Подготовка к аудиту по ИСО 13485. Подробное руководство и чек-лист

Цель руководства — помочь вашей организации подготовиться к аудиту ISO 13485 (например, сертификационному, надзорному или внутреннему) и пройти его успешно, минимизируя стрессы и максимизируя пользу.

1. Что представляет собой аудит ISO 13485

Первым шагом важно понять, что собой представляет аудит по ISO 13485. Это не просто проверка формальностей — это систематическая, независимая и документированная оценка, направленная на выяснение, соответствует ли система менеджмента качества вашей компании требованиям ISO 13485.

Основные моменты:

• Аудит может быть внутренним (выполняется вашей собственной командой или привлечённым лицом) или внешним (проводится сертификационным органом или регулятором).
• В ходе аудита проверяется:
  • документация системы менеджмента качества (QMS: Quality Management System);
  • соответствие политик/процедур требованиям стандарта;
  • интервью с сотрудниками на разных уровнях;
  • наблюдение за процессами в реальном времени;
  • отбор записей/документов для подтверждения соответствия.
• Аудит можно воспринимать как зеркало (отражает, как система работает) и как карту (показывает, куда двигаться дальше).
• Основные категории аудитов ISO 13485: внутренние, сертификационные, надзорные (surveillance).

2. Ключевые требования аудита ISO 13485

Чтобы подготовка имела смысл, нужно знать основные требования, на которые будет опираться аудитор. Ниже — основные блоки, выделенные в статье.

1. Документация системы менеджмента качества (QMS-документы)
   Включает: качество руководство, процедуры, записи. Аудитор проверяет, не только есть ли документ, но и реализован ли он и поддерживается ли.
   Важно: процедуры должны отражать реальность — «писать не то, что хочу услышать, а то, что реально работает».
2. Ответственность руководства (Management responsibility)
   Аудитор оценивает, как руководство демонстрирует свою приверженность QMS: управление, обзоры руководства, качество целей, фокус на клиентах, планирование ресурсов.
3. Управление ресурсами (Resource management)
   Персонал, обучение, инфраструктура, рабочая среда — всё это должно быть обеспечено.
4. Реализация продукта (Product realisation)
   Аудитор проверит процессы: планирование, разработка, закупки, производство, обслуживание. Следят за прослеживаемостью, управлением рисками, контролями разработки и процессами валидации.
5. Измерение, анализ и улучшение (Measurement, analysis & improvement)
   Система должна демонстрировать постоянное улучшение: внутренние аудиты, обработка жалоб, CAPA (корректирующие и предупреждающие действия), анализ данных.

3. Практические советы по подготовке к аудиту

Статья содержит раздел с советами и трюками, которые помогут подготовиться не формально, а действительно эффективно.

3.1 Относитесь к внутренним аудитам как к «настоящему»

• Не воспринимайте внутренние аудиты как галочку в списке. Лучше использовать их как симуляцию внешнего аудита — с формой, серьёзностью, вниманием к деталям.
• Реальный совет: «Запланируйте регулярные внутренние аудиты с чередующимся внутренним „гостевым аудитором’’, например, ежеквартально».

3.2 Проведите предаудиторское интервью с ключевыми сотрудниками

• Аудиторы часто задают вопросы людям «на линии» (техники, инженеры, производство, сервис). Сотрудники могут нервничать, если не привыкли.
• Совет: на неделе перед аудитом проводите короткие (15-мин) интервью с ключевыми работниками, задавая вопросы вроде:

«Что вы делаете, если находите дефектный компонент?»
«Как вы знаете, что ваша процедура актуальна?»
«Где вы находите рабочие инструкции?»

• Это не просто «зазубривание ответов», а помощь людям понять почему они делают то, что делают, и чувствовать уверенность при объяснении.

3.3 Хорошо знайте свои недавние CAPA (Корректирующие действия) и жалобы

• Аудиторы любят «потянуть ниточку»: берут жалобу или CAPA и проверяют её через всю систему: журнал жалоб → отчёт расследования → анализ коренной причины → корректирующие действия → проверка эффективности.
• Совет: до аудита проведите анализ с вашей командой качества: выберите 5 последних CAPA и репетируйте объяснение: как закрыли, как проверили эффективность. Это показывает зрелость, прозрачность и контроль — три вещи, которые ищут аудиторы.

4. Как провести внутренний аудит ISO 13485

Если вы ещё не делаете этого, рекомендуется использовать внутренние аудиты как основу подготовки к внешнему сертификационному аудиту. В статье приведён последовательный подход.

Шаги:

1. Создание годового графика аудитов
   • Согласно ISO 13485 требуется проводить внутренние аудиты в запланированные интервалы.
   • Формат может быть: один полный аудит QMS за год или поквартальные мини-аудиты по разным процессам.
   • Совет: опубликуйте график аудитов в начале года, чтобы команды могли заранее подготовиться, и никто не чувствовал, что его «поймали врасплох».
2. Определение области и целей аудита
   • Область (scope): какой процесс, продукт, участок или отдел будет проверен.
   • Цели аудита: что хотите проверить — соответствие процедурам, эффективность, соответствие ISO 13485.
   • Критерии: какие документы, стандарты или регуляции будут использоваться как база.
   • Пример:

Область: «Послепродажный надзор»
Цель: «Проверить соответствие пункту 8.2.1 ISO 13485:2016 и внутренней процедуре ПР-008»
Критерии: «ISO 13485:2016, ПР-008»

1. Разработка чек-листа аудита
   • Чек-лист помогает структурировать аудит, сделать его отслеживаемым и увязанным со стандартом.
   • В чек-листе стоит охватить:
     • применимые пункты стандарта ISO 13485;
     • внутренние процедуры и инструкции;
     • конкретные процессные управляемые элементы или выходы;
     • результаты предыдущих аудитов или CAPA (для проверки, закрыты ли они).
   • Пример пункта чек-листа:

«Оцениваются ли жалобы на предмет необходимости уведомления регулятора? — Объективное доказательство: CAPA-0023, Журнал жалоб Q2 2025»

1. Проведение аудита
   • Начинайте с короткого вводного собрания: установить ожидания и снизить напряжение.
   • В процессе аудита:
     • задавайте открытые вопросы (например: «Как вы знаете, что этот документ актуален?»)
     • наблюдайте процессы в действии;
     • отбирайте записи/документы (не всё, но выборочно) чтобы подтвердить соответствие;
     • сравнивайте документированные процессы с тем, что реально происходит;
     • делайте заметки нейтральным, фактическим языком.
   • Совет: оставайтесь любознательными, не агрессивными. Цель аудита — не «поймать» сотрудника, а понять, что и зачем происходит.
2. Фиксация результатов аудита
   • Результаты аудита классифицируются следующим образом:
     • соответствие (conformity) — процесс соответствует требованиям;
     • возможность улучшения (Opportunity for Improvement, OFI) — не несоответствие, но есть поле для улучшения;
     • несоответствие (nonconformity) — процесс не соответствует требованию.
   • Для случаев несоответствия нужно документировать:
     • какой пункт требования не выполнен (указать пункт стандарта или процедуры);
     • объективное доказательство (что было увидено, прочитано, услышано);
     • контекст (например: «в 3 из 10 проверенных записей…»)
   • Пример:

«Пункт 7.5.3.2.1 – Идентификация — Обследование: 2 из 5 образцов готовых устройств без этикетки на финальной инспекции — Доказательство: отчёты партии 24B и 24C от 5 июля 2025»

1. Последующие действия и закрытие цикла
   • После аудита — не забывайте: действия по результатам не менее важны, чем сам аудит.
   • Необходимо:
     • назначить ответственных за корректирующие действия;
     • установить реалистичные сроки выполнения;
     • проверить реализацию и эффективность действий;
     • всё документировать в системе CAPA.
   • Часто требуется обновить документацию (процедуры, инструкции, формы) на основании найденных недостатков.
   • Также важно провести проверку эффективности:
     • обзор новых записей на соответствие;
     • интервью с персоналом после обучения;
     • мини-аудит через некоторый период (например, через 3 месяца) по той же области.

5. Пост-аудиторские действия

Сюда входят действия после завершения внутреннего аудита или внешнего для поддержания и улучшения системы.

• Составление и обзор отчёта по аудиту
  В отчёте должно быть: область и цель аудита, кто проводил и когда, какие процессы и документы проверялись, все находки с классификацией, объективные доказательства, рекомендации/замечания. Руководитель аудита и менеджер качества (или соответствующее руководство) должны его одобрить.
• Инициирование корректирующих действий по несоответствиям
  Как уже указано выше в разделе проведения аудита. Не только выявление, но и действие. Корень проблемы → план действий → реализация → проверка эффективности.
• Обновление документации
  Если аудит выявил, что процедуры, формы или материалы обучения устарели, необходимо:
  • обновить SOP (Standard Operating Procedure) и инструкции работы;
  • убрать из использования устаревшие формы;
  • добавить разъяснения в процесс-карты;
  • провести переобучение персонала по новым версиям.
    Совет: ведите лог изменений (change log) и коммуникацию об изменениях документально.
• Проверка эффективности (effectiveness check)
  Часто забываемый этап, но важнейший: просто устранить проблему недостаточно — нужно проверить, что исправление работает.
  Методы:
  • пересмотреть новые записи (после внедрения корректирующего действия) на предмет соответствия;
  • опросить сотрудников после обучения;
  • провести повторный аудит зоны, где было выявлено несоответствие, через 2-3 месяца.

6. Ключевые выводы и как воспринимать аудит

• Внутренние аудиты ISO 13485 — не просто необходимая формальность, а мощный инструмент выявления пробелов, улучшения процессов и поддержания соответствия.
• Тщательная подготовка и четкая коммуникация — фундамент успешного аудита: узнавание области, обучение аудиторов, адаптированный чек-лист.
• Пост-аудиторская работа — где происходит реальное улучшение: документирование находок, осмысленные корректирующие действия, проверка их эффективности.
• Сам по себе стандарт ISO 13485 — не цель, а средство: он помогает строить культуру качества, обеспечивать безопасные и эффективные медицинские изделия и непрерывно совершенствоваться.

7. Практический чек-лист подготовки

На основе вышеописанного подготовьте внутренний чек-лист, которым можно пользоваться перед внешним аудитом:

🧭 1. Общая подготовка

✅ Цель: обеспечить готовность системы менеджмента качества (QMS) к аудиту без авралов и паники.

Проверьте:

• Определены области и границы системы менеджмента качества.
• Назначен руководитель по качеству и ответственное лицо за взаимодействие с аудитором.
• Назначена дата аудита и подтвержден график.
• Уведомлены все вовлеченные сотрудники.
• Подготовлено помещение для аудиторов (доступ к интернету, документам, кофе/вода).
• Назначен сопровождающий аудиторскую группу.

📚 2. Документация и записи

✅ Цель: убедиться, что документированная информация соответствует ISO 13485:2016.

Проверьте:

• Актуализировано Руководство по качеству.
• Политика и цели в области качества утверждены и актуальны.
• Все процедуры, инструкции, формы, шаблоны доступны и имеют действующие версии.
• Реестр документированной информации поддерживается в актуальном состоянии.
• Система контроля изменений документирована (управление версиями).
• Все устаревшие документы помечены и изъяты из оборота.
• Записи ведутся, хранятся и доступны (например: CAPA, жалобы, калибровка, валидация, обучение).

🧩 3. Области, подлежащие аудиту

✅ Проверьте наличие доказательств по основным процессам:

Менеджмент:

• Анализ со стороны руководства проведен и задокументирован.
• Присутствуют входные и выходные данные анализа.
• Выполняются действия по улучшению.

Риски и возможности:

• Определена методика оценки рисков.
• Риски и действия по управлению ими задокументированы.

Производство и контроль:

• Документированы процессы сборки, тестирования, стерилизации и упаковки.
• Подтверждена квалификация оборудования и персонала.
• Выполнена валидация производственных процессов.
• Ведутся записи о партиях, прослеживаемость обеспечена.

Контроль поставщиков:

• Список утвержденных поставщиков актуален.
• Есть оценки и переоценки поставщиков.
• Доказательства корректирующих действий при несоответствиях.

Контроль несоответствий:

• Оформляются отчеты о несоответствиях.
• CAPA выполняются и закрываются с доказательствами эффективности.

Обучение:

• Персонал обучен и имеет записи о квалификации.
• Компетенции соотносятся с обязанностями.

🧪 4. Проверка технической документации

✅ Проверьте наличие и актуальность:

• Технических файлов по каждому изделию.
• Клинических оценок и отчетов.
• Данных по валидации, верификации, тестированию.
• Деклараций соответствия и сертификатов CE (при наличии).
• Регистрационных досье (если требуется).

📈 5. Внутренние аудиты и CAPA

✅ Цель: показать аудитору, что организация системно контролирует свою систему.

Проверьте:

• Внутренние аудиты проводятся регулярно и охватывают все области QMS.
• Есть программа аудитов и записи отчетов.
• Выявленные несоответствия задокументированы.
• Корректирующие действия выполнены и оценена их эффективность.
• CAPA ведутся в едином реестре.

🗣️ 6. Поведение во время аудита

✅ Подготовьте персонал:

• Сотрудники знают, как отвечать на вопросы аудитора (четко, по существу, без догадок).
• Доступ к документам обеспечен быстро.
• Все говорят на одном языке: понимают свои процессы, цели и политику.
• Избегаются лишние комментарии или догадки (“я думаю”, “наверное”).
• Все ответы подтверждаются записями.

🧾 7. После аудита

✅ Действия по результатам:

• Получен и проанализирован отчет аудитора.
• Несоответствия классифицированы (major/minor).
• Составлен план корректирующих действий.
• Сроки и ответственные утверждены.
• Доказательства устранения несоответствий отправлены в орган по сертификации.
• Проведен внутренний анализ уроков, извлеченных из аудита.

📋 Итоговый краткий чек-лист ISO 13485 Audit Readiness