База знаний Audit Advisor

Сертификация ISO 13485: как проходит аудит, этапы и сроки

ISO 13485
Для многих компаний сертификация ISO 13485 выглядит как формальная процедура: подготовили документы, показали регламенты, прошли аудит и получили сертификат. На практике все сложнее. Аудит по ISO 13485 оценивает не только наличие документов, но и то, насколько система менеджмента качества реально управляет рисками, прослеживаемостью, изменениями, поставщиками, производством и выпуском медицинских изделий.
Это особенно важно для организаций, работающих в регулируемой отрасли: производителей, разработчиков, контрактных площадок, поставщиков компонентов, компаний, выполняющих стерилизацию, упаковку, хранение, монтаж или сервис. Сертификация ISO 13485 влияет не только на репутацию компании, но и на устойчивость процессов, качество записей, готовность к проверкам и способность быстро разбирать претензии, возвраты и несоответствия.
Статья будет полезна руководителям компаний, владельцам бизнеса, директорам по качеству, специалистам по качеству и регуляторным вопросам, внутренним аудиторам, а также организациям, которые только планируют внедрение ISO 13485 или готовятся к сертификационному аудиту.

Что такое сертификация ISO 13485 простыми словами

ISO 13485 — это международный стандарт, устанавливающий требования к системе менеджмента качества для медицинских изделий. Он определяет, как организация должна управлять процессами, которые влияют на безопасность продукции, выполнение регуляторных требований и стабильность выпуска.
Сертификация ISO 13485 — это независимая внешняя оценка того, что система менеджмента качества не просто описана, а внедрена и работает. Аудитор смотрит не на обещания компании, а на доказательства: документы, записи, интервью с сотрудниками, практику выполнения операций, прослеживаемость партии, управление изменениями, работу с несоответствиями, корректирующие действия, жалобы, поставщиков и валидацию процессов.
Важно понимать: сертификация ISO 13485 не сводится к проверке папок с процедурами. Если процесс красиво описан, но в реальной работе действует иначе, это быстро выявляется. Именно такие разрывы между «написано» и «делается» чаще всего становятся причиной несоответствий на аудите.

Зачем это нужно компании и бизнесу

Для бизнеса сертификация ISO 13485 решает сразу несколько задач.
Во-первых, она помогает выстроить управляемую систему менеджмента качества, а не набор разрозненных правил, которые держатся на опыте нескольких сотрудников. Это снижает зависимость от конкретных людей и уменьшает количество ошибок при росте компании.
Во-вторых, она повышает доверие заказчиков, партнеров, дистрибьюторов и участников цепочки поставок. Во многих сегментах рынка медицинских изделий наличие ISO 13485 уже воспринимается не как преимущество, а как базовое ожидание.
В-третьих, подготовка к сертификации заставляет компанию навести порядок в ключевых вопросах: управлении рисками медицинских изделий, прослеживаемости, контроле изменений, работе с несоответствующей продукцией, оценке поставщиков, валидации процессов и поддержании документированной информации.
В-четвертых, сертификация позволяет заранее увидеть слабые места системы. Часто именно в ходе подготовки компания впервые по-настоящему замечает, что у нее есть пробелы в записях, формальная оценка поставщиков, неполная прослеживаемость, слабая связь между разработкой и производством или поверхностный анализ причин проблем.
Для зрелой компании сертификация ISO 13485 — это не просто способ получить сертификат. Это инструмент, который помогает выпускать продукцию более стабильно, быстрее реагировать на отклонения и претензии, лучше проходить внешние проверки и в целом снижать стоимость ошибок.

Как это связано с системой менеджмента качества для медицинских изделий

ISO 13485 нельзя воспринимать как «ISO 9001 для медицинской отрасли». У стандарта другая логика и другой акцент. Здесь особенно важны безопасность изделия, выполнение обязательных требований, воспроизводимость процессов, полнота записей, прослеживаемость, управление изменениями, контроль поставщиков и доказательства того, что критические процессы действительно управляются.
Если компания занимается проектированием и разработкой медицинских изделий, аудит затронет входные и выходные данные разработки, верификацию, валидацию, изменения в проекте, передачу разработки в производство и связь разработки с управлением рисками.
Если организация выпускает стерильные медицинские изделия, в фокусе будут процессы стерилизации, чистые помещения, мониторинг среды, квалификация оборудования и доказательства стабильности процесса.
Если часть операций передана внешним исполнителям, аудит обязательно затронет аутсорсинг. Аутсорсинг — это передача части работ сторонней организации. Но передача процесса наружу не снимает ответственность с компании, выпускающей изделие. Наоборот, в этом случае особенно важно, как вы управляете требованиями к подрядчику, контролируете качество его работы, оцениваете изменения и фиксируете результаты.

Как проходит аудит ISO 13485: основные этапы

Обычно сертификация ISO 13485 проходит в несколько шагов. Это не одноразовая проверка, а последовательный процесс, в котором оценивается и готовность системы, и ее работа на практике.

1. Подготовка компании

До прихода органа по сертификации компания должна не просто написать документы, а внедрить систему в повседневную работу. Обычно это включает описание процессов, распределение ролей и ответственности, внедрение процедур, обучение сотрудников, проведение внутренних аудитов, анализ со стороны руководства и накопление записей, подтверждающих, что система действительно работает.
Типовая ошибка на этом этапе — делать систему «под аудит». Например, документы утверждаются незадолго до проверки, но по ним еще никто не работает, сотрудники не понимают логику требований, а записи ведутся только потому, что «скоро придет аудитор». Такой подход почти всегда виден.

2. Подача заявки и планирование сертификации

После выбора органа по сертификации компания сообщает информацию о своей деятельности: какие медицинские изделия выпускаются, есть ли проектирование и разработка, сколько сотрудников и площадок задействовано, есть ли стерильные процессы, аутсорсинг, монтаж, сервис, хранение, пострегистрационные или пострыночные процессы.
На основе этих данных определяется программа аудита, его длительность, состав команды аудиторов и те области, которые потребуют особого внимания. Чем сложнее деятельность компании, тем глубже будет проверка.

3. Первый этап аудита — оценка готовности

На первом этапе аудитор обычно проверяет, готова ли организация к основному сертификационному аудиту. Он изучает структуру системы, область сертификации, комплект ключевых документов, результаты внутренних аудитов, анализ со стороны руководства, статус корректирующих действий и общее понимание требований ISO 13485.
На этом этапе обычно смотрят:
  • насколько четко определена область действия системы;
  • описаны ли ключевые процессы;
  • учтены ли применимые регуляторные требования;
  • работает ли управление документами и записями;
  • проводились ли внутренние аудиты;
  • есть ли анализ со стороны руководства;
  • понимает ли компания свои риски и критические процессы.
Первый этап — не формальность. Если система еще сырая, переход ко второму этапу может быть преждевременным.

4. Второй этап аудита — проверка системы в реальной работе

Это основная часть сертификации ISO 13485. Здесь аудитор уже не ограничивается чтением процедур. Он проверяет, как процессы работают на практике и насколько система помогает управлять качеством по всей цепочке жизненного цикла изделия.
В зависимости от специфики компании аудит может охватывать:
  • проектирование и разработку медицинских изделий;
  • закупки и оценку поставщиков;
  • входной контроль;
  • производство и сборку;
  • специальные процессы, включая стерилизацию;
  • валидацию процессов;
  • идентификацию и прослеживаемость;
  • управление оборудованием и инфраструктурой;
  • выпуск продукции;
  • хранение, упаковку и отгрузку;
  • установку и обслуживание;
  • работу с обратной связью, претензиями и возвратами;
  • корректирующие и предупреждающие действия;
  • управление несоответствующей продукцией;
  • контроль изменений;
  • пострыночные процессы.
Часто аудитор берет конкретное изделие, заказ, серию или партию и прослеживает весь путь: от закупки компонентов и выполнения операций до контроля, выпуска, маркировки, записей, изменений, жалоб и принятых мер. Именно на таких «сквозных» проверках система обычно показывает свою реальную зрелость.

5. Работа с несоответствиями после аудита

Если в ходе аудита выявлены несоответствия, компании недостаточно просто написать, что проблема устранена. Обычно требуется показать анализ причин, корректирующие действия, сроки, ответственных и доказательства того, что изменения реально внедрены.
Здесь часто используется термин CAPA. CAPA — это сокращение от corrective and preventive action, то есть система корректирующих и предупреждающих действий. Простыми словами, это порядок, по которому организация не просто исправляет проблему, а разбирается, почему она возникла, как не допустить повторения и как проверить, что принятые меры действительно сработали.
Незрелый подход выглядит так: «провели беседу», «усилили контроль», «обязуемся не повторять». Зрелый подход — это изменение процесса, пересмотр документации, обучение, дополнительный контроль, оценка результативности и при необходимости пересмотр связанных рисков.

6. Выдача сертификата и последующие надзорные аудиты

После успешного прохождения аудита и приемки корректирующих действий компания получает сертификат ISO 13485. Но на этом работа не заканчивается. В дальнейшем обычно проводятся надзорные аудиты, а затем — ресертификация.
Это важный момент: сертификат не означает, что система уже «готова навсегда». Наоборот, после первого цикла сертификации нередко выявляются новые слабые места, особенно если компания растет, расширяет линейку изделий, меняет поставщиков, запускает новые процессы или обновляет документацию.

Какие сроки сертификации бывают на практике

Единого срока сертификации ISO 13485 нет. Он зависит от стартовой зрелости компании, сложности медицинских изделий, глубины проектирования и разработки, количества площадок, объема аутсорсинга и качества уже существующей системы.
Ориентировочно процесс можно представить так:
Этап
Что происходит
Что происходит
Подготовка системы
описание процессов, внедрение процедур, обучение, внутренние аудиты, анализ со стороны руководства
от 3 до 9–12 месяцев
Первый этап аудита
оценка готовности системы и документации
1-2 дня
Интервал между этапами
доработка системы, устранение замечаний, накопление доказательств
до 90 календарных дней
Второй этап аудита
основной аудит процессов на практике
от 2 до 5 календарных дней
Закрытие несоответствий
анализ причин, корректирующие действия, подтверждение выполнения
не более 60 календарных дней с последнего дня аудита
Если у компании уже есть реально работающая система, накоплены записи, проводятся внутренние аудиты и руководство вовлечено в процессы, сертификация может пройти относительно быстро. Если же система существует только частично, сроки заметно увеличиваются.
На длительность особенно влияют:
  • наличие проектирования и разработки;
  • выпуск стерильных изделий;
  • количество производственных и вспомогательных площадок;
  • объем аутсорсинга;
  • число критически важных поставщиков;
  • сложность прослеживаемости;
  • зрелость работы с несоответствиями и корректирующими действиями;
  • полнота и качество записей;
  • готовность руководителей и владельцев процессов отвечать по существу.

Что проверяют аудиторы

Аудитор оценивает не только соответствие формальным требованиям ISO 13485, но и способность системы предотвращать проблемы и обеспечивать стабильность процессов.

Управляются ли процессы в реальности

Есть ли у процессов владельцы, понятные критерии, записи, контроль изменений и фактическое выполнение требований? Или система держится только на памяти и опыте нескольких сотрудников?

Обеспечена ли прослеживаемость

Можно ли быстро установить, из каких компонентов собрано изделие, кто выполнял операции, какие были результаты контроля, какие изменения вносились и куда была отгружена конкретная партия?

Валидированы ли критические процессы

Валидация — это подтверждение того, что процесс стабильно дает требуемый результат. Она особенно важна там, где качество нельзя полностью проверить только итоговым контролем. Например, это касается стерилизации, отдельных специальных производственных процессов, программного обеспечения, автоматизированных операций и некоторых этапов сборки.

Работает ли система корректирующих действий

Есть ли связь между жалобами, отклонениями, тенденциями, анализом причин и мерами по улучшению? Или компания просто фиксирует проблемы, но не устраняет причины их появления?

Управляет ли компания поставщиками

Для ISO 13485 поставщик — это не просто контрагент из отдела закупок. Это часть цепочки качества. Аудитор оценивает, как компания выбирает поставщиков, как их переоценивает, какие требования к ним предъявляет, как контролирует изменения с их стороны и как реагирует на проблемы в поставках.

Связано ли управление рисками с реальной деятельностью

Управление рисками не должно существовать отдельно от производства, разработки, жалоб, изменений и пострыночных процессов. Если риски оформлены в отдельном файле, но не влияют на решения компании, это слабый и опасный признак.

Типовые ошибки и слабые места

Одна из самых распространенных ошибок — воспринимать сертификацию ISO 13485 как проверку документов. В результате компания готовит аккуратный комплект процедур, но не выстраивает живую систему.
Часто встречаются и другие проблемы:
  • внутренние аудиты проводятся формально и не выявляют реальных слабых мест;
  • анализ со стороны руководства делается «для галочки»;
  • записи заполняются неполно или задним числом;
  • проектирование и разработка плохо связаны с управлением рисками;
  • валидация процессов проведена частично или без четких критериев;
  • поставщики одобрены формально, без нормальной оценки;
  • несоответствия закрываются без анализа причин;
  • изменения в документах, спецификациях, маршрутах и поставках плохо контролируются;
  • жалобы и обратная связь не используются как источник улучшений;
  • сотрудники знают, что ответить аудитору, но не понимают, зачем вообще нужны требования.
Незрелый подход на аудите виден быстро: разные подразделения отвечают по-разному, документы не совпадают с фактической практикой, а записи не складываются в цельную и логичную картину.

Что важно учитывать на практике

Готовиться к сертификации лучше не от списка документов, а от реальных процессов и подтверждающих записей.
Полезно задать себе несколько вопросов. Может ли компания быстро показать путь конкретного изделия через систему? Понятно ли, как управляются изменения? Есть ли доказательства того, что несоответствия действительно анализируются? Понимают ли владельцы процессов свои роли и критерии результативности? Видна ли связь между рисками, поставщиками, валидацией, выпуском продукции и жалобами?
Хорошая подготовка обычно включает несколько пробных сценариев:
  • выпуск конкретной партии;
  • обработку жалобы клиента;
  • изменение спецификации или смену поставщика;
  • закрытие производственного несоответствия;
  • проверку нового или измененного изделия.
Если на этих сценариях система начинает «сыпаться», значит, до внешнего аудита ее еще нужно укреплять.

Практические рекомендации и лучшие подходы

Лучше всего к сертификации ISO 13485 готовятся компании, которые строят систему вокруг процессов, рисков и доказательств, а не вокруг шаблонов документов.
Обычно хорошие результаты дают такие подходы:
  • заранее определить критические процессы и ключевые точки контроля;
  • не отделять регуляторные требования от повседневной операционной работы;
  • проверять не только наличие процедур, но и качество записей;
  • связывать корректирующие действия с жалобами, отклонениями, тенденциями и изменениями;
  • регулярно оценивать поставщиков и процессы, переданные на сторону;
  • проводить внутренние аудиты так, чтобы они реально находили проблемы;
  • обучать не только отдел качества, но и владельцев процессов;
  • до внешнего аудита провести несколько внутренних «сквозных» проверок по реальным изделиям или партиям.
Практика показывает: самые успешные аудиты проходят не там, где сотрудники выучили правильные ответы, а там, где система действительно помогает им работать.

Итоги

Сертификация ISO 13485 — это не разовая формальная процедура и не экзамен на знание терминов. Это проверка того, насколько глубоко система менеджмента качества встроена в реальную работу компании и помогает управлять безопасностью, соответствием требованиям и стабильностью выпуска медицинских изделий.
Обычно аудит проходит поэтапно: подготовка, оценка готовности, основной аудит, закрытие несоответствий и дальнейший надзор. Сроки зависят от зрелости системы, сложности продукции, роли проектирования и разработки, объема аутсорсинга, требований к прослеживаемости и качества доказательств.
Чем раньше компания начинает строить систему не «под сертификат», а под реальную управляемость процессов, тем спокойнее проходит аудит и тем больше пользы дает внедрение ISO 13485. В этом и заключается главный смысл сертификации: не просто получить документ, а сделать качество воспроизводимым, а риски — контролируемыми.
Полезные сервисы и ресурсы по сертификации ISO

Планируете пройти сертификацию по ГОСТ ISO 13485 или другим стандартам? Отправьте одну заявку и получите до 5 коммерческих предложений за 1 раз только от аккредитованных ФСА органов по сертификации.

📢 Подписывайтесь на наш Telegram-канал с новостями и статьями по ISO;
💬 Присоединяйтесь к чату специалистов по системам менеджмента;
💰 Рассчитайте примерную стоимость сертификации в нашем онлайн-калькуляторе;
🗺️ Найдите орган по сертификации в нашем реестре — по стандарту или прямо на карте.
2026-03-29 08:10