W nowej normie ISO 9001:2015 znajdziemy nie tylko podejście procesowe, ale również podejście oparte na ryzyku. W poprzedniej wersji normy ryzyko wpisane było jedynie w działania zapobiegawcze. Obecnie w każdym punkcie normy można odszukać ryzyko, nawet, jeżeli nie mówi się o nim bezpośrednio. Nic dziwnego, że temat wydaje się budzić wśród odbiorców nowej normy duże zainteresowanie.
Najczęściej grupa osób, która zaczyna zajmować się ryzykiem w organizacji i próbuje je zidentyfikować określa zagrożenia, jakie widzi w swoim otoczeniu. Potocznie ryzyko pojmujemy bowiem jako słowo mające jedynie zabarwienie pejoratywne. Gdy zapytamy kogokolwiek czy chciałby, aby w jego życiu wystąpiło ryzyko zawsze otrzymamy odpowiedz przeczącą.
Trzeba sobie uświadomić, że ryzyko, definiowane dla systemów zarządzania, jako wpływ niepewności, zawiera dwie składowe:
Aby poprawnie przeprowadzić analizę ryzyka należy pamiętać, że w normie chodzi o dualistyczne pojmowanie ryzyka.
Gdy już zidentyfikujemy ryzyka, można dokonać ich oceny i podjąć działania. Mogą one uwzględniać:
Nie należy zapominać, że ryzyka powinny być monitorowane i przeglądane.