公司计算机系统风险控制点

(一)风险因素:系统与经营的适宜性

1、风险分析 :企业使用的RP、WMS不能够实时控制并记录药品经营各环节和质量管理全过程;系统不能够保证实现全环节、过程的控制,不保证质量管理的实施。

风险控制:升级系统、更新功能。更换系统。立即进行内审,审核质量体系运行情况风险。

(二)风险因素:系统中设置各经营流程及环节的质量控制功能,与采购、销售以及收货、验收、储存、运输等管理系统形成内嵌式结构,对各项经营活动进行判断,对不符合药品监督管理法律法规以及《规范》的行为进行自动识别及控制,确保各项质量控制功能的实时和有效。

1、风险分析 :系统对采购、销售以及收货、验收、储存、运输等环节的经营流程环节无法设置质量控制功能,自动识别及控制法规控制点。不能保证全环节过程都得到有效控制。

风险控制:升级系统、更新功能。更换系统。立即进行内审,审核质量体系运行情况风险。

2、风险分析 :局域网内部无法实现数据实时交换。不能确保质量控制功能的及时和有效。

风险控制:升级系统、更新功能。更换系统。改善局域网络环境。实现实时交互。立即进行内审,审核质量体系运行情况风险。

(三)风险因素:企业计算机系统硬件基础

1、风险分析 :无工作组或部门级或企业级服务器,使用家用台式电脑主机做主机。不能保证运行正常、数据安全。更换服务器主机,迁移数据。检查原有数据的完整真实性。

风险控制:更换服务器主机,迁移数据。检查原有数据的完整真实性。

2、风险分析 :企业租用专业数据中心或数据服务公司的服务器,是服务器上的部分内存。不能保证运行正常、数据安全。

风险控制:更换服务器主机,迁移数据。检查原有数据的完整真实性。

3、风险分析 :药品采购、收货、验收、储存、养护、出库复核、销售以及质量管理等岗位未配备专用的终端设备。不能保证全环节、过程的控制,不能保证质量管理的实施。

风险控制:增加终端机。立即进行内审,审核质量体系运行情况风险。

4、风险分析 :未通过电信、联通、移动、铁通、艾普等规范宽带服务商提供接入互联网。不能保证接入网络的安全和稳定。

风险控制:更换互联网服务商。

5、风险分析 :未通过宽带、光纤等固定接入方式接入互联网。不能保证交互的速度,和连接稳定。

风险控制:更换接入方式和提升带宽、速度。

6、风险分析 :无实现相关部门之间、岗位之间信息传输和数据共享的局域网。不能确保质量控制功能的及时和有效。

风险控制:改善局域网络环境。实现实时交互。立即进行内审,审核质量体系运行情况风险。

7、风险分析 :无专业的杀毒软件和防火墙,接入终端都应有杀毒软件实时监控。不能保证数据、终端的安全。

风险控制:立即购买安装专业的杀毒软件防火墙。全面检查系统的安全性。

8、风险分析 :没有药品经营业务票据生成、打印和管理功能。不能满足业务要求和记录的真实性。

风险控制:升级系统、更新功能。更换系统。立即进行内审,审核质量体系运行情况风险。

9、风险分析 :数据库不符合规范要求或企业经营要求。不能保证数据的真实有效安全。

风险控制:扩容数据库、提升数据库,迁移数据。检查原有数据的完整性。

(四)风险因素:系统登录、操作记录

1、风险分析 :各操作岗位不过输入用户名及密码等身份确认方式登录。不能确保记录操作的真实性。

风险控制:改进系统,完善登陆方式应以用户名及密码等加密方式登陆。

2、风险分析 :修改各类业务经营数据时,操作人员可跨越职责范围内提出申请。不能确保记录操作的真实性。

风险控制:改进系统,完善修改申请权限范围。

3、风险分析 :修改不经质量管理人员审核批准。不能保证修改的合法性。

风险控制:改进系统,添加修改审核关。

4、风险分析 :修改的原因和过程未在系统日志中记录。不能保证数据的真实有效性。

风险控制:完善系统或跟换系统。对数据进行排查,检查其真实、完整性。

5、风险分析 :操作人员姓名、时间、日期的记录采用手工编辑或菜单选择等非自动关联。不能保证相关数据的真实有效。

风险控制:完善系统或跟换系统。对数据进行排查,检查其真实、完整性

(五)风险因素:数据备份

1、风险分析 :未用磁盘(移动硬盘、硬盘)等磁介质、光盘、晶体管存储器存储备份各类记录和数据。不能保证备份记录的稳定、安全。

风险控制:选用适宜的介质重新备份。

2、风险分析 :未按日备份数据。不能保证备份数据的连续和保险功能。

风险控制:严格执行相关制度,每日备份数据。

3、风险分析 :在服务器上备份或备份与服务器在同一处保存。无法起到备份的保险作用。

风险控制:严格执行相关制度,才用与服务器分离且安全的方式保存备份。

4、风险分析 :备份数据保存时间不符合要求。不能保证经营的可追溯性。

风险控制:严格按制度要求保存数据,对已灭失的数据尽量修复找回。

(六)风险因素:系统预警

1、风险分析 :质量管理基础数据未包括供货单位及购货单位、经营品种、供货单位销售人员资质等相关内容。不能保证相关质量控制关键点受到系统实时控制。

风险控制:完善系统或跟换系统。对未控制点进行排查。

2、风险分析 :未对供货单位或购货单位的经营范围进行系统自动识别与控制。不能保证经营中购销的合法性。

风险控制:完善系统或更换系统。立即开展内审。

3、风险分析 :未对质量管理基础数据进行提示、预警和/或失效时,数据失效时未对该数据相关的业务功能自动锁定。不能保证经营中购销的合法性。

风险控制:完善系统或更换系统。立即开展内审。

4、风险分析 :无库存货品效期预警,控制功能。不能保证售出药品的质量。

风险控制:完善系统或更换系统。立即开展内审。

5、风险分析 :质量基础数据录入、更新未经过专职质量管理人员审核。不能保证基础数据的真实有效。

风险控制:对基础数据进行排查,展开内审。严格执行制度质量基础数据由质量员审核。

6、风险分析 :非指定质量人员也能修改质量基础数据。不能保证基础数据的真实有效。

风险控制:对基础数据进行排查,展开内审。严格执行制度质量基础数据由质量管理人员审核。

(七)风险因素:系统在经营各环节质量控制

1、风险分析 :系统未对各供货单位的法定资质能够自动识别、审核,不能拒绝超出经营方式或经营范围的采购订单生成。不能保证购进严格合法、药品来源合法。

风险控制:完善系统或更换系统。立即进行采购专项GSP内审。

2、风险分析 :采购订单确认后,系统不能自动生成采购记录。不能保证采购记录的真实、完整、有效。

风险控制:完善系统或更换系统。完善采购记录。

3、风险分析 :收货人员不能查询采购记录、采购订单。不能保证收货药品就是公司要采购药品。

风险控制:完善系统或跟换系统。核对库存药品是否由采购负责。

4、风险分析 :验收人员不调取收货记录就可以输入验收单。不能保证药品严格经过收货确认。

风险控制:完善系统或更换系统。

5、风险分析 :验收员输入批号、生产日期、有效期、合格数量、验收结果等内容制作验收单并确认系统生不自动关联成验收记录。不能保证验收记录的真实、完整、有效。

风险控制:完善系统或更换系统。完善采购记录。

6、风险分析 :系统不能根据入库药品基础信息中药品的管理类别、质量状态及储存特性,自动判断于存入仓库货位固有管理类别、质量状态及储存特性是否相符。不能保证入库药品的到正确的储存,不能保证药品质量。

风险控制:完善系统或跟换系统。核对库存药品的仓储条件,展开内审。

7、风险分析 :系统未能依据质量管理基础数据和养护制度,对库存药品按期自动生成养护工作计划。不能保证养护按要求进行。

风险控制:完善系统或更换系统。立即对你库存药品展开彻底的逐一检查。

8、风险分析 :系统不能拒绝无质量管理基础数据或无有效库存数据支持的任何业务订单的生成。不能保证销售的真实合法。

风险控制:更新补丁、更换系统。立即展开内审。

9、风险分析 :系统未对各购货单位的法定资质能够自动识别并审核,不拒绝超出经营方式或经营范围销售。不能保证销售的合法。

风险控制:更新补丁、更换系统。立即展开内审。

10、风险分析 :销售订单确认后,系统未自动关联生成销售记录。不能保证销售记录的真实、完整、有效。

风险控制:完善系统或更换系统。完善销售记录。

11、风险分析 :复核员完成出库复核操作后,系统未自动生成出库复核记录。不能保证复核记录的真实、完整、有效。

风险控制:完善系统或更换系统。完善复核记录。

12、风险分析 :销售退回可以随意输入,系统不进行与原销售记录的核对控制。不能保证退回药品的可靠性,进而影响再次销售行为的合法性。

风险控制:完善系统或更换系统。立即展开内审。对于违规退回品全部按照不合格品处理

13、风险分析 :对于问题药品系统不能锁定、停售、跟踪。不能保证问题药品得到有效控制,销售合法性。

风险控制:完善系统或更换系统。立即展开内审。

14、风险分析 :质量锁定可由非指定的质量管理人员解除。不能保证问题药品得到有效控制。

风险控制:完善系统或更换系统。立即展开内审。

15、风险分析 :系统对质量不合格药品的处理过程、处理结果不能进行记录、跟踪处理结果。不能保证问题药品得到有效控制,不能确保相关记录的真实有效完整。

风险控制:完善系统或更换系统。立即展开内审。

16、风险分析 :系统不能对按要求对委托运输的生成药品运输记录,冷藏药品自动提示完成冷链运输记录。不能保证冷链药品运输数据的追溯性。

风险控制:完善系统或更换系统,补齐相关记录。检查冷链运输实际情况。

17、风险分析 :对运输时限超出约定时间的无提示、警告。不能保证冷链运输药品的质量。

风险控制:完善系统或更换系统。

(八)风险因素:突发事件

1、风险分析 :服务器崩溃或受到病毒攻击。数据丢失损毁、影响业务开展。

风险控制:利用备份恢复数据,全面杀毒,建立专业的防火墙和防毒软件。