计算机化系统风险评估报告

计算机化系统风险评估报告目录TOC\o"1-5"\h\z\o"CurrentDocument"1、目的 52、风险评估小组成员 53、范围 5\o"CurrentDocument"4、风险评估工具 5\o"CurrentDocument"5、风险识别 5\o"CurrentDocument"6、风险分析 6\o"CurrentDocument"7、风险评价 68、分析的风险及评价的结果 6\o"CurrentDocument"9、风险控制 13\o"CurrentDocument"10、风险接受 14\o"CurrentDocument"11、风险的沟通 1412、结论 141、目的根据风险评估结果确定验证和数据完整性控制的程度。2、风险评估小组成员姓名职务部门质量副总质量保证部设备工程部长设备工程部质量保证部长质量保证部生产技术部长生产技术部质量控制部长质量控制部车间主任口服液体制剂车间车间主任前处理提取一车间车间主任前处理提取二车间车间主任口服固体制剂一车间车间主任口服固体制剂二车间车间主任口服固体制剂三车间范围本风险评估适用于计算机化系统的风险评估。4、风险评估工具：应用FMEA，识别潜在失败模式，对风险的严重程度、发生可能性和检测度评分。5、 风险识别根据计算机化系统在操作过程中可能发生的风险，确定通过风险控制，避免危害发生。6、 风险分析根据计算机化系统在操作过程中可能发生的风险，确定通过风险控制，避免危害发生，应用FMEA方式，从对影响产品质量的因素进行分析，对风险的严重性、可能性、可检测性进行确认。7、 风险评价从风险的严重性、可能性、可检测性，确定各步骤失败影响，打分方式确认风险严重性，将严重性高的风险确认为关键点、控制点。8、 分析的风险及评价的结果序号识别出的风险风险的组成评价RPN风险水平SPD1计算机化系统供应商供应商提供产品或服务不能满足企业要求33218髙2操作人员不够专业操作人员不是专业人员，不能正确完成对计算机化系统的设计、验证、安装和运行等方面的工作2228中3计算机化系统操作规程企业未建立计算机化系统操作规程2228中

4数据转换或迁移数据转换或迁移时，不能确认数据的数值及含义没有改变。33218髙5系统的安装位置未安装在适当的位置，不能防止外来因素的干扰2228中6计算机化系统的档案资料不全操作人员无法掌握系统的工作原理、目的、安全措施和适用范围、计算机运行方式的主要特征，以及如何与其他系统和程序对接。3319中7计算机化系统的操作软件、一//>)未对所采用软件进行进行确认2228中8工作站在计算机化系统使用之前未对系统进行全面测试，未确认系统可以获得预期的结果2228中9权限设置未对系统进行权限设置3319中10数据审计跟踪系统，计算机系统无数据审计跟踪系统，2228中11计算机化系统的变更无预定的操作规程2228中12电子数据和纸质打印文稿同时存在的情况有文件明确规定以电子数据为主数据还是以纸质打印文稿为主数据。2228中13数据的可访问性及数据完整性未定期对数据备份2228中14应急方案未建立应急方案2228中15系统出现故障或损坏未建立系统出现故障或损坏时进行处理的操作规程3319中9、风险控制根据风险评估得分，对风险等级高和中的风险需要追加风险控制措施来降低风险，对风险等级为低的根据现行的措施评价，视为可接受风险。采取风险控制措

施后，重新对风险点进行评估，评估其残余风险的风险等级，以确定最终的风险评估的结论。中等等级风险和髙等级风险计划控制措施如下:序号可能的失败模式（风险）可能的原因风险程度拟采取的措施1计算机化系统供应商供应商提供产品或服务不能满足企业要求髙对供应商提供产品或服务进行确认2操作人员不够专业操作人员不是专业人员，不能正确完成对计算机化系统的设计、验证、安装和运行等方面的工作中对人员进行培训3计算机化系统操作规程企业未建立计算机化系统操作规程中建立计算机化系统操作规程4数据转换或迁移数据转换或迁移时，不能确认数据的数值及含义没有改变。髙在调试时确认5系统的安装位置未安装在适当的位置，不能防止外来因素的干扰中对安装位置进行确认6计算机化系统的档案资料不全操作人员无法掌握系统的工作原理、目的、安全措施和适用范围、计算机运行方式的主要特征，以及如何与其他系统和程序对接。中检查有无系统的说明书及档案资料7计算机化系统的操作软件、工作站未对所采用软件进行进行确认中对软件进行进行确认

8在计算机化系统使用之前未对系统进行全面测试，未确认系统可以获得预期的结果中进行安装、运行确认9权限设置未对系统进行权限设置中对权限设置进行确认10数据审计跟踪系统，计算机系统无数据审计跟踪系统，中数据审计跟踪系统进行确认11计算机化系统的变更无预定的操作规程中在变更控制文件中加入计算机化系统变更的相关内容12电子数据和纸质打印文稿同时存在的情况有文件明确规定以电子数据为主数据还是以纸质打印文稿为主数据。中在文件中明确规定13数据的可访问性及数据完整性未定期对数据备份中在文件中规定数据定期备份14应急方案未建立应急方案中建立应急方案15系统出现故障或损坏未建立系统出现故障或损坏时进行处理的操作规程中建立系统出现故障或损坏时进行处理的操作规程10、风险接受通过采取一系列的控制措施后风险等级情况如下表序号可能的失败模式（风险）可能的原因当前控制措施风险再评价

严重程度发生的可能性可检测性RPN风险程度1计算机化系统供应商供应商提供产品或服务不能满足企业要求对供应商提供产品或服务进行确认3216低2操作人员不够专业操作人员不是专业人员，不能正确完成对计算机化系统的设计、验证、安装和运行等方面的工作对人员进行培训3216低3计算机化系统操作规程企业未建立计算机化系统操作规程建立计算机化系统操作规程3116低4数据转换或迁移数据转换或迁移时，不能确认数据的数值及含义没有改变。在调试时确认3113低5系统的安装位置未安装在适当的位置，不能防止外来因素的干扰对安装位置进行确认3126低6计算机化系统的档案资料不全操作人员无法掌握系统的工作原理、目的、安全措施和适用范围、计算机运行方式的主要特征，以及如何与其他系统和程序对接。检查有无系统的说明书及档案资料3126低7计算机化系统的操作软件、.n、）未对所采用软件进行进行确认对软件进行进行确认2214低8工作站在计算机化系统使用之前未对系统进行全面测试，未确认系统可以获得预期的结果进行安装、运行确认2112低9权限设置未对系统进行权限设置对权限设置进行确认3111低10数据审计跟踪系统计算机系统无数据审计跟踪系统，数据审计跟踪系统进行确认2124低

11计算机化系统的变更无预定的操作规程在变更控制文件中加入计算机化系统变更的相关内容2112低12电子数据和纸质打印文稿同时存在的情况有文件明确规定以电子数据为主数据还是以纸质打印文稿为主数据。在文件中明确规定2112低13数据的可访问性及数据完整性未定期对数据备份在文件中规定数据定期备份2124低14应急方案未建立应急方案未建立应急方案2124低15系统出现故障或损坏未建立系统出现故障或损坏时进行处理的操作规程建立系统出现故障或损坏时进行处理的操作规程2112低11、风险沟通涉及风险控制措施的文件已经批准，采取的追加控制措施及文件、风险报告已经批准，完成所有参与操作的人员培训及沟通，确保在以后的操作过程中，将识别出的风险点进行重点控制。风险管理小组需要对风险评估过程中提出的