Dazu müssen Spezifikationen messbar sein, einhaltbar (achievable) sein, relevant für das Produkt sein und ihre Verletzung zeitgerecht feststellbar sein.

Unter diesen Voraussetzungen können Spezifikationen herangezogen werden zur Beurteilung der Qualität eines Produktes, des zugehörigen Herstellungs-Prozesses und bei Validierungs- und Qualifizierungsmaßnahmen.

Um Risiken richtig abschätzen und bewerten zu können, werden entsprechende Kriterien benötigt. Das sind zunächst Patientenbedürfnisse (wie Häufigkeit und Art der Einnahme oder Applikationsweg) und dann Zielsetzungen für das Produkt. Was soll das Produkt leisten ? Wir finden diese Angaben im sog. Quality Target Product Profile wie in der Richtlinie ICH Q8 „Pharmaceutical Development“ beschrieben. Außerdem geht es natürlich um kritische Produkteigenschaften (z.B. die Dosis), kritische Prozessparameter (z.B. Temperatur) und um regulatorische Anforderungen.

Ob ein Aspekt als „kritisch“ zu betrachten ist, lässt sich nur über eine Risiko-Analyse feststellen.

Zu einer Risiko-Betrachtung gehören regelmäßig Spezifikationen und eine Risiko-Analyse. Diese Elemente können nur von kompetenten Personen („decision makers“) ermittelt werden. ICH Q9 beschreibt sie als:  „Person(s) with the competence and authority to make appropriate and timely quality risk management decisions“  

EU-GMP Annex 15 definiert eine Risikoanalyse als eine „Methode, die für das Funktionieren von Ausrüstung oder Prozess kritischen Parameter zu bewerten und zu definieren“.

Zum Risikomanagement gehört dann nach Ermittlung der Risiken ihre Priorisierung nach Eintrittswahrscheinlichkeit und Auswirkung. Dies geschieht in der Regel durch Festlegung von Akzeptanzkriterien und im Anschluss durch die Bewertung der Risikofolgen. Diese führen zur Festlegung von Maßnahmen zur Risikominimierung und –beherrschung (risk mitigation).

Pragmatisch gesehen gilt es also, vier grundsätzliche Fragen zu beantworten:

1.       Was könnte schiefgehen ?

2.       Wie hoch ist die Wahrscheinlichkeit, dass etwas schiefgeht ?

3.       Welche sind die Risikofolgen ?

4.       Welche Maßnahmen sind geeignet, um die Risikofolgen zu minimieren ?

Soweit der konzeptionelle, regulatorische und pragmatische Ansatz.

Und wie sieht die Wirklichkeit aus ?

Der Sinn des Risiko-basierten Ansatzes soll darin liegen, die zahlreichen Maßnahmen zur Risiko-Beherrschung zu priorisieren. Die Erfahrung hat gezeigt, dass im Rahmen der Risiko-Identifikation bereits im Vorwege die Diskussion denkbarer Risiken abgewürgt wird, anstatt in einem Brainstorming zunächst einmal alle zu erfassen und diese erst im Anschluss zu bewerten.

Wenn dann eine Identifikation der Risiken tatsächlich stattgefunden hat, wird im Rahmen der Folgenabschätzung das Risiko über die RPZ (Risiko Prioritäts Zahl) „kleingerechnet“, weil sich aus dem Risiko der Aufwand zur Beherrschung ergibt und dieser möglichst klein gehalten werden soll. Spätestens hier wird das Vorgehen zur Farce.

Wenn dann noch ein Werkzeug aus dem Katalog von ICH Q9 (und dort sind ca 20 Werkzeuge beispielhaft aufgelistet und nicht nur eines) nämlich die FMEA (Failure mode and effect analysis) willkürlich herausgegriffen und fast ausschließlich verwendet wird, geschieht erfahrungsgemäß Folgendes:

1.       Die FMEA wird von jedermann eingesetzt, weil es angeblich die Regelwerke „vorschreiben“ (schon bei nur oberflächlicher Lektüre von ICH Q9 stellt sich heraus, dass das nicht stimmt) und schließlich „macht es ja jeder so“. Erlauben Sie mir dazu den bissigen Hinweis: Tausend Fliegen können nicht irren: Mist muss schmecken !

2.       Die FMEA wird angewendet auf der Grundlage eines Tabellenkalkulationsblattes, das man sich aus dem Internet heruntergeladen hat, ohne zu verstehen, welche Algorithmen und Methoden dahinterstecken und ob diese richtig sind und das rechnerisch richtige Ergebnis liefern. Das Ergebnis kommt also aus der berühmten „blackbox“

3.       Als „Ergebnis“ wird die Risk Priority Number RPN zurückgeliefert, an Hand derer die Risiken numerisch sortiert und priorisiert werden, ohne sie fachgerecht zu bewerten.

Im Endeffekt kommt diese Situation immer dann zustande, wenn Anforderungen z.B. aus der ISO 14971 für Medizinprodukte an die Qualifikation des Personals nicht befolgt werden. Dort heißt es: „Es ist von größter Bedeutung, Personal mit der erforderlichen Sachkunde für die Durchführung von Aufgaben des Risikomanagements zu gewinnen. „

Tools wie die FMEA nehmen einem nicht die Entscheidungen ab. Man kann sich eben nicht darauf verlassen, dass eine FMEA die sog. „seltenen Ereignisse“ adäquat bewertet.

Wer glaubt schon an den unwahrscheinlichen Fall, dass ein Tsunami ein Atomkraftwerk wegspült (Fukushima) oder dass zwei Flugzeuge desselben Typs von derselben Fluggesellschaft (Malaysian) innerhalb von 8 Wochen vom Radar verschwinden oder dass ein Grippe Virus (Name wie das mexikanische Bier), das man fahrlässigerweise für unbedeutend gehalten hat, sich zu einer Pandemie auswächst ?

In der Realität passieren diese „seltenen Ereignisse“ aber eben tatsächlich und haben katastrophale Auswirkungen mit Verlust von Menschenleben, sind also keineswegs zu vernachlässigen.

Mir ist vor einiger Zeit eine Literaturstelle aufgefallen, in der festgestellt wird: „The quality of a risk analysis depends much more on the amount of knowledge and information about the process and product that is studied than on the tool or approach used. Remember that risk management tools are just an aid to better study the facts that you already know. What you don‘t know remains unknown whichever tool is used.“ Zu deutsch: das Tool ist dumm, solange es nicht von einem schlauen Menschen benutzt wird. Auch ein Schraubenschlüssel ist nur ein Stück Metall; erst wenn er von einem Menschen sachgerecht eingesetzt wird, wird daraus ein Werkzeug.

Wie in so vielen Bereichen des täglichen privaten und geschäftlichen Lebens kommt es also auch hier auf Personen an. Sind die oben genannten „decision makers“ nicht ausreichend qualifiziert, gilt das berühmte Prinzip „garbage in – garbage out“: wo Müll reinkommt, kommt auch Müll raus.

Und: wer nicht bereit ist, aus dem Ergebnis von Risiko-Bewertungen die nötigen Konsequenzen zu ziehen, sollte sie gar nicht erst in Auftrag geben. Dann mögen diese „decision makers“ aber bitte auch selbst die Verantwortung für den Eintritt der Risiko-Folgen übernehmen und nicht denjenigen, die den Risiko-Folgen ausgesetzt sind, die sich ergebenden Belastungen zumuten.