ISO 31000: Risikomanagement richtig gemacht

Freitag 29. April 2016

Die ISO 31000 ist eine Basisnorm für das Risikomanagement. Sie soll nicht als Grundlage für Zertifizierungen dienen, sondern Handlungsleitung für ein effektives und effizientes Risikomanagement geben – unabhängig von der Domäne einer Organisation.

Dieser Artikel möchte Ihnen als Medizinprodukte-Hersteller eine Übersicht über die ISO 31000 verschaffen, damit Sie schnell entscheiden können, ob Sie deren Prinzipien und Richtlinien in Ihrem Unternehmen anwenden wollen.

Anwendungsbereich der ISO 31000

Die ISO 31000 wendet sich an jede Organisation, die Risiken zu beherrschen hat. Dabei definiert die Norm den Begriff Risiko für Medizinprodukte-Hersteller in einer ungewöhnlichen Weise als „effect of uncertainty on objectives“.

Damit kann ein Risiko ebenso eine positive wie negative Abweichung von einem Ergebnis oder Ziel bedeuten.

Die Norm, obwohl aus dem Jahr 2009, nimmt damit vieles vorweg, was die ISO 9001:2015 zu einem Schwerpunkt gemacht hat: Der Umgang mit Chancen und Risiken.

Apropos: Eine Nachfolgeversion, die ISO 31000:2011, wurde wieder zurückgezogen, so dass die ISO 31000:2009 weiterhin die gültige Version ist.

Aufbau und Forderungen der Norm

Die ISO 31000 ist in fünf Kapitel gegliedert.

ISO 31000: Kapitelübersicht

Kapitel 3: Prinzipien

Das dritte Kapitel listet einige Prinzipien wie die folgenden:

  • Risikomanagement schafft und schützt Werte
  • Risikomanagement ist ein integraler Bestandteil aller Prozesse
  • Risikomanagement ist Teil der Entscheidungsfindung
  • Risikomanagement ist systematisch, strukturiert und zeitnah
  • Risikomanagement fördert eine kontinuierliche Verbesserung

Diese Prinzipien klingen zwar banal, aber die wenigsten Firmen beherzigen diese in Gänze.

Kapitel 4: Framework

Im Kapitel 4 beschreibt die ISO 31000 ein Framework für das Risikomanagement, das man als PDCA-Zyklus verstehen kann:

  • Plan: Man entwirft das Framework (4.3),
  • Do: implementiert es (4.4),
  • Check: überwacht es (4.5) und
  • Act: handelt, d.h. verbessert es.

Am Beispiel des Kapitels 4.3 zeigen wir weiter unten, in welchem Granularitätsgrad die Norm ein professionelles Risikomanagement beschreibt.

Kapitel 5: Prozess

Der Risikomanagementprozess nach ISO 31000 wird den meisten Medizinprodukteherstellern sehr bekannt vorkommen. Er gleicht sehr dem der ISO 14971. Im Gegensatz zur ISO 14971 bzw. deren Anhängen geht die ISO 31000 nicht auf bestimmte Methoden des Risikomanagements wie die FMEA ein. Dafür ist für die ISO 31000 das Risikomanagement viel stärker Teil eines kontinuierlichen Verbesserungsprozesses. Die Norm möchte die ganze Organisation verbessern, wohingegen bei der ISO 14971 den Fokus sehr stark auf das Produkt legt.

ISO 31000, Kapitel 4.3

In Kapitel 4.3.1 geht die Norm auf die Aspekte ein, die man beim Entwerfen des Frameworks (4.3) die Organisation und ihren Kontext einbeziehen sollte z.B.:

  • Soziale, technologische, kulturelle, regulatorische, finanzielle und weitere Faktoren
  • Schlüsselfaktoren und Trends innerhalb der Organisation
  • Beziehungen zu anderen betroffenen Parteien
  • Interne Faktoren wie Ziele, Vorgaben, Ablauf- und Aufbauorganisation, Kultur, Vorschriften, Verträge und viele mehr.

Im Kapitel 4.3.2 gibt die ISO 31000 vor, was man beim Festlegen der Risikopolitik einbeziehen sollte:

  • Begründung der Organisation dafür, Risiken „managen“ zu wollen
  • Abhängigkeiten zwischen den Zielen der Organisation und ihrer Risikopolitik
  • Zuständigkeiten und Verantwortlichkeiten für das Risikomanagement
  • Wie man mit widersprechenden Interessen umgehen will
  • Verpflichtung, die notwendigen Ressourcen bereitzustellen
  • Wie die Leistungsfähigkeit des Risikomanagementsystems gemessen und berichtet werden soll
  • Selbstverpflichtung, die Risikopolitik und das Framework kontinuierlich zu prüfen und zu verbessern.

Im Kapitel 4.3.3. beschreibt die Norm, auf was man beim Festlegen der Verantwortlichkeiten achten sollte, in Kapitel 4.3.4 wie/dass das Risikomanagement in die Prozesse eingebettet sein sollte und Kapitel 4.3.5 listet die Ressourcen, die die Organisation ggf. bereitstellen muss wie

  • Menschen, Kompetenzen, Erfahrungen
  • Prozesse, Methoden, Werkzeuge
  • Dokumentation der Prozesse und Verfahren/Methoden
  • Informations- und Wissensmanagementsysteme
  • Ausbildungsprogramme

Kapitel 4.3.6 und 4.3.7 geben vor, was man beim Festlegen der externen und internen Kommunikation beachten sollte.

Fazit

Für einen Risikomanager, der präzise nach ISO 14971 arbeitet, bietet die ISO 31000 keine fundamentalen Erkenntnisse. Für Personen, die die Firma als Ganzes im Blick haben und verbessern wollen, für Qualitätsmanager, die die Forderungen der ISO 9001:2015 umsetzen wollen, ist die ISO 31000 eine sehr wertvolle und empfehlenswerte Informationsquelle. Und genau das möchte sie sein.


Kategorien: Risikomanagement & ISO 14971
Tags:

Kommentar schreiben