Sundhedsteknologi
Derfor falder din risikofil fra hinanden i audit
Derfor fejler mange risikovurderinger
Du har en risk management plan. En risikoanalyse. Dokumenterede kontroller. Verifikation. En afsluttende rapport.
Alt er der – og alligevel falder det fra hinanden i audit.
Det kan være nærliggende at tro, at problemet er manglende dokumentation. Men faktisk er det oftere en manglende sammenhæng.
I praksis er det netop den “røde tråd” i risikofilen, der afgør, om din risikostyring fremstår robust – eller om den fremstår som en samling af enkeltstående øvelser.
Dokumentation er ikke lig med sammenhæng
Mange organisationer arbejder disciplineret med hver del af risikostyringen:
Risk management plan definerer acceptkriterier, risikoanalysen identificerer farer, designteamet implementerer kontroller, test dokumenterer løsninger, og QA samler dokumentationen.
Problemet opstår, når de enkelte dele udvikles i forskellige spor. Resultatet bliver en risikofil, hvor:
- acceptkriterier ikke tydeligt kobles til risikovurderingen
- risikokontroller ikke kan spores tilbage til konkrete farer
- verifikation ikke dokumenterer effekten af kontrollerne
- residual risiko ikke fremstår som en konsekvens af det foregående arbejde
Alt kan derfor se korrekt ud hver for sig – men stadig falde fra hinanden som samlet risikofil. Det er netop den manglende sammenhæng, audit ofte fanger.
Den røde tråd: fra fare til beslutning
En stærk risikofil gør det muligt at følge logikken fra den oprindelige fare til den endelige acceptbeslutning. Det skal være tydeligt, hvilken farlig situation der kan opstå, hvilken skade den kan føre til, hvordan risikoen er vurderet, hvilke kontroller der er valgt, og hvordan effekten af dem er verificeret.
Først derefter giver det mening at vurdere den residuale risiko og beslutte, om den er acceptabel. Hvis ét led er uklart, brydes kæden.
Og så bliver det svært at svare på det spørgsmål, som audit reelt stiller: Hvordan ved I, at jeres risici er håndteret tilstrækkeligt?
5 typiske steder, hvor det går galt
Selv erfarne teams støder på de samme udfordringer:
1. Acceptkriterier bruges ikke aktivt
De er defineret i planen – men anvendes ikke konsekvent i evalueringen.
2. Risikokontroller vælges uden klar begrundelse
Det fremgår ikke, hvorfor netop denne kontrol er valgt frem for alternativer.
3. Verifikation er løsrevet fra risikoen
Tests dokumenterer funktion – men ikke reduktion af risiko.
4. Residual risiko bliver en formalitet
Vurderingen gentager blot tidligere konklusioner uden ny substans.
5. Risk Management Report samler ikke trådene
Den opsummerer – men dokumenterer ikke beslutningsgrundlaget.
Hvorfor det bliver et problem i praksis
Når sammenhængen mangler, rammer det ikke kun audit. Det påvirker også det daglige arbejde med produktet.
Designbeslutninger bliver sværere at begrunde, fordi koblingen mellem risiko og løsning er uklar. Ændringer i produktet kræver mere rework, fordi det ikke er tydeligt, hvilke dele af risikofilen der påvirkes. PMS-data, klager og CAPA kan også blive svære at koble tilbage til konkrete risici.
Kort sagt: Risikostyringen bliver reaktiv i stedet for styrende.
Sådan styrker du sammenhængen i risikofilen
Det handler ikke om mere dokumentation – men om bedre koblinger.
1. Tænk i kæder, ikke dokumenter
Arbejd konsekvent med sporbarhed fra fare til acceptbeslutning. For hver risiko bør det være tydeligt, hvilken farlig situation den knytter sig til, hvilken kontrol der er valgt, hvordan effekten er verificeret, og hvad der ligger til grund for den endelige vurdering.
2. Gør acceptkriterier operationelle
Acceptkriterier skal kunne bruges direkte i risikoevalueringen – ikke kun stå som principper i planen. Det kræver, at de er konkrete nok til at understøtte ensartede beslutninger på tværs af produkter, teams og risikokategorier.
3. Knyt verifikation til risikoreduktion
Test skal ikke kun vise, at løsningen fungerer teknisk. Den skal også dokumentere, at risikokontrollen faktisk reducerer den risiko, den er valgt til at håndtere. Ellers bliver koblingen mellem kontrol og residual risiko for svag.
4. Dokumentér beslutninger, ikke kun resultater
Det skal fremgå, hvorfor en risiko er accepteret, og hvilket grundlag beslutningen bygger på. Det gælder især ved residual risiko, benefit-risk-vurderinger og situationer, hvor flere mulige kontroller er fravalgt.
5. Brug PMS aktivt
Post-production data skal kunne ændre risikovurderingen – ikke bare arkiveres. Klager, trends, CAPA og PMCF bør derfor vurderes systematisk som input til, om eksisterende risici skal revurderes, eller nye risici skal tilføjes.
Når risikostyring begynder at virke
Den største forskel ses ikke i dokumenterne – men i beslutningerne.
Når risikofilen hænger sammen:
- bliver designvalg skarpere
- kan teams arbejde mere selvstændigt
- reduceres behovet for “brand-slukning”
- bliver audit en gennemgang – ikke en diskussion
Det er her, risikostyring går fra at være compliance til at være et styringsværktøj.
Læs mere:
Kontakt
Få hjælp nu
Find relevante, kvalitetssikrede kurser og efteruddannelse.