ISO/IEC 17025 Madde 8.5 — Risk ve Fırsat Yönetimi, ISO 31000 ile Birleşimi

ISO/IEC 17025:2005 'preventive action' (önleyici faaliyet) maddesi vardı — uygulamada zayıf kalıyordu, denetçi 'siz nasıl önlüyorsunuz' sorduğunda çoğu lab boş bakıyordu. 2017 revizyonu bu maddeyi kaldırdı, yerine 'risk-based thinking' getirdi. Annex SL HLS yapısında tüm yönetim sistemi standartları (ISO 9001, 14001, 45001, 27001, 17025) ortak risk yaklaşımına geçti. Felsefe: 'risk her zaman olacak, kabul edilen seviye + tedbir + iyileşme döngüsü yönetim'. Bu yaklaşım ISO 31000:2018 risk yönetimi rehberi ile uyumlu.

Standart şart koşar: 'Laboratuvar, risk ve fırsatları ele almak için planlama yapmalıdır.' Bu pratikte 4 adım: (a) Riskleri ve fırsatları tanımla (risk identification — yaygın araç: brainstorming, SWOT, HAZOP), (b) Risk-fırsat değerlendir (risk analysis + evaluation), (c) Aksiyon planla (risk mitigation strategies — avoid, transfer, mitigate, accept), (d) Aksiyon entegre et yönetim sistemine. Risk register tutulur — Excel'den özel yazılıma her seviye kabul edilir, içerik standart: risk ID, kategori, açıklama, olasılık, etki, skor, sahip, aksiyon, takip tarih.

Madde 4.1 laboratuvarın tarafsızlığını zorunlu kılar. Tarafsızlık riskleri kaynakları: (a) Sahiplik — laboratuvar üreten firmaya ait mi (test ettiği ürünü üreten firmaya), (b) Ticari baskı — patron 'bu sonucu kabul ettir' baskısı, (c) Finansal — gelirin %X'i tek müşteriden, (d) Personel — analist sınava giren öğrencinin akrabası, (e) Pazarlama — laboratuvar denetlediği firmaya pazarlama danışmanlığı veriyor mu. Bu risklerin değerlendirmesi düzenli yapılır, kontrol önlemleri (komite, ikinci imza, rotasyon, dış denetim) uygulanır. Kontrol önlemleri yetersizse akreditasyon askıya alınır.

Laboratuvar operasyonel risk 6 ana kategoride: (1) Ekipman riski — bozulma, kalibrasyon kayması, ömür sonu. (2) Personel riski — kaybetme, eğitim eksikliği, sağlık. (3) Tedarikçi riski — kalibrasyon servis, reagent, cihaz parçası. (4) IT riski — siber saldırı, veri kaybı, sistem kesinti. (5) Çevresel risk — yangın, sel, deprem, salgın. (6) Mali risk — likidite, müşteri kaybı, fiyat baskısı. Her kategoride 3-5 spesifik risk, toplam 18-30 risk register'da. Yıllık güncellenir, üst yönetim onaylar.

Yaygın araç 5x5 risk matrisi: Olasılık (1-5: çok düşük → çok yüksek) × Etki (1-5: ihmal edilebilir → felaket). Risk skoru = O × E (1-25). Yorum: 1-5 'düşük' (kabul edilebilir), 6-12 'orta' (kontrol önlemi gerekir), 13-25 'yüksek' (acil aksiyon zorunlu). Risk iştahı (risk appetite) üst yönetim tarafından belirlenir — örn. 'orta üstü riskler kabul edilmez, mitigation şart'. Matris birden fazla boyutta yapılabilir: mali etki + reputasyon etki + operasyonel etki ayrı ayrı, en yüksek skor alınır.

Failure Mode and Effects Analysis 1949 ABD ordusunda doğdu, 1960'larda NASA Apollo programıyla yaygınlaştı. Otomotivde AIAG-VDA FMEA Handbook 4th Edition standart. Laboratuvarda kullanımı: her metod/proses için potansiyel arızalar listelenir, her arızanın Severity (1-10) + Occurrence (1-10) + Detection (1-10) puanı verilir, RPN (Risk Priority Number) = S × O × D (1-1000). RPN > 100 yüksek öncelik, mitigation gerekir. Örn. 'pipet kalibrasyonsuz' arızası: S=8 (sonuç yanlış), O=4 (3 ayda bir olabilir), D=7 (zor fark edilir) → RPN=224, yüksek. Aksiyon: kalibrasyon periyodu kısalt + double-check prosedürü.

Madde 8.5 sadece 'risk' değil 'fırsat' da der. Fırsatlar 4 kategori: (a) Yeni metod/teknoloji — örn. kütle spektrometresi alımı yeni hizmet pazarı açar. (b) Yeni müşteri segmenti — örn. ihracatçı gıda firmaları için akredite analiz. (c) Otomasyon — manuel sürecin LIMS ile yarı süreye düşmesi. (d) Stratejik ortaklık — diğer laboratuvarla cross-referral. Fırsat değerlendirme aynı matrisle (Olasılık × Fayda), risk register'da pozitif yön. Üst yönetim yılda 2 kez fırsat portföyünü gözden geçirir.

ISO 31000:2018 risk yönetiminin 'çerçeve standardı' (sertifika verilmez, rehber niteliğinde). 8 prensip: entegre, yapılandırılmış, özelleştirilmiş, kapsayıcı, dinamik, en iyi mevcut bilgi, insan/kültür faktörü, sürekli iyileşme. Çerçeve (framework): liderlik + uygulamaya entegre + planlama + uygulama + değerlendirme + iyileşme. Süreç (process): kapsam belirleme + risk değerlendirme (identification + analysis + evaluation) + risk treatment + monitoring + recording + communication. 17025 8.5 maddesinin ruhu 31000'in operasyonelleşmiş halidir.