Gesetze und Normen verlangen von Organisationen, einen Risikomanagementbericht zu erstellen. Benannte Stellen und Behörden prüfen diese Berichte besonders intensiv, weil das Risikomanagement eine zentrale regulatorische Anforderung ist.
Deshalb ist es (nicht nur) für Hersteller wichtig, dass sie präzise, vollständige und korrekte Risikomanagementberichte erstellen. Dafür gibt dieser Artikel Hilfestellung.
1. Was ein Risikomanagementbericht ist
a) Risikomanagementbericht aus Sicht der ISO 14971
Der Risikomanagementbericht ist ein Teil der Risikomanagementakte. Er muss laut Kapitel 9 der ISO 14971 die „Ergebnisse der Überprüfung“ der Aktivitäten im Risikomanagement enthalten, insbesondere:
- Umsetzung des Risikomanagementplans
- Vertretbarkeit des Gesamt-Restrisikos
- Informationen für die nachgelagerte Phase
Weitere Details zu den Inhalten dieses Risikomanagementberichts nennt das Kapitel 4 dieses Artikels.
Der Risikomanagementbericht ist häufig ein eigenständiges Dokument. Das ist jedoch weder regulatorisch gefordert noch in jedem Fall der pragmatischste Ansatz. Mehr dazu ebenfalls in Kapitel 4.
b) Abgrenzungen
Berichte über die Wirksamkeit des Risikomanagementprozesses
Die ISO 14971 fordert in Kapitel 4.2 von der „obersten Leitung“ einer Organisation, „die Eignung [und Wirksamkeit] des Risikomanagementprozesses in geplanten Abständen zu überprüfen“. Die Ergebnisse dieser Überprüfung müssen die Organisationen dokumentieren.
Diese Berichte über die Wirksamkeit des Risikomanagementprozesses sind jedoch nicht mit den Risikomanagementberichten zu verwechseln. Erstere liegen auf Managementebene (z. B. im Rahmen der Managementbewertung, ISO 13485:2016, Kapitel 5.6), letztere auf Produktebene.
Bericht über Risiken aus der nachgelagerten Phase
In dieser Präsentation beschreibt die FDA den „Risk Management Report“ als ein Dokument, das eine Bewertung der risikorelevanten Informationen aus der nachgelagerten Phase enthält. Solch eine Einschränkung des Fokus ist unüblich.
Bewertung des Firmenrisikos
Die ISO 9001 stellt ebenfalls Anforderungen an den Umgang mit Risiken. Auch diese Risiken müssen die Organisationen erkennen und „behandeln“ (Kapitel 0.1 und 0.3.2) bzw. in ihrem QM-System berücksichtigen (Kapitel 4.4 und 6.1).
Berichte über diese Analysen und Maßnahmen sind ebenfalls kein „Risikomanagementbericht“. Diese Inhalte wären eher Teil eines Managementberichts.
2. Weshalb man einen Risikomanagementbericht benötigt
a) Regulatorische Anforderungen
Die regulatorischen Anforderungen sind für viele Organisationen der wichtigste Grund, einen Risikomanagementbericht zu erstellen.
- Die MDR und IVDR fordern in den jeweiligen Anhängen I und II zwar keinen Risikomanagementbericht. Sie fordern aber die Inhalte ein, die typischerweise in einem solchen Bericht zu finden sind.
- Die ISO 14971 besteht explizit auf einem Risikomanagementbericht (Kapitel 9).
- Ähnlich wie die EU-Verordnungen besteht die FDA nicht zwingend auf einem Bericht. Aber auch sie fordert, dass die Hersteller die darin enthaltenen Informationen zusammenstellen.
- Die ISO 13485 verpflichtet die Hersteller dazu, den Risikomanagementprozess und die Risikomanagementaktivitäten zu dokumentieren. Letzteres wäre Teil eines Risikomanagementberichts.
Interessant sind die Überlegungen der FDA im Guidance-Dokument Factors to Consider Regarding Benefit-Risk in Medical Device Product Availability, Compliance, and Enforcement Decisions.
Der Risikomanagementbericht hilft, das PDCA-Konzept umzusetzen. Denn er enthält die Überprüfung („Check“), ob die Aktivitäten im Risikomanagement dem Plan folgen.
b) „Executive Summary“ für Behörden und Benannte Stellen
Unabhängig von den regulatorischen Anforderungen ist ein Risikomanagementbericht für Behörden und Benannte Stellen ein wichtiges Dokument. Sie möchten es als „Executive Summary“ für das Risikomanagement nutzen, denn meist fehlt die Zeit, um die komplette Risikomanagementakte zu bewerten.
c) Sicherheit
Anhand des Risikomanagementberichts können Hersteller sicherstellen, dass sie wirklich alles getan haben, um
- die Sicherheit der Produkte,
- damit die Sicherheit der Patienten und
- nicht zuletzt auch die Sicherheit des eigenen Unternehmens zu gewährleisten.
Erstellen Sie eine regulatorisch konforme Risikomanagementakte – schnell und auditsicher
Mit Hilfe von Mustervorlagen und Videos lernen Sie, wie Sie eine vollständige Risikomanagementakte mit allen notwendigen Dokumenten erstellen. Prüfen Sie Ihre Dokumente selbst auf Gesetzeskonformität und vermeiden Sie Fehler bei Audits und Einreichungen.
3. Wer einen Risikomanagementbericht benötigt
Risikomanagementberichte im Sinne dieses Artikels benötigen (zumindest) alle Organisationen, die die Anforderungen der ISO 14971 erfüllen müssen. Das betrifft auch die Organisationen, die Konformität mit der ISO 13485 erklären, denn die ISO 13485 verlangt ein Risikomanagement und empfiehlt eines konform mit der Norm ISO 14971.
Zu diesen Organisationen zählen:
- Medizinproduktehersteller
- Hersteller von Medizinproduktezubehör
- Ggf. deren Lieferanten
- Importeure, Händler und andere Personen, die unter den Artikel 16 der MDR fallen
- Organisationen, die Einmalprodukte aufbereiten (s. Artikel 17 MDR)
Diese Organisationen benötigen einen Risikomanagementbericht für jedes Medizinprodukt.
Die MDR erlaubt, dass Hersteller die technische Dokumentation (TD) gemeinsam für alle Produkte einer Basis-UDI-DI erstellen. Die Risikomanagementakten sind Teil dieser TD.
4. Was ein Risikomanagementbericht beinhalten sollte
a) Der akademisch korrekte Ansatz
Beschränkt man sich auf die Anforderungen der ISO 14971, dann enthält der Risikomanagementbericht nur die Ergebnisse der Prüfung, ob
- das Risikomanagement durchgeführt wurde, wie im Plan vorgegeben,
- das Gesamt-Restrisiko vertretbar ist und
- alle Informationen vorliegen, die für die nachgelagerte Phase relevant sind.
Dieser Bericht enthält nur die „Urteile“ und Begründungen dafür. Das heißt, der Risikomanagementbericht nach ISO 14971 ist ein Dokument auf der Metaebene (s. Abbildung 1).
Hersteller können eine Tabelle für den Nachweis nutzen, dass der Plan umgesetzt wurde:
| Tätigkeit laut Plan | Tätigkeit durchgeführt | Objektiver Nachweis | Kommentar |
| Beschreibung der Tätigkeit | [ ] ja [ ] nein | Referenz auf Dokumente und Aufzeichnungen | z. B. Hinweise, weshalb vom Plan abgewichen wurde |
Die ISO 24971 enthält nur wenig zusätzliche Informationen zum Risikomanagementbericht. Sie scheint dem Ansatz zu folgen, diesen Bericht auf die drei o.g. Informationen zu beschränken.
Lesen Sie hier mehr zur ISO 24971.
b) Der pragmatische Ansatz
Tatsächlich wird beim Risikomanagementbericht häufig eine „Executive Summary“ des gesamten Risikomanagements erwartet. Deshalb können die Organisationen den Bericht um zusätzliche Informationen ergänzen:
- Zusammenfassung der Risikopolitik und Risikoakzeptanzkriterien
- Liste der wichtigsten Gefährdungen/Risiken
- Liste der wichtigsten Maßnahmen
- Eine Übersicht der Risiken vor und nach den Maßnahmen (s. Abb. 2)
In einigen Fällen gehen die Hersteller so weit, dass sie nur drei Dokumente erstellen:
- Risikomanagementplan
- „Risiko-Tabelle“
- Risikomanagementbericht (enthält alles andere)
Mit einer Risikobewertungsmatrix lässt sich demonstrieren, wie sich die Risiken durch die Maßnahmen verändert haben.
Beachten Sie unsere Tipps zur Erstellung einer Risikobewertungsmatrix und von Risikoakzeptanzkriterien.
5. Worauf man beim Risikomanagementbericht achten sollte
a) Kompetenz der verantwortlichen Personen sicherstellen
Hersteller sind verpflichtet, die Kompetenzen der Personen festzulegen und zu überprüfen, die am Risikomanagement mitwirken, und beides zu dokumentieren. Die ISO 13485 fordert in Kapitel 7.3.2 diese Festlegungen spezifisch für das jeweilige Entwicklungsprojekt.
Das ist beim Verfassen des Risikomanagementplans sinnvoll. Denn für die Nutzen-Risikobewertung müssen die verantwortlichen Personen beispielsweise kennen und bewerten:
- Produktspezifische Risiken
- Konkrete Maßnahmen zum Reduzieren der Risiken
- Stand der Technik (damit auch alternative Produkte und Verfahren)
b) Kriterien auch für die Gesamt-Nutzen-Risiko-Bewertung erstellen
Die Hersteller dokumentieren ihre Risikoakzeptanzkriterien in Form einer Risikoakzeptanzmatrix (s. Abb. 2). Diese Matrix eignet sich gut, um über die Vertretbarkeit von Einzelrisiken zu entscheiden. Sie eignet sich aber nicht im gleichen Maß, um zu begründen, weshalb
- Risiken, die auch nach Maßnahmen im „roten Bereich“ verbleiben, angesichts des Gesamt-Nutzen-Risiko-Verhältnisses dennoch akzeptiert werden,
- die im gelben und grünen Bereich verbliebenen Risiken in ihrer Summe akzeptabel sind.
Für diese Begründungen sollten Hersteller die Kriterien definieren.
c) Berichte bei Bedarf aktualisieren
Eine geprüfte und freigegebene Version des Risikomanagementberichts vor der ersten Inverkehrbringung des Produkts ist Pflicht. Das bedeutet aber nicht, dass dieser Bericht nicht mehr geändert wird. Die ISO 24971 schreibt dazu:
There can be a need to revise or update the risk management report if new information becomes available, for example during the production and post-production phases.
ISO 24971, Kapitel 9
6. Zusammenfassung und Fazit
Der Risikomanagementbericht ist ein unverzichtbarer Teil jeder technischen Dokumentation.
Die ISO 14971 schreibt die „Mindestinhalte“ dieses Berichts vor.
Die Hersteller können die Inhalte auf verschiedene Dokumente aufteilen:
- Sie können den Risikomanagementbericht auf diese Inhalte beschränken und eine zusätzliche „Executive Summary“ zum Risikomanagement für Behörden und Benannte Stellen verfassen, oder
- sie ergänzen den Risikomanagementbericht um die Inhalte, welche die Behörden und Benannte Stellen in einer „Executive Summary“ erwarten.
Am schwersten tun sich viele Hersteller mit den Begründungen, weshalb das verbliebene Restrisiko angesichts des Nutzens und Stands der Technik akzeptabel ist.
Das Johner Institut unterstützt Medizinproduktehersteller dabei, Risikomanagementakten zu strukturieren und zu erstellen, stichhaltige Nutzen-Risiko-Argumentationen zu formulieren und die Akzeptanz von Risiken sowie die Wirksamkeit von Maßnahmen zu bewerten.
Melden Sie sich gerne, z. B. über unser Kontaktformular.
Für Einsteiger empfehlen wir auch das Risikomanagement-Seminar als „Jump-Start“.
Versionshistorie
- 2023-03-20: Artikel komplett neu geschrieben
- 2016-04-26: Erste Version erstellt
