Zum Hauptinhalt springen
Risikomanagement · Technische Dokumentation
Zielgruppe
QM-Leiterin, Entwicklung, RA-Verantwortliche
Norm
ISO 14971:2019 · EU-MDR 2017/745
Lesezeit
ca. 9 Minuten

Risiko­management
nach ISO 14971:
was kleine Hersteller
wirklich brauchen.

ISO 14971 beschreibt keinen Vorgang, der endet. Sie beschreibt einen Prozess, der mit dem Produkt lebt — von der ersten Konzeptentscheidung bis zur Außerbetriebnahme. Was Auditoren wirklich prüfen: nicht ob die Tabelle vollständig ist, sondern ob der Prozess tatsächlich funktioniert hat und weiterhin funktioniert.

Der grundlegende Irrtum

Der grundlegende Irrtum liegt in der Linearität: Viele Betriebe behandeln das Risikomanagement als Einmal-Projekt. Man sitzt zusammen, identifiziert Risiken, bewertet sie, legt Maßnahmen fest — fertig. Das Dokument geht in die Technische Dokumentation, das Thema gilt als erledigt.

ISO 14971 verlangt etwas anderes: Der Risikomanagement-Prozess läuft parallel zum Produkt. Jede Änderung am Produkt, jede Beschwerde aus dem Feld, jeder Vorfall kann neue Informationen erzeugen, die das bestehende Risikobild verändern. Die Norm fordert deshalb einen Mechanismus, mit dem solche Informationen systematisch zurückfließen — in die Bewertung, in die Maßnahmenwahl, in die Restrisiko-Beurteilung.

Wer das nicht eingerichtet hat, hat keine ISO-14971-Konformität — er hat eine ausgefüllte Vorlage.

Fünf Prozessphasen Wo kleine Betriebe stolpern
01
Identifikation

Einmalige Brainstorming-Runde statt laufendem Prozess

Feldvorfälle fließen nicht systematisch zurück in die Risikomanagement-Akte. Kosmetische Defekte ohne erkannten Sicherheitsbezug werden nicht erfasst — obwohl sie Audit-Fallen sein können.

02
Analyse

Analyse- und Maßnahmenphase werden gleichzeitig gedacht

Das Ergebnis sind Risikobeschreibungen, die bereits Maßnahmen implizieren. Wer Ursache und Maßnahme verschmilzt, kann danach nicht mehr sauber nachweisen, dass die Maßnahme das Risiko tatsächlich reduziert hat.

03
Bewertung

Vor-Maßnahmen-Bewertung wird nachträglich angepasst

Die Bewertung vor Maßnahmen muss unveränderlich dokumentiert sein. Sie ist der Ausgangspunkt, gegen den der Wirkungsnachweis gemessen wird. Ohne Bewertungshistorie ist kein Maßnahmenwirksamkeits-Nachweis möglich.

04
Maßnahmen

Maßnahmen dokumentiert, Restrisiko nicht neu bewertet

ISO 14971 verlangt nach jeder Maßnahme: Hat sie das Risiko auf ein akzeptables Niveau reduziert? Hat die Maßnahme neue Risiken erzeugt? Wer nur die Maßnahmenliste führt, hat halbfertige Risikodokumentation.

05
Restrisiko-Akzeptanz

Restrisiko implizit akzeptiert statt aktiv dokumentiert

Das verbleibende Restrisiko nach allen Maßnahmen muss explizit als akzeptiert dokumentiert sein — mit Begründung und Freigabe. Nicht durch fehlende Aktion, sondern als aktive, nachvollziehbare Entscheidung.

Post-Market Surveillance Die Risikomanagement-Akte wird wieder geöffnet

Risikomanagement endet nicht mit der CE-Kennzeichnung. MDR 2017/745 und ISO 14971 verlangen beide, dass Informationen aus dem Marktbetrieb systematisch zurück in den Risikomanagement-Prozess fließen. Das hat eine konkrete Konsequenz für kleine Betriebe: Jeder Feldvorfall — Reklamation, Vigilanz-Meldung, Beschwerde mit Sicherheitsbezug — ist ein potenzieller Auslöser dafür, die Risikomanagement-Akte wieder zu öffnen.

Auditoren bei Überwachungsaudits prüfen diesen Kreislauf gezielt: Sie vergleichen Post-Market-Surveillance-Berichte und Reklamationslogs mit dem Datum der letzten Überarbeitung der Risikomanagement-Akte. Wenn beides auseinanderklafft — Feldvorfälle im System, aber das Risikofile unverändert — ist das ein Finding.

Was Auditoren beanstanden Typische Findings in kleinen Betrieben
Fehlende Bewertungshistorie

Die Vor-Maßnahmen-Bewertung ist nicht als eigenständiger, unveränderter Eintrag dokumentiert. Ohne diese Basislinie lässt sich der Wirkungsnachweis der Maßnahmen nicht führen.

Restrisiko nicht formal akzeptiert

Jeder Risikoeintrag braucht eine explizite Akzeptanz-Dokumentation: wer, wann, auf welcher Grundlage. Eine abgeschlossene Zeile ohne Akzeptanz-Freigabe reicht regulatorisch nicht.

Freigabe vor Abschluss des Risikoprozesses

Wenn das Produkt in die Freigabe geht, bevor das verbleibende Restrisiko dokumentiert akzeptiert wurde. Der Auditor sieht im Zeitstempel, dass die Risikoakzeptanz nach der Freigabe eingetragen wurde.

Keine Verbindung Feldvorfälle ↔ Risikoüberarbeitung

Post-Market Surveillance und Risikomanagement sind strukturell getrennt. Auditoren prüfen diese Verbindung explizit — fehlt sie, ist das ein Major-Finding bei MDR-Bewertungen durch Benannte Stellen.

Weiterführende Ressourcen
Vigilanz · MDR Art. 87

MDR-Meldepflicht: Was ist wirklich ein meldepflichtiger Vorfall? →

Internes Audit · ISO 13485 §8.2.4

Internes Audit pragmatisch aufsetzen →

Audit · Klasse IIa/IIb

Was Auditoren bei Klasse IIa und IIb wirklich prüfen →

Demo anfragen

Risikomanagement
auditfest
dokumentiert.

In einer Demo zeigen wir, wie QIMS die Bewertungshistorie, Restrisiko-Akzeptanz und die Verkettung mit Post-Market Surveillance systemseitig abbildet.

Kein Pitch. Kein Abschlussgespräch nach dem Termin.

Demo anfragen → Alle Ressourcen