【认证】ISO9000认证行业口碑好

ISO13485:2016 与上一版主要区别之一就是基于风险管理的思想融入到标准中来。据统计，ISO13485:2016 整个标准中提到“风险”的次数总共是32 次，其中在正文中提到20 次：引言中提到2 次；术语和定义中提到4 次；质量管理体系中提到3 次；人力资源中提到1 次；产品实现中提到9 次；测量、分析和改进中提到1 次。从中可以看出，产品实现是实施风险管理的重点。这也向YY/T0316-2015( 等同采用ISO14971:2007修订版) 中风险管理适用于医疗器械整个生命周期的要求靠拢。本文主要针对产品实现过程中风险管理的应用进行探讨；另外，有些企业在产品上市后如何应用风险管理有些困惑，本文也将涉及这方面的内容。 1.产品实现过程中风险管理的应用 ISO13485:2016 第7 章产品实现中共提到9 次风险，主要是在产品实现策划，设计输入，设计更改，采购过程，采购产品的验证，生产和服务提供过程的确认，监视和测量设备的控制中提到。 1.1 产品实现的策划要求在产品实现过程中，将风险管理的一个或多个过程形成文件。 风险管理的一个或多个过程形成文件至少应包括ISO13485:2016 第7 章中有关风险的要求，如果第7 章中不适用的内容，应该有文字说明，并且有相应级别的人员批准。在产品实现的策划实际操作中，风险管理的内容如果只是涉及ISO13485:2016 第7 章要求的内容往往是不够的。例如，设计和开发输入要求应包括适用的风险管理的一个或多个输出，设计输入有关于风险管理的要求，那设计输出和设计验证/确认呢？对于产品风险控制的措施，无论是外协外购，还是企业自己生产、组装、调试，终要落实到设计输出中，所以 要在产品的设计输出中识别出与相关的特性，这也为后续与有关风险的设计更改，采购过程，采购产品的验证，生产和服务提供过程的确认，监视和测量设备的控制提供了依据；为了确保医疗器械的、有效，与风险有关的验证/ 确认和与风险无关的验证/ 确认，方法应有所不同，与风险有关的验证/确认应该更加严苛。ISO13485:2016 没有在设计输出和设计验证/确认中提出与风险管理有关的要求，但是笔者认为无论从企业质量管理体系或风险管理实践的角度，还是从保证医疗器械、有效的角度，这都是标准改进的机会。 1.2 设计和开发输入要求之一是应确定与产品要求有关的输入，这些输入应包括适用的风险管理的一个或多个输出。 产品的设计输入和风险管理活动都应该在产品开发之初进行，他们相互交织，互相影响。法规、 标准（包括标准）是产品设计输入的一部分，风险管理活动的输出也是设计输入的一部分；风险管理活动中所识别危险(hazard)的风险的合理可行的评判准则之一是符合相关产品的标准。举例说明，对于电气医疗器械来说设计输入应该包括符合GB9706.1-2007标准要求，如果在设计输入中只写满足GB9706.1-2007标准，这将使设计工程师无从下手，不知道如何设计，应该将标准的要求细化，这就需要风险管理活动的输出。产品设计之初首先要识别产品的危险（源），为了能识别危险（源），企业 按照YY/T0316-2016 附录E 的示例进行识别，不适用的危险可以提供合理的说明，建议与适用的危险放在一起以使别人对产品的危险有总体认识。YY/T0316-2016 附录E中“高温”是危险之一，失火将导致高温危险，所以防火要求将是产品的设计输入之一。防火、阻燃方法将是风险控制措施，采取风险控制措施后，“高温”的风险是否可接受，这些都是风险管理活动的输出，如何满足产品的防火、阻燃要求，至少应该符合GB9706.1-2007 中43 章的要求；又如，对于电气医疗器械来说，很多要使用网电源，这都有“电击”的危险，设备在正常使用或单一故障时都应该，这是GB9706.1-2007的要求，将作为设计输入之一。绝缘击穿将导致电击的风险，根据电气医疗器械的类和型，要采取相应的绝缘措施，采取绝缘措施后，“电击”风险是否可接受，要符合GB9706.1-2007第20章的要求，这些都是风险管理活动的输出。 1.3 设计和开发更改的要求之一是设计和开发更改的评审应包括评价更改对产品组成部分和在制品，或已交付产品以及风险管理的输入，或输出和产品实现过程的影响。 在此建议企业做设计更改时需有一个检查单，其中有一条来判断所做的更改是否与风险管理活动相关，然后根据对风险管理输入或输出影响程度和范围，采取相应的措施。 1.4 采购过程的要求之一是组织应建立评价和选择供方的准则，准则之一就是与医疗器械相关风险相适应，另外对未履行采购要求的供方的处置应与所采购产品有关的风险相适应，并符合适用的法规要求。 正如在1.1 中所述，在设计输出中要识别出与风险管理活动相关的特性，或者说与有关的特性，形成企业与供方的共同语言，对于提供与风险管理活动相关的部件、过程、服务的供方选择准则应根据产品特性制定更加严格的标准。例如，对1.2 中提到的防火、阻燃材料供方与提供一般材料的供方准则应有所不同，要求应更多，并且严苛。如果供方没有按照采购要求提供产品，并且该采购产品与医疗器械的风险相关，那么对供方的处罚要根据后果采取更加严厉的措施，这些应写在给供方的采购信息中。因为如果供方未履行与风险相关的采购要求，有可能导致不可接受的风险，给患者与使用者造成伤害，给财产造成损失，导致召回，降低了企业的信誉。 1.5 采购产品的验证要求之一是组织应确定并实施检验或其他必要的活动，以确保采购的产品满足规定的采购要求。 验证活动的范围应基于对供方评价的结果，并与采购产品有关的风险相适应。采购产品的验证活动应与产品的风险相适应，企业采购的产品，过程，服务千差万别，多种多样，这些对产品的性影响也各不相同，这种影响的判断是风险管理的输出，也应该体现在设计输出及采购信息中，设计输出及采购信息将是采购产品验证的基础。还以1.2 中提到的防火、阻燃材料为例，这些采购要求及验证方法应该体现企业提供给供方的采购信息中。一般情况，供方对采购产品的生产、检验比企业更专业。对于与风险有关的部件验证，我们可以要求供方制定采购部件质量计划，将部件的采购要求落实到生产和检验中去，这个计划得到企业的批准。采购产品验证时，企业可以自己验证，但更经济、有效的方法可以要求供方提供生产、检验记录、材料符合性证明等，企业检查记录的符合性并存档保存。对提供与风险有关部件的供方的审核及采购产品跟踪检查根据企业自身情况应比其他类型的部件更加严苛。需要说明的是与风险有关的性零部件验证成本比非零部件的成本要高，终会转嫁到消费者身上，这种部件的验证方法并不适用所有的零部件。企业应该把有限的资源更多地投入到与风险有关的性零部件，保证医疗器械的、有效。 1.6 现代医疗器械的生产和服务活动以及监视和测量设备所用到的软件越来越多，对这类软件初次使用的确认及更改后的再确认的要求在ISO13485:2016 的7.5.6 及7.6 中都有提及，并且这种确认与再确认的要求应与有关的风险相适应。需要强调的是，“有关的风险”应该在产品的设计输出中识别出为特性，相关软件使用时要确保这些特性满足规定的要求。 2.产品上市后风险管理的应用 ISO13485:2016 的8.2.1章要求从反馈过程中收集的信息应用作监视和保持产品要求的风险管理的潜在输入，以及产品实现或改进过程的潜在输入。 与风险相关的内容，简单地说，就是反馈收集的信息作为风险管理的潜在输入。风险是伤害（harm）发生的概率和该伤害严重度的组合。在产品开发的时候，对某个危险（harzard）进行风险评估，确定该危险所造成伤害的严重性和发生概率，进而确定该危险的风险可接受程度。这些都是产品上市前企业自己的评估，实际情况是否与企业自己的评估一致，还要看产品上市后产品的反馈数据。对产品的满意度和判断产品的性、有效性，直接有效的反馈就是客户了。客户反馈的问题中既有质量方面的问题，也有关于产品方面的问题，所有这些都应该是客户抱怨的记录。所以对客户抱怨数据分析的结果可以作为风险管理的潜在输入，这也符合风险管理适用于产品全寿命周期的要求。例如，将某一段时间内所有客户抱怨的数据拿出来分析，把所有有关风险/相关的客户抱怨找出来，并且将同样的危险（harzard）归类统计。看是否有伤害（harm）发生，如果发生了伤害，再判断伤害的严重度与产品开发时的判断是否一致，如果不一致则应更改原有的风险管理文件，重新进行风险评定、风险控制等风险管理过程；对于概率，YY/T0316-2016 附录D中要求当可获得足够数据时，优先采用概率水平的定量分类，定性及定量的概率分类在产品上市前企业应该定义出来，产品上市后概率计算可参照下面计算： P=h/(O×U×52) P ：代表发生概率 O ：代表单位医疗器械一周内使用的次数 U ：代表一年内在客户现场医疗器械总的数量 52 ：代表一年有52 周 不同的医疗器械使用的公式有所不同，总的原则是发生某一危害/ 危害状态的次数与客户使用医疗器械总机会的比值。产品上市后伤害发生概率也将作为风险管理的输入，方法与伤害的严重度作为风险管理的输入类似。就是反馈收集的信息作为风险管理的潜在输入。 3.结语 我国等同采用ISO13485:2016 认证的标准YY/T0287 即将发布（注：已经发布），其中与上一版的一个主要区别是基于风险管理的思想融入到标准中来，这对企业来说也是一个新的课题，产品实现过程的风险管理及产品上市后的风险管理是其中的重要方面，其他方面我们也应该加以研究，落实到企业的质量体系中来以符合ISO13485:2016。

HACCP认证外审资料 1采购部文件：合格供方评审办法、水果收购管理办法、水果原料标准记录：水果原料验收记录、过磅单 、受控文件清单、记录清单、合格供方名录、供方评审表（产地调查表）、水果采购评审表 2国际业务部记录：所有自3 月1 日到现在出口发货的销售合同、发货记录、出入库单据、顾客投诉登记 单、顾客投诉处理记录、顾客满意度调查表、受控文件清单、记录清单 3 五金库、化学品库记录：化学品出入库帐簿、化学品领用记录、化学品的出入库单据、库房温度湿度记 录 4 总经办需准备的文件、记录： A 各项培训记录：新招聘员工的培训和考试记录、卫生培训记录、 HACCP 培训考试记录、关键工序培训 记录、检验人员培训记录、 B关键工序和检验人员的上岗证、证、员工档案、员工花名册、特种工种（司炉、电工、司机、制冷 工）的上岗证、 C各项的复印件（经营许可、ISO9001、出口卫生注册、法人代码、卫生许可证等） D外来文件和传真收发记录 E 职工档案的整理、所属外来文件的整理、 F 本部门及收到的受控文件清单 5 品控部需准备的记录： 3 月1日到现在的个人、厂区环境卫生检查记录、车间卫生检查记录、所有的成 品检测报告、不合格品报告单、纠偏行动记录、辅料包材进货检验记录、供应厂家的检验报告、草莓浆、 草莓汁、杏浆生产情况总结、水质检验报告、工艺卫生检查报告、药品配置记录、仪表计量校准记录、内 部审核计划、内部审核通知、内部审核记录、管理评审记录、受控文件清单、记录清单、各种外检报告、 相关国际标准的收集、所有的文件发放回收记录、文件修改通知单、HACCP 计划修改单、近几个月生产期 间的过程品控记录、产品发货检验报告和登记表 6 果浆车间需准备的工作 A需准备的记录：草莓、杏、桃三个品种生产期间的破碎打浆监控记录、浓缩工 序监控记录、杀菌罐装工序监控记录、清洗消毒记录、更衣室清扫消毒记录、车间卫生检查表、个人卫生 检查表、设备维修记录、设备每日巡检记录、设备周保月报记录、消毒液配置检测记录、 PQC日报表、捡 果工序监控记录、纠偏行动记录、不合格品报告单、记录的复核、受控文件清单、记录清单、车间温度湿 度记录、罐装机流量计校准记录、 B 硬件：CCP 计划上墙、工具的标记必须作好、打扫好车间的卫生死 角、 7 浓缩车间需准备的工作： A 需准备的记录：草莓生产期间的各工序监控记录、清洗消毒记录、更衣室 清扫消毒记录、车间卫生检查表、个人卫生检查表、设备维修记录、设备每日巡检记录、设备周保月报记 录、消毒液配置检测记录、捡果工序监控记录、纠偏行动记录、不合格品报告单、记录的复核、受控文件 清单、记录清单、车间温度湿度记录、罐装机流量计校准记录、 B 硬件：CCP 计划上墙、工具的标记必 须作好、打扫好车间的卫生死角、容器的标识一定要作好、 8 动力车间记录：配电室检查记录、锅炉运行记录、锅炉检修保养记录、水质检验记录、冷库运行记录和 温度记录及保养记录、厂区设备检查维修记录、受控文件清单、记录清单 9 供应部：合格供方名录、供方评审表、各供应商的资料（尤其是酶制剂、钢桶、塑料袋、无菌袋、柠檬 酸、VC钠等几项）具体资料包括：营业执照、卫生许可证、获得的认证的证明材料、产品遵循的标准（国 标、行标或企标）、在质检所或卫生防疫站或其他权威部门检验的检验报告、每批进货的检验报告等；受 控文件清单、记录清单需具备的文件：采购控制程序、供方评审办法 10 发运办：记录：所有自3 月1 日到现在内部发货的调拨单或销售合同、出入库单据、顾客投诉登记单 、顾客投诉处理记录、顾客满意度调查表、受控文件清单、记录清单、库房温度湿度记录硬件：所有产成 品必须作好规范的标识、库房放好温度湿度测量表.

ISO20000认证核心过程 ISO20000IT服务管理规范吸收了管理体系的成功实施经验，继续采用PDCA管理模式作为IT服务管理体系持续改进模型的基础，将业务要求和客户要求作为主要的出发点和终的着陆点，通过对主要服务过程的有序化管理，促使业务成果和顾客满意的达成。 同时，ISO20000将IT服务管理的过程基于业界 的管理实践，分为5个过程域，13个过程,包括如下: 2.2.1服务交付过程 服务等级管理服务等级管理的目标是通过协调IT用户和提供者双方的观点，实现特定的、一致的、可测量的服务水平，为客户节省成本、提高用户生产率 服务报告为有效沟通和制定决策而及时编制的可靠的、准确的并达成一致的报告。强调与客户的沟通和服务结果与客户要求的符合性的一致性转自项目管理者联盟 服务持续性及可用性管理持续性管理是确保在尽量少地中断客户业务情况下，提供IT服务，并在IT系统出现问题时，以可控的方式恢复;可用性管理的目标是优化IT基础设施的性能，它的服务和支持的组织。可用性管理导致成本节省的、持续的服务可用性水平，这种服务可用性确保业务满足其目标 IT 服务的预算及核算确定IT服务的预算，监督预算执行情况，根据提供的服务收取费用 容量管理使组织在危机出现时管理资源并提前预测需要的额外的能力。它描述了计划、实施和运行该过程必需的规程 信息管理在所有服务活动中有效地管理信息项目经理博客 2.2.2关系过程 业务关系管理基于对客户及其业务驱动的理解，确保在服务提供者和客户之间建立并保持良好的关系 供应商管理通过对第三方供应商的良好管理，确保提供无缝的高质量的服务项目管理培训 2.2.3解决过程项目管理培训 事件管理尽快将业务恢复到协定的服务级别，或尽快响应服务请求 问题管理通过主动识别和分析服务事件的根源，管理问题的解决方案，来减小对业务的破坏 2.2.4控制过程项目管理培训 配置管理定义并控制服务和基础设施的组件，保持配置信息的准确性 变更管理确保所有的变更都在受控方式下被评估、批准、实施和评审 2.2.5发布过程 发布管理把一个或多个变更作为一个发布来交付、分发、追溯到真实环境中项目管理者联盟 3.为什么要实施基于ISO20000标准的IT服务管理 随着市场竞争的加剧和电子商务在世界范围内的兴起，现在的企业必须持续不断地和快速地对其业务进行管理和变革。这些企业的业务很大一部分越来越依赖于其IT系统来提供使客户满意的服务，正因为如此，一个稳健而又灵活的IT解决方案对这些企业而言是至关重要。项目经理圈子 这类解决方案首先当然应当满足企业的业务需求，但同样重要的是这些方案本身应该是易于管理的，否则他们对业务的支持得不到保障。因此，为提高服务管理的效率和效果所做的投资并不是可有可无的，相反，它为业务的成功运作提供了坚实可靠的基础。 为了实现高质量的服务管理，我们可以借鉴使用经过实践证明确实行之有效的服务管理“ 实践”。这些实践在英国商务部开发的ITIL系列指南和英国率先开发的 标准BS15000实施基础上，终形成了ISO20000国际标准。因此基于ISO20000来实施IT服务管理，是具有可信的坚实基础。 经验表明，企业通过实施基于ISO20000的IT服务管理方案可以取得良好的效益，包括：blog.mypm.net 3.1 将IT和企业业务进行更好的整合。项目管理者联盟文章 3.2 提高IT服务的质量，降低IT服务的成本，从而提高了IT投资价值。 3.3 使IT成为更有效的业务变革手段。 3.4 更好的发挥员工的作用，提高了员工的工作积极性。 而IT服务提供商通过基于ISO20000有效实施IT服务管理，就能向其国内外客户广泛地证实其服务提供的能力，给客户提供广泛认可的信心，从而增强其市场竞争优势。 4.结合企业实际情况实施IT服务管理 IT服务管理体系的建设是一个长期的过程，它是IT服务从运行中心向服务中心、利润中心转变的良好契机。结合企业的实际情况，在涉及到具体的IT服务管理实施时，建议遵循以下五项原则：突出重点，逐步实施。切中要害，准确定义。适度调整，优化流程。选择工具，强化实施。与企业文化相符。 IT服务外包(IT Outsourcing Managed Service)就是把企业和个人的信息化建设或维护工作的全部或部分交给专业化的IT服务公司来做。对提供IT外包服务的企业来说，ISO20000是进入IT服务市场的一块敲门砖。 Gartner Group的调查发现，在经常出现的问题中，源自技术或产品 (包括硬件、软件、网络、电力失常及天灾等)方面的其实只占了20%，而流程失误方面的占40%，人员流失方面的占40%。流程失误包括变更管理没有做好、超载、没有测试等程序上的错误或不完整，人员疏失包括忘了做某些事情、训练不足、备份错误或疏忽等。 笔者公司信息化平台包括硬件平台、软件平台、网络平台。硬件平台包括逾1600台台式电脑、笔记本电脑、打印机、传真机、复印机等办公设备。软件平台包括常用办公软件、金蝶K/3 V12.2 ERP系统、金蝶HR系统、金蝶OA协同办公系统、CAXA设计和图文档管理系统、天盾文档系统、ESET NOD32网络版防病毒软件等。网络平台包括综合布线系统、网络规划和机房系统、监控报警系统、考勤门禁食堂一卡通系统、公共广播系统、办公电话系统。其中综合布线包括电脑信息点和电话语音点2000个，公司网络规划物理上分为内部网和外部网。结合公司快速发展的业务需要，ISO20000认证和应用能提高公司市场竞争力。 神州数码公司2006年通过ISO20000认证，其IT服务管理体系建设的成功实践经验：领导的大力支持和参与。不唯工具，不唯理论，要与公司实际情况相结合。循序渐进，不断提高。流程优化，系统固化。要与KPI、SLA严格挂钩，才能保障顺利执行。对于IT工程师，要大力加强培训、引导和岗位KPI、SLA设定的要求。 通过IT运维管理流程化、运维工作标准化、运维团队专业化的建设，将成功实现对信息运维服务水平的管理，实现知识经验的积累和共享。通过合理调配系统及人力资源，不仅提高故障应急处理能力，也使运维工程师从繁重而重复的事件处理中解脱出来，运维团队逐步向专业化发展。创建一个可知可控的IT环境，从而保证企业用户信息系统的各类业务应用系统的可靠、、持续、运行。