CE INSEAMNA ANALIZA DE RISC CERUTA DE NOILE STANDARDE ISO

9001:2015, ISO 14001:2015?

ISO 9001:2015 , ca si ISO 14001:2015, se alineaza Anexei SL emisa de ISO in anul

2012. O cerinta absolut noua in noua versiune a celor doua standarde este cea legata
de riscurile organizatiei. Exista si alte cerinte dar in acest articol o sa tratam doar aceste
aspecte , intrucat sunt cele mai importante si mai dificil de inteles de majoritatea
organizatiilor certificate ISO 9001 si ISO 14001. Articolul propune doar o abordare ce ar
trebui sa fie acceptata de catre auditorii organismelor de certificare dar mai pot fi si
altele.

Noua abordare de a face business in marile companii este cea bazata pe conceptul de
„Risk Governance”. Acest concept se refera la faptul ca resursele companiei (ex:
oameni, financiare, timp) precum si actiunile/prioritatile acesteia de business se aloca,
respectiv se iau, in functie de riscurile de business la care compania se expune in
contextul sau.

Ce inseamna context organizational?

Standardele ISO definesc contextul organizational ca fiind totalitatea factorilor care

influenteaza pozitiv si negativ activitatile organizatiei respective. Aici standardul ISO
9001:2015 dar si ISO 14001:2015 disting doua categorii de factori: cei interni (care
provin din interiorul organizatiei) si cei externi(care provin din exteriorul acesteia).

Factorii interni sau aspectele interne sunt reprezentati(e) de tipul de procese specifice
din cadrul organizatiei, modul de organizare (fluxuri informationale si de lucru, structuri
ierarhice), cultura organizationala, obiective impuse de management, competentele
angajatilor, particularitati ce tin de infrastructura utilizata etc.

Factorii externi sau aspectele externe sunt reprezentati(e) de profilul si numarul

furnizorilor de servicii (inclusiv personal colaborator) cu care organizatia lucreaza,
legislatia si cerintele de reglementare specifice, cerinte de la clienti si tipologia
acestora, aspecte ce tin de zona geografica in care organizatia activeaza.

Ce trebuie sa faca o companie certificata ISO 9001:2008 si/sau ISO 14001:2004

pentru a putea implementa noile cerinte de tranzitie la ISO 9001:2015 si/sau ISO
14001:2015 ?

Noile standarde au venit cu cateva cerinte noi fata de versiunile anterioare, dar cele mai
importante cerinte sunt cele referitoare la abordarea riscurilor.

Pentru a putea face tranzitia la noile standarde, organizatiile trebuie sa isi identifice
riscurile de business pe baza contextului organizational. Primul pas ce trebuie realizat
dupa identificarea contextului specific este identificarea riscurilor si analiza lor.

Simplu de spus, dar ce riscuri ce trebuie identificate? O sa luam ca exemplu ISO

9001:2015. Pentru Sistemul de Management al Calitatii sunt importante riscurile care
tin de non-calitatea serviciilor/produselor organizatiei. Adica acele riscuri pe care
organizatia le are, in contextul in care functioneaza, si care pot influenta negativ
serviciile / produsele acesteia.

Ca exemplificare, in analiza de risc specifica ISO 9001:2015 ar trebui sa se regaseasca

identificate urmatoarele riscuri:

– Neatingerea nivelului dorit al satisfactiei clientilor. Pentru acest risc trebuie identificati
factorii (ex: amenintarile si vulnerabilitatile organizatiei) care ar putea conduce la
aparitia lui.

– Cresterea numarului de produse defecte ce se fabrica

– Aparitia unui numar mare de reclamatii din partea clientilor/furnizorilor

– Neindeplinirea cerintelor contractuale privind serviciile/produsele organizatiei conform

specificatiilor clientilor

– Neincadrarea in parametrii de performanta a serviciilor/produselor organizatiei

Pentru ISO 14001:2015 este important sa se identifice riscuri precum:

– Aparitia unui incident/accident care ar duce la poluarea mediului

– Lipsa de conformare cu cerintele legale si eventual, amendarea organizatiei de catre

autoritatile competente

– Gestionarea necorespunzatoare a deseurilor (efectele ei)

Daca presupunem ca aceste riscuri au fost identificate, organizatia trebuie sa isi „ia”
niste masuri de prevenire/contracarare ale aparitiei acestor riscuri. Pot fi mai multe
masuri ce trebuie luate pentru a diminua (mitiga) un anumit risc. Important este ca
organizatia sa poata demonstra, in cazul unui audit de tranzitie, ca a depus toate
eforturile pentru a reduce nivelul riscului de la valoarea initiala la o valoare acceptata de
catre management sau proprietarii de risc desemnati de catre conducerea organizatiei.
Acest proces de reducere a nivelului initial al riscului la o valoare tolerabila de catre
organizatie se poate realiza prin aplicarea metodei celor „4T”:

– Tratare cu actiuni specifice,

– Transfer (ex: incheierea unei polite de asigurare sau externalizarea unui proces sau
unei activitati),

– Tolerare (nu exista actiuni ce se pot intreprinde pentru prevenirea aparitiei riscului dar
organizatia poate crea un plan de actiune care sa fie testat si aplicat atunci cand apare
riscul, in scop corectiv, in vederea diminuarii consecintelor si a impactului). Aici ne
referim la riscuri care tin de calamitati naturale care nu pot fi prevenite dar fara a ne
limita la acestea.

– Terminare (organizatia renunta complet la o activitate/resursa care ii introduce riscul

respectiv). Mai rar dar se poate intampla…
Ce urmareste un auditor de sisteme de management atunci cand realizeaza un
audit de tranzitie la noile standarde ISO 9001:2015 respectiv ISO 14001:2015 ?

In primul rand auditorul urmareste daca organizatia si-a identificat corect si complet
contextul. Ulterior, daca pe baza contextului, si-a identificat riscurile calitatii/de mediu si
daca pentru fiecare risc a identificat si aplicat o serie de actiuni de contracarare (ex:
metoda celor „4T” explicata mai sus). Va mai urmari trasabilitatea cu obiectivele
organizatiei si politica in domeniul calitatii si/sau de mediu. Este posibil ca programul de
obiective anual si/sau politica sa fie influentate de riscurile si masurile de contracarare
identificate. Acest lucru inseamna ca organizatia a adoptat conceptul de „Risk
Governance” si l-a integrat in SMC respectiv SMM (implicit in procesele de business).

Nu este o cerinta a standardelor ca riscurile identificate sa fie si reduse complet sub un

nivel de prag (definit si acceptat de catre management). Important este ca organizatia
sa demonstreze ca si-a identificat corect riscurile specifice SMC/SMM si le tine sub
control.

In mod normal, neconformitati pot fi identificate atunci cand organizatia nu

demonstreaza o trasabilitate intre context, analiza riscurilor, masurile de
tratare/contracarare ale riscurilor, Politica si obiective. Mai pot fi identificate
neconformitati evident si atunci cand lipsesc unele din elementele de mai sus.

In mod normal auditorii externi (din partea organismelor de certificare) nu ar trebui sa

„dea” neconformitati ci doar niste „recomandari de imbunatatire” atunci cand lipsesc
anumite riscuri punctuale daca organizatia demonstreaza ca are implementat tot fluxul
de analiza-tratare al riscului si le tine sub control in mod adecvat si daca procesul este
documentat si trasabil. Dar depinde de la caz la caz…