top of page
isomax - full logo_edited.png

ניהול סיכונים ב-ISO 9001: המדריך המעשי ליישום חשיבה מבוססת סיכונים (Risk-Based Thinking)

  • isomaxqa
  • 31 בדצמ׳ 2025
  • זמן קריאה 7 דקות

בואו נודה על האמת: עבור מנהלים רבים, צמד המילים "ניהול סיכונים" מעורר אחת משתי תגובות – פיהוק עמוק או דופק מואץ. בתעשייה שבה כל יום הוא מאבק בכיבוי שריפות, הישיבה מול טבלאות אקסל בניסיון לחזות את העתיד נראית לעיתים כמו מטלה בירוקרטית מנותקת מהמציאות.

אבל ב-ISOMAX, אחרי 30 שנות ניסיון וליווי של מאות ארגונים, אנחנו רואים את זה אחרת. ניהול סיכונים נכון, בגישת ה-Risk-Based Thinking (חשיבה מבוססת סיכונים) של תקן ISO 9001, הוא לא רק "תעודת ביטוח" למבדק הבא. הוא ההבדל בין מנהל שישן בשקט בלילה לבין מנהל שמתעורר בבהלה מטלפון על משבר בקו הייצור או תלונה חמורה מלקוח אסטרטגי.

במדריך זה, נפרק את המונחים המפוצצים לפרקטיקה פשוטה. נלמד איך בונים סקר סיכונים שלא רק "מרצה את המבקר", אלא אשכרה עוזר לכם לנהל טוב יותר, נבין את הנוסחאות ההנדסיות שמאחורי הקלעים, ונתייחס לעדכון הקריטי של 2024 בנושא שינויי האקלים שמשנה את כללי המשחק.


תוכן עניינים

  • המעבר התפיסתי מ'פעולה מונעת' ל'חשיבה מבוססת סיכונים' (RBT) והמשמעות העסקית

  • המדריך הטכני ליישום סעיף 6.1: זיהוי, הערכה, טיפול ובקרה

  • ארגז הכלים הפרקטי: חיבור בין SWOT (הקשר ארגוני) לבין מטריצת הסיכונים

  • העדכון הקריטי של 2024 (Climate Change Amendment): כיצד לשלב שינויי אקלים בסקר הסיכונים

  • הפיכת הסיכון להזדמנות: כיצד ISOMAX משתמשת בתקן כמנוע לצמיחה והתייעלות עסקית

    המעבר התפיסתי מ'פעולה מונעת' ל'חשיבה מבוססת סיכונים' (RBT) והמשמעות העסקית

  • Transition from Reactive to Proactive Risk Management
    Transition from Reactive to Proactive Risk Management

    אם עבדתם עם גרסאות ישנות של התקן (לפני 2015), אתם בטח זוכרים את המונח "פעולה מונעת" (Preventive Action). זה היה סעיף נפרד, שלעיתים קרובות נזנח עד לרגע האחרון לפני המבדק. השינוי הגדול שהביא איתו תקן ISO 9001:2015 הוא ביטול הסעיף הנפרד הזה והחלפתו בגישה הוליסטית יותר: חשיבה מבוססת סיכונים (Risk-Based Thinking).

    מה זה בעצם אומר?

    במקום "לכבות שריפות" (פעולה מתקנת) או לנסות לנחש איפה תהיה שריפה בסוף השנה (פעולה מונעת), התקן דורש מאיתנו להרכיב "משקפי סיכונים" ולהביט דרכם על כל תהליך בארגון – משלב התכנון ועד האספקה.

    לפי הסבר הוועדה הטכנית של ISO על חשיבה מבוססת סיכונים, הסיכון מוגדר כ"השפעת אי-הוודאות". שימו לב: ההשפעה יכולה להיות שלילית (איום) אך גם חיובית (הזדמנות).

    ההבדל בין הגישה הישנה לחדשה

    • הגישה הישנה (פעולה מונעת): תהליך ריאקטיבי-למחצה או מבודד. "בוא נמלא טופס פעולה מונעת כדי לסגור פינה".

    • הגישה החדשה (RBT): תהליך פרואקטיבי ואינטגרלי. הסיכון הוא חלק מתהליך קבלת ההחלטות. לא קונים מכונה חדשה, לא נכנסים לשוק חדש ולא מגייסים סמנכ"ל בלי לשאול: "מה יכול להשתבש ומה ההשפעה של זה?".

    למה זה טוב לעסק (מעבר לתעודה)?

    1. חיסכון כספי אדיר: טיפול בכשל כשהוא עדיין "על הנייר" זול פי אלף מטיפול בכשל במוצר שנמצא אצל הלקוח (Recall).

    2. תרבות ארגונית בוגרת: עובדים שחושבים סיכונים הם עובדים אחראיים יותר. הם לא פועלים על "אוטומט".

    3. גמישות: ארגון שמכיר את הסיכונים שלו יודע איפה הוא יכול לקחת סיכונים מחושבים כדי לצמוח, ואיפה עליו להיזהר.

      המדריך הטכני ליישום סעיף 6.1: זיהוי, הערכה, טיפול ובקרה

      כעת, בואו נצלול לפרקטיקה. סעיף 6.1 בתקן ISO 9001:2015 דורש מאיתנו לטפל בסיכונים ובהזדמנויות. ב-ISOMAX אנחנו מאמינים בשיטות פשוטות, מדידות וברורות. הנה המודל שלנו, המבוסס על עקרונות הנדסיים ומתודולוגיית FMEA (Failure Mode and Effects Analysis), מותאם לעסקים קטנים ובינוניים.

      שלב 1: זיהוי הסיכונים (Identification)

      אי אפשר לנהל את מה שלא יודעים שקיים. בשלב זה, אוספים את צוותי המפתח (לא עושים את זה לבד בחדר!) ומבצעים סיעור מוחות. שאלות מנחות:

      • מה יכול להשתבש בשרשרת האספקה?

      • האם יש לנו תלות באדם אחד ספציפי (Single Point of Failure)?

      • מה קורה אם המערכת הטכנולוגית נופלת?

      • האם יש רגולציה חדשה שאנחנו לא עומדים בה?

      שלב 2: הערכת הסיכון – הנוסחה (Assessment)

    4. Risk Assessment Matrix Visualization
      Risk Assessment Matrix Visualization

      כדי לא לטבוע בים של דאגות, חייבים לכמת את הסיכון. השיטה הנפוצה והיעילה ביותר היא שימוש במטריצת סיכונים המבוססת על שני משתנים:

      1. חומרה (Severity - S): כמה גרוע זה יהיה אם זה יקרה? (דירוג 1-5, כאשר 5 הוא אסון).

      2. הסתברות (Probability - P): מה הסיכוי שזה יקרה בפועל? (דירוג 1-5, כאשר 5 הוא ודאי).

      נוסחת ציון הסיכון (Risk Priority Number - RPN):

      R = S × P

      לדוגמה:

      • תרחיש א': רעידת אדמה שתחריב את המפעל. חומרה: 5 (קטסטרופה). הסתברות: 1 (נדיר מאוד). ציון: 5.

      • תרחיש ב': טעות בהזנת נתונים עקב עומס פקידותי. חומרה: 3 (בינוני, גורר עיכובים). הסתברות: 4 (קורה לעיתים קרובות). ציון: 12.

      באופן אולי מפתיע, תרחיש ב' דורש טיפול דחוף יותר מתרחיש א'!

      לקריאה מעמיקה על המתודולוגיה ההנדסית, מומלץ להיעזר במדריך לשימוש בשיטת FMEA להערכת סיכונים של האיגוד האמריקאי לאיכות (ASQ).

      שלב 3: הטיפול בסיכון (Treatment) – מודל ה4-T

      The Four Ts of Risk Treatment
      The Four Ts of Risk Treatment

      לאחר שקיבלנו ציונים, נחליט איך לפעול לפי מודל ארבעת ה-T:

      1. Treat (לטפל/להפחית): נקיטת פעולות להורדת ההסתברות או החומרה (למשל: התקנת מערכת גיבוי, הדרכות עובדים).

      2. Tolerate (להכיל/לקבל): אם הציון נמוך, ייתכן שעלות הטיפול גבוהה מהנזק הפוטנציאלי. מחליטים לחיות עם הסיכון.

      3. Transfer (להעביר): גלגול הסיכון לצד שלישי, למשל ע"י רכישת ביטוח או מיקור חוץ (Outsourcing).

      4. Terminate (לחסל/להימנע): שינוי התהליך לחלוטין כדי להעלים את הסיכון (למשל: הפסקת שימוש בחומר גלם מסוכן).

      שלב 4: בקרה במעגל סגור (Control & PDCA)

      סקר סיכונים הוא לא מסמך סטטי ("שגר ושכח"). הוא חייב להיות חלק ממעגל ה-PDCA (Plan-Do-Check-Act).

      • האם הפעולות שנקטנו אכן הורידו את הציון?

      • האם נוצרו סיכונים חדשים בעקבות השינויים?

      לפי הנחיות קבוצת הביקורת (APG) ליישום חשיבה מבוססת סיכונים, המבקרים יחפשו הוכחות לכך שהסקר מתעדכן באופן שוטף, במיוחד לאחר שינויים ארגוניים או אירועי כשל.


      ארגז הכלים הפרקטי: חיבור בין SWOT (הקשר ארגוני) לבין מטריצת הסיכונים

    5. Integrating SWOT Analysis with Risk Management
      Integrating SWOT Analysis with Risk Management

      אחת הטעויות הנפוצות ביותר שאנחנו רואים ב-ISOMAX היא הניתוק בין סעיף 4 (הקשר הארגוני) לסעיף 6 (תכנון וסיכונים). ארגונים מבצעים ניתוח SWOT יפהפה, ממסגרים אותו, ואז בונים טבלת סיכונים שלא קשורה אליו בכלל.

      הסוד ליישום יעיל הוא האינטגרציה:

      1. מ-Weaknesses (חולשות) לסיכונים אופרטיביים: אם ב-SWOT זיהיתם "תלות בספק יחיד" כחולשה, השורה הזו חייבת להופיע בטבלת הסיכונים שלכם.

        • הסיכון: השבתת קו ייצור עקב קריסת ספק.

        • הפעולה: איתור והסמכת ספק משני (Back-up).

      2. מ-Threats (איומים) לסיכונים אסטרטגיים: אם ב-SWOT זיהיתם "כניסת מתחרים זולים מסין" כאיום.

        • הסיכון: אובדן נתח שוק של 20%.

        • הפעולה: פיתוח פיצ'רים ייחודיים שקשה להעתיק (הגדלת הערך).

      3. מ-Opportunities (הזדמנויות) לתוכניות עבודה: התקן דורש להתייחס גם להזדמנויות. אם זיהיתם "מענקי מדינה לחדשנות".

        • ההזדמנות: קבלת מימון לפיתוח.

        • הסיכון (בהחמצה): אי-הגשה בזמן או דחיית הבקשה.

      חיבור זה יוצר "חוט שני" העובר לאורך כל מערכת האיכות שלכם, ומראה למבקר (ולעצמכם) שיש לוגיקה ניהולית ברורה ולא סתם אוסף מסמכים.

      העדכון הקריטי של 2024 (Climate Change Amendment): כיצד לשלב שינויי אקלים בסקר הסיכונים

    6. Climate Change Resilience in Industry
      Climate Change Resilience in Industry

      שנת 2024 הביאה איתה טלטלה קלה אך משמעותית בעולם התקינה. בפברואר 2024, פורסמה הודעה המשותפת של ISO ו-IAF בנושא שינויי אקלים, המחייבת את כל הארגונים המוסמכים לתקני ניהול (כולל ISO 9001, 14001, 45001 ועוד) להתייחס לנושא שינויי האקלים.

      מה השתנה בפועל?

      נוספו שתי הבהרות קריטיות:

      1. בסעיף 4.1 (הבנת הארגון והקשרו): הארגון חייב לקבוע האם שינויי אקלים הם נושא רלוונטי עבורו.

      2. בסעיף 4.2 (הבנת צרכי מחזיקי עניין): הארגון חייב לבדוק האם למחזיקי העניין (לקוחות, רגולטורים, משקיעים) יש דרישות הקשורות לשינויי אקלים.

      איך מיישמים את זה בלי להיכנס לפאניקה?

      חשוב להרגיע: זה לא אומר שאתם חייבים להפוך למפעל ירוק מחר בבוקר או להתקין פאנלים סולאריים אם זה לא רלוונטי לפעילות שלכם. אבל אתם חייבים להראות ששקלתם את הנושא.

      דוגמאות ליישום בסקר הסיכונים:

      • סיכונים פיזיים: האם המחסן שלכם נמצא באזור מועד להצפות? האם גלי חום קיצוניים יכולים להשבית את מערכות הקירור שלכם ולפגוע במלאי רגיש?

      • סיכונים בשרשרת האספקה: האם חומרי הגלם שלכם מגיעים מאזורים שסובלים מבצורת המשפיעה על היבול (למשל בתעשיית המזון או הטקסטיל)?

      • סיכונים רגולטוריים: האם צפוי מיסוי פחמן חדש שייקר את הייצור שלכם?

      בסקר הסיכונים הקרוב שלכם, הוסיפו שורה או קטגוריה ייעודית ל"שינויי אקלים". אם המסקנה היא שאין השפעה – תעדו זאת ("נבחן ונמצא לא רלוונטי כרגע"). התיעוד הוא המפתח.


      שאלות נפוצות (FAQ)

      ❓ מה זה ניהול סיכונים לפי ISO 9001?

      ניהול סיכונים לפי ISO 9001 הוא יישום של Risk-Based Thinking (חשיבה מבוססת סיכונים) בכל תהליכי הארגון. התקן דורש לזהות סיכונים והזדמנויות, להעריך את השפעתם, ולנקוט פעולות מתאימות כחלק מתכנון מערכת האיכות (סעיף 6.1 ISO 9001).


      ❓ האם ניהול סיכונים הוא חובה במבדק ISO 9001?

      כן. ניהול סיכונים הוא דרישת חובה בתקן ISO 9001:2015 ואילך. ארגון שלא יוכל להציג תהליך סדור של זיהוי, הערכה וטיפול בסיכונים – עלול לקבל אי־התאמה במבדק ISO.


      ❓ איך מבצעים סקר סיכונים לפי ISO 9001?

      סקר סיכונים לפי ISO 9001 כולל:

      1. זיהוי סיכונים בתהליכים

      2. הערכת סיכון לפי חומרה והסתברות

      3. קביעת פעולות טיפול

      4. בקרה ועדכון תקופתי

      השיטה הנפוצה היא מטריצת סיכונים (Risk Matrix) או FMEA, אך התקן אינו מחייב מתודולוגיה מסוימת.


      ❓ מה מבקר ISO מחפש בנושא ניהול סיכונים?

      מבקר ISO 9001 בודק:

      • האם הסיכונים קשורים לתהליכים בפועל

      • האם יש תיעדוף סיכונים לפי רמת סיכון

      • האם בוצעו פעולות טיפול

      • האם הסקר מתעדכן לאחר שינויים

      המיקוד הוא ביישום מעשי – לא רק במסמכים.


      ❓ האם חייבים לטפל בכל סיכון שמזהים?

      לא. ISO 9001 מאפשר קבלה מודעת של סיכון כאשר רמת הסיכון נמוכה או כאשר עלות הטיפול גבוהה מהנזק האפשרי. העיקר הוא שההחלטה תהיה מתועדת ומנומקת.


      ❓ איך שינויי אקלים משפיעים על ISO 9001?

      בעדכון 2024, ISO מחייב ארגונים לבחון האם שינויי אקלים רלוונטיים לפעילותם כחלק מהקשר ארגוני וניהול סיכונים. אין חובה לפעולה סביבתית, אך יש חובה לשקול ולתעד סיכונים הקשורים לאקלים.


      ❓ האם ניהול סיכונים ISO 9001 מתאים לארגונים קטנים?

      כן. ניהול סיכונים לפי ISO 9001 מתאים גם לעסקים קטנים ובינוניים. ניתן ליישם אותו בצורה פשוטה, ממוקדת וללא בירוקרטיה, ועדיין לעמוד בדרישות המבדק.

      ❓ כל כמה זמן צריך לעדכן סקר סיכונים?

      יש לעדכן סקר סיכונים ISO 9001:

      • לאחר שינוי תהליך, ספק או רגולציה

      • לאחר תקלה או כשל

      • במסגרת סקר הנהלה

      סקר שאינו מתעדכן נחשב חולשה במבדק.


      ❓ איך ניהול סיכונים תורם מעבר לעמידה בתקן?

      ניהול סיכונים נכון לפי ISO 9001:

      • מפחית כשלים ועלויות

      • משפר קבלת החלטות

      • מחזק אמון לקוחות

      • יוצר יתרון תחרותי

      זהו כלי ניהולי ואסטרטגי – לא רק דרישת תקן.


הפיכת הסיכון להזדמנות: כיצד ISOMAX משתמשת בתקן כמנוע לצמיחה והתייעלות עסקית

בסופו של יום, ניהול סיכונים ב-ISO 9001 הוא כלי.

כשאנחנו מיישמים תהליכי ניהול סיכונים אצל לקוחותינו, אנחנו רואים שוב ושוב איך הפחד הופך לכוח:

  • מאי-וודאות לשליטה: המנהלים מפסיקים להיות מופתעים. כשיש תוכנית מגירה (Contingency Plan) לכל תרחיש סביר, רמת הלחץ בארגון יורדת פלאים.

  • קבלת החלטות מבוססת נתונים: במקום להתווכח בישיבות הנהלה על בסיס "תחושות בטן", מציגים את מטריצת הסיכונים. המספרים מדברים, והתקציבים מופנים למקומות שבאמת מסכנים את הארגון.

  • יתרון שיווקי: לקוחות גדולים ובינלאומיים מעדיפים ספקים שמראים חוסן (Resilience). כשאתם מציגים ללקוח תוכנית המשכיות עסקית המבוססת על סקר סיכונים מעמיק, אתם משדרים אמינות ומקצועיות ברמה אחרת.

לסיכום, אל תתנו לטבלאות להפחיד אתכם. אמצו את הגישה של "חשיבה מבוססת סיכונים" ככלי אסטרטגי. התחילו בזיהוי הפערים, השתמשו בנוסחאות הפשוטות כדי לתעדף, ואל תשכחו את עדכוני האקלים החדשים.


צריכים עזרה להפוך את הבירוקרטיה לאסטרטגיה? הצוות של ISOMAX כאן עם הניסיון, הכלים והגישה הפרקטית שתעשה לכם סדר. לייעוץ ראשוני ללא עלות לחצו כאן

 
 
 

תגובות

bottom of page
כלי נגישות
100%
0px
0px