Wie erhält man eine ISO 13485-Zertifizierung

Neuauflage von Plato

Verfolger: 0

Geschrieben von Rob Packard on 16. Juni 2020

In diesem Artikel erfahren Sie, wie Sie sich nach ISO 13485 zertifizieren lassen, erfolgreich sein und gleichzeitig den Stress vermeiden, der andere Qualitätsmanager quält.

Es gibt einen großen Unterschied zwischen der Zertifizierung nach ISO 13485 und der Konformität mit ISO 13485:2016, dem Standard für Qualitätsmanagementsysteme für Medizinprodukte. Jeder kann die Einhaltung des Standards beanspruchen. Die Zertifizierung setzt jedoch voraus, dass eine akkreditierte Zertifizierungsstelle die Anforderungen der ISO 17021:2015 befolgt und bestätigt hat, dass Ihr Qualitätssystem der Norm entspricht. Um diese Zertifizierung aufrechtzuerhalten, müssen Sie die Wirksamkeit Ihres Qualitätssicherungssystems aufrechterhalten und sowohl jährliche Überwachungsaudits als auch ein Rezertifizierungsaudit alle drei Jahre durchlaufen.

Schritt 1 – Planung der ISO 13485-Zertifizierung

Der ISO 13485-Zertifizierungsprozess umfasst sechs Schritte, aber das bedeutet nicht, dass es nur sechs Aufgaben gibt. Der erste Schritt in jedem Qualitätssystem ist die Planung. Die meisten Leute beziehen sich auf den Deming-Zyklus oder Plan-Do-Check-Act (PDCA)-Zyklus, wenn sie beschreiben, wie ein Qualitätssystem implementiert wird. Wenn Sie jedoch ein vollständiges Qualitätssystem implementieren, müssen Sie den Teil des „Machens“ des PDCA-Zyklus in viele kleine Aufgaben aufteilen und nicht in eine große Aufgabe. Sie können ein Qualitätssystem auch nicht alleine implementieren. Qualitätssysteme liegen nicht allein in der Verantwortung des Qualitätsmanagers. Die Implementierung eines Qualitätssystems liegt in der Verantwortung aller im Top-Management.

Unten sind sieben Aufgaben aufgelistet. Ich tat NICHT identifizieren Sie diese neun Aufgaben als „Schritte“ im ISO 13485-Zertifizierungsprozess, da diese Aufgaben normalerweise für jeden Prozess in Ihrem Qualitätssystem wiederholt werden. Die meisten Qualitätssysteme werden im Laufe der Zeit implementiert und der Umfang des Qualitätssystems wächst normalerweise. Daher müssen Sie mit ziemlicher Sicherheit alle der folgenden neun Aufgaben mehrmals ausführen – selbst nachdem Sie die Erstzertifizierung nach ISO 13485 erhalten haben. Wie heißt es so schön: „Wie isst man einen Elefanten? Ein Bissen nach dem anderen.“ Vermeiden Sie daher das unvermeidliche Sodbrennen, das durch den Versuch verursacht wird, zu viel auf einmal zu tun. Implementieren Sie Ihr Qualitätssystem „Biss“ nach dem anderen.

Aufgabe 1 – Anwendbare Normen kaufen

Die erste Aufgabe bei der Implementierung eines ISO 13485-Qualitätssystems besteht darin, eine Kopie des ISO 13485:2016-Standards zu erwerben, so wie die MDSAP-Begleitdokument. Darüber hinaus benötigen Sie weitere geltende Medizinproduktenormen. Einige dieser Standards sind allgemeine Standards, die für die meisten, wenn nicht alle Medizinprodukte gelten, wie beispielsweise ISO 14971:2019 für das Risikomanagement. Es gibt auch Leitfäden, die die Anwendung dieser allgemeinen Standards erläutern, wie z. B. ISO/TR 24971:2020, Leitlinien zur Anwendung von ISO 14971:2019. Schließlich gibt es Prüfnormen, die Prüfmethoden und Akzeptanzkriterien für Dinge wie Biokompatibilität und elektrische Sicherheit festlegen. Sie müssen diese Standards auf neue und überarbeitete Versionen überwachen. Wenn diese Standards aktualisiert werden, müssen Sie den überarbeiteten Standard identifizieren und einen Plan zur Bewältigung der Änderungen entwickeln.

Achten Sie beim Kauf einer Norm darauf, eine elektronische Version der Norm zu kaufen, damit Sie die Norm effizient nach Schlüsselwörtern durchsuchen können. Sie sollten auch den Kauf einer Mehrbenutzerlizenz für den Standard in Betracht ziehen, da jeder Manager in Ihrem Unternehmen Informationen im Standard nachschlagen muss. Alternativ können Sie ein Papierexemplar des Standards kaufen und den Standard so finden, dass jeder in Ihrem Unternehmen darauf zugreifen kann. Oft werde ich gefragt, was der Unterschied zwischen der EN-Version der Norm und der ISO-Version der Norm ist. „EN“ ist eine Abkürzung für Europäische Standards oder „Europäische Normen“, die auf der wörtlichen Übersetzung aus den Sprachen Französisch (d. h. „normes“) und Deutsch (d. h. „Norm“) basiert. „ISO“-Versionen sind internationale Standards. Im Allgemeinen ist der Hauptteil der Norm in der Regel identisch, harmonisierte EN-Normen für Medizinprodukte umfassen jedoch die Anhänge ZA, ZB und ZC, in denen etwaige Abweichungen von den Anforderungen in drei Medizinprodukterichtlinien (d. h. MDD, AIMD und IVDD) aufgeführt sind.

Aufgabe 2 – Identifizieren Sie, welche Prozesse anwendbar sind

Abschnitt 1 von ISO 13485 bezieht sich speziell auf den Geltungsbereich eines Qualitätssystems. ISO 9001, der allgemeine Standard für Qualitätssicherungssysteme, ermöglicht es Ihnen, jede Klausel von Ihrer Qualitätssicherungssystemzertifizierung auszuschließen. Mit ISO 13485 können Sie jedoch nur Designkontrollen ausschließen (dh Abschnitt 7.3). Andere Klauseln in ISO 13485 können aufgrund der Art Ihres Medizinprodukts oder Ihrer Dienstleistung als „nicht anwendbar“ identifiziert werden. Sie müssen auch den Grund für die Nichtanwendbarkeit in Ihrem Qualitätshandbuch dokumentieren. Typischerweise sind die folgenden Klauseln allgemeine Klauseln, die als nicht anwendbar identifiziert wurden:

Abschnitt 4.1.6 – Qualitätssystemsoftware
Klausel 6.4 – Arbeitsumgebung
Abschnitt 7.5.2 – Sauberkeit des Produkts
Abschnitt 7.5.3 – Installation
Abschnitt 7.5.4 – Wartung
Abschnitt 7.5.5 – Sterilprodukte
Abschnitt 7.5.6 – Prozessvalidierung
Abschnitt 7.5.7 – Sterilisationsvalidierung
Abschnitt 7.5.9.2 – Implantierbare Geräte
Klausel 7.5.10 – Kundeneigentum
Abschnitt 8.3.4 – Nacharbeit

Aufgabe 3 – Weisen Sie jedem Prozess einen Prozessverantwortlichen zu

Die dritte Aufgabe besteht darin, jedem Prozess in Ihrem Qualitätssystem einen Prozessverantwortlichen zuzuweisen. Normalerweise erstellen Sie eine Masterliste aller erforderlichen Prozesse. In der Regel werden die Zuweisungen an Manager im Unternehmen vergeben, die einen bestimmten Prozess teilweise oder vollständig delegieren können. Sie sollten davon ausgehen, dass die meisten Manager für mehr als einen Prozess verantwortlich sind, da es in ISO 28:13485 2016 erforderliche Verfahren gibt, aber die meisten Unternehmen haben weniger als zehn Mitarbeiter, wenn sie ein Qualitätssystem zum ersten Mal implementieren.

Aufgabe 4 – Priorisieren und planen Sie die Implementierung jedes Prozesses

Die vierte Aufgabe besteht darin, zu identifizieren, welche Prozesse zuerst erstellt werden müssen, und die Implementierung von Verfahren von Anfang bis Ende zu planen. Sie können und sollten Flexibilität in den Zeitplan einbauen, aber am Anfang sind einige Verfahren erforderlich. Sie benötigen beispielsweise Dokumentenkontrolle, Datensatzkontrolle und Schulungsprozesse, um alle Ihre anderen Verfahren zu verwalten. Sie müssen außerdem die folgenden Prozesse implementieren, um Ihr Design History File (DHF) zu dokumentieren: 1) Designkontrollen, 2) Risikomanagement, 3) Softwareentwicklung (falls zutreffend) und 4) Benutzerfreundlichkeit. Daher stellen diese die sieben Verfahren dar, die die meisten Unternehmen so früh wie möglich implementieren werden. Verfahren wie die Bearbeitung von Beschwerden, das Melden von Medizinprodukten und das Verfahren zur Benachrichtigung sind in der Regel dem Letzten vorbehalten. Diese Verfahren sind zuletzt, da sie erst dann erforderlich sind, wenn Sie ein medizinisches Gerät verwenden.

Aufgabe 5 – Erstellen Sie Formulare, Flussdiagramme und Verfahren für jeden Prozess

Formulare bilden die Struktur für Aufzeichnungen in Ihrem Qualitätssystem, und ein gut gestaltetes Formular kann den Bedarf an langwierigen Erläuterungen in einem Verfahren oder einer Arbeitsanweisung reduzieren. Daher sollten Sie zunächst über die Entwicklung von Formularen nachdenken. Das Formular sollte alle erforderlichen Informationen enthalten, die in der geltenden Norm oder den geltenden Vorschriften angegeben sind, und die Zellen für diese Informationen sollten in der Reihenfolge angezeigt werden, in der die Anforderungen in der Norm aufgeführt sind. Sie könnten sogar erwägen, die Zellen des Formulars zu nummerieren, um einen einfachen Querverweis auf den entsprechenden Abschnitt des Verfahrens zu ermöglichen. Sobald Sie ein Formular erstellt haben, können Sie als Nächstes die Erstellung eines Flussdiagramms in Betracht ziehen. Flussdiagramme bieten eine visuelle Darstellung des Prozesses. Sie können auch die im Flussdiagramm enthaltenen Zahlen berücksichtigen, die auf das Formular verweisen.

Nachdem Sie ein Formular und ein Flussdiagramm erstellt haben, können Sie nun Ihr Qualitätssystemverfahren schreiben. Viele Abschnitte sind normalerweise in einer Verfahrensvorlage enthalten. Es wird empfohlen, eine Vorlage zu verwenden, um sicherzustellen, dass keines der grundlegenden Elemente einer Prozedur ausgelassen wird. Sie könnten auch erwägen, zwei Abschnitte hinzuzufügen, die für ein Verfahren ungewöhnlich sind: 1) Risikoanalyse des Verfahrens mit der Identifizierung von Risikokontrollen, um mit dem Verfahren verbundene Risiken zu vermeiden, und 2) einen Abschnitt zur Überwachung und Messung des Prozesses, um objektiv zu messen die Effektivität des Prozesses. Diese Metriken sind die besten Quellen für vorbeugende Maßnahmen, und einige der Metriken können potenzielle Qualitätsziele sein, die vom Top-Management identifiziert werden müssen.

Aufgabe 6 – Führen Sie eine Gap-Analyse jedes Verfahrens durch

Die meisten Unternehmen verlassen sich auf interne Audits, um fehlende Elemente in ihren Verfahren aufzuspüren. Bei Audits handelt es sich jedoch eher um Stichproben als um eine 100 % umfassende Bewertung. Wenn ein Verfahrensentwurf zum ersten Mal überprüft und genehmigt wird oder eine umfassende Neufassung eines Verfahrens vorgenommen wird, sollte daher vor der Genehmigung des Verfahrensentwurfs eine gründliche Lückenanalyse durchgeführt werden. Matthew Walker hat einen Artikel erstellt, in dem erklärt wird, wie man eine durchführt Gap-Analyse von Verfahren. Darüber hinaus hat Matthew in jedem Verfahren nach und nach Querverweise auf die Anforderungen von ISO 13485:2016 hinzugefügt. Er kodiert auch die querverwiesenen Klauseln in blauer Schrift. Dies macht es für Auditoren deutlich einfacher, mit minimalem Aufwand zu überprüfen, ob ein Verfahren regelkonform ist. Der Erfolg dieser beiden Methoden hat uns gelehrt, wie wichtig es ist, bei allen neuen Verfahren eine Gap-Analyse durchzuführen.

Aufgabe 7 – Schulung des zuständigen Personals für jeden Prozess

Sie sind verpflichtet, den Schulungsbedarf für jede Person oder jeden Arbeitsplatz in Ihrem Unternehmen zu dokumentieren. Die Dokumentation der Schulungsanforderungen kann in einer Stellenbeschreibung oder innerhalb eines Verfahrens erfolgen. Sie müssen nicht nur festlegen, wer geschult werden soll, sondern auch festlegen, welche Art von Schulung angeboten werden soll. Wir empfehlen Ihnen, Ihre Schulungen aufzuzeichnen, um sicherzustellen, dass neue zukünftige Mitarbeiter die gleiche Schulung erhalten. Dadurch wird die Konsistenz gewährleistet. Sie sind außerdem verpflichtet, Aufzeichnungen über die Schulung zu führen. Sie müssen sicherstellen, dass die Schulung effektiv war, und Sie müssen sicherstellen, dass die Person in der Ausführung der Aufgaben kompetent ist. Die Durchführung dieser Schulung kann Tage oder Wochen dauern. Daher sollten Sie möglicherweise einige Wochen vor der Genehmigung Ihres Verfahrens mit der Schulung der Mitarbeiter beginnen. Alternativ können Sie die Reihenfolge der Aufgaben tauschen und die Schulung nach der Verfahrensfreigabe durchführen. Wenn dieser Ansatz gewählt wird, sollte im Verfahren das Datum angegeben werden, an dem das Verfahren in Kraft tritt – normalerweise 30 Tage nach der Genehmigung, um Zeit für die Schulung zu haben.

Aufgabe 8 – Genehmigen Sie das Verfahren

Die Genehmigung eines Verfahrens kann durch Unterzeichnen und Datieren des Verfahrens selbst erfolgen. Ein anderer Ansatz besteht darin, ein Dokument zu erstellen, in dem alle gleichzeitig genehmigten Verfahren und Formulare aufgeführt sind. Die zweite Methode ist die Methode, die wir in unserem schlüsselfertigen Qualitätssystem verwenden. Unternehmen können beliebig viele Verfahren gleichzeitig prüfen und genehmigen. Da dieser Prozess definiert werden muss, um sicherzustellen, dass alle von Ihnen implementierten Verfahren genehmigt werden, ist der Dokumentenkontrollprozess normalerweise das erste Verfahren, das Unternehmen in einem neuen Qualitätssystem genehmigen. Das zweite Verfahren dient im Allgemeinen der Kontrolle von Aufzeichnungen. Anschließend konzentrieren sich die nächsten implementierten Verfahren typischerweise auf die Dokumentation von Designkontrollen: Designkontrollen, Risikomanagement, Usability-Tests und Softwareentwicklung. Die letzten zu genehmigenden Verfahren sind in der Regel die Bearbeitung von Beschwerden, die Meldung von Medizinprodukten und Rückrufe. Diese Verfahren bleiben für den Schlusspunkt, da Sie sie erst benötigen, wenn Sie Ihr Medizinprodukt verkaufen.

Aufgabe 9 – Beginnen Sie mit der Verwendung des Verfahrens und dem Generieren von Datensätzen

Die letzte Aufgabe, die für die Implementierung eines neuen Qualitätssystems erforderlich ist, besteht darin, mit der Verwendung der Verfahren zur Erstellung von Aufzeichnungen zu beginnen. Für alle Verfahren sind Aufzeichnungen erforderlich, bevor die Wirksamkeit des Prozesses überprüft werden kann. Aufzeichnungen können papierbasiert oder elektronisch sein. Welches Format Sie für die Aufbewahrung von Aufzeichnungen verwenden, muss jedem im Unternehmen durch Ihr Verfahren zur Kontrolle der Aufzeichnungen und/oder innerhalb jedes Verfahrens mitgeteilt werden. Wenn Sie die Informationen in jedes Verfahren aufnehmen, sollten die Datensätze jedes Verfahrens in dem Verfahren aufgeführt und der Speicherort dieser Datensätze angegeben werden. Im Allgemeinen gibt es keine bestimmte Mindestanzahl von Datensätzen für ein Zertifizierungsaudit, aber Sie sollten für jeden von Ihnen implementierten Prozess mindestens einige Datensätze haben.

Schritt 2 – Durchführung Ihres ersten internen Audits

Der Zweck des internen Audits besteht darin, die Wirksamkeit des Qualitätssystems zu überprüfen und Abweichungen zu erkennen, bevor der Auditor der Zertifizierungsstelle sie feststellt. Um dieses sekundäre Ziel erfolgreich zu erreichen, ist ein strengeres internes Audit unerlässlich, als Sie es für das Zertifizierungsaudit erwarten. Daher sollte das interne Audit von gleicher oder längerer Dauer sein wie das Zertifizierungsaudit. Die interne Revision sollte nicht aus einer Desktop-Überprüfung der Verfahren bestehen. Die Überprüfung von Verfahren sollte Teil der Lückenanalyse (dh Aufgabe 6 oben) sein, die an Verfahrensentwürfen durchgeführt wird, bevor sie genehmigt werden. Interne Audits sollten den Prozessansatz für die Auditierung verwenden, und der Auditor sollte einen risikobasierten Ansatz anwenden (dh sich auf die Prozesse konzentrieren, die am ehesten zu fehlerhaften Produkten beitragen, zu einer Beschwerde führen oder schwere Verletzungen und Tod verursachen). .

Nach Ihrem internen Audit erhalten Sie vom Auditor einen internen Auditbericht. Erwarten Sie auch Feststellungen des internen Auditors, und Sie sollten erwarten, dass Verbesserungsmöglichkeiten (OFI) identifiziert werden. Erfahrene Auditoren können die Grundursache einer Nichtkonformität in der Regel schneller identifizieren als die meisten Prozessverantwortlichen. Daher wird jedem Prozessverantwortlichen und Fachexperten empfohlen, Abweichungen mit dem Auditor zu überprüfen und zu besprechen, wie die Abweichung untersucht werden sollte. Die Ursache muss während des CAPA-Prozesses richtig identifiziert werden und die Wirksamkeitsprüfung muss objektiv sein, um sicherzustellen, dass Probleme nicht erneut auftreten.

Schritt 3 – Initiieren von Korrekturmaßnahmen

Für jedes interne Audit-Ergebnis sollten sofort Korrekturmaßnahmen eingeleitet werden, um sicherzustellen, dass die Ergebnisse korrigiert werden und ein erneutes Auftreten vor dem Audit der Stufe 1 verhindert wird. Es wird mindestens 30 Tage dauern, bis die meisten Korrekturmaßnahmen umgesetzt sind. Abhängig von der Planung des internen Audits ist möglicherweise nicht genügend Zeit vorhanden, um die Korrekturmaßnahmen abzuschließen. Sie sollten jedoch für jeden Befund zumindest eine CAPA einleiten, eine Untersuchung der Grundursache durchführen und mit der Umsetzung von Korrekturmaßnahmen beginnen.

Um Korrekturmaßnahmen im Zusammenhang mit internen Audit-Ergebnissen zu ergreifen, sollten Sie außerdem nach internen Audits aus anderen Quellen suchen. Das folgende Diagramm zeigt verschiedene Quellen potenzieller Korrektur- und Vorbeugungsmaßnahmen.

Die Überwachung und Messung jedes Prozesses ist die beste Quelle für vorbeugende Maßnahmen, während interne Audits in der Regel die beste Quelle für Korrekturmaßnahmen sind. Alle während der Validierung festgestellten Qualitätsprobleme sind auch hervorragende Quellen für Korrekturmaßnahmen, da die Validierung wiederholt werden kann, um nachzuweisen, dass die Korrekturmaßnahmen wirksam sind. Ihr ISO 13485-Zertifizierungsauditor wird sich jedoch auf nicht konforme Produkte, Beschwerden und Dienstleistungen als die wichtigsten Quellen für Korrekturmaßnahmen konzentrieren. Diese drei Quellen werden priorisiert, da diese drei Quellen das größte Potenzial haben, zu schweren Verletzungen, zum Tod oder zum Rückruf zu führen, wenn keine Korrekturmaßnahmen umgesetzt werden, um das Wiederauftreten von Problemen zu verhindern.

Schritt 4 – Durchführen Ihres ersten Management-Reviews

Zusätzlich zur Durchführung eines vollständigen Audits des Qualitätssicherungssystems vor Ihrem Audit der Stufe 1 wird von Ihnen auch erwartet, dass Sie mindestens eine Managementbewertung durchführen. Um sicherzustellen, dass Sie für jede der 12 Anforderungen des ISO 13485:2016-Standards Inputs haben, wird empfohlen, Ihre Managementbewertung erst durchzuführen, nachdem Sie Ihr vollständiges Qualitätssystem-Audit abgeschlossen und einige Korrekturmaßnahmen eingeleitet haben. Führen Sie nach Möglichkeit auch Lieferantenaudits für eventuelle Lohnhersteller oder Lohnsterilisatoren durch. Es wird empfohlen, für diese Managementbewertung eine Vorlage zu verwenden, die in der Reihenfolge der erforderlichen Eingaben organisiert ist, um sicherzustellen, dass keine der erforderlichen Eingaben übersprungen wird. Qualitätsziele müssen lange vor der Managementbewertung festgelegt werden, damit das Top-Management-Team genügend Zeit hat, um Daten zu jedem der Qualitätsziele zu sammeln. Außerdem sollten Sie erwägen, die Verantwortung für die Erstellung der verschiedenen Folien für jede Eingabe an verschiedene Mitglieder des Top-Managements zu delegieren. Dadurch wird sichergestellt, dass alle zum Meeting eingeladenen Personen in den Prozess eingebunden sind und die Arbeitsbelastung für die Meeting-Vorbereitung auf mehrere Personen verteilt wird.

Am Ende des Meetings muss das Top-Management eine Liste von Aktionspunkten erstellen, die vor dem nächsten Management-Review-Meeting abgeschlossen werden müssen. Besprechungsprotokolle müssen für die Besprechung dokumentiert werden, einschließlich der Liste der Aktionspunkte und jedes der vier erforderlichen Ergebnisse des Management-Review-Prozesses. Wir empfehlen, den Notizenabschnitt eines Präsentationsfolienstapels zu verwenden, um die Besprechungsprotokolle zu jeder Folie zu dokumentieren. Anschließend kann das Foliendeck in Notizseiten umgewandelt und als PDF gespeichert werden. Die PDF-Notizenseiten sind Ihre letzten Besprechungsprotokolle für die Managementbewertung. Ein Beispiel für eine dieser Notizseiten finden Sie in der folgenden Abbildung.

Eine der häufigsten nicht wertschöpfenden Feststellungen von Auditoren ist, wenn ein Auditor eine Nichtkonformität feststellt, weil Ihr nächstes internes Audit und Ihr nächstes Management-Review nicht geplant sind – auch wenn beide möglicherweise nur einen Monat vor der Stufe 1 stattgefunden haben Prüfung. Daher empfehlen wir Ihnen, Ihren nächsten 12-Monats-Zyklus für interne Audits zu dokumentieren und Ihren nächsten Management-Review als Aktionspunkte in jedes Management-Review-Meeting einzuplanen. Der Zeitplan kann bei Bedarf angepasst werden, aber dies ermöglicht es dem Top-Management, verschiedene Bereiche in internen Audits hervorzuheben, die möglicherweise verbessert werden müssen. Sie können sich sogar als Qualitätsziel festlegen, dass am Ende Ihrer ersten Managementbewertung mindestens drei Managementbewertungen pro Jahr durchgeführt werden.

Schritt 5 – Stufe 1, Erstzertifizierungsaudit nach ISO 13485

2006 wurde die Norm ISO 17021 zur Bewertung von Zertifizierungsstellen eingeführt. Dies ist der Standard, der definiert, wie Zertifizierungsstellen Ihr Erstzertifizierungsaudit, die jährliche Überwachung Ihres Qualitätssystems und die Rezertifizierung Ihres Qualitätssystems durchführen sollen. In der Vergangenheit führten Zertifizierungsstellen in der Regel vor dem Besuch vor Ort ein „Desktop“-Audit Ihres Unternehmens durch, um sicherzustellen, dass Sie über alle erforderlichen Verfahren verfügen. Die ISO 17021 verlangt jedoch, dass Zertifizierungsstellen ein Audit der Stufe 1 durchführen, das die Bereitschaft Ihres Unternehmens bewertet, bevor sie ein Audit der Stufe 2 durchführen. Selbst wenn das Audit der Stufe 1 aus der Ferne durchgeführt wird, wird daher von der Zertifizierungsstelle erwartet, dass sie Prozessverantwortliche und Musteraufzeichnungen befragt, um zu überprüfen, ob das Qualitätssystem implementiert wurde. Die Auditoren der Zertifizierungsstelle überprüfen in der Regel auch, ob Ihr Unternehmen ein umfassendes Qualitätssystemaudit und mindestens eine Managementbewertung durchgeführt hat. Schließlich wählt der Auditor normalerweise einen Prozess wie Korrekturmaßnahmen und Präventivmaßnahmen (CAPA) aus, um sicherzustellen, dass Sie Probleme mit dem Qualitätssystem identifizieren und geeignete Maßnahmen ergreifen, um diese Probleme anzugehen.

Ihr Ziel für das Audit der Stufe 1 sollte nicht die Perfektion sein. Stattdessen liegt Ihr Fokus darauf, sicherzustellen, dass es keine „größeren“ Abweichungen gibt. Der Begriff „Major“ hatte früher eine spezifische Definition:

Fehlen eines dokumentierten Verfahrens oder Prozesses
Freigabe fehlerhafter Produkte
Wiederholte Abweichungen (nicht möglich während einer Stufe 1)

Gemäß MDSAP verwendet das Bewertungssystem für Nichtkonformitäten nun ein Nummerierungssystem für die Einstufung von Nichtkonformitäten: „Bewertungssystem für Nichtkonformität für regulatorische Zwecke und Informationsaustausch Studiengruppe 3 Abschlussdokument GHTF/SG3/N19:2012" Jede Nichtkonformität wird auf einer Skala von eins bis vier bewertet und anschließend werden zwei mögliche Eskalationsregeln angewendet. Wenn etwaige Nichtkonformitäten mit vier oder fünf bewertet werden, muss der Prüfer beurteilen, ob eine Benachrichtigung der Aufsichtsbehörden innerhalb von fünf Tagen erforderlich ist. In den folgenden Situationen ist eine Vorankündigung von fünf Tagen erforderlich: 5) ein oder mehrere Ergebnisse mit der Note „1“; oder 5) drei oder mehr Befunde, die mit „2“ bewertet wurden. Wenn Ihr Audit der Stufe 4 zu einer Frist von fünf Tagen führt, sind Sie noch nicht bereit für Ihr Audit der Stufe 1. Beispielsweise würde das völlige Fehlen zweier erforderlicher Verfahren in den Abschnitten 2 bis 6.4 von ISO 8.5:13485 zu zwei Feststellungen mit der Bewertung „2016“ führen. Dies würde nicht zu einer Kündigungsfrist von fünf Tagen führen, aber das Fehlen eines dritten erforderlichen Verfahrens würde zu einer Kündigungsfrist von fünf Tagen führen.

Die Dauer Ihres Audits der Stufe 1 beträgt ein oder zwei Tage, aber ein 1.5-tägiges Audit ist bei MDSAP-Audits der Stufe 1 durchaus üblich. Der Grund für das 1.5-tägige Audit der Stufe 1 ist, dass es schwierig ist, die Bereitschaft für Stufe 2 an einem Tag zu beurteilen, und wenn die Gesamtdauer von Stufe 1 und Stufe 2 5.5 Tage beträgt, könnte das Audit der Stufe 2 in vier abgeschlossen werden Tage. Das viertägige Audit ist für ein zweiköpfiges Auditteam bequemer als ein dreitägiges Audit.

Nach Ihrem Audit der Stufe 1 erhalten Sie einen Auditbericht und können mit Ergebnissen rechnen. Sie sollten für jeden Befund sofort Korrekturmaßnahmen einleiten, um sicherzustellen, dass die Befunde korrigiert werden und ein erneutes Auftreten vor dem Audit der Stufe 2 verhindert wird. Die Dauer zwischen den Audits beträgt typischerweise etwa 4-6 Wochen. Dadurch bleibt Ihnen nicht viel Zeit, eine CAPA einzuleiten, eine Untersuchung der Grundursache durchzuführen und Korrekturmaßnahmen umzusetzen. Sie müssen Ihrer MDSAP-Prüfungsorganisation (AO) mindestens innerhalb von 15 Kalendertagen nach Erhalt der Feststellung einen Korrekturmaßnahmenplan für jede Feststellung vorlegen. Für alle mit „4“ oder höher bewerteten Befunde müssen Sie der AO innerhalb von 30 Kalendertagen nach Erhalt des Befunds einen Nachweis über die Umsetzung des Korrekturmaßnahmenplans vorlegen. Es ist auch unwahrscheinlich, dass Sie vor dem Audit der Stufe 2 genügend Zeit haben, um eine Wirksamkeitsprüfung durchzuführen.

Schritt 6 – Stufe 2, Erstzertifizierungsaudit nach ISO 13485

Das erste ISO 2-Zertifizierungsaudit der Stufe 13485 überprüft, ob alle regulatorischen Anforderungen für jeden Markt, in dem Sie vertreiben möchten, erfüllt wurden. Der Auditor wird eine MDSAP-Checkliste ausfüllen, die alle regulatorischen Anforderungen für jedes der Länder enthält, die MDSAP anerkennen: 1 ) USA, 2) Kanada, 3) Brasilien, 4) Österreich und 5) Japan. Der Auditor nimmt auch Stichproben von Aufzeichnungen von jedem Prozess in Ihrem Qualitätssystem, um zu überprüfen, ob die Verfahren und Prozesse vollständig implementiert sind. Dieses Audit dauert in der Regel mindestens vier Tage, es sei denn, mehrere Auditoren arbeiten in einem Auditteam.

Zu den Auditzielen des Zertifizierungsaudits Stufe 2 nach ISO 13485 gehört insbesondere die Bewertung der Wirksamkeit Ihres Qualitätssystems in den folgenden Bereichen:

Anwendbare behördliche Anforderungen
Produkt- und prozessbezogene Technologien
Technische Dokumentation

Alle Verfahren werden auf Übereinstimmung mit ISO 13485:2016 und den geltenden Vorschriften überprüft. Der Prüfer wird außerdem Stichproben aus den Aufzeichnungen jedes Prozesses erstellen. Wenn der Auditor während des Audits Abweichungen feststellt, ist es wichtig, die Ergebnisse zu dokumentieren und sofort mit der Planung von Korrekturmaßnahmen zu beginnen. Wenn Sie Fragen zu den Erwartungen an die Untersuchung der Grundursache, Korrekturen, Korrekturmaßnahmen und Wirksamkeitsprüfungen haben, sollten Sie sich während des Audits oder der Abschlussbesprechung an den Prüfer wenden. Sie müssen Ihrer MDSAP-Prüfungsorganisation (AO) mindestens innerhalb von 15 Kalendertagen nach Erhalt der Feststellung einen Korrekturmaßnahmenplan für jede Feststellung vorlegen. Für alle mit „4“ oder höher bewerteten Befunde müssen Sie der AO innerhalb von 30 Kalendertagen nach Erhalt des Befunds einen Nachweis über die Umsetzung des Korrekturmaßnahmenplans vorlegen. Der Auditor kann Sie erst dann für die ISO 13485-Zertifizierung empfehlen, wenn Ihre Korrekturmaßnahmenpläne akzeptiert wurden.

Wenn Sie ein Ergebnis mit der Bewertung „5“ oder drei oder mehr Ergebnisse mit der Bewertung „4“ erhalten, muss der MDSAP-Auditor eine fünftägige Benachrichtigung an die Aufsichtsbehörden senden. Der Auditor muss auch für ein Folgeaudit in Ihre Einrichtung zurückkehren, um so viele Feststellungen wie möglich abzuschließen. Um für die ISO 13485-Zertifizierung empfohlen zu werden, müssen nicht alle Befunde eliminiert werden, jedoch muss die Bewertung der Befunde auf mindestens eine „3“ reduziert werden, bevor das Unternehmen zur Zertifizierung empfohlen wird. Die Anzahl der Feststellungen bestimmt auch, ob der Auditor Ihr Unternehmen zur Zertifizierung empfiehlt.

Neben der Überprüfung der Feststellungen und Schlussfolgerungen des Audits in der Abschlussbesprechung bespricht der Auditor mit Ihnen auch den Plan für die jährliche Überwachung und Rezertifizierung. Jeder Zertifizierungszyklus dauert drei Jahre. Es werden zwei Überwachungsaudits von ungefähr einem Drittel der Gesamtdauer der Erstzertifizierungsaudits der Stufe 1 und 2 durchgeführt, und das erste Überwachungsaudit muss innerhalb von 12 Monaten nach dem Erstzertifizierungsaudit abgeschlossen sein. Im dritten Jahr findet ein Rezertifizierungsaudit für zwei Drittel der Gesamtdauer der Erstzertifizierungsaudits Stufe 1 und Stufe 2 statt. Das anfängliche ISO 13485-Zertifikat wird mit Ablauf von drei Jahren ausgestellt und das Zertifikat wird in der Regel etwa einen Monat nach Annahme Ihres Korrekturmaßnahmenplans erhalten.