Превентивните мерки, кои се елиминирани со последната ревизија на меѓународниот стандард, наложуваа дека организацијата треба да одреди мерки кои ќе ги елиминираат потенцијалните неусогласености со стандардот со цел да се спречи нивното настанување и превентивни акции кои треба да бидат соодветни на ефектот кој би го имале потенцијалните проблеми.
На нивно место во новиот ISO 9001:2015 се појавува концептот ризик. Ризик е ефектот на несигурност на очекуван резултат и самиот концепт на анализирање на база на ризик отсекогаш бил имплицитно опфатен во ISO 9001.
Новиот стандард анализата на база на ризик или донесувањето одлуки на база на ризик, како што се среќава во терминологијата, ја прави експлицитна и ја вметнува во барањата од стандардот. Со пристапот на база на ризик ќе се стават на мерило опасностите и можностите од ризикот, и врз основа на нивна анализа, раководството ќе си помогне да ја насочи организацијата кон цели кои се достижнии за секој оддел на организацијата.
Барање на ISO 9001:2015 е организацијата да го разбере контекстот и да ги одреди ризиците и можностите кои треба да се разгледаат. Иако ризиците и можностите мораат да бидат одредени и решени, стандардот не пропишува конкретна методологија за управување со ризиците и можностите во организацијата.
За управување со ризиците и можностите, ИСО Консалтинг ви нуди практичен и систематски пристап основан на SMEA методот кој се состои од 7 чекори:
Идентификацијата на ризиците и можностите најдобро се врши со Brainstorming, 6-3-5 или SWOT анализи и сите наоди треба да бидат документирани. Потребно е да учествуваат претставници од сите оддели на организацијата со цел ниеден ризик да не биде запоставен.
Анализа на ризиците и можностите се врши по критериуми кои ги задава организацијата, се одредуваат влијанието од ризикот и веројатноста за негова појава.
На основа на анализата на ризиците, организацијата ја одредува вредноста на ризикот и одредува приоритети за третирање.
Организацијата изготвува план за третирање на ризикот. Опциите за третирање на ризикот се: модификација, задржување, избегнување и поделба на ризикот.Примерот е даден за ББ Компјутери за продажба и сервис на компјутери:
Со прифаќање на планот за третирање на ризиците, се пристапува кон имплементација на активностите пропишани во истиот. За ризиците кои ќе бидат задржани, мора да се воспостави документирана информација, најчесто во облик на одлука од раководството.
Организацијата мора на определени временски интервали да ги преиспитува и по потреба да врши промени на активностите за третирањето на ризиците, со цел да се осигури во успешноста на истите.
Еднаш воспоставените начините на третирање на ризикот и нивното постојано преиспитување, ќе доведе до позитивни резултати и постојано подобрување за организацијата.
Со прифаќање на анализа врз база на ризик, организацијата станува проактивна наместо чисто реактивна, се врши превенција и намалување на непосакуваните ефекти, како и постојано подобрување. Шансите за исполнување на зацртаните цели се подобруваат, аутпутите се постојани и клиентите се сигурни дека ќе ги добијат очекуваните производи и услуги.