Medical Device Regulatory Audit Reports

文件编号: IMDRF/MDSAP WG/N24FINAL:2015

官方来源

https://www.imdrf.org/documents/medical-device-regulatory-audit-reports

INFO

This content has been machine-translated from the English original.

---

全文

医疗器械监管审计报告

Document Number: IMDRF/MDSAP WG/N24FINAL:2015

Source: https://www.imdrf.org/documents/medical-device-regulatory-audit-reports

---

IMDRF/MDSAP WG/N24 最终版：2015

最终文档

国际医疗器械监管论坛

标题： 医疗器械监管审计报告

编写组： IMDRF MDSAP 工作组

日期： 2015年10月4日

东志幸·富米，IMDRF主席

本文件由国际医疗器械监管论坛制作。 本文件的复制或使用不受限制；但是，将本文件（或其中一部分）纳入其他文件中，或将其翻译成其他语言，并不代表国际医疗器械监管论坛的认可。

© 2015年 国际医疗器械监管论坛 版权所有。

目录

1.0 范围 5

2.0 参考文献 5

3.0 定义 5

4.0 实施指南 7

4.1 报告语言 7

4.2 报告内容 7

4.2.1 制造商信息 7

4.2.2 审计信息 9

4.2.3 审计证据 10

4.2.4 审计摘要 11

4.2.5 不符合情况的发现 15

4.2.6 附加内容 16

4.2.7 结论 16

4.2.8 识别和日期 17

序言

本文件由国际医疗器械监管论坛 (IMDRF) 制作，IMDRF 是一组来自世界各地的医疗器械监管者的自愿团体。 本文件在开发过程中接受了广泛的咨询。

本文件不受任何限制，可以复制、分发或使用；但是，将本文件（或其任何部分）包含在其他文件中，或将其翻译成其他语言，并不代表国际医疗器械监管论坛的任何形式认可。

简介

这是一份由国际医疗器械监管论坛（IMDRF）制定的多份文件中，旨在实施医疗器械单一审计计划（MDSAP）的概念。这两份文件，即IMDRF/MDSAP WG/N3 – “医疗器械审计机构的监管机构认可要求”和IMDRF/MDSAP WG/N4 – “审计机构的资质和培训要求”，是互补文件。这两份文件N3和N4，侧重于审计机构及其在各自的监管辖区，根据相关的医疗器械立法、法规和程序，进行监管审计和其他相关职能的个人所应满足的要求。

此外，IMDRF/MDSAP WG/N5 – “医疗器械审计机构的监管机构评估方法（用于认可和监督）”、IMDRF/MDSAP WG/N8 – “监管机构评估员关于MDSAP审计机构评估方法的指导”和IMDRF/MDSAP WG/N6 - “监管机构评估员的资质和培训要求”，是互补文件。 这三份文件N5、N6和N8，侧重于监管机构及其评估员如何评估医疗器械审计机构是否符合IMDRF MDSAP N3和N4文件中规定的要求。

此外，IMDRF/MDSAP WG/N11 – “审计机构的MDSAP评估和决定（用于认可）”，定义了一种方法，用于评估监管机构对审计机构的评估结果中出现的“不符合”情况，并记录认可或撤销审计机构认定的决策过程。

本文件 IMDRF/MDSAP WG/N24 描述了向监管机构提交的 MDSAP 医疗器械监管审计报告的格式和内容。审计报告作为审计团队确定符合特定要求的程度的书面记录。它还旨在证明已认可的审计机构的合规性评估方案的适用。它使审计机构能够以一致的方式记录制造商符合 MDSAP 审计标准的证据，并促进监管机构之间的信息交换。参与 IMDRF 的监管机构同意，本文件应替代全球协调任务组 (GHTF) 的 SG4/N33 R16 文档，该文档名为“医疗器械制造商质量管理体系的监管审计指南 – 第 3 部分：监管审计报告”。

本 IMDRF MDSAP 文档集合提供基本构建模块，通过提供一套通用的要求，供监管机构用于认可和监督执行监管审计和其他相关职能的实体。请注意，在某些司法管辖区，认可过程被称为指定、通知、注册或认证。

IMDRF开发MDSAP，旨在鼓励和支持全球监管体系的整合，在可行的情况下。它旨在在监管机构保障其公民健康以及避免对审计机构或受监管行业造成不必要的负担的责任之间取得平衡。IMDRF的监管机构可以在其法律要求的情况下，在此文档之外添加额外的要求。

为了防止制造商由审计机构内部的审计员进行的审计与医疗器械监管机构评估员进行的审计机构的审计之间的混淆，本文件中，后者的行为被定义为“评估”。

范围

本指南的范围仅限于参与的MDSAP监管机构在医疗器械监管审计报告中需要的信息、报告的格式以及参与的MDSAP监管机构根据其法规有效使用这些报告所需的信息。

审计机构应采用此报告模型，用于除第一阶段的全部审计。对于监督性或专项审计，应详细记录所审计的要素，并识别不在审计范围内的要素。

参考文献

除了以下定义外，以下文档中的定义也适用：

IMDRF/MDSAP WG/N3 – 监管机构认可的医疗器械审计机构的要求

IMDRF/MDSAP WG/N4 – 审计机构的资质和培训要求

GHTF/SG3/N19:2012 – 监管目的和信息交换的非符合性等级系统

ISO 9000:2005 – 质量管理体系 – 基础和术语

ISO/IEC 17000:2004 – 认证评估 – 术语和一般原则

ISO/IEC 17021:2011 – 管理体系的审计和认证机构要求

定义

审计机构 (AO)

对医疗器械制造商进行质量管理体系要求和其他医疗器械法规要求的合规性审计的组织。 审计机构可以是独立的组织或监管机构，负责进行监管审计。 (IMDRF/MDSAP WG/N3)

制造商

任何自然人或法人[1]，对医疗器械的设计和/或制造负责，并有意将该医疗器械用于使用，以其名义；无论该医疗器械是否由该人本人或由另一人（或多个人）代其设计和/或制造。

备注：

1. 上述“自然人或法人”对确保医疗器械在预期使用或销售的国家或辖区符合所有适用的法规要求，具有最终的法律责任，除非监管机构（RA）在该辖区明确将此责任授予另一人。

2. 制造商的责任包括满足既有市场要求，也有上市后要求，例如报告不良事件和通知纠正措施。

3. 上述定义中的“设计和/或制造”可能包括医疗器械的规格开发、生产、制造、组装、加工、包装、重新包装、标签、重新标签、灭菌、安装或重新制造；或将一组医疗器械（以及可能还有其他产品）组合在一起，用于医疗目的。

4. 任何根据其他人的使用说明，将另一人提供的医疗器械组装或适应给个人患者的人，不被视为制造商，只要组装或适应不改变医疗器械的预期用途。

5. 任何未经原始制造商授权，改变医疗器械用途或修改医疗器械，并以其名义将其用于使用的人，应被视为修改后的医疗器械的制造商。

6. 任何仅在医疗器械或包装上添加自身地址和联系方式，且未覆盖或更改现有标签的授权代表、经销商或进口商，不被视为制造商。

7. 如果某种附件受到医疗器械法规要求的约束，则负责设计和/或制造该附件的人将被视为制造商。

(GHTF/SG1/N055: 2009)

实施指南

报告语言

对于MDSAP，所有审计报告均应提供英文版本。

建议报告作者使用主动语态，采用第一人称（在有多个作者的情况下，明确指出第一人称），以及过去时来撰写报告。主动语态确保句子的重点放在正确的对象上，从而减少歧义并提高清晰度。使用第一人称可以明确指出负责审计活动或审计结果的具体个人。语言应明确、简洁、自解释，并明确指出任何发现与要求相关。

报告内容

制造商信息

报告应包含以下内容：

• 1. 制造商名称和地址

报告应包含受审计的制造商的名称和完整地址。

注意：建议制造商的名称和地址与认证文件或适用法规机构的注册信息保持一致。

• 1. 审计场所的名称和地址

这份报告应包含被审计的设施的名称和完整地址，以及符合审计计划的设施信息。如果该审计计划涵盖多个设施，则应在审计计划和审计报告中记录每个设施的名称和完整地址。

请注意：无论审计了多少个设施，每个审计计划都有相应的审计报告。

• 1. 制造商识别号

如果由认可的监管机构指定，则应在审计报告中包含被审计设施的制造商识别号（例如，DUNS号）。审计报告应明确提及制造商及其与被审计设施的关系。

• 1. 制造商的企业结构

这份报告应全面解释制造商的企业结构以及在其质量管理体系（QMS）和相关生产活动和设备范围内的企业实体之间的关系。

• 1. 联系人

应在报告中包含制造商指定联系人的姓名和联系信息。

• 1. 上次审计

这份报告应包含被审计设施上次审计的日期，以及相应的审计报告的标识符。如果这是制造商首次审计，则必须在报告中说明。

• 1. 被审计设施的描述

被审计设施的描述应包括：

• 被审计设施的名称、职务以及最负责的个人，包括高级管理人员

• 负责被审计设施质量管理系统的高级管理人员的姓名和职位。

• 员工数量（大致）

• 班次数量

• 建筑物数量（如果适用）

• 活动和流程的概述

• 外包活动的识别

如果被审计的设施有多个，则应考虑以下内容：

• 当存在一个审计计划和一个审计报告时，上述描述应在每个设施的审计报告中明确说明；并且，

• 某些监管机构可能要求针对每个被审计的设施分别出具报告。

对于监督或专项审计报告，关于被审计设施的描述可能仅限于审计范围内的部分。

• 1. **MDSAP 认证的范围**
  

该报告应包括申请的范围，或制造商现有的 MDSAP 认证范围。这包括活动以及在 MDSAP 认证范围内所包含的通用医疗器械组或家族的清单。如果范围广泛，报告可以引用附录。

• 1. **关键供应商的识别**
  

该报告应包括关键供应商的清单，包括其法定名称、完整地址、提供的产品或服务，以及自上次审计以来，如果适用，任何被识别为关键供应商的变更。此清单可以作为报告的附录。

• 1. **管辖范围**
  

这份报告应包括经过审计的管辖范围清单，即制造商寻求或维持的市场准入许可的管辖范围。

审计信息

审计报告应详细描述所进行的审计的性质，以及以下内容：

1. 审计类型

该报告应明确指出所进行的审计类型（例如，初始审计、监督审计、再审计/再认证审计和特殊审计）。请参考 IMDRF/MDSAP WG/N3

1. 审计标准

该报告应列出审计标准。对于按照 MDSAP 实施的审计，通常应包括，作为最低要求，参与的监管机构适用的相关法规要求。

1. 审计目标

该报告应列出审计目标。这包括，作为最低要求，评估：

• 制造商的质量管理体系（QMS）的有效性，该体系符合适用的法规要求（参见 IMDRF/MDSAP WG/N3 9.2.4、9.3.2 和 9.4.1）；

• 与产品/工艺相关的技术（例如，注射成型、灭菌）（参见 IMDRF/MDSAP WG/N3 9.2.4 和 9.4.1）；

• 与相关法规要求相关的充分的产品技术文件（参见 IMDRF/MDSAP WG/N3 9.2.4 和 9.4.1）；

• 新或变更的产品/工艺相关的技术（例如，注射成型、灭菌）（参见 IMDRF/MDSAP WG/N3 9.3.2）；

• 与相关法规要求相关的新的或修改的产品技术文件（参见 IMDRF/MDSAP WG/N3 9.3.2）；以及

• 制造商符合这些要求的能力（参见 IMDRF/MDSAP WG/N3 9.2.4、9.3.2 和 9.4.1）。

1. 审计范围

本报告应描述构成审计范围的活动和流程。

1. 审计日期和审计员天数

审计报告应包括现场审计的日期，以及在审计计划中，每个被审计的设施的审计员总天数。

1. 审计团队的识别

本报告应识别审计团队的所有成员（姓名、职称、隶属关系），并描述他们的各自角色（例如，团队负责人、技术专家等），以及任何翻译人员的身份和隶属关系，以及任何在场观察人员的身份。

1. 审计语言

本报告应说明在审计过程中使用的语言或语言。

1. 第一阶段审计结果

当制造商在一次现场审计中结合使用第一阶段和第二阶段的审计要素时，本报告应包含对在审计中涵盖的“第一阶段”要素的清晰描述。

1. 审计计划

本报告应包含审计计划的副本。本报告应记录并解释任何偏离审计计划的原因。

注意：有关审计计划内容的更多指导，请参见ISO/IEC 17021 9.1.2.和附录 F。

1. 制造商识别的主要变更

本报告应记录，当制造商识别一项将被审计的活动或流程时，该活动或流程已发生重大变更。这包括对产品或流程、组织结构或所有权、关键人员和设施以及整个质量管理体系的重大变更。

审计证据

审计报告应包含足够的审计证据，以支持报告中作出的审计结论。审计人员应记录审计证据，评估证据是否符合审计标准，并确定结论，即符合或不符合。关于参与的监管机构对特定要求的验证信息应包含在审计报告中。

审计机构应注意，参与的MDSAP监管机构将得出结论，即如果未在报告中提及，则该审计机构未对制造商的质量管理体系的某个方面或流程进行审计。如果需要根据审计类型（例如，首次、监督、再审计）对制造商的质量管理体系中的某个流程进行审计，但未进行审计，则报告应包含未审计该流程的理由。

报告应记录符合和不符合的审计结果。报告编写者应避免提供关于质量管理体系的开发和实施的具体建议、指导或解决方案，或建议改进机会（参见IMDRF/MDSAP WG/N3 – 9.1.3）。

审计摘要

应在报告中包含对以下流程或活动的书面摘要。当单个报告中包含多个设施时，必须对每个被审计的场所的摘要进行明确的区分和界定。审计摘要应简明扼要，但应包含以下信息：

• 被审计的流程或活动的描述；

• 访问的场所（物理和组织）的描述；

• 采访人员的姓名和职位；

• 审查的关键文件（程序、工作说明、记录等）。

• 制造商使用的主要参考文件（指导文件、标准等）；

• 审查的文件或记录的类型和数量，包括适当情况下定性的样本大小说明；

• 识别与审计的流程或活动相关的产品或组件；以及，

• 评估变更情况，以及是否满足或继续满足了监管要求，以及在必要时是否提交了所需的监管文件；以及，

• 关于审计活动或流程是否符合审计标准的结论性陈述。

注意：在结论性陈述中包含条款编号，有助于证明适当的覆盖范围。

当审计员验证从过去的不符合性中产生的纠正和/或纠正措施的实施时，验证结果应包含在审计报告中，要么作为“审计摘要”部分，要么在单独的标题下。

如果证据支持发现不符合性，摘要应包含对不符合性的交叉引用，格式为 [NC #]。

建议的流程审计报告内容应至少包括以下内容：

1. 管理：

2. 评估可能影响产品符合指定要求以及质量管理系统中控制措施正确记录的程度；

3. 验证管理层是否按照计划的时间进行审查，并且这些审查包括对质量政策、质量目标和质量管理系统的适用性和有效性的审查，以确保质量管理系统符合所有适用的法规要求；

4. 描述制造商的组织结构，并验证是否已确定责任和权限（例如，质量代表）；

5. 描述制造商的文档和记录控制；以及

6. 验证制造商是否已确定影响产品质量的人员的资质，包括对培训程序和记录的验证。

7. 医疗器械营销授权和设施注册：

确定制造商是否已就医疗器械的营销授权和与MDSAP参与的监管机构的设施注册，进行了适当的活动。

1. 测量、分析和改进：

2. 确定是否已识别适当的质量数据来源，以用于测量、分析和改进过程，包括客户投诉、反馈、服务记录、退回产品、内部和外部审计结果，以及对产品、流程、不合格产品和供应商的监控数据；

3. 确认这些来源的数据是准确的，并且使用有效的统计方法（如果适用）进行分析，以识别可能需要纠正或预防措施的产品和质量管理体系不符合之处；

4. 描述在审计期间选择的用于审查的数据来源；

5. 确定是否对已检测到的不符合之处进行调查，以确定根本原因（如果可能）；并确认调查与不符合之处的风险相符；

6. 确认已确定、实施、记录、有效，并且没有对成品设备产生不利影响的纠正措施、纠正措施和预防措施；以及验证纠正措施和预防措施是否适合已遇到的或潜在的不符合之处或风险；

7. 确认质量管理体系的内部审计正在按照计划安排和记录程序进行，以确保质量管理体系符合既定的质量管理体系要求和适用的法规要求，并确定质量体系的有效性；

8. 确认内部审计包括对被审计的领域、纠正措施、纠正措施、后续活动以及纠正措施的验证，以及审计人员的独立性；

9. 确认制造商已采取有效措施，以从生产后阶段获取经验，处理投诉，并调查与建议通知相关的不符合情况，并提供反馈，以纳入测量、分析和改进流程；以及验证，是否已考虑并适当地纳入对生产和生产后质量数据的分析，以修改产品风险分析。

10. 医疗器械不良事件和建议通知报告： 11. 确定制造商的流程是否确保，与医疗器械相关的个体不良事件和建议通知在规定的时间内向监管机构报告；以及 12. 列出适用于参与 MDSAP 的每个监管机构的建议通知。该列表应包括建议通知是否已向在产品销售地区的监管机构报告。

11. 设计和开发：

12. 对所选项目（或项目）的简要描述，以及选择该项目（或项目）的理由；

13. 描述用于所选设计和开发项目的程序和记录；

14. 验证，风险管理活动已定义并实施，以用于产品和过程设计和开发，风险可接受的标准在设计和开发过程中得到建立和满足，并且任何剩余风险都已评估，并在适当的情况下向客户沟通；

15. 确定设计和开发验证数据表明，已批准的设计符合指定用途或预期用途的要求；

16. 设计和开发验证的确认，包括临床评估；

17. 确认产品和生产规格在设计发布或设计变更时，已完全记录，以便转移到生产。特别是，在适用情况下，确认：

18. 从过程验证/再验证中得出的生产参数可靠地转移到常规生产活动中，例如，对于病毒灭活过程；对于药物/设备组合的含量均匀性；对于灭菌、生物负荷监测、环境监测和控制、剂量审计等的要求；

19. 对于含有动物或微生物来源的组织、细胞或物质的设备，应遵循繁殖/培养、兽医检查、宰杀/收获、隔离、运输、储存、测试和处理材料的要求，以便将其纳入设备；

20. 对于含有药物的设备，应遵循符合认可的药典和适用于药物产品的良好生产规范，对起始材料的储存、取样和识别测试的要求，以及在适用情况下，对成品设备进行验证方法或认可药典的测试，以及保持稳定性的要求；

21. 确定设计和开发变更的控制，包括影响医疗设备特性的制造过程变更，应符合设计和开发验证和确认的要求（如果适用），以解决新的或受影响的风险；

22. 对于采用设计控制作为豁免的产品，需要验证制造商是否具备并维护充分的技术文件，以证明其符合安全和性能要求以及其他相关法规要求。

23. 生产和服务控制：

24. 简要描述生产、进货检验和仓库区域以及生产流程；

25. 简要描述仓库中产品接收、处理、存储和分销的控制，包括可追溯性控制；

26. 简要描述用于审查的生产流程，以及选择这些流程的理由；

27. 描述用于审查的生产流程的记录；

28. 评估与所选生产流程相关的维护、校准和进货检验记录；

29. 验证如果所选流程的结果无法完全验证，则该验证应证明该流程能够始终如一地实现预期的结果。如果先前已验证的流程发生了变化，则应审查和评估这些流程，并在适当的情况下重新验证；

30. 如果产品以无菌状态供应，则需要确认无菌化过程已验证，定期重新验证，并且验证记录可用。销售的无菌设备应在适当控制条件下制造和无菌化，并且无菌化过程和结果应记录并可追溯到每个产品的批次；

31. 如果需要对产品进行重新加工，并且在获得重新加工授权之前，需要确认制造商已确定重新加工对产品可能产生的影响，需要验证重新加工过程是否按照批准的程序进行，重新加工的结果是否已记录，并且重新加工的产品已重新验证以证明其符合要求；

32. 验证和描述相关设备（例如环境条件——空气处理、水处理、压缩气体）及其验证、维护和监控状态；

33. 评估生产区域内的环境控制（例如区域清洁、房间资质、差压、非致死和致死颗粒数等）；

34. 评估和描述产品释放流程；

35. 如果需要安装活动，则需要验证是否维护了安装和验证活动的记录；以及

36. 验证服务活动是否按照已定义和实施的说明和程序进行。

37. 采购：

38. 描述用于审查的供应商评估文件，以及选择这些供应商的理由；

39. 验证制造商根据其能力

不符合情况的发现

针对每种不符合情况：

• 确定不符合情况所依据的要求，

• 阐述该要求未得到满足的方式，

• 在审计摘要中引用支持性客观证据，以及

• 根据 IMDRF/MDSAP WG/N3 – 9.1.2 级别进行评估。

此外，当一份报告中包含多个设施时，每种不符合情况都必须明确指出发现证据的设施。

如果不符合情况已在其他地方记录，则应在适当的审计摘要中唯一标识并交叉引用这些记录。如果审计机构使用包含指定信息的单独不符合情况表，则该表应附在报告中。

审计报告应记录制造商对已发布的任何未解决的异议。

如果制造商在审计结束前采取纠正措施，则报告可以记录此活动。但是，这并不能消除记录不符合情况的必要性，也不能消除实施纠正措施（包括验证有效性）的必要性。

附加内容

以下内容也应在报告中记录，并且可能包含在相关的审计摘要中，或，如适用，在单独的标题下：

1. 障碍

这份报告应记录任何审计员要求提供信息，但制造商拒绝提供或拒绝允许审计员进入现场的情况。报告还应记录任何其他可能影响审计结论有效性的障碍。

或者，报告可以在第 4.2.7 (D) – 审计的可靠性部分描述这些障碍。

1. 未进行审计的区域

报告应解释，当审计范围内的区域未被审计或未充分审计时。

1. 下次审计应关注的主题

报告应记录出现但不符合要求的状况，但由于收集或观察到的审计证据不足，需要在下次审计中进行跟进（参见 IMDRF/MDSAP WG/N3 – 9.1.3）。

结论

审计报告应提供关于审计的进行以及整体结果和结论的明确说明。本部分提供的结论应与整个质量管理体系相关，并应涵盖以下内容：

1. 符合审计标准

报告应包含对已实施质量管理体系的符合性，以及对 4.2.2 (B) 中各项审计标准的简要总结和结论。

1. 有效性

报告应包含对质量管理体系在满足质量目标和法规要求方面的有效性的简要总结和结论。

1. 确认审计目标

报告应记录 4.2.2 (C) 中审计目标的达成情况。如果适用，报告应解释审计未能实现所有目标的原因。

1. 审计的可靠性

报告应概述可能降低审计可靠性的任何因素。这些因素可能包括：审计人员的时间不足、审计团队缺乏所需的专业能力，或任何未在 4.2.6 (A) 中提及的障碍。

1. 建议

报告应记录审计团队就质量管理体系的初始或持续认证/MDSAP 适用性的建议，以及任何条件或观察结果；以及 AO 提出的其他后续行动，包括对审计程序的更改、审计团队成员的更改，或为未来审计所需的审计天数数量的更改。

识别和日期

最终的审计报告应包含报告作者的姓名（们）、职称和隶属单位。报告还应在最终发布日期上注明，并在必要时包含版本控制信息。

1. 在本文中，“人”一词包括法人实体，例如公司、合伙企业或协会。