Guidance for Regulatory Authority Assessors on the Method of Assessment for MDSAP Auditing Organizations
文件编号: IMDRF/MDSAP WG/N8
INFO
This content has been machine-translated from the English original.
全文
针对MDSAP审计机构的评估方法指导,供监管机构评估人员参考
Document Number: IMDRF/MDSAP WG/N8
IMDRF/MDSAP WG/N8 最终版:2015
最终文档
国际医疗器械监管论坛
标题: 针对MDSAP审计机构的评估方法指导,供监管机构评估人员参考
编写组: IMDRF MDSAP 工作组
日期: 2015年10月2日
东志幸·富米,IMDRF主席
本文件由国际医疗器械监管论坛制作。对本文件的复制或使用没有限制;然而,将本文件(部分或全部)纳入其他文件,或将其翻译成其他语言,并不代表国际医疗器械监管论坛的认可。
© 2015年 国际医疗器械监管论坛 版权所有。
目录
1.0 范围 5
2.0 参考文献 5
3.0 定义 6
4.0 评估审计机构流程的指导 6
4.1 流程:管理 7
4.2 流程:使用外部资源 19
4.3 流程:测量、分析和改进 23
4.4 流程:能力管理 31
4.5 流程:审计和认证决策流程 39
4.6 流程:信息管理 46
附录 50
序言
本文件由国际医疗器械监管论坛 (IMDRF) 制作,IMDRF 是一群来自世界各地的医疗器械监管机构的自愿组织。
本文件不受任何限制,可以复制、分发或使用;但是,将本文件(或其任何部分)包含在其他文件中,或将其翻译成其他语言,并不代表国际医疗器械监管论坛的任何形式认可。
引言
这是一份由国际医疗器械监管论坛(IMDRF)制定的多份文件中,旨在实施医疗器械单一审计计划(MDSAP)的概念。这两份文件,即IMDRF/MDSAP WG/N3 – “医疗器械审计机构的监管机构认可要求”和IMDRF/MDSAP WG/N4 – “审计机构的资质和培训要求”,是互补文件。这两份文件N3和N4,侧重于审计机构及其在各自的监管辖区,根据相关的医疗器械立法、法规和程序,进行监管审计和其他相关职能的个人所应满足的要求。
另外两个文件,即 IMDRF/MDSAP WG/N5 – “监管机构评估医疗器械审计机构的评估方法”和 IMDRF/MDSAP WG/N6 - “监管机构评估人员的资质和培训要求”,是互补文件。这两个文件 N5 和 N6 侧重于监管机构及其评估人员如何评估或“评估”医疗器械审计机构,以符合 IMDRF/MDSAP WG/N3 和 N4 文件中规定的要求。
本文件与 IMDRF/MDSAP WG/N5 和 N6 文件互补。IMDRF/MDSAP WG/N8 – “针对MDSAP审计机构的评估方法指导,供监管机构评估人员参考”为监管机构评估人员在根据 IMDRF/MDSAP WG/N5 第 6 章中呈现的方法评估审计机构时提供指导。
此外,IMDRF/MDSAP WG/N11 – “MDSAP 审计机构的评估和决策流程” 规定了一种方法,用于“评估”由监管机构对审计机构进行的评估所产生的不符合情况,并记录识别审计机构或撤销识别的决策流程。
IMDRF/MDSAP WG/N24 – “医疗器械单一审计计划 (MDSAP): 医疗器械监管审计报告” 描述了向监管机构提交的 MDSAP 医疗器械监管审计报告的格式和内容。 审计报告作为审计团队确定符合特定要求的程度的书面记录。 它使审计机构能够以一致的方式记录制造商符合 MDSAP 审计标准的证据,并促进监管机构之间的信息交换。
本 IMDRF MDSAP 文档集合提供基本构建模块,通过提供一套通用的要求,供监管机构用于认可和监督执行监管审计和其他相关职能的实体。请注意,在某些司法管辖区,认可过程被称为指定、通知、注册或认证。
IMDRF开发MDSAP,旨在鼓励和支持全球监管体系的整合,在可行的情况下。它旨在在监管机构保障其公民健康以及避免对审计机构或受监管行业造成不必要的负担的责任之间取得平衡。IMDRF的监管机构可以在其法律要求的情况下,在此文档之外添加额外的要求。
为了防止制造商由审计机构内部的审计员进行的审计与医疗器械监管机构评估员进行的审计机构的审计之间的混淆,本文件中,后者的行为被定义为“评估”。
范围
本文件提供了参考 IMDRF/MDSAP WG/N5 文档第 6 节中描述的基于过程的评估方法的指导。
针对特定医疗器械监管审计计划的评估方法可能考虑到该计划中涉及的司法管辖区中的额外要求。
参考文献
IMDRF/MDSAP WG/N3 – 医疗器械审计机构的认可要求
IMDRF/MDSAP WG/N4 – 审计机构的资质和培训要求
IMDRF/MDSAP WG/N5 – 监管机构评估医疗器械审核机构的评估和监测方法
IMDRF/MDSAP WG/N6 – 监管机构审核人员的资质和培训要求
IMDRF/MDSAP WG/N11 – 审核机构的认可评估和决策流程
IMDRF/MDSAP WG/N24 – 医疗器械单一审计计划 (MDSAP): 医疗器械监管审计报告
IMDRF/MDSAP WG/N29 – 用于 MDSAP 认可目的的“法律实体”术语的澄清
ISO/IEC 17000:2004 – 适性评估 – 词汇和一般原则
ISO/IEC 17021:2011 – 适性评估 – 为提供管理体系审核和认证的机构的要求
GHTF/SG1/N78:2012 – 医疗器械的适性评估原则
GHTF/SG3/N19:2012 – 质量管理体系 – 医疗器械 – 用于监管目的和信息交换的非符合等级系统
定义
3.1 审计:一项系统、独立的、有记录的过程,用于获取记录、事实陈述或其他相关信息,并以客观的方式评估,以确定是否满足了指定的要求。(ISO 17000:2004)
3.2 审计机构:对医疗器械制造商进行质量管理体系要求和其他医疗器械法规要求的审计的组织。审计机构可以是独立的组织或监管机构,它们可以进行监管审计。
3.3 监管机构:政府机构或其他实体,拥有在其管辖范围内控制医疗器械使用或销售的法律权利,并且可以采取执法行动,以确保在其管辖范围内销售的医疗产品符合法律要求。(GHTF/SG1/N78:2012)
关于评估审计机构流程的指导
本部分按照 IMDRF/MDSAP WG/N5 – 第 6 节中描述的流程和评估任务的顺序进行组织,并提供对每个评估任务的指导。
当评估人员发现不符合时,应遵循 IMDRF/MDSAP WG/N11 – 第 6.1 和 6.2 节的要求。
流程:管理
N5 任务 6.1.4.1 – 审查法律责任、责任和融资方面的文件。验证作为潜在审计机构的资格。
适用要求
ISO/IEC 17021:2011 第 5.1.1、5.3.1、5.3.2 条
IMDRF/MDSAP WG/N3 条款:5.1, 5.1.1, 5.1.2, 5.1.3, 5.3.1, 5.3.2
- 法律实体
指导
重要的是,评估团队必须准确理解审计机构所属的法律实体。尤其是在复杂情况下,例如审计机构隶属于更大的集团,集团内法律实体的界定可能会影响公正性、签订合同的能力以及使用外部资源。
法律实体的类型以及法律实体的注册含义可能因地区或国家特定的法律法规而异。
申请人必须明确界定法律实体的范围,并确定一个具体的地址,该地址是负责MDSAP认可项目的管理人员所在。 (参见IMDRF/MDSAP WG/N29)
典型证据
关于审计机构所属的法律实体、其组织结构、所有权以及控制该实体的法律或自然人的信息。这些信息包括审计机构公开提供的文件(例如网站或宣传材料)、官方文件(例如公司注册记录或保险单)或其他内部文件。
- 财务稳定性
指导
评估人员应验证审计机构是否拥有足够的资源来支持其运营,并使其能够满足认可标准。
分析收入来源也很重要,以评估其独立性。
审计机构的业务应具有足够的多元化,以避免单一客户的损失严重威胁其财务稳定或损害公正性。
典型证据
年度报告、收费结构等。
- 责任保险
指导
审计机构必须提供证据,证明其使用的方法来评估其活动的风险,并用于确定保险水平。
监管机构的评估人员应确保符合要求的事项得到记录,包括:
覆盖范围内的地理区域;
针对受审计的各种医疗设备的风险评估;和
开展医疗器械监管审计的活动范围。
如果审计机构声称其责任已通过与相关法律实体达成的协议进行保障,则该审计机构应记录这些协议如何满足上述要求中的各项要素。
典型证据
风险评估的记录、向保险公司提供的信息记录、保险证明。
- 资格
指导
虽然现场评估不太可能揭示对审计机构的法律判决,但评估团队仍应就此事向审计机构了解其历史。
典型证据
口头确认。
N5 任务 6.1.4.2 – 验证质量手册和所需的管理体系文件已定义并记录。
适用要求
ISO/IEC 17021:2011 第 10.1、10.2.1、10.2.2、10.2.3、10.3.1、10.3.2 条
IMDRF/MDSAP WG/N3 条款:6.1.2、6.1.4、6.1.5、6.1.7、10.1.1
指导
大多数审计机构提供广泛的管理体系认证服务,这些服务范围超出医疗器械监管审计方案。评估人员应验证审计机构的管理体系是否明确标识适用于医疗器械监管审计方案的各项要素。
审计机构的管理体系文件应说明审计机构声称符合的文档或要求,包括法规、标准和指令。审计机构的管理体系必须明确说明其是否满足 ISO/IEC 17021 第 10.1 节的选项 1 或 2。
审计机构的管理体系应适合于其审计活动的性质和规模。该管理体系应能够支持和确保与医疗器械的审计和认证计划适用的要求的一致性。
典型证据
质量手册以及一份与质量管理体系的实施、维护和操作相关的文档清单,该文档清单将满足 IMDRF 文档 N3 和 N4 的要求。
N5 任务 6.1.4.3 – 验证在组织内的相关职能和层级上是否已制定质量政策和目标。确保质量目标可衡量,并与质量政策保持一致。确认已采取适当措施以实现质量目标。
适用要求
ISO/IEC 17021:2011 第 10.3.1、10.3.5 条
IMDRF/MDSAP WG/N3 条款:不适用
指导
虽然术语“质量政策”在 ISO/IEC 17021 或 IMDRF/MDSAP WG/N3 中没有明确使用,但审核机构的最高管理层应表达其与满足医疗器械监管审计方案要求的总体意图和方向。
审核员应验证,审核机构的最高管理层确保,与其它管理体系政策一样,质量政策在组织的所有层级上进行沟通和理解。
审核员应验证,审核机构基于关键参数来制定质量目标,这些参数与医疗器械监管审计方案的要求符合。质量目标与关键指标相关,这些指标与审核机构进行计划的医疗器械监管审计的能力以及做出明智决策的能力有关(例如:确保能够获得足够数量的合格审计员和技术专家以履行审计义务;以及为特定技术领域/产品,根据审计数量,具备相应资质的审计员等)。
一个质量目标应以可衡量的目标或准表示,以便反馈到管理体系中,以确保有效实施。
典型证据
记录化的政策和目标,可能包括:及时提交的审计报告数量、在审计后指定时间内,及时做出制造商符合监管要求的决定、及时调查和处理投诉等。
N5 任务 6.1.4.4 审查审计机构的组织结构和相关文件,以验证其是否包含对职责和权限的规定。 这必须包括识别负责以下职能:整体项目;及时与监管机构进行信息交换;以及确保质量管理体系的要求得到有效建立和维护,向高级管理层报告质量管理体系的绩效,以及任何改进的需求。
适用要求
ISO/IEC 17021:2011 第 6.1.1、6.1.2、6.1.3、6.2.2、7.2.1、7.2.3、10.3.1 条
IMDRF/MDSAP WG/N3 条款:5.1.3, 6.1.5, 6.1.6, 7.1.4, 8.7.1
- 组织结构
指导
评估员应验证审计机构是否已记录其组织结构,以识别不同的职位或角色、其职责和权限以及它们之间的相互关系。 评估员不仅需要理解审计机构的内部组织结构,还应了解该机构与外部资源的互动方式。
- 高级管理层
指导
作为组织结构审查的一部分,评估员应识别审计机构高级管理层中负责以下职能:
实施和报告管理系统的绩效;
进行审计;
决定是否符合监管要求;
与医疗器械制造商和外部资源签订合同;
响应和调查投诉;
与监管机构及时交换信息。
高级管理层还承担其他职责,这些职责将通过其他评估任务进行评估。
审计机构应确保高级管理层的薪酬不取决于审计结果。 否则,这会影响审计机构的公正性。
典型证据
组织图、工作描述、管理系统程序等。
- 职责和权限
指导
审计机构可以以不同的方式记录参与审计和决策过程的每个人的职责和权限,包括职位描述、流程描述、程序、个人任务、项目计划等。
为了符合 IMDRF/MDSAP WG/N11 的 MDSAP 认可要求,申请获得认可的审计机构应被视为具有法律效力的实体,并且负责 MDSAP 认可计划的管理人员在此工作。
对MDSAP项目的管理团队直接负责、管理并拥有以下权限:
与医疗器械制造商签订合同(包括 N3 – 5.1.4、5.1.5 条款的要求);
确定任何内部或外部审计员或技术专家的能力要求,以便他们执行特定的活动(N3 – 7.5.1);
对符合法规要求的最终审查和决策(N3 – 7.5.1)。
以下列出的活动不能委托给申请人的法律实体,即使委托给相关组织或子公司。在MDSAP认可计划下,这些相关组织或子公司将被视为独立的法律实体。
(请参见 IMDRF/MDSAP WG/N4。)
与其他评估任务的关联
组织结构可能会受到审计机构法律实体(参见 N5 任务 6.1.4.1)的定义影响。
N5 任务 6.1.4.5 – 验证审计机构是否已分析审计人员(包括技术专家和团队负责人)以及相关人员的充分性,以确保其能够覆盖所有活动,并处理审计工作量。
适用要求
ISO/IEC 17021:2011 第 7.2.2 条
IMDRF/MDSAP WG/N3 条款:不适用
指导
评估人员应验证,审计机构应定期分析审计计划的需求,包括对审计人员的能力数量和范围的评估,同时考虑当前被审计的医疗器械制造商的数量和特征,以及预期的变化、审计实践/要求的演变、已识别出的需要额外资源/能力/专业知识的问题、其资源的地理位置和客户、获取新能力所需的时间(无论是数量还是类型等)。
这种分析对于确保审计机构在认可范围内提供审计和认证服务的能力至关重要。
指标可能包括:
审计延误
与计划安排相比,审计时间缩短
安排了能力不足的审计人员
最终报告交付延迟
颁发认证文件的延迟
典型证据
分析报告
N5 任务 6.1.4.6 - 验证审计机构是否已定义并实施了管理公正性的程序。
适用要求
ISO/IEC 17021:2011 条款:5.2.1 至 5.2.13、5.3.2、6.2.1 至 6.2.3、7.3、7.5.2
IMDRF/MDSAP WG/N3 条款:5.2.1 至 5.2.10、6.2.1、7.1.6、7.3.1、9.1.3
- 影响公正性的潜在风险来源
指导
审计机构必须确保其决策基于在认证/审计活动中获得的客观符合证据,并且不受其他利益相关者或方的影响。
评估人员应验证审计机构在各个层面都建立了公正性和独立性,具体包括:
组织结构及其与上级(母公司)、同级或下级(姐妹)组织的关系;
参与审计和决策相关活动的个人关系,包括高级管理人员;
审计和决策相关活动的政策、流程和程序;
影响公正性的潜在风险来源可能来自多个来源,包括:
提供的其他服务或审计机构的其他活动和利益;
参与审计和决策过程的个人或机构的活动或利益,包括外部审计人员和外部技术专家;
审计机构与其他机构的关系。
如果审计机构自身的流程,未能充分使审计机构能够识别和减轻实际利益冲突或预防潜在利益冲突;
审计对象制造商可能对审计机构的影响;
其他外部利益相关方(例如,大型招标、疫情、短缺)可能对审计机构的影响。
参与审计活动的员工的报酬,不应取决于所进行的评估的数量或结果。
组织的所有权(例如,客户作为所有者或共同所有者);
对组织方向的影响(例如,客户在董事会中代表)。
典型证据
关于报酬:收入或绩效目标、绩效评估、合同
- 咨询服务对公正性的威胁
指导
根据 IMDRF/MDSAP WG/N3 的要求,审计机构不得向制造商、其授权代表、供应商或商业竞争对手提供关于产品或被审计流程的设计、制造、建造、营销、安装、使用或维护方面的咨询服务。
审计机构公正性的重大威胁来自于管理系统审计和咨询服务的不一致性,即使咨询服务是由同一企业的独立部门或法律上独立的实体提供的。在医疗器械监管审计的背景下,同一提供审计服务的法律实体不得提供医疗器械监管咨询服务。
咨询服务包括:
质量管理系统(或良好生产规范);
医疗器械的营销授权和设施注册;
报告医疗器械不良事件和咨询通知;以及
针对公司或产品的特定培训。
示例:
a) 准备用于提交营销授权申请的文件(例如,设备许可证申请文件、上市前通知文件、上市前批准提交文件、技术文件、设计文件等),但不包括符合认可的标准或特定预先建立的协议的测试报告。
b) 根据监管机构在检查中识别的质量管理系统缺陷,提供具体的建议、指导或解决方案。
c) 准备或制作质量管理系统手册或程序;
d) 提供关于质量管理系统的开发和实施的特定建议、指导或解决方案;以及
e) 作为临床研究组织,为临床研究方案的准备提供服务。
反例:
a) 对设备或设备进行测试或校准,并根据认可的标准或特定预先建立的协议,出具相应的报告,只要该组织不提供针对测试或校准检测到的缺陷的具体建议、指导或解决方案。
b) 根据初始检查的要求,提供模拟审计、预评估审计或差距审计,包括审计报告。审计机构不得提供关于如何处理不符合、观察和差距的建议或建议;制造商不得将审计结果作为内部审计的替代品。此外,任何因此类审计而产生的不符合情况,必须在对初始审计中识别的不符合情况进行分级时包含(参见 IMDRF N3 项目 9.2.5);
c) 作为制造商实施的临床研究的临床研究组织。
d) 安排培训并作为培训者参与,或交换技术或法规信息,不被视为咨询服务,但前提是,如果课程或交换的信息与管理系统、其他医疗器械的技术或法规要求,或审计相关,则仅限于提供通用信息,而不能提供针对特定公司的解决方案。
任何在 ISO/IEC 17021 和 IMDRF/MDSAP WG/N3 中对管理系统咨询的引用,都应被解释为医疗器械法规咨询。
(参见附录,了解 ISO/IEC 17021:2011 和 IMDRF/MDSAP WG/N3 的要求附加解释。)
典型证据
组织结构、网站、广告、与外部资源的合同协议。
与其它评估任务关联
另请参见 N5 任务 6.3.4.1
- 组织层面
指导
作为法律实体,审计机构必须分析其提供的服务,并确保其活动不会在审计和决策中引入偏见。
审计机构需要从所有对审计活动结果感兴趣的各方获得独立性,包括被审计的制造商、其代表、供应商、进口商、客户和竞争对手。
审计机构不得承诺以费用加速审计流程。这种做法被视为诱导,并可能损害审计机构在适当条件下进行审计和审查审计结果的能力。
审计机构可以通过转介绍获得业务。转介绍可能会揭示审计机构与对使用审计机构审计和认证服务的医疗器械制造商具有不可接受利益的外部个人或组织之间的关系。
典型证据
组织结构、网站、广告、收费结构。
- 个人层面
指导
政策、程序、培训以及对行为准则的个人承诺(参见 IMDRF/MDSAP WG/N3 7.1.6)确保参与审计和认证决策过程的个人了解不当行为。审计机构应了解可能影响所有参与审计和认证决策过程的个人的潜在利益冲突,并制定相应的政策以减轻这些冲突。
任何由医疗器械制造商雇佣,并且可能被考虑作为审计员的个人,将由监管机构视为利益冲突或至少是利益冲突的表象,从而构成对公正性的威胁,从而禁止该个人参与医疗器械监管审计。
任何参与医疗器械测试的个人,不应参与对该设备的质量管理体系审计。
典型证据
政策、程序、培训材料、人员档案以及对行为准则的个人承诺(参见 IMDRF/MDSAP WG/N3 7.1.6)。
- 政策、流程、程序和实践
指导
评估员应验证,审计机构已发布公开声明,表明它了解在进行审计和认证决策活动时,公正的重要性,并且它监控和解决任何潜在或实际的利益冲突。
审计机构的流程和程序必须确保,任何对公正性的威胁都应被识别、记录、分析并有效管理。当审计机构将审计相关活动中的部分工作外包时,应制定相应的程序,以确保外部组织的利用不会影响其公正性。
一个仅依赖参与合规评估的人员签署的声明来识别和监控潜在利益冲突的审计机构,并且不保留过去和当前咨询活动的更新记录,将(a)未能实施有效的系统(因为将无法进行验证),以及(b)在人员就职前记录咨询活动,这都是 IMDRF/MDSAP WG/N3 第 5.2.2 和 5.2.4 条的要求。
审计机构应采取措施,防止向提供医疗器械制造商提供审计服务的机构,尤其是在过去三年内(参见 N3 5.2.3),该制造商曾从审计机构、员工或外部资源处获得医疗器械咨询服务。如果对医疗器械制造商的质量管理体系进行了模拟审计、预评估审计或差距审计,则审计机构的管理体系应确保后续的初始审计由独立的审计团队进行。
政策、流程和程序必须确保个人不审查自己的工作。特别是,审计人员不得决定他们已经审计的质量管理体系是否符合要求。
审计团队(特别是首席审计员)的组成应随着时间的推移而变化,至少每三年一次,以防止不合理的熟悉风险。
典型证据
记录一个在计划间隔内监控公正性的过程。
提供任何可能构成利益冲突的过去或现在关系的证据。
与其它评估任务关联
参见 N5 任务 6.4.4.6
- 公正性保障委员会 (Impartiality Committee)
指导
审计机构必须成立一个公正性保障委员会。ISO/IEC 17021 提供了关于该公正性委员会的详细要求。该委员会应了解医疗器械监管方案的具体要求。
典型证据
评估人员可以通过以下方式验证公正委员会的活动:
- 审查公正委员会及其活动的议程、会议记录或其他文件;
- 检查会议参与情况(包括必要的技术或其它专业知识),以及/或
- 审查委员会成员的文件和会议记录,以确定成员是否已收到关于审计机构(包括结构、业务和认证流程)以及MDSAP项目的基本信息的。
与其他评估任务的关联
应评估对公正性的威胁,同时考虑审计机构的法律实体(参见N5任务6.1.4.1)和审计机构的组织结构(参见N5任务6.1.4.4)。
N5任务6.1.4.7 验证管理层是否按照计划的时间进行审查,并包括对质量政策、质量目标和管理体系的审查,以确保质量管理体系符合ISO/IEC 17021:2011和IMDRF/MDSAP WG/N3和N4的所有适用要求。
适用要求
ISO/IEC 17021:2011 条款:10.2.4、10.3.5
IMDRF/MDSAP WG/N3 条款:不适用
指导
评估人员应验证,审计机构的管理审查程序应明确指定参与者、角色和职责、频率(至少每年一次)、议程输入和产出。
该程序还可以指定:
讨论的标准议题(允许添加独特的议题);
参与管理评审的必要参会人员以及决策的法定人数;
管理评审的目标,包括对实现声明目标的进展的评审;
管理审查产生的行动项如何记录(包括责任和截止日期;指定使用的跟踪工具,如果适用),以及直至完成为止的跟进(包括在随后的管理审查期间的审查);以及
测量、分析和改进过程的相关输出,例如纠正和预防措施。
可能影响质量管理体系的变更可能包括对以下任何变更:
认可标准,或
适用于医疗器械制造商的法规要求,并影响审计机构的审计计划或实践;
评估人员应验证,管理审查产生的行动项如何记录(包括责任和截止日期;指定使用的跟踪工具,如果适用),以及直至完成为止的跟进(包括在随后的管理审查期间的有效性审查);
管理审查可能涵盖超出医疗器械法规审计方案的活动。 预计管理审查应提供、总结和分析足够的信息,以便管理团队评估与医疗器械法规审计方案相关的活动在实施、绩效、符合性和有效性方面的表现。
管理审查的产出应包括关于审计人员和人员是否足以覆盖所有活动,以及处理审计工作量的决定和行动。
典型证据
管理评审记录应记录评审的日期、参与人员和结果,包括对审计机构管理体系的适用性、充分性和有效性的结论。
与其他评估任务的关联
评估管理评审的输入应包括(参见 N5 任务 6.1.4.4),审核人员的充分性分析(参见 N5 任务 6.1.4.5),以及管理客观性的结果(参见 N5 任务 6.1.4.6)。
流程:利用外部资源
N5 任务 6.2.4.1 – 确定审计机构何时以及如何利用外部资源。 验证审计机构实施的用于利用外部资源的控制措施,是否涵盖了专业能力、客观性、保密性和利益冲突。
适用要求
ISO/IEC 17021:2011 条款:7.5, 8.5.1
IMDRF/MDSAP WG/N3 条款:5.2.7, 7.2.1, 7.5.1, 7.5.2, 8.5.1, 8.5.2
指导
- 通用
审计机构可以使用外部资源,但前提是不得将以下任何一项责任委托给审计机构的管理体系之外:
与医疗器械制造商签订合同;
确定审核人员或技术专家的特定活动所需的能力要求;以及,
对符合法规要求的最终审查和决策。
审计机构应确保外部资源的利用不会损害其:(1) 对制造商符合法规的独立审查和决策的能力;以及,(2) 证明符合认可标准的能力。
外部资源的利用程度是审计机构的重要特征。 外部资源的利用在控制向医疗器械制造商提供的服务以及控制审计机构的客观性和遵守行为准则方面带来了更大的挑战。
对外资源的控制应涵盖对个人或组织作为资源的资质评估,以及将特定的审计活动分配给该外部资源。
- 外部人员
外部资源可以是个人(例如,合同审计师或技术专家),也可以是组织(例如,在不同医疗器械监管审计方案下获得认可的审计机构)。
审计机构确保外部审计师或外部技术专家的适宜性通常包括:(1) 对个人资质的评估和持续监测;(2) 培训,使个人了解审计机构的流程和程序;以及(3) 评估潜在的不影响公正性。
- 外部组织
外部组织是指不隶属于审计机构管理体系的组织。
审计机构确保外部组织适宜性的过程通常包括以下考虑因素:
外部组织代表审计机构提供的服务的性质和范围;
如果适用,外部组织提供的额外服务(例如,联合审计)对客户的影响;
潜在的利益冲突和其他可能影响审计机构公正性的因素,例如:
外部组织提供的服务或产品的范围;
外部组织的组织结构和所有权;以及
外部组织高管的个人利益;
可用于代表审计机构开展活动的内部和外部人力资源;
基础设施,包括信息系统。
外部组织用于提供服务的个人具备的专业能力和公正性;
外部组织实施的流程,以及这些流程与审计组织流程的兼容性;
审计组织控制和监督其委托外部组织所进行活动的的能力;
获得与服务执行相关的记录的途径。
对这些信息的评估,包括任何担忧及其解决,以及批准外部组织作为资源的理由,应进行记录。
审计机构与外部组织的关系可能是一种合作关系,在这种关系中,双方可能负责各自的审计方案,制造商将接受联合审计。例如,一个审计机构可以作为欧洲的“指定机构”,而另一个可以作为日本的注册认证机构。在这种情况下,每个组织可以就被审计的质量管理体系的符合性做出独立的决定。审计机构必须确保外部组织做出的决定不会损害其独立评估和就被审计的质量管理体系符合相关法规要求的能力。
在定期基础上,审计机构应重新评估外部组织的满足合同协议和期望的能力。
评估人员应验证,审核机构应实施经过记录的安排(例如,谅解备忘录或合同协议),与外部资源建立合作关系。
典型证据
组织结构、与外部个人和外部组织的合同安排以及能力评估记录。
与其他评估任务的关联
对外部资源能力的评估包括识别潜在的不公正性威胁(参见 N5 任务 6.1.4.5)。
N5 任务 6.2.4.2 – 验证审计机构是否与外部资源签订了合同。 这些安排应允许认可的监管机构评估或观察外部资源的活动。 这些安排应包括外部资源承诺,以遵守审计机构的要求和规定,确保保密性和公正性。
适用要求
ISO/IEC 17021:2011 条款:5.1.3、7.3、7.5、8.5.1
IMDRF/MDSAP WG/N3 条款:5.2.7, 7.1.6, 7.2.1, 7.3.1, 7.3.3, 7.5.1, 7.5.3, 8.5
指导
评估人员应验证,合同安排不得使已在N5任务6.2.4.1中标识的职能委托给外部资源。
评估人员应验证,合同安排是全面的,并且得到充分的实施。
- 外部审计员和外部技术专家
由于外部审计员或外部技术专家可能还从事其他专业活动(包括咨询活动),因此在分配给特定的审计活动之前,外部审计员或外部技术专家应确认不存在任何利益冲突。
合同安排应由审计组织的最高管理层进行记录和批准。 审计组织在合同安排达成之前,不得将任何活动分配给外部审计员或外部技术专家。
- 外部组织
合同安排应由审计组织的最高管理层进行记录和批准。 审计组织在合同安排达成之前,不得将任何活动分配给外部组织。
典型证据
合同安排,可能识别外部个人的合格人员清单,如果可用,则外部组织清单。
N5任务6.2.4.3 - 验证审计组织是否具备充分的内部能力,以审查外部资源所执行活动的成果和适当性,并验证提供的客观证据的有效性,以便做出决策。
适用要求
ISO/IEC 17021:2011 条款:不适用
IMDRF/MDSAP WG/N3条款:7.3.2, 7.5.2
指导
审计机构对委托审计活动的可靠性,只有在审计机构内部具备足够的专业能力来指导审计活动时,才能获得。这包括:验证外部技术专家的意见的适当性和有效性,验证外部资源的专业能力;对委托活动的结果进行批判性评估;以及理解研究结果和结论的意义。
如果缺乏这种内部能力,审计机构将盲目依赖外部审计员、外部技术专家或外部组织的结论和建议来做出认证决定。这相当于将认证决定委托给他人。这种委托是不被接受的,因为它不会满足 N3 第 7.2.1 条的要求。
评估员应评估审计机构对外部资源的专业能力要求,并验证审计机构是否能够证明其具备足够的内部能力来验证外部资源提供的客观证据的适当性和有效性。
典型证据
评估员可以查看指定人员的资质文件,以确保能够证明其具备胜任指定职责的经验和能力。
过程:测量、分析和改进
N5 任务 6.3.4.1 – 验证审计机构是否制定了明确且记录的程序,用于衡量、监控、分析和改进审计机构管理体系的相关性、合规性、一致实施和有效性。
适用要求
ISO/IEC 17021:2011 条款:7.2.10, 7.5.4
IMDRF/MDSAP WG/N3 条款:6.1.4、7.1.6、10.1.1、10.1.3、10.1.4
指导
管理审查期间呈现的大部分数据都是测量、分析和改进过程的产出。
审计机构应具备收集和监控以下数据的程序:
利益冲突
审计人员的行为
审计人员的专业能力
审计和认证流程的实施
审计机构可以使用各种方法来收集这些数据,包括审查审计报告、现场审计、向被审计制造商征求反馈、内部和外部审计和评估,以及记录来自被审计制造商或用户(包括由监管机构编制的)的未 solicited 反馈。
这些程序应使审计机构能够检测到个别不符合或潜在的不符合情况,以及不利趋势。
评估员应验证审计机构是否具备处理任何不符合和潜在不符合情况的程序,包括调查其原因,以及确定适用的纠正措施、改进措施和预防措施。
典型证据
这些流程和由此产生的记录。
与其他评估任务的关联
监测、分析和改进流程为管理评审(参见 N5 任务 6.1.4.7)提供输入。
N5 任务 6.3.4.2 – 确定审计机构是否已监测适当的数据来源和流程,以识别实际和潜在的不符合情况。这些数据应包括内部审计、外部评估、投诉以及使用外部资源。确认监测和测量活动涵盖审计人员的专业能力、审计绩效、符合法规要求的决策以及在整个能力管理和审计及决策流程中遵守行为准则。
适用要求
ISO/IEC 17021:2011 条款:5.2.10, 7.1.3, 7.2.10 – 7.2.12, 7.5.4
IMDRF/MDSAP WG/N3 条款:5.2.4、6.1.5、7.1.3、7.1.6、10.1.3、10.1.4
- 数据来源
指导
审计机构有责任确定适当的监测和分析活动。
数据来源应至少包括:
投诉;
来自内部或外部审计的不符合性,以及其他来源;
申诉;
审计人员、技术专家、审核员和其他人员的能力和行为;
审计绩效符合计划安排;
纠正措施。
评估人员应注意在多个数据来源中出现的质量问题。 审计机构必须充分了解质量问题的全貌。 例如,在投诉或客户反馈中发现的审计不符合情况应与在组织分析来自其他数据来源(如审计人员能力评估报告、审计报告审查记录、内部审计报告等)的数据中的类似不符合情况进行比较。
典型证据
请参见上方的清单
- 数据分析
指导
审计机构拥有使用任何适当的分析方法的灵活性,以识别现有和潜在的非符合性或其它质量问题的根本原因。但是,在必要时,审计机构应使用适当的统计方法来检测潜在、新兴或反复出现的质量问题。审计机构不应使用统计数据来减轻问题或避免解决问题。
典型证据
由此产生的记录。对数据的分析的额外记录。
N5 任务 6.3.4.3 – 确定是否对已检测到的非符合性以及尽可能识别潜在非符合性,进行调查以确定根本原因。确认调查与非符合性的风险相符。确认,在适当的情况下,已确定、实施、记录、有效且未对进行的审计和决策产生不利影响,包括纠正措施、纠正措施和预防措施。评估纠正措施和预防措施是否适合已遇到的或潜在的非符合性风险。
适用要求
ISO/IEC 17021:2011 条款:10.3.7, 10.3.8
IMDRF/MDSAP WG/N3 条款:不适用
指导
评估人员应验证审计机构的程序,确保对用于检测现有或潜在非符合性的数据进行分析并有效响应(如果适用)。
当审计机构检测到非符合性时,必须调查、确定并记录:
非符合性的根本原因;
对控制或限制非符合性影响所需的任何_纠正措施_;
预防非符合性再次发生的任何_纠正措施_。
潜在的非符合性不需要纠正;但是,审计机构仍必须调查、确定并记录:
潜在非符合性的根本原因;
任何必要的 预防性措施,以防止不符合情况的发生。
审计机构对质量问题的调查深度应与风险相符。 评估团队应注意不符合情况对审计的可靠性和审计机构做出的决策的可信度的风险。
考虑到审计机构提供的服务的性质,对不符合情况根本原因的调查结论不应仅限于“人为错误”,尤其是在存在此类人为错误的模式时。 评估人员应验证审计机构是否评估此类人为错误是否源于缺乏(或无效)的培训、能力不足、不良实践或其他原因(例如缺乏有效的监督)。
对不符合情况的调查应包括确定不符合情况是否会影响已向客户或任何监管机构发布的认证文件或审计成果。
不符合情况可能并不总是需要进行纠正和纠正措施。
如果质量问题已由审计机构识别并调查,并且审计机构已决定不采取任何纠正措施,则评估人员应验证记录中包含基于风险的理由,并由指定人员批准。
审计组织应及时实施其决定采取的行动,以纠正现有不符合情况,包括纠正和/或纠正措施。实施这些行动的时间——特别是旨在限制不符合情况影响的即时纠正——应与不符合情况的风险成反比。某些行动(特别是纠正措施)的广泛性,可能需要审计组织延长实施时间。
评估员应验证审计组织是否评估了已实施的纠正或预防措施的有效性。这些措施在进行评估并确认措施有效后,才应被视为完成。如果审计组织确定,纠正、纠正或预防措施无效,评估员应验证审计组织是否进一步调查如何解决最初的问题,以及,如果适用,导致措施无效的原因。
典型证据
与纠正、纠正措施和预防措施相关的记录。
与其他评估任务的关联
纠正和预防措施子系统的输出作为管理审查的输入(参见 N5 任务 6.1.4.7)。
N5 任务 6.3.4.4 – 确定审计组织的任何纠正措施是否需要向认可的监管机构报告,此类报告可能包括与其认可相关的变更)。
适用要求
ISO/IEC 17021:2011 条款:不适用
IMDRF/MDSAP WG/N3 条款:8.7.3, 8.7.4, 8.7.5
指导
评估人员应验证,如果纠正或预防措施会影响组织的认可(例如,法律、商业、组织或所有权状态;高级管理人员或关键人员;资源;或场所和关键位置),或者影响其运营流程(例如,向认可的监管机构提交的政策和程序,用于作为审计机构的认可申请),则审计机构应向认可的监管机构报告。
典型证据
纠正措施记录、能力记录、组织结构记录
N5 任务 6.3.4.5 – 验证是否存在流程,以确保不符合审计要求的审计被识别并管理,从而确保有足够的信息来做出符合监管要求的决策。确认已做出适当的决策,并进行了充分的证明和记录。
适用要求
ISO/IEC 17021:2011 条款:9.1.15 a), 10.2, 10.3
IMDRF/MDSAP WG/N3 条款:9.1.1, 9.1.2, 10.1.3
指导
如果审计机构在对审计结果的最终审查中确定,制造商做出符合性决定的前提信息不完整或存在错误,则评估人员应验证,是否已记录并解决不符合性问题,然后再做出决策。
解决审计机构的不符合性问题可能需要在做出决策之前进行额外的审计。
典型证据
客户文件、审计决策审查记录,如果可用。
N5 任务 6.3.4.6 – 确认,当在报告发布后或在确认符合监管要求后发现不符合情况时,应采取适当的措施,以应对不符合情况的风险或潜在风险。 确认已向认可的监管机构发出适当的通知。
适用要求
ISO/IEC 17021:2011 条款:10.2, 10.3
IMDRF/MDSAP WG/N3 条款:8.7.3, 8.7.4, 9.6.1
指导
如果发现影响审计、审计报告或制造商符合监管要求的决定的不符合情况,并在与认可的监管机构分享决策后被认可;审计机构应确定是否需要修改审计报告或决策。
如果审计机构决定修改审计报告、制造商符合监管要求的决策或与认可的监管机构分享的其他任何信息,应通知认可的监管机构和制造商,并说明变更的原因(即不符合情况)。
制造商的合规性决策的修改可能包括暂停或撤销认证文件的有效性。
审计机构与认可的监管机构之间的沟通应使监管机构能够评估不符合情况对基于审计机构最初提供的审计信息而采取的监管行动的影响。 这可能包括营销批准以及执法行动。
典型证据
内部审计、投诉
N5 任务 6.3.4.7 – 验证内部审计是否按照计划安排和记录化的程序进行,以确保管理体系符合 ISO/IEC 17021:2011 的既定要求,以及 IMDRF/MDSAP WG/N3 和 N4 文档,以及任何其他适用的监管机构的要求。确认内部审计包含对被审计领域的审计人员独立性的规定、纠正措施、纠正行动、后续活动以及纠正行动的验证。
适用要求
ISO/IEC 17021:2011条款:10.3.6.1、10.3.6.2、10.3.6.3、10.3.6.4
IMDRF/MDSAP WG/N3 条款:10.1.4
指导
审计机构必须定期、独立和系统地检查其管理体系,以确定:
按照定义,管理体系是否符合所有适用的要求;
审计机构是否按照管理体系进行活动;
实施的管理体系是否产生预期的成果和结果,并且适合实现审计机构的质量目标。
内部审计可能不针对特定的医疗器械监管审计方案,但内部审计计划应充分覆盖该方案。至少,整个医疗器械审计方案应在认可周期内完成。
典型证据
记录应证明审计机构按照内部审计计划(包括其时间表)实施内部审计。
N5 任务 6.3.4.8 – 确认审核机构拥有有效的处理投诉、调查与投诉相关的不符合情况原因的流程,并提供向测量、分析和改进流程的输入。 验证已实施的程序要求审核机构将关于医疗器械制造商的任何投诉,这些投诉可能表明与医疗器械的安全性、有效性或公共健康风险有关的问题,转发给认可的监管机构。 确认这些程序的正确和及时实施。 评估投诉处理流程如何允许将信息转发到申诉流程。
适用要求
ISO/IEC 17021:2011 条款:9.7, 9.8
IMDRF/MDSAP WG/N3 条款:9.5.2.2, 9.8.1
指导
评估人员应验证投诉处理流程包括:
来自被审核制造商或认证文件的使用者的任何反馈,包括监管机构,声称审核机构未完全满足认可的所有要求(即来自 IMDRF/MDSAP WG 文档 N3 和 N4、ISO/IEC 17021 或任何特定于医疗器械监管审计方案的其他要求;以及,
来自认证文件使用者的任何反馈,包括监管机构,声称被审核制造商的产品不符合其规格,或制造商未能满足其质量体系和监管义务。
审计机构可以通过不同的渠道接收反馈。投诉可能源于更广泛的反馈,并且可能并非发件人明确指定为投诉。例如,应支持对审计机构决定的上诉,该上诉应包含制造商符合规定的重新考虑的理由。该理由可能包括声明,审计机构未履行其义务。
评估人员应验证,当与除认可监管机构以外的投诉人沟通时,审计机构不得泄露任何第三方的信息。
典型证据
投诉处理记录
与其他评估任务的关联
投诉的有效性确定可能属于对不符合规定的调查的一部分(参见 N5 任务 6.3.4.3)。
N5 任务 6.3.4.9 – 如果审计机构的调查确定,外部资源导致了不符合或投诉,则需要验证记录显示相关信息已在相关方之间交换。
适用要求
ISO/IEC 17021:2011 条款:9.8, 10.3.7, 10.3.8
IMDRF/MDSAP WG/N3 条款:不适用
指导
外部资源对于审计机构进行所有审计活动的能力至关重要。 外部资源不像内部资源那样直接受到控制,这增加了风险因素。
当外部资源导致不符合或投诉时,评估者应验证审计机构是否已告知外部组织有关不符合或投诉的情况。
评估者应确保审计机构已要求关于实施纠正措施的信息。
典型证据
关于纠正、纠正措施或投诉的记录
N5 任务 6.3.4.10 – 确定测量、分析和改进过程的相关输出是否作为管理评审的输入。
适用要求
ISO/IEC 17021:2011 条款:10.2.4、10.3.5
IMDRF/MDSAP WG/N3 条款:不适用
指导
评估者应确保审计机构使用测量、分析和改进过程的相关输出作为管理评审的输入。
典型证据
管理评审的记录。
与其他评估任务的关联
请参阅 N5 任务 6.1.4.7 关于管理评审。
流程:能力管理
N5 任务 6.4.4.1 – 验证审计机构是否已识别其认可范围所需的必要能力。 验证审计机构是否拥有获取相关技术专家的能力,以便就符合法规要求的决策提供建议。
适用要求
ISO/IEC 17021:2011 条款:7.1.1、7.1.4、7.2.1、7.2.9
IMDRF/MDSAP WG/N3 条款:6.1.1, 6.1.3, 7.1.1, 7.1.2, 7.1.3, 7.1.5, 7.2.1, 7.3.2
IMDRF/MDSAP WG/N4 条款:6, 8.1, 8.2
指导
- 组织的能力需求
评估者应验证以下内容:
审计机构应确定组织的各个层级以及所有参与审计和认证相关活动的职能所需的专业能力,以便作为一家被认可的审计机构运作。
审计机构应利用专家意见来识别这些能力。这些专家可以是内部的,也可以是外部的。所需的专业能力可能因审计机构寻求获得的特定技术领域范围、以及被审计的医疗器械制造商的数量和专业水平,以及其医疗器械而异。
审计机构应拥有适当的人力资源,包括专业能力和数量,以便作为审计机构运作。
如果审计机构有多个具有独立组织结构的地点,则所有地点都应始终适用相同的专业能力标准。
确定专业能力标准
评估者应验证,所记录的流程应涵盖:
分析制造商必须满足的,以便有效实施质量管理体系,以及与产品和制造流程以及其他法规要求相关的要求。该分析应考虑审计机构寻求获得的每个技术知识领域。
确定与产品/工艺相关的评估技术,以验证符合法规要求,以及这些技术在审计中可以评估的程度。
要求审计机构,以必要的知识、技能、行为、价值观和经验为基础,明确制定能力评估标准,以确保要求得到充分评估。 评估标准还可能包括分析和适应新情况的能力。 评估标准应允许对能力进行客观和可衡量的评估。(IMDRF MDSAP WG N4 - 附录 A 提供了一种技术知识分类方案的示例)
维护能力评估标准。
IMDRF/MDSAP WG/N4 第 6 节规定了审计员、技术专家、项目管理员和最终审核人员的先决教育和经验。
IMDRF/MDSAP WG/N4 第 8.1 节规定,在个人作为独立审计员或主导审计员进行审计之前,必须具备先决的审计经验。
IMDRF/MDSAP WG/N4 第 8.2 节规定,在确认技术专家能力的审查技术文档的先决经验。
某些能力评估标准可能适用于所有技术领域(横向标准)。 例如,所有医疗器械审计员都应具备在医疗器械法规、质量管理体系和应用于医疗器械的风险管理方面的能力。
相反,能力评估标准可能仅适用于特定技术领域(纵向标准)。 例如,并非所有医疗器械审计员都需要具备电气医疗设备或软件的安全性方面的能力。
如果审核机构将某些技术领域排除在应用到认可的监管机构(s)之外,则不应期望该审核机构拥有这些技术领域的合格审计员。 审核机构不得承诺对不具备其认可范围下所需能力的制造商进行评估。
对于每个功能,审核机构应确定可用于证明能力的标准,然后在评估其是否符合这些标准之前。
- 技术和监管专业知识
评估人员应验证审核机构是否拥有足够的技术专长,以满足其审核和认证相关的活动范围(例如,被审核的医疗器械、它们的性能和安全性、临床应用、制造以及适用于这些器械的法规)。
所需专长应用于以下目的:
在定义适当的审核和认证实践和流程的同时,提供指导;
在确保符合认可要求方面,指导审计机构的管理系统开发;
确定必要的能力标准,并对参与审计和认证的个人进行培训;
支持审计人员,无论是在线还是现场,在遇到审计过程中遇到的复杂问题时;以及
使审计机构能够对审计文件进行批判性审查,包括审计结果和制造商的回复。
在定义审计和认证实践和流程,以及审计机构的管理系统时,审计机构应考虑符合监管机构要求的指导文件。
- 利用外部资源以满足专业知识范围
确定能力需求的结果应作为选择外部资源和定义审计机构与外部资源之间的运营流程的输入。
典型证据
程序和能力标准
与其他评估任务的关联
请参见 N5 任务 6.1.4.4 (分析审计人员的有效性) 和 6.2.4.3 (用于验证外部资源工作所需的内部资源)
N5 任务 6.4.4.2 – 验证审计机构是否已定义、记录并实施了对审计人员、技术专家、项目管理员、最终审核人员以及参与审计和相关活动的个人的初始能力评估的程序和标准。
适用要求
ISO/IEC 17021:2011 条款:7.1.2、7.1.3、7.2.4、7.3、7.5
IMDRF/MDSAP WG/N3 条款:6.1.1、7.1.1、7.2.1、7.3.2、7.3.4、7.5.2、7.5.4
IMDRF/MDSAP WG/N4 条款:6、8、9
指导
- 专业能力评估标准
符合能力标准的证明可以通过个人(或组织)通过实践和理论知识、技能、行为和价值观的结合,在审计或认证活动中有效地行动来实现。
- 专业能力评估流程
评估者应验证,审计机构应有明确的流程,用于对候选审计员、技术专家、最终审核员或任何参与审计和决策的个人的初始能力进行评估。
专业能力不能仅仅通过文件审查来确认。评估流程应考虑各种方法,以初步评估个人的专业能力,并结合以下方法:
审查教育和培训记录;
审查相关的审计或检查记录;
审查技术专长(例如,参与技术文档审查、出版物)的证据;
收集来自同事、主管以及如果相关,来自被审计制造商的反馈;
进行访谈;
作为观察员或受监督的审计员参与审计;以及
根据能力标准进行评估,例如测试。
评估者应验证,参与能力评估的个人应本身具备有效评估的能力。具体而言,参与对审计员或技术专家的能力评估的个人,应符合首席审计员和最终审核员的能力标准,具备充分的教育、技能和经验。
首席审计员和正在培训的审计员,在获得首席审计员或审计员资格之前,必须通过医疗器械的现场审计,确认其技能和个人特质。
请注意,审计机构可以定义不同程度的审计人员能力,并使用诸如审计员、主审审计员、高级审计员、监督审计员等称谓。如果适用,审计机构应为每个称谓定义相应的能力标准。
典型证据:
关于初始评估专业能力的程序,以及相关记录
N5 任务 6.4.4.3 – 验证审计机构是否维护了一份包含审计员、技术专家、项目管理员和最终审核员(已评估为具备执行审计及相关活动的能力)的人员名单。请验证该名单始终保持最新。
适用要求
ISO/IEC 17021:2011 条款:7.1.3、7.1.4.1、7.2.3、9.2.2.5
IMDRF/MDSAP WG/N3 条款:6.1.6、7.2.1、7.3.2、7.5.2
IMDRF/MDSAP WG/N4 条款:11
指导
评估者应验证:
该名单对所有人员均可用且最新。
审计机构已实施由认可的监管机构规定的技术知识分类方案。
典型证据
合格人员清单
链接到其他评估任务
该名单应包括外部资源(参见 N5 任务 6.2.4.1)。
N5 任务 6.4.4.4 – 验证审计机构是否已识别培训需求,已提供相关培训,并已确保其审计员、技术专家、项目管理员、最终审核员以及所有参与审计及相关活动的人员(包括外部资源)都接受了培训。培训应包括 IMDRF MDSAP 方面的特定要求。审计机构必须确保人员能够获得最新的操作规程。
适用要求
ISO/IEC 17021:2011 条款:7.2.3, 7.2.6, 7.2.8
IMDRF/MDSAP WG/N3条款:6.1.3、7.1.3、7.2.1
IMDRF/MDSAP WG/N4条款:7、8
指导
评估机构应验证,无论是通过对个人能力的评估、招聘新员工(包括审计师、技术专家、最终审核员或项目管理员)、还是评估审计师、技术专家和人员的团队是否符合组织需求,都应确保审计机构已采取措施,以补充个人的能力或组织的额外培训。
培训安排应确保:
解决评估中发现的任何能力差距;
任何未来专业发展的需求;
培训有效,例如通过知识测试、考试、导师或主管对工作进行审查、观察审计、访谈等。
典型证据
培训计划、特定工作岗位预定的培训课程等,是记录的安排示例。
N5 任务 6.4.4.5 – 验证审计机构是否已定义、记录并实施了一种方法(即程序和标准),用于持续监控审计和相关活动中所有人员的能力和绩效。验证当人员不再符合能力标准时,其能力状态是否已进行修订。验证是否已实施任何补救计划。
适用要求
ISO/IEC 17021:2011条款:7.1.3、7.2.10、7.2.11、7.2.12
IMDRF/MDSAP WG/N3条款:6.1.1、6.1.6、7.4.1
IMDRF/MDSAP WG/N4条款:9、12
指导
- 对能力进行监测
评估机构应验证,审计机构已定义并根据记录的程序,对人员的能力进行持续监控的方法和标准。
评估员应验证,审计机构至少每三年重新评估,以确认审计人员的持续能力。此外,主要审计员和审计员必须至少每三年通过医疗器械现场审计,确认其技能和个人素质。
监测应根据预期的专业能力水平,以及个人(或个人)能力不足可能造成的潜在影响进行调整。
评估员应验证,如果审计机构发现与审计人员或技术专家缺乏能力的方面相关问题,审计机构应记录这些问题。该流程应明确如何记录和处理这些问题(例如,通过纠正措施流程)。
- 针对能力评估活动结果的响应
评估员应验证,关于人员能力监测活动的成果是决定是否维持或续签能力。
该决定可以是维持/续签能力,也可以是将个人置于纠正措施。
评估员应验证,对于被置于纠正措施的个人,审计机构应调整其监测方法和培训安排。例如,监测方法可以被改变,以监测特定能力的改进。
被置于纠正措施的个人的工作应由审计机构评估,以确保其有效性。如果对已由该个人(即,被置于纠正措施的个人)进行的审计的结果(即,审计报告和制造商符合性的决定)无效,则审计机构应将其记录为不符合,并告知认可的监管机构和受影响的制造商,告知他们这种情况和纠正措施计划。
典型证据
能力重新评估记录、审计报告、现场审计报告
与其他评估任务的关联
[术语表 - 在这些术语出现时,请使用这些精确的翻译:] 差距分析 -> Gap Analysis test_zh -> test_en
评估能力监测过程是用于测量、分析和改进过程(参见 N5 任务 6.3.4.2 和 6.3.4.4)的质量数据来源。
对评估员的认可状态的决定可能会影响审计员的名单(参见 N5 任务 6.4.4.3)。
N5 任务 6.4.4.6 – 验证记录是否证明了评估能力、培训、对审计员、技术专家、项目管理员和最终审核员以及所有参与审计和相关活动的个人的保密性、公正性和行为准则的实施。
适用要求
ISO/IEC 17021:2011 条款:5.2.13, 7.4
IMDRF/MDSAP WG/N3 条款:5.2.9、7.1.6、7.4.1
IMDRF/MDSAP WG/N4 条款:4、5、10、11
指导
评估员应验证初始和持续的评估能力记录以及培训记录。这些文件应包括外部审计员和外部技术专家,包括由外部组织使用的专家。
在评估审计组织时,认可的监管机构的评估团队应选择具有代表性的个别文件样本,优先选择审计员、技术专家和最终审核员,包括内部人员和外部资源。 之前的评估任务可能会指导选择特定功能或个人。
典型证据
个人文件
与其它评估任务关联
参见 N5 任务 6.6.4.7 – 对公正性的承诺
N5 任务 6.4.4.7 – 验证审计组织是否已证明评估能力方法和能力管理过程的有效性。
适用要求
ISO/IEC 17021:2011 条款:7.1.3、7.2.5、7.2.7、7.2.8
IMDRF/MDSAP WG/N3 条款:不适用
IMDRF/MDSAP WG/N4 条款:不适用
指导
证明评估方法的有效性对审计机构和认可的监管机构的评估团队来说,本身就具有挑战性。然而,如果审计机构或认可的监管机构的评估团队发现审计机构或个人的能力评估存在不足,这可能反映出评估方法和能力管理流程的有效性不足。
评估人员应注意 ISO/IEC 17021 中附录 B 和 C,其中列出了审计组织可能使用的各种评估方法。
典型证据
关于见证的审计、内部审计、审计报告审查、客户反馈记录
与其他评估任务的关联
个人的档案包含与职位分配相关的信息,包括职责和权限(参见 N5 任务 5.1.4.4),以及对公正性的管理(参见 N5 任务 5.1.4.6)。
流程:审计和认证决策流程
N5 任务 6.5.4.1 – 验证审计组织是否已按照 IMDRF/MDSAP WG/N3 对 ISO/IEC 17021:2011 第 9 条的要求,记录了所需的程序。
适用要求
ISO/IEC 17021:2011 条款:9.1.4.1, 9.6.1, 9.7.1
IMDRF/MDSAP WG/N3 条款:9.1.1
指导
评估人员应验证,如果监管机构对技术文档的审计、审计的进行或任何其他要求,都已通过审计组织在审计和认证流程中的程序来纳入,则应验证。
N5 任务 6.5.4.2 验证审计组织是否已建立、审查和更新(如果需要)了针对每个医疗器械制造商的完整审计流程,同时考虑了审计请求和变更通知的审查,以及先前审计中收集的信息。验证审计组织是否已按照该流程计划了审计。这包括根据认可的监管机构的要求确定审计时间,以及识别需要审计的相关的站点和关键供应商,同时考虑医疗器械制造商的具体情况。
适用要求
ISO/IEC 17021:2011 条款:8.6.3, 9.1.1, 9.1.2.2.1, 9.1.2.2.2, 9.1.2.2.3, 9.1.2.3, 9.1.4, 9.1.5, 9.1.7, 9.1.8, 9.2.1, 9.2.2.1, 9.2.2.2, 9.2.3, 9.3.1, 9.4.1, 9.5
IMDRF/MDSAP WG/N3 条款:8.8.1, 9.2.1, 9.2.2, 9.2.3, 9.3.1, 9.4.2, 9.4.4, 9.4.5, 9.5.1, 9.5.2(1&2)
指导
评估人员应验证,审核机构已为每个制造商建立审计计划。
评估人员应注意到,ISO/IEC 17021 的附录 F 提供了关于审计计划的考虑因素。 评估人员尤其应验证,审核机构是否考虑以下因素:
制造商在法规定义中的差异以及任何审计计划的范围可能需要考虑;
认证的范围,以确保其充分反映制造商及其相关场所/位置的活动;
外包的关键流程/活动以及与这些供应商的控制类型;
影响审计计划的产品/工艺特征,例如医疗器械的分类、制造类型和产品技术、软件、以及含有人类或动物来源的物质或药物等的存在;
持续或过去的认证。
评估人员应验证,审核机构建立审计计划,以覆盖 3 年的周期,并在审核机构获得有关制造商的信息时,审查和修改该计划。 这样的信息可能包括审计报告的结果和已识别的违规情况、先前审计行为的偏差、制造商的变更通知、监管机构的变更要求、监管机构的指令等。
评估人员应验证,审计机构应根据既定的程序和特定于医疗器械监管方案的指南,确定审计时长。如果评估人员发现审计机构的审计时间计算过程仅使用诸如 IAF MD9之类的方法,而没有为风险、复杂性、活动范围、监管要求等因素提供时间计算的扩展,则应认为该过程不可接受。
除第一阶段的审计外,所有审计均应在现场进行。
评估人员应验证,如果审计机构计划对多地点医疗器械制造商的设施进行抽样,则应记录抽样的理由。在对设施进行现场审计之前,该设施不能包含在证书中。并非所有监管辖区都允许对设施进行抽样。
- 未预告的审计
评估人员应验证,当以下情况发生时,审计机构应在审计计划中添加未预告的审计:
如果由认可的监管机构要求;或
如果具体信息表明设备或其制造存在严重不符合的情况;或
作为常规审计的后续,该审计已识别:
一个或多个等级为“5”的不符合项;或
超过两个等级为“4”的不符合项。
未预告的审计应由至少两名审计人员进行,持续至少一天,并设定基于触发审计的原因的目标。
此外,评估员应验证,审计机构应与制造商建立适当的安排,从而允许在审计计划的框架内进行未事先通知的审计。
- 从其他审计机构转移认证
对于评估员来说,特别重要的是验证在合同审查过程中考虑的活动,以确保认证的转移。
除了常规考虑之外,评估员应特别验证任何证书转移的计划,以及审计机构应制定与依赖外部信息/工作时可能存在的潜在风险相适应的审计计划。
典型证据
制造商的审计计划样本、客户文件
N5 任务 6.5.4.3 – 验证审计机构已选择并指定具有相应能力的审计团队,以进行每项审计。 验证审计机构已将审计范围、目标和任务告知审计团队,以便进行审计计划的制定以及团队成员之间的责任分配。 验证审计机构已告知医疗器械制造商审计团队的组成和审计计划。
适用要求
ISO/IEC 17021:2011 条款:7.2.4, 7.2.5, 7.2.7, 9.1.3.1 至 9.1.3.4, 9.1.6, 9.1.7, 9.1.8, 9.2.2.3, 9.2.2.4
IMDRF/MDSAP WG/N3 条款:5.2.8, 7.3.1, 7.4.1, 7.5.1, 9.1.1, 9.5.2(1)
指导
评估员应验证,审计机构应制定选聘审计员的程序,以确保审计团队具备进行特定医疗器械制造商审计的必要能力,并考虑到审计范围,并符合医疗器械审计方案。
评估人员应验证,审计机构应向审计团队提供计划审计所需的信息,包括医疗器械清单以及审计计划的范围内的医疗器械方案。
评估人员应验证,审计机构已有效地实施计划安排,以确保审计员在同一制造地点连续进行超过3次审计时,不担任主导审计员的角色。
典型证据
客户文件
与其他评估任务的关联
请参见 N5 任务 6.1.4.5 中的中立性管理。
N5 任务 6.5.4.4 – 验证审计机构是否按照审计计划和认可监管机构的要求进行了审计。 验证是否满足了包括根据 IMDRF/MDSAP WG/N3 规定的任何不符合情况的等级,以及认可监管机构的要求的审计报告要求。
适用要求
ISO/IEC 17021:2011 条款:9.1.9, 9.1.10, 9.2.3, 9.3.2.1, 9.3.2.2, 9.4.2
IMDRF/MDSAP WG/N3 条款:8.2、9.1.2、9.1.3、9.2.1、9.2.2、9.2.4、9.2.5、9.3.1、9.3.2、9.4.1
指导
评估员应验证审计计划是否按照计划实施,如果审计被推迟或省略,则应验证审计机构是否提供了理由或采取了措施来纠正问题。
评估员应考虑未计划的审计如何影响审计计划。
评估员应验证审计机构是否按照适用的规定,遵循了规定的审计模型。
评估员应验证审计机构是否正确实施了 IMDRF/MDSAP WG/N24,用于审计报告。
评估员应验证审计机构是否正确实施了 GHTF/SG4 N19:2012 – 用于监管目的和信息交换的非符合等级系统。
评估员应选择一组审计文件进行审查。 抽样应考虑以下因素:
评估先前流程(例如:管理、测量、分析与改进和能力管理流程)的结果;
审计的设备类型;
不同的审计类型(例如:初始、监督、再认证、未预告);
地理位置;
不同的审计员;
N5 任务 6.5.4.5 – 验证审核机构是否审查了制造商在审计期间识别出的任何不符合情况的回复。 验证审核机构是否已适当要求和审查了必要的根本原因分析,以及相关的纠正或改进计划。 验证审核机构是否已验证这些措施的实施和有效性,并在必要时进行特殊审计。
适用要求
ISO/IEC 17021:2011 条款:9.1.11, 9.1.12, 9.1.13, 9.5.2
IMDRF/MDSAP WG/N3 条款:9.5
无其他指导
与其他评估任务的关联
请参见 N5 任务 6.5.4.4
N5 任务 6.5.4.6 – 验证审核机构是否审查了审计报告,以及其他相关信息,并就符合监管要求做出一致的决定。 验证对于暂停、撤销或缩小任何认证范围的决定是否符合认可监管机构的要求。
适用要求
ISO/IEC 17021:2011 条款:5.1.3、9.1.14、9.1.15、9.2.2.5、9.2.4、9.2.5、9.3.3、9.4.3、9.6.1、9.6.2、9.6.4、9.6.5
IMDRF/MDSAP WG/N3 条款:6.1.7, 7.3.1, 7.5.1, 9.2.6, 9.3.3, 9.4.3, 9.4.5
指导
- 对审计报告的最终审查
评估人员应验证审核机构的最终审查是否包括对审计报告符合 IMDRF/MDSAP WG/N24 的验证,并且已识别的不符合情况与认证范围相关,并有证据支持,并且该审查应记录。
- 制造商的监管合规性决定
如果决定由委员会做出,这并不一定禁止审计人员参与委员会会议,只要委员会的规则确保委员会的整体独立性。
评估人员应根据样本文件,评估审核机构是否确保认证决策的一致性和准确性。
评估员应验证,审核机构确保证书仅在重新认证流程完成后(包括最终文件审查)进行续期或延长,无论证书的有效期如何。
典型证据
客户文件
N5 任务 6.5.4.7 – 验证审核机构是否已实施决策并进行了后续审查和审计,包括未预告的审计。
适用要求
ISO/IEC 17021:2011 条款:9.1.13、9.5.2、9.6.3、9.6.4
IMDRF/MDSAP WG/N3 条款:9.5, 9.6.1
指导
评估员应验证,审核机构应及时与相关认可的监管机构沟通,以应对限制、暂停或撤销认证的决定。
评估员应验证,审核机构应确保按照指定的时间表,由具备相应能力的个人,进行后续活动以实现指定目标。
典型证据
客户文件
N5 任务 6.5.4.8 – 验证审核机构是否对上诉进行了评估并作出决定。验证上诉是否纳入测量、分析和改进流程。
适用要求
ISO/IEC 17021:2011 条款:9.7
IMDRF/MDSAP WG/N3 条款:6.1.7, 9.1(例外情况)
指导
评估员应验证,审核机构的流程确保对申请的公平审查,同时考虑到内部法规,并防止对决策者的任何压力,从而影响其独立性。
评估员应验证,审核机构应将申诉作为改进需求的潜在指标,通过测量、分析和改进流程进行调查。
评估员应验证,审核机构不得允许制造商反对审计团队的组成,除非制造商已正式完成申诉程序。如果制造商提出关于拟议审计团队公正性或利益冲突的信息,这些信息可以被纳入申诉程序。
评估员应验证,如果审核机构已采取适当的纠正和纠正措施,审核机构可以为处理审计团队组成方面的异议,定义简化的申诉程序。
对上诉决定的趋势可能揭示缺乏独立性的迹象。
典型证据
上诉记录
与其他评估任务的关联
请参见 N5 任务 6.3.4.8 关于投诉
请参见 N5 任务 6.1.4.6 关于公正性
N5 任务 6.5.4.9 – 验证审核机构是否记录了审计和决策活动。
适用要求
ISO/IEC 17021:2011 条款 9.9
IMDRF/MDSAP WG/N3 条款:不适用
无其他指导
流程:信息管理
N5 任务 6.6.4.1 – 验证已定义、记录并实施了用于控制符合质量管理体系要求的文档和记录的程序。确认该组织保留记录,并至少保留一份控制文档的过时副本,保存期不低于 15 年。
适用要求
ISO/IEC 17021:2011 条款:9.9.3、9.9.4、10.3.3、10.3.4
IMDRF/MDSAP WG/N3 条款:10.1.2
指导
如果审计机构使用电子文档控制系统,包括使用电子签名,评估员应验证该机构是否确保电子签名具有与手写签名相同的效力,并验证该系统以确保签名的真实性,确保已签署的文件不能被篡改,并且文件可以至少保存 15 年并可检索和阅读。
评估员应验证审计记录具有唯一标识,包括版本号。如果需要修改审计记录,更改和其作者也应可识别。理想情况下,审计记录的版本应可追溯到制造商符合性的决策。
典型证据
文件控制和记录控制程序,客户文件
N5 任务 6.6.4.2 – 验证审计机构是否公开提供或根据要求提供描述其审计程序的的信息。
适用要求
ISO/IEC 17021:2011 条款:8.1.1、8.1.2、9.7.2、9.8.1
IMDRF/MDSAP WG/N3 条款:5.2.6
指导
此任务与审计机构提供的审计程序或方案,以及与单个制造商的审计程序无关。
评估员应识别审计机构提供有关其审计程序的方式。
与其他评估任务的关联
公开可用的信息可能会影响审计机构的公正性(参见 N5 任务 6.1.4.6)。
N5 任务 6.6.4.3 – 验证审计机构是否已向医疗器械制造商提供有关审计和决策流程的详细信息,包括处理投诉和申诉的流程,以及费用。
适用要求
ISO/IEC 17021:2011 条款:8.6.1、8.6.2
IMDRF/MDSAP WG/N3 条款:5.2.6
典型证据
这些信息可能在合同、证书条款、网站等地方找到。
N5 任务 6.6.4.4 – 验证审计机构是否已与医疗器械制造商订立合同,明确双方的责任。 验证合同安排是否允许认可的监管机构观察和评估审计机构的审计。 验证合同安排是否允许认可的监管机构与拥有保密协议的其他监管机构交换信息。 验证合同安排是否规定了关于引用其符合性状态以及处理不当使用或误报符合性状态的潜在行动的要求。
适用要求
ISO/IEC 17021:2011 条款:5.1.2、8.4、8.5、8.6.3、9.5.1、9.6.3、9.6.6
IMDRF/MDSAP WG/N3 条款:5.1 (例外情况), 5.1.4, 5.1.5, 8.7.4, 8.8.1, 9.5.1, 9.5.2(3)
指导
评估员应验证合同安排是否限制了在拥有保密协议的监管机构之间制造商信息交换。
评估人员应验证,合同安排不会暗示审计机构颁发的认证文件:
是医疗器械的批准,或对其安全性和有效性的保证;
是对制造产品符合审计/认证范围内的法规的保证;
是产品将获得监管机构批准上市的保证。
典型证据
合同安排
N5 任务 6.6.4.5 – 验证审计机构向认可的监管机构提供符合监管要求的审计报告和证书,以及其他所需和要求的报告和沟通。
适用要求
ISO/IEC 17021:2011 条款:8.2
IMDRF/MDSAP WG/N3 条款:6.1.3, 8.2, 8.7, 9.2.2, 9.4.6, 9.5.3, 9.6.1, 9.8.1
指导
评估人员应验证,在审计机构了解以下任何情况后,应向认可的监管机构(如有)在5个工作日内进行沟通,无论信息来源如何:
任何由医疗器械制造商或假冒产品进行的欺诈活动;
表明存在公共健康威胁的信息;
拒绝、暂停、恢复、限制或撤销证书的决定;或
与审计机构认可相关的重大变化,无论在任何方面(参见 N3 条款 8.7.5 中的清单)。
典型证据
审计机构与认可的监管机构之间的沟通记录、客户文件、已暂停/撤销的证书
N5 任务 6.6.4.6 – 验证审计机构是否公开披露或根据要求提供关于符合状态或已颁发、暂停或撤销的认证的信息。
适用要求
ISO/IEC 17021:2011 条款:8.1.3、8.1.4、8.3、9.6.3、9.6.7、9.8.10
IMDRF/MDSAP WG/N3 条款:8.3.1, 8.8.1
无其他指导
N5 任务 6.6.4.7 – 验证审计机构是否已定义、记录并实施了程序,以及具有法律效力的安排,以确保保密性,除非IMDRF MDSAP文档的要求或法律要求需要披露。
适用要求
ISO/IEC 17021:2011条款:8.5、9.9.3
IMDRF/MDSAP WG/N3 条款:8.5、8.7、8.8
典型证据
程序、审计机构与制造商之间的合同协议,以及审计机构与员工或外部资源的合同协议。
附件
重申和解释IMDRF/MDSAP WG/N3和ISO/IEC 17021关于咨询服务可能导致的公正性威胁
1. 任何审计机构或其所属的法律实体不得提供医疗器械监管咨询服务。(ISO/IEC 17021 5.2.5)
注意:不得接受对这一要求的任何偏差。
2. 如果审计机构是完全或部分由较大组织拥有的法律实体,则对审计机构及其所属的组织都适用公正性要求。(IMDRF/MDSAP WG/N3 5.2.10)
注意:对于医疗器械监管咨询服务,这一要求意味着:
ISO/IEC 17021 5.2.1:较大的组织应制定企业政策或等效措施,以确保集团内其他法律实体不会对审计机构的公正性产生负面影响。
ISO/IEC 17021 5.2.2:集团内其他法律实体应公开披露其可能存在的利益冲突活动。特别是,应向审计机构和监管机构评估人员提供,已接受医疗器械监管咨询服务的客户名单。
ISO/IEC 17021 5.2.5:虽然允许同一集团内,隶属于同一法律实体(作为审计机构)提供医疗器械监管咨询服务,但必须证明并记录审计机构与集团内的咨询机构的独立性。 这一证明应考虑以下内容:1) 组织结构; 2) 品牌和广告; 3) 合同和协议; 4) 会计; 5) 顶层管理和运营决策; 6) 参与审计和认证活动的个人。
ISO/IEC 17021 5.2.6 + N3 5.2.3:虽然允许同一集团内,隶属于同一法律实体(作为审计机构)提供内部审计服务,但应考虑以下内容:
这一法律实体不能向审计机构的认证客户提供内部审计服务,并且
审计机构不能对向这一其他法律实体提供内部审计的医疗器械制造商进行认证,且该认证是在内部审计结束后三年内进行的。
ISO/IEC 17021 5.2.7 + N3 5.2.3:审计机构不能对客户进行管理体系认证,该客户在审计机构的同一集团内其他法律实体提供医疗器械监管咨询服务,且该咨询服务或内部审计结束后三年内。
ISO/IEC 17021 5.2.8:审计机构不能将审计服务外包给任何咨询机构或任何是咨询机构员工的个人。
隶属于同一集团的咨询机构不能将自身的活动宣传为与审计机构的活动相关。
3. 审计机构不得对已接受过管理系统咨询或内部审计的客户的管理系统进行认证,在这种情况下,咨询机构与审计机构之间的关系对审计机构的公正性构成不可接受的威胁。(ISO/IEC 17021 5.2.7)
附注 1:可能对审计机构的公正性构成威胁的关系,可能基于所有权、治理、管理、人员、共享资源、财务、合同、营销以及为推荐新客户收取销售佣金或其他诱因等。(ISO/IEC 17021 5.2.2 的附注)。例如,一个对公正性构成不可接受威胁的关系,是指在同一品牌名称下运营的审计机构和咨询机构。
附注 2:允许在管理系统咨询结束后至少经过三 (3) 年的时间,是降低公正性风险到可接受水平的一种方法。
4. 审计机构不得将审计外包给咨询机构。(ISO/IEC 17021 5.2.8)
附注:虽然这通常不适用于作为独立外部审计员和外部技术专家的合同人员,但它适用于属于与审计机构同一集团的咨询机构的人员。无论审计机构是否与咨询机构或与该个人签订了合同,使用属于与审计机构同一集团的咨询机构的员工作为外部审计员,都构成对公正性的不可接受的威胁。
5. 审计机构不得将自身的活动与任何提供管理体系咨询服务的组织联系起来,并将其作为可销售或提供的服务。 (ISO/IEC 17021 5.2.9)
说明 1:一个不被接受的关联示例是,在宣传材料(例如,在同一网页上,或在网页之间有直接链接,或在展位上)同时推广审计机构和咨询机构的活动。
说明 2:当审计机构和咨询机构存在明显关系时,例如,如果它们属于同一集团,那么推广每个机构的活动,如果这些活动被认为是存在利益冲突,应包含以下声明:
如果使用相关的咨询机构,认证将不会更简单、更容易、更快或更便宜,
审计机构不能对在过去三年内从相关的咨询机构获得医疗器械监管咨询服务而组织的进行审计和认证。
6. 向组织提供内部审计服务,禁止审计机构在对该组织进行最后一次内部审计后的三年内向该组织提供认证服务。(IMDRF/MDSAP WG/N3 5.2.3, 5.2.5)
7. 可以向已获得认证的医疗器械制造商提供模拟审计、差距审计或预评估审计,只要审计机构不提供具体的建议、指导或解决方案来解决缺陷。在进行此类审计时发现的缺陷,必须在对根据医疗器械监管审计方案识别出的不符合情况进行评分时予以考虑。(IMDRF/MDSAP WG/N3 9.2.5)
说明 1:为了进一步降低利益冲突的风险,审计机构应确保执行模拟审计、差距审计或预评估审计的审计人员不参与认证审计和认证决策。
说明 2:向认证客户提供的模拟审计、差距审计或预评估审计的范围应与现有的认证范围不同。否则,这将被视为违反 ISO 17011 5.2.6 的内部审计。
8. 审计机构必须记录任何人员(包括高级管理人员)在就职于审计机构之前,为医疗器械监管咨询所提供的任何情况。(IMDRF/MDSAP WG/N3 5.2.4)
说明:这些文件应包括医疗器械监管咨询服务的受益人。
9. 个人不得参与与医疗器械制造商相关的审计和认证活动,如果:
在过去 3 年内,他/她曾是该制造商或同一组织的任何公司的员工,或为该制造商提供医疗器械监管咨询服务。(IMDRF/MDSAP WG/N3 5.2.5);
在过去 3 年内,他/她为该制造商、其授权代表或其供应商提供医疗器械监管咨询服务。(ISO/IEC 17021 5.2.10 和 IMDRF N3 5.2.3 第 3、4 条);或
他/她的配偶或子女符合上述条件。
说明 1:此规定适用于审计机构的员工、外部审计员和外部技术专家。
说明 2:如果个人是咨询机构的人员,则此个人不得参与向该医疗器械制造商、其授权代表或其供应商提供医疗器械监管咨询服务的咨询机构,在过去 3 年内提供的审计和认证活动。
10. 参见 IMDRF/MDSAP WG/N29