Kalite yönetim sistemlerinde en çok karıştırılan konulardan biri, ISO 9001’in getirdiği “risk temelli düşünme” ile bağımsız bir standart olan “ISO 31000 Risk Yönetimi” arasındaki bağdır. ISO 9001 belgesi almak için ISO 31000’i uygulamak zorunda mısınız? Yoksa bu iki standart birbirini nasıl destekler?
TS EN ISO 9001:2015 standardının Ek A ve Kaynaklar bölümü, bu ilişkiyi net bir şekilde tanımlar.
1. Zorunluluk Değil, Tercihtir
ISO 9001:2015, kuruluşların risk ve fırsatları belirlemesini ve ele almasını şart koşar (Madde 6.1). Ancak standart, risk yönetimi için formel yöntemler veya dokümante edilmiş bir risk yönetimi prosesi ile ilgili bir şart koşmaz.
Yani, ISO 9001’i uygulamak için ISO 31000 standardını birebir uygulamanız zorunlu değildir. Kuruluş, kendi basit yöntemleriyle de riskleri yönetebilir.
2. Daha Kapsamlı Yönetim İçin Bir Kılavuzdur
Standart, risk yönetimi konusunda esneklik sağlar ancak daha ileri gitmek isteyen kuruluşlara da kapıyı açık bırakır. Ek A.4 maddesinde şu ifade yer alır: “Kuruluşlar, bu standardda istenenden daha geniş kapsamlı bir risk yönetim yöntemi geliştirip geliştirmemeye karar verebilir (örneğin, diğer kılavuz veya standardların uygulanması ile).”.
Burada kastedilen “diğer standart”, ISO 9001’in Kaynaklar bölümünde referans verilen ISO 31000 Risk Yönetimi – Prensipler ve Kılavuzlar standardıdır. Eğer kuruluşunuz risk yönetimini sadece kalite ile sınırlı tutmayıp kurumsal bir risk yönetimi (ERM) seviyesine taşımak isterse, ISO 31000’i bir kılavuz olarak kullanabilir.
3. “Risk Temelli Düşünme” vs. “Risk Yönetimi Çerçevesi”
ISO 9001, “Risk Temelli Düşünme” kavramını kullanır ve bunu proses yaklaşımının (PUKÖ döngüsü) bir parçası sayar. Risk temelli düşünme, sistemin içine sinmiş, sürekli bir zihniyettir.
ISO 31000 ise risk yönetimi için prensipler, bir çerçeve ve bir süreç sağlayan ayrı bir standarttır. ISO 9001 uygulayıcıları, riskleri belirlerken ve analiz ederken ISO 31000’deki sistematik yaklaşımı (Risk tanımlama -> Analiz -> Değerlendirme -> İyileştirme) bir araç olarak kullanabilirler.
4. Ortak Amaç: Belirsizliği Yönetmek
Her iki standardın da temel amacı belirsizliğin etkilerini yönetmektir. ISO 9001, bu belirsizliği “ürün ve hizmet uygunluğu” ve “müşteri memnuniyeti” açısından ele alırken; ISO 31000, organizasyonun tüm hedefleri üzerindeki riskleri kapsar.
——————————————————————————–
Sıkça Sorulan Sorular (SSS)
S1: ISO 9001 denetiminde ISO 31000 sertifikası sorulur mu? Hayır. ISO 9001 denetimlerinde, risklerin belirlendiğine ve ele alındığına dair kanıt aranır (Madde 6.1). Ancak bunun ISO 31000 metodolojisi ile yapılıp yapılmadığı veya ISO 31000 belgesine sahip olunup olunmadığı sorgulanmaz. Standartta ISO 31000 zorunluluğu yoktur.
S2: Risk analizi için hangi yöntemi kullanmalıyız? ISO 9001 belirli bir yöntem (SWOT, FMEA, PESTLE vb.) dayatmaz. Kuruluş, kendi yapısına ve karmaşıklığına uygun herhangi bir yöntemi seçebilir. Ancak daha profesyonel ve yapılandırılmış bir yaklaşım isterseniz, ISO 31000’in önerdiği çerçeveyi kullanabilirsiniz.
S3: ISO 31000’i kullanmak ISO 9001 sürecini zorlaştırır mı? Küçük işletmeler için ISO 31000’in tüm gerekliliklerini uygulamak bürokratik bir yük getirebilir. ISO 9001, risk temelli düşünmenin uygulanmasında esneklik sağlar ve basit yöntemlere izin verir. Ancak büyük ve karmaşık organizasyonlar için ISO 31000 kullanmak, ISO 9001’in risk maddesini karşılamayı kolaylaştırır ve sistematik hale getirir.
S4: ISO 9001 metninde ISO 31000 nerede geçer? Standardın zorunlu şartlar kısmında geçmez. Sadece Kaynaklar (Bibliyografya) bölümünde, kuruluşlara yardımcı olabilecek referans dokümanlar listesinde 19. sırada yer alır.
——————————————————————————–
Sonuç
ISO 9001 ve ISO 31000, “zorunluluk” ilişkisi içinde değil, “destekleyici” bir ilişki içindedir. ISO 9001 “Riskleri yönetin” der; ISO 31000 ise “Eğer profesyonelce yönetmek istersen, işte sana yol haritası” diyen bir dost gibidir.