Die ISO 31000 ist eine Basisnorm für das Risikomanagement. Sie soll nicht als Grundlage für Zertifizierungen dienen, sondern dabei helfen, ein effektives und effizientes Risikomanagement aufzubauen. Sie wendet sich an alle Organisationen. D.h., sie hat keinen „Domänenfokus“.
Daher stehen beispielsweise Medizinprodukte- und IVD-Hersteller vor der Frage, ob ihnen domänenspezifische Normen nicht nützlicher sind.
Dieser Artikel verschafft eine Übersicht über die ISO 31000 und damit eine Entscheidungsgrundlage, ob es wert ist, sich mit der Norm auseinanderzusetzen.
1. Anwendungsbereich der ISO 31000
Die ISO 31000 wendet sich an jede Organisation, die Risiken zu beherrschen hat. Dabei definiert die Norm den Begriff Risiko für Medizinprodukte-Hersteller in einer ungewöhnlichen Weise als „effect of uncertainty on objectives“.
Damit kann ein Risiko ebenso eine positive wie negative Abweichung von einem Ergebnis oder Ziel bedeuten.
Die ISO 31000 unterscheidet auch die „Objectives“ nicht. Das könnten sein:
- Gesetzliche Konformität
- Körperliche Unversehrtheit von Menschen
- Wahrung eines guten Rufs
- Vermeiden von Straf- und Schadensersatzzahlungen
- Schutz der Umwelt
Besonders preisgünstig kaufen können Sie die Norm bei der estnischen Normungsorganisation.
2. (Möglicher) Nutzen der ISO 31000
Die Norm kann hilfreich sein:
- Sie liefert Definitionen und fördert damit ein gemeinsames Verständnis, sogar international und branchenübergeifend.
- Sie erspart Diskussionen darüber, was der Stand der Technik ist.
- Die Norm nennt Best Practices, was beim Aufbau eines Risikomanagementsystems und beim Schreiben von Verfahrens- und Arbeitsanweisungen Arbeit abnimmt.
- Sie hilft, die eigene Organisation besser zu verstehen und das Risikomanagement spezifisch dafür zu gestalten.
- Und sie sollte helfen, die Risiken für die eigene Organisation zu erkennen, zu beherrschen und damit die Ziele der Organisation besser zu erreichen.
3. Aufbau und Forderungen der Norm
Die Norm ist in sechs Kapitel gegliedert.
Kapitel 4: Prinzipien
Das vierte Kapitel nennt acht Prinzipien.
Beispielsweise meint „Integrated“, dass das Risikomanagement integraler Teil aller Aktivitäten und Prozesse sein sollte. „Inclusive“ bezieht sich auf das Einbeziehen aller Stakeholder. Und „Best Available Information“ erkennt an, dass Informationen unvollständig, ungenau oder falsch sein mögen, und trotzdem zeitnah den Stakeholder verfügbar sein sollten.
Einige Prinzipien klingen zwar banal, aber die wenigsten Firmen beherzigen diese in Gänze.
Kapitel 5: Framework
Das „Framework“ beschreibt einen erweiterten PDCA-Ansatz:
- Integration beinhaltet das „Scoping“,
- Design entspricht dem Plan,
- Implementation dem Do,
- Evaluation dem Check und
- Das Improvement dem Act.
Nicht als Prinzip, sondern als Teil des Frameworks nennt die Norm „Leadership and Committment“. Dieses Committment ist wichtig, weil auch beim Risikomanagement der Fisch häufig vom Kopf stinkt.
Kapitel 6: Prozess
Der Risikomanagementprozess, den die Norm vorschlägt, wird den meisten Medizinprodukte- und IVD-Herstellern sehr bekannt vorkommen. Denn er gleicht sehr dem der ISO 14971 und umfasst Aktivitäten wie die Risikoanalyse und Risikobeherrschung.
Es gibt aber Unterschiede zur ISO 14971 und ISO 24971 wie beispielsweise:
- Die ISO 31000 geht nicht auf bestimmte Methoden des Risikomanagements wie die FMEA ein. Dafür ist für sie das Risikomanagement viel stärker Teil eines kontinuierlichen Verbesserungsprozesses. Die Norm möchte die ganze Organisation verbessern, wohingegen bei der ISO 14971 den Fokus sehr stark auf das Produkt legt.
- Bei der ISO 31000 muss der Scope ausführlicher geklärt werden. Bei der ISO 14971 und den Medizinprodukten und IVD ist dieser Scope implizit klar.
- Die ISO 31000 arbeitet bewusst mit „likelyhood“ und nicht mit „probability“. Auch trennt sie nicht präzise zwischen Risiken und Gefährdungen und Ursachen.
- Es gilt nicht das Prinzip, dass Risiken so weit wie möglich minimiert werden müssen.
- Maßnahmen wie Risiken durch Verträge zu beherrschen, sind bei der ISO 14971 nicht vorgesehen.
4. Fazit
Für Risk Manager, die präzise nach ISO 14971 arbeiten, bietet die ISO 31000 keine fundamentalen Erkenntnisse. Allerdings hat letztere die kontinuierliche Verbesserung im Fokus, was bei den Medizinprodukteherstellern ein Aspekt der ISO 13485 ist.
Für Personen, die die Firma als Ganzes im Blick haben und verbessern wollen, und für Qualitätsmanager, die die Forderungen der ISO 9001:2015 umsetzen wollen, ist die ISO 31000 eine wertvolle und empfehlenswerte Informationsquelle. Und genau das möchte sie sein.
Änderungshistorie
- 2024-11-21: Artikel neu geschrieben
- 2016-04-29: Erste Version des Artikel veröffentlicht
Hallo an das Team des Johner Instituts,
mittlerweile liegt die DIN ISO 31000 in der 2018er Fassung vor. Zugehörig ist immer noch DIN EN 31010 aus 2010.
Haben Sie dazu ein Update für die, welche die DIN EN ISO 14971:2022 ebenso lesen (müssen)?
Aus Ihrem Fazit lese ich, dass die DIN ISO 31000 prinzipiell nichts Neues ergibt, was ein Hersteller von MP nicht sowieso schon macht. Sehen Sie es als zwingend an beide Normen anzuwenden oder ist in Ihren Augen auch die DIN ISO 14971 für Unternehmen / Organisationen anwendbar?
Beste Grüße,
Anonym
Liebe Kommentatorin,
wenn es um produktbezogene Risiken geht, kommen Medizinproduktehersteller in Europa kaum um die harmonisierte Norm EN ISO 14971 herum.
Bezogen auf das QMS gibt es hingegen keine konkreten Vorgaben, wie dessen Chancen und Risiken methodisch analysiert werden sollen. Eine SWAT-Analyse kann da genauso richtig sein, wie die Anwendung der ISO 31000. Die ISO 14971 wenden Sie immer dann an, wenn es um einen möglichen gesundheitlichen Schaden am Menschen geht. Bei der ISO 31000 können auch andere Schadenstypen betrachtet werden, z.B. die verletzte regulatorische Compliance oder finanzielle Schäden. Damit sind beide Normen in Ihrer grundsätzlichen Zielsetzung nicht unbedingt vergleichbar oder gegeneinander aufzuwiegen.
Herzliche Grüße
Christian Rosenzweig