Approche par les risques dans l’ISO 13485
L’approche par les risques est une nouveauté de l’ISO 13485:2016, elle vous demande d’identifier les risques pesant sur vos activités et d’y répondre de façon proportionnée.
Cette approche est plus générale que la gestion des risques au sens ISO 14971, l’objectif n’est pas uniquement la sécurité patient, mais aussi la conformité du SMQ, le respect des exigences règlementaires et de toute autre source pertinente (au hasard : vos clients).
Les exigences de l’ISO 13485 en matière d’approche par les risques
Les exigences sont explicites en matière de processus, validation des logiciels, achats et CAPA (actions correctives et préventives) :
Sujet | § | Résumé |
---|---|---|
Maîtrise des processus | 4.1.2.b | « appliquer une approche fondée sur les risques en ce qui concerne la maîtrise des processus appropriés nécessaires au SMQ» |
Processus externalisés | 4.1.5 | «Les éléments de maîtrise doivent être proportionnés au risque associé» |
Validation des logiciels | 4.1.6 (SMQ) 7.5.6 (prod) 7.6 (surveillance mesure) |
«Les éléments de maîtrise doivent être proportionnés au risque associé» «L’approche spécifique et les activités (…) doivent être proportionnées au risque associé à son utilisation » |
Ressources humaines | 6.2 | « La méthodologie utilisée pour vérifier l’efficacité est proportionnée au risque associé au travail pour lequel la formation ou toute autre action est fournie. » |
Achat Non-conforme | 7.4.1 | « Le non-respect des spécifications d’achat doit être traité avec le fournisseur de manière proportionnée au risque associé au produit acheté» |
Vérification du produit acheté | 7.4.3 | «L’étendue des activités de vérification doit être (…) proportionnée aux risques associés au produit acheté.» |
CAPA | 8.5.2 (AC) 8.5.3 (AP) |
«Les actions correctives doivent être proportionnées aux effets des NC rencontrées» «Les actions préventives doivent être proportionnées aux effets des problèmes potentiels.» |
On pourra avantageusement l’étendre à d’autres activités : contrôles en production, contrôles des prestations de services, définition des indicateurs, planification des intervalles entre les revues, …
Analyser les risques ?
À la manière de l’ISO 14971 les risques sont identifiés lors de revues, généralement le responsable qualité anime une session avec les différents intervenants.
Pour pouvoir justifier une approche proportionnée il semble indispensable d’évaluer les niveaux de risques, cela peut se faire directement ou demander une analyse plus pointue.
Exemples d’approches proportionnées aux risques
Maîtrise des processus
Les processus sont identifiés, découpés en taches, les défaillances possibles des taches servent à l’identification des risques.
La difficulté est d’avoir un niveau de détail suffisant pour identifier les risques principaux sans se noyer.
Niveau de risque | Actions proportionnées |
---|---|
Négligeable | Sortir le processus du SMQ est envisageable |
Faible | Activité simplement encadrée par une procédure |
Significatif | Procédure + indicateur(s) |
Intolérable | Procédure + indicateur(s) + revues fréquentes |
Maitrise des achats
L’identification des risques tient compte du produit / de la prestation fournie, exemples :
- Erreur lors du montage, le fournisseur livre des cartes électroniques non conformes
- Oubli, le mandataire ne fait pas les déclarations de mise sur le marché
- Incompétence, le consultant raconte n’importe quoi sur l’approche par les risques
Niveau de risque | Sélection des fournisseurs | Surveillance des fournisseurs | Contrôle du produit acheté |
---|---|---|---|
Négligeable | Sur la base des moyens et des compétences | Surveillance produit / prestation | Vérification documentaire |
Faible | + référent / expérience similaire | Surveillance produit / prestation | + validation initiale (sample, pré-série) |
Significatif | + SMQ | + maintient SMQ | + contrôle occasionnel |
Intolérable | + approbation par ON / audit | + audits périodiques | + contrôle systématique |
Validation des logiciels
La validation des logiciels utilisés pour gérer le SMQ, la production ou la surveillance doit reposer sur les risques associés à leur utilisation. Les risques sont identifiés en tenant compte des bugs potentiels et des activités tributaires du soft, c’est tout l’objet du guide ISO/TR 80002-2 (à paraitre).
Des scénarios sont définis autour des risques identifiés, des essais de validation des scénarios sont réalisés, à l’image des évaluations sommatives de l’IEC 62366-1.
Niveau de risque | Actions proportionnées |
---|---|
Négligeable | Pas de validation nécessaire |
Faible | Validation du soft sur la base de scénarios |
Significatif | Validation + instructions d’utilisation / mode opératoire |
Intolérable | Validation + instructions + formation des utilisateurs |
Ressources humaines
La gestion des RH a un peu évolué dans la révision 2016. Toutefois, on insiste plus sur l’identification et le suivi des compétences, notamment les aspects formation.
Niveau de risque | Qualification du personnel | Maintient des qualifications | Validation des formations |
---|---|---|---|
Négligeable | Formation initiale | Sans condition | Pas de validation |
Faible | + formation spéciale | Sans condition | Questionnaire / évaluation |
Significatif | + expérience significative | Nombre min / période | Mise en œuvre simulée / partielle |
Intolérable | + formation interne initiale | + évaluation périodique | Mise en œuvre réelle / totale |
C.A.P.A. (actions correctives et préventives)
La norme demande de vérifier que les CAPA n’impactent pas le produit ou le respect des exigences règlementaires.
Les CAPA seront approuvées ou rejetées en fonction des risques qu’elles induisent, la mise en œuvre sera proportionnelle aux risques qu’elles maitrisent.
Niveau de risque | Approbation de l’action (niveau du risque induit) |
Mise en œuvre (niveau du risque maitrisé) |
---|---|---|
Négligeable | Sans condition | Action facultative |
Faible | Risque induit < risque maitrisé | Délai de traitement long (début > 2 semaines) |
Significatif | + pas d’autre possibilité | Délai de traitement court (début < 2 semaines) |
Intolérable | Refusée | Traitement A.S.A.P. |
Estimer un risque
Estimer la probabilité d’un risque
Vous n’avez probablement pas la moindre idée des probabilités en termes de pourcentage et un découpage en “fréquent, probable, rare…” est souvent pifométrique. Il est possible d’utiliser une approche tournée vers le contexte :
Probabilité | Description |
---|---|
— | Il est invraisemblable que les conséquences surviennent (par exemple : maitrise par une autre activité en aval) |
– | Demande une chaine de dysfonctionnements peu probable |
+ | Demande un dysfonctionnement possible mais rare |
++ | Défaillance attendue, prévisible, classique |
Estimer les conséquences
Avec une “politique” qui pense d’abord au patient, puis à la règlementation, puis à l’auditeur :
Gravité | Description |
---|---|
— | Autres cas |
– | Non-conformité du SMQ par rapport à l’ISO 13485 (non réglementaire, sans impact produit) |
+ | Non-conformité règlementaire (sans impact produit) |
++ | Impact sur le produit (performance, sécurité) |
Évaluer le niveau de risque pour vos activités
Le niveau de risque découle du couple Probabilité / Gravité.
La matrice est affinée autant que nécessaire (typiquement : de 4 à 7 niveaux).
G – – | G – | G + | G ++ | |
---|---|---|---|---|
P ++ | Intermédiaire | … | … | Maximum |
P + | … | Intermédiaire | … | … |
P – | … | … | Intermédiaire | … |
P – – | Minimum | … | … | Intermédiaire |
18 commentaires