6.1.1 При создании и функционировании системы менеджмента качества организация определяет чего она хочет достичь, т.е. цели и намеченные результаты. При планировании системы организация должна оценить что может оказать влияние на достижение этих целей и намеченных результатов; это включает определение связанных рисков и возможностей.
Организация должна рассматривать внутренние и внешние факторы и соответствующие заинтересованные стороны, которые могут повлиять на достижение системой менеджмента качества ее намеченных результатов. При определении потребностей этих заинтересованных сторон должны быть определены риски и возможности для системы менеджмента качества.
При определении рисков и возможностей организация должна сосредоточиться на увеличении желаемого влияния, создавая новые возможности и предотвращая или уменьшая нежелательное влияние (посредством снижения риска или "предупреждающего" действия). Это означает принятие "риск-ориентированного мышления", и организация должна рассмотреть применение этого подхода ко всем процессам, требуемым для ее системы менеджмента качества.
В ИСО 9001 нет требования применять формальный менеджмент рисков при идентификации рисков и возможностей. Организация может выбирать метод, подходящий ее потребностям. ИСО/МЭК 31010 предоставляет большой перечень методологий оценки рисков, некоторые из которых могут быть приемлемыми в зависимости от среды организации.
На стратегическом уровне могут применяться такие инструменты, как Анализ сильных и слабых сторон, возможностей и угроз (SWOT анализ), Политический, экономический, социальный, технологический, экологический анализ (PESTLE анализ) и Индустриальный анализ Пяти Сил Портера. Простой подход может заключаться в том, чтобы задавать вопрос "Что если?". Применение методов мозгового штурма может использоваться как один из эффективных инструментов для применения риск-ориентированного мышления. Некоторые методы могут быть более популярными в определенных отраслях, например, анализ видов и последствий отказов (FMEA) в автомобильной промышленности; анализ видов, последствий и критичности отказов (FMECA) для отрасли медицинских изделий; анализ рисков и критические контрольные точки (HACCP) для пищевой промышленности. Решение о том, какие методы или инструменты организация должна использовать, зависит от нее самой.