Die ISO 31000 ist eine Basisnorm für das Risikomanagement. Sie soll nicht als Grundlage für Zertifizierungen dienen, sondern Handlungsleitung für ein effektives und effizientes Risikomanagement geben – unabhängig von der Domäne einer Organisation.
Dieser Artikel möchte Ihnen als Medizinprodukte-Hersteller eine Übersicht über die ISO 31000 verschaffen, damit Sie schnell entscheiden können, ob Sie deren Prinzipien und Richtlinien in Ihrem Unternehmen anwenden wollen.
Anwendungsbereich der ISO 31000
Die ISO 31000 wendet sich an jede Organisation, die Risiken zu beherrschen hat. Dabei definiert die Norm den Begriff Risiko für Medizinprodukte-Hersteller in einer ungewöhnlichen Weise als „effect of uncertainty on objectives“.
Damit kann ein Risiko ebenso eine positive wie negative Abweichung von einem Ergebnis oder Ziel bedeuten.
Die Norm, obwohl aus dem Jahr 2009, nimmt damit vieles vorweg, was die ISO 9001:2015 zu einem Schwerpunkt gemacht hat: Der Umgang mit Chancen und Risiken.
Apropos: Eine Nachfolgeversion, die ISO 31000:2011, wurde wieder zurückgezogen, so dass die ISO 31000:2009 weiterhin die gültige Version ist.
Aufbau und Forderungen der Norm
Die ISO 31000 ist in fünf Kapitel gegliedert.
Kapitel 3: Prinzipien
Das dritte Kapitel listet einige Prinzipien wie die folgenden:
- Risikomanagement schafft und schützt Werte
- Risikomanagement ist ein integraler Bestandteil aller Prozesse
- Risikomanagement ist Teil der Entscheidungsfindung
- Risikomanagement ist systematisch, strukturiert und zeitnah
- Risikomanagement fördert eine kontinuierliche Verbesserung
Diese Prinzipien klingen zwar banal, aber die wenigsten Firmen beherzigen diese in Gänze.
Kapitel 4: Framework
Im Kapitel 4 beschreibt die ISO 31000 ein Framework für das Risikomanagement, das man als PDCA-Zyklus verstehen kann:
- Plan: Man entwirft das Framework (4.3),
- Do: implementiert es (4.4),
- Check: überwacht es (4.5) und
- Act: handelt, d.h. verbessert es.
Am Beispiel des Kapitels 4.3 zeigen wir weiter unten, in welchem Granularitätsgrad die Norm ein professionelles Risikomanagement beschreibt.
Kapitel 5: Prozess
Der Risikomanagementprozess nach ISO 31000 wird den meisten Medizinprodukteherstellern sehr bekannt vorkommen. Er gleicht sehr dem der ISO 14971. Im Gegensatz zur ISO 14971 bzw. deren Anhängen geht die ISO 31000 nicht auf bestimmte Methoden des Risikomanagements wie die FMEA ein. Dafür ist für die ISO 31000 das Risikomanagement viel stärker Teil eines kontinuierlichen Verbesserungsprozesses. Die Norm möchte die ganze Organisation verbessern, wohingegen bei der ISO 14971 den Fokus sehr stark auf das Produkt legt.
ISO 31000, Kapitel 4.3
In Kapitel 4.3.1 geht die Norm auf die Aspekte ein, die man beim Entwerfen des Frameworks (4.3) die Organisation und ihren Kontext einbeziehen sollte z.B.:
- Soziale, technologische, kulturelle, regulatorische, finanzielle und weitere Faktoren
- Schlüsselfaktoren und Trends innerhalb der Organisation
- Beziehungen zu anderen betroffenen Parteien
- Interne Faktoren wie Ziele, Vorgaben, Ablauf- und Aufbauorganisation, Kultur, Vorschriften, Verträge und viele mehr.
Im Kapitel 4.3.2 gibt die ISO 31000 vor, was man beim Festlegen der Risikopolitik einbeziehen sollte:
- Begründung der Organisation dafür, Risiken „managen“ zu wollen
- Abhängigkeiten zwischen den Zielen der Organisation und ihrer Risikopolitik
- Zuständigkeiten und Verantwortlichkeiten für das Risikomanagement
- Wie man mit widersprechenden Interessen umgehen will
- Verpflichtung, die notwendigen Ressourcen bereitzustellen
- Wie die Leistungsfähigkeit des Risikomanagementsystems gemessen und berichtet werden soll
- Selbstverpflichtung, die Risikopolitik und das Framework kontinuierlich zu prüfen und zu verbessern.
Im Kapitel 4.3.3. beschreibt die Norm, auf was man beim Festlegen der Verantwortlichkeiten achten sollte, in Kapitel 4.3.4 wie/dass das Risikomanagement in die Prozesse eingebettet sein sollte und Kapitel 4.3.5 listet die Ressourcen, die die Organisation ggf. bereitstellen muss wie
- Menschen, Kompetenzen, Erfahrungen
- Prozesse, Methoden, Werkzeuge
- Dokumentation der Prozesse und Verfahren/Methoden
- Informations- und Wissensmanagementsysteme
- Ausbildungsprogramme
Kapitel 4.3.6 und 4.3.7 geben vor, was man beim Festlegen der externen und internen Kommunikation beachten sollte.
Fazit
Für einen Risikomanager, der präzise nach ISO 14971 arbeitet, bietet die ISO 31000 keine fundamentalen Erkenntnisse. Für Personen, die die Firma als Ganzes im Blick haben und verbessern wollen, für Qualitätsmanager, die die Forderungen der ISO 9001:2015 umsetzen wollen, ist die ISO 31000 eine sehr wertvolle und empfehlenswerte Informationsquelle. Und genau das möchte sie sein.
Hallo an das Team des Johner Instituts,
mittlerweile liegt die DIN ISO 31000 in der 2018er Fassung vor. Zugehörig ist immer noch DIN EN 31010 aus 2010.
Haben Sie dazu ein Update für die, welche die DIN EN ISO 14971:2022 ebenso lesen (müssen)?
Aus Ihrem Fazit lese ich, dass die DIN ISO 31000 prinzipiell nichts Neues ergibt, was ein Hersteller von MP nicht sowieso schon macht. Sehen Sie es als zwingend an beide Normen anzuwenden oder ist in Ihren Augen auch die DIN ISO 14971 für Unternehmen / Organisationen anwendbar?
Beste Grüße,
Anonym
Liebe Kommentatorin,
wenn es um produktbezogene Risiken geht, kommen Medizinproduktehersteller in Europa kaum um die harmonisierte Norm EN ISO 14971 herum.
Bezogen auf das QMS gibt es hingegen keine konkreten Vorgaben, wie dessen Chancen und Risiken methodisch analysiert werden sollen. Eine SWAT-Analyse kann da genauso richtig sein, wie die Anwendung der ISO 31000. Die ISO 14971 wenden Sie immer dann an, wenn es um einen möglichen gesundheitlichen Schaden am Menschen geht. Bei der ISO 31000 können auch andere Schadenstypen betrachtet werden, z.B. die verletzte regulatorische Compliance oder finanzielle Schäden. Damit sind beide Normen in Ihrer grundsätzlichen Zielsetzung nicht unbedingt vergleichbar oder gegeneinander aufzuwiegen.
Herzliche Grüße
Christian Rosenzweig