自动化和计算机系统审计

自动化和计算机系统审计编写说明：1、背景目前，国内制药企业大多不同程度地采用了先进的自动化设施、设备、检测仪器（如：空调净化系统的自动监控报警系统、热压灭菌器的自动监控系统、色谱工作站等）；在物料管理、财务管理、工艺控制、检验分析等方面部分或较为全面地应用了计算机控制系统。2、趋势伴随着科技的迅猛发展，制药工业水平不断提高，自动化和计算机系统在制药业的应用将更加广泛。3、必要性为了确保采用自动化和计算机系统，不会违反GMP的相关原则；不会降低产品质量和质量保证的要求；不会存在使以前的体系变得不健全的风险，应当对企业所采用的自动化和计算机系统进行审计。4、适用性本模板用于指导制药企业对本企业已采用和将要采用的自动化和计算机系统进行审计，总体原则下的审计细节需要企业根据系统的技术特性进一步细化完善。基本信息审计对象：审计日期：审计小组人员组成：姓名：部门审计主要内容清单：1.对质量体系的影响2.人员和培训3.确认和验证4.系统的安全性5.系统的使用和变更6.文件和记录7.系统的维护审计结论：经对上述内容进行审查，相关人员资历及培训方面…，文件方面…，履行职责方面…。综上认为，是否能确保计算机和自动化系统在受控状态下持续符合要求。审计报告一、基本情况简介二、主要问题及其风险评估主要问题：经对上述问题的综合评估，本企业计算机和自动化系统在保证产品的质量和安全方面存在风险如下：三、整改建议和跟踪检查结果包括对存在问题的整改建议、整改时限建议，跟踪检查等内容。四、审计小组成员签字审计记录1.对质量体系的影响YESNO1.1用自动化或计算机系统代替手工操作是否降低了产品的质量和质量保证要求？是否违反GMP的相关原则？1.2若使用计算机化系统实施放行，是否能保证只有质量负责人能进行批放行，系统能否确认并记录质量负责人的批放行？1.3是否建立了计算机化系统周期性回顾的规程，并规定回顾的范围，方法及应采集的数据？1.4用户是否能采取措施保证计算机化系统中涉及的软件是根据质量保证体系的要求设计？2.人员和培训2.1是否配备了能指导计算机系统设计、验证、安装和操作的有资质的专业人员？2.2质量管理人员能否与自动化或计算机系统技术人员紧密合作？2.3自动化系统是否会由于减少操作人员而增加了使以前的体系变得不健全的风险？2.4是否建立了计算机系统管理人员的岗位操作职责和规程？2.5自动化或计算机系统的操作和管理人员是否接受了充分的培训，并有相关的培训纪录？2.5.1从事计算机系统操作和维护的人员，是否受过专业的培训、教育，并有相关的经验？2.5.2培训内容是否包含了GMP相关培训？2.5.3新招聘的员工是否接受了与其从事工作相对应的培训？3.系统的确认和验证3.1是否对已有的自动化或计算机系统进行分类，并且制定了相应的验证计划？3.2是否对用于药品生产设备的自动化系统进行完整的测试和确认，保证其能获得可靠的结果？3.2.1自动化系统中使用的传感器或换能器是否经过校验？3.2.2自动化系统中如果通过计算机信号引发一项动作，如阀门、开关、记录或报警等，这些受控装置的可靠性是否经过验证？3.2.3自动化系统中模拟信号和数字信号之间的转换可靠性是否经过验证？3.3验证计划是否涉及了计算机系统的整个生命周期（从设计开发到系统退出全过程）？3.4是否具有完整的验证记录，以及验证报告，并存档？3.5系统是否包含数据的正确输入和处理的内部复核功能？对于手工输入的重要数据（如成分的重量和批号），是否有额外的复核方法（人员复核或经验证的电子方法）？4.系统的安全性4.1是否有适当的方法阻止非授权人员不能进行数据输入，如加密密钥、引导卡、个人密码和限制访问计算机终端等？4.2是否建立了确定的规程发布数据，取消数据，更改访问和修改数据的授权，如变更个人密码？4.3如果采用了电子签名，是否经过安全性验证？4.4对于非授权的访问，该系统是否具有相关记录？4.5系统是否能识别输入和确认重要数据的操作人员？4.6是否只有指定的人员才能修改已经录入的数据？4.7对已经录入的数据进行修改是否需要授权，并且具有修改原因说明的记录？4.8系统是否能产生审计跟踪记录，记录所有的输入和修改记录？5.系统的使用和变更5.1计算机化系统的硬件设备是否放于合适的地方，周围环境应该避免极端的温度、湿度、静电、灰尘、电源线路电压波动和电磁干扰，是否有相关的防护措施，并且便于进行相关的操作？5.2是否存在物理安全性的问题（如：在计算机上面放试剂瓶）？5.3对于计算机系统和软件进行变更是否建立确定的规程，包括变更的验证、检查、批准和执行？5.4执行变更是否获得相关负责人的同意并建立相应记录？5.5重要的修正是否进行了相关的验证？6.文件和记录6.1是否具有计算机化系统的完整书面资料并进行更新（包括布置图、设计原则、目标、安全性措施、系统的范围、操作方法，以及与其它系统相关的文件资料）？6.2是否能获得清楚的电子储存数据的打印副本，以满足质量审计的要求？6.3电子记录是否安全，不会丢失、破坏或被未授权的人更改？6.4记录是否能够清晰明确地表述重要的活动或事件？6.5如果计算机设备或软件发生变更，是否采取必要的物理或电子方式保护和检查已存储的数据？6.6是否有保护数据的措施，避免数据突发性破坏？6.7是否检查了存储数据的准确性，易获得性以及持久性？6.8是否对数据进行定期备份？并且备份的数据储存在隔离的安全区域？6.9是否建立了日常的维护规程和记录？6.10是否记录了所有故障、相应的调查分析和整改措施？6.11是否建立了记录和分析错误的规程，以便实施整改行动？7.系统的维护7.1是否严格执行了自动化或计算机系统的日常维护操作规程和并做记录？7.2当发生故障时，是否有备选的应急预案？7.3是否有检查和处理系统故障的相关规程？7.4若委托外部机构或人员代理提供自动化或计算机系统的维护服务，是否与其签订协议，并明确代理维护人的资质和职责？编写依据：（1）FDA药品加工中计算机化系统的现场检查指南（2）PIC/Sguidance:“GXP”涉及的计算机化系统的良好规范（3）EUGMPannex11计算机化系统（4）FDAPART211--CURRENTGOODMANUFACTURINGPRACTICEFORFINISHEDPHARMACEUTICALS（5）中国药品生产验证指南（2003）