La ultimul audit de supraveghere, auditorul a intrebat responsabilul de calitate dintr-o firma de productie metalica cu 22 de angajati: „Aratati-mi cum ati identificat riscurile pentru procesul de aprovizionare.” Responsabilul a deschis un tabel Excel cu 4 riscuri generice, copiate de pe internet. Auditorul a notat neconformitate minora.
Clauza 6.1 din ISO 9001 cere fiecarei organizatii sa identifice riscurile si oportunitatile care pot afecta sistemul de management al calitatii. Nu exista o metoda impusa, dar trebuie sa demonstrezi ca ai gandit sistematic, nu formal.
Intelege ce cere clauza 6.1
Standardul SR EN ISO 9001:2015 cere trei lucruri concrete la clauza 6.1:
- sa determini riscurile si oportunitatile care trebuie abordate (tinand cont de contextul organizatiei si de partile interesate)
- sa planifici actiuni pentru tratarea lor
- sa evaluezi eficacitatea actiunilor luate
Nu cere o procedura documentata. Nu cere un registru formal de riscuri. Nu cere sa aplici ISO 31000 sau alta metodologie specifica. Actiunile trebuie sa fie proportionale cu impactul potential asupra conformitatii produselor si serviciilor tale.
Ce inseamna asta practic? Daca ai un SRL cu 8 angajati care face montaj instalatii, un tabel simplu in Excel e suficient. Daca ai o fabrica cu 150 de oameni si exporți in UE, ai nevoie de ceva mai structurat.
Conecteaza analiza SWOT cu registrul de riscuri
Cele mai multe firme fac analiza de context (clauza 4.1) si se opresc acolo. Auditorul vrea sa vada cum treci de la context la actiune.
Procesul arata asa:
- Ia punctele slabe si amenintarile din analiza SWOT
- Transforma fiecare punct intr-un risc concret (ce s-ar putea intampla?)
- Evalueaza probabilitatea si impactul
- Decide ce faci: accepti, reduci, eviți sau transferi riscul
- Stabileste responsabil si termen
Exemplu: daca ai identificat la SWOT „dependenta de un singur furnizor de tabla”, riscul devine „intreruperea aprovizionarii din cauza unui singur furnizor, cu impact direct asupra termenelor de livrare”. Actiunea: calificarea unui al doilea furnizor pana la sfarsitul trimestrului.
Foloseste o matrice de risc adaptata firmei tale
O matrice 5x5 e buna pentru organizatii mari. Pentru un IMM, o matrice 3x3 e suficienta si mai usor de intretinut.
| Probabilitate / Impact | Mic (1) | Mediu (2) | Mare (3) |
|---|---|---|---|
| Ridicata (3) | 3 | 6 | 9 |
| Medie (2) | 2 | 4 | 6 |
| Scazuta (1) | 1 | 2 | 3 |
Scorul se calculeaza: probabilitate x impact. Riscurile cu scor 6 sau 9 necesita actiuni imediate. Cele cu scor 3-4 se monitorizeaza. Cele cu scor 1-2 se accepta.
Nu complica matricea cu 5 niveluri daca nu ai capacitatea sa diferentiezi intre „probabilitate scazuta” si „probabilitate foarte scazuta”. Auditorii apreciaza o matrice simpla folosita real, nu una complexa ignorata.
Identifica riscuri concrete pe fiecare proces
Riscurile generice nu ajuta pe nimeni. Iata exemple reale, grupate pe procese tipice dintr-un SMC.
In aprovizionare, riscurile frecvente sunt: furnizor care livreaza cu intarziere, materie prima neconforma, cresterea preturilor care afecteaza marjele pe contractele fixe.
In productie: echipament vechi cu defectiuni frecvente, lipsa personalului calificat pe schimbul 2, nerespectarea parametrilor de proces.
In vanzari: pierderea unui client care genereaza peste 30% din cifra de afaceri, oferte depuse fara analiza completa a cerintelor, penalitati pe contracte din cauza intarzierilor.
In zona de resurse umane: plecarea operatorilor cu experienta, lipsa instruirii pe proceduri actualizate, fluctuatie mare pe pozitiile din productie.
Un SRL cu 15 angajati care produce confectii metalice si participa la licitatii pe SEAP ar putea avea un registru cu 12-15 riscuri. Nu 50, nu 3. Pentru un model complet de registru cu scoring si exemple pe industrii, citeste modelul de registru de riscuri ISO 9001.
Pregateste-te pentru ce verifica auditorul
Auditorii nu cauta un document perfect. Cauta dovezi ca gandirea bazata pe risc functioneaza in organizatie. Intrebarile tipice:
- „Cum ati identificat aceste riscuri? Cine a participat?”
- „Ce actiuni ati luat pentru riscurile cu scor mare?”
- „Evaluati periodic daca actiunile au fost eficace?”
- „Riscurile s-au schimbat de la ultimul audit?”
Ce produce neconformitati: riscuri copiate de pe internet fara legatura cu activitatea reala a firmei, lipsa oricarei dovezi de monitorizare, actiuni planificate dar niciodata implementate, registrul de riscuri neactualizat de la certificarea initiala.
Analiza de management (clauza 9.3) trebuie sa includa o evaluare a eficacitatii actiunilor privind riscurile. Daca in minuta de analiza nu apare nicio referire la riscuri, auditorul va nota acest lucru.
Tine cont de revizuirea ISO 9001:2026
ISO 9001:2026, al carui draft (DIS) a fost publicat in august 2025, aduce cerinte mai clare privind managementul riscurilor. Publicarea finala este asteptata in septembrie 2026, cu o perioada de tranzitie de 3 ani.
Printre modificarile relevante: o distinctie mai clara intre actiunile de tratare a riscurilor si cele de urmarire a oportunitatilor, precum si integrarea analizei schimbarilor climatice in contextul organizatiei. Daca iti construiesti acum un registru de riscuri solid, tranzitia va fi simpla.
Pentru detalii despre managementul riscului conform ISO 31000, poti folosi acel cadru ca referinta metodologica, dar nu e obligatoriu pentru ISO 9001.
Intrebari frecvente
ISO 9001 cere o procedura documentata de evaluare a riscurilor?
Nu. Clauza 6.1 nu impune o procedura documentata si nici un registru formal. Trebuie sa demonstrezi ca ai identificat riscurile si ai planificat actiuni, dar formatul e la alegerea ta.
Ce legatura e intre gandirea bazata pe risc si auditul intern?
Auditul intern verifica daca actiunile de tratare a riscurilor au fost implementate si daca sunt eficace. Programul de audit poate fi planificat pe baza nivelului de risc al fiecarui proces.
Trebuie sa folosesc ISO 31000 pentru riscurile din ISO 9001?
Nu. ISO 31000 e un standard de referinta, nu o cerinta. Poti folosi orice metoda: matrice simpla, SWOT extins, brainstorming documentat. Metoda trebuie sa fie potrivita dimensiunii firmei tale.
Cate riscuri ar trebui sa am in registru?
Depinde de complexitatea organizatiei. Un IMM cu 10-20 de angajati poate avea 10-15 riscuri relevante. O organizatie cu 200+ angajati si mai multe locatii poate avea 30-50. Nu exista un numar minim sau maxim impus de standard.