Im Rahmen der allgemeinen Anforderungen an das Risikomanagementsystem werden in 144971:2019, Kapitel 4.2 die „Verantwortlichkeiten der Leitung“ beschrieben. Im englischen Originaltext des Standards wird für „Leitung“ der Begriff „Top Management“ verwendet, der leichter verständlich sein dürfte, wobei auch er eine Unschärfe aufweist. Wer konkret ist in einer Firma das „Top Management“? In einer kleinen Firma ist das relativ einfach: die Geschäftsführung. Aber schon in mittleren und erst recht in großen Firmen lässt sich der Personenkreis nicht mehr so einfach definieren. Hier hilft oft ein Blick in das Qualitätsmanagementsystem. Alle Personen, die auf Grund ihrer Funktion über die Risko- und/oder Qualitätspolitik der Firma bestimmen, gehören in diesem Kontext zum Top Management.
Es ist wichtig, diesen Personen ihre Verantwortlichkeiten im Rahmen des Risikomanagements bewusst zu machen, da der Qualität ihrer Umsetzung v.a. im Haftungsfall große Bedeutung zukommen kann. Dennoch werden in vielen Firmen die allgemeinen Anforderungen eher als notwendige Pflichtübung angesehen und dementsprechend lieblos umgesetzt. Dabei verbirgt sich großes Potenzial in diesen Anforderungen, die maßgeblich die Wertschätzung des Risikomanagements und in der Folge dessen Qualität beeinflussen. Die Bedeutung dieser Selbstverpflichtung, für einen effektiven Risikomanagementprozess zu sorgen, betont auch ISO/TR 24971:2020. Grund genug also, sie sich gründlicher anzuschauen.
Sicherstellung geeigneter Ressourcen
Die erste genannte Verantwortlichkeit des Top Managements im Rahmen des Risikomanagmentprozesses ist die Sicherstellung geeigneter Ressourcen für die Durchführung der Aktivitäten, die im restlichen Standard genannt sind. Interessanterweise wird weder im Standard, noch im ISO/TR 24971:2020 ausgeführt, was genau unter „Ressourcen“ zu verstehen ist. Die wichtigste Ressource, die sichergestellt werden muss, ist auf jeden Fall das Personal für die Durchführung der Riskomanagementaktivitäten, worauf im nächsten Abschnitt im Detail eingegangen wird. Aber was kann noch als Ressource in diesem Zusammenhang gelten? Eine der wichtigsten Ressourcen ist: Zeit – und damit Geld, welches das Top Management bereit ist, in gutes Risikomanagement zu investieren. Risikomanagement ist ein zeitintensiver Prozess, der viel Recherche, Diskussion und Dokumentation erfordert. Die Notwendigkeit von risikomindernden Maßnahmen erhöht typischerweise die Komplexität des Systemdesigns und erzeugt zusätzliche Kosten durch Komponenten und Implementierungsaufwand. Gute Risikomitigation führt zu sicheren und leistungsfähigen Produkten, was durch das Ausbleiben von Gerätefehlern und Patientengefährdungen paradoxerweise dazu führen kann, dass sie geringgeschätzt wird und versucht wird, den Aufwand für das Risikomanagement zu minimieren, da „nie etwas passiert ist“.
Weitere Ressourcen kann z.B. die Beschaffung dedizierter Risikomanagementsoftware oder der Zugang zu zahlungspflichtigen Recherchemöglichkeiten und Literaturdatenbanken sein, welche die Definition von Risikoakzeptanzkriterien oder die Evaluation von Risiken erleichtern oder erst ermöglichen. Es kann auch notwendig sein, bestimmte Voruntersuchungen durchzuführen, um die Auftretenswahrscheinlichkeit von Fehlern und in der Folge von Gefährdungssituationen bestimmen zu können.
Beauftragung geeigneten Personals
Der zweite Punkt in der Liste der Verantwortlichkeiten des Top Managements ist die Beauftragung kompetenten Personals für das Risikomanagement. In Kapitel 4.3 (Kompetenz des Personals) wird genauer beschrieben, auf was das Top Management bei der Auswahl des Personals zu achten hat. Das für Risikomanagement verantwortliche Personal (Risikomanagement-Team) benötigt eine angemessene Ausbildung, Training, Fertigkeiten und Erfahrung in Bezug auf das Medizinprodukt, verwendete Technologien und die Methodik des Risikomanagements. Nicht alle Personen des Risikomanagement-Teams müssen alle Qualifikationen erfüllen, sie können sich auch gegenseitig ergänzen. Bspw. kann der Leiter des Risikomanagementteams v.a. mit den Methoden des Risikomanagements vertraut sein, um die anderen Teammitglieder durch den Risikomanagement-Prozess zu führen, medizinisches Personal kann das Anwendungswissen einbringen und die Entwicklungsingenieure das notwendige technische und Systemwissen. Natürlich ist anzustreben, dass die verschiedenen beteiligten Rollen voneinander lernen und domänenübergreifendes Wissen aufbauen. In jedem Fall muss das Risikomanagement-Team so interdisziplinär besetzt sein, das es alle Aspekte und Aktivitäten des Risikomanagements über den Entwicklungsverlauf, Design Transfer und der Produktion nachgelagerten Phase abdecken kann.
Risikopolitik
Das Top Management „muss eine Politik zur Festlegung von Kriterien für die Akzeptanz von Risiken festlegen und dokumentieren.“ Diese muss im Qualitätsmanagementsystem dokumentiert sein, ist jedoch auf Grund ihres globalen, unternehmensweiten Charakters nicht Bestandteil einer produktbezogenen Risikomanagementakte. ISO/TR 24971 führt weiter aus, welche Aspekte die Risikopolitik abdecken sollte und gibt dafür weiterführende Beispiele bis hin zu konkreten Textvorschlägen:
- Zweck der Risikopolitik, in dem deren Ziele erläutert werden, die durch die Festlegung der Risikoakzeptanzkriterien erfüllt werden sollen, z.B. die Sicherstellung einer hohen Produktsicherheit bei gleichzeitiger Berücksichtigung der Erwartungen der Stakeholder
- Geltungsbereich, z.B. die Personen und Aktivitäten, für die Risikopolitik angewendet werden soll. Bei Firmen mit einem großen Produktportfolio kann es sinnvoll sein, für verschiedene Produktfamilien oder -kategorien jeweils eine individuelle Risikopolitik zu definieren, in denen die anderen hier genannten Punkte spezifischer formuliert werden können.
- Faktoren und Überlegungen, die bei der Festlegung der Risikoakzeptanzkriterien berücksichtigt werden sollen
- Anwendbare nationale oder regionale Vorschriften der Zielmärkte für das Produkt
- Internationale Standards für bestimmte Typen von Medizinprodukten, die auch Tests für bestimmte Produkteigenschaften incl. deren Grenzwerten beinhalten
- Anerkannter Stand der Technik basierend auf internationalen Standards, bewährten Technologien, wissenschaftlichen Forschungsergebnissen, Veröffentlichungen von Behörden und Informationen über ähnliche (Medizin-)Produkte
- Validierte Vorbehalte von Stakeholdern, die auf direktem Weg mit Hilfe von Gesprächen mit Anwendern, Patienten oder Zulassungsbehörden gewonnen werden können. Auch die Auswertung von Patientenforen, Zeitungsartikeln und Social Media kann Aufschlüsse geben. Dabei muss das abhängig von Hintergrundwissen und persönlichen Interessen variierende Verständnis von Risikoakzeptanz bei den einzelnen Gruppen berücksichtigt werden
- In einer Anmerkung führt der Standard dann noch aus, dass die Risikopolitik den generellen Ansatz zur Risikokontrolle festlegen kann. Dazu später mehr.
- Anforderungen für die Freigabe und die (zyklische) Bewertung der Risikopolitik. Hier kann festgelegt werden, wer zu ihrer Freigabe berechtigt ist und in welchen Zeitintervallen sie überprüft werden soll.
Obwohl ISO/TR 24971:2020 durch die Vorgabe von Textschablonen in den angegebenen Beispielen zu den vorgenannten Punkten dazu verleitet, die Risikopolitik möglichst schnell und generisch abzuhandeln, um die Vorgaben des Standards mit möglichst geringem Aufwand zu erfüllen, lohnt es sich als Top Management eines Unternehmens, sich genauer Gedanken über ihre Ausgestaltung zu machen. Die große Chance einer gut gemachten Risikopolitik ist, den mit dem Risikomanagement betrauten Teams und Personen klare Vorgaben und Kriterien an die Hand zu geben, um eine einheitliche und hohe Qualität der Ergebnisse dieser Aktivitäten zu gewährleisten. Dabei müssen auch eigene Unternehmensschwerpunkte berücksichtigt werden. Die Risikopolitik eines Dienstleisters, der viele verschiedene Kunden (und deren individuellen Festlegungen für die Risikopolitik) bedient, wird viel generischer sein als die einer Firma mit Eigenprodukten, die sogar ggf. pro Gerät(efamilie) unterschiedliche Kriterien für die Risikoakzeptanz festlegen kann (siehe Geltungsbereich der Risikopolitik).
Ansatz zur Risikokontrolle
Wie oben bereits angerissen, regt der Standard an, den generellen Ansatz zur Risikokontrolle in der Risikopolitik festzulegen und stellt folgende Methoden vor:
- Risiken so weit wie vernünftigerweise durchführbar (im Englischen: „as low as reasonable practicable“) zu reduzieren
- Risiken so weit wie vernünftigerweise erreichbar (im Englischen: „as low as reasonably achievable“) zu mindern
- Risiken so weit wie möglich zu mindern, ohne das Nutzen-Risiko-Verhältnis nachteilig zu beeinflussen
Die ersten beiden Methoden sind ohne weiteren Ausführungen nur schwer voneinander zu unterscheiden. Auch die in ISO/TR 24971:2020 angegebenen Beispiele sind nicht sonderlich hilfreich, weil bei dem Beispiel zur Erläuterung des ALARA-Ansatzes („as low as reasonable achievable“) die Praktikabilität (!) von Risikokontrollmaßnahmen berücksichtigt werden soll. Diese beiden Ansätze scheinen also eher ein Überbleibsel aus der Evolution der ISO 14971 zu sein, die 2007 noch forderte, dass die Restrisiken „as low as reasonable practicable“ sein müssen, 2012 dann „as low as possible“, ohne dass wirtschaftliche Überlegungen eine Rolle spielen dürfen.
Am zugänglichsten ist die dritte Methode formuliert: Die Nutzen-Risikoanalyse ist fester Bestandteil der Risikobeherrschung und damit sicher für viele der naheliegendste Ansatz. Für Firmen, die ihren Hauptmarkt in der EU haben, spielt sicher auch eine Rolle, dass die Verordnung (EU) 2017/745 (MDR) in Anhang I, Ziffer 2 diesen Ansatz fordert, wobei das Ziel dort ist, Risiken „möglichst weitgehend“ zu verringern. Fun Question: Möglichst weitgehend „durchführbar“ („practicable“) oder „erreichbar“ („achievable“)? Die MDR gibt darauf leider keine Antwort, so dass man sich in der Realität am ehesten auf einen Ansatz einigen wird , den man als „as slow as possible/reasonable achievable ohne Beeinträchtigung des Nutzen-Risiko-Verhältnisses“ beschreiben kann.
ISO/TR 24971:2020 führt dann noch kurzerhand eine vierte Methode basierend auf der Größe eines Risikos ein, die es erlauben würde, dass für „kleine“ Risiken keine Risikokontrolle durchgeführt werden muss. Diesen Ansatz darf bzw. muss man in Europa mit Hinweis auf die og. MDR-Anforderung getrost ignorieren.
Regelmäßige Überprüfung der Eignung des RM-Prozesses
Zuguterletzt muss das Top Management in regelmäßigen Abständen (z.B. im Rahmen des im Qualitätsmanagementsystem verankerten Management Review) überprüfen, ob der etablierte Risikomanagementprozess weiterhin geeignet ist. Wie üblich gilt: „No work is done without documentation“, weshalb alle Entscheidungen und ggf. daraus abgeleitete Aktivitäten dokumentiert werden müssen.
ISO/TR 24971:2020 führt Beispiele auf, welche Aspekte des Risikomanagmentprozesses geprüft werden sollen
- Die Effektivtät der implementierten Risikomanagementverfahren
- Die Angemessenheit der Risikoakzeptanzkriterien und die Notwendigkeit ihrer Anpassung
- Die Wirksamkeit der Feedbackschleife zwischen Produktion und der der Produktion nachgelagerten Phase
Fazit: Obwohl es sich nur um ein kurzes Kapitel der Norm mit wenigen Anforderungen handelt, steckt doch viel Substanz und Potenzial dahinter. Insbesondere dann, wenn man sich die Mühe macht, das Risikomanagement mit den notwendigen Ressourcen auszustatten und ihm über eine individuelle Risikopolitik wirksame Handlungsleitlinien zu geben.
Bitte beachten Sie, dass alle Angaben und Auflistungen nicht den Anspruch der Vollständigkeit haben, ohne Gewähr sind und der reinen Information dienen.