher，只要用于GMP目的，都必须经过使用方的验证。

下次再有人说”供应商都验证过了”，先问一句：

供应商验证的是他们的产品，你验证的是你的使用方式，这是两件事。

如果分不清这两件事，那就不是”省事”，而是”埋雷”。

商用现成软件(COTS)供应商提供的合规证明和验证文档，只能证明产品本身在标准配置下是可用的，不能证明企业在实际使用场景下的配置、流程和控制措施是合规的。

作者：资深GMP检查员，AI+CSV实战派，专注GMP计算机化系统与AI应用合规。

出版专著：《GMP现场检查实务问答》《图解GMP检查要点》《DeepSeek辅助GMP检查手册》《GMP计算机化系统实施与检查指南》《AI提示词全场景即查即用手册》

如果你也对AI时代的CSV感兴趣，欢迎关注微信“gmpcsvdi”。

关注后回复“验证模板”，你可以免费领取我整理的《CSV验证文档模板包》，包含20份可直接使用的模板和检查清单。点击下面图标关注公众号“GMP智能合规”可以获取更多信息。

2026年，让我们一起见证AI如何重构GMP计算机化系统。这不仅是技术的变革，更是思维方式的升级。

我在这里，等你