- Zielgruppe
- QM-Beauftragte, Regulatory Affairs und Entwicklungsteams in Medizintechnik, Automotive und allgemeinem QMS
- Normgrundlage
- ISO 14971:2019 §4–§10 · ISO 13485:2016 §7.1 · IATF 16949:2016 §9.1.2 · AIAG-VDA FMEA 2019
- Lesezeit
- ca. 8 Minuten
Risikoregister ausgefüllt.
P×S-Werte eingetragen.
Evidenz-Spalte leer.
Die häufigste Schwachstelle in ISO-14971-Risikoakten ist nicht die fehlende Matrix — es sind die fehlenden Quellenangaben hinter den P-Werten. Diese Seite zeigt, welche 12 Felder eine Risikobewertungs-Vorlage nach ISO 14971 zwingend enthalten muss und welche Lücken im Audit als Finding auftauchen.
Vorlage ist nicht Risikoakte — und Risikoakte ist nicht Risikomanagement
Eine Risikobewertungs-Vorlage ist das Formular — die Risikoakte ist das ausgefüllte und referenzierte Dokument — und Risikomanagement ist der Prozess dahinter. ISO 14971 schreibt kein Vorlagenformat vor. Was die Norm verlangt, ist eine vollständige Dokumentation des Prozesses §4–§10: Planung, Gefährdungsidentifikation, Abschätzung, Bewertung, Maßnahmen, Restrisiko, Gesamtbeurteilung und PMS-Rückfluss. Eine Vorlage die nur P×S und Maßnahmen abdeckt, lässt Lücken die im Audit auftauchen.
Warum leere Evidenz-Spalten systematisch als Finding gewertet werden
ISO 14971 §6.4 verlangt explizit, dass die Risikoabschätzung auf verfügbaren Informationen basiert — und dass diese Informationsbasis dokumentiert ist. Ein P-Wert von "1 = unwahrscheinlich" ohne Quellenangabe ist für den Auditor nicht nachprüfbar. Ob die Eintrittswahrscheinlichkeit wirklich niedrig ist, lässt sich ohne Evidenzbasis nicht beurteilen. Das ist kein formaler Mangel — es ist ein inhaltlicher Befund, weil die Kernaussage der Risikoabschätzung unbelegt bleibt.
Vier Schritte zum vollständigen Risikoregister nach ISO 14971
Das Risikoregister wird nicht in einem Durchgang ausgefüllt — es entsteht iterativ: Gefährdungsanalyse (§5), Risikoabschätzung mit Evidenz (§6), Risikobewertung gegen Akzeptanzkriterien (§7) und Maßnahmen mit Wirksamkeitsnachweis (§8). Am Ende steht die Gesamtrestrisiko-Beurteilung (§8.2) als eigener, dokumentierter Schritt.
Risikomanagement-Überblick
Der vollständige ISO-14971-Prozess in sechs Schritten — von der Planung bis zum Post-Market-Monitoring:
Risikomanagement im QMS — vollständiger Leitfaden →§5
Fehlende eindeutige Referenz — Akte nicht querverweisfähig
§5.4
Nur Gefährdung eingetragen, kein Ablauf — Auditor kann Schadenseintritt nicht nachvollziehen
§5.4
Zu generisch — "Verletzung" ohne Schweregrad-Einordnung möglich
§6.4
Wert eingetragen, aber kein Evidenz-Verweis — häufigster Audit-Befund
§6.4
Keine definierte Skala in Risikomanagement-Plan — Wert nicht interpretierbar
§6.4
Feld leer oder "Expertenkonsens" ohne Quellennachweis
§6.4
Nur nach-Maßnahmen-Wert vorhanden — Ausgangssituation nicht rekonstruierbar
§7
Nur "grün/rot" — keine Begründung der Akzeptanzentscheidung
§8
Maßnahme dokumentiert, Hierarchiestufe nicht — warum kein Design-Eingriff möglich war, fehlt
§8.5
Restrisiko nicht neu bewertet — nur Ausgangswert in Akte
§8.5
Spalte vorhanden, aber leer — Wirksamkeit nie geprüft oder nicht dokumentiert
§8.2
Kumuliertes Restrisiko nie als eigener Schritt dokumentiert — alle Zeilen grün ≠ §8.2 erfüllt
ISO 14971:2019 schreibt kein Vorlagenformat vor — aber alle 12 Felder müssen inhaltlich abgedeckt sein. Felder 4, 6 und 12 sind die häufigsten Audit-Findings bei Benannte-Stelle-Audits.
Medizinprodukt Klasse I (ohne Sonderregel)
Vollständige Risikoakte §4–§10 — alle 12 Pflichtfelder, inkl. Gesamtrestrisiko und PMS-Trigger
Medizinprodukt Klasse IIa–III (Benannte Stelle)
Wie Klasse I — plus MDR Anhang I §1: Nachweis in technischer Dokumentation
IATF-16949-zertifizierter Zulieferer
PFMEA/DFMEA-Formblatt nach AIAG-VDA 2019: Spalten für AP-Zahl statt RPN-Wert
ISO-9001-Unternehmen ohne Medtech/Automotive
Einfaches Risikoregister ausreichend — Identifikation, Bewertung, Maßnahme, Status
PFMEA und DFMEA nach IATF 16949
Für Automotive-Zulieferer gilt das AIAG-VDA-FMEA-Format (2019) — mit AP-Zahl statt RPN. Was §9.1.2 von Prozessrisiken konkret fordert und welche Felder im IATF-Audit geprüft werden:
Risikomanagement nach IATF 16949 — PFMEA und AP-Zahl →ISO 14971 §6.4 verlangt, dass die Informationsbasis für P-Werte dokumentiert ist. Wenn die Evidenz-Spalte in der gesamten Risikoakte leer ist oder nur "Expertenkonsens" enthält, ist das ein systematischer Befund — kein Einzelfall. Benannte Stellen markieren das als Minor Nonconformity und verlangen eine vollständige Überarbeitung aller P-Werte.
Die Vorlage zeigt grüne und rote Felder — aber die Akzeptanzkriterien (ab welchem P×S ist ein Risiko nicht akzeptierbar?) sind nicht im Risikomanagement-Plan dokumentiert. ISO 14971 §4.4 verlangt, dass Akzeptanzkriterien VOR der Risikoabschätzung festgelegt werden. Eine Vorlage ohne referenzierten Plan ist inhaltlich nicht verknüpfbar.
Der häufigste §8.2-Befund: Alle Einzel-Zeilen sind grün, aber die Gesamtrestrisiko-Beurteilung nach §8.2 wurde nie als gesonderter Schritt dokumentiert. "Alle Zeilen grün bedeutet Gesamtrestrisiko akzeptierbar" ist keine §8.2-konforme Argumentation — besonders wenn mehrere Gefährdungen dieselben Anwender oder Patienten kumulativ betreffen können.
ISO 14971 §8.5 verlangt einen Wirksamkeitsnachweis für jede Risikominderungsmaßnahme. In der Praxis: Die Maßnahme ist als "umgesetzt" markiert, aber kein Nachweis (Testergebnis, Verifikationsdokument, Änderungsnachweis) ist referenziert. Der Auditor fragt: Woher wissen Sie, dass die Maßnahme die erwartete Wirkung hatte?
Das strukturelle Problem an Excel-basierten Risikobewertungs-Vorlagen ist nicht das Format — es ist die fehlende Verknüpfung. Die Evidenz-Spalte zeigt "Literaturdaten", aber wo die Literatur abgelegt ist, ist unklar. Der Wirksamkeitsnachweis verweist auf "Testprotokoll", aber welche Version, von wann, und ob die Maßnahme den erwarteten P-Wert wirklich verändert hat — das bleibt offen.
QIMS bildet die vollständige Risikoakte digital ab: Gefährdungen mit verlinkter Evidenz, P×S-Bewertungen mit Quellenreferenz, Maßnahmen mit Wirksamkeitsprüfung als eigenem Schritt und Gesamtrestrisiko-Beurteilung nach §8.2 als strukturiertem Abschluss. Das QIMS-Modul M32 FMEA-Risikoanalyse deckt die FMEA-basierte Risikoerfassung für Medizintechnik und Automotive ab — entwickelt nach den Anforderungen aus ISO 14971.
P-Werte direkt mit Quelldokumenten verknüpft — keine unkommentierte Zahl ohne Informationsbasis.
Gesamtrestrisiko-Beurteilung ist ein separater, dokumentierter Prozessschritt — nicht implizit aus Einzelzeilen.
Post-Market-Erkenntnisse lösen automatisch Prüfaufgaben in der Risikoakte aus — §10-Anforderung digital umgesetzt.
Risikoakte die beim Audit standhält
In einer 30-Minuten-Demo zeigen wir, wie QIMS die vollständige Risikoakte abbildet — von der Gefährdungserfassung mit Evidenz-Dokumentation bis zur §8.2-Gesamtbeurteilung. Kein leeres Evidenz-Feld mehr.
Was ist der Unterschied zwischen Risikoregister, Risikobewertungsmatrix und FMEA-Formblatt?
Ein Risikoregister ist eine strukturierte Liste aller identifizierten Risiken — offen oder geschlossen — mit Bearbeitungsstatus. Eine Risikobewertungsmatrix ist das Werkzeug zur P×S-Bewertung: sie ordnet Wahrscheinlichkeit und Schwere zu Akzeptanzklassen. Ein FMEA-Formblatt ist ein standardisiertes Analysedokument nach AIAG-VDA oder D-FMEA das neben P×S auch Entdeckungswahrscheinlichkeit und AP-Zahl enthält. ISO 14971 schreibt kein Format vor — aber alle drei Elemente müssen in der Risikoakte abgedeckt sein: Identifikation (Risikoregister), Bewertung (Matrix) und Maßnahmen (Maßnahmentabelle).
Schreibt ISO 14971 ein bestimmtes Format für die Risikobewertungs-Vorlage vor?
Nein — ISO 14971:2019 schreibt keine Vorlagenstruktur, kein Tabellenformat und keine Anzahl von Spalten vor. Was vorgeschrieben ist: welche Informationen vorhanden sein müssen — Gefährdungsidentifikation (§5), Risikoabschätzung mit Evidenzbasis (§6), Risikobewertung gegen Akzeptanzkriterien (§7), Risikominderungsmaßnahmen nach Hierarchie (§8) und Gesamtrestrisiko-Beurteilung (§8.2). Ob das in einer Tabelle, einem Softwaresystem oder als strukturiertes Dokument vorliegt, ist der Organisation überlassen.
Kann ich eine Risikobewertungs-Vorlage aus dem Internet für ISO-14971-Audits verwenden?
Generische Vorlagen decken selten alle Pflichtfelder nach ISO 14971 ab — besonders Evidenz-Spalten für P-Werte, Gesamtrestrisiko-Zeilen und PMS-Rückfluss-Trigger fehlen häufig. Wenn eine Fremd-Vorlage verwendet wird, muss sie zwingend auf Vollständigkeit geprüft und an den eigenen Risikomanagement-Plan (§4) angepasst werden. Die Akzeptanzkriterien in der Vorlage müssen mit den im Risikomanagement-Plan festgelegten Werten übereinstimmen — das kann nicht eine generische Vorlage vorgeben.
Muss jede Gefährdung eine eigene Zeile in der Vorlage bekommen?
ISO 14971 §5 fordert, dass Gefährdungen systematisch identifiziert werden — was üblicherweise eine Zeile pro Gefährdungs-Szenario bedeutet. Eine Gefährdung kann zu mehreren Szenarien und damit mehreren Zeilen führen, wenn unterschiedliche Anwendergruppen oder Verwendungssituationen zu unterschiedlichen Schäden führen. Zusammenfassungen mehrerer Szenarien in einer Zeile sind möglich, wenn die Unterschiede in Eintrittswahrscheinlichkeit und Schwere minimal sind — aber der Auditor wird fragen, ob alle relevanten Szenarien vollständig erfasst wurden.
Was gehört in die Evidenz-Spalte für den P-Wert?
ISO 14971 §6.4 nennt als mögliche Informationsquellen: Literaturdaten und wissenschaftliche Erkenntnisse, Felddaten zu Produkten gleicher oder ähnlicher Art, klinische Daten aus der klinischen Bewertung, Ergebnisse einschlägiger Normen sowie Produktionstests und Fertigungsdaten. In der Evidenz-Spalte sollte mindestens die Quellenart und eine nachvollziehbare Referenz stehen — z. B. "Literaturstudie [Autor, Jahr]" oder "Felddaten ähnlichem Produkt XY, Zeitraum 2022–2024, n=1200 Einheiten, 0 Ereignisse dieser Art". Eine leere Evidenz-Spalte wird in Audits systematisch markiert.
Risikomanagement im QMS: Der vollständige Leitfaden — Prozess, Pflichtfelder, Normverankerung und Audit-Fallen →
ISO 14971 · Medizinprodukte · Risikoanalyse · §4–§10ISO 14971 Risikomanagement: Struktur §4–§10, Schnittstelle zu ISO 13485 und vier Audit-Fallen →
PFMEA · DFMEA · IATF 16949 · AP-ZahlRisikomanagement nach IATF 16949: PFMEA, AP-Zahl und was IATF-Auditoren an §9.1.2 prüfen →
Risiko · CAPA · Maßnahmen · ÜbergangRisikomanagement und CAPA: Wann öffne ich eine CAPA auf Basis einer Risikoanalyse →
Auditmanagement · ISO 13485 §8.2.4 · CAPAAuditmanagement im QMS: Auditprogramm, 8 Phasen interner Audits und CAPA-Übergang →
Dokumentenlenkung · ISO 13485 §4.2 · VersionskontrolleDokumentenlenkung nach ISO 13485 §4.2: Revisionsstatus, Freigabe und Archivierung →
Vorlage befüllt.
Evidenz verknüpft.
§8.2 dokumentiert.
Audit-Finding abgewendet.
Vollständige Risikoakte mit Evidenzbasis, Gesamtrestrisiko-Beurteilung als eigenem Schritt und PMS-Rückfluss — QIMS bildet alle 12 Pflichtfelder nach ISO 14971 digital ab.
Entwickelt nach den Anforderungen aus ISO 14971:2019. Einsetzbar für Medizintechnik, Automotive und allgemeines QMS.