計算機化系統(tǒng)風險評估報告

1、計算機化系統(tǒng)風險評估報告目 錄1、目的52、風險評估小組成員53、范圍54、風險評估工具55、風險識別56、風險分析67、風險評價68、分析的風險及評價的結果69、風險控制1310、風險接受1411、風險的溝通1412、結論141、目的根據風險評估結果確定驗證和數據完整性控制的程度。2、風險評估小組成員姓名職務部門質量副總質量保證部設備工程部長設備工程部質量保證部長質量保證部生產技術部長生產技術部質量控制部長質量控制部車間主任口服液體制劑車間車間主任前處理提取一車間車間主任前處理提取二車間車間主任口服固體制劑一車間車間主任口服固體制劑二車間車間主任口服固體制劑三車間3. 范圍本風險評估適用于計

2、算機化系統(tǒng)的風險評估。4、風險評估工具：應用FMEA，識別潛在失敗模式，對風險的嚴重程度、發(fā)生可能性和檢測度評分。5、風險識別根據計算機化系統(tǒng)在操作過程中可能發(fā)生的風險，確定通過風險控制，避免危害發(fā)生。6、風險分析根據計算機化系統(tǒng)在操作過程中可能發(fā)生的風險，確定通過風險控制，避免危害發(fā)生，應用FMEA方式，從對影響產品質量的因素進行分析，對風險的嚴重性、可能性、可檢測性進行確認。7、風險評價從風險的嚴重性、可能性、可檢測性，確定各步驟失敗影響，打分方式確認風險嚴重性，將嚴重性高的風險確認為關鍵點、控制點。8、 分析的風險及評價的結果序號識別出的風險風險的組成評價RPN風險水平SPD1計算機化系

3、統(tǒng)供應商供應商提供產品或服務不能滿足企業(yè)要求33218高2操作人員不夠專業(yè)操作人員不是專業(yè)人員，不能正確完成對計算機化系統(tǒng)的設計、驗證、安裝和運行等方面的工作2228中3計算機化系統(tǒng)操作規(guī)程企業(yè)未建立計算機化系統(tǒng)操作規(guī)程2228中4數據轉換或遷移數據轉換或遷移時，不能確認數據的數值及含義沒有改變。33218高5系統(tǒng)的安裝位置未安裝在適當的位置，不能防止外來因素的干擾2228中6計算機化系統(tǒng)的檔案資料不全操作人員無法掌握系統(tǒng)的工作原理、目的、安全措施和適用范圍、計算機運行方式的主要特征，以及如何與其他系統(tǒng)和程序對接。3319中7計算機化系統(tǒng)的操作軟件、工作站未對所采用軟件進行進行確認2228中8

4、在計算機化系統(tǒng)使用之前未對系統(tǒng)進行全面測試，未確認系統(tǒng)可以獲得預期的結果2228中9權限設置未對系統(tǒng)進行權限設置3319中10數據審計跟蹤系統(tǒng)，計算機系統(tǒng)無數據審計跟蹤系統(tǒng)，2228中11計算機化系統(tǒng)的變更無預定的操作規(guī)程2228中12電子數據和紙質打印文稿同時存在的情況有文件明確規(guī)定以電子數據為主數據還是以紙質打印文稿為主數據。2228中13數據的可訪問性及數據完整性未定期對數據備份2228中14應急方案未建立應急方案2228中15系統(tǒng)出現(xiàn)故障或損壞未建立系統(tǒng)出現(xiàn)故障或損壞時進行處理的操作規(guī)程3319中9、風險控制根據風險評估得分，對風險等級高和中的風險需要追加風險控制措施來降低風險，對風險

5、等級為低的根據現(xiàn)行的措施評價，視為可接受風險。采取風險控制措施后，重新對風險點進行評估，評估其殘余風險的風險等級，以確定最終的風險評估的結論。中等等級風險和高等級風險計劃控制措施如下：序號可能的失敗模式（風險）可能的原因風險程度擬采取的措施1計算機化系統(tǒng)供應商供應商提供產品或服務不能滿足企業(yè)要求高對供應商提供產品或服務進行確認2操作人員不夠專業(yè)操作人員不是專業(yè)人員，不能正確完成對計算機化系統(tǒng)的設計、驗證、安裝和運行等方面的工作中對人員進行培訓3計算機化系統(tǒng)操作規(guī)程企業(yè)未建立計算機化系統(tǒng)操作規(guī)程中建立計算機化系統(tǒng)操作規(guī)程4數據轉換或遷移數據轉換或遷移時，不能確認數據的數值及含義沒有改變。高在調試

6、時確認5系統(tǒng)的安裝位置未安裝在適當的位置，不能防止外來因素的干擾中對安裝位置進行確認6計算機化系統(tǒng)的檔案資料不全操作人員無法掌握系統(tǒng)的工作原理、目的、安全措施和適用范圍、計算機運行方式的主要特征，以及如何與其他系統(tǒng)和程序對接。中檢查有無系統(tǒng)的說明書及檔案資料7計算機化系統(tǒng)的操作軟件、工作站未對所采用軟件進行進行確認中對軟件進行進行確認8在計算機化系統(tǒng)使用之前未對系統(tǒng)進行全面測試，未確認系統(tǒng)可以獲得預期的結果中進行安裝、運行確認9權限設置未對系統(tǒng)進行權限設置中對權限設置進行確認10數據審計跟蹤系統(tǒng)，計算機系統(tǒng)無數據審計跟蹤系統(tǒng)，中數據審計跟蹤系統(tǒng)進行確認11計算機化系統(tǒng)的變更無預定的操作規(guī)程中在

7、變更控制文件中加入計算機化系統(tǒng)變更的相關內容12電子數據和紙質打印文稿同時存在的情況有文件明確規(guī)定以電子數據為主數據還是以紙質打印文稿為主數據。中在文件中明確規(guī)定13數據的可訪問性及數據完整性未定期對數據備份中在文件中規(guī)定數據定期備份14應急方案未建立應急方案中建立應急方案15系統(tǒng)出現(xiàn)故障或損壞未建立系統(tǒng)出現(xiàn)故障或損壞時進行處理的操作規(guī)程中建立系統(tǒng)出現(xiàn)故障或損壞時進行處理的操作規(guī)程10、風險接受通過采取一系列的控制措施后風險等級情況如下表序號可能的失敗模式（風險）可能的原因當前控制措施風險再評價嚴重程度發(fā)生的可能性可檢測性RPN風險程度1計算機化系統(tǒng)供應商供應商提供產品或服務不能滿足企業(yè)要求對

8、供應商提供產品或服務進行確認3216低2操作人員不夠專業(yè)操作人員不是專業(yè)人員，不能正確完成對計算機化系統(tǒng)的設計、驗證、安裝和運行等方面的工作對人員進行培訓3216低3計算機化系統(tǒng)操作規(guī)程企業(yè)未建立計算機化系統(tǒng)操作規(guī)程建立計算機化系統(tǒng)操作規(guī)程3116低4數據轉換或遷移數據轉換或遷移時，不能確認數據的數值及含義沒有改變。在調試時確認3113低5系統(tǒng)的安裝位置未安裝在適當的位置，不能防止外來因素的干擾對安裝位置進行確認3126低6計算機化系統(tǒng)的檔案資料不全操作人員無法掌握系統(tǒng)的工作原理、目的、安全措施和適用范圍、計算機運行方式的主要特征，以及如何與其他系統(tǒng)和程序對接。檢查有無系統(tǒng)的說明書及檔案資料3

9、126低7計算機化系統(tǒng)的操作軟件、工作站未對所采用軟件進行進行確認對軟件進行進行確認2214低8在計算機化系統(tǒng)使用之前未對系統(tǒng)進行全面測試，未確認系統(tǒng)可以獲得預期的結果進行安裝、運行確認2112低9權限設置未對系統(tǒng)進行權限設置對權限設置進行確認3111低10數據審計跟蹤系統(tǒng)計算機系統(tǒng)無數據審計跟蹤系統(tǒng)，數據審計跟蹤系統(tǒng)進行確認2124低11計算機化系統(tǒng)的變更無預定的操作規(guī)程在變更控制文件中加入計算機化系統(tǒng)變更的相關內容2112低12電子數據和紙質打印文稿同時存在的情況有文件明確規(guī)定以電子數據為主數據還是以紙質打印文稿為主數據。在文件中明確規(guī)定2112低13數據的可訪問性及數據完整性未定期對數據備份在文件中規(guī)定數據定期備份2124低14應急方案未建立應急方案未建立應急方案2124低15系統(tǒng)出現(xiàn)故障或損壞未建立系統(tǒng)出現(xiàn)故障或損壞時進行處理的操作規(guī)程建立系統(tǒng)出現(xiàn)故障或損壞時進行處理的操作規(guī)程2112低11、風險溝通涉及風險控制措施的文件已經批準，采取的追加控制措施及文件、風險報告已經批準，完成所有參與操作的人員培訓及溝通，確保在以后的操作過程中，將識別出的風險點進行重點控制。風險管理小組需要對風險評估過程中提出的追加措施進行跟蹤確認，