Für viele Medizinprodukteunternehmen, die ein Managementsystem nach ISO 13485 einführen, besteht ein wesentlicher Teil der Arbeit darin, Systeme zu dokumentieren und bestehende Systeme und Programme zu verbessern oder zu erweitern. Die Anforderungen der Norm an interne Audits umfassen häufig sowohl die Entwicklung als auch die Implementierung. Viele Organisationen haben noch keine internen Auditprogramme, wenn sie den ISO 13485-Implementierungsprozess in Angriff nehmen. Andere haben dagegen bereits Teilprogramme, die sich auf bestimmte Herstellungs- oder Dienstleistungsprozesse konzentrieren.
In diesem Blog möchten wir einen Leitfaden für die Implementierung eines effektiven Auditprogramms bereitstellen und die Möglichkeiten erkunden, die sich aus seiner Implementierung und seinem Management ergeben. Diese Möglichkeiten beziehen sich sowohl auf Organisationen, die gerade dabei sind, Systeme einzuführen, als auch auf solche mit ausgereiften Qualitätsmanagementsystemen und internen Auditprogrammen.
Auditprogramm
Die Durchführung effektiver interner Audits ist entscheidend für das effektive Funktionieren des Qualitätsmanagementsystems (QMS). Anhand der Rückmeldungen aus solchen Audits und anderen Informationsquellen, wie z. B. Beschwerden und Serviceaufzeichnungen, schließt die Organisation die Rückkopplungsschleife, um sicherzustellen, dass die QMS-Prozesse kontrolliert ablaufen.
Die Planung des internen Auditprogramms sollte Änderungen des Schwerpunkts und der Intervalle auf der Grundlage des damit verbundenen Risikos ermöglichen, wie es in der ISO 13485 (Abschnitt 8.2.4) gefordert wird:
Ein Auditprogramm ist unter Berücksichtigung des Status und der Bedeutung der zu auditierenden Prozesse und Bereiche sowie der Ergebnisse früherer Audits zu planen.
In den meisten Organisationen werden die Begriffe Audit-Programm, Audit-Plan, Audit-Zeitplan, Audit-Agenda usw. falsch verstanden, weil die Existenz der ISO 19011 (Leitfaden zur Auditierung von Managementsystemen) nicht bekannt ist, obwohl sie im Abschnitt über interne Audits in der Norm zitiert wird. Wir empfehlen den Herstellern dringend, sich mit der ISO 19011 vertraut zu machen, da sie ausführlichere Informationen enthält.
ISO 19011 definiert Auditprogramm wie folgt:
Auditprogramm - Vorkehrungen für einen Satz von einem oder mehreren Audits, die über einen bestimmten Zeitrahmen geplant und auf einen bestimmten Zweck ausgerichtet sind.
Im Grunde listet das Auditprogramm alle internen Audits auf, die von der Organisation für einen bestimmten Zeitraum geplant sind, z.B. 1 Jahr oder 3 Jahre. Organisationen können ein allgemeines Auditprogramm aufstellen, das sowohl interne Audits als auch externe Audits durch Benannte Stellen und Kunden, Lieferantenaudits usw. umfasst. Die ISO 13485 verlangt ein Auditprogramm jedoch nur für interne Audits.
Das Auditprogramm muss gemäß ISO 13485 zumindest Auditkriterien, -umfang, -intervalle und -methoden enthalten, wobei ISO 19011 empfiehlt, Faktoren wie Ziel, Umfang und Dauer jedes Audits und die Anzahl der durchzuführenden Audits, Berichterstattungsmethode und ggf. Audit-Follow-up, Ergebnisse früherer Audits und früherer Programmüberprüfungen, sprachliche, kulturelle und soziale Fragen, das Auftreten interner und externer Ereignisse wie Nichtkonformitäten von Produkten oder Dienstleistungen, Lücken in der Informationssicherheit, Gesundheits- und Sicherheitsvorfälle usw. zu berücksichtigen.
Wir empfehlen, folgende Punkte in das Auditprogramm aufzunehmen:
- Art des Audits
- Prozess(e)/Produkt(e) im Anwendungsbereich des Audits
- (Leitende/r) Auditor(en)
- Geplantes Datum
- Durchführungsdatum
- Audit-Nr. (für die interne Nachverfolgung)
- Häufigkeit (einmal in 1, 2 oder 3 Jahren oder mehr als einmal pro Jahr)
- Auditkriterien (die als Referenz dienenden Anforderungen, mit denen objektive Nachweise verglichen werden).
- Auditmethoden (z. B. Vor-Ort- oder Fernaudit, Befragung der Auditierten, Einsichtnahme in Dokumente und Aufzeichnungen sowie Produktionsbesichtigungen unter Anwesenheit von Zeugen).
Wichtig ist hierbei, dass die Häufigkeit der Audits in Abhängigkeit von der Bedeutung des Prozesses, dem Status und den Ergebnissen früherer Audits festgelegt wird. Das nachstehende Beispiel zeigt, dass die Bedeutung des Prozesses für das QMS und der Status des Prozesses im letzten Jahr die Häufigkeit der Audits für diesen speziellen Prozess im QMS der Organisation bestimmen.
Bedeutung | Prozess | Status | Häufigkeit der Audits |
1 - indirekte Auswirkungen 4.1-6.3 von ISO 13485 | Dokumentationskontrolle Dokumentenkontrolle, Verteilung, Kontrolle der Aufzeichnungen, Medizinprodukte-Datei, frühere Nichtkonformitäten (non conformities, NCs) | Angemessen | Alle 24 Monate |
Entweder der Prozessstatus ODER die Ergebnisse des vorherigen Audits sind nicht angemessen | Alle 12 Monate |
Prozessstatus UND Ergebnisse des vorherigen Audits sind nicht angemessen | Alle 6 Monate |
|
2 - direkte Auswirkungen 6.4-8.5 von ISO 13485 | Produktrückverfolgbarkeit Chargenprotokolle, Produktionsplan und -kontrolle, UDI, frühere NCs | Angemessen | Alle 12 Monate |
Entweder der Prozessstatus ODER die Ergebnisse des vorherigen Audits sind nicht angemessen | Alle 6 Monate |
Prozessstatus UND Ergebnisse des vorherigen Audits sind nicht angemessen | Alle 3 Monate |
Die Organisation kann die Häufigkeit auch aufgrund von Änderungen am Produkt oder am Prozess erhöhen. Beispielsweise könnte eine größere Änderung an einem Produkt oder Prozess ein gezieltes Audit in einem bestimmten Bereich oder bei einer Reihe von Anforderungen erforderlich machen. Um dies zu unterstützen, könnte die Organisation z. B. zusätzlich zu dem geplanten Audit ein gezieltes Audit des Design- und Entwicklungsprozesses für ein bestimmtes Produkt durchführen.
Ein internes Auditprogramm wird in der Regel jedes Jahr erstellt und im Rahmen der Managementbewertung bestätigt. Alle Prozesse/Bereiche müssen durch mindestens ein internes Audit während eines Zertifizierungszyklus abgedeckt werden, der auf 3 Jahre verlängert werden kann.
Die nächste wichtige Definition stammt aus ISO 19011:
Auditplan - Beschreibung der Aktivitäten und Vorkehrungen für ein Audit.
Für jedes interne Audit wird ein eigener Auditplan erstellt, der den Status und die Bedeutung der zu auditierenden Prozesse und Bereiche berücksichtigt. Der interne Auditplan sieht in der Regel Folgendes vor:
- Auditierte Person(en). Gemäß der Definition in ISO 19011 werden die Organisation als Ganzes oder einzelne Teilbereiche auditiert. Bei den Auditierten handelt es sich in der Regel jedoch um Mitarbeiter der Medizinprodukteherstellung.
- Auditnummer. Die eindeutige Nummer des Audits.
- Auditziele. Das interne Audit hat drei Hauptziele: die Überprüfung der Einhaltung der Normen und Vorschriften, die Überprüfung der Einhaltung des eigenen QMS und die Ermittlung von Verbesserungsmöglichkeiten.
- Auditumfang. Der Umfang des internen Audits muss festgelegt werden. Dazu gehören in der Regel eine Beschreibung der physischen und virtuellen Standorte, Funktionen, Organisationseinheiten, Aktivitäten und Prozesse sowie des erfassten Zeitraums.
- Auditkriterien. Die allgemeinen Auditkriterien werden durch das Programm der internen Audits festgelegt, und alle auditspezifischen Anforderungen werden dokumentiert (z. B. produktspezifische Normen).
- Auditteam. Name(n) und Rolle(n)/Funktion(en) der Mitglieder des Auditteams (Auditoren und technische Experten). Der Leiter des Auditteams (leitender Auditor) wird bestimmt.
- Audittermin(e). Das Datum/die Daten, an dem/denen das Audit durchgeführt werden soll.
- Auditagenda. Der Zeitplan für die Aktivitäten des internen Audits.
- Auditdokumentation. Dokumente/Aufzeichnungen, die zur Vorbereitung des internen Audits erforderlich sind (z. B. Qualitätshandbuch, Verfahren für interne Audits, frühere Berichte über interne Audits).
- Auditmethodik (Überprüfung von Dokumenten/Aufzeichnungen, Interviews, Fernaudits/Vor-Ort-Audits...)
Die Auditagenda ist somit ein Element des Auditplans. In ihr werden in der Regel Datum, Uhrzeit, Thema (Prozess(e)), Auditor(en), auditierte Person(en) und Ort des Audits festgelegt.
Der Plan für das interne Audit muss mit dem genehmigten Auditprogramm übereinstimmen und wird dem für die Prozesse/Bereiche oder Produkte verantwortlichen Management mit einem festgelegten Zeitrahmen (z. B. mindestens zwei bis drei Wochen im Voraus) übermittelt.
Internes Auditteam
Die Entwicklung einer geeigneten Strategie für interne Audits ist eine der wichtigsten ersten Aufgaben. Dazu gehört auch die Festlegung, wer die Audits durchführen soll, wie die Auditoren geschult werden sollen und wie häufig die Audits durchgeführt werden. Die Intensität und Häufigkeit der internen Audits bestimmen die Größe des Auditteams und den Schulungsbedarf.
Größere und hochdynamische Medizinprodukteunternehmen profitieren in der Regel von häufigeren Audits, während kleinere Unternehmen einen entspannteren Zeitplan einhalten können. Und eine Organisation, die häufiger Audits benötigt, kann davon profitieren, einen größeren Pool an geschulten Auditoren zur Verfügung zu haben. Dies würde die Gesamtzeit, die jeder Auditor für ein Audit aufwendet, minimieren und die Unparteilichkeit des Auditprozesses erhöhen.
Die Auditoren dürfen keine Verantwortung in den von ihnen auditierten Bereichen haben. Es ist jedoch von strategischem Vorteil, Auditoren auszuwählen, deren Abteilungen einen Bezug zu den von ihnen auditierten Bereichen haben. So könnte z. B. ein Einkäufer den Versand und die Eingangskontrolle auditieren, die F&E-Abteilung könnte die Fertigung auditieren, und die Fertigung könnte die Qualitätsaspekte des QMS auditieren, usw. Das Audit einer eng verwandten Abteilung ermöglicht es den Auditoren, eingehende Kenntnisse über die Prozesse dieser Abteilungen zu erlangen, die später zur Verfeinerung und Verbesserung des Managementsystems beitragen können.
Schulungen und Qualifikationen für interne Auditoren
Alle internen Auditoren müssen in der Durchführung von Audits geschult werden. Eine effektive Schulung der Auditoren ist wahrscheinlich eine der größten Wertschöpfungsmöglichkeiten, die ein Unternehmen in Bezug auf sein QMS haben kann. Die Schulung sollte der Komplexität der zu auditierenden Bereiche angemessen sein und eine Schulung zu den internen Auditprozessen und -systemen des Unternehmens sowie eine Schulung zu den relevanten Auditkriterien umfassen. Auditoren und alle Mitarbeiter sollten verstehen, dass interne Audits Systemaudits und keine Personenaudits sind.
Einige Medizinprodukteunternehmen schicken ihre Mitarbeiter zu externen Schulungen für interne Auditoren, andere bilden intern aus und haben eine interne Qualifizierung organisiert. Beide Optionen haben ihre Vor- und Nachteile. Die Möglichkeit, interne Auditoren auszubilden und zu rotieren, bietet zweifellos zusätzliche Vorteile. In vielen Medizinprodukteunternehmen zum Beispiel verbringen die Mitarbeiter ihre gesamte Karriere in einer einzigen Position. Die Ausbildung zum internen Auditor hilft und ermöglicht es einem Mitarbeiter, eine wichtige Rolle bei der Aufrechterhaltung des Qualitätsmanagementsystems des Unternehmens zu spielen. Dies sorgt für Abwechslung am Arbeitsplatz und kann die Arbeitszufriedenheit steigern.
Die Anforderungen an die Qualifikation der Auditoren können im Verfahren für interne Audits oder in den Verfahren im Bereich Personalressourcen beschrieben werden. Diese Aufzeichnungen sind aufzubewahren und bei Bedarf für externe Audits zur Verfügung zu stellen.
Wird das interne Audit von externen Auditoren durchgeführt, so sind auch deren Ausbildung und Kompetenzen festzulegen, und in der Praxis müssen externe Auditoren von einem qualifizierten Anbieter stammen. Was die internen Auditoren betrifft, so müssen ihre Qualifikationen dokumentiert und verfügbar sein (Lebenslauf, Zeugnisse, ...), und sie müssen für Ihr internes Auditverfahren geschult werden.
Durchführung von internen Audits
Das Audit beginnt mit einer Eröffnungsbesprechung mit der/den Auditierten und/oder dem für den geprüften Bereich zuständigen Management, dem Auditteam und ggf. dem/den Managementvertreter(n). Während der Eröffnungssitzung wird der Auditplan bestätigt, und das Auditteam erläutert die Klassifizierung der Auditergebnisse und das Berichtsverfahren.
Interne Audits sollten nicht nur anhand einer ISO 13485-Norm oder anhand von 21 CFR Part 820 durchgeführt werden, sondern vielmehr anhand der QMS-Prozesse der Organisation. Dabei können jedoch Mechanismen zur Bewertung der Angemessenheit eines Managementsystems zur Erfüllung internationaler Normen in interne Auditsysteme integriert werden.
Die qualifizierten Auditoren sollten dem initialen Auditplan zur Überprüfung des Qualitätsmanagementsystems folgen. In der Regel ist es vorteilhaft, zunächst einen intensiven Plan und eine Agenda zu entwickeln, die ausschließlich der Überprüfung der Umsetzung des Qualitätsmanagementsystems dienen. Sobald das Unternehmen Vertrauen in die Umsetzung des Systems gewonnen hat, sollte es einen Plan entwickeln, der die Bereiche, die am meisten Aufmerksamkeit erfordern, intensiver abdeckt. Bei Organisationen mit ausgereiften QMS können diese Bereiche auf der Grundlage der Ergebnisse früherer Audits sowie der relativen Bedeutung für die Ziele des Qualitätsmanagementsystems gewichtet werden.
Viele Unternehmen verwenden Audit-Checklisten, um die Auditoren durch Audits bestimmter Prozesse und Abteilungen zu leiten. Diese Checklisten helfen bei der Erstellung von Auditpfaden, indem sie den Auditor veranlassen, verwandte Systeme zu überprüfen, und sie zeigen externen Auditoren oft genau, was interne Auditoren untersucht haben. Wir empfehlen den Herstellern nicht, sich jedes Jahr an dieselben Checklisten zu halten. Dadurch soll verhindert werden, dass die internen Auditoren den ganzheitlichen und umfassenden Überblick über den Stand der Qualitätsmanagementprozesse verlieren.
Die vom Auditteam gesammelten Informationen werden mit Hilfe der im Auditprogramm und -plan dokumentierten Auditmethodik erhoben, wie zuvor erläutert. Die Auditergebnisse werden in den Auditnotizen und der Checkliste dokumentiert, und die Ergebnisse des letzten Audits werden vom Auditteam am Ende des Audits während der Abschlussbesprechung am letzten Tag des internen Audits zusammengefasst und den Anwesenden präsentiert. Etwaige Meinungsverschiedenheiten zwischen dem Auditteam und der auditierten Stelle hinsichtlich der Auditergebnisse oder Schlussfolgerungen sollten in der Abschlussbesprechung erörtert und nach Möglichkeit ausgeräumt werden. Wird keine Lösung gefunden, sollte dies festgehalten werden.
Überprüfung der Ergebnisse
Nach der Durchführung von Audits sollten die Ergebnisse überprüft und untergeordnet werden. Bei einigen Feststellungen kann die Anwendung des Systems für Abhilfemaßnahmen erforderlich sein, bei anderen sind einfachere Korrekturen möglich. Solche Maßnahmen werden in der Regel vom Auditierten innerhalb eines vereinbarten Zeitrahmens beschlossen und durchgeführt. Es lag nie in der Verantwortung der Auditoren, die Feststellungen weiterzuverfolgen und die Pläne für Abhilfemaßnahmen zu genehmigen.
Die auditierte Stelle sollte die für das Auditprogramm zuständige(n) Person(en) und/oder das Auditteam über den Stand dieser Maßnahmen auf dem Laufenden halten. Der Abschluss und die Wirksamkeit dieser Maßnahmen sollten überprüft werden. Diese Überprüfung kann Teil eines nachfolgenden Audits sein. Die Ergebnisse der Audits und der Abhilfemaßnahmen sollten in die Managementbewertungen einfließen, um den internen Auditschleife zu schließen.
Abschließend möchten wir betonen, dass von allen Elementen des Qualitätsmanagementsystems das interne Audit am meisten Zeit und Mühe in Anspruch nimmt, wenn ein System einmal eingeführt ist. Die optimale Nutzung interner Audits kann zu einer stärkeren Einbindung der Mitarbeiter führen, die Arbeitszufriedenheit erhöhen und mehr Möglichkeiten zur kontinuierlichen Verbesserung des bestehenden Systems bieten. Die Auditoren von Qserve verfügen über umfangreiche Erfahrungen bei der Einführung effektiver Auditprogramme und der Durchführung interner Audits. Zögern Sie nicht, Ihre internen Audits auszulagern und damit Ihr internes Auditsystem noch heute zu verbessern.