自动化和计算机系统审计

1. 对质量体系的影响

YES

NO

1.1 用自动化或计算机系统代替手工操作是否降低了产品的质量和质量保证要求？是否违反GMP的相关原则？

1.2 若使用计算机化系统实施放行，是否能保证只有质量负责人能 进行批放行，系统能否确认并记录质量负责人的批放行？

1.3 是否建立了计算机化系统周期性回顾的规程，并规定回顾的范围，方法及应采集的数据？

1.4 用户是否能采取措施保证计算机化系统中涉及的软件是根据质量保证体系的要求设计？

2. 人员和培训

2.1 是否配备了能指导计算机系统设计、验证、安装和操作的有资质的专业人员？

2.2 质量管理人员能否与自动化或计算机系统技术人员紧密合作？

2.3 自动化系统是否会由于减少操作人员而增加了使以前的体系变得不健全的风险？

2.4 是否建立了计算机系统管理人员的岗位操作职责和规程？

2.5 自动化或计算机系统的操作和管理人员是否接受了充分的培训，并有相关的培训纪录？

2.5.1 从事计算机系统操作和维护的人员，是否受过专业的培训、教育，并有相关的经验？

2.5.2 培训内容是否包含了GMP相关培训？

2.5.3 新招聘的员工是否接受了与其从事工作相对应的培训？

3. 系统的确认和验证

3.1 是否对已有的自动化或计算机系统进行分类，并且制定了相应的验证计划？

3.2 是否对用于药品生产设备的自动化系统进行完整的测试和确认，保证其能获得可靠的结果？

3.2.1 自动化系统中使用的传感器或换能器是否经过校验？

3.2.2 自动化系统中如果通过计算机信号引发一项动作，如阀门、开关、记录或报警等，这些受控装置的可靠性是否经过验证？

3.2.3自动化系统中模拟信号和数字信号之间的转换可靠性是否经过验证？

3.3 验证计划是否涉及了计算机系统的整个生命周期（从设计开发到系统退出全过程）？

3.4 是否具有完整的验证记录，以及验证报告，并存档？

3.5 系统是否包含数据的正确输入和处理的内部复核功能？对于手工输入的重要数据（如成分的重量和批号），是否有额外的复核方法（人员复核或经验证的电子方法）？

4. 系统的安全性

4.1 是否有适当的方法阻止非授权人员不能进行数据输入，如加密密钥、引导卡、个人密码和限制访问计算机终端等？

4.2 是否建立了确定的规程发布数据，取消数据，更改访问和修改数据的授权，如变更个人密码？

4.3 如果采用了电子签名，是否经过安全性验证？

4.4 对于非授权的访问，该系统是否具有相关记录？

4.5 系统是否能识别输入和确认重要数据的操作人员？

4.6 是否只有指定的人员才能修改已经录入的数据？

4.7 对已经录入的数据进行修改是否需要授权，并且具有修改原因说明的记录？

4.8 系统是否能产生审计跟踪记录，记录所有的输入和修改记录？

5. 系统的使用和变更

5.1 计算机化系统的硬件设备是否放于合适的地方，周围环境应该避免极端的温度、湿度、静电、灰尘、电源线路电压波动和电磁干扰，是否有相关的防护措施，并且便于进行相关的操作？

5.2 是否存在物理安全性的问题（如：在计算机上面放试剂瓶）？

5.3 对于计算机系统和软件进行变更是否建立确定的规程，包括变更的验证、检查、批准和执行？

5.4 执行变更是否获得相关负责人的同意并建立相应记录？

5.5 重要的修正是否进行了相关的验证？

6. 文件和记录

6.1 是否具有计算机化系统的完整书面资料并进行更新（包括布置图、设计原则、目标、安全性措施、系统的范围、操作方法，以及与其它系统相关的文件资料）？

6.2 是否能获得清楚的电子储存数据的打印副本，以满足质量审计的要求？

6.3 电子记录是否安全，不会丢失、破坏或被未授权的人更改？

6.4 记录是否能够清晰明确地表述重要的活动或事件？

6.5 如果计算机设备或软件发生变更，是否采取必要的物理或电子方式保护和检查已存储的数据？

6.6 是否有保护数据的措施，避免数据突发性破坏？

6.7 是否检查了存储数据的准确性，易获得性以及持久性？

6.8 是否对数据进行定期备份？并且备份的数据储存在隔离的安全区域？

6.9 是否建立了日常的维护规程和记录？

6.10 是否记录了所有故障、相应的调查分析和整改措施？

6.11 是否建立了记录和分析错误的规程，以便实施整改行动？

7. 系统的维护

7.1 是否严格执行了自动化或计算机系统的日常维护操作规程和并做记录？

7.2 当发生故障时，是否有备选的应急预案？

7.3 是否有检查和处理系统故障的相关规程？

7.4 若委托外部机构或人员代理提供自动化或计算机系统的维护服务，是否与其签订协议，并明确代理维护人的资质和职责？