Ce inseamna gandirea bazata pe risc in ISO 9001? Inseamna sa iei deciziile din sistemul de management al calitatii in functie de ce se poate intampla rau sau bine, nu doar in functie de proceduri scrise. Concept introdus de revizia ISO 9001:2015, apare atat explicit in clauza 6.1, cat si implicit in alte clauze din standard.
Nu exista o cerinta sa ai un registru formal de riscuri, nici sa aplici ISO 31000, nici sa scrii o procedura dedicata. Exista cerinta sa demonstrezi ca ai gandit sistematic.
Intelege ce cere standardul la clauza 6.1
SR EN ISO 9001:2015 cere la clauza 6.1 trei lucruri:
- sa determini riscurile si oportunitatile care pot afecta conformitatea produselor si serviciilor
- sa planifici actiuni proportionale cu impactul potential
- sa evaluezi daca actiunile au functionat
Atat. Nu iti spune cum sa le determini, nu iti cere sa folosesti o anumita metoda, nu iti cere evidenta documentata pentru fiecare risc. Anexa A.4 din standard clarifica faptul ca gandirea bazata pe risc inlocuieste conceptul de „actiuni preventive” din versiunea 2008.
Daca auditorul iti cere la supraveghere sa ii arati registrul, iti este util sa ai ceva scris. Dar nu e obligatoriu. Ce e obligatoriu e sa poti explica de ce ai ales sa tratezi anumite riscuri si sa ignori altele.
Aplica logica in toate clauzele, nu doar 6.1
Majoritatea firmelor cred ca gandirea bazata pe risc traieste intr-un fisier Excel cu 10 randuri, undeva in dosarul calitatii. Standardul o cere in 5 clauze diferite:
- clauza 4.1, cand determini factorii interni si externi care afecteaza sistemul
- clauza 4.2, cand identifici cerintele clientilor, autoritatilor, angajatilor
- clauza 6.1, cea formala, cea mai vizibila
- clauza 8.1, cand controlezi procesele cu o rigoare proportionala cu riscul
- clauza 9.3, cand evaluezi eficacitatea actiunilor luate in analiza de management
Asta inseamna ca daca analiza de context este copiata de pe internet, toata constructia de mai sus se duce. Auditorul urmareste firul din clauza 4.1 pana in clauza 9.3. Daca se rupe undeva, primesti neconformitate.
Trebuie sa am un registru de riscuri documentat?
Nu, ISO 9001:2015 nu cere asta. Dar fara un document scris, iti va fi greu sa demonstrezi la audit ca ai gandit riscurile, mai ales cand responsabilul de calitate pleaca sau se schimba echipa. Vezi un model de registru de riscuri daca vrei structura.
Construieste o matrice risc-oportunitate simpla
O firma mica nu are nevoie de metodologia complicata din standardele dedicate. Are nevoie de o matrice 5x5 cu doua axe: probabilitate si severitate.
| Probabilitate \ Severitate | 1 Neglijabil | 2 Minor | 3 Moderat | 4 Major | 5 Critic |
|---|---|---|---|---|---|
| 5 Foarte mare (zilnic) | 5 | 10 | 15 | 20 | 25 |
| 4 Mare (saptamanal) | 4 | 8 | 12 | 16 | 20 |
| 3 Medie (lunar) | 3 | 6 | 9 | 12 | 15 |
| 2 Mica (semestrial) | 2 | 4 | 6 | 8 | 10 |
| 1 Foarte mica (anual) | 1 | 2 | 3 | 4 | 5 |
Praguri de decizie care functioneaza in implementari reale:
- scor 1 la 6: monitorizare, fara actiune specifica
- scor 7 la 14: actiune planificata in termen de 3 luni
- scor peste 15: actiune imediata, cu responsabil si termen concret
Pentru oportunitati folosesti aceeasi matrice, dar inlocuiesti „severitate” cu „impact pozitiv” si prioritizezi invers (scor mare inseamna oportunitate de valorificat, nu pericol).
Vezi diferenta fata de ISO 31000
ISO 31000 este un standard separat, dedicat managementului riscului. Ofera un cadru ciclic cu etape, vocabular si metode de analiza (bowtie, HAZOP, analiza Delphi). ISO 9001:2015 nu il cere si nu te penalizeaza daca nu il aplici.
Cand ai totusi nevoie de el? In trei situatii concrete:
- firma este mare, peste 200 de angajati, cu procese complexe si zeci de produse
- activitatea implica riscuri financiare majore (credite, garantii, fluctuatii valutare)
- clientul cere explicit ISO 31000 (frecvent in aparare, farmaceutic, auto tier 1)
Pentru o firma cu 15 angajati care face servicii IT sau curatenie industriala, matricea 5x5 este suficienta. Daca vrei cadrul complet, citeste despre implementarea ISO 31000.
Integreaza gandirea bazata pe risc in procese reale
Teoria se vede cand o aplici pe procese. Asa arata un tabel concret pentru trei procese, construit cu un client din productie metalica cu 35 de angajati:
| Proces | Risc identificat | Scor | Actiune |
|---|---|---|---|
| Aprovizionare | Intarziere livrare material de la furnizor unic | 16 (4x4) | Dublare furnizor, stoc minim 2 saptamani |
| Productie | Defect sudura pe piese critice | 15 (3x5) | Control 100% inspectie vizuala, calificare sudor anual |
| Resurse umane | Pierdere responsabil calitate | 10 (2x5) | Procedura scrisa pentru toate activitatile critice |
Fiecare linie are: proces, risc concret, scor din matrice, actiune cu termen. Auditorul vede coerenta: context (4.1), risc identificat (6.1), actiune in operare (8.1), verificare la analiza de management (9.3).
Cum stiu ca actiunile mele au functionat?
Aici intervine clauza 9.3. In analiza de management (trimestrial sau semestrial), iei fiecare risc din registru si verifici: a aparut incidentul? daca da, de cate ori? actiunea a redus frecventa? Daca raspunsul e „nu stiu”, auditorul va nota neconformitate, pentru ca eficacitatea nu a fost evaluata.
Fa auditul inainte de auditor
Cel mai greu moment este cand auditorul iti cere sa legi un risc din matrice cu o decizie reala din ultima sedinta de management. Daca nu poti, matricea este un exercitiu formal. Inainte de audit, ia 3 riscuri din registru si intreaba-te: am luat o decizie in ultimele 6 luni care are legatura cu ele? Am masurat daca decizia a functionat?
Daca raspunsul e nu, reconstruieste matricea inainte de vizita. Mai bine un registru scurt si real decat unul lung si inventat. O evaluare de riscuri bine facuta iti salveaza auditul si, mai mult, iti da o harta clara a ce pandeste firma in urmatoarele 12 luni.