Guide d'étude GD211 : Directive sur le contenu des rapports d'audit de système de management de la qualité

Certains hyperliens donnent accès à des sites d'organismes qui ne sont pas assujettis à la  
. L'information qui s'y trouve est donc dans la langue du site.

Date d'approbation : 2011/11/15
Date mis en vigueur : 2011/12/07

Avant-propos

Le présent document est un guide d'étude qui fait partie d'un programme de formation sur la ligne directrice de Santé Canada intitulée GD211 : Directive sur le contenu des rapports d'audit de système de management de la qualité destiné aux auditeurs de système de management de la qualité qui effectuent des audits réglementaires au nom de Santé Canada et d'autres organismes de réglementation. Le programme de formation comprend également des modules de présentation PowerPoint de même qu'une formation vidéo en ligne sur le portail d'apprentissage du Centre for Devices and Radiological Health (CDRH). Les étudiants sont invités à profiter de toutes les ressources disponibles sur ce sujet.

Le guide d'étude et le programme de formation connexe n'ont pas pour objet de présenter une nouvelle politique ou une nouvelle directive, mais visent uniquement à aider les auditeurs et les organismes d'évaluation de la conformité à comprendre et à appliquer les directives formulées dans la ligne directrice : les limites présentées dans l'avant-propos de la directive s'appliquent.

Le présent guide d'étude et son programme de formation connexe ont été élaborés de concert avec le Centre for Devices and Radiological Health (CDRH) de la Food and Drug Administration des États Unis. La contribution du CDRH est reconnue et grandement appréciée.

Table des matières

1.0 Introduction

Le présent document est un guide d'étude destiné à aider les organismes d'évaluation de la conformité (OEC) ainsi que leurs auditeurs à comprendre et à appliquer les exigences de la ligne directrice GD211. Il fait partie d'un programme de formation élaboré de concert avec le Centre for Devices and Radiological Health (CDRH) de la Food and Drug Administration (FDA) des États-Unis, qui comprend des modules de formation vidéo en ligne sur le portail d'apprentissage du CDRH ainsi que des présentations PowerPoint. Le programme de formation en soi ne comprend pas de nouvelles exigences. Les lecteurs sont invités à profiter de tous les éléments de ce programme de formation.

Le présent guide d'étude est conçu pour fournir plus d'information sur l'objectif et l'application pratique de la ligne directrice GD211. Même s'il comprend de nombreux exemples, ceux-ci figurent uniquement à titre indicatif. Ils ne devraient pas être interprétés comme représentant des attentes précises à l'égard d'un rapport d'audit ni utilisés en tant que modèles.

Le guide d'étude aborde également de façon approfondie les exigences de la ligne directrice. Les renseignements contenus dans le guide d'étude devraient aider les auditeurs à préparer des rapports d'audit en accord avec les exigences. Quatre principes généraux sont présentés au lecteur afin de l'orienter dans son processus de décision en l'absence de directive précise.

Même si la ligne directrice GD211 indique le contenu minimum des rapports d'audit, elle ne constitue pas un format ni un modèle rigide de rapport d'audit. Les organismes d'évaluation de la conformité sont libres d'ajouter des renseignements à ceux exigés par la ligne directrice. Ce faisant, ils devraient s'efforcer de catégoriser ces renseignements additionnels en fonction des quatre parties d'un rapport mentionnées dans la ligne directrice GD211 et de les insérer dans la section appropriée du rapport. Les renseignements additionnels ne devraient pas contredire le contenu requis ni en diminuer la qualité.

La ligne directrice présente un ordre et un regroupement des renseignements préférés. Il est entendu que certains éléments peuvent être déplacés dans le rapport en raison d'exigences opérationnelles de l'OEC; toutefois, cette pratique devrait être réduite au minimum.

Comme première étape dans l'application de la ligne directrice GD211, les auditeurs devraient examiner de façon critique leurs propres pratiques en matière de rédaction de rapports et s'appuyer sur leurs forces. Il faut comprendre que l'application de la nouvelle ligne directrice exigera du temps et de la pratique, et qu'il est peu probable que les auditeurs excellent à leurs premières tentatives. Une approche disciplinée en matière d'auto-examen et de critique entraînera, tôt ou tard, la maîtrise du sujet.

Même si un rapport préparé conformément à la ligne directrice GD211 peut être plus long et plus détaillé que les rapports que produisent normalement de nombreux OEC, cela ne devrait pas avoir d'incidence directe sur les pratiques courantes en matière d'audit. Bien que les rapports peuvent désormais contenir plus d'information détaillée, les auteurs devraient résister à la tentation de rédiger de longs rapports en fournissant trop de détails et en utilisant un langage spécialisé. Ils devraient employer des phrases courtes, descriptives et factuelles pour transmettre l'information nécessaire.

2.0 Contexte

Le Règlement sur les instruments médicaux énonce un certain nombre de situations où un fabricant doit présenter un certificat valide au Bureau des matériels médicaux. Un tel certificat, délivré par des registraires reconnus par Santé Canada, est une attestation de la part du registraire que le système de management de la qualité (SMQ) du fabricant en question a fait l'objet d'un audit selon la norme ISO 13485:2003, conformément aux exigences de Santé Canada, et a été jugé en conformité avec cette norme en ce qui a trait au champ d'activité énoncé dans le certificat. Tous les audits doivent être étayés par un rapport écrit dont le contenu doit satisfaire aux exigences des normes ISO/IEC 17021:2006 et ISO 19011:2002 ainsi qu'à la ligne directrice GD210 de Santé Canada.

Un certificat étant une attestation de la conformité d'un système de management de la qualité selon des exigences précises, les rapports d'audit correspondants constituent une portion importante de la preuve objective de la mise en œuvre de la procédure d'évaluation de la conformité qui sous-tend cette attestation. En outre, le rapport d'audit fait office de trace écrite de la détermination, par l'équipe d'audit, de la mesure dans laquelle des exigences précises sont satisfaites. En conséquence, le rapport d'audit sert de fondement non seulement pour démontrer la conformité du système de management de la qualité, mais également pour démontrer la conformité de la procédure d'évaluation de la conformité elle-même.

Afin d'assurer une application constante et uniforme des exigences - une situation souhaitable dans le contexte d'un programme de réglementation - les critères doivent être consignés par écrit et suffisamment détaillés afin de réduire au minimum l'interprétation subjective. Les exigences existantes, indiquées dans les normes ISO/IEC 17021:2006 et ISO 19011:2002 et la ligne directrice GD210 de Santé Canada, se limitent à des exigences génériques relatives au contenu des rapports d'audit, et leur mise en œuvre donne lieu à l'interprétation.

En raison des lacunes dans les exigences globales en matière de rapports, d'importants écarts ont été observés dans les pratiques des registraires reconnus par Santé Canada à cet égard. Ces écarts sont liés au format, au contenu ainsi qu'à l'étendue des rapports. Ils compromettent l'impartialité de l'évaluation de l'application du Règlement sur les instruments médicaux. Le résultat de cette situation suggère que les fabricants ne sont pas vérifiés au même niveau d'examen et que les registraires n'appliquent pas de façon tout à fait équivalente les exigences précisées. Il faut donc une ligne directrice qui précise le contenu et le format d'un rapport d'audit préparé à l'appui du certificat servant à l'obtention (ou au maintien) de l'homologation d'un instrument médical, afin d'assurer l'application uniforme des exigences réglementaires.

Comme la réduction des écarts dans les pratiques d'établissement de rapports d'audit est un objectif souhaitable, et comme un ensemble exhaustif d'exigences, d'interprétation claire, permettrait à Santé Canada d'informer les registraires de ses attentes et servirait d'outil d'évaluation, il a été jugé approprié d'élaborer une telle ligne directrice.

2.1 Source

La ligne directrice GD211 : Directive sur le contenu des rapports d'audit de système de management de la qualité est largement fondée sur le contenu technique du document de la GHTF intitulé SG4/N33R16:2007 Guidelines for Regulatory Auditing of Quality Management Systems of Medical Device Manufacturers - Part 3: Regulatory Audit Reports. Au moment d'adapter la ligne directrice de la GHTF, l'objectif principal était d'élaborer un document qui serait adapté au contexte de réglementation canadien. Par exemple, les activités post-commercialisation, qui relèvent de l'Inspectorat de la Direction générale des produits de santé et des aliments, ont été retirées de la ligne directrice, d'autres éléments y ont été ajoutés, comme le champ du numéro d'identification de l'entreprise, et certaines définitions ont été modifiées de sorte qu'elles correspondent à celles utilisées dans le Règlement sur les instruments médicaux et les lignes directrices de Santé Canada.

2.2 Collaboration en matière de réglementation

Même si elle a principalement été élaborée comme une ligne directrice propre à Santé Canada, la ligne directrice GD211 est désormais appliquée à l'extérieur du programme du Système canadien d'évaluation de la conformité des instruments médicaux (SCECIM). Le Programme pilote d'audits à des fins multiples (PPAFM), un effort conjoint de Santé Canada et de la FDA, a révélé qu'un seul rapport d'audit est nécessaire pour assurer la réussite d'un seul programme d'audit. En conséquence, Santé Canada et la FDA ont travaillé de concert à l'adaptation de la ligne directrice GD211 afin qu'elle réponde aux besoins particuliers de Santé Canada et qu'elle convienne à la FDA.

Ainsi, la ligne directrice GD211 correspond désormais au format dans lequel les rapports d'audit doivent être présentés au CDRH dans le cadre du programme pilote de soumission de rapports d'audit ISO 13485 de la FDA. En outre, cette nouvelle voie vers la collaboration et l'harmonisation en matière de réglementation est perçue comme la pierre angulaire d'un futur programme d'audit conjoint qui concernera initialement le Canada et les États-Unis et, ultimement, d'autres pays également.

3.0 Principles

Une ligne directrice ne peut pas traiter de toutes les situations possibles. Toutefois, l'application des principes peut aider les auditeurs à préparer des rapports d'audit dans des circonstances inhabituelles, et ce, tout en respectant les exigences de la ligne directrice GD211. En outre, les auditeurs peuvent également utiliser ces principes à titre de guide en vue de déterminer si les rapports d'audit contiennent des preuves d'audit suffisantes ainsi que des constatations et des conclusions corroborées de façon adéquate.

Dans ce contexte, on devrait garder les quatre principes suivants à l'esprit au moment de préparer des rapports d'audit :

  • présentation impartiale;
  • approche fondée sur la preuve;
  • responsabilité;
  • résultats corroborés.

3.1 Présentation impartiale

Le principe de présentation impartiale, tiré de la norme ISO 19011:2002, est décrit comme étant « l'obligation de rendre compte de manière honnête et précise ». Cela signifie que les constatations de l'audit, les conclusions de l'audit et les rapports d'audit reflètent fidèlement et de façon exacte les activités d'audit. Les obstacles importants rencontrés au cours de l'audit et les opinions divergentes de l'équipe d'audit et de l'audité sont déclarés dans le rapport.

Les auditeurs devraient toujours inclure les importants obstacles auxquels ils ont dû faire face dans leurs rapports d'audit. La connaissance de ces obstacles aidera les lecteurs à comprendre le contexte dans lequel les preuves d'audit ont été examinées et les conclusions de l'audit, tirées. Les obstacles peuvent avoir une incidence sur la fiabilité des conclusions de l'audit, et les utilisateurs des rapports d'audit ont avantage à comprendre cela.

Il est fréquent et normal dans les situations d'audit que les audités soient parfois en désaccord avec les constatations et les conclusions de l'équipe d'audit. À l'occasion, ces opinions divergentes ne peuvent être conciliées au moyen de discussions engagées au cours de l'audit et peuvent distraire l'équipe d'audit et l'empêcher de faire son travail de façon efficace. Plutôt que de modifier ou de minimiser les constatations et les conclusions litigieuses, les équipes d'audit devraient simplement faire rapport de leurs constatations et indiquer qu'il y a des différends non réglés. En veillant à ce que le rapport contienne une preuve d'audit suffisante et un contexte permettant de dégager les constatations, les auditeurs ont l'assurance que leur position sera présentée à l'organisme d'homologation si l'audité interjette appel de la constatation.

Le fait d'appliquer le principe de la présentation juste signifie aussi que les auditeurs ne devraient pas hésiter à faire rapport sur des situations où des audités ne peuvent fournir des éléments de preuve adéquats en matière de conformité. Les auditeurs devraient également se sentir libres de faire rapport sur la maturité du SMQ et la culture de qualité de l'audité. Les utilisateurs des rapports tirent avantage de ce type d'information puisque celle-ci fournit davantage de contexte pour comprendre les constatations et les conclusions de l'équipe d'audit.

3.2 Approche fondée sur la preuve

La norme ISO 19011 décrit l'approche fondée sur la preuve comme « la méthode rationnelle pour parvenir à des conclusions d'audit fiables et reproductibles dans un processus d'audit systématique ». Un des aspects clés de cette approche est que les preuves d'audit doivent être vérifiable. Comme les preuves d'audit sont fondée sur un échantillon des renseignements disponibles, l'utilisation appropriée de l'échantillonnage est étroitement liée à la confiance accordée aux conclusions de l'audit.

Pour que des éléments de preuves objectives soient admis à titre de preuves d'audit, ils doivent être vérifiables. Cela signifie que les documents, les dossiers, les parties, les composantes et les instruments terminés doivent être identifiés. Les numéros des versions, les identificateurs et les numéros de série ou de lot devraient être consignés lorsque cela est nécessaire afin de permettre une confirmation des preuves d'audit. Les personnes interrogées devraient être nommées ou mentionnées autrement : on ne peut pas confirmer une entrevue ni faire le suivi d'une discussion avec un employé qui n'est pas identifié. Même si certains craignent que le fait d'inclure les noms des personnes interrogées entraîne des représailles envers les employés, il faut garder à l'esprit que les auditeurs ne travaillent jamais sans la présence d'un guide d'audit; ces guides sont généralement des gestionnaires et prennent note des preuves d'audit, notamment les noms des personnes interrogées.

Lorsqu'un employé (par exemple un informateur) s'adresse à un auditeur et lui demande de rester anonyme, il est préférable de confirmer l'information fournie en obtenant une autre preuve d'audit.

Puisque par nature, les audits sont fondés sur l'échantillonnage, les preuves d'audit utilisées pour corroborer les constatations et conclusions constituent seulement une portion des preuves disponibles. Il est donc important que les auditeurs s'efforcent d'utiliser des échantillons significatifs. Même s'il n'est pas toujours possible, ni souhaitable, de choisir un échantillon statistiquement significatif, les auditeurs devraient chercher à tirer le maximum des échantillons et démontrer la validité perçue des échantillons quant à la représentation de la population échantillonnée.

Le principe de l'approche fondée sur la preuve peut également orienter les auditeurs dans la formulation de leurs conclusions d'audit. Lorsqu'ils préparent des sommaires de l'audit, les auditeurs peuvent juger si le niveau de preuves y est adéquat en déterminant si elle permet, compte tenu des critères, de rendre une décision fondée sur des preuves objectives qui cadre avec leurs constatations et conclusions. Ainsi, les auditeurs peuvent déterminer que le sommaire contient « suffisamment d'information » si les preuves qui y sont présentées semblent mener aux constatations et aux conclusions formulées.

3.3 Responsabilité

La norme ISO/IEC 17021, stipule ce qui suit au sujet du principe de responsabilité :

L'organisme de certification est tenu de réaliser une évaluation suffisante des preuves tangibles sur lesquelles est fondée la décision de certification. C'est sur la base des conclusions de l'audit et de l'existence de preuves de conformité suffisantes qu'il prend la décision d'accorder ou de refuser la certification. [ISO/IEC 17021:2006 4.4.2]

Le principe de responsabilité est important en ce qu'il informe les auditeurs qu'ils doivent évaluer suffisamment d'éléments de preuves objectives de conformité afin de corroborer les constatations et les conclusions. Plus important encore, la responsabilité fait en sorte qu'on ne peut pas décider d'accorder la certification lorsque les preuves de conformité ne sont pas suffisante. Cela mène à la notion selon laquelle l'absence de preuve de non-conformité n'est pas une preuve de conformité en soi.

3.4 Résultats corroborés

Le dernier principe visant à orienter les auteurs de rapports porte sur les résultats corroborés. Ce principe regroupe les trois principes précédents : Afin de permettre aux organismes de certification de prendre des décisions informées, les auditeurs doivent justifier leurs constatations et leurs conclusions en incluant une quantité suffisante de preuves dans leurs rapports. Les auditeurs rédigent leurs rapports en y indiquant les obstacles à l'audit ainsi que les opinions divergentes (conformément au principe de présentation impartiale), afin de fournir le contexte.

La rédaction de rapports corroborant les résultats suppose que toutes les décisions en matière de certification sont fondées sur des constatations et des conclusions corroborées par les preuves énoncées dans le rapport d'audit. Ainsi, une question non traitée dans le rapport est présumée ne pas être auditée. Le fait de supposer le contraire signifie que les décisions de certification n'ont pas à être étayées par des preuves objectives, ce qui contredit les principes de l'approche fondée sur la preuve et de certification responsable.

4.0 Utilisateurs des rapports

Dans un contexte de réglementation, comme un programme d'audit de système de management de la qualité des instruments médicaux, l'organisme de réglementation est l'ultime utilisateur des certifications et des rapports d'audit.

Les organismes de réglementation utilisent les certifications et les rapports d'audit afin de donner accès au marché aux fabricants et aux instruments. Ils utilisent également les rapports d'audit afin d'accepter le travail des organismes d'homologation tiers ainsi que lors des enquêtes préliminaires sur des problèmes survenus après la commercialisation. Par conséquent, les organismes de réglementation exigent que les rapports d'audit contiennent suffisamment d'information pour qu'ils puissent identifier le fabricant, décrire les paramètres d'audit, appuyer les constatations et conclure sur la conformité du fabricant en général.

5.0 Format du rapport

Les rapports d'audit devraient être dactylographiés et présentés dans un format électronique courant qui peut facilement être stocké et transféré. Il peut être utile que le format des rapports permette de faire des recherches par mot-clé, mais cela n'est pas essentiel.

Lorsque cela est possible, les rapports devraient être présentés en un seul document. Comme cela n'est pas toujours possible, des efforts devraient être faits pour réduire au minimum la multiplication de documents qui constituent un « rapport d'audit ». Dans la plupart des cas, on devrait éviter tout renvoi à un autre document à titre de source de données primaire, sauf lorsque le volume d'information est très élevé. Cela signifie que les auditeurs devraient s'abstenir de constamment renvoyer le lecteur à d'autres documents pour obtenir l'information requise. Toutefois, cela n'empêche pas l'utilisation de documents à l'appui à titre d'appendices au rapport. Lorsqu'on utilise des appendices, ceux-ci devraient être identifiés et faire l'objet de renvois dans le rapport. Les appendices font partie du rapport et devraient être stockés avec celui-ci.

En gardant à l'esprit le paragraphe précédent, les registraires et les organismes d'homologation sont libres d'utiliser des formats de rapport qui répondent à leurs besoins opérationnels. Toutefois, les rapports d'audit qu'ils produisent devraient contenir toute l'information obligatoire indiquée à la section 2.3 de la ligne directrice GD211. Cette information devrait être présentée dans les grandes catégories définies dans la ligne directrice à savoir l'information au sujet du fabricant, l'information au sujet de l'audit, les constatations de l'audit et les conclusions. L'ordre et le regroupement des renseignements énoncés dans la ligne directrice GD211 sont grandement privilégiés par les organismes de réglementation.

Enfin, les rapports d'audit peuvent contenir d'autres renseignements que ceux qu'exige la ligne directrice GD211. Lorsque les auditeurs choisissent d'inclure d'autres renseignements, ils devraient s'efforcer de les classer par catégorie en fonction des quatre parties définies dans la ligne directrice GD211 et de les insérer dans la section appropriée du rapport d'audit.

6.0 Langue de rédaction

La langue de rédaction des rapports d'audit est assujettie aux besoins opérationnels de l'organisme d'homologation, mais devrait néanmoins être compréhensible pour le fabricant. De façon générale, la langue de rédaction des rapports est convenue entre l'organisme d'homologation et le fabricant avant l'audit. Néanmoins, les rapports d'audit destinés à un organisme de réglementation devraient être rédigés dans la langue déterminée par celui-ci. Conformément aux politiques en vigueur, les rapports produits dans le cadre du Système canadien d'évaluation de la conformité des instruments médicaux (SCECIM) devraient être rédigés en français ou en anglais, ou traduits dans une langue ou l'autre à la demande de l'organisme de réglementation. De même, les rapports présentés au Centre for Devices and Radiological Health (CDRH) de la FDA des États-Unis doivent être rédigés en anglais.

7.0 Parties d'un rapport

Tel qu'il a été mentionné précédemment, la section 2.3 de la ligne directrice GD211 divise l'information en quatre parties :

7.1 Information au sujet du fabricant

Dans cette section, il faut fournir l'information qui permet d'identifier le fabricant et ses instruments. Les renseignements fournis permettent au lecteur de comprendre les activités menées par le fabricant, sa situation organisationnelle générale, les aspects clés de son SMQ, sa relation avec des installations connexes visées par le SMQ et son recours à des fournisseurs essentiels de processus ou d'instruments finis, comme des stérilisateurs.

7.2 Information au sujet de l'audit

Cette section doit comprendre des renseignements au sujet des paramètres de l'audit. Elle doit présenter la portée, les objectifs et les critères de l'audit, des renseignements au sujet de l'équipe d'audit, ainsi que la date et la durée des activités d'audit.

7.3 Constatations de l'audit

Cette section du rapport comprend des précisions sur les constatations de l'audit. Elle comprend également des renseignements sur les modifications, obstacles et non-conformités.

7.4 Conclusions de l'audit

Cette dernière partie du rapport comprend les impressions générales de l'équipe d'audit concernant le SMQ faisant l'objet de l'audit. Elle est axée sur les éléments déterminants globaux de la conformité et de l'efficacité. Les questions de fiabilité y sont également traitées, et on y trouve les recommandations de l'équipe d'audit à l'intention de l'organisme d'homologation.

8.0 Information au sujet du fabricant

8.1 Généralités

Les rapports d'audit devraient contenir des renseignements qui permettent d'identifier sans équivoque le fabricant audité. Même si cela peut sembler simple en apparence, l'identité d'un fabricant peut prendre plusieurs formes selon le point de vue. Par exemple, un fabricant peut avoir une identité légale et d'entreprise qui diffère de son identité commerciale en ce qui a trait aux marques qu'il utilise pour vendre ses instruments. Le fabricant peut également faire partie d'une grande entreprise ou d'un groupe de sociétés. Il peut également être décrit en fonction des instruments qu'il conçoit, fabrique ou distribue.

L'identité du fabricant est importante dans un contexte de réglementation en raison des questions de responsabilité liées à la vente d'instruments médicaux. Les organismes de réglementation tiennent certaines entités responsables des instruments commercialisés, et ce, même si la conception, la fabrication et la distribution des instruments médicaux peuvent faire intervenir de nombreuses entités connexes. Ainsi, la certification de fabricants et d'instruments ne tient pas nécessairement compte de la réalité physique et organisationnelle. Le lien entre les aspects réglementaires et physiques d'un fabricant est le système de management de la qualité (SMQ).

L'information relative au SMQ présentée dans le rapport est doublement importante : comme mentionné précédemment, elle indique au lecteur le lien entre les aspects physiques, organisationnels et réglementaires du fabricant, et elle comprend le sujet primaire de l'évaluation. Par conséquent, il est important que le rapport décrive de façon adéquate le SMQ audité. Cette description devrait traiter de la portée du SMQ quant aux activités menées par le fabricant, ainsi qu'aux activités qui sont imparties et gérées et aux produits conçus ou fabriqués dans le cadre du SMQ.

8.2 Exigences

La section 2.3.1 de la ligne directrice GD211 définit les éléments suivants comme des exigences en matière de contenu concernant l'information au sujet du fabricant :

a) Nom et adresse du fabricant

Le nom et l'adresse du fabricant qui fait l'objet de la procédure d'évaluation de la conformité, tels qu'ils figureront sur le certificat d'enregistrement, devraient être inclus dans le rapport.

Cela devrait inclure l'adresse de tous les lieux et de toutes les installations visés par l'enregistrement et figurant sur le certificat d'enregistrement relatif à l'audit. Si plusieurs adresses sont incluses, l'adresse principale ou la plus importante figurant sur le certificat et l'adresse principale ou la plus importante figurant dans le rapport d'audit devraient correspondre.

L'adresse figurant dans le rapport d'audit ne devrait pas comprendre uniquement l'adresse postale si celle-ci diffère de l'adresse physique (ou municipale) des lieux audités; il s'agit non pas de savoir comment livrer du courrier au fabricant, mais de localiser ses installations.

b) Numéro d'identification de l'entreprise

Le numéro utilisé par Santé Canada pour identifier le fabricant devrait être obtenu du site Web MDALL et figurer dans le rapport d'audit avec le nom et l'adresse du fabricant. Lorsqu'une entreprise ne possède pas d'instruments homologués, elle ne se sera pas vue attribuer un numéro d'identification. Dans un tel cas, on devrait noter « S/O » ou « sans objet ».

On peut également inclure d'autres identificateurs en matière de réglementation (p. ex. Federal Establishment Identifier (FEI) de la FDA des États-Unis). On devrait veiller à indiquer à quel système de réglementation chaque identificateur appartient.

c) Identité commerciale

Lorsqu'un fabricant possède plusieurs noms ou identités, il faudrait les préciser. Cette précision devrait comprendre toute relation avec une société sœur, une société mère ou une filiale, ce qui comprend toute acquisition, toute unité fonctionnelle et toute coentreprise. Lorsqu'il rédige cette section, l'auditeur devrait s'assurer de bien inscrire l'explication dans le contexte du SMQ faisant l'objet de l'audit et de la portée des activités et des instruments en question.

On peut omettre cet élément des rapports d'audit de surveillance.

Tel qu'il a été mentionné précédemment, l'identité d'un fabricant peut prendre de nombreuses formes selon le point de vue. Cet élément vise à résoudre les questions de divergence entre l'entité autorisée par les organismes de réglementation et l'identité commerciale du fabricant. L'information devrait être présentée en tenant compte du SMQ qui fait l'objet de l'audit.

Cette section ne se veut pas une analyse en profondeur du portefeuille du fabricant. Toutefois, elle devrait répondre aux questions suivantes :

  • Sous quels noms le fabricant se présente-t-il sur le marché?
  • Sous quels noms le fabricant fait-il la commercialisation de ses instruments?
  • Y a-t-il une délimitation régionale ou géographique pour les noms utilisés?
  • Le fabricant se présente-t-il sur le marché comme faisant partie d'un vaste groupe de sociétés?
  • Le fabricant se présente-t-il sur le marché sous un nom ou une marque qui ne lui appartient pas?
  • Quel est le rôle joué par les entreprises connexes (société mère, sociétés sœurs, sociétés filles, etc.) quant à la conception, la fabrication et la distribution des instruments médicaux visées par le SMQ faisant l'objet de l'audit?

On peut omettre d'inclure la description de l'identité commerciale du fabricant dans les rapports d'audit de surveillance si les deux conditions suivantes sont présentes :

  1. l'identité commerciale du fabricant a déjà été décrite dans un rapport de certification ou de renouvellement de la certification;
  2. il n'y a pas eu de changement dans l'information depuis le dernier rapport.

Lorsque cette description ne figure pas dans un rapport d'audit de surveillance, on devrait inclure une note indiquant que l'information précédemment indiquée est toujours exacte et n'a pas changé.

Exemples

A. <Entreprise> exerce ses activités sous le nom de <Entreprise> au Canada, mais fait également la commercialisation de certains de ses produits sous une <Autre Marque> aux États-Unis.

B. <Entreprise> exerce ses activités sous le nom de <Marque de fabrique>. Les instruments sont vendus sous la bannière <Marque 1> en Amérique du Nord et au Japon, et sous la bannière <Marque 2> en Europe et en Amérique latine.

C. <Entreprise> est une filiale à cent pour cent de <Grand groupe> et indique <Entreprise>, une entreprise de <Grand groupe>, sur les étiquettes de son produit. Les instruments sont vendus sous la marque de commerce générique <Marque grand groupe>, qui appartient à <Grand groupe>. <Entreprise> utilise les canaux de commercialisation et de distribution de <Grand groupe> pour tous ses produits.

D. <Entreprise> fait partie du groupe d'entreprises <Grand groupe>. Les instruments sont commercialisés sous la marque <Entreprise>. La conception est impartie au centre de conception de <Société sœur>. Les instruments sont distribués et entreposés par les services de distribution générale de <Grand groupe>.

E. Aucune modification n'a été apportée à l'identité commerciale de <Entreprise> depuis le dernier audit de certification.

d) Description du fabricant

Il faudrait inclure une description du fabricant dans le rapport. Cette description devrait comprendre le nombre approximatif d'employés et le nombre de quarts de travail. La description devrait donner un aperçu des activités et des processus sous la responsabilité du fabricant aux endroits qui font l'objet de l'audit ainsi qu'une définition des principales activités imparties. Le nom et le titre des cadres supérieurs responsables des endroits qui font l'objet de l'audit devraient figurer dans la description.

Lorsque la procédure d'évaluation de la conformité vise plus d'un établissement physique, il faudrait définir tous les établissements [comme dans le point a) ci-dessus] et décrire les relations entre les établissements et leur rôle à l'égard du SMQ, ce qui comprend toute fonction partagée.

La description du fabricant peut être limitée aux éléments visés par l'audit dans le cas des rapports d'audit de surveillance.

Le rapport d'audit devrait fournir une description claire et juste du fabricant et de ses activités. L'information fournie dans la description du fabricant, ainsi que les paramètres de l'audit indiqués ailleurs dans le rapport, comprennent un contexte quant aux constatations et conclusions de l'audit. Cela permet également de valider la pertinence de la portée de l'audit compte tenu des risques associés aux activités du fabricant. Sans une description adéquate du fabricant, il n'est pas possible de déterminer si la portée de l'audit est appropriée ni d'évaluer la fiabilité de la certification aux fins de réglementation.

La description du fabricant devrait comprendre ce qui suit.

Le nombre total d'employés devrait être indiqué. Il devrait y avoir une distinction entre les employés à temps plein et les employés à temps partiel, le cas échéant. Le rapport devrait également faire mention des employés temporaires et des employés qui ne travaillent pas sur place.

La description du fabricant devrait comprendre le nombre de quarts de travail, même s'il n'y en a qu'un seul. S'il y a plus d'un quart, l'horaire (heures de début et de fin) et le nombre d'employés affectés à chacun des quarts devraient être indiqués. Dans les cas où les employés de certains quarts ne remplissent qu'un sous-ensemble limité de fonctions, il serait approprié d'en faire mention dans le rapport.

Le rapport devrait inclure un aperçu des activités et processus effectués dans les installations du fabricant. Il devrait traiter des principaux domaines d'activité (p. ex. conception) ainsi que des principales activités de fabrication ou de production (p. ex. revêtement, moulage, assemblage, fermentation, emballage, etc.).

On devrait indiquer les principales activités imparties dans la section portant sur l'aperçu des activités et des processus. Voici quelques exemples.

  • Stérilisation;
  • Impression et garniture de cartes de circuits imprimés;
  • Développement de micrologiciels;
  • Élaboration de procédés de revêtement spécialisés.

Dans les situations de fabrication très complexes où plusieurs installations et étapes imparties interagissent, les auditeurs peuvent choisir de joindre un diagramme permettant de mieux décrire les activités du fabricant.

La description des activités réalisées sur place et de celles qui sont imparties est un élément clé de l'information fournie au sujet du fabricant. Les auditeurs devraient veiller à inclure un niveau de détail approprié.

Le nom et le titre de la personne responsable du lieu qui fait l'objet de l'audit devraient être inclus dans la description. Il n'est pas nécessaire de dresser la liste de tous les cadres supérieurs de l'entreprise.

Si la certification vise plusieurs établissements, tous les établissements devraient être décrits selon les indications qui précèdent. L'information devrait être accompagnée d'une brève description du rôle de chaque établissement dans le SMQ (p. ex. centre de conception, installation de fabrication, siège social - direction seulement, etc.). On devrait également faire mention des fonctions communes et partagées du SMQ (p. ex. contrôle des documents, action corrective et action préventive [AC et AP]) lorsqu'on décrit les relations entre les établissements visés par le SMQ.

Les modifications apportées à la description du fabricant peuvent également être présentées dans cette section du rapport.

En ce qui a trait aux rapports d'audit de surveillance, la description du fabricant peut se limiter aux établissements et aux chaînes de fabrication visés par l'audit.

Exemples

A. <Entreprise> est une petite entreprise privée qui compte 42 employés travaillant sur un seul quart à son établissement situé à <Ville>. L'entreprise conçoit et fabrique des dents en acrylique à des fins de restauration. Toutes les activités sont menées à l'interne, dans son installation de 25 000 pieds carrés. Parmi les principales activités, mentionnons la production de poudre de polymère, la conception et l'usinage de moules, le moulage par injection et le durcissement. Le gestionnaire au niveau le plus élevé de l'établissement est <Nom>, PDG et propriétaire de l'entreprise.

B. Les activités de <Entreprise> se font sur deux quarts à son installation de 40 000 pieds carrés. Le premier quart (de 7 h à 15 h) compte 96 employés, et le deuxième (de 9 h à 17 h), 44. L'entreprise emploie également six personnes pour les services sur le terrain et trois représentants de commerce sur le terrain (total de 149 employés). Elle conçoit et fabrique des débitmètres de gaz et distribue des accessoires connexes achetés à d'autres fabricants. Les principales activités menées à l'installation consistent en l'usinage et l'inspection de pièces et l'étalonnage de débitmètres de gaz.

L'entreprise exploite également un entrepôt de 32 000 pieds carrés et un centre de distribution dans le même parc industriel. L'entrepôt compte 15 employés qui travaillent sur un seul quart (de 9h à 17 h). <Nom> est le directeur général de l'entreprise et le gestionnaire à l'échelon le plus élevé pour les deux établissements.

C. <Entreprise> emploie 68 personnes qui travaillent sur un seul quart à son installation de fabrication d'implants dentaires. Parmi les principales activités, mentionnons la conception, l'usinage et le façonnage. La passivation et le revêtement sont effectués par un fournisseur, de même que la stérilisation. La distribution et la commercialisation sont assurées par <Société sœur>, une société sœur qui exerce ses activités au nom du groupe-mère <Grand groupe>. <Société sœur> exploite un SMQ indépendant. Tant <Entreprise> que <Société sœur> doivent respecter les politiques génériques du SMQ de <Grand groupe>. <Nom> est le directeur général de <Entreprise> et relève directement du conseil de <Grand groupe> en tant que personne ayant le niveau de responsabilité le plus élevé de <Entreprise>.

e) Portée de la certification

Le rapport devrait comprendre la portée de la certification du fabricant faisant l'objet de l'audit. Cela comprend les activités et une liste des groupes ou familles génériques d'instruments médicaux visés par la certification. Si la description de la portée de la certification est trop longue, elle peut être annexée au rapport.

Lorsque la portée de la certification change à la suite d'un audit (p. ex. audit d'expansion ou de mise à niveau de la portée), le rapport devrait clairement en faire mention et permettre au lecteur de déterminer quelle était la portée avant l'audit et quelle est la portée proposée après l'audit.

Dans le cas d'une certification touchant de nombreux emplacements, le rapport devrait décrire la portée globale de la certification ainsi que les sous-portées propres à chaque établissement.

Pour obtenir des directives sur la formulation des portées de la certification, consultez la ligne directrice GD207 : Directive sur les certificats de systèmes de management de la qualité ISO 13485 délivrés par les registraires reconnus par Santé Canada de Santé Canada.

Si la portée de la certification est vaste et complexe, il peut être approprié de joindre le certificat au rapport et de diriger le lecteur à l'appendice.

f) Identification des fournisseurs essentiels

Le rapport devrait contenir le nom, l'adresse et le produit ou le service des fournisseurs essentiels qui offrent des produits ou des services employés dans le cadre des processus qui font l'objet de l'audit. Un fournisseur peut intervenir dans le cadre d'un processus imparti, comme la stérilisation ou l'élaboration d'un logiciel. Si la liste est excessivement longue, elle peut être annexée au rapport.

Il est possible d'intégrer cet élément à la section des constatations de l'audit du rapport.

La définition de fournisseur essentiel figurant dans la ligne directrice GD211 est tirée du document de la GHTF intitulé SG4/N84:2010 Guidelines for Regulatory Auditing of Quality Management Systems of Medical Device Manufacturers - Part 5: Audits of Manufacturer Control of Suppliers. Dans la ligne directrice GD211, le terme fournisseur essentiel est défini de la façon suivante :

[A] Fournisseur qui livre des matériaux ou des composants ou offre des services qui contribuent à la sécurité et au rendement du produit.

Remarque : Dans le contexte de l'audit de fabricants d'instruments médicaux, un fournisseur essentiel est le fournisseur d'un produit ou d'un service, pour qui le non-respect d'exigences précises pourrait causer un risque déraisonnable au patient, au clinicien ou à quelqu'un d'autre ou un déclin important du rendement. Cette catégorie peut comprendre les fournisseurs de services nécessaires à la conformité avec le SMQ ou les exigences réglementaires.

La définition ci-dessus peut, dans certains cas, porter à confusion. Il est important de comprendre que le fait d'identifier un fournisseur comme étant « essentiel » est le fruit d'une approche réfléchie et méthodique en matière de gestion du risque de la part du fabricant. En général, les auditeurs devraient s'appuyer sur la détermination du fabricant du caractère essentiel d'un fournisseur. Toutefois, lorsqu'un fournisseur est manifestement essentiel et n'est pas traité comme tel, les auditeurs peuvent étudier la question en demandant des éléments de preuve de la gestion du risque, de spécifications d'achat et de mesures de contrôle connexes relatives aux pièces et aux services fournis; ils devraient faire rapport des non-conformités, le cas échéant.

L'identification de fournisseurs essentiels dans le rapport d'audit sert un certain nombre de buts. Elle permet au lecteur de mieux comprendre la portée des activités du fabricant ainsi que la façon dont ses instruments sont fabriqués. Elle met en lumière l'importance relative des activités de contrôle des fournisseurs et d'inspection d'entrée. Enfin, elle permet l'évaluation de la pertinence de l'audit en relevant les secteurs de risque potentiels non traités par l'audit.

Le rapport d'audit doit seulement contenir de l'information sur les fournisseurs essentiels qui participent aux activités auditées. Il n'est pas nécessaire d'inclure dans l'audit le fournisseur essentiel d'une pièce ou d'un service utilisé dans un secteur non visé par l'audit, à moins qu'il fasse partie de l'échantillon examiné au moment d'auditer les mesures de contrôle d'achats et les activités connexes.

Les auteurs du rapport peuvent choisir d'inclure l'information au sujet des fournisseurs essentiels dans les sommaires de l'audit ou dans une autre section dans cette partie du rapport (Information au sujet du fabricant).

g) Personne-ressource pour le SMQ

Le nom et les coordonnées de la personne-ressource pour le SMQ devraient figurer dans le rapport.

Le rapport devrait inclure le nom et les coordonnées de la personne à contacter au sujet du SMQ. Cette personne devra être identifiée par le fabricant puisqu'il ne s'agit pas nécessairement du représentant de la direction ou du gestionnaire de l'assurance de la qualité (AQ). Les coordonnées fournies devraient inclure un numéro de téléphone ou une adresse de courriel.

h) État de toute certification pertinente du SMQ

Si ce détail n'est pas mentionné ailleurs dans le rapport, il faudrait inclure tout processus de certification ou d'enregistrement pertinent du SMQ du fabricant ainsi que son statut.

La réalité de l'industrie mondialisée des instruments médicaux d'aujourd'hui est que les fabricants vendent leurs instruments dans de nombreux pays. Par conséquent, bon nombre de fabricants détiennent de multiples certifications de leur SMQ ISO 13485:2003 délivrées selon différents régimes de réglementation. L'existence de ces certifications, ainsi que leur statut, montre bien la stabilité, la pertinence et la maturité des SMQ et de la culture de qualité de l'entreprise des fabricants. Cela donne également une indication de toute autre surveillance à laquelle le SMQ pourrait être assujetti. Par conséquent, le fait d'inclure de l'information au sujet des autres certifications de SMQ dans le rapport d'audit aide les utilisateurs des rapports à se faire une meilleure idée de la fiabilité de l'audit et du SMQ.

Dans ce contexte, les certifications pertinentes sont celles qui sont liées à un régime de réglementation d'instruments médicaux (p. ex. marquage CE réglementé par les directives sur les instruments diagnostique in-vitro (IDIV) , les instruments médicaux ou les dispositifs médicaux implantables actifs , la Pharmaceutical Affairs Law du Japon, etc.). Une certification n'a pas besoin d'être le sujet de l'audit du rapport pour être pertinente. Pour être considérée comme pertinente, la certification devrait porter sur le même fabricant, les mêmes installations et les mêmes instruments médicaux (ou sur des instruments très semblables).

Le statut d'une certification pertinente indique si la certification est en règle, est suspendue ou a été retirée ou annulée.

i) Exclusions et non-application des exigences relatives au SMQ

Si le fabricant faisant l'objet de l'audit a invoqué une exclusion ou une non-application des exigences de la norme ISO13485:2003 se rapportant à son SMQ, il faudrait le préciser dans le rapport. Il n'est pas nécessaire de justifier l'exclusion ou la non-application dans le rapport.

Les rapports d'audit devraient faire mention de toute exclusion et de toute exigence qui ne s'applique pas. La section de la norme ISO 13485:2003 portant sur l'application permet l'exclusion des contrôles de la conception et de l'élaboration là où la réglementation le permet. La norme ne permet aucune autre exclusion délibérée à son application.

Étant donné que la portée de la norme ISO 13485:2003 est très large et que celle-ci a été conçue en vue d'être applicable à tous les types d'instruments médicaux, il est inévitable que certaines de ses exigences ne s'appliquent pas à certains fabricants. Lorsqu'un fabricant n'applique pas une exigence énoncée dans la norme, il devrait fournir une justification à cet égard dans les documents du SMQ.

Même si la norme ISO 13485:2003 indique que les exigences non applicables se limitent à la section 7 de la norme, il est entendu que le point 8.2.4.2 Exigences particulières pour les dispositifs médicaux implantables actifs et les dispositifs médicaux implantables ne s'appliquera qu'aux fabricants de dispositifs médicaux implantables actifs et de dispositifs médicaux implantables.

Les auditeurs devraient rédiger une liste de toutes les exclusions et non-applications puisqu'elles modifient la portée de la certification et assurent au lecteur qu'aucune partie du SMQ n'a été négligée. Même si le fabricant est tenu d'appuyer la justification de ces exclusions et non-applications par des documents, les auditeurs ne sont pas obligés d'inclure ces justifications dans le rapport d'audit.

9.0 Information au sujet de l'audit

9.1 Généralités

Le rapport d'audit devrait contenir une description détaillée de la nature et des paramètres de l'audit effectué. Faisant partie d'un processus décisionnel fondé sur des données probantes, l'audit est un exercice d'échantillonnage; les auteurs du rapport devraient donc expliquer la méthode d'échantillonnage globale représentée par les paramètres de l'audit.

Le lecteur doit comprendre les paramètres de l'audit afin de comprendre le contexte et, en particulier, la portée de l'audit. Le fait de décrire les paramètres de l'audit en partie démontre que l'on a suivi les règles d'accréditation, de reconnaissance et de certification. Le fait d'identifier les membres de l'équipe d'audit permet de confirmer un certain nombre de questions, notamment en matière de compétence et d'impartialité, ainsi que de fournir des noms en vue d'effectuer des suivis ou des mises au point dans l'avenir, si cela est nécessaire.

Conformément au principe de présentation impartiale, le fait de décrire les aspects précis de l'audit effectué peut également entraîner la divulgation de facteurs qui peuvent avoir une incidence sur la fiabilité de l'audit, comme l'utilisation de nombreuses langues, de grandes équipes d'audit, de portées complexes ainsi que d'interprètes et de traducteurs.

9.2 Exigences précises

Les éléments qui suivent, définis dans la section 2.3.2 de la ligne directrice GD211, constituent les exigences en matière de contenu.

a) Type d'audit

Le rapport devrait préciser le type d'audit effectué (p. ex. certification, surveillance, renouvellement de la certification, etc.).

Au moment de décrire le type d'audit, les auditeurs devraient employer un vocabulaire clair et explicite. Le lecteur devrait pouvoir comprendre si l'audit effectué était un audit complet portant sur le SMQ en entier ou un audit partiel portant seulement sur une partie de celui-ci.

Si l'audit comprend plusieurs critères ou régimes de réglementation et que le type d'audit diffère d'un critère à l'autre, le rapport d'audit devrait le préciser (p. ex. un audit de renouvellement de la certification conformément à la norme ISO 13485:2003 dans le cadre du SCECIM, et un audit de surveillance conformément à la norme ISO 9001:2000).

b) Critères de l'audit

Le rapport devrait contenir la liste des critères de l'audit. Lorsque l'audit est effectué dans le cadre du programme du SCECIM, il faudrait normalement décrire au moins la norme ISO 13485:2003, les exigences applicables prévues au Règlement et la documentation du fabricant relative au SMQ.

Le rapport d'audit devrait inclure les critères de l'audit. La définition des critères devrait être sans équivoque, notamment lorsqu'il y a adoption à l'échelle nationale de documents sur les critères (p. ex. CAN/CSA ISO 13485:2003). Les auditeurs devraient éviter d'utiliser des termes vagues comme « exigences réglementaires applicables » ou « réglementation canadienne » pour définir des critères d'audit; ils devraient plutôt choisir d'employer le titre approprié des documents portant sur les critères (p. ex. Partie 1, Règlement sur les instruments médicaux ou Titre 21 : Partie 820, US Code of Federal Regulations).

c) Objectifs de l'audit

Le rapport devrait contenir la liste des objectifs de l'audit. Cette liste devrait comprendre au moins les éléments suivants :

  1. l'évaluation de la conformité du SMQ du fabricant en fonction de la norme ISO 13485:2003;
  2. l'évaluation de la capacité du SMQ de respecter les exigences réglementaires applicables. Les exigences réglementaires applicables devraient être clairement définies dans les objectifs.

Les audits peuvent également avoir d'autres objectifs, comme l'évaluation de l'efficacité du système de management relativement à l'atteinte de ses objectifs spécifiés ou le suivi des non-conformités relevées au cours d'audits précédents.

Si les objectifs de l'audit diffèrent en fonction des critères de l'audit (et, peut-être, du type d'audit lié à chaque critère), le rapport devrait le préciser de sorte que les objectifs de l'audit soient sans équivoque.

d) Portée de l'audit

La portée de l'audit devrait être décrite dans le rapport. Il faudrait prêter une attention particulière aux emplacements physiques et aux unités organisationnelles de l'audit et, dans le cas d'un audit de surveillance, aux activités et aux processus qui forment la portée de l'audit.

Selon la norme ISO 19011:2002 :

Le champ [la portée] de l'audit décrit l'étendue et les limites de l'audit, par exemple les lieux, les unités organisationnelles, les activités et les processus à auditer ainsi que la période de temps couverte par l'audit.

Cela signifie que l'énoncé de la portée de l'audit devrait être informatif et significatif en ce qui a trait à la détermination des lieux physiques et organisationnels qui seront audités, y compris les activités ou les processus assujettis à un audit. Pour l'application de la ligne directrice GD211, il n'est pas nécessaire d'inclure la période couverte par l'audit dans la portée de l'audit.

Remarque : Il ne faut pas confondre la portée de l'audit et la portée de la certification. Une portée de l'audit bien écrite se distinguera toujours de la portée de la certification connexe, et ce, même pour un audit de certification.

Exemples

A. L'audit de surveillance se limite aux activités de gestion (gestion des ressources, examen de la gestion, planification), à la chaîne de production du test d'analyse rapide de créatine-kinase et myoglobine cardiaque <Nom de l'instrument>, à l'inspection d'entrée et aux activités de management de la qualité (audit interne, comité d'examen des produits (CEP), ACAP, matériovigilance, y compris la gestion des plaintes) qui ont lieu dans le bâtiment principal au <Adresse 1> et son annexe <Adresse 2>.

B. Comme il s'agit d'un audit de renouvellement de certification, tous les processus du SMQ sont inclus dans l'audit. Les fonctions de conception et de management à <Établissement 1> seront auditées, de même que la production de port à accès vasculaire, de cathéters CCIP et d'instruments hémostatiques à <Établissement 2>. Les fonctions d'appui (AQ, expédition et réception, installations) seront auditées à leurs emplacements respectifs.

C. La portée de l'audit est axée sur les processus de management obligatoires, la production de poudre de polymère, l'infrastructure, l'étalonnage ainsi que les processus liés aux clients. Toutes les activités ont lieu à l'installation du <Adresse de l'emplacement>.

D. Cet audit spécial sera axé sur les activités de contrôle de la conception, de production, de traçabilité et de surveillance post commercialisation liées au <Modèle X> de défibrillateur automatisé externe (DAE) et particulièrement au logiciel lié à l'instrument.

e) Dates de l'audit

Les dates de l'audit sur place devraient figurer dans le rapport. Cela comprend le nombre de jours où un auditeur doit être sur place.

Les auteurs du rapport devraient veiller à utiliser un système de datation qui est sans équivoque ou à indiquer le système de datation dans le rapport (p. ex. jj/mm/aaaa). Si des membres de l'équipe d'audit sont uniquement sur place pour certaines parties de l'audit, les auteurs devraient préciser à quel moment les divers membres de l'équipe sont présents.

f) Identification de l'équipe d'audit

Le rapport devrait contenir le nom de tous les membres de l'équipe d'audit et une description de leur rôle (p. ex. chef d'équipe, expert technique, etc.). Tout observateur présent devrait aussi être mentionné. Lorsqu'on utilise un interprète, il faudrait le mentionner. Il faudrait aussi préciser l'affiliation des interprètes.

Les observateurs sont des personnes qui assistent à l'audit et qui sont ni liées au fabricant ni des auditeurs ni des experts techniques. Les observateurs comprennent notamment des évaluateurs d'organismes d'accréditation ou des organismes de réglementation qui effectuent des audits en présence de témoins ou encore des employés du registraire qui effectuent des évaluations du rendement ou des audits en présence de témoins. On sait que la présence d'observateurs a une incidence sur le travail des auditeurs; il est donc important de faire mention de leur présence dans le rapport.

Lorsqu'on a recours à des interprètes, cela devrait être indiqué dans le rapport, de même que l'affiliation des interprètes. Ces derniers pourraient être embauchés par le registraire ou le fabricant. Ils peuvent également, dans certains cas, être des employés du fabricant. Comme les interprètes filtrent, en fait, des éléments de preuve objective, il est important de divulguer leur utilisation et leur affiliation.

g) Langue de l'audit

La langue ou les langues utilisées durant l'audit devraient être mentionnées dans le rapport.

Les auditeurs devraient également indiquer les langues utilisées de façon informelle pour interroger le personnel si celles-ci diffèrent des langues officielles de l'audit. S'il y a effectivement utilisation d'autres langues au cours de l'audit et qu'une interprétation est nécessaire, l'identité de l'interprète devrait être indiquée dans le rapport. Les interprètes utilisés au cours d'un audit ne sont pas toujours des interprètes professionnels; parfois un autre employé ou un superviseur fait office d'interprète. En pareils cas, l'identité de l'interprète et son affiliation devraient tout de même être indiquées.

h) Résultats de l'examen des documents

Lorsqu'un examen de la documentation du fabricant relative au SMQ est mené avant l'audit, il faudrait le mentionner dans le rapport, et on devrait faire des renvois au rapport et aux résultats de l'examen.

10.0 Constatations de l'audit

10.1 Généralités

Le rapport d'audit devrait comprendre un nombre suffisant de constatations de l'audit, tant positives que négatives, soutenant les conclusions contenues dans le rapport. Les constatations de l'audit devraient toujours être mises en contexte au moyen de preuves d'audit et évaluées en fonction des critères d'audit appropriés.

Comme le rapport d'audit est un compte rendu de ce qui a été examiné et des conclusions de l'équipe d'audit, toute omission d'un aspect de l'audit du SMQ du fabricant dans le rapport est considérée comme un secteur ou une fonction qui n'a pas fait l'objet de l'audit. L'absence de non-conformité détectée ne signifie pas nécessairement qu'il y a conformité; les preuves d'audit attestant la conformité doivent être présentées dans le rapport afin de soutenir une conclusion de conformité.

Les rapports ne devraient pas contenir des recommandations d'amélioration, y compris des instructions, des solutions ou des conseils précis concernant l'élaboration et la mise en œuvre d'un SMQ. Cependant, comme elles constituent un élément important d'un rapport d'audit complet et exact, les observations et constatations devraient être énoncées. Les observations peuvent concerner des situations qui ne semblent pas conformes, mais qui n'ont pas fait l'objet d'une collecte suffisante de preuves objectives. Lorsqu'il y a une observation qui ne confirme pas la conformité (c.-à-d. une constatation négative) ni la non-conformité, elle devrait être énoncée de façon factuelle et neutre. Une solution ne devrait pas être recommandée. Des mots comme « envisager » ou « considérer » devraient être évités.

Dans ce contexte, on ne devrait pas confondre le terme « observation » avec la rubrique « Observations » se trouvant dans le formulaire 483 de la FDA (qui porte sur des cas de non-conformité). Les observations en question sont des observations d'une importance discutable qui devraient toutefois faire l'objet de discussions avec la direction et être incluses dans le rapport d'inspection d'établissement (RIE).

Exemples

A. Il n'y a pas de lien direct entre le numéro de lot du fabricant d'équipement d'origine (FEO) et le numéro de lot attribué par la réception dans le dossier historique du dispositif (DHD). On doit utiliser une table de recherche des dossiers de réception pour retracer les pièces qui correspondent au numéro de lot du FEO.

B. La norme IEC 60601-1 ne s'applique pas aux instruments constitués uniquement d'un logiciel.

C. On n'a pas indiqué que les dossiers sur support papier entrés dans le système électronique ont bel et bien été saisis

D. Les ententes de distribution ne précisent pas à quelle fréquence les distributeurs doivent envoyer des copies des dossiers de distribution au fabricant. Les ententes mentionnent seulement que cette tâche doit être accomplie.

E. La PON <XX XXX> exige que les opérateurs coupent le cathéter pour qu'il mesure de 14,961 à 15,157 pouces. Selon la norme de conception, la longueur doit être de 15,1 ± 0,1 pouce. Le degré d'exactitude des règles fournies est de 0,05 pouce.

F. Les conditions ambiantes du laboratoire de métrologie ne se trouvent pas dans les dossiers d'étalonnage. On peut les obtenir à partir de l'estampille temporelle apposée sur les dossiers de l'étalonnage et dans le registre des conditions ambiantes du laboratoire de métrologie.

G. Les employés ne peuvent obtenir leur description de tâches que par le bureau des ressources humaines.

H. Les gestionnaires doivent signer les dossiers de formation pour indiquer que la formation était considérée comme efficace. La méthode permettant de déterminer l'efficacité n'est pas consignée.

10.2 Exigences précises

La section 2.3.3 de la Ligne directrice GD211 présente les exigences qui suivent.

a) Sommaires de l'audit

Il faudrait inclure au rapport des sommaires écrits de l'audit de chaque processus ou activité du SMQ. Voici des exemples de processus ou d'activités du SMQ :

  • Processus de gestion (examen de la gestion, gestion des ressources, audits internes, structures organisationnelles, formation, etc.);
  • Conception et élaboration;
  • Mesures de contrôle de la production et des processus;
  • systèmes de mesures correctives et préventives;
  • Mesures de contrôle des achats;
  • Contrôle de documents et de dossiers;
  • Processus liés à la clientèle.

Nota : La liste ci-dessus n'est pas exhaustive et n'est présentée qu'à titre d'exemple.

Les sommaires de l'audit devraient être brefs, tout en comprenant les données suivantes :

  1. Une description du processus ou de l'activité du SMQ qui fait l'objet de l'audit;
  2. Le secteur (physique ou organisationnel) de l'établissement visité;
  3. Le nom et le titre des personnes interviewées;
  4. Les principaux documents examinés (procédures, instructions de travail, etc.);
  5. Le type et le nombre de dossiers examinés, ce qui comprend un énoncé qualitatif de la taille de l'échantillon, au besoin;
  6. L'identification des produits ou des composantes examinés;
  7. Des énoncés faisant état de la conformité de l'activité ou du processus faisant l'objet de l'audit avec les critères de l'audit.

Nota : La mention des numéros d'article de la norme dans la conclusion peut contribuer à démontrer que tout a été abordé.

Des sommaires écrits de l'audit de chaque processus ou activité du SMQ audité devraient être inclus dans le rapport d'audit. Ces sommaires devraient être présentés par sujet audité ou processus du SMQ. On peut le faire de nombreuses façons, par exemple :

  • par processus du SMQ déterminé par le fabricant;
  • par section de la norme;
  • par sous-système.

Il peut aussi s'avérer pratique de structurer les sommaires de l'audit conformément au plan de l'audit.

Pour rédiger des sommaires à la fois brefs et significatifs, il faut s'assurer qu'ils contiennent la bonne quantité de contexte, de preuve objectives, de critères et d'éléments d'évaluation. La somme de ces quatre éléments devrait fournir une constatation de conformité ou de non-conformité :

   Contexte
   Preuves objectives
   Critères
+ Évaluation
= Constatation

Les sommaires devraient comprendre un contexte sous la forme d'une description de l'activité ou du processus du SMQ audité, ainsi que le secteur de l'établissement visité. Le contexte décrit devrait être suffisant pour permettre au lecteur du rapport de comprendre les preuves d'audit présentées dans le sommaire.

Les sommaires devraient comprendre des preuves d'audit. Le terme preuves d'audit désigne des données objectives qui sont vérifiables. Il est donc nécessaire de mentionner dans le rapport le nom des personnes interrogées durant l'audit. Le rapport devrait aussi faire mention des documents examinés par l'équipe d'audit. Les renseignements mentionnés devraient comprendre les numéros de document et de version s'il y a lieu. Le type et le nombre de dossiers examinés devraient aussi être énoncés dans le rapport. Les auditeurs devraient s'efforcer de désigner leur échantillon de dossiers de façon numérique (p. ex. 15 des 67 dossiers ont été examinés) ou qualitative (p. ex. un petit échantillon de 12 dossiers a été examiné). On devrait aussi mentionner dans le rapport toutes les composantes ou tous les produits examinés durant l'audit - par exemple en incluant les numéros de pièce, le modèle et les numéros de série, ou encore les numéros de lot.

Même s'il n'y a pas de règles évidentes auxquelles un auteur de rapport peut se référer pour déterminer s'il a inclus suffisamment de preuves d'audit dans le rapport d'audit, trois concepts directeurs doivent être appliqués.

Le premier, qui a été présenté précédemment, est le principe de l'approche fondée sur la preuve. Les auteurs du rapport peuvent, en comparant les constatations de l'audit avec les données probantes fournies, déterminer s'ils ont présenté suffisamment de preuves d'audit pour corroborer les constatations et, en définitive, les conclusions de l'audit sans avoir recours à des hypothèses. La question à laquelle il faut répondre est la suivante : les preuves d'audit présentées dans le rapport permettent-elles à elles seules au lecteur de tirer une conclusion semblable à celle de l'auteur du rapport?

Le deuxième concept est l'importance ou le risque que présente l'activité ou le processus audité. Les activités et processus qui ont une grande importance sur le plan de la portée de l'enregistrement (p. ex. conception, fabrication) ou de la sécurité et de l'efficacité des instruments médicaux, ou qui constituent des séries complexes d'activités auxquelles sont associées un nombre d'exigences tirées des critères exigeront nécessairement des preuves d'audit et des détails plus descriptifs dans les sommaires de l'audit.

Le troisième concept directeur est la présence de constatations de non-conformité. Lorsqu'un audit donne lieu à des constatations de non-conformité, les sommaires de l'audit connexes devraient fournir suffisamment de détails décrivant le processus ou l'activité ainsi que des preuves objectives afin que le fabricant dispose des bons renseignements qui lui permettront de prendre des mesures correctives appropriées et que les autres utilisateurs du rapport, particulièrement les organismes de réglementation, puissent juger de l'importance de la constatation du point de vue de la conformité avec la réglementation. Cela ne signifie pas, lorsqu'il y a une constatation de conformité, que cette constatation ne doit pas être corroborée par des preuves d'audit dans le rapport.

Les sommaires de l'audit devraient mentionner les critères applicables à moins qu'ils ne soient clairement indiqués dans la description fournie (p. ex. audit interne). Le fait d'énoncer explicitement les critères d'audit applicables, en particulier dans la conclusion des sommaires de l'audit, est un bon moyen de montrer que tous les aspects ont été traités. Les audits d'activités ou de processus complexes supposent habituellement un nombre élevé de critères (p. ex. ISO 13485:2003 6.2.2; 6.4; 7.5.1; 7.5.3; 8.2.3;).

À la fin d'un sommaire d'audit bien rédigé, on trouve un énoncé clair et concis d'une constatation concernant la conformité de l'activité ou du processus audité. Il n'est pas nécessaire que la conclusion soit détaillée; elle devrait simplement indiquer si les activités auditées sont conformes et, dans le cas contraire, préciser les aspects non conformes. La conclusion ne devrait pas contredire les preuves objectives présentées dans le sommaire, ni correspondre à des hypothèses. Les auteurs du rapport ne devraient pas hésiter à qualifier leurs conclusions lorsque les constatations sont fondées sur de petits échantillons ou des preuves objectives peu fiables.

Exemples
Audits qualité internes (AQI)
Nom du processus Audits qualité internes (AQI)
Critères pertinents ISO 13485:2003, paragraphe 8.2.2
Description et constatations Les objectifs des audits internes sont établis annuellement par le Vice-pésident (VP) des Opérations, <Nom>, en fonction des objectifs opérationnels et des objectifs en matière de qualité. La responsabilité d'élaborer et de mettre en œuvre le programme d'audit incombe au gestionnaire de l'assurance de la qualité (AQ).

Pour l'exercice 2010-2011, un programme d'audit a été élaboré. Il comprenait des objectifs liés à l'examen des progrès réalisés sur le plan des mesures de réduction des déchets et de la mise en œuvre d'un nouveau système de dossiers électroniques.

L'audit de 2010 a été effectué du 6 au 9 octobre par <Nom>. <Nom> travaille à la réception et a été formé adéquatement pour effectuer des audits internes (cours d'auditeur ISO 9001 (BBI), cours 13485:2003 donné par MedForward Academy, formation sur le RIM de C-MED consultants). Le rapport d'audit a été revu et était conforme aux objectifs du programme ainsi qu'aux exigences de la norme ISO 13485. Les constatations étaient énoncées clairement et corroborées par des preuves d'audit objectives. Le rapport a été officiellement présenté au directeur exécutif et au VP des Opérations durant la planification et l'examen stratégiques (examen de la gestion) le 27 octobre.

Tous les cas de non-conformité révélés par l'AQI ont été entrés dans CapTrack afin que l'on puisse s'y attaquer rapidement (5 éléments sur 7 étaient réglés au moment de l'audit).

Le processus d'audit interne semble être solide et bien adapté aux objectifs opérationnels et aux objectifs en matière de qualité de l'entreprise.

Le résultat de ce processus est considéré comme fiable.
Secteur visité Service de l'AQ et Gestion
Personnes interrogées <Nom>, gestionnaire de l'AQ
<Nom>, VP des Opérations
Documents et renseignements clés examinés P-AQI-01 version 2 - Procédure d'audit interne
Programme d'audit interne 2010-2011
Rapport d'audit interne pour 2010
Produit ou composantes examinées Sans objet (S/O)
Conclusions L'AQI est entièrement conforme aux exigences de la norme ISO 13485.
 
Production de poudre de polymère
Nom du processus Production de poudre de polymère
Critères pertinents ISO 13485:2003, paragraphe 7.5.1 (sauf 7.5.1.2.2 - 7.5.1.3)
Description et constatations La poudre de polymère utilisée pour fabriquer les produits de <Société> est un copolymère formé d'acrylate de butyle et de méthacrylate de méthyle. La poudre de polymère est produite par polymérisation en suspension aqueuse.

Le calendrier de production est déterminé chaque semaine au cours de réunions de planification de la production. Les calendriers sont transmis au gestionnaire de la production, qui relève du VP des Opérations.

La poudre de polymère est produite selon une recette brevetée qui se trouve dans la procédure P-PRO-01. Le technicien de production, <Nom>, a expliqué et montré les principales étapes du processus ainsi que l'équipement utilisée durant la polymérisation du lot 4789-08.

La première étape de la production consiste à mélanger au préalable des monomères selon les proportions indiquées dans la recette. La durée et l'intensité du mélange sont des paramètres contrôlés qui sont consignés dans le registre de l'historique des lots, tout comme le numéro de lot des matières brutes.

Pendant ce temps, on prépare le principal réacteur de polymérisation. Une solution aqueuse est mélangée selon les indications de la recette. Les quantités de tampons, de sels et d'autres adjuvants sont consignés dans le registre. Les mesures du pH et de la conductivité sont aussi consignées.

La solution de monomère est ensuite mise en suspension dans la phase aqueuse à l'aide d'un mélangeur d'émulsifiants. Les durées précises et la densité de l'énergie exigées par la procédure sont consignées dans le registre de l'historique des lots. On prélève des échantillons afin de vérifier de visu la taille des gouttes de la dispersion. On augmente la température et la pression dans le réacteur selon un programme précis durant la phase de suspension.

Une fois qu'on a obtenu la température, la pression et la dispersion adéquates, on ajoute un amorceur (peroxyde de dibenzoyle) au réacteur. Le taux de polymérisation est contrôlé par la pression et la température, qui sont des paramètres strictement contrôlés. Des graphiques de contrôle sont produits et inclus dans le registre. On interrompt la polymérisation à l'aide d'un terminateur de polymérisation une fois qu'on a obtenu la durée de réaction précisée.

La poudre de polymère est ensuite filtrée, nettoyée dans une solution alcaline et séchée. On prélève des échantillons de la poudre pour en vérifier la masse volumique apparente, la densité, la viscosité à l'état fondu, le profil granulométrique des particules et les résidus d'adjuvant. Les résultats de tous les tests sont consignés dans le registre de l'historique des lots.

Enfin, on tamise la poudre afin d'en retirer la poussière et les grosses particules. La poudre peut ensuite être utilisée lorsque le gestionnaire de production l'autorise après avoir examiné le registre de l'historique des lots et apposé sa signature sur la fiche de production et dans le registre de l'historique des lots.

Les registres de l'historique des lots 3386-07, 3399-07, 4200-08 et 4789-08 ont été examinés et jugés complets et en règle. Toutes les données pertinentes sont consignées conformément à la procédure. On considère qu'il s'agit d'un échantillon petit, mais fiable, puisque tous les renseignements étaient en règle.

Il a été observé qu'il n'y a pas de système officiel en place pour établir un lien entre les données de l'ancien registre sur support papier et celles du nouveau registre électronique lorsqu'un lot d'adjuvants a été saisi dans les deux systèmes.

Le processus de production de poudre de polymère est bien établi et contrôlé. Cependant, un cas de non-conformité a été constaté (voir le document NC1-S1-08) relativement au paragraphe 7.5.1.1 puisque l'identité du pH-mètre utilisé pour préparer la solution de nettoyage n'a pas été consigné.
Secteur visité Production et laboratoire de polymère
Personnes interrogées <Nom>, gestionnaire de la production
<Nom>, technicien de la production
Documents et renseignements clés examinés P-PRO-01 version 2 - production du polymère en poudre Registre de l'historique des lots 3386-07, 3399-07, 4200-08 et 4789-08
Dossier des opérations lié aux lots 4789-08
Produit ou composantes examinées Lot en cours de production (lot 4789-08)
Conclusions Le processus de production de polymère est conforme aux exigences du paragraphe 7.5.1. Le cas de non-conformité cerné ne nuit pas à la capacité du système de management de la qualité (SMQ) de garantir que les produits sont fabriqués selon les spécifications.
 
Étalonnage
Nom du processus Étalonnage
Critères pertinents 7.6
Description et constatations La responsabilité de l'étalonnage relève du service de l'audits qualité (AQ). Un technicien de l'AQ, <Nom>, a expliqué le processus.

Tous les instruments qui exigent un étalonnage sont désignés par un numéro d'inventaire. On utilise le numéro indiqué sur l'étiquette d'inventaire pour assurer le suivi de l'instrument dans la base de données. On a examiné le réglage des instruments et vérifié s'ils étaient munis d'un sceau pour prévenir l'altération.

Un échantillon important d'entrées (6) dans la base de données a été examiné. Un intervalle d'étalonnage était spécifié pour toutes les entrées observées. La base de données produit un rapport hebdomadaire sur les instruments qui doivent faire l'objet d'un étalonnage la semaine suivante afin que l'on puisse les retirer de la circulation avant l'expiration de l'étalonnage. L'intervalle d'étalonnage est fondé sur la recommandation du fabricant, la fréquence d'utilisation, l'historique et le caractère critique des mesures.

L'état de l'étalonnage est aussi indiqué par une couleur dans la base de données (vert = étalonné; jaune = doit faire l'objet d'un étalonnage dans un délai de trois mois; rouge = étalonnage expiré; bleu = en cours d'étalonnage).

La base de données indique aussi les normes et plages d'étalonnage relatives à chaque instrument.

Un certain nombre d'instruments font l'objet d'un étalonnage externe. Ils sont envoyés à des laboratoires d'étalonnage approuvés figurant sur la liste des fournisseurs approuvés (version 37, novembre 2008). Tous les étalons vérifiés correspondent à des normes nationales, conformément aux certificats d'étalonnage. On fournit des certificats d'étalonnage avec chaque instrument retourné, et on les classe dans le service de l'AQ (les certificats relatifs aux étalons 1324, 1398, 1222, 1557 et 1752 ont été vérifiés).

Certains étalonnages sont effectués à l'interne. Par exemple, le spectrophotomètre UV/VIS (numéro d'inventaire 1473) est étalonné à l'interne à l'aide de cellules de référence, conformément à la procédure P-CAB-02 (version 2), qui a été démontrée par <Nom>. Une fiche est complétée à la place d'un certificat d'étalonnage et est classé de façon appropriée.

On évalue l'importance de tous les instruments qui dépassent la valeur de tolérance pour déterminer le risque que présente le produit. Cependant, lorsqu'aucune mesure n'est prise, aucun dossier n'en indique la raison; cela constitue un cas de non-conformité (NC1-S1-08).
Secteur visité Service de l'AQ
Laboratoire de métrologie
Personnes interrogées <Nom>, technicien de l'AQ
Documents et renseignements clés examinés P-CAB-01 version 7 - Étalonnage
P-CAB-02 version 2 - Étalonnage du spectrophotomètre UV/VIS
Base de données sur l'étalonnage (entrées relatives aux étalons 1324, 1473, 1398, 1222, 1557 et 1752)
Certificats d'étalonnage (pour les entrées mentionnées ci-dessus)
Liste des fournisseurs approuvés (version 37, novembre 2010)
Produit ou composantes examinées Sans objet (S/O)
Conclusions Mis à part le cas de non-conformité mentionné, ce processus est conforme aux exigences du paragraphe 7.6. Le cas de non-conformité observé n'a pas de répercussions importantes sur la validité des mesures effectuées.
 
Infrastructure et entretien
Nom du processus Infrastructure et entretien
Critères pertinents ISO 13485:2003, paragraphes 6.3 et 6.4
Description et constatations La responsabilité de l'infrastructure, du milieu de travail et de l'entretien connexe relève de <Nom>, gestionnaire des installations. <Nom> relève directement du VP des Opérations.

<Entreprise> est propriétaire de l'immeuble où elle exerce ses activités. Il n'y a pas d'exigences environnementales particulières relatives à la production, à part le fait de fournir l'espace adéquat, une température confortable et une ventilation appropriée. Cependant, les laboratoires de polymère et les entrepôts sont munis d'installations coupe-feu et d'extinction supplémentaires.

Le personnel de la gestion des installations est aussi chargé d'entretenir le réseau d'alimentation en eau obtenue par osmose inverse utilisé durant le processus de production. Le remplacement des cartouches filtrantes est fondé sur leur utilisation (flux mesuré), conformément aux recommandations du fabricant. La pompe et les robinets font aussi l'objet d'un entretien régulier. On tient à jour un registre distinct pour les cartouches filtrantes, qui indique le numéro de série de chaque cartouche, le nombre d'heures consacrées à son entretien et les dates d'entretien.

On emploie un calendrier d'inspection et d'entretien anticipés pour l'équipement de production important (à l'aide du logiciel de gestion de maintenance assistée par ordinateur). L'équipement d'usine fait l'objet d'un entretien et de remplacement réguliers.

Le gestionnaire des installations n'était pas disponible durant l'audit en raison d'une urgence médicale familiale; le VP des Opérations a répondu aux questions et fourni les dossiers disponibles qu'il a pu trouver. Pour cette raison, il est recommandé que ce processus soit de nouveau audité avec attention durant le prochain audit, puisque les constatations n'ont pu être vérifiées de façon indépendante dans les dossiers.
Secteur visité Service de l'entretien
Personnes interrogées <Nom>, VP des Opérations
Documents et renseignements clés examinés Entrées relatives au réacteur agitateur du logiciel de gestion de maintenance assistée par ordinateur
Registre de remplacement des cartouches filtrantes d'eau OI
Produit ou composantes examinées Sans objet (S/O)
Conclusions Une conclusion provisoire de conformité est tirée - cette conclusion devrait être corroborée au cours du prochain audit.
 
Gestion (y compris les méthodes de suivi de l'exploitation efficace du système de contrôle de la qualité)
Nom du processus Gestion (y compris les méthodes de suivi de l'exploitation efficace du système de contrôle de la qualité)
Critères pertinents ISO 13485:2003, 5.X - responsabilité de la direction
Description et constatations L'organigramme de l'entreprise illustre la structure de cette dernière ainsi que les responsabilités et pouvoirs fonctionnels. Le directeur principal, Qualité et affaires réglementaires, est le représentant de la direction au système de management de la qualité (SMQ).

La description de tâches (DT) du représentant de la direction au SMQ a été examinée. Cette DT souligne les responsabilités obligatoires mentionnées dans la norme ISO 13485 ainsi que la responsabilité des questions relatives à la communication qualité dans l'ensemble de l'organisation. <Nom> a indiqué avoir commencé à envoyer par courriel un bulletin trimestriel à tous les employés afin de leur communiquer les enjeux relatifs à la gestion de la qualité.

Le conseil de direction, composé du directeur exécutif, des VP et du directeur principal, Qualité et affaires réglementaires, est responsable de toutes les activités de planification stratégique et de la qualité et des ressources connexes. <Nom>, le directeur exécutif de l'entreprise, n'était pas disponible durant l'audit pour discuter de la planification. Celle-ci est fondée sur les objectifs organisationnels et les objectifs en matière de qualité et tient compte de la métrologie des processus (voir le document QP-001). La planification est à l'ordre du jour d'une réunion trimestrielle plus importante qui porte aussi sur l'examen de la gestion et l'établissement d'objectifs.

Le conseil de direction procède à un examen de la gestion dans le cadre de ses réunions trimestrielles. L'ordre du jour est bien défini et complet. Les participants examinent les données concernant le rendement de l'entreprise, le SMQ (y compris les AC et AP) et l'évolution des projets. On discute des défis à venir et des obstacles réglementaires. Les membres du conseil examinent ensuite les objectifs et la politique en matière de qualité à la lumière des données présentées. Les résultats de ces réunions comprennent notamment des objectifs qualité, des politiques, ainsi que des plans opérationnels et de ressources à jour.

Les activités de gestion de la qualité de l'entreprise semblent être prises au sérieux et bénéficier de ressources adéquates.
Secteur visité Gestion
Personnes interrogées <Nom>, directeur principal, Qualité et affaires réglementaires (représentant de la direction)
Documents et renseignements clés examinés Planification et objectifs QP-001
Examen de la gestion QP-012
Objectifs en matière de qualité OQ-044-R9
Politique de la qualité POL-01 R3
Procès-verbal relatif à l'examen de la gestion de novembre 2010 (PQ-012 R6)
Description de tâches : représentant de la direction, DT-011R2
Organigramme R22
Bulletin sur la qualité envoyé par courriel pour le T3 (VERSION PRÉLIMINAIRE)
Produit ou composantes examinées Sans objet (S/O)
Conclusions La haute direction montre son engagement à l'égard de la gestion de la qualité par le truchement de ses activités d'examen et de planification. Le SMQ se conforme adéquatement aux exigences de la section 5 de la norme ISO 13485:2003. Ces activités sont jugées conformes.
 
Conception et développement
Nom du processus Conception et développement
Critères pertinents ISO 13485:2003, 7.3 conception et développement
Description et constatations Les activités de conception sont gérées par le directeur de l'ingénierie.

Toutes les activités de maîtrise de la conception, y compris les changements de conception apportés aux produits existants, sont consignées dans le manuel de maîtrise de la conception et des changements QP-07. On emploie un processus par étapes, du concept à la mise en marché. Le manuel précise la présentation et le contenu des archives de conception et des dossiers techniques.

Les marchés cibles sont établis à l'étape de la faisabilité afin de déterminer toutes les exigences réglementaires pertinentes (p. ex. RIM). Des plans de gestion des risques sont formulés à cette étape et améliorés à mesure que les activités de conception évoluent d'une étape à une autre.

L'un des résultats du processus de conception de <Entreprise> est le plan de la qualité des projets, qui rassemble les données des archives de conception, du dossier technique et du protocole de transfert de la conception. Le plan de la qualité des projets indique aussi les présentations réglementaires soumises à un stade précoce afin que la documentation appropriée puisse être recueillie.

Tous les directeurs doivent approuver les résultats de la conception afin de veiller à ce que l'entreprise puisse mettre en œuvre cette dernière.

L'Ingénierie coordonne les essais pilotes et les prototypes avec les Opérations. Une fois que la faisabilité technique est établie, les ingénieurs de projet gèrent les activités de validation de la conception en consultation avec une conseillère médicale externe.

Même si la conseillère médicale n'est pas considérée comme une employée de l'entreprise, <Entreprise> ne la considère pas non plus comme un fournisseur. Même si le directeur principal, Qualité et affaires réglementaires, pourrait produire un curriculum vitæ indiquant l'expérience de la conseillère médicale, la capacité de celle-ci n'a pas été évaluée à l'aide de la procédure de contrôle des fournisseurs, comme c'est habituellement le cas des autres fournisseurs de biens ou de services. On a expliqué qu'on avait entrepris un processus rigoureux pour sélectionner un conseiller médical, mais que le processus de contrôle des fournisseurs n'était pas adapté à de telles situations. Par conséquent, il n'a pas été utilisé. Des documents du CEP autorisent le recours à cette conseillère à titre de fournisseur non autorisé.

La conception validée finale doit faire l'objet d'une approbation finale par tous les directeurs. L'ingénieur de projet est ensuite chargé d'élaborer le protocole de transfert de la conception en collaboration avec le service des opérations.

On a examiné les dossiers de conception du <Produit 2>, qui étaient conformes aux exigences du manuel et de la norme ISO 13485. Le plan de la qualité du projet était complet, et le protocole de transfert de la conception a récemment été autorisé aux fins de mise en œuvre.

D'autres archives de conception (<Produit 1>) ont été examinées. Elles comprenaient des changements de conception; ceux-ci sont gérés à l'aide du même processus par étapes (du concept à la mise en marché) que celui utilisé pour les nouvelles conceptions.

Le processus de maîtrise de la conception est rigoureux, systématique et bien consigné. Tous les intrants nécessaires sont mentionnés. Les dossiers générés par le processus sont bien désignés et structurés.
Secteur visité Ingénierie, Gestion
Personnes interrogées <Nom>, directeur principal, Qualité et affaires réglementaires (représentant de la direction)
<Nom>, directeur de l'ingénierie
<Nom>, ingénieur de projet - <Produit 2>
Documents et renseignements clés examinés Manuel de maîtrise de la conception et des changements QP-07 R3
Plan de la qualité du projet relatif au <Produit 2> R1
Archives de conception concernant le <Produit 1> et le <Produit 2>
Protocole de transfert de la conception concernant le <Produit 2>
Produit ou composantes examinées Sans objet (S/O)
Conclusions Les activités de maîtrise de la conception de <Entreprise> sont conformes aux exigences de la norme ISO 13485:2003 7.3
 
Mesures de contrôle des achats
Nom du processus Mesures de contrôle des achats
Critères pertinents ISO 13485:2003, 7.4 achats
Description et constatations Les spécifications et les critères d'acceptation des composantes et des services achetés sont définis dans les plans de la qualité des projets relatifs aux divers instruments.

Le gestionnaire de l'approvisionnement, qui relève du VP des Opérations, est responsable de l'évaluation des fournisseurs et de l'inspection à la réception. Il est aussi chargé de la qualification des fournisseurs, conformément au document QP-57 (approbation des fournisseurs).

Les fournisseurs potentiels sont évalués en fonction de leur capacité de fournir des produits conformément aux exigences indiquées par le service de l'ingénierie dans le document concernant les exigences et paramètres d'approbation des produits achetés. Les fournisseurs font aussi l'objet d'un audit initial par le gestionnaire de l'approvisionnement. L'acceptation du premier lot est fondée sur des critères plus stricts. Une fois qu'un fournisseur est accepté, son nom est ajouté à la liste des fournisseurs autorisés et assorti de la mention « période d'essai ». Après 10 bonnes expéditions, s'il n'a pas fait l'objet d'une demande d'action corrective du fournisseur (DACF), la mention « période d'essai » est supprimée.

Conformément à l'entente qu'ils ont signée, les fournisseurs savent qu'ils font l'objet d'un suivi continu. On effectue ce suivi en recueillant et en analysant des données sur la qualité et la rapidité des expéditions. On procède aussi à de nouveaux audits périodiques des fournisseurs - en particulier pour assurer le suivi des DACF. Un piètre rendement (trois mauvais lots consécutifs ou quatre DACF en un an) entraîne une nouvelle période d'essai. Trois dossiers d'évaluation des fournisseurs ont été examinés.

Le processus d'achat de biens et de services est décrit dans le document QP-56 (achats). Les achats sont effectués en fonction de plans et de calendriers de production établis par le VP des Opérations. Le bon de commande normalisé utilisé par l'entreprise doit être signé par le gestionnaire de l'approvisionnement, qui confirme que le nom du fournisseur figure sur la liste des fournisseurs autorisés et que les spécifications appropriées sont mentionnées dans le bon de commande.

La réception des biens est contrôlée au moyen du document QP-34 et de la Procédure d'approbation des matériaux achetés (QP-57). Un technicien de la réception, <Nom>, a expliqué le processus et l'a démontré à l'aide du lot 22-3 du <produit fourni 2>. L'inspection et l'acceptation du produit fourni sont fondées sur les critères mentionnés dans le plan du projet. Son utilisation est autorisée par le gestionnaire de l'approvisionnement.

Lorsque les biens ou services fournis ne sont pas conformes aux exigences, une DACF est soumise par le gestionnaire de l'approvisionnement. Ces demandes sont aussi envoyées au comité d'examen des produits (CEP), qui peut prévoir ainsi les problèmes de production et régler la DACF (voir le document QP-58). Plusieurs DACF ont été examinées. L'entreprise assure avec diligence le suivi des DACF et veille à ce que les problèmes soient réglés. Les biens ne peuvent être acceptés que par dérogation du CEP.
Secteur visité Approvisionnement, réception, entrepôt
Personnes interrogées <Nom>, gestionnaire de l'approvisionnement
<Nom>, technicien de la réception
Documents et renseignements clés examinés QP-56 R3 - Achats
QP-57 R2 - Approbation des matériaux achetés
QP-34 R5 - Réception
QP-57 R2 - Approbation des fournisseurs
PON-3325 - Suivi des fournisseurs
Liste des fournisseurs autorisés (LFA) R77 (6 février 2011)
DACF PQ-58 R1
Plan de la qualité du projet relatif au <Produit 2> R1 - Annexe C
Exigences et paramètres d'approbation des produits achetés
Produit ou composantes examinées Évaluation du <Produit fourni 1>, <Produit fourni 2> et du <Service fourni 1>
DACF 45, 78, 79 et 87
Dossier d'inspection du lot 22 3 relatif au <Produit fourni 2>
Conclusions Les activités d'achat sont bien définies et contrôlées. Les pouvoirs appropriés sont définis. Les activités auditées garantissent que les produits fournis sont conformes aux exigences. L'entreprise se conforme au paragraphe 7.4.

Les sommaires de l'audit devraient aussi contenir les éléments suivants, au besoin :

b) Description des changements importants

Lorsque l'activité ou le processus faisant l'objet de l'audit a subi un changement important, il faudrait l'expliquer dans le rapport d'audit. Un changement important peut avoir été apporté à un produit ou à un processus, à la structure organisationnelle ou aux installations, ainsi qu'à l'effectif et aux établissements et à l'ensemble du SMQ. La description de ces changements devrait comprendre une analyse de leur pertinence et de leur incidence sur les exigences réglementaires et les soumissions aux organismes de réglementation. La description peut figurer dans les sommaires de l'audit ou sous une rubrique distincte.

Les changements importants sont des changements qui peuvent avoir des répercussions sur la conformité du produit avec les exigences précisées ou la capacité du SMQ de se conformer aux exigences ou d'atteindre les objectifs en matière de qualité. Sur le plan pratique, les changements importants sont ceux qui peuvent nuire à la sécurité ou à l'efficacité des instruments médicaux ou nuire à la capacité du fabricant de se conformer aux exigences réglementaires.

Les changements importants sont ceux qui sont apportés aux éléments suivants :

  • produits;
  • processus;
  • structure organisationnelle;
  • propriété;
  • personnel clé;
  • installations;
  • SMQ.

Même si les changements de conception peuvent faire l'objet d'une modification de l'homologation (article 34 du RIM) et d'autres changements doivent être signalés annuellement (paragraphe 43(1) du RIM), les changements importants ne sont pas tous soumis à un examen aux termes du Règlement. Par conséquent, dans le cadre d'une supervision continue efficace, ils doivent être mentionnés dans les rapports d'audit.

Les rapports doivent décrire les changements importants, y compris leur pertinence et leurs répercussions, particulièrement en ce qui concerne les exigences réglementaires applicables. L'analyse des changements importants devrait comprendre des renseignements indiquant si le fabricant a procédé à une soumission réglementaire ou, s'il ne l'a pas fait, s'il a envisagé la nécessité d'une présentation et s'il a documenté les raisons pour lesquelles il n'a pas procédé à une présentation réglementaire. Ces analyses devraient aussi porter sur la pertinence continue du SMQ à la lumière de ces changements.

Idéalement, les changements importants devraient être analysés dans les sommaires de l'audit, même s'ils peuvent aussi être décrits sous une rubrique distincte.

Exemples

A. <Entreprise> a récemment mis à jour le logiciel de l'instrument, qui est passé de la version 83.6 à 84. L'entreprise a effectué ces changements pour se conformer à des normes de codification internes et combler des lacunes sur le plan de la nomenclature. Après un examen de la conception, le service de l'ingénierie a conclu que ce changement n'avait pas de répercussion sur la forme ou la fonction de l'instrument et qu'il n'était pas nécessaire d'aviser quelque organisme de réglementation que ce soit.

B. <Entreprise> a amorcé un projet de changement de conception de son cathéter à ballon de dilatation <Numéro de modèle>. L'entreprise est en train de valider un nouvel emballage et d'approuver un nouveau centre de stérilisation sous-traitant pour les instruments. Les dirigeants de l'entreprise ont déclaré qu'ils ne prévoient pas modifier l'homologation de cet instrument. Il s'agit d'un cas de non-conformité (voir NC-01), puisqu'il s'agit d'un changement important apporté à un instrument médical de classe IV, qui exige la modification de l'homologation de l'instrument médical (article 34 du RIM).

C. Une deuxième chaîne de soudage au plasma a été approuvée et est en train d'être validée (conformément au plan de validation OP-34-2) pour la chaîne de production de cathéter à anse cardiovasculaire. La nouvelle unité est identique à l'unité existante. Aucune unité de production n'a été fabriquée à l'aide de la nouvelle machine à souder. Le gestionnaire des AR a indiqué que ce changement n'exigera aucune présentation à des organismes de réglementation.

D. Le service de l'ingénierie a été séparé en deux services distincts. <Nom>, l'ancien VP de l'Ingénierie, est maintenant le VP de la R et D et est responsable des mesures de contrôle de la conception. <Nom2> est maintenant le VP de la Production (qui relève de l'ancien service de l'ingénierie) et est responsable des transferts de conception et des activités de production (à l'exception des fonctions de soutien qui relèvent du VP des Installations). Ces changements n'ont pas de répercussions réglementaires. Les nouveaux pouvoirs ont été consignés dans les documents modifiés relatifs au SMQ.

c) Obstacles

Il faudrait préciser toute demande de renseignements refusée par l'entité faisant l'objet de l'audit dans le rapport. Cela comprend les refus d'accès. Tout autre obstacle qui risque de compromettre la validité des conclusions de l'audit devrait être mentionné dans le rapport d'audit.

Il est aussi possible d'inscrire les obstacles à la section 2.3.4d) - Fiabilité de l'audit.

Selon le principe de la présentation impartiale, le rapport d'audit devrait faire état de tous les obstacles auxquels ont dû faire face les auditeurs. Parmi ces obstacles, mentionnons le fait d'entraver délibérément les travaux de l'équipe d'audit et des situations qui nuisent à l'audit. Voici des exemples d'actes délibérés :

  • refuser (ou « oublier ») de fournir certains documents ou dossiers;
  • refuser de répondre à certaines questions ou fournir des réponses évasives;
  • refuser l'accès à certains secteurs;
  • gêner délibérément les auditeurs ou retarder délibérément leurs travaux;
  • ne pas coopérer ou se montrer combatif.

Parmi les situations qui peuvent nuire à la validité des conclusions de l'audit, mentionnons les suivantes :

  • l'arrêt de la chaîne de production;
  • l'absence d'employés clés;
  • certains processus qui ne sont pas en marche ou certaines activités qui ne sont pas accomplies durant l'audit;
  • des pannes d'électricité;
  • des situations d'urgence.

Les obstacles devraient être signalés dans les sommaires de l'audit. Toutefois, les obstacles de nature générale peuvent être signalés dans la section qui porte sur les facteurs nuisant à la fiabilité de l'audit dans les conclusions du rapport (voir ci-dessous).

d) Suivi des non-conformités d'audits précédents

Lorsque la mise en œuvre de correction et de mesures correctives prises à la suite de non-conformités relevées par le passé fait l'objet d'une vérification, il faut le préciser dans le rapport d'audit, dans la section des sommaires de l'audit ou sous une rubrique distincte. Si les non-conformités relevées par le passé n'ont toujours pas été réglées, il faut le préciser.

Le suivi des cas de non-conformité relevés par le passé, y compris la vérification des corrections et des mesures correctives, fait souvent partie des objectifs de l'audit. Ainsi, ce suivi doit être consigné dans le rapport d'audit, quels que soient les documents supplémentaires utilisés (p. ex. fiche de DAC). Cette activité peut être consignée dans les sommaires de l'audit ou sous une rubrique distincte, dans la partie du rapport réservée aux constatations de l'audit.

Si les cas de non-conformité relevés par le passé ne sont toujours pas réglés, le rapport devrait l'indiquer. Dans de tels cas, les registraires devraient rendre plus strictes les conditions imposées au fabricant et les conditions relatives à son enregistrement.

e) Non-conformité

Les registraires ont le droit d'utiliser des rapports ou des fiches de non-conformité distincts, mais le rapport d'audit devrait inclure, pour chaque non-conformité, un énoncé du défaut de conformité, les critères à l'origine de la non-conformité et les preuves tangibles à l'appui. Ces éléments devraient être inscrits dans le contexte et inclus dans les sommaires de l'audit qui s'y rattachent. Cela n'empêche pas d'apporter plus de détails sur les non-conformités dans le rapport ou ailleurs.

Il faut rendre compte de toute objection du fabricant au sujet des non-conformités relevées qui n'a pas été résolue.

Lorsque le fabricant entreprend une analyse des causes ou prend des mesures correctives relatives à une non-conformité avant la fin de l'audit, il peut en être fait mention dans le rapport, mais une telle situation n'exempte pas l'auteur du rapport de rendre compte de la non-conformité.

Les cas de non-conformité et leur analyse devraient figurer dans les sommaires de l'audit afin de mettre les constatations en contexte. Puisqu'ils constituent une partie importante des constatations de l'audit, les cas de non-conformité devraient être appuyés par la quantité adéquate de données probantes dans le rapport d'audit.

Lorsqu'ils font état des cas de non-conformité dans le rapport d'audit, les auteurs devraient se souvenir d'inclure les trois éléments suivants :

  • l'énoncé de non-conformité, soulignant clairement le cas de non-conformité;
  • l'exigence qui n'est pas respectée;
  • les preuves d'audit appuyant la constatation de non-conformité.

En mettant ces trois éléments en contexte (c.-à-d. dans le sommaire de l'audit), les auteurs du rapport s'assurent que les lecteurs (organismes d'homologation, organismes de réglementation) comprendront la constatation du cas de non-conformité tel que mis au jour et qu'ils seront mieux en mesure d'évaluer l'importance de la non-conformité.

Lorsque le fabricant n'est pas d'accord avec une constatation ou avec sa classification et que ce différend ne peut être réglé, les auditeurs devraient noter l'objection dans le rapport d'audit. Même si, en général, il ne s'agit pas d'une pratique recommandée, certaines organisations faisant l'objet d'audit tentent de prendre des mesures correctives pour régler le cas de non-conformité avant la fin de l'audit. Si cela se produit, il peut en être fait mention dans le rapport d'audit, mais il faut tout de même mentionner le cas de non-conformité.

f) Secteurs n'ayant pas fait l'objet de l'audit

Lorsque des secteurs visés par l'audit (selon la portée définie dans le plan d'audit) n'ont pas fait l'objet de l'audit ou n'ont pas été assez bien examinés, il faut le noter dans le rapport d'audit.

Le rapport d'audit devrait faire état de tous les secteurs visés par l'audit qui n'ont pas été examinés. Il peut être utile d'inclure les raisons pour lesquelles le secteur n'a pas été audité. Les auteurs du rapport peuvent aussi faire mention de ces secteurs non audités lorsqu'ils analysent la réalisation des objectifs de l'audit et la fiabilité des conclusions de l'audit.

11.0 Conclusions

11.1 Généralités

Le rapport d'audit devrait fournir des conclusions claires à propos de la réalisation de l'audit et de ses résultats globaux. Les conclusions énoncées dans cette section du rapport devraient avoir trait au système de management de la qualité dans son ensemble.

Le rapport devrait contenir des conclusions concernant la conformité et l'efficacité générale du système de management. Ces conclusions devraient refléter l'évaluation et la synthèse de toutes les preuves objectives recueillies dans le cadre de l'audit et toutes les constatations connexes de l'équipe d'audit. En particulier, les auteurs devraient établir un lien entre les conclusions et chacun des objectifs de l'audit décrits plus haut dans le rapport. Les conclusions générales devraient découler naturellement des constatations présentées dans le rapport d'audit. Elles devraient être brèves, instructives, claires et exactes.

Cette section du rapport devrait aussi porter sur les questions techniques relatives à la réalisation globale de l'audit. En particulier, les auteurs du rapport devraient indiquer si tous les objectifs de l'audit ont été réalisés comme prévu et rendre compte de tous les facteurs qui ont des répercussions sur la fiabilité de l'audit.

Les recommandations de l'équipe d'audit adressées à l'organisme d'homologation devraient aussi être énoncées dans le rapport. Ces recommandations peuvent porter sur divers aspects, de l'homologation aux programmes d'audit, en passant par les mesures de suivi nécessaires qui doivent être prises tant par le registraire que par le fabricant.

11.2 Exigences précises

Les exigences qui suivent sont présentées à la section 2.3.4 du document GD211.

a) Conformité avec les critères d'audit

Un bref sommaire et des conclusions concernant la conformité du SMQ, tel qu'il est mis en œuvre, avec chaque ensemble de critères d'audit établis à la section 2.3.2 b) ci-dessus devraient être inclus dans le rapport. Les conclusions devraient établir sans équivoque les éléments conformes et non conformes du SMQ.

Le rapport devrait comprendre une conclusion concernant la conformité ou la non-conformité du SMQ avec chaque ensemble de critères d'audit mentionnés à la section « Information au sujet de l'audit ». Les conclusions relatives à la conformité du SMQ devraient être claires.

Les conclusions ne devraient pas contredire l'une ou l'autre des constatations mentionnées dans le rapport. Elles ne devraient pas être ambiguës ni laisser place à l'interprétation (p. ex. « malgré les importants cas de non-conformité relevés, le SMQ est conforme aux critères d'audit »).

Lorsqu'il y a plusieurs ensembles de critères d'audit, comme durant un audit combiné, il est préférable de tirer une conclusion distincte pour chaque ensemble de critères d'audit.

Exemples

A. Selon les entrevues et les données probantes observées, nous concluons que le système est mis en œuvre de façon efficace et demeure conforme à la norme ISO 13485:2003. Les cas de non-conformité relevés sont jugés peu importants et n'ont pas de répercussions sur la constatation de conformité globale.

B. Comme nous l'avons indiqué dans les constatations de conformité énoncées dans les sommaires de l'audit et compte tenu de l'absence de tout cas de non-conformité, le système est jugé conforme, dans son ensemble, aux exigences de la norme ISO 13485:2003.

C. Durant l'audit, l'entreprise n'a pu fournir suffisamment de preuves attestant la conformité avec de nombreux critères de l'audit (voir les constatations ci-dessus pour obtenir des détails à cet égard). Par conséquent, l'équipe d'audit conclut que le SMQ du fabricant n'est pas conforme à la norme ISO 13485:2003.

D. Compte tenu du nombre de cas de non-conformité mineurs relevés durant le présent audit et de l'historique de conformité du fabricant, l'équipe d'audit conclut que le SMQ n'est pas totalement conforme à la norme ISO 13485:2003.

E. L'existence de trois cas de non-conformité majeurs et l'interruption prématurée de l'audit empêchent l'équipe d'audit de conclure que le SMQ est conforme aux critères de l'audit.

b) Efficacité

Le rapport devrait comprendre un bref sommaire et des conclusions se rattachant à l'efficacité du SMQ en ce qui concerne la réalisation des objectifs de qualité. L'un de ces objectifs tient à la conformité avec les exigences réglementaires applicables.

Le rapport devrait comprendre une conclusion concernant la mesure dans laquelle le SMQ permet de réaliser les objectifs en matière de qualité. Cette conclusion devrait être fondée sur la détermination par le fabricant de l'efficacité du SMQ durant l'examen de la gestion et sur les preuves objectives attestant l'efficacité (ou l'absence d'efficacité) recueillies par l'équipe d'audit.

Pour les organismes de réglementation, l'objectif le plus important en matière de qualité est la conformité avec les exigences réglementaires. Les conclusions relatives à l'efficacité du SMQ devraient indiquer si le fabricant se conforme à ces exigences.

Si les critères d'audit comprenaient plusieurs ensembles d'exigences réglementaires, la conclusion relative à l'efficacité devrait indiquer dans quelle mesure le SMQ est conforme à chaque ensemble distinct d'exigences réglementaires.

Exemples

A. L'équipe d'audit estime que le système de management de la qualité permet à l'entreprise de réaliser ses objectifs opérationnels et ses objectifs en matière de qualité et d'assurer sa conformité avec le RIM canadien. Les preuves d'audit révèlent que les objectifs opérationnels sont réalisés et que les normes de qualité internes sont respectées.

B. Les preuves d'audit examinées montrent clairement que l'entreprise réalise ses objectifs en matière de qualité établis par la direction. Le SMQ est bien établi, et son degré de mise en œuvre est élevé en raison de la culture de la qualité de l'entreprise. Les processus réglementaires sont bien établis, et l'entreprise respecte avec diligence les exigences réglementaires relatives au SMQ. L'équipe d'audit conclut que le SMQ est efficace.

C. Selon les preuves examinées durant l'audit, l'équipe d'audit ne peut conclure que le SMQ permet au fabricant de réaliser ses objectifs en matière de qualité et de se conformer aux exigences réglementaires applicables. En particulier, l'équipe d'audit a constaté plusieurs situations (voir les cas de non-conformité relevés) où le fabricant n'avait pas réussi à respecter les exigences réglementaires.

D. Le SMQ de l'entreprise est bien adapté au milieu opérationnel de <Entreprise>. L'entreprise réalise ou dépasse généralement ses objectifs en matière de qualité. La direction prend des mesures proactives pour réaliser les objectifs qui n'ont pas été atteints. Les exigences de la Directive 93/42/EEC sont respectées. En général, le SMQ permet à l'entreprise de se conformer au RIM du Canada; cependant, les activités de matériovigilance relatives au compte rendu des incidents sont conçues pour respecter les exigences européennes et ne permettent pas de garantir que certains types d'incidents seront signalés à Santé Canada conformément aux dispositions du RIM (voir le cas de non-conformité no 2).

c) Confirmation des objectifs de l'audit

Le rapport devrait permettre de confirmer le respect de tous les objectifs de l'audit établis à la section 2.3.2 c). Lorsqu'un objectif de l'audit n'a pas été respecté, il faudrait fournir une explication.

Le rapport devrait confirmer que tous les objectifs de l'audit indiqués précédemment dans le rapport ont été réalisés. Lorsqu'un objectif n'a pas été respecté ou n'a été atteint qu'en partie, le rapport de l'audit devrait l'indiquer et en préciser les raisons.

Les auteurs du rapport devraient se fonder sur le principe de la présentation impartiale mentionné précédemment lorsqu'ils font état des objectifs non réalisés et des raisons justifiant ces situations. La divulgation des objectifs non réalisés empêche les utilisateurs du rapport de tirer des conclusions non souhaitées. Cette pratique permet aussi aux organismes d'homologation de planifier de façon adéquate la surveillance future en mettant en lumière les aspects qui exigent une attention ou des ressources supplémentaires et en donnant l'impulsion nécessaire pour apporter des modifications au programme d'audit.

Exemples

A. Tous les objectifs de l'audit mentionnés ci-dessus ont été réalisés. L'audit a été effectué comme prévu.

B. Il n'a pas été possible de réaliser tous les objectifs de l'audit. L'équipe d'audit n'a pu déterminer si le SMQ est conforme à la Partie 1 du RIM puisque le fabricant n'a fait homologuer aucun instrument au Canada et n'a donc entièrement mis en œuvre aucune des exigences du RIM. Tous les autres objectifs de l'audit ont été réalisés comme prévu.

C. L'audit a été prématurément interrompu en raison du grand nombre de cas importants de non-conformité et du risque imminent pour la santé du public. Les objectifs de l'audit n'ont donc pas été réalisés.

D. Il n'a pas été possible de réaliser tous les objectifs de l'audit comme prévu. L'expansion demandée de la portée n'a pu faire l'objet d'une enquête complète puisque le fabricant n'a pas encore accompli les activités de transfert de conception relatives au port à accès vasculaire pédiatrique.

d) Fiabilité de l'audit

Le rapport devrait exposer tous les facteurs survenus susceptibles de nuire à la fiabilité de l'audit. Par exemple, l'auditeur peut avoir manqué de temps, ou peut avoir constaté l'absence d'une compétence technique nécessaire ou tout autre obstacle mentionné à la section 2.3.3 c).

Encore une fois, le principe de la présentation impartiale garantit la divulgation complète de tous les facteurs qui pourraient nuire à la fiabilité des constatations ou des conclusions de l'audit. De tels facteurs peuvent prendre de nombreuses formes :

  • le manque de temps de l'auditeur (pour diverses raisons);
  • l'absence d'une compétence technique nécessaire pour évaluer une technologie ou un processus particulier;
  • l'absence d'un gestionnaire ou d'un employé clé;
  • la non-disponibilité de certains dossiers;
  • la non-disponibilité d'échantillons représentatifs (en raison, par exemple, de nouvelles activités ou de nouveaux processus).

La divulgation des facteurs qui peuvent nuire à la fiabilité des constatations et conclusions de l'audit permet aux utilisateurs des rapports de se faire une opinion éclairée fondée sur les résultats de l'audit et ne peut qu'augmenter le degré de confiance à l'égard de l'évaluation de la conformité effectuée.

Exemples

A. L'équipe d'audit n'a constaté aucun facteur qui pourrait réduire la fiabilité de l'audit ou de ses conclusions.

B. Le seul facteur qui pourrait avoir des répercussions sur la fiabilité de l'audit était l'absence du gestionnaire des RH. Des subalternes ont tenté de répondre aux questions et de fournir de l'information à sa place, mais certains aspects de la gestion des ressources n'ont pas fait l'objet d'une enquête approfondie.

C. L'équipe d'audit a dû se fier à l'interprétation ponctuelle du tagal faite par des membres du personnel de la production afin de pouvoir interroger certains opérateurs.

D. Il est à noter que l'équipe d'audit n'avait qu'une expérience sommaire des logiciels. Par conséquent, la partie du dossier de conception consacrée à la validation du logiciel de contrôle n'a été que brièvement examinée.

E. Comme l'équipe d'audit a choisi d'enquêter sur l'impartition de certaines activités de fabrication auparavant accomplies à l'interne, le temps consacré à l'audit de la gestion des ressources et de la formation a été réduit de 60 %, ce qui a entraîné une réduction considérable du nombre de dossiers échantillonnés.

e) Recommandations

Le rapport devrait contenir les recommandations de l'équipe d'audit. Il faudrait formuler des recommandations liées aux éléments suivants :

  1. toute mesure de suivi à prendre par le registraire, tout changement du programme d'audit ou du nombre de jours où un auditeur est sur place;
  2. la certification initiale du système de management de la qualité ou le maintien de celle-ci, ainsi que toute autre condition ou observation connexe.

L'équipe d'audit devrait recommander toutes les mesures de suivi nécessaires que devrait prendre le registraire. Elle pourrait notamment recommander de porter une attention particulière à des aspects précis durant le prochain audit, fournir des pistes d'audit potentielles ou suggérer des activités de supervision supplémentaires (p. ex. examen des documents). Le rapport d'audit devrait aussi contenir des recommandations relatives aux changements à apporter au programme d'audit (p. ex. type, nombre ou fréquence des audits), à la période d'audit sur place ou à la composition de l'équipe d'audit (particulièrement en ce qui concerne la compétence technique).

Lorsqu'elles formulent des recommandations à l'organisme de certification concernant la certification initiale ou continue, les équipes d'audit devraient aussi mentionner toute condition ou observation appropriée qui a trait à chacune des recommandations.

Exemples

A. Étant donné que les objectifs de l'audit ont été réalisés sans obstacle et que le SMQ est considéré comme efficace et conforme aux critères de l'audit, l'équipe d'audit recommande à l'organisme de certification de maintenir la certification ISO 13485:2003 de <Entreprise> dans le cadre du programme du SCECIM. L'équipe d'audit ne suggère aucun ajout au programme d'audit ni aucune modification de celui-ci.

B. L'équipe d'audit recommande que <fabricant> puisse obtenir un certificat ISO 13485:2003 dans le cadre du programme du SCECIM une fois que des projets de mesures correctives convenables auront été acceptés en ce qui concerne les deux cas mineurs de non-conformité relevés. En outre, l'équipe recommande que le fabricant fasse l'objet de son premier audit de surveillance dans les six mois suivant sa certification afin que la mise en œuvre des mesures correctives soit vérifiée et que les constatations du présent audit soient validées, puisqu'il s'agit d'une nouvelle entreprise qui n'a pas encore entièrement mis en œuvre ses processus de production.

C. En se fondant sur cette évaluation, le chef d'équipe recommande la certification continue de <Entreprise>. Il est recommandé d'ajouter au programme d'audit un jour-personne supplémentaire sur place pour le renouvellement de la certification de l'année prochaine, compte tenu de la nature des constatations durant le présent cycle de certification ainsi que des changements subis par le fabricant.

D. L'équipe d'audit recommande la suspension immédiate de la certification de <Entreprise> jusqu'à ce qu'une vérification sur place des mesures correctives relatives aux quatre cas importants de non-conformité soit effectuée. L'équipe d'audit exhorte <Organisme de certification> à doter l'équipe d'audit de compétences précises relatives à la stérilisation et à l'emballage compte tenu des conditions observées et des constatations énoncées ci-dessus.

12.0 Auteurs et date

12.1 Généralités

Il est important de mentionner le nom de l'auteur ou des auteurs du rapport afin qu'il soit possible de communiquer avec quelqu'un si le rapport exige des éclaircissements.

Parce que les dates de l'audit sont importantes, les auteurs du rapport et les registraires sont encouragés à dater le rapport et ses différentes versions de façon appropriée. De telles pratiques permettent d'effectuer une reconstitution chronologique et une enquête rétrospective.

Il est important d'éviter la confusion lorsqu'il existe des versions multiples des rapports. Lorsque les utilisateurs des rapports ne peuvent reconstituer l'historique et la chronologie des versions ni déterminer la portée et la nature des changements apportés entre les versions, les rapports perdent une grande partie de leur valeur.

12.2 Exigences précises

Le rapport d'audit final devrait comprendre le nom des auteurs du rapport. Il devrait aussi être daté en fonction de la date de publication finale et contenir les détails du contrôle de la version, s'il y a lieu.

Les dates mentionnées dans les rapports devraient être fondées sur une pratique de datation qui ne porte pas à confusion (voir la section e) Dates de l'audit ci-dessus). Si les rapports font l'objet de modifications ou de corrections, ou s'il en existe plusieurs versions, les renseignements pertinents sur le contrôle des versions devraient être ajoutés.

12.3 Ressources supplémentaires

Les ressources supplémentaires suivantes sont disponibles :

13.0 Bibliographie

ISO/IEC 17021 : 2006 - Évaluation de la conformité - Exigences pour les organismes procédant à l'audit et à la certification des systèmes de management

ISO 19011 : 2002 Lignes directrices relatives aux audits de systèmes de management de la qualité et/ou de management environnemental

GD207 : Directive sur les certificats de systèmes de management de la qualité ISO 13485 délivrés par les registraires reconnus par Santé Canada

GD210 : Audits des systèmes de management de la qualité ISO 13485:2003 menés par les registraires reconnus par Santé Canada

GD211 : Directive sur le contenu des rapports d'audit de système de management de la qualité

SG4/N33R16:2007 - Guidelines for Regulatory Auditing of Quality Management Systems of Medical Device Manufacturers - Part 3: Regulatory Audit Reports

Détails de la page

Date de modification :