ISO 9001:2015 revizyonu ile hayatımıza giren “Risk Temelli Düşünme”, sadece bir Excel tablosu doldurup rafa kaldırmak değildir. Denetçiler artık “Risk listeniz nerede?” sorusundan ziyade, “Bu risk için aldığınız önlemin işe yaradığını bana nasıl kanıtlarsınız?” sorusunu sormaktadır.
Standarda göre, risk ve fırsatları belirlemek için yürütülen faaliyetlerin etkinliğini analiz etmek ve değerlendirmek bir zorunluluktur. İşte bir denetimde bu etkinliği kanıtlamanın 4 somut yolu.
1. Veri Analizi ve Performans Değerlendirme (Madde 9.1.3)
Etkinliğin en güçlü kanıtı veridir. Standart, izleme ve ölçmeden gelen verilerin analiz edilmesini ve bu analizin “risk ve fırsatları belirlemek için yürütülen faaliyetlerin etkinliğini” değerlendirmek için kullanılmasını ister.
• Kanıt Örneği: Diyelim ki “Tedarikçi Gecikmesi” riskine karşı “Stok miktarını %10 artırma” önlemi aldınız. Denetimde sunacağınız kanıt, sadece stok artış talimatı değildir. Kanıt; stok artışından sonra üretim duruşlarının azaldığını veya sevkiyatların zamanında yapıldığını gösteren performans grafiğidir.
• Denetçi Bakışı: “Önlem almışsınız, peki sonuç ne oldu? İyileşme var mı?”
2. Yönetimin Gözden Geçirmesi (YGG) Tutanakları (Madde 9.3.2)
Risk yönetimi, üst yönetimin radarında olmalıdır. Standardın 9.3.2 (e) maddesi, yönetim gözden geçirme toplantılarında **”risk ve fırsatların belirlenmesi için gerçekleştirilen faaliyetlerin etkinliği”**nin ele alınmasını zorunlu kılar.
• Kanıt Örneği: YGG toplantı tutanağında, “Risk Yönetimi” başlığı altında; alınan önlemlerin başarıya ulaşıp ulaşmadığının konuşulduğuna dair notlar ve kararlar bulunmalıdır.
• Denetçi Bakışı: “Genel Müdür bu risklerin yönetilip yönetilmediğini takip ediyor mu?”
3. Proseslere Entegrasyon ve Operasyonel Kanıtlar (Madde 6.1.2)
Riskler kağıt üzerinde yönetilmez, sahadaki işleyişin içinde yönetilir. Kuruluş, risk faaliyetlerini kalite yönetim sistemi prosesleri içerisine entegre etmeli ve uygulamalıdır.
• Kanıt Örneği:
◦ Bir “Hatalı Üretim” riski için “Personel Eğitimi” planladıysanız; kanıtınız Eğitim Katılım Formu ve sonrasındaki Hata Oranı Raporudur.
◦ Bir “Veri Kaybı” riski için “Yedekleme” planladıysanız; kanıtınız alınan Server Yedekleme Loglarıdır.
• Denetçi Bakışı: “Risk tablosunda yazdığınız aksiyonu (talimat değişikliği, eğitim, bakım vb.) sahada gerçekten uyguladınız mı?”
4. Düzeltici Faaliyetler ve Risk Güncellemeleri (Madde 10.2)
Hiçbir risk analizi mükemmel değildir. Bazen öngörülemeyen bir risk gerçekleşir veya alınan önlem yetersiz kalır. Standart, bir uygunsuzluk oluştuğunda “gerektiğinde, planlama esnasında tespit edilen risk ve fırsatların güncellenmesini” ister.
• Kanıt Örneği: Bir müşteri şikayeti veya üretim hatası (uygunsuzluk) yaşandığında, sadece hatayı düzeltmekle kalmayıp risk analiz tablonuzu da revize ettiğinizi göstermek, sistemin yaşadığının en büyük kanıtıdır. “Bu riski öngörmemiştik, şimdi listeye ekledik ve yeni önlem aldık” demek güçlü bir kanıttır.
——————————————————————————–
Sıkça Sorulan Sorular (SSS)
S1: Risk etkinliğini kanıtlamak için ayrı bir form gerekli mi? Hayır. Standart, risk yönetimi için “dokümante edilmiş bir proses” veya belirli bir form dayatmaz. Etkinlik kanıtı; mevcut YGG raporları, veri analiz grafikleri veya düzeltici faaliyet formları üzerinde gösterilebilir. Ancak birçok firma, risk analiz tablolarına “Faaliyet Sonucu / Etkinlik Değerlendirmesi” sütunu ekleyerek takibi kolaylaştırır.
S2: Alınan her risk önlemi %100 başarılı olmak zorunda mı? Hayır. Risk yönetimi bir tahmin ve önlem sanatıdır. Aldığınız önlem işe yaramamış olabilir. Denetçi için önemli olan, işe yaramadığını fark etmiş olmanız (analiz etmeniz) ve yeni bir aksiyon planlamanızdır.
S3: Risk etkinliği ne sıklıkla değerlendirilmeli? Standart kesin bir süre vermez ancak Madde 9.1.1 gereği kuruluş izleme, ölçme, analiz ve değerlendirmenin ne zaman yapılacağını tayin etmelidir. Genellikle Yönetimin Gözden Geçirmesi toplantıları öncesinde (yılda en az bir kez) veya büyük değişikliklerde değerlendirme yapılması önerilir.
S4: Risk analizi sadece Kalite departmanının işi midir? Hayır. Riskler tüm proseslere entegre edilmelidir. Satın alma risklerinin etkinliğini Satın Alma Müdürü, üretim risklerini Üretim Müdürü takip etmelidir. Denetimlerde ilgili birim sorumlusunun kendi risklerinin durumunu bilmesi beklenir.
S5: “Riskten Kaçınma” kararı aldıysak etkinliği nasıl kanıtlarız? Eğer bir faaliyeti yapmaktan vazgeçerek (Riskten kaçınma) risk yönetimi yaptıysanız, kanıtınız o faaliyeti yapmadığınızı gösteren kararlar veya o riskin hiç gerçekleşmediğine dair verilerdir.
——————————————————————————–
Sonuç
ISO 9001 denetimlerinde risk yönetimi başlığı altında “Riskleri belirledik, puanladık ve dosyaladık” demek yeterli değildir. “Bu önlemi aldık ve sonucunda hatamız %50 azaldı” diyebilmek, standardın aradığı gerçek etkinlik kanıtıdır.