2.2.1 Qualitätsmanagement (ISO 9001:2015)
Unternehmensprozesse müssen so festgelegt werden, dass Verantwortlichkeiten und Abläufe klar geregelt sind. Nur so können sie wie geplant ohne Risiken durchgeführt werden. Die ISO 9001:2015 legt in diesem Zusammenhang Forderungen fest, wie mit Risiken und Chancen umzugehen ist.
Gemäß Kap. 6.1 (Maßnahmen zum Umgang mit Risiken und Chancen) müssen bei Planungen für das QM-System auch die Risiken und Chancen bestimmt und behandelt werden. So soll gewährleistet werden, dass das QM-System seine beabsichtigten Ziele erreicht, erwünschte Auswirkungen (Chancen) verstärkt, unerwünschte Auswirkungen (Risiken) verhindert oder verringert werden und eine Verbesserung erreicht wird. Maßnahmen zum Umgang mit identifizierten Risiken und Chancen müssen geplant, in die QM-Prozesse integriert und ihre Wirksamkeit bewertet werden. Dabei müssen die Maßnahmen proportional zur "möglichen Auswirkung auf die Konformität von Produkten und Dienstleistungen sein".
Ein Risikomanagement nach ISO 31000 wird zwar nicht explizit gefordert, kann jedoch i. S. eines integrierten Managementsystems sinnvoll sein. Gefordert wird aber eine Risikobeurteilung mit der Identifikation, Analyse und Bewertung der Risiken.
2.2.2 Qualitäts- und Risikomanagementsystem für Medizinprodukte (ISO 13485 und ISO 14971)
Für Hersteller von Medizinprodukten wird ein Qualitätsmanagementsystem i. d. R. nach ISO 13485 zertifiziert. Diese Norm enthält im Wesentlichen die Forderungen der ISO 9001 mit zusätzlichen Anforderungen, die auch das Risikomanagement betreffen:
Nach Kap. 7 muss die Organisation "dokumentierte Anforderungen für das Risikomanagement während der gesamten Produktrealisierung erarbeiten" und Vorgaben für Produktanforderungen ermitteln, aufzeichnen und bewerten inklusive der Ergebnisse des Risikomanagements.
In der ISO 14971 sind die speziellen Anforderungen für ein Risikomanagementsystem zur Anwendung auf Medizinprodukte festgelegt. Dabei wird für alle Phasen des Lebenszyklus eines Medizinproduktes Folgendes gefordert:
- Risikoanalyse,
- Risikobewertung,
- Risikokontrolle,
- Restrisikobewertung.
2.2.3 Umweltmanagement (ISO 14001:2015)
Im Rahmen von Umweltmanagementsystemen wird vor allem auf die Gefahren und Risiken in möglichen oder tatsächlichen Notfallsituationen Bezug genommen. Die ISO 14001:2015 fordert im Kap. 6.1 Maßnahmen zum Umgang mit Risiken und Chancen, es umfasst Umweltaspekte, bindende Verpflichtungen sowie Planung von Maßnahmen.
Bei Planungen für das UM-System müssen Risiken und Chancen bestimmt werden. So soll gewährleistet werden, dass die Ergebnisse des UM-Systems erreicht, unerwünschte Auswirkungen verhindert oder verringert werden und fortlaufende Verbesserungen bewirkt werden. Dabei ist zu berücksichtigen, dass auch externe Umweltzustände das Unternehmen beeinflussen können (z. B. Hochwasser, Wetterereignisse, Klimawandel etc.).
Das Unternehmen muss zudem mögliche Notfallsituationen bestimmen, auch solche, die eine Auswirkung auf die Umwelt haben können. Unternehmen müssen sowohl dokumentieren, welche Risiken und Chancen zu berücksichtigen sind, als auch die erforderlichen Prozesse.
Die Umweltaspekte der Tätigkeit, Produkte und Dienstleistungen müssen bestimmt werden. Dabei sind auch Änderungen (z. B. Neuentwicklungen, neue oder veränderte Tätigkeiten) sowie nicht bestimmungsgemäße Zustände (z. B. Leckagen) und Notfallsituationen zu berücksichtigen. Dazu legt das Unternehmen Kriterien fest, um Aspekte mit bedeutender Umweltauswirkung zu bestimmen. Die bedeutenden Umweltaspekte müssen dokumentiert und intern kommuniziert werden; aus ihnen können sich Risiken bzw. Chancen ergeben.
Auch bindende Verpflichtungen (z. B. Rechtsvorschriften, Auflagen von Behörden, Genehmigungen) müssen bestimmt und im UM-System berücksichtigt werden. Alle Maßnahmen müssen in das UM-System integriert und ihre Wirksamkeit bewertet werden.
2.2.4 Managementsysteme für Sicherheit und Gesundheit bei der Arbeit (DIN ISO 45001:2023)
Die DIN ISO 45001 hat die OHSAS 18001 abgelöst. Risiken – und auch Chancen – werden u. a. in Kap. 6.1 (Maßnahmen zum Umgang mit Risiken und Chancen) und 6.1.2 (Ermittlung von Gefährdungen und Bewertung von Risiken und Chancen) angesprochen. Hier sind Prozesse für eine Ermittlung von Gefährdungen, die Bewertung der Risiken und die Planung von Maßnahmen gefordert.
Weitere Anforderungen finden sich in Kap. 8.2 (Notfallplanung und Reaktion) und 10.2 (Vorfall, Nichtkonformität, Korrekturmaßnahmen).
2.2.5 Risikomanagement für Organisationen und Systeme (ISO 31000:2018)
Mit der ISO 31001 ist auf internationaler Ebene eine Vorgabe für ein Risikomanagementsystem geschaffen. Ziel dieser Norm ist es, Risikomanagement im Rahmen eines integrierten Managementsystems zu betreiben.
Der Ansatz in dieser Norm ermöglicht es auf einfache Weise, das "Managen von Risiken" in ein vorhandenes Qualitäts-, Umwelt- oder Arbeitsschutz-Managementsystem zu integrieren. Da außerdem alle Normen prozessorientiert aufgebaut sind, sind ein gemeinsames Handbuch und gemeinsame, integriert aufgebaute Dokumente (Prozessbeschreibungen, Verfahrensanweisungen, Arbeitsanweisungen, Checklisten) möglich und sinnvoll.