In der pharmazeutischen und biotechnologischen Produktion ist Risikomanagement kein optionaler Prozess, sondern eine unverzichtbare Säule eines wirksamen Qualitätsmanagementsystems (QMS). Es verbindet strategische und operative Elemente und trägt dazu bei, Produktqualität, Patientensicherheit und regulatorische Compliance in Einklang mit ökonomischen Zielen zu bringen. Dieser Leitfaden richtet sich an erfahrene Fachleute, die nicht nur die Theorie, sondern vor allem die Praxis des Risikomanagements in GMP-Umgebungen tief verankern möchten.
Wir beginnen mit den regulatorischen Grundlagen, gehen dann systematisch durch die Schritte eines robusten Risikomanagementprozesses, beleuchten konkrete Praxisbeispiele mit Chancen und Fallstricken und schließen mit Empfehlungen und „Take-Home Messages“.
ICH Q9 (Quality Risk Management) ist der international harmonisierte Standard für Risikomanagement im pharmazeutischen Bereich. Die revidierte Version Q9(R1) erschien 2023/2024 und liefert aktualisierte Prinzipien und Tools. (U.S. Food and Drug Administration)
Im EU-Kontext verlangt der EudraLex-Band 4 explizit, dass „eine Risikoabschätzung gemäß diesen Richtlinien für Hilfsstoffe (Excipients) … durchgeführt werden soll“ (Public Health).
In den PIC/S-GMP-Leitlinien (Guide to Good Manufacturing Practice, Teil I) wird Risikomanagement als integraler Bestandteil des pharmazeutischen Qualitätsmanagements beschrieben. (picscheme.org)
Die FDA-Guidance „Quality Systems Approach to Pharmaceutical CGMP“ betont, dass Qualitätsrisikomanagement Teil eines modernen Qualitätssystems ist und unterstützt Hersteller bei der Umsetzung risikobasierter Entscheidungen. (U.S. Food and Drug Administration)
Die WHO-Guidelines on Quality Risk Management (TRS 981 Annex 2) definieren Prinzipien und Methoden, wobei QRM als Kernbestandteil eines Qualitätsmanagementsystems betrachtet wird. (Weltgesundheitsorganisation)
Im Kontext der Arzneimittelversorgung adressiert die FDA Guidance „Risk Management Plans to Mitigate the Potential for Drug Shortages“ Risiken entlang der Lieferkette und Produktionsverfügbarkeit. (U.S. Food and Drug Administration)
Für computergestützte Systeme ist in EU GMP Annex 11 eine Risikomanagement-Bewertung explizit gefordert. (Beckman Coulter)
Bei steriler Produktion wurde in der neuen Fassung von EU GMP Annex 1 der Fokus auf Contamination Control Strategy (CCS) und Risikoanalyse zur Vermeidung von Kontamination verstärkt. (Pharmuni)
Diese Vorgaben zeigen: Risikomanagement ist nicht getrennt, sondern eingebettet in GMP, QMS und Produktlebenszyklus. Es verbindet regulatorischen Anspruch mit operativer Realität.
Die gängigen Prinzipien, wie sie in Q9 und WHO definiert sind, lauten im Kern:
Effektivität und Angemessenheit („fit for purpose“)
Geeigneter Detaillierungsgrad (Komplexität proportional zum Risiko)
Transparenz und Nachvollziehbarkeit
Interdisziplinarität der Stakeholder
Risikobasierte Entscheidungen
Kontinuierliche Überwachung und Überprüfung
Diese Prinzipien helfen, dass der Aufwand für das Risikomanagement nicht die Ressourcen übermäßig belastet, sondern gezielt und zielgerichtet eingesetzt wird.
Ein standardisierter Risikomanagementprozess besteht aus mehreren Stufen, die im Kreislauf wiederkehren. Die Hauptphasen sind: Initialisierung / Kontextfestlegung → Risikoidentifikation → Risikoanalyse / Bewertung → Risikokontrolle → Risikoakzeptanz → Risikoüberwachung / Review → Kommunikation und Dokumentation.
Bevor Risiken analysiert werden, muss klar sein:
Ziel und Umfang: Welcher Teil der Produktion, welcher Prozess, welche Produktlinie?
Stakeholder einbinden: z. B. Produktionsleitung, Qualitätskontrolle, Engineering, Validierung, Supply Chain, Regulatory Affairs.
Kriterien und Schwellenwerte definieren: z. B. was bedeutet „hohes Risiko“ quantitativ oder qualitativ?
Verfügbare Daten und Annahmen dokumentieren.
Beispiel: Ein Hersteller entscheidet, den Herstellungsprozess eines parenteralen Biologikums als Scope zu wählen, inklusive Zellkultur, Reinigung und Füllung. Schwellenwerte werden festgelegt (z. B. bei Ausfallwahrscheinlichkeit > 1/1.000 als „hoch“ zu klassifizieren).
Ziel: Alle potenziellen Risiken (Bedrohungen) zu erfassen, die zu Abweichungen führen könnten – in Bezug auf Patientensicherheit, Produktqualität, Produktionszeitplan oder Kosten.
Methoden:
Brainstorming mit Fachexperten / interdisziplinären Workshops
Checklisten / Lessons Learned (z. B. historische Abweichungen)
FMEA / FMECA (Failure Mode and Effects / Criticality Analysis)
Fault Tree Analysis (FTA) / Fehlerbaumanalyse
HAZOP (Hazard and Operability Study)
What-if / What-if + Checklist
Prozessflussdiagramme mit Risikopools
Beispiel: In der Sterilbereichs-Abfüllung eines Impfstoffs identifiziert das Team mögliche Ursachen für mikrobiologische Kontamination, wie Leckagen in Dichtungen, Versagen von HEPA-Filtern, unzureichende Sterilisationszyklen.
Hier wird quantifiziert oder qualitativ bewertet:
Wahrscheinlichkeit / Eintrittswahrscheinlichkeit (z. B. auf einer Skala 1–5 oder in Prozent)
Schadensausmaß / Auswirkungen (z. B. minimale, moderate, katastrophale Auswirkung)
Risikowert / Risikopriorität (z. B. Multiplikation von Wahrscheinlichkeit × Auswirkung oder Anwendung eines Risikomatricesystems)
In Q9 werden Risikoanalyse und Risikobewertung oft zusammen als Risikoassessment verstanden. (U.S. Food and Drug Administration)
Bei der Analyse kann unterschieden werden zwischen:
Kritischen Qualitätsattributen (CQAs) und Prozessparametern (PPs): Wie groß ist der Einfluss eines Prozessparameters auf einen CQA? (z. B. Einfluss der Lyophilisations-Zeit auf Restfeuchte)
Abhängigkeiten zwischen Risiken
Beispiel: Ein Herstellprozess für sterile Injektionslösungen weist als Risiko auf: Versagen der Sterilfilter (Wahrscheinlichkeit = 2 von 5), Auswirkung = 5 (Kontamination → Rückruf, Patientenrisiko). Der Risikowert = 10. Ein weiteres Risiko: Unzureichende Luftqualität (Wahrscheinlichkeit = 3, Auswirkung = 4, Wert = 12).
Wenn ein Risiko als unakzeptabel beurteilt wird, geht es darum, geeignete Maßnahmen zu definieren:
Eliminieren (z. B. Systemdesign ändern)
Reduzieren (z. B. zusätzliche Kontrollen, Redundanz, Monitoring)
Übertragen (z. B. Outsourcing, Versicherungen) — bedingt anwendbar
Akzeptieren / Tolerieren (wenn das Risiko unterhalb der Schwelle liegt)
Man sollte immer das kostenoptimierte Gleichgewicht zwischen Aufwand der Risikokontrolle und Nutzen betrachten – ein „over-engineering“ ist genauso problematisch wie Untersteuerung.
Zu jeder Kontrollmaßnahme gehört eine Bewertung der Residualrisiken und ggf. weitere Maßnahmen (Backup, Alarmsysteme, Trigger für Eskalation).
Beispiel: Zur Reduktion des Filterversagens wird eine Backup-Filtrationslinie eingeführt. Ein Online-Monitoring für Differenzdruck wird installiert. Das Residualrisiko sinkt von Wert 10 auf 3.
Ein Gremium (z. B. Qualitätssicherung, Management) bewertet, ob das Residualrisiko akzeptabel ist. Die Entscheidung sollte dokumentiert werden und nachvollziehbar sein:
Welche Kriterien wurden angelegt?
Welche Kompensationsmaßnahmen existieren?
Welche Alarmschwellen und Eskalationsmechanismen sind definiert?
Risiken und Kontrollen müssen kontinuierlich überwacht und reevaluiert werden:
Trigger-Ereignisse definieren (z. B. Abweichungen, CAPA, Auditbefunde, Technologiewechsel)
Regelmäßige Reviews (z. B. jährlich oder projektbezogen)
Metriken und KPIs zur Effektivität der Risikomaßnahmen
Lessons Learned: neue Erkenntnisse einfließen lassen
Jeder Schritt muss transparent und dokumentiert sein, damit ein Dritter (z. B. Auditor) den Entscheidungsprozess nachvollziehen kann.
Risiko-Register / Risikotabellen
Dokumentation der Bewertungen / Begründungen
Maßnahmenpläne, Alarmschwellen, Eskalationspläne
Verantwortlichkeiten und Zeitpläne
Protokolle aus Workshops / Gremienentscheidungen
Kontext: Ein Mehrproduktsystem zur Herstellung verschiedener Wirkstoffe in derselben Anlagenreihe. Ziel: Minimierung des Kreuzkontaminationsrisikos.
Identifikation & Analyse:
Risiken: unvollständige Reinigung, unerwartete Adsorption an Oberflächen, Restmengen.
Wahrscheinlichkeit (z. B. 3/5), Auswirkung (z. B. 5) → Risikowert 15.
Einflussfaktoren: Reinigungsvalidierung, CIP-System, Material-Oberflächen, Durchflussgeschwindigkeit.
Kontrollen:
Validierte Reinigungszyklen, inklusive worst-case Szenarien.
Nachweisgrenzen (Analytik) unterhalb der akzeptablen Grenzwerte.
Design von Rohrleitungen mit minimalem Totraum, glatte Oberflächen.
Interprodukt-Kontrollen (Last-Product-Analyse).
Automatisiertes Monitoring (z. B. Leitfähigkeit, TOC, UV).
Residualrisiko & Akzeptanz:
Durch optimale Kontrollen sinkt Residualrisiko auf 4.
Risikoakzeptanz durch das QS-Management, dokumentierte Begründung.
Review:
Nach Einführung eines neuen Wirkstoffs wird Reinigungsvalidierung erneut überprüft.
Bei Abweichungen (verschmutzter Probenwert) Eskalation in CAPA.
Finanzaspekt: Eine übertriebene Reinigung (z. B. mehrfaches Spülen) führt zu erhöhtem Wasser- und Energieverbrauch, Verschwendung von Zeit und Ressourcen. Ein schlechtes Risikomanagement dagegen kann teure Rückrufe oder Stillstände bedeuten.
Kontext: Herstellung eines sterilen Injektionsprodukts. Kritische Schritte: Füllung, Stopfen, Lyophilisation.
Risiken:
Mikroorganismen-Kontamination durch Luftborne-Teilchen, Bediener, Materialfehler.
Partikeleinschlüsse durch Abrieb, Filterversagen.
Abweichung in Vakuum/Temperaturprofilen bei Lyophilisation (führt zu Restfeuchteabweichungen).
Analyse:
Eintrittswahrscheinlichkeit und Auswirkung jeweils auf Skala 1–5 bewertet, ein paar Kombinationen ergeben hohe Risikoergebnisse.
Für Parameter vs. CQA-Beziehungen (z. B. Mehr Restfeuchte → reduzierte Stabilität).
Kontrollen:
Contamination Control Strategy (CCS) gemäß neuer Annex-1-Anforderungen: z. B. zonenspezifische Luftklassifikation, strenge Personenzugangsregime. (Pharmuni)
Redundante HEPA-Filtration, regelmäßige Integritätstests.
Inline-Particle-Monitoring, Alarm bei Grenzwertüberschreitung.
Prozesskontrolle (z. B. Temperatur- und Drucküberwachung, Vakuumverläufe) mit eskalierenden Aktionen.
Validierung der Lyophilisation (Robustheit, Worst-Case-Tests, Verfälschungen).
Residualrisiko & Akzeptanz:
Nach Maßnahmen sinkt Risiko auf akzeptablen Bereich.
Bei spezifischen Risiken (z. B. Ausfall eines HePA-Filters) wird eine Eskalationsschwelle definiert.
Review:
Überwachung von Sterilitätsprüfungen, Trendanalyse von Partikelzählungen.
Bei Abweichungs- oder Trendfällen: Anpassung der Risikobewertungen, CAPA.
Zeit- und Regulierungsperspektive: Eine unerkannte Kontamination kann zu Produktionsstillstand und Rückruf führen, was zu erheblichen finanziellen Verlusten führt. Umgekehrt aber darf das Risikomanagement nicht zu zeitlichen Verzögerungen führen, etwa durch übertriebene Anforderungen, die Projekt-Timelines sprengen.
Kontext: Rohstoffversorgung für kritische Wirkstoffe, z. B. ein Enzym oder seltenes Reagenz.
Risiken:
Lieferantenkapazitätsausfall, Naturkatastrophen, geopolitische Risiken, Rohstoffknappheit, Logistikausfälle.
Qualitätsprobleme beim Lieferanten.
Analyse:
Eintrittswahrscheinlichkeit (z. B. bei seltenem Reagenz 2–3), Auswirkung (hohe Auswirkung) → hohes Risiko.
Abhängigkeit verschiedener Zulieferer (Single Sourcing vs. Dual Sourcing).
Kontrollen:
Qualifizierung von Alternativlieferanten (Dual-Sourcing).
Sicherheitsbestände (Safety Stock) definieren.
Langfristige Lieferverträge mit Absicherungsmechanismen.
Monitoring von Lieferanten-KPIs, Audits und Performance-Tracking.
Risikopools mit Vertragsklauseln (z. B. Strafzahlungen, Priorisierung).
Residualrisiko & Akzeptanz:
Durch Dual-Sourcing und Sicherheitslagern reduziert sich das Risiko auf akzeptablen Bereich.
Das QS-Gremium genehmigt das Konzept unter Berücksichtigung der Kosten.
Review & Monitoring:
Jährliche Lieferantenbewertungen, Anpassung von Sicherheitsbeständen.
Trendanalyse von Lieferzeitabweichungen, Eskalationen bei Lieferverzögerungen.
Finanzielle Dimension: Sicherheitslager binden Kapital und verursachen Lagerkosten. Aber ein Ausfall der Rohstofflieferkette kann zu Produktionsstop, nicht verfügbarer Ware, Umsatzausfall und Reputationsschäden führen.
Es besteht die Gefahr, dass Risikomanagement zu umfangreich, formalistisch oder bürokratisch wird („Paralyse durch Analyse“). Insbesondere bei geringem Risiko sind simple Ansätze sinnvoll. Der Aufwand muss proportional zum Risiko sein.
Bewertungen von Wahrscheinlichkeit und Auswirkung sind oft subjektiv. Unterschiedliche Experten können zu abweichenden Ergebnissen kommen. Deshalb ist eine methodische Anleitung, Moderation und Konsensbildung essenziell – z. B. Skalendefinitionen, Kalibrierung, Review durch Gremien.
Risiken ändern sich mit Prozessanpassungen, Technologiewechseln oder neuen Erkenntnissen. Risikopläne dürfen nicht statisch sein. Ein starres System verpufft, wenn neue Risiken nicht aufgenommen werden.
Glaubwürdige historische Daten sind oft nicht vollständig oder nicht vergleichbar. Analytische Grenzen bedeuten, dass Schätzungen und Annahmen notwendig sind — mit größerer Unsicherheit. Es gilt: Annahmen transparent machen und konservativ sein.
Manchmal erleben Hersteller, dass Inspektoren bei Abweichungen Risikobewertungen hinterfragen: „Wie konnten Sie das Risiko akzeptieren?“ oder „Warum nicht mehr Maßnahmen?“ Hier ist besonders wichtig:
Transparente Dokumentation der Entscheidungslogik
Nachvollziehbarkeit der Schwellenwerte und Kriterien
Fortlaufende Überwachung und Anpassung
Evidenz, dass Maßnahmen wirksam sind
Jede Risikokontrollmaßnahme verursacht Kosten (Personal, Material, Zeit). Entscheidend ist: Die Methode muss den Erwartungswert (Risikoreduktion × potenzieller Schaden) rechtfertigen. Eine Maßnahme, die mehr kostet als mögliche Schäden, ist wirtschaftlich fragwürdig.
Risikomanagement darf nicht isoliert stehen. Es muss in CAPA-Systeme integriert sein, Einfluss auf Validierungsstrategien (z. B. Risiko-basiertes Validierungsdesign) nehmen und Teil des kontinuierlichen Verbesserungsprozesses sein.
Schulung aller Stakeholder (Produktion, QA, Engineering, Supply Chain, Validierung) in QRM-Prinzipien
Etablierung eines Risikomanagement-Gremiums oder -Boards
Förderung einer offenen, risikobewussten Kultur (Fehleranalyse statt Schuldzuweisung)
Standardrisikomatrizes, Bewertungsformulare, Softwarelösungen (z. B. Risiko-Register-Tools)
Vorlagen (z. B. FMEA-Templates, What-if-Checklisten)
Integration in Dokumentenmanagementsysteme (DMS), Tracking von Maßnahmen
Start mit Pilotprozess (z. B. Reinigung, Sterilabfüllung)
Erfahrungen sammeln, Anpassungen durchführen
Rollout auf weitere Prozesse und Standorte
Risikoreduktions-KPIs (z. B. Anzahl abgewendeter Risiken, CAPA-Dauer, Trends)
Regelreports ans Management
Reviews im Rahmen von Management-Reviews
Internal Audits auf Risikomanagementprozesse
Vorbereitung auf Inspektorenfragen zur Risikobewertung und -akzeptanz
Risikomanagement als Bestandteil von GMP-Inspektionen (z. B. EMA, FDA)
Im Kontext von Arzneimitteln existieren Risk Management Plans (RMPs) – regulatorisch vorgeschriebene Dokumente, mit denen Risiken entlang des Produktlebenszyklus identifiziert, bewertet und minimiert werden. (english.cbg-meb.nl)
Hier legt der Hersteller dar, wie klinische und post-marketing Risiken überwacht und gemindert werden. Die EMA hat 2025 Guidance zur Anonymisierung geschützt personenbezogener Daten (PPD) und zu kommerziell vertraulichen Informationen (CCI) in RMPs herausgegeben. (GMDP Academy)
Eine gute QRM-Praxis in der Produktion unterstützt konsistent die Umsetzung von RMP-Anforderungen.
In den USA kann die FDA für bestimmte Arzneimittel ein Risk Evaluation and Mitigation Strategy (REMS) verlangen, eine regulatorische Anforderung zur Sicherstellung eines positiven Nutzen-Risiko-Verhältnisses. (Wikipedia)
Produktion, Labeling, Packaging oder Distribution können Elemente eines REMS sein. Daher sollte Risikomanagement auch REMS-relevante Aspekte antizipieren.
Die oben erwähnte FDA-Guidance zur Risikomanagementplanung bei Versorgungsengpässen fordert, dass Unternehmen Strategien entwickeln, um Risiken für Lieferunterbrechungen frühzeitig zu identifizieren und zu mitigieren. (U.S. Food and Drug Administration)
Dies ist auch für EMA/CH-relevante Produktionen zunehmend wichtig, da Engpässe insbesondere durch globalisierte Lieferketten häufiger werden.
Mit zunehmender Digitalisierung lassen sich Predictive Analytics und Machine Learning einsetzen, um Risikotypen vorherzusagen (z. B. Trendanalyse von Abweichungen). Solche Modelle müssen jedoch sinnvoll validiert und kontrolliert werden, da sie selbst Risiken (Fehlklassifikationen) erzeugen können.
Für globale Unternehmen ergibt sich die Herausforderung, Risikomanagement über mehrere Standorte, Produktionsstätten oder Lohnhersteller hinweg zu integrieren. Ein zentrales Framework mit lokalen Anpassungen ist sinnvoll.
Einzelrisiken müssen nicht isoliert, sondern auch aggregiert betrachtet werden (z. B. Summe aller Restrisiken in einer Anlage). Es kann eine Schwellenanalyse sinnvoll sein: Wenn Summe > X, Eskalation auf Managementebene.
In bestimmten Fällen kann ein Teil des Risikos versichert werden – z. B. Rückrufrisiken oder Produkthaftung. Dies ist jedoch kein Ersatz für gute Kontrolle, sondern Ergänzung.
Beginnen Sie mit kleinen, kritischen Prozessen und skalieren Sie sukzessive.
Definieren Sie klar Schwellenwerte und Akzeptanzkriterien, um Willkür zu vermeiden.
Setzen Sie auf transparente Dokumentation und Nachvollziehbarkeit — gegenüber Auditoren, Behörden, Management.
Fördern Sie die Kultur des Risikobewusstseins: Teams sollen Risiken benennen dürfen, ohne Schuldzuweisung.
Überprüfen Sie regelmäßig Ihre Risikobewertungen und passen Sie diese an neue Daten oder Prozessänderungen an.
Setzen Sie realistische Kosten-Nutzen-Kurven: Maßnahmen sollen nicht außer Verhältnis zum Nutzen stehen.
Integrieren Sie Risikomanagement mit CAPA, Validierung, Change Control und Management Review.
Nutzen Sie interdisziplinäre Teams – Risiken sind häufig multidisziplinär (Technik, QA, Prozessentwicklung, Supply Chain).
Seien Sie vorbereitet auf Inspektorenfragen: Wie wurde das Risiko bewertet? Wie ist die Dokumentation? Wie werden Residualrisiken begründet?
Risikomanagement ist integraler Bestandteil eines modernen QMS – nicht optional, sondern regulatorisch gefordert (ICH Q9, EU GMP, FDA Guidance).
Der Aufwand für Risikomanagement muss proportional zum Risiko sein – keine Übersteuerung, aber auch keine Vernachlässigung.
Transparenz, Nachvollziehbarkeit und Dokumentation sind entscheidend – insbesondere im Audit- und Inspektionskontext.
Praxisnahe Beispiele (z. B. Reinigung, sterile Abfüllung, Lieferketten) verdeutlichen Chancen und Fallstricke.
Risikomanagement darf nicht statisch sein – es muss im Lebenszyklus, bei Änderungen und neuen Erkenntnissen gepflegt und angepasst werden.
Die Verknüpfung mit regulatorischen Anforderungen (RMP, REMS, Engpasspläne) macht es zu einer Querschnittsaufgabe.
Letztlich dient gutes Risikomanagement dem übergeordneten Ziel: Patientensicherheit, Produktqualität und Unternehmensstabilität zu gewährleisten – und dabei Zeit- und Kostenrisiken zu minimieren.
FDA. (2023, May). Q9(R1) Quality Risk Management (Guidance for Industry). Abgerufen von https://www.fda.gov/media/167721/download (U.S. Food and Drug Administration)
FDA. (2006, September). Quality Systems Approach to Pharmaceutical CGMP Regulations. Abgerufen von https://www.fda.gov/media/71023/download (U.S. Food and Drug Administration)
PIC/S. (2023). Guide to Good Manufacturing Practice for Medicinal Products, Part I. Abgerufen von https://picscheme.org/docview/6606 (picscheme.org)
WHO. (2005). WHO guidelines on quality risk management (TRS 981, Annex 2). Abgerufen von https://www.who.int/docs/default-source/medicines/norms-and-standards/guidelines/production/trs981-annex2-who-quality-risk-management.pdf (Weltgesundheitsorganisation)
EMA / Europäische Kommission. EudraLex Volume 4 – Good Manufacturing Practice. Abgerufen von https://health.ec.europa.eu/medicinal-products/eudralex/eudralex-volume-4_en (Public Health)
GMDP Academy. (2025). Ensuring Compliance with EMA’s RMP Guidelines – Best Practices. Abgerufen von https://gmdpacademy.org/news/ensuring-compliance-with-emas-rmp-guidelines-best-practices-for-data-protection-in-pharmaceuticals (GMDP Academy)
FDA. Risk Management Plans to Mitigate the Potential for Drug Shortages. Abgerufen von https://www.fda.gov/regulatory-information/search-fda-guidance-documents/risk-management-plans-mitigate-potential-drug-shortages (U.S. Food and Drug Administration)
Pharmuni. (2024). Risk management in EU GMP Annex 1. Abgerufen von https://pharmuni.com/2024/05/10/risk-management-in-eu-gmp-annex-1/ (Pharmuni)
Biomapas. EMA & FDA: What Are the Similarities & Differences in Risk Management. Abgerufen von https://www.biomapas.com/ema-and-fda-risk-management/ (Biomapas)
Trilogy Writing. Risk Management Plans: New Challenges for a New Era. Abgerufen von https://trilogywriting.com/document/risk-management-plans-new-challenges-new-era/ (Trilogy Writing & Consulting)