精品资料（2021-2022年收藏）计算机化系统风险评估报告

1、计算机化系统风险评估报告 TS-FX-007-00文件名称计算机化系统风险评估报告编 号TS-FX-007-00起 草 人日期： 年 月 日审 核 人日期： 年 月 日批 准 人日期： 年 月 日生效日期2018年10月 3 日颁发部门质量保障管理中心文件页码共9页 分发部门质量保障管理中心、信息中心、工程部、生产技术管理中心目 录1 目的22 范围23 职责24内容24.1 术语和定义24.2风险管理流程图34.3风险评估工具44.4风险识别4 4.5 风险评价5 4.6 风险控制64.7风险接受74.8风险沟通9 4.9风险评估结论9公司GMP文件 3 / 91 目的根据2010版GMP附

2、录 计算机化系统内容，质量保障管理中心组织部分人员，运用风险管理的工具对计算机化系统进行风险评估，结合GMP的要求，前瞻将要发生的质量风险，在最大可能的范围内，规避风险的发生，以保证计算机化系统所载的数据完整性和安全性。2 范围本风险评估适用于计算机化系统的风险评估。3 职责根据计算机化系统涉及的硬件、软件使用部门，质量保障管理中心组织了下述部门和人员进行了计算机化系统的评估，风险评估小组见表1。表1 风险评估小组成员部门姓名职责组内职务质量保障管理中心喇顺忠审批风险评估报告结果组长质量保障管理中心李巧菊组织风险评估，跟踪控制措施的实施，撰写风险评估报告风险管理员生产技术管理中心任宾组员生产技

3、术管理中心张才文参与风险评估组员生产技术管理中心高媛媛参与风险评估组员工程部张玉龙参与风险评估组员信息中心吴阳参与风险评估组员4内容4.1 术语和定义4.1.1严重性：危险可能后果的量度。4.1.2可能性：是指事物发生的概率，是包含在事物之中并预示着事物发展趋势的量化指标。4.1.3可检测性：发现或测定危险存在、出现或事实的能力。4.1.4风险等级：根据风险发生的严重性、可能性和可检测性的程度，将每一项标准分为低、中、高三个等级，分别赋值以数字1分、2分、3分，则每一项标准（严重性、可能性、可检测性）就会有一个对应的数字作为该项的风险得分。风险等级见表2。表2 风险等级等级严重性（S）可能性（

4、P）可测性（D）高（3分）对关键质量属性有影响，必须严格控制才能保证质量，参数偏离范围为关键偏差。操作范围接近于注册范围，或参数范围比较窄，参数本身较难控制。正常情况下也可能会偏离范围。风险发生不易被发现。中（2分）对关键质量属性可能有影响。不严格控制会出现关键偏差。操作范围接近于注册范围，或参数范围比较宽，参数本身比较容易控制。异常情况下才会偏离范围。风险发生后稍后才能被发现低（1分）对关键质量属性影响很小，参数偏离范围为非关键偏差。操作范围远比注册范围窄，或参数范围比较宽，发生偏离可能性很低。风险发生及有发生趋势时可以立即被发现。4.1.5风险可接受水平：根据严重性、可能性、可测性每一项标

5、准的得分，用公式（风险总分=严重性得分×可能性得分×可检测性得分）计算出风险总分，按照风险总分将风险分为高、中、低、微小四个水平，其中低、微风险水平是可以接受的，中和高风险水平是不能接受的，需采取相应的措施降低。风险可接受水平见表3.表3 风险可接受水平风险总分风险水平风险接受行 动1227高否此风险必须降低89中否此风险必须适当地降至尽可能低36低是尽可能降低风险12微小是不要求采取措施4.2风险管理流程图根据风险管理规程拟定的风险管理流程图见图1。计算机化系统风险评估报告 TS-FX-007-00图1 风险管理流程图风险沟通风 险评 估风 险控 制风险回顾风险识别风险分

6、析风险评价风险降低风险接受审核事件不接受风险管理过程结果/输出启动风险管理风险管理工具4.3风险评估工具应用FMEA，识别潜在失败模式，对风险的严重程度、发生可能性和可预测性评分。4.4风险识别根据GMP要求，风险管理员组织风险小组进行计算机化系统的风险评估，识别出的计算机化系统风险组成见表4。表4 计算机化系统风险识别表序号识别出的风险风险的组成1计算机化系统供应商供应商提供产品或服务不能满足企业要求2操作人员不够专业操作人员不是专业人员，不能正确完成对计算机化系统的设计、验证、安装和运行等方面的工作3计算机化系统管理规程企业未建立计算机化系统管理规程4数据转换或迁移数据转换或迁移时，不能确

7、认数据的数值及含义没有改变。5系统的安装位置未安装在适当的位置，不能防止外来因素的干扰6计算机化系统的档案资料不全操作人员无法掌握系统的工作原理、目的、安全措施和适用范围、计算机运行方式的主要特征，以及如何与其他系统和程序对接。7计算机化系统的操作软件、工作站未对所采用软件进行进行确认8在计算机化系统使用之前未对系统进行全面测试，未确认系统可以获得预期的结果9权限设置未对系统进行权限设置10数据审计跟踪系统，计算机系统无数据审计跟踪系统11计算机化系统的变更无预定的操作规程12电子数据和纸质打印文稿同时存在的情况有文件明确规定以电子数据为主数据还是以纸质打印文稿为主数据。13数据的可访问性及数

8、据完整性未定期对数据备份14应急方案未建立应急方案15系统出现故障或损坏未建立系统出现故障或损坏时进行处理的操作规程4.5 风险评价对计算机化系统的风险组成进行赋分评价，评价结果见表5。表5 计算机化系统风险评价表序号识别出的风险风险的组成评价RPN风险水平SPD1计算机化系统供应商供应商提供产品或服务不能满足企业要求33218高2操作人员不够专业操作人员不是专业人员，不能正确完成对计算机化系统的设计、验证、安装和运行等方面的工作2228中3计算机化系统管理规程企业未建立计算机化系统管理规程2228中4数据转换或迁移数据转换或迁移时，不能确认数据的数值及含义没有改变。33218高5系统的安装位

9、置未安装在适当的位置，不能防止外来因素的干扰2228中6计算机化系统的档案资料不全操作人员无法掌握系统的工作原理、目的、安全措施和适用范围、计算机运行方式的主要特征，以及如何与其他系统和程序对接。3319中7计算机化系统的操作软件、工作站未对所采用软件进行进行确认2228中8在计算机化系统使用之前未对系统进行全面测试，未确认系统可以获得预期的结果2228中9权限设置未对系统进行权限设置3319中10数据审计跟踪系统，计算机系统无数据审计跟踪系统2228中11计算机化系统的变更无预定的操作规程2228中12电子数据和纸质打印文稿同时存在的情况有文件明确规定以电子数据为主数据还是以纸质打印文稿为主

10、数据。2228中13数据的可访问性及数据完整性未定期对数据备份2228中14应急方案未建立应急方案2228中15系统出现故障或损坏未建立系统出现故障或损坏时进行处理的操作规程3319中4.6 风险控制根据风险评估得分，对风险等级高和中的风险需要追加风险控制措施来降低风险，对风险等级为低的根据现行的措施评价，视为可接受风险。中、高等级风险控制拟采取措施见表6。表6 中、高等级风险计划控制措施表序号可能的失败模式（风险）可能的原因风险程度拟采取的措施1计算机化系统供应商供应商提供产品或服务不能满足企业要求高建立计算机化系统供应商（服务商）管理规程，规定供应商提供产品或服务的内容和要求2操作人员不够

11、专业操作人员不是专业人员，不能正确完成对计算机化系统的设计、验证、安装和运行等方面的工作中对人员进行培训3计算机化系统操作规程企业未建立计算机化系统操作规程中建立计算机化系统管理规程4数据转换或迁移数据转换或迁移时，不能确认数据的数值及含义没有改变。高在最开始调试时确认5系统的安装位置未安装在适当的位置，不能防止外来因素的干扰中对计算机化系统安装位置进行确认6计算机化系统的档案资料不全操作人员无法掌握系统的工作原理、目的、安全措施和适用范围、计算机运行方式的主要特征，以及如何与其他系统和程序对接。中对计算机化系统的说明书及档案资料存档确认7计算机化系统的操作软件、工作站未对所采用软件进行确认中

12、对软件进进行确认8在计算机化系统使用之前未对系统进行全面测试，未确认系统可以获得预期的结果中对计算机操作系统、应用软件进行安装、运行确认9权限设置未对系统进行权限设置中对计算机操作系统、应用软件权限设置进行确认10数据审计跟踪系统计算机系统无数据审计跟踪系统中对应用软件数据审计跟踪系统进行确认11计算机化系统的变更无预定的操作规程中在变更控制文件中加入计算机化系统变更的相关内容12电子数据和纸质打印文稿同时存在的情况有文件明确规定以电子数据为主数据还是以纸质打印文稿为主数据。中在计算机化系统管理规程文件中明确13数据的可访问性及数据完整性未定期对数据备份中在电子数据备份与恢复管理规程中明确14

13、应急方案未建立应急方案中建立计算机化系统应急方案15系统出现故障或损坏未建立系统出现故障或损坏时进行处理的操作规程中建立计算机化系统异常情况处理操作规程4.7风险接受采取风险控制措施后，重新对风险点进行评估，评估其残余风险的风险等级，以确定最终的风险评估的结论。通过采取一系列的控制措施后风险等级情况如下表:序号可能的失败模式（风险）可能的原因当前控制措施风险再评价严重程度发生的可能性可测性RPN风险程度1计算机化系统供应商供应商提供产品或服务不能满足企业要求建立计算机化系统供应商（服务商）管理规程，规定供应商提供产品或服务的内容和要求3216低2操作人员不够专业操作人员不是专业人员，不能正确完

14、成对计算机化系统的设计、验证、安装和运行等方面的工作对人员进行培训3216低3计算机化系统操作规程企业未建立计算机化系统操作规程建立计算机化系统管理规程3116低4数据转换或迁移数据转换或迁移时，不能确认数据的数值及含义没有改变。在最开始调试时确认3113低5系统的安装位置未安装在适当的位置，不能防止外来因素的干扰对计算机化系统安装位置进行确认3126低6计算机化系统的档案资料不全操作人员无法掌握系统的工作原理、目的、安全措施和适用范围、计算机运行方式的主要特征，以及如何与其他系统和程序对接。对计算机化系统的说明书及档案资料存档确认3126低7计算机化系统的操作软件、工作站未对所采用软件进行进

15、行确认对软件进进行确认2214低8在计算机化系统使用之前未对系统进行全面测试，未确认系统可以获得预期的结果对计算机操作系统、应用软件进行安装、运行确认2112低9权限设置未对系统进行权限设置对计算机操作系统、应用软件权限设置进行确认3111低10数据审计跟踪系统计算机系统无数据审计跟踪系统，对应用软件数据审计跟踪系统进行确认2124低11计算机化系统的变更无预定的操作规程在变更控制文件中加入计算机化系统变更的相关内容2112低12电子数据和纸质打印文稿同时存在的情况有文件明确规定以电子数据为主数据还是以纸质打印文稿为主数据。在计算机化系统管理规程文件中明确2112低13数据的可访问性及数据完整性未定期对数据备份在电子数据备份与恢复管理规程中明确2124低14应急方案未建立应急方案建立计算机化系统应急方案2124低15系统出现故障或损坏未建立系统出现故障或损坏时进行处理的操作规程建立计算机化系统异常情况处理操作规程2112低4.8风险沟通2018年9月22-23日，风险管理员组织风险评估小组，对计算机化系统的风险因素进行了识别、风险评价、风险沟通等内容，并对需要建立或修改的文件进行了修订或新增，采取的追加控制措施将在10月8日前结束，确保在以后的操作过程中，将识别出的风险点进行重点控制。4.9风险评估结论通过对风险项目进行识别，列举出15项，分析评估判断中等级风险项目13项，高等