A minőségirányítási rendszerkövetelmények megújulásának középpontjában a kockázatalapú gondolkodásmód állt. A szabványban az univerzális alkalmazhatóság miatt a követelményeket általánosságban fogalmazza meg, tehát nem függenek a szervezet méretétől, összetettségétől tevékenységétől, vagy attól, hogy mely ipari ágazatban működik.

A kockázatalapú gondolkodás valójában mindig is része volt a korábbi szabványoknak is különböző követelmények megvalósulásán keresztül, mint például a nemmegfelelőségek lehetséges hatásának vizsgálata alapján meghatározott helyesbítő tevékenységek elvégzése. Ezenkívül a megelőző tevékenység kialakítása és fenntartása is magában hordozta a szervezet működése közben felmerülő kockázatok vizsgálatát. A 2015-ös változatban azonban a kockázatokkal való célzott tevékenységet már egyértelműen kihangsúlyozták, és célzottabb módon közelítették meg. Az is ismeretes, hogy a szabvány nem követelménypontként tartalmazza a szabályozott kockázatkezelési rendszer alkalmazását, a szervezet maga választhatja meg a számára legmegfelelőbb módszer alkalmazását, ehhez az IEC 31010 kockázatfelmérési eszközeinek sora áll rendelkezésre. Ezzel a szabvány az A4 mellékletében foglalkozik részletesebben, amely az új szerkezet, terminológia és koncepciók leírására szolgál.

Az irányítási rendszerek követelményszabványainak fő célja a bizalom megteremtése a szervezet azon képességében, hogy folyamatosan és következetesen megfelelő terméket és szolgáltatást nyújtson a vevőknek, ezzel a vevői megelégedettséget növelje. A kockázat a nemzetközi szabványok kontextusában az e célok elérésének bizonytalanságára vonatkozik.

A kockázatalapú megközelítést gyakran automatikusan és tudat alatt alkalmazzák. A kockázatalapú gondolkodás kifejezett módon való megjelenése az ISO 9001:2015 szabványban része a folyamatközpontú megközelítésnek és a megelőző intézkedéseknek. Ugyanakkor nem követeli meg a teljes, hivatalos kockázatértékelést vagy kockázati nyilvántartást. Az ISO 31000 Kockázatkezelés – Alapelvek és iránymutatások szabvány hasznos referencia, de alkalmazása nem kötelező.

A kockázat szó hallatán gyakran előfordul, hogy azt csak negatív összefüggésben értelmezik, például valamilyen nem várt probléma megjelenése vagy váratlan esemény bekövetkezése. Azonban a kockázat pozitív értelmezése a lehetőségek felismerését is jelenti, például a megrendelések számának hirtelen növekedése.

Az ISO 9001:2015 úgy határozza meg a kockázatot, mint „a bizonytalanság hatása”.

Az ISO 9001:2015 szabvány nem írja elő a kockázatkezelés bevezetését, hanem a kockázatorientált gondolkodásmódra korlátozódik. Valójában azonban a szabvány követelményei szerint a kockázatkezelés szisztematikus megközelítésének bevezetésével valósíthatók meg. Alapvetően a következő követelménypontokban (fejezetekben) jelenik meg a kockázatokkal kapcsolatos tevékenység:

4.4. A szervezetnek a minőségirányítási rendszer és folyamatainak létrehozása, bevezetése és fenntartása kapcsán foglalkoznia kell a kockázatokkal és lehetőségekkel. Ennek következtében az irányításának tartalmaznia kell olyan mechanizmusokat, amelyek iránymutatást adnak a szervezetnek a kockázatokkal és lehetőségekkel kapcsolatos erőfeszítéseihez. A folyamatok végrehajtásával kapcsolatos kockázatok és lehetőségek kezelésére vonatkozó általános információk részét képezhetik a minőségirányítási rendszer folyamatainak végrehajtását szabályozó dokumentumoknak. A kockázatok dokumentálására azonban nincsenek külön követelmények. Önállóan kell meghatározni a minőségirányítási rendszer folyamatainak kockázataival és lehetőségeivel kapcsolatos dokumentált információk mennyiségét. Az egyes folyamatok kockázatkezelésével kapcsolatos dokumentált információk meghatározhatják a folyamaton belüli kockázatkezelés jellemzőit. Például leírhatók a folyamat kockázatának fő forrásai, a folyamat kockázatainak elemzésére és értékelésére szolgáló módszerek, a folyamat résztvevőinek szerepei és felelősségei a kockázatkezelésben, a valószínűség és a hatások értékelésére szolgáló skálák, a megengedett határértékek kockázati mutatói, a folyamat kockázatainak fő kategóriái, a kockázatkezelési erőforrások, a kockázatkezelésről létrehozott nyilvántartások. Az ilyen dokumentált információk létrehozásának szükségességét és mennyiségét a minőségirányítási rendszer folyamatán belül a szervezet maga határozza meg.

Az 5.1. Vezetői szerepvállalás szabványpont szerint a felső vezetésnek bizonyítottan elő kell segítenie a folyamatszemléletű megközelítés mellett a kockázatalapú gondolkodásmód alkalmazását. Továbbá a vevőközpontúság alapelv kapcsán a vezetők határozzák meg és foglalkoznak azokkal a kockázatokkal és lehetőségekkel, amelyek hatással vannak a termékek és szolgáltatások megfelelőségére, valamint a vevőelégedettség növelésének képességére.

A kockázatokkal és lehetőségekkel kapcsolatos követelmény kifejezetten a 6. fejezetben, a tervezésben jelenik meg. A cél, hogy a szervezet ezáltal képes legyen biztosítani a minőségirányítási rendszer eredményességét, növelje a lehetőségek által elérhető hatásokat, illetve megelőzze vagy csökkentse a kockázatok hatásait, és végül elősegítse a fejlesztést.

A teljesítményértékelésnek (9.) része a figyelemmel kísérés, mérés, elemzés és értékelés (9.1.), amely rámutat a kockázatokkal és lehetőségekkel kapcsolatos meghozott intézkedések eredményességének értékelésére. Ez bemenete a vezetői átvizsgálásnak (9.3.2.).

A fejlesztés (10.) követelménye alapvetően azokat az intézkedéseket tartalmazza, amelyek a vevői követelmények teljesítéséhez és a vevői elégedettség növeléséhez szükségesek. A nemmegfelelőségekkel kapcsolatos tevékenységnek része a kockázatok és lehetőségek aktualizálása.