如何做好质量风险管理

在GMP中提出了质量风险管理的基本要求，明确企业必须对药品整个生命周期根据科学知识及经验对质量风险进行评估，并最终与保护患者的用药安全为目标相关联。质量风险管理过程中，企业努力的程度、形式和文件应与风险的级别相适应。

    很多人都是第一次接触质量风险管理的概念，质量风险管理该如何去做？作为一个制药企业该如何去理解质量风险管理(风险评估)，笔者根据实践工作经验发表一些看法，供大家参考:

    一、首先，必须理解的概念，质量风险管理：是在整个产品生命周期中采用前瞻或回顾的方式，对质量风险进行评估、控制、沟通、审核的系统过程。在

ICH Q9中，对风险的定义是这样的。“风险”---是危害发生的可能性和严重性的组合。”注：ICH（人用药品注册技术要求国际协调会）

    二、所以，根据风险的定义，最终判定一个风险就是由可能性和严重性这两个维度的综合评价来确定的。如果企业做过ISO9001质量管理体系，一定都知道戴明环(即PDCAR)。做任何一件事情首先要计划（Plan），计划好了再去做（Do），做的过程要不断的进行检查（Check）,根据检查的结果不断的要进行持续改进（Action）还有最重要的一点千万别忘了，就是过程的总结和记录（Record）.

比较流行的是一个风险管理程序图，如下（略）结合质量管理的PDCAR,逐一分析来看：

第一步：首先就是P，即你要计划，开始你的风险管理工作，如何成立一个组织，谁负责？谁实施？如何分工？设计哪些控制表单等，形成有一个风险推行计划方案。

第二步：就是Do，进行风险的识别和评估，因为你必须先要识别出来，然后你才能谈到管理和控制。识别的方法有很多种，你可以采用头脑风暴法，按照制药的全流程，大家集思广益想在哪个环节可能出现什么样的风险，先不要想解决办法；或者也可以找一些有经验的领导或者同事，因为经验都来源于失败的教训，把这些都记录下来。还可以进行预测。可能会有什么潜在的风险。当然最好的方式就是以上三种方法的结合。

第三步：就是C，风险如何分类和评价。根据风险的定义，可能性和严重程度是风险的两个维度。你可以建立一个矩陈，包括提到的两个维度，5*5矩阵法比如（略）。至于什么风险该评定到什么级别，就只能根据你企业自己的状况来决定了，把第1步识别出来的风险，按照上面那个维度表进行打分，关注的是中点9分的风险，按照一般低于9分都属于低风险，可接受，高于9分的就要采取一定措施啦；

第四步：就是改进和措施Action,根据上面的分值评定出来了，你就要考虑针对不同的分数该制定什么措施了。这时候你要设定一个模板表格，因为这是作为后续整改完成的依据，结合你企业的自检和CAPA进行。

第五步：就是要做记录Record,结合风险管理程序的风险回顾，定期进行总结。该什么时候进行风险和回顾呢：

     风险评估这是风险管理过程的第一步，一、如何进行风险识别三个部分,二、如何进行风险评估,三、如何进行风险控制和消减计划。即解决三个基本问题：(1)将会出现的问题是什么? (2)可能性有多大? (3)问题发生的后果是什么?

一、如何进行风险识别：

靠近ISO9000族。第一步就是计划（Plan），也就是风险的识别。

首先，风险的识别一定是个连续不间断的过程，应该作为日常工作的一个部分，识别出来的风险要通过某个组织，例如风险管理委员会讨论确定。风险识别的来源有很多，举个例子，比如法规的变更、供应商的变更、产品技术转移、新产品的引入、根据偏差和变更等等。你要给员工一个风险上报的流程和途径，因此在这里你要设计一个标准的模板或者表格，让所有的员工对于识别和发现的潜在风险有一个顺畅的上报流程。同时要设立一个风险识别台账，把所有的识别出来的风险无论大小都要罗列登记，建立两个表单：

1、风险识别内容登记表；

2、风险识别报告单；

    都是需要风险管理委员会签字批准的。

二、如何进行风险评估；

前面讲过，风险定值＝严重性*可能性，利用前面提到的5*5矩阵法进行风险的定值地，这也是一个工具。

然后你要考虑风险评估的排序以及登记工作，这里面风险评估你要注意两个问题：

1、必须考虑现有的流程、相关的KPI、相关认证审核发现的纠正预防整改、培训等；

2、必须考虑健康、安全、环境、财务、供应、工伤、疾病、患者、客户、股东、法规、成本等诸多因素的潜在影响；

以上问题考虑好了，用5*5矩阵法给风险进行打分并分类，识别出来的大于9的风险要制定STP计划递交风险管理委员会讨论批准，风险数值小于9的风险计划可以有风险管理委员授权的人员进行批准。

    风险登记要把每个识别出来的风险必须记录，包括风险描述、潜在的影响和目前已有的控制措施。这个过程你需要设计两个表单（受控的）：

1、评估工具，最简单的就是5*5矩阵

2、风险评估登记表

三、如何进行风险控制和消减计划

每个风险应指定风险负责人。风险负责人负责制定和发布风险消减计划并根据既定的时间表完成行动计划。这些行动计划应致力于：消除风险发生根本原因、风险结果最小化、减小发生的可能性、风险转移。

企业应当开力争将高风险降低或转移至中等风险，然后再降低工转移至低风险，每一个风险消减行动计划，第一个风险消减行动计划均应给一个唯一的编号，便于追踪和溯源。这里建议企业风险管理委员会每个月要组织召开一次会——跟进和确定风险消减计划的执行进度，并根据矩陈再头昏脑胀给风险定值，然后将最新的风险信息向下一级管理人员沟通。

这里推荐几个风险管理工具，如：失败模式影响分析（FMEA），故障树分析（FTA），以及支持性的统计学工具，如合格控制图，过程能力分析，因果分析图等。

四、风险如何管理和回顾

首先强调的是，只有在风险消减计划的所有行动都已完成并已买闭的情况下才可以关闭该风险，风险的管理和回顾，需要满足以下条件：

1、风险被正确描述；

2、原因已经被识别；

3、行动计划评估有效；

4、每一个行动都有负责人和日期；

5、具备了风险消减解决方案；

6、行动计划的延期必须要有批准；

    风险管理是一个持续的过程，风险管理流程责任人负责至少每年一次评估公司风险管理流程的有效性，评估的结果及针对风险管理流程的改变都应该在会议纪要上记录，以及向风险负责人提供风险管理知识培训。风险负责人负责评估本部门内风险管理流程的有效性并向部门内相关人员传达培训内容。