Last Updated on October 13, 2025 by Hafsa J.

Development of a risk-based quality management system for ISO 15189:2022

Let’s be honest: When labs hear the phrase “risk-based quality management,” many think, “That’s just for big hospitals or complex labs, not us.” But here’s what I’ve found after working with dozens of labs implementing ISO 15189:2022: Every lab has risks , and ignoring them won’t make them go away.

In my experience, labs struggle not because they do things wrong, but because they don’t plan ahead. They’re reactive. They fix problems as they arise, but they don’t put systems in place to spot flaws before they become problematic.

And this is exactly what the ISO 15189:2022 standard is pushing us towards.

It’s not about writing a multitude of risk assessments and filing them away. It’s about integrating risk management into everything you do: standard operating procedures (SOPs), staff training, audits, and even error tracking. A good risk-based QMS doesn’t complicate your life; instead, it helps you work more efficiently, detect problems earlier, and build confidence in your lab’s performance.

So in this guide I will explain to you:

• What ISO 15189:2022 actually says about risk

• How to Identify and Classify Significant Risks in Real-World Lab Workflows

• How to Create a System That Supports Your Team, Instead of Overwhelming Them

Whether you’re starting from scratch or trying to make your current system more proactive, this is a roadmap you can follow that I’ve found works time and time again.

Let’s dive in.

What ISO 15189:2022 actually says about risk-based thinking

Now that we’ve set the context, let’s take a look at what ISO 15189:2022 expects of you when it talks about “risk-based thinking.” Because here’s the thing: this isn’t just a buzzword. It’s a mindset shift.

So what does ISO actually mean by “risk”?

Simply put,
a risk is anything that could affect the quality of your results, patient safety, or the operation of your laboratory. ISO 15189:2022 encourages you to consider these risks before they become real problems.

This appears in several places in the standard, most clearly in:

• Article 4.1.2 : The laboratory must identify and manage risks to ensure the quality of examinations.

• Article 4.2.1 : Quality management systems shall include risk-based approaches.

• Article 8.5.1 : Continuous improvement now explicitly includes risk and opportunity management.

Here is the change:

In older versions of the standard, many quality systems relied on reaction  : nonconformity reporting, corrective actions, damage control. The 2022 version clarifies: “This is no longer sufficient.” It is necessary to anticipate potential problems and implement upstream controls.

And don’t worry: ISO doesn’t ask you for a comprehensive enterprise risk management plan. You’re not a bank. But it does ask you for:

• Identify possible problems in your laboratory processes

• Evaluate their probability

• Determine the severity of the impact

• And decide what to do about them, before you have to.

A concrete example:

One lab I worked with flagged a “centrifuge maintenance backlog” as a potential risk when planning their QMS. Sure enough, two months later, their centrifuge stopped mid-run, and samples were compromised. But because they had already identified this risk, they had a contingency plan and a maintenance alert system ready to go. There was no impact on patients, and the auditor was impressed.

In summary:

La réflexion axée sur les risques ne consiste pas à être paranoïaque, mais à se préparer. La norme ISO 15189:2022 formalise simplement ce que font déjà les laboratoires intelligents : anticiper, rester vigilant et renforcer la résilience du système.

Identifier et hiérarchiser les risques dans le flux de travail du laboratoire

Maintenant que nous avons couvert ce que la norme ISO 15189:2022 entend par risque, parlons de la manière de repérer réellement les risques dans votre laboratoire , car voici la vérité : si vous ne savez pas ce qui pourrait mal se passer, vous ne pouvez pas le planifier.

Par où commencer ?

Pensez à votre laboratoire en trois phases principales :

1. Pré-examen (tout ce qui précède le test, comme le prélèvement d’échantillons, le transport, l’étiquetage)

2. Examen (le test proprement dit — équipement, réactifs, procédures)

3. Post-examen (compte rendu, interprétation des résultats, saisie des données)

Chacun de ces domaines comporte des risques. Certains sont évidents, d’autres vous surprennent lorsque vous n’y prêtez pas attention.

Décomposons cela avec des exemples réels :

• Risque avant l’examen :
  les échantillons arrivent sans identification appropriée.
  ➤ Impact ? Résultats erronés pour le mauvais patient.
  ➤ Comment le contrôler ? Vérification des codes-barres, procédure opérationnelle standard d’acceptation des échantillons, formation du personnel.

• Risque d’examen :
  Un analyseur fonctionne avec des réactifs périmés.
  ➤ Impact ? Résultats de test peu fiables.
  ➤ Contrôle ? Journaux de réactifs, verrouillages dans le LIMS, rappels visuels.

• Risque post-examen :
  la saisie manuelle de valeurs critiques dans le rapport entraîne une faute de frappe.
  ➤ Impact ? Erreur de jugement clinique.
  ➤ Contrôle ? Double vérification, transfert automatique si possible, pistes d’audit.

Comment les identifiez-vous réellement ?

Dans mon travail de conseil, j’utilise quelques méthodes simples (mais efficaces) :

• Parlez à vos équipes. Demandez-leur : « Où les choses se compliquent-elles ? » Vous serez surpris des résultats.

• Examinez les incidents ou non-conformités passés. Si cela s’est déjà produit, il s’agit probablement d’un risque connu.

• Suivez le processus. Suivez un exemple du début à la fin. Repérez les transferts, les hypothèses et les points où des erreurs pourraient se glisser.

Prioriser les risques :

Une fois la liste établie, tous les risques ne sont pas égaux. L’ISO ne s’attend pas à ce que vous contrôliez tout de la même manière ; vous devez établir des priorités.

Utilisez un système de notation simple :

• Probabilité (à quelle fréquence cela pourrait-il se produire ?)

• Impact (à quel point cela serait-il grave si cela se produisait ?)

• Combinez-les pour obtenir un niveau de risque : faible, moyen ou élevé.

Conseil de pro :
concentrez-vous d’abord sur les risques à fort impact et à forte probabilité, en particulier tout ce qui est lié à la sécurité des patients ou à la conformité réglementaire.

Créer un registre des risques efficace (et pas seulement pour le spectacle)

Soyons honnêtes : la plupart des registres des risques sont impeccables lors d’un audit… puis finissent par prendre la poussière jusqu’au prochain. Mais un bon registre ne doit pas être une simple formalité : il doit réellement aider votre équipe à anticiper les problèmes.

Alors parlons de la manière de créer un système simple, utile et qui permet à votre laboratoire de rester proactif .

Tout d’abord, qu’est-ce qu’un registre des risques ?

Il s’agit d’un document en direct qui suit :

• Ce qui pourrait mal se passer (le risque)

• Quelle est la probabilité que cela se produise

• Quelle serait la gravité de l’impact

• Ce que vous faites pour le contrôler

• Qui est responsable de sa surveillance ?

• Et si ce risque est toujours acceptable une fois vos contrôles en place

Voici ce qu’il faut inclure dans un registre des risques pratique :

Vous pouvez créer ce rapport dans Excel, Google Sheets ou tout autre logiciel de gestion de la qualité. L’essentiel est de le maintenir clair et à jour .

Conseil pratique :

Un laboratoire avec lequel je travaillais possédait un registre géant de six pages auquel personne ne touchait. Nous l’avons simplifié pour ne retenir que les 12 principaux risques, les avons liés à des procédures opérationnelles standard (SOP) et à des formations, et l’avons intégré à la revue mensuelle du SMQ. Soudain, l’équipe a souhaité le mettre à jour, car il permettait de prévenir les problèmes, et non plus de se contenter de cocher des cases.

À quelle fréquence doit-il être mis à jour ?

• Après tout incident, quasi-accident ou non-conformité

• Lors de l’introduction de nouveaux équipements, méthodes ou personnels

• Au moins une fois par an lors de la revue de direction

• Ou lorsque quelqu’un signale un nouveau risque depuis l’étage

Conseil de pro :
Désignez des responsables de risque pour chaque entrée. Lorsqu’une seule personne est responsable, le suivi est assuré. Fini le « Je pensais que quelqu’un d’autre s’en occupait ».

N’oubliez pas : ce document est destiné à vous , pas seulement à l’évaluateur.

Si c’est lourd ou encombrant, votre équipe ne l’utilisera pas. Restez simple et dynamique.

Intégrer le contrôle des risques dans vos processus SMQ

Bon, vous avez maintenant identifié les risques et établi un registre des risques pertinent. Mais voici où se situe le véritable enjeu : comment gérer ces risques et les intégrer à votre système qualité quotidien ?

C’est l’aspect essentiel de la norme ISO 15189:2022. Il ne suffit pas de connaître vos risques. Il faut démontrer comment vous les maîtrisez, par des actions concrètes au sein de votre SMQ.

Commencez par vos SOP

Si un risque concerne un processus spécifique, mettez à jour la SOP :

• Ajoutez des étapes qui réduisent les risques que ce risque se produise

• Inclure des contrôles ou des vérifications (comme la double saisie de données, les indicateurs de contrôle qualité, les alertes de délai d’attente)

• Reliez le SOP à l’ID de risque dans votre registre afin d’assurer la traçabilité

Exemple :
Un laboratoire avec lequel je travaillais connaissait des retards fréquents dans le traitement des échantillons en dehors des heures de travail. Nous avons mis à jour la procédure opérationnelle standard (POS) du service de nuit pour y inclure un protocole d’alerte de secours et l’avons enregistré comme contrôle dans leur registre des risques. Le problème a été résolu ; les auditeurs ont ainsi pu constater que le risque n’était pas simplement pris en compte , mais bien géré.

Relier le risque aux CAPA (actions correctives et préventives)

Si vous avez identifié un risque, mais n’avez pas encore eu d’incident , c’est une opportunité d’action préventive . L’ISO apprécie cela. Cela signifie que vous êtes proactif, et non que vous réagissez simplement en cas de problème.

De plus, après une non-conformité :

• Demandez-vous : ce risque était-il déjà dans notre registre ?

• Sinon, ajoutez-le.

• Ajoutez ensuite le CAPA comme contrôle et suivez son efficacité au fil du temps.

Intégrez-le à votre formation

S’il s’agit d’une tâche à haut risque, assurez-vous que la formation comprend :

• Qu’est-ce qui pourrait mal se passer

• Pourquoi les contrôles existent

• Que faire si quelque chose ne va pas

De cette façon, vos collaborateurs ne se contentent pas de suivre les étapes, ils comprennent le pourquoi . C’est là que commence la véritable appropriation.

Utiliser des audits internes pour vérifier les contrôles

Les auditeurs ne servent pas uniquement à détecter les erreurs. Ils servent également à vérifier l’efficacité des contrôles des risques :

• Ce nouveau lecteur de codes-barres réduit-il les erreurs d’étiquetage ?

• Les journaux de maintenance en retard sont-ils toujours un problème ?

• Ce risque « moyen » a-t-il été abaissé au fil du temps ?

Si oui, tant mieux. Sinon, il est temps de peaufiner les commandes.

En résumé ?
La gestion des risques n’est pas une activité secondaire. Elle doit être intégrée à tous les aspects de l’entreprise : procédures opérationnelles standard (SOP), audits, CAPA, formations, revues. C’est à ce moment-là que votre SMQ cesse d’être réactif et devient résilient.

Comment communiquer et évaluer les risques avec votre équipe

Vous avez donc identifié vos risques, mis en place des contrôles et les avez liés à votre SMQ, mais voici la vérité : si votre équipe n’est pas consciente de ces risques ou ne se sent pas impliquée dans leur gestion, le système ne tiendra pas le coup.

La norme ISO 15189:2022 met l’accent sur l’engagement et la responsabilisation , et pas seulement sur la documentation. D’après mon expérience, les laboratoires qui gèrent le mieux les risques sont ceux où toute l’équipe, et pas seulement l’AQ , comprend le fonctionnement de la gestion des risques.

Intégrez le risque à vos conversations régulières

Vous n’avez pas besoin d’une réunion spécifique sur les risques. Intégrez-la simplement à vos activités actuelles :

• Réunions mensuelles du SMQ : ajoutez un point permanent : « Y a-t-il de nouveaux risques ou changements ? »

• Audits internes : inclure une vérification rapide pour savoir si les risques identifiés sont toujours pertinents

• Examens post-incident : se demander : « Cela figurait-il dans notre registre des risques ? Devrait-il y figurer ? »

Cela maintient le processus en vie et vous aide à repérer les angles morts plus tôt.

Montrez au personnel comment leur travail quotidien est lié au risque

Si un technicien comprend l’ importance de sauter une vérification quotidienne de l’équipement (et pas seulement qu’il s’agit d’une « procédure »), il sera bien plus susceptible de la prendre au sérieux. Utilisez des exemples concrets, même d’accidents évités de justesse, pour illustrer comment de petites actions permettent d’éviter de gros problèmes.

Exemple :
Le laboratoire d’un client a rencontré un problème de confusion d’échantillons lors d’une semaine de forte activité. Au lieu de simplement former à nouveau le personnel, ils ont réuni toute l’équipe pour un compte rendu : ce qui s’est passé, quel était le risque et quels contrôles ont été ajoutés. La prise en charge a été renforcée et le problème ne s’est pas reproduit.

Maintenir la responsabilité des risques visible

Pour chaque risque élevé ou moyen, désignez une personne désignée. Pas seulement « l’équipe AQ », mais nommez quelqu’un. Et suivez les risques en cours ou les actions à entreprendre lors de votre revue de direction.

Conseil de pro :
Créez un tableau de bord simple « instantané des risques ». Un onglet dans une feuille de calcul affiche :

• Nombre de risques ouverts

• Risques à réexaminer

• Contrôles en attente de mise en œuvre

Le simple fait de revoir cela une fois par mois permet à votre laboratoire de garder une longueur d’avance au lieu de toujours rattraper son retard.

En résumé :
la gestion des risques ne se limite pas aux politiques et aux registres ; elle concerne aussi les personnes. Si vos collaborateurs se sentent impliqués et comprennent les raisons d’être de la gestion, ils deviennent partie intégrante du filet de sécurité, et c’est précisément ce que l’ISO souhaite.

Erreurs courantes et FAQ sur les SMQ basés sur les risques

Vous avez maintenant les éléments en place : identification des risques, contrôle, intégration et communication. Mais prenons un instant pour passer en revue les éléments qui peuvent discrètement faire dérailler vos efforts, ainsi que les questions que j’entends constamment dans des laboratoires comme le vôtre.

Erreurs courantes à surveiller

Erreur 1 : Traiter le risque comme une tâche annuelle.
Un registre des risques mis à jour uniquement lors de la revue annuelle ? Ce n’est pas suffisant. Les risques évoluent avec vos processus. Intégrez le risque à votre flux de travail continu, et non à un rappel.

Erreur 2 : Créer des documents de risque trop techniques ou gonflés
Si votre registre semble impressionnant mais que personne ne le comprend, il ne sera pas utilisé. L’ISO ne recherche pas la complexité, mais la clarté et la facilité d’utilisation.

Erreur n° 3 : Ne consigner les risques qu’après un incident.
Il ne s’agit pas d’une réflexion basée sur le risque, mais d’un nettoyage basé sur la réaction. Regardez devant, pas seulement derrière.

Erreur n° 4 : Attribuer la responsabilité des risques au « laboratoire » ou à l’« assurance qualité ».
Si personne n’y figure, personne ne se sent responsable. Affectez des personnes et faites en sorte que cela fasse partie de leur rôle, et non une charge supplémentaire.

Erreur n° 5 : Ignorer les « petits » risques sous prétexte qu’ils n’ont pas (encore) causé de problèmes.
Les risques peu probables mais à fort impact, comme une panne de courant lors d’une exécution critique, nécessitent tout autant d’attention. Préparez-vous avant que cela ne vous coûte cher.

Questions fréquemment posées

Q1 : Avons-nous besoin d’une politique de gestion des risques formelle ?
R : Non obligatoire, mais fortement recommandée. Une politique concise décrivant comment vous identifiez, évaluez et contrôlez les risques peut clarifier votre système auprès des auditeurs et de votre équipe.

Q2: What if a risk is not yet clearly controlled?
A: This is not a problem, provided that it has been identified, its impact has been assessed, and a plan to address it has been documented. ISO values ​​transparency and continuous improvement.

Q3: How do you know if your risk controls are working?
A: Monitor them. Look at internal audit results, error trends, turnaround times, or incident reports. If a risk persists despite your controls, it should be revisited.

Q4: Can we use the same scoring system for all risks?
A: Yes, and you should, at least as a baseline. But feel free to adjust it based on the process. A “low” risk for TI can be “high” for pre-transfusion testing.

Create a risk management system that supports your lab, not just your audit

Let’s put it all together.

A risk-based quality management system isn’t just about racing against time. It’s about building a laboratory that detects problems before they arise, responds quickly to developments, and protects the quality of every published result . This is the true spirit of ISO 15189:2022.

In my experience, labs that take a risk-based approach are not only more compliant, they’re also more confident. Their teams know what could go wrong and are prepared. Their systems are flexible yet focused. And when the auditor steps in, nothing feels like a last-minute decision.

Here’s what to focus on next:

• Start simple: List your top 5-10 real risks

• Create a living, useful risk register, not a formality

• Integrate these risks into your SOPs, audits, training and CAPAs

• Make it a team conversation, not just a QA task

• Review it often, not just once a year

If you do this, you’ll not only meet ISO requirements: you’ll build a safer, stronger, and easier-to-manage laboratory.

Need a helping hand?
Need help designing a risk register, training your team, or assessing your QMS against ISO 15189:2022? We have the tools and experience to make it easier for you.

Download our free ISO 15189 Risk Management Toolkit or contact QSE Academy for personalized support. Let’s build a successful QMS in real-life situations, not just on audit day.