Orice organizație certificată ISO 9001 este obligată să identifice riscuri și oportunități, conform clauzei 6.1 din standard. ISO 31000 este ghidul care oferă un cadru structurat pentru asta, aplicabil oricărei firme, indiferent de dimensiune sau domeniu.
ISO 31000:2018, publicat de ISO și adoptat în România ca SR ISO 31000 prin ASRO, nu este un standard certificabil. Este un ghid de bune practici. Nu primești un certificat la final, dar primești un sistem clar prin care identifici, evaluezi și tratezi riscurile care pot afecta obiectivele organizației tale.
Ce conține ISO 31000?
Standardul are trei componente.
Principiile (8 în total) explică de ce faci managementul riscului: integrare în toate activitățile organizației, abordare structurată și proporțională, implicarea părților interesate, considerarea factorilor umani și culturali.
Cadrul organizațional stabilește cum organizezi procesul: politici scrise, responsabilități atribuite, resurse alocate, integrare în structura existentă a firmei.
Procesul descrie ce faci concret: identificarea riscurilor, analiza lor, evaluarea, tratarea și monitorizarea continuă.
ISO 31000 definește riscul ca „efectul incertitudinii asupra obiectivelor”. Nu vorbim doar de riscuri negative. Un risc poate fi și o oportunitate ratată sau o decizie luată fără suficiente informații.
Cum implementezi ISO 31000 în 5 pași?
1. Stabilește contextul organizației
Identifică factorii interni (resurse, competențe, procese) și externi (piață, legislație, furnizori) care generează incertitudine. Dacă ai deja o analiză de context conform ISO 9001, poți porni de acolo.
2. Creează registrul de riscuri
Registrul de riscuri este documentul central. Pentru fiecare risc notat, completezi:
- Descrierea riscului (ce se poate întâmpla)
- Cauza probabilă
- Impactul asupra obiectivelor (scor de la 1 la 5)
- Probabilitatea de apariție (scor de la 1 la 5)
- Nivelul riscului (impact x probabilitate)
- Măsura de tratare propusă
- Responsabilul
Un SRL cu 25 de angajați din domeniul producției mecanice ar putea identifica 15-20 de riscuri. Dintre acestea, 3-4 vor avea scor ridicat (peste 15 din 25) și necesită acțiuni imediate. De exemplu: dependența de un singur furnizor de materie primă (impact 5 x probabilitate 4 = 20) se tratează prin identificarea a cel puțin doi furnizori alternativi, cu termene și prețuri validate.
3. Definește opțiunile de tratare
ISO 31000 oferă mai multe variante de tratare:
- Evitarea riscului (renunți la activitatea care generează riscul)
- Reducerea probabilității sau a impactului (acțiuni preventive)
- Transferul riscului (asigurare, externalizare)
- Acceptarea riscului (dacă nivelul este tolerabil)
Nu e necesar să elimini toate riscurile. Unele le accepți conștient, cu condiția să le monitorizezi.
4. Atribuie responsabilități și termene
Fiecare risc din registru are un responsabil. Acea persoană răspunde de implementarea măsurii de tratare și de raportarea periodică. Fără responsabilități clare, registrul de riscuri rămâne un document formal pe care nimeni nu îl mai deschide după audit.
5. Monitorizează și actualizează
Revizuirea registrului de riscuri se face cel puțin trimestrial. La fiecare revizuire verifici dacă:
- Riscurile identificate anterior și-au schimbat nivelul
- Au apărut riscuri noi
- Măsurile de tratare funcționează
Această revizuire se poate integra în analiza de management existentă.
Cine are obligația legală de a face managementul riscurilor?
Instituțiile publice din România au obligația de a implementa managementul riscurilor conform OSGG 600/2018 (Ordinul Secretarului General al Guvernului). Standardul 8 din acest ordin impune identificarea, evaluarea și tratarea riscurilor la nivel de compartiment, cu centralizarea într-un registru de riscuri la nivelul entității.
Pentru companiile private, managementul riscurilor nu este obligatoriu prin lege. Dar dacă ai certificare ISO 9001, clauza 6.1 îți cere să demonstrezi că ai identificat riscurile și oportunitățile care pot afecta sistemul de management al calității. ISO 31000 îți oferă metoda prin care faci asta sistematic.
Firmele care participă la licitații publice sau accesează fonduri europene au un avantaj suplimentar: un sistem de management al riscului documentat arată evaluatorilor că organizația gestionează incertitudinile în mod structurat.
Întrebări frecvente
ISO 31000 se certifică?
Nu. ISO 31000 este un standard-ghid. Nu există organisme de certificare care emit certificate ISO 31000. Poți urma cursuri de specialist în managementul riscului (prețuri între 985 și 1.350 lei + TVA), dar standardul în sine se implementează, nu se certifică.
Ce legătură are ISO 31000 cu ISO 9001?
ISO 9001:2015 a introdus gândirea bazată pe risc ca cerință (clauza 6.1), dar nu impune o metodologie specifică. ISO 31000 este ghidul recomandat pentru organizațiile care vor o abordare mai structurată a riscurilor din sistemul de management al calității. Pentru o aplicare practică a gândirii bazate pe risc direct în contextul ISO 9001, cu matrice de scor și exemple pe procese, citește ghidul de evaluare a riscurilor ISO 9001.
Cât durează implementarea?
Pentru o firmă cu 20-50 de angajați, implementarea de bază (registru de riscuri, procedură, primele revizuiri) durează 2-4 săptămâni. Cu ajutorul unui consultant, se poate comprima la 1-2 săptămâni. Costul consultanței variază între 3.000 și 8.000 lei, în funcție de complexitatea organizației.