Die ISO 31000 ist eine Basisnorm für das Risikomanagement. Sie soll nicht als Grundlage für Zertifizierungen dienen, sondern dabei helfen, ein effektives und effizientes Risikomanagement aufzubauen.
Diese Norm wendet sich an alle Organisationen, hat also keinen „Domänenfokus“. Daher stehen beispielsweise Medizinprodukte- und IVD-Hersteller vor der Frage, ob ihnen domänenspezifische Normen nicht nützlicher sind.
Dieser Artikel verschafft eine Übersicht über die ISO 31000 und damit eine Entscheidungsgrundlage, ob es wert ist, sich mit der Norm auseinanderzusetzen.
1. Anwendungsbereich der ISO 31000
Die ISO 31000 wendet sich an jede Organisation, die Risiken zu beherrschen hat. Dabei definiert die Norm den Begriff Risiko in einer für Medizinprodukte-Hersteller ungewöhnlichen Weise als „effect of uncertainty on objectives“.
Damit kann ein Risiko ebenso eine positive wie negative Abweichung von einem Ergebnis oder Ziel bedeuten.
Die ISO 31000 unterscheidet auch die „Objectives“ nicht. Das könnten sein:
- Gesetzliche Konformität
- Körperliche Unversehrtheit von Menschen
- Wahrung eines guten Rufs
- Vermeiden von Straf- und Schadensersatzzahlungen
- Schutz der Umwelt
Besonders preisgünstig kaufen können Sie die Norm bei der estnischen Normungsorganisation.
2. (Möglicher) Nutzen der ISO 31000
Die Norm kann aus folgenden Gründen hilfreich sein:
- Sie liefert Definitionen und fördert damit ein gemeinsames Verständnis, sogar international und branchenübergeifend.
- Sie erspart Diskussionen darüber, was der Stand der Technik ist.
- Die Norm nennt Best Practices, was beim Aufbau eines Risikomanagementsystems und beim Schreiben von Verfahrens- und Arbeitsanweisungen Arbeit abnimmt.
- Sie hilft, die eigene Organisation besser zu verstehen und das Risikomanagement spezifisch dafür zu gestalten.
- Und sie sollte helfen, die Risiken für die eigene Organisation zu erkennen, zu beherrschen und damit die Ziele der Organisation besser zu erreichen.
3. Aufbau und Forderungen der Norm
Die Norm ist in sechs Kapitel gegliedert.
Kapitel 4: Prinzipien
Das vierte Kapitel nennt acht Prinzipien.
Beispielsweise meint „Integrated“, dass das Risikomanagement integraler Teil aller Aktivitäten und Prozesse sein sollte. „Inclusive“ bezieht sich auf das Einbeziehen aller Stakeholder. Und „Best Available Information“ erkennt an, dass Informationen unvollständig, ungenau oder falsch sein mögen und trotzdem zeitnah den Stakeholdern verfügbar sein sollten.
Einige Prinzipien klingen zwar banal, aber die wenigsten Firmen beherzigen diese in Gänze.
Kapitel 5: Framework
Das „Framework“ beschreibt einen erweiterten PDCA-Ansatz:
- Integration beinhaltet das „Scoping“,
- Design entspricht dem Plan,
- Implementation dem Do,
- Evaluation dem Check und
- Das Improvement dem Act.
Nicht als Prinzip, sondern als Teil des Frameworks nennt die Norm „Leadership and Committment“. Dieses Committment ist wichtig, weil auch beim Risikomanagement der Fisch häufig vom Kopf stinkt.
Kapitel 6: Prozess
Der Risikomanagementprozess, den die Norm vorschlägt, wird den meisten Herstellern von Medizinprodukten und IVD sehr bekannt vorkommen. Er gleicht dem der ISO 14971 und umfasst Aktivitäten wie die Risikoanalyse und Risikobeherrschung.
Es gibt aber Unterschiede zur ISO 14971 und ISO 24971, beispielsweise:
- Die ISO 31000 geht nicht auf bestimmte Methoden des Risikomanagements ein, etwa die FMEA. Sie sieht das Risikomanagement viel mehr als Teil eines kontinuierlichen Verbesserungsprozesses. Die Norm möchte die ganze Organisation verbessern, wohingegen bei der ISO 14971 der Fokus stark auf dem Produkt liegt.
- Bei der ISO 31000 muss der Scope ausführlich geklärt werden. Bei der ISO 14971 und den Medizinprodukten und IVD ist dieser Scope implizit klar.
- Die ISO 31000 arbeitet bewusst mit „likelyhood“ und nicht mit „probability“. Auch trennt sie nicht präzise zwischen Risiken, Gefährdungen und Ursachen.
- Es gilt nicht das Prinzip, dass Risiken so weit wie möglich minimiert werden müssen.
- Maßnahmen, wie z. B. Risiken durch Verträge zu beherrschen, sind bei der ISO 14971 nicht vorgesehen.
4. Fazit
Für Risk Manager, die präzise nach ISO 14971 arbeiten, bietet die ISO 31000 keine fundamentalen Erkenntnisse. Allerdings hat die ISO 31000 die kontinuierliche Verbesserung im Fokus, was auch ein Aspekt der ISO 13485 ist.
Für Personen, die die Firma als Ganzes im Blick haben und verbessern wollen, und für Qualitätsmanager, die die Forderungen der ISO 9001:2015 umsetzen wollen, ist die ISO 31000 eine wertvolle und empfehlenswerte Informationsquelle. Und genau das möchte sie sein.
Änderungshistorie
- 2024-11-21: Artikel neu geschrieben
- 2016-04-29: Erste Version des Artikel veröffentlicht
Hallo an das Team des Johner Instituts,
mittlerweile liegt die DIN ISO 31000 in der 2018er Fassung vor. Zugehörig ist immer noch DIN EN 31010 aus 2010.
Haben Sie dazu ein Update für die, welche die DIN EN ISO 14971:2022 ebenso lesen (müssen)?
Aus Ihrem Fazit lese ich, dass die DIN ISO 31000 prinzipiell nichts Neues ergibt, was ein Hersteller von MP nicht sowieso schon macht. Sehen Sie es als zwingend an beide Normen anzuwenden oder ist in Ihren Augen auch die DIN ISO 14971 für Unternehmen / Organisationen anwendbar?
Beste Grüße,
Anonym
Liebe Kommentatorin,
wenn es um produktbezogene Risiken geht, kommen Medizinproduktehersteller in Europa kaum um die harmonisierte Norm EN ISO 14971 herum.
Bezogen auf das QMS gibt es hingegen keine konkreten Vorgaben, wie dessen Chancen und Risiken methodisch analysiert werden sollen. Eine SWAT-Analyse kann da genauso richtig sein, wie die Anwendung der ISO 31000. Die ISO 14971 wenden Sie immer dann an, wenn es um einen möglichen gesundheitlichen Schaden am Menschen geht. Bei der ISO 31000 können auch andere Schadenstypen betrachtet werden, z.B. die verletzte regulatorische Compliance oder finanzielle Schäden. Damit sind beide Normen in Ihrer grundsätzlichen Zielsetzung nicht unbedingt vergleichbar oder gegeneinander aufzuwiegen.
Herzliche Grüße
Christian Rosenzweig