Regulatory Authority Assessment Method for the Recognition and Monitoring of Medical Device Auditing Organizations
文件编号: IMDRF/MDSAP WG/N5
INFO
This content has been machine-translated from the English original.
全文
医疗器械审计组织认可和监测的监管机构评估方法
Document Number: IMDRF/MDSAP WG/N5
IMDRF/MDSAP WG/N5FINAL:2013
最终文档
标题: 医疗器械审计组织认可和监测的监管机构评估方法
编写组: 国际医疗器械监管论坛的医疗器械单一审计项目工作组
日期: 2013年12月9日
Despina Spanou, IMDRF 负责人
本文件由国际医疗器械监管论坛制作。对本文件的复制或使用没有限制;然而,将本文件(部分或全部)纳入其他文件,或将其翻译成其他语言,并不代表国际医疗器械监管论坛的认可。
© 2013 国际医疗器械监管论坛 版权所有。
目录
1.0 范围 5
2.0 参考文献 5
3.0 定义 5
4.0 评估周期和评估项目 6
4.1 评估项目角色和职责 7
4.2 评估项目内的评估目的 8
4.3 评估周期内的评估活动 9
5.0 评估方法 13
5.1 进行评估 15
5.2 评估流程 15
6.0 评估审计组织的过程 15
6.1 过程:管理 15
6.2 过程:利用外部资源 18
6.3 过程:测量、分析和改进 20
6.4 过程:能力管理 24
6.5 过程:审计和决策过程 26
6.6 过程:信息管理 30
序言
本文件由国际医疗器械监管论坛 (IMDRF) 制作,IMDRF 是一群来自世界各地的医疗器械监管机构的自愿组织。
本文件不受任何限制,可以复制、分发或使用;但是,将本文件(或其任何部分)包含在其他文件中,或将其翻译成其他语言,并不代表国际医疗器械监管论坛的任何形式认可。
引言
这是一份由国际医疗器械监管论坛(IMDRF)制定的多份文件中,旨在实施医疗器械单一审计计划(MDSAP)概念的文件。 其中的两份文件,即IMDRF MDSAP WG N3 – “医疗器械审计机构的认可要求”和IMDRF MDSAP WG N4 – “审计机构的资质和培训要求”,是互补文件。 这两份文件N3和N4,侧重于审计机构及其在相关医疗器械立法、法规和程序要求的监管辖区内,进行监管审计和其他相关职能的个人所应满足的要求。
另外两份文件,即本文件IMDRF MDSAP WG N5 – “医疗器械审计机构的认可和监测评估方法”和IMDRF MDSAP WG N6 - “监管机构评估员的资质和培训要求”,是互补文件。 这两份文件N5和N6,侧重于监管机构及其评估员如何评估或“评估”医疗器械审计机构是否符合IMDRF MDSAP N3和N4文件中规定的要求。
此外,IMDRF MDSAP WG N11 将定义一种方法,用于“评估”监管机构对审计机构的评估结果,并记录认可或撤销审计机构的决策过程。
这份IMDRF MDSAP文档集合将提供基本构建模块,通过提供一套通用的要求,供监管机构用于识别和监控执行监管审计和其他相关职能的实体。需要注意的是,在某些司法管辖区,识别过程被称为指定、通知、注册或认证。
IMDRF开发MDSAP,旨在鼓励和支持全球监管体系的整合,在可行的情况下。它旨在在监管机构保障其公民健康以及避免对审计机构或受监管行业造成不必要的负担的责任之间取得平衡。IMDRF的监管机构可以在其法律要求的情况下,在此文档之外添加额外的要求。
本文件的目的是描述医疗器械监管机构在IMDRF MDSAP框架下实施的评估计划和评估方法。 为了避免混淆,即由审计机构内部的审计员对制造商进行的审计与由医疗器械监管机构评估员进行的审计机构的审计,在本文件中,后者的评估被指定为“评估”。
范围
本文件定义了监管评估程序的范围。该评估程序定义了监管机构如何识别、监控和重新识别符合 IMDRF MDSAP 框架的审计机构。
识别、监控和重新识别基于一种基于评估的方法,该方法利用与 IMDRF MDSAP WG N3 和 N4 中规定的要求相关的评估任务。本文件中定义的评估方法将用于在评估程序中执行不同的评估活动。
参考文献
IMDRF MDSAP N3 - 监管机构认可的医疗器械审计机构的要求
IMDRF MDSAP N4 - 审计机构的资质和培训要求
IMDRF MDSAP N6 - 监管机构评估人员的资质和培训要求
ISO/IEC 17000:2004 - 适性评估 - 术语和一般原则
ISO/IEC 17021:2011 - 适性评估 - 为提供管理体系审核和认证的机构的要求
GHTF/SG1/N78:2012 - 医疗器械适性评估的原则
GHTF/SG3/N19:2012 - 质量管理体系 - 医疗器械 - 监管目的和信息交换的非符合等级系统
定义
审计:一种系统、独立、并有记录的过程,用于获取记录、事实陈述或其他相关信息,并以客观的方式评估,以确定是否满足了指定的要求。(ISO 17000:2004)
审计机构:对医疗器械制造商进行质量管理体系和其他医疗器械监管要求合规性审计的组织。审计机构可以是独立的组织或监管机构,它们进行监管审计。
监管机构:是指在管辖范围内,拥有控制医疗器械使用或销售的法律权利的政府机构或其他实体,并且可以采取执法行动,以确保在管辖范围内销售的医疗产品符合法律要求。 (GHTF/SG1/N78:2012)
评估周期和评估计划
本文定义了监管机构用于评估审计机构以获得认可,并通过监测活动维持认可的,一致的评估周期和评估计划。 关键在于确保评估计划的实施的一致性,无论指定评估团队和审计机构如何。
ISO 17011:2005 允许使用最多 5 年周期的评估计划。 对于受监管的医疗器械领域,一个审计机构评估计划应采用 3 或 4 年的周期。 无论选择 3 年或 4 年的周期,本文所述的评估计划都为在需要时进行额外的特别评估,以增强对认可决定的信心。 认可的监管机构应评估 3 年或 4 年周期的所需资源,包括评估人员、评估管理、差旅预算等,然后再决定其评估计划的特定周期长度。 4 年周期的示例如图 1 所示。
图 1:4 年评估周期
评估周期包括初始评估、年度监督评估和重新认可评估。 图 2 标识了评估计划的各个方面内的不同评估活动。
图 2:通过评估周期进行的评估计划
根据需要,可以对评估计划进行修改,例如,通过额外的特别评估,以考虑到特定审计机构在评估周期中收集的信息。
监管机构的评估计划应考虑:
审计机构的过往表现,包括之前的评估和已识别的违规情况;
审查审计机构的任何重大变更,包括为了应对任何监管程序或要求变更而需要进行的变更;
审计机构的关键程序;以及,
尽可能选择的医疗器械制造商客户文件,这些文件可能由不良事件报告、合规问题和其他监管信号识别。
评估计划的角色和职责
评估计划中的主要角色和职责如下:
评估团队,包括必要时,评估团队负责人和评估员:
按照评估计划进行评估活动;
就审计机构的认可状态提供建议;
就特定审计机构的评估程序的变更或调整,提供建议;
就关键地点评估和见证审计提供建议;以及,
审查和批准审计机构对评估结果的回复。
评估程序经理:
与审计机构进行沟通,收集申请和相关信息,并沟通评估活动的结果;
为每个审计机构起草、维护和更新评估程序;
确保评估活动按照评估计划进行和实施;
分配评估团队成员,指定他们的角色,并向他们提供评估活动所需的必要信息;以及,
审查评估结果,对评估活动进行质量检查,并准备最终评估结果建议。
注意:如果认可的监管机构选择指定一名或多名评估项目经理,则该评估项目经理不得作为审计机构的评估员,以便保持其对评估活动结果的独立性。
在监管机构内的认可功能:
批准将评估项目应用于审计机构;以及,
做出认可决定。
评估计划内的评估目的
初始评估的目的包括以下内容:
为特定审计机构制定单独的评估项目计划;以及,
评估特定审计机构的管理体系是否符合所有监管要求,包括 IMDRF MDSAP WG N3 和 N4 文档,以便认可的监管机构能够就是否认可该审计机构做出决定。
监督评估的目的在于确保审计机构在重新认可评估期间继续符合监管要求,包括 IMDRF MDSAP WG N3 和 N4 文档。
重新认可评估的目的在于评估审计机构的管理体系是否持续符合所有监管要求,包括 IMDRF MDSAP WG N3 和 N4 文档,以便认可的监管机构能够就是否续签该审计机构的认可做出决定。
评估周期中的评估活动
申请审查
在对审计机构进行评估之前,认可的监管机构应审查申请和相关信息,以确保有关该审计机构及其管理体系的信息足以进行评估。
第1阶段评估
第1阶段评估应用于:
审查审计机构的管理系统文件,以确认其是否涵盖所有法规要求,包括 IMDRF MDSAP WG 的 N3 和 N4 文档;
评估审计机构对法规要求的理解,包括 IMDRF MDSAP WG 的 N3 和 N4 文档;
收集定义认可范围所需的信息;
确定审计机构的地点和特定场所条件;
评估审计机构是否已计划和/或进行内部审计和管理审查;
充分了解审计机构的结构、运营和管理系统,以便制定具体的评估计划;
评估审计机构是否已准备好接受第二阶段现场评估;
在第 2 阶段现场评估期间,审查所需的特定资源。
一个认可的监管机构可以在审计机构的总部进行第 1 阶段评估的一部分。
第 1 阶段评估的结果应记录并告知审计机构,包括识别任何可能在第 2 阶段现场评估期间被归类为不符合的潜在问题领域。
第二阶段现场评估
第 2 阶段现场评估旨在评估审计机构的管理体系的实施,包括有效性。
第 2 阶段现场评估应在审计机构的总部进行。
它应至少包括以下内容:
评估审计机构的管理体系文件是否符合所有监管要求,包括 IMDRF MDSAP WG N3 和 N4 文档;
评估审计机构根据其管理体系的政策、程序和目标,对自身活动进行实施、监控、测量、报告和审查的证据(符合认可的期望);
审查审计机构的流程的运营控制,包括由外部资源实施的情况;
确认审计机构进行了内部审计和管理审查;以及,
确认审计机构及其可用的资源,以满足认可范围的义务。
见证审计
认可的监管机构应在评估周期内,观察审计机构对医疗器械制造商的审计。
目的一致性审计是为了验证审计机构在以下方面的表现:
实践符合 IMDRF MDSAP WG 文档 N3 第 9 部分的要求;
审计机构确定医疗器械制造商符合监管要求的能力;
审计机构可靠地报告审计结果,包括不符合情况的能力;以及,
审计机构选择具有必要能力的审计团队的能力。
认可的监管机构应选择进行观察,并向审计机构提供信息。认可的监管机构应尝试在各种不同的医疗器械制造商中进行一致性审计。
在选择要观察的审计时,应考虑以下因素:
制造的设备的分类;
正在进行的审计类型,即首次或再认证审计;
审计的地理位置;
指定的审计人员的身份;
正在使用的制造工艺和技术;以及,
被审计制造商或其设备已知的已知问题,这些问题已从不良事件、上市后监测数据等中识别。
在进行一致性审计之前,审计机构应向认可的监管机构提供以下信息:
医疗器械制造商的联系信息;
医疗器械制造商的质量手册,以及如果需要,其他文件;
审计对象范围;
医疗器械制造商之前的审计报告;
之前审计中发现的非符合性情况的状态;
审计团队的组成,包括选择的原因;
审计组织向审计团队提供的,用于规划审计的信息复印件;
审计持续时间的理由;以及,
审计计划。
在监督审计期间,评估人员应避免干预和影响审计的进行和结论。评估人员与被审计的医疗器械制造商之间不应有直接沟通。关于审计的评估人员与审计团队之间的任何沟通都应在审计结束后进行。
监督审计的结论应由评估团队审查审计报告后,记录并告知审计组织。
审计组织的关键场所现场评估
当以下列出的关键功能在总部以外的地点(包括由外部组织执行)进行时,认可的监管机构应在评估周期内,对这些关键地点进行评估。
关键功能包括:
制定和批准用于对符合认可计划的医疗器械制造商进行审计的管理系统政策、流程和程序;
审核和接受医疗器械制造商的申请,以及颁发合同,包括确定审计的范围和持续时间;
确定审计团队;
审核审计报告的技术审查;
适用于审计人员、技术专家和最终审核人员的资质管理活动;以及,
审计机构对医疗器械审计计划的管理、监督和控制。
对关键场所进行现场评估,旨在:
审查审计机构总部与关键场所之间的关系;
审查,如果适用,审计机构总部与关键场所之间的安排;
评估关键场所运行的管理系统,以满足审计机构的要求;
评估关键场所代表审计机构开展的活动是否符合审计机构的管理系统或与审计机构总部与关键场所之间的安排;
评估关键场所代表审计机构开展的活动是否符合相关的法规要求,包括 IMDRF MDSAP WG N3 和 N4 文档;以及,
评估关键场所的控制措施,以便审计机构能够监控该场所的活动。
上市后监测现场评估
现场评估旨在评估审计机构的管理系统的实施,包括有效性。
现场评估应在审计机构总部进行。
它应至少包括以下内容:
审查内部审计和管理审查;
审查能力管理活动;
审查在先前审计中识别出的不符合之处所采取的行动;
处理投诉和申诉;
评估管理系统在实现审计机构在认可范围内的目标方面的有效性;
评估医疗器械制造商符合法规要求的审计记录和决策;
评估持续运营控制;以及,
审查任何变更。
市上后监测现场评估应每年在第2阶段评估的周年日期进行,允许偏差 +/- 3 个月。
建议认可的监管机构,作为评估计划和准备的一部分,审查审计机构提供的审计报告样本。
重新认可现场评估
重新认可现场评估应考虑审核机构的管理体系在认可期间的绩效,并包括上次评估周期评估报告的审查。
在审核机构、其管理体系或认可机构的要求发生重大变化的情况下,重新认可现场评估可能需要进行第一阶段评估。
重新认可现场评估应包括以下内容:
评估审核机构的管理体系在内部和外部变化以及其与认可范围的持续相关性和适用性方面的有效性;
确认审核机构的管理体系符合相关法规,包括 IMDRF MDSAP WG N3 和 N4 文档;以及,
确认审核机构致力于维护管理体系的有效性。
特殊评估
特殊评估是在典型评估周期中定义的其他评估活动之外进行的。特殊评估可能由以下情况触发:
审核机构申请变更认可范围或在收到可能影响先前评估结果的通知后;
认可机构,根据表明对审核机构活动存在担忧的信号;或,
之前的监管评估活动的结果。
评估方法
图 3 展示了认可机构评估员通过六个流程实施的评估方法。 无论审核机构如何定义其运营和质量管理体系,此方法均适用。
审计机构必须满足 IMDRF MDSAP WG N3 和 N4 以及 ISO/IEC 17021:2011 标准规定的要求。 认可的监管机构的评估人员应使用此处描述的评估方法,用于在总部或关键地点进行评估。 建议的评估流程旨在使评估人员以集中和高效的方式进行评估活动。 然而,评估流程的重要性不如确保对六个流程的充分覆盖。 初始和重新认可评估报告必须涵盖所有六个流程。
评估方法是一种过程方法,包括以下流程:(1) 管理、(2) 使用外部资源、(3) 测量、分析和改进、(4) 技能管理、(5) 审计和决策、以及 (6) 信息管理。
图 3:评估方法
进行评估
在评估审计机构的质量管理体系(如六个流程中所述)时,评估团队应注意“关联性”。 为了使审计机构的质量管理体系有效运行,它必须识别和管理许多相互关联(关联)的流程。 一个流程的输出通常直接成为其他流程的输入,或者某些流程的活动与其它流程相关。
评估流程
评估的目标是确保审计机构做出决策,从而在将医疗器械投放市场时,能够对医疗器械的符合法规要求提供信心。
[术语表 - 在这些术语出现时,请使用这些确切的翻译:] 差距分析 -> Gap Analysis test_zh -> test_en
每个流程都需要评估团队完成评估任务,以确定流程结果和流程目的是否实现,以及相应的风险是否得到适当处理。在对评估任务的描述中,有对 ISO/IEC 17021:2011 标准的相关条款以及 IMDRF MDSAP WG N3 和 N4 文档的条款的引用。这些引用旨在帮助评估人员在评估过程中确保所有要求得到满足。
在评估过程中,重要的是评估人员要留意任何在评估任务中,审计机构未能满足的任何已定义的要求,并对这些不符合情况进行详细记录。
特别应关注不符合情况之间的潜在关联。例如,在审计和决策流程以及能力管理流程中的评估不符合情况,可能在组合中具有重要意义,因为对医疗器械制造商的审计计划、指定合格的审计人员以及对决策过程的系统性描述,对于确定医疗器械制造商是否符合法规要求至关重要。
评估审计机构的流程
本节描述了评估团队评估的流程。每个评估流程都包含目的、结果、与流程相关的风险以及该流程的具体任务清单。
流程:管理
目的
评估管理流程的目的,是验证高层管理人员是否确保,审计组织已建立并维持了充分且有效的质量管理体系,以控制与审计相关的所有活动,以及对医疗器械制造商符合法规要求的决策。 评估应以对管理流程的反思作为结论,以确认高层管理人员的承诺以及审计组织管理体系的有效实施。
结果
作为对管理流程的评估结果,客观证据将显示,审计组织是否:
确定了用于管理系统的所需流程,以及这些流程在整个组织中的应用、顺序和相互作用。
建立了一个管理系统,以支持对医疗器械制造商的有效审计,以及就制造商的决策进行相关决策;
符合法规要求;以及,
能够确保遵守法律和合同要求,以及组织承诺的其他要求。
在组织内的相关职能和层面确定质量目标,并确保这些目标定期进行审查,以确保其持续适用性。
投入足够的资源和合格的人员。
将责任和权限分配给人员,并建立组织结构,以确保质量不受到损害。
制定、记录并实施控制不偏见、保护保密信息以及就审计和决策进行透明化的程序。
确保管理系统及其流程的持续有效性。
针对该流程的风险
管理流程的失败可能带来以下风险:
审计组织实践的一致性不足;
参与审计和决策活动中的审计人员和工作人员缺乏公正性;
参与审计和决策活动中的审计人员和工作人员缺乏能力;
审计的可靠性不足;
决策缺乏可信度;以及/或,
缺乏与认可的监管机构的有效沟通,从而阻止针对违规医疗器械制造商的有针对性的执法行动。
评估任务
审查有关法律责任、赔偿和融资的文件。 验证作为候选审计组织的资格。
适用要求
ISO/IEC 17021:2011 第 5.1.1、5.3.1、5.3.2 条
IMDRF MDSAP WG N3 条:5.1、5.1.1、5.1.2、5.1.3、5.3.1、5.3.2
6.1.4.2 验证质量手册以及所需的管理系统文件已定义并记录。
适用要求
ISO/IEC 17021:2011 第 10.1、10.2.1、10.2.2、10.2.3、10.3.1、10.3.2 条
IMDRF MDSAP WG N3 条:6.1.2、6.1.4、6.1.5、6.1.7、10.1.1
验证在组织内部的相关职能和层级上,已制定质量政策和目标。确保质量目标可衡量,并与质量政策保持一致。确认已采取适当的措施来实现质量目标。
适用要求
ISO/IEC 17021:2011 第 10.3.1、10.3.5 条
IMDRF MDSAP WG N3 条:不适用
审查审计机构的组织结构和相关文件,以验证其是否包含有关职责和权限的规定。这应包括识别负责以下方面的职能:整体项目;及时向监管机构交换信息;以及确保质量管理体系的要求得到有效建立和维护,向高级管理层报告质量管理体系的绩效以及任何改进需求。
适用要求
ISO/IEC 17021:2011 第 6.1.1、6.1.2、6.1.3、6.2.2、7.2.1、7.2.3、10.3.1 条
IMDRF MDSAP WG N3 条:5.1.3、6.1.5、6.1.6、7.1.4、8.7.1
验证审计机构已分析审计员(包括技术专家和团队领导)以及人员的充分性,以覆盖其所有活动,并处理审计工作量。
适用要求
ISO/IEC 17021:2011 第 7.2.2 条
IMDRF MDSAP WG N3 条款:不适用
验证审计机构是否已定义并实施了确保公正性的程序。
适用要求
ISO/IEC 17021:2011 条款:5.2.1 至 5.2.13、5.3.2、6.2.1 至 6.2.3、7.3、7.5.2
IMDRF MDSAP WG N3 条款:5.2.1 至 5.2.10、6.2.1、7.1.6、7.3.1、9.1.3
验证管理评审是否按计划进行,并且这些评审包括对质量政策、质量目标和管理体系的适用性和有效性的审查,以确保质量管理体系符合 ISO/IEC 17021:2011 和 IMDRF MDSAP WG N3 和 N4 的所有相关要求。
适用要求
ISO/IEC 17021:2011 条款:10.2.4、10.3.5
IMDRF MDSAP WG N3 条:不适用
流程:利用外部资源
目的
“使用外部资源”流程的目的是确保由外部审计员或技术专家或外部组织代表审计机构所执行的所有活动均在审计机构的控制之下。
结果
根据“使用外部资源”流程的评估,客观证据将显示,审计机构是否:
明确、记录并实施适当的方法(即程序和标准),用于控制外部资源活动,包括控制专业能力、公正性和保密性。
记录并实施与外部资源之间的适当安排,确保审计活动所需的专业能力要求以及对符合监管要求最终审查和决策由审计机构保留。
与外部资源建立书面安排,包括其承诺遵守审计机构的要求和规定,以确保保密性和公正性。
具备足够的专业能力来审查外部资源执行的活动结果。
针对该流程的风险
“使用外部资源”流程的失败可能带来以下风险:
缺乏对活动的控制直接影响外部资源提供预期服务的能力;或/
审计机构未能控制外部资源活动符合认可监管机构的要求。
评估任务
确定审计机构何时以及如何使用外部资源。 验证审计机构用于使用外部资源的控制措施,包括专业能力、公正性、保密性和利益冲突。
适用要求
ISO/IEC 17021:2011 条款:7.5, 8.5.1
IMDRF MDSAP WG N3 条款:5.2.7, 7.2.1, 7.5.1, 7.5.2, 8.5.1, 8.5.2
验证审计机构是否与外部资源建立了合同,以确保审计机构能够满足审计活动、最终审查和决定符合法规要求的能力要求。这些安排应允许认可的监管机构对外部资源的活动进行审计或旁观。这些安排应包括其承诺,即遵守审计机构的要求和规定,以确保保密性和公正性。
适用要求
ISO/IEC 17021:2011 条款:5.1.3、7.3、7.5、8.5.1
IMDRF MDSAP WG N3 条款:5.2.7、7.1.6、7.2.1、7.3.1、7.3.3、7.5.1、7.5.3、8.5
验证审计机构是否具备充分的内部能力,以审查外部资源所执行活动的结果和适当性,并验证提供的客观证据的有效性,以便做出决策。
****
适用要求
ISO/IEC 17021:2011 条款:不适用
IMDRF MDSAP WG N3 条款:7.3.2、7.5.2
过程:测量、分析和改进
目的
测量、分析和改进过程的目的是验证:
收集与审计、审计人员的能力、决定符合法规要求的、以及审计机构的管理体系相关的信息;
对这些信息进行分析,以识别实际和潜在的违规情况;
调查实际和潜在的违规情况;以及,
采取适当的纠正措施、纠正措施和预防措施。
如果以上收集的信息存在不利趋势,并在评估过程中发现违规情况,则可以使用这些信息来选择:
审计机构资质文件,用于在评估能力管理流程期间进行审查;
医疗器械制造商的文件;以及,
在评估“使用外部资源”过程中的协议和监控记录。
结果
根据测量、分析和改进流程的评估,客观证据将显示审计机构是否:
制定、记录并实施用于测量、分析和改进的程序,这些程序符合 ISO/IEC 17021:2011 标准和 IMDRF MDSAP WG N3 和 N4 文档的要求;
识别、分析和监控适当的质量数据来源,包括内部审计、外部评估和投诉,以识别实际和潜在的不符合情况;
调查实际和潜在的不符合情况;
实施适当的纠正措施、整改措施和预防措施;以及,
审查这些措施的有效性。
针对该流程的风险
“测量、分析和改进过程的失败,可能带来以下风险:”
缺乏对审计机构识别和必要时纠正不符合情况和潜在不符合情况的能力的信心;以及/或,
缺乏对审计机构关于医疗器械制造商符合法规要求的决策的信心。
评估任务
验证审计机构是否制定并记录了用于测量、监控、分析和改进审计机构管理系统相关性、合规性、一致实施和有效性的程序。
适用要求
ISO/IEC 17021:2011 条款:7.2.10, 7.5.4
IMDRF MDSAP WG N3 条款:6.1.4, 7.1.6, 10.1.1, 10.1.3, 10.1.4
确定审计机构是否已监控适当的质量数据来源和流程,以识别实际和潜在的违规情况。 这种质量数据应包括内部审计、外部评估、投诉,以及使用外部资源。 确认监控和测量活动涵盖了审计人员的专业能力、审计绩效、符合法规要求的决策以及在整个能力管理和审计及决策过程中,遵守行为准则。
适用要求
ISO/IEC 17021:2011 条款:5.2.10, 7.1.3, 7.2.10 – 7.2.12, 7.5.4
IMDRF MDSAP WG N3 条款:5.2.4, 6.1.5, 7.1.3, 7.1.6, 10.1.3, 10.1.4
确定是否对已发现的违规情况以及潜在的违规情况,进行调查以确定根本原因。 确认调查与违规情况的风险相符。 确认,在适当的情况下,已确定、实施、记录、有效,并且没有 adversely 影响已进行的审计和决策,包括纠正措施、纠正措施和预防措施。 确保纠正措施和预防措施与遇到的或潜在的违规情况或风险相符。
适用要求
ISO/IEC 17021:2011 条款:10.3.7, 10.3.8
IMDRF MDSAP WG N3 条款:不适用
确定审计机构的任何纠正措施是否需要向认可的监管机构报告,例如,此类报告可能包括与其认可相关的变更。
适用要求
ISO/IEC 17021:2011 条款:不适用
IMDRF MDSAP WG N3 条款:8.7.3, 8.7.4, 8.7.5
验证是否已建立控制措施,以确保当审计不符合审计要求时,能够识别并控制该审计,从而确保关于符合法规要求的决策会考虑到这些信息。确认已做出适当的决策,并进行充分的证明和记录。
适用要求
ISO/IEC 17021:2011条款:9.1.15、9.3、10.2
IMDRF MDSAP WG N3条款:9.1.1、9.1.2、10.1.3
确认当在报告发布后或在符合法规要求的决策后发现不符合情况时,是否采取了与该不符合情况的风险或潜在风险相适应的适当措施。确认已向认可的监管机构进行了适当的通知。
适用要求
ISO/IEC 17021:2011条款:10.2
IMDRF MDSAP WG N3条款:8.7.3、8.7.4、9.6.1
验证内部审计是否按照计划安排和程序进行,以确保管理体系符合ISO/IEC 17021:2011和IMDRF MDSAP WG N3和N4文件以及任何其他适用的认可监管机构的要求。确认内部审计包括对被审计领域的审计员独立性、纠正措施、纠正行动、后续活动以及对纠正行动的验证。
适用要求
ISO/IEC 17021:2011条款:10.3.6.1、10.3.6.2、10.3.6.3、10.3.6.4
IMDRF MDSAP WG N3条款:10.1.4
确认审核机构拥有有效的处理投诉、调查与投诉相关的不符合情况原因的流程,并提供向测量、分析和改进流程提供输入的渠道。 验证该机构已实施程序,要求其将就医疗器械制造商的任何投诉,特别是可能表明与医疗器械的安全性和有效性或公共健康风险相关的问题的信息,提交给认可的监管机构。 确认这些程序的正确和及时实施。 评估投诉处理流程如何允许将信息提交到申诉流程。
适用要求
ISO/IEC 17021:2011 条款:9.7, 9.8
IMDRF MDSAP WG N3 条款:9.5.2.2, 9.8.1
如果审核机构的调查确定,外部资源活动导致了不符合或投诉,则验证记录显示相关信息已在相关方之间交换。
适用要求
ISO/IEC 17021:2011 条款:9.8, 10.3.7, 10.3.8
IMDRF MDSAP WG N3 条款:不适用
确定测量、分析和改进流程的相关输出是否作为管理评审的输入。
适用要求
ISO/IEC 17021:2011 条款:10.2.4、10.3.5
IMDRF MDSAP WG N3 条款:不适用
流程:能力管理
6.4.1 目的
能力管理流程的目的是确保审核员、技术专家、项目管理员和最终审核员,以及参与审核和相关活动的任何其他人员,都已根据预先确定的标准,证明其能力。 能力管理流程还旨在确保审核机构能够获得足够的人员来覆盖其认可的范围。 这对于确保审核和决策流程结果的可信至关重要。
结果
作为对能力管理流程的评估结果,客观证据将显示,审计机构是否:
A. 确定了必要的能力,以使其在认可范围内的组织能够有效运作。
B. 制定、记录并实施了用于评估和监控审计员、技术专家、项目管理员和最终审核员,以及所有参与审计和相关活动管理和执行的其他人员能力的(即程序和标准)。
C. 确定了培训需求以及为审计员、技术专家、项目管理员和最终审核员,以及所有参与审计和相关活动管理和执行的其他人员提供的培训机会。
D. 维护记录,以证明能力管理流程的有效实施。
E. 表明其评估方法和整体能力管理流程的有效性。
针对该流程的风险
能力管理流程的失败可能带来以下风险:
- 能力不足可能导致审计员、技术专家、项目管理员和最终审核员无法识别需要评估的关键要素,无法对符合法规要求的状况做出适当的判断,并做出适当的决策。
评估任务
验证审核机构是否已识别其认可范围所需的必要能力。验证审核机构是否拥有获取必要的技术专长,以便就符合监管要求的决策提供建议。
适用要求
ISO/IEC 17021:2011 条款:7.1.1、7.1.4、7.2.1、7.2.9
IMDRF MDSAP WG N3 条款:6.1.1、6.1.3、7.1.1、7.1.2、7.1.3、7.1.5、7.2.1、7.3.2
IMDRF MDSAP WG N4 条款:不适用
验证审核机构是否已定义、记录并实施了用于对审计员、技术专家、项目管理员、最终审核员以及参与审计和相关活动的员工进行初始能力评估的程序和标准。
适用要求
ISO/IEC 17021:2011 条款:7.1.2、7.1.3、7.2.4、7.3、7.5
IMDRF MDSAP WG N3 条款:6.1.1、7.1.1、7.2.1、7.3.2、7.3.4、7.5.2、7.5.4
IMDRF MDSAP WG N4 条款:6、9
验证审核机构是否维护了一份包含审计员、技术专家、项目管理员和最终审核员(以及外部资源)的名单,这些人员已评估为具备执行与审计和相关活动相关的职责的能力。验证该名单始终保持最新。
适用要求
ISO/IEC 17021:2011 条款:7.1.3、7.1.4.1、7.2.3、9.2.2.5
IMDRF MDSAP WG N3 条款:6.1.6、7.2.1、7.3.2、7.5.2
IMDRF MDSAP WG N4 条款:11
确认审核机构已识别出培训需求,已提供相关培训,并已确保其审核人员、技术专家、项目管理员和最终审核员以及所有参与审核和相关活动的员工都接受了培训,包括IMDRF MDSAP的具体要求。 审核机构必须确保人员能够访问最新的操作规程。
适用要求
ISO/IEC 17021:2011 条款:7.2.3, 7.2.6, 7.2.8
IMDRF MDSAP WG N3 条款:6.1.3, 7.1.3, 7.2.1
IMDRF MDSAP WG N4 条款:7, 8
确认审核机构已定义、记录并实施一种方法(即程序和标准)来监控参与审核和相关活动的全部人员的能力和绩效。 确认当人员不再符合能力标准时,其能力状态应进行更新。 确认是否已实施任何纠正措施。
适用要求
ISO/IEC 17021:2011 条款:7.2.10, 7.2.11, 7.2.12,
IMDRF MDSAP WG N3 条款:6.1.1, 6.1.6, 7.4.1
IMDRF MDSAP WG N4 条款:9, 12
确认记录证明了对能力评估、培训、对审核人员、技术专家、项目管理员和最终审核员以及所有参与审核和相关活动的员工保密性、公正性和行为准则的承诺的实施。
适用要求
ISO/IEC 17021:2011 条款:5.2.13, 7.4
IMDRF MDSAP WG N3 条款:5.2.9, 7.1.6, 7.4.1
IMDRF MDSAP WG N4 条款:4, 5, 10, 11
验证审核机构是否已证明其评估能力评估方法和能力管理流程的有效性。
适用要求
ISO/IEC 17021:2011 条款:7.1.3、7.2.5、7.2.7、7.2.8
IMDRF MDSAP WG N3 条款:不适用
IMDRF MDSAP WG N4 条款:不适用
流程:审计与决策流程
目的
审计与决策流程的目的是控制医疗器械制造商对审计的申请以及其他相关活动的管理。该流程包括对申请的审查、审计程序的定义、审计的规划和实施、报告的审查、决策、审计程序的审查、以及为维持认证所需的后续审计的规划,包括特殊审计。
结果
根据对审计与决策流程的评估,客观证据将显示审核机构是否:
确定、记录并实施控制审计与决策流程的方法(即程序和标准)。
针对每个制造商,根据指定认可的监管机构的审计周期,建立并实施审计程序。
按照审计程序进行审计,包括指定合格的审计团队。
审查制造商根据审计结果采取的纠正和整改措施。
基于审计结果和制造商的回复,做出可靠和一致的决策。
按照决策进行后续活动。
有效评估并做出适当的决定,处理申诉。
记录显示有效地实施了审计和决策流程。
针对该流程的风险
审核和决策流程的失效可能导致以下风险:
- 缺乏对审核和决策流程的控制可能导致结果不一致,并影响审核机构输出的可信度。
评估任务
验证审核机构是否按照 IMDRF MDSAP N3 第 9 条(ISO/IEC 17021:2011)的要求,制定了必要的程序。
适用要求
ISO/IEC 17021:2011 条款:9.1.4.1, 9.6.1, 9.7.1
IMDRF MDSAP WG N3 条款:9.1.1
验证审核机构是否建立了、审查并根据需要更新(如有需要)的完整审核流程,该流程针对每个医疗器械制造商,并考虑到审核请求和变更通知的审查,以及先前审核中收集的信息。 验证审核机构是否按照该流程计划了审核。 这包括根据认可的监管机构的要求确定审核时间;以及确定需要审核的相关的站点和关键供应商,同时考虑医疗器械制造商的具体情况。
适用要求
ISO/IEC 17021:2011 条款:8.6.3, 9.1.1, 9.1.2.2.1, 9.1.2.2.2, 9.1.2.2.3, 9.1.2.3, 9.1.4, 9.1.5, 9.1.7, 9.1.8, 9.2.1, 9.2.2.1, 9.2.2.2, 9.2.3, 9.3.1, 9.4.1, 9.5
IMDRF MDSAP WG N3 条款:8.8.1, 9.2.1, 9.2.2, 9.2.3, 9.3.1, 9.4.2, 9.4.4, 9.4.5, 9.5.1, 9.5.2(1&2)
确认审核机构已选择并指定具备相应资质的审核团队,以进行每项审核。确认审核机构已将审核范围、目标和任务告知审核团队,以便进行审核计划的制定以及团队成员之间的责任分配。确认审核机构已告知医疗器械制造商审核团队的组成和审核计划。
适用要求
ISO/IEC 17021:2011 条款:7.2.4, 7.2.5, 7.2.7, 9.1.3.1 至 9.1.3.4, 9.1.6, 9.1.7, 9.1.8, 9.2.2.3, 9.2.2.4
IMDRF MDSAP WG N3 条款:5.2.8, 7.3.1, 7.4.1, 7.5.1, 9.1.4, 9.5.2(1)
确认审核机构按照审核计划和认可的监管机构的要求进行审核。确认审核机构已满足 IMDRF MDSAP WG N3 规定的审核报告要求,包括对任何不符合情况的等级评估,以及任何认可的监管机构的要求。
适用要求
ISO/IEC 17021:2011 条款:9.1.9, 9.1.10, 9.2.3, 9.3.2.1, 9.3.2.2, 9.4.2
IMDRF MDSAP WG N3 条款:8.2, 9.1.2, 9.1.3, 9.2.1, 9.2.2, 9.2.4, 9.2.5, 9.3.1, 9.4.1
确认审核机构已审查制造商在审核期间识别出的任何不符合情况的响应。确认审核机构已适当要求和审查了必要的根本原因分析,以及相关的纠正和/或纠正措施计划。确认审核机构已验证这些措施的实施和有效性,并在必要时进行特别审核。
适用要求
ISO/IEC 17021:2011 条款:9.1.11, 9.1.12, 9.1.13, 9.5.2
IMDRF MDSAP WG N3 条款:9.5
验证审核机构是否审查了审核报告以及其他相关信息,并在符合监管要求方面做出一致的决定。验证对于暂停、撤销或缩小任何认证范围的决定是否符合认可的监管机构的要求。
适用要求
ISO/IEC 17021:2011 条款:5.1.3、9.1.14、9.1.15、9.2.2.5、9.2.4、9.2.5、9.3.3、9.4.3、9.6.1、9.6.2、9.6.4、9.6.5
IMDRF MDSAP WG N3 条款:6.1.7、7.3.1、7.5.1、9.2.6、9.4.3、9.4.5
验证审核机构是否实施了决定,并进行了后续审查和审计,包括未事先通知的审计。
适用要求
ISO/IEC 17021:2011 条款:9.1.13、9.5.2、9.6.3、9.6.4
IMDRF MDSAP WG N3 条款:9.5、9.6.1
验证审核机构是否评估并做出对申诉的决定。验证申诉是否输入到测量、分析和改进流程中。
适用要求
ISO/IEC 17021:2011 条款:9.7
IMDRF MDSAP WG N3 条款:6.1.7、9.1(例外情况)
验证审核机构是否维护了关于审核和决策活动的记录。
适用要求
ISO/IEC 17021:2011 条款 9.9
IMDRF MDSAP WG N3 条款:不适用
流程:信息管理
目的
信息管理流程的目的是确保审核机构与医疗器械制造商、监管机构和公众之间有效的文档控制和沟通。信息管理流程必须确保必要的保密级别。
结果
根据信息管理流程的评估,客观证据将显示审核机构是否:
建立了有效的文档控制流程。
向监管机构和公众提供有关其活动和客户的信息。
与其客户建立适当的合同关系。
实施适当的安排以保护保密性。
针对该流程的风险
信息管理流程的失败可能带来以下风险:
缺乏对内部文档的控制,导致不适当的审计和决策;
缺乏对与外部方共享的信息的控制,可能导致提供不准确、过时或误导性信息;或/以及,
泄露机密信息。
评估任务
验证是否已定义、记录并实施了用于控制符合质量管理体系要求的文档和记录的程序。确认组织保留至少 15 年的文档和记录,包括至少一个过时的控制文档副本。
适用要求
ISO/IEC 17021:2011 条款:9.9.3、9.9.4、10.3.3、10.3.4
IMDRF MDSAP WG N3 条款:10.1.2
验证审计机构是否公开提供或根据要求提供描述其审计程序的的信息。
适用要求
ISO/IEC 17021:2011 条款:8.1.1、8.1.2、9.7.2、9.8.1
IMDRF MDSAP WG N3 条款:5.2.6
验证审计机构是否已向医疗器械制造商提供有关审计和决策流程的详细信息,包括处理投诉和申诉的流程,以及费用。
适用要求
ISO/IEC 17021:2011 条款:8.6.1、8.6.2
IMDRF MDSAP WG N3 条款:5.2.6
确认审核机构已与医疗器械制造商建立合同,明确双方的责任。确认合同允许认可的监管机构观察和评估审核机构的审计。确认合同允许认可的监管机构与拥有保密协议的其他监管机构交换信息。确认合同规定了关于引用其符合性状态以及处理不当使用或误报符合性状态的潜在行动的要求。
****
适用要求
ISO/IEC 17021:2011 条款:5.1.2、8.4、8.5、8.6.3、9.5.1、9.6.3、9.6.6
IMDRF MDSAP WG N3 条款:5.1 (例外情况)、5.1.4、5.1.5、8.7.4、8.8.1、9.5.1、9.5.2(3)
确认审核机构已实施控制,以向认可的监管机构提供符合监管要求的审计报告和证书,以及其他所需和要求的报告和沟通。
适用要求
ISO/IEC 17021:2011 条款:8.2
IMDRF MDSAP WG N3 条款:6.1.3、8.2、8.7、9.2.2、9.4.6、9.5.3、9.6.1、9.8.1
确认审核机构已公开提供或根据要求提供关于符合性状态或已授予、暂停或撤销的认证的信息。
适用要求
ISO/IEC 17021:2011 条款:8.1.3、8.1.4、8.3、9.6.3、9.6.7、9.8.10
IMDRF MDSAP WG N3 条款:8.3.1、8.8.1
确认审核机构已定义、记录并实施程序,并采取了具有法律效力的安排,以确保保密,除非IMDRF MDSAP文档的要求或法律要求需要披露。
适用要求
ISO/IEC 17021:2011条款:8.5、9.9.3
IMDRF MDSAP WG N3条款:8.5、8.7、8.8