O que é o Pensamento Baseado em Risco na ISO 9001:2015?
O pensamento baseado em risco é um dos conceitos mais importantes — e às vezes mais mal compreendidos — introduzidos pela revisão de 2015 da ISO 9001. Longe de ser uma exigência para criar processos formais de gestão de risco corporativo, ele representa uma mudança de mentalidade: a organização deve considerar proativamente o que pode dar errado (riscos) e o que pode dar certo de forma inesperada (oportunidades) ao planejar e gerenciar seu SGQ.
Na versão 2008 da norma, essa preocupação era parcialmente atendida pelas ações preventivas. Na versão 2015, o conceito foi expandido e integrado a todo o sistema: em vez de ter um procedimento isolado de ação preventiva, a organização é esperada a pensar em riscos em cada seção da norma — desde a análise de contexto (seção 4) até o planejamento (seção 6) e a operação (seção 8).
Importante ressaltar: a ISO 9001:2015 não exige um procedimento formal de gestão de riscos, nem a utilização de metodologias específicas como ISO 31000 ou FMEA. O nível de sofisticação da abordagem deve ser proporcional ao tamanho, complexidade e contexto de cada organização.
Onde o Pensamento Baseado em Risco Aparece na Norma?
O pensamento baseado em risco não está confinado ao requisito 6.1 — ele permeia toda a estrutura da ISO 9001:2015:
- Seção 4 (Contexto): A análise de contexto e partes interessadas fornece as bases para identificar os riscos e oportunidades relevantes para o SGQ.
- Seção 5 (Liderança): A alta direção deve promover o pensamento baseado em risco e garantir que seja integrado aos processos do SGQ.
- Seção 6 (Planejamento): O requisito 6.1 exige explicitamente que a organização determine os riscos e oportunidades e planeje ações para abordá-los.
- Seção 8 (Operação): O controle de processos, a gestão de fornecedores e o projeto e desenvolvimento devem considerar os riscos associados.
- Seção 9 (Avaliação): Os resultados do SGQ devem ser avaliados à luz dos riscos e oportunidades identificados.
- Seção 10 (Melhoria): As ações corretivas e as melhorias devem considerar os riscos de recorrência e os impactos potenciais.
Identificação de Riscos e Oportunidades no SGQ
O ponto de partida para o pensamento baseado em risco é a identificação sistemática dos riscos que podem impedir o SGQ de atingir seus resultados pretendidos, e das oportunidades que podem ser aproveitadas para melhorar o desempenho. Essa identificação deve ser baseada nas informações levantadas na análise de contexto (4.1) e na análise de partes interessadas (4.2).
Para cada processo do SGQ, a equipe deve se perguntar:
- O que poderia impedir este processo de alcançar seu objetivo?
- Quais eventos externos ou internos poderiam afetar negativamente o desempenho deste processo?
- Quais oportunidades existem para melhorar os resultados deste processo?
- Quais mudanças no contexto (tecnologia, mercado, regulamentação) criam novas oportunidades para a organização?
Ferramentas para a Gestão de Riscos no SGQ
A ISO 9001 não prescreve ferramentas específicas, mas a prática de gestão da qualidade oferece um arsenal de metodologias comprovadas. A escolha deve ser proporcional à complexidade dos processos e dos riscos envolvidos.
| Ferramenta | Descrição | Melhor Aplicação | Complexidade de Uso |
|---|---|---|---|
| Análise SWOT | Análise de Forças, Fraquezas, Oportunidades e Ameaças | Análise de contexto organizacional e estratégico | Baixa |
| Matriz de Riscos (Probabilidade x Impacto) | Avaliação e priorização de riscos com base na probabilidade de ocorrência e no impacto potencial | Identificação e priorização de riscos do SGQ e dos processos | Baixa a média |
| FMEA (Failure Mode and Effects Analysis) | Análise estruturada dos modos de falha potenciais, seus efeitos e causas, com priorização por NPR | Processos produtivos, projeto e desenvolvimento, processos críticos | Média a alta |
| HAZOP (Hazard and Operability Study) | Estudo sistemático de desvios em processos para identificar perigos e problemas operacionais | Processos industriais e químicos com alto potencial de risco | Alta |
| Árvore de Falhas (FTA) | Diagrama lógico que mostra as combinações de eventos que podem levar a uma falha específica | Análise de falhas críticas com múltiplas causas potenciais | Alta |
| Análise PESTEL | Análise de fatores Políticos, Econômicos, Sociais, Tecnológicos, Ambientais e Legais | Identificação de riscos e oportunidades do ambiente externo | Baixa a média |
| Brainstorming estruturado | Sessão de ideação estruturada com a equipe para identificar riscos e oportunidades de forma colaborativa | Início do processo de gestão de riscos, processos novos ou em mudança | Baixa |
Como Construir e Usar a Matriz de Riscos
A matriz de riscos é a ferramenta mais amplamente utilizada para a gestão de riscos no contexto do SGQ, por sua simplicidade e praticidade. O processo envolve quatro etapas principais:
Etapa 1: Identificação dos Riscos
Listar todos os riscos identificados para o SGQ e seus processos. Cada risco deve ser descrito de forma específica: “Atraso na entrega de matéria-prima pelo fornecedor principal” é mais útil do que “Risco de fornecimento”.
Etapa 2: Avaliação da Probabilidade
Atribuir uma pontuação para a probabilidade de ocorrência de cada risco. Uma escala comum é: 1 (muito baixa), 2 (baixa), 3 (média), 4 (alta), 5 (muito alta).
Etapa 3: Avaliação do Impacto
Atribuir uma pontuação para o impacto potencial caso o risco se concretize. A mesma escala de 1 a 5 pode ser utilizada, com base no impacto sobre a qualidade do produto/serviço, satisfação do cliente, conformidade legal ou continuidade das operações.
Etapa 4: Cálculo do Nível de Risco e Priorização
O nível de risco é calculado pela multiplicação das pontuações de probabilidade e impacto (Nível de Risco = Probabilidade × Impacto). Os riscos com maior pontuação demandam ações mais imediatas e robustas. A matriz visual (heat map) facilita a visualização e comunicação dos riscos prioritários.
Exemplo de Matriz de Riscos para o SGQ
| Risco Identificado | Processo Relacionado | Probabilidade (1-5) | Impacto (1-5) | Nível (P×I) | Ação Planejada |
|---|---|---|---|---|---|
| Alta rotatividade de colaboradores em funções críticas | Recursos Humanos / Operação | 3 | 4 | 12 | Criar matriz de polivalência; documentar processos críticos com instruções detalhadas; programa de retenção |
| Falha do fornecedor único de componente crítico | Compras / Produção | 2 | 5 | 10 | Qualificar fornecedor alternativo; manter estoque de segurança; contrato com SLA e penalidades |
| Alterações nos requisitos regulatórios sem adequada comunicação interna | Conformidade / Desenvolvimento | 3 | 4 | 12 | Monitoramento contínuo de normas técnicas e regulamentações; responsável designado para acompanhar mudanças |
| Equipamento de medição crítico sem calibração em dia | Produção / Qualidade | 2 | 5 | 10 | Sistema de alertas automáticos para vencimento de calibração; responsável de metrologia designado |
| Reclamações de clientes por falhas no processo de comunicação de requisitos | Comercial / Projeto | 3 | 3 | 9 | Formulário padronizado de levantamento de requisitos; análise crítica obrigatória antes da aceitação do pedido |
| Perda de conhecimento crítico por saída de colaborador-chave | Todos os processos críticos | 2 | 4 | 8 | Documentação de conhecimento crítico; treinamentos de backup; sucessão planejada |
| Falha no sistema de informações durante auditoria de certificação | TI / SGQ | 1 | 3 | 3 | Backup de documentos críticos em formato físico; plano de continuidade de TI |
Oportunidades: O Lado Positivo do Pensamento Baseado em Risco
A norma ISO 9001:2015 é enfática em incluir as oportunidades ao lado dos riscos. Enquanto os riscos são eventos que podem impedir o alcance dos objetivos, as oportunidades são circunstâncias que podem proporcionar resultados favoráveis. Exemplos de oportunidades para o SGQ:
- Adoção de nova tecnologia que pode automatizar processos e reduzir erros;
- Mudança regulatória que cria demanda por produtos/serviços que a organização já oferece;
- Saída de um concorrente do mercado, abrindo espaço para novos clientes;
- Disponibilidade de um profissional experiente no mercado que pode fortalecer a equipe de qualidade;
- Parceria com fornecedor que pode melhorar a qualidade dos insumos e reduzir custos.
Verificação da Eficácia das Ações para Riscos e Oportunidades
O requisito 6.1.2 estabelece que as ações planejadas devem ser integradas aos processos do SGQ e que a organização deve avaliar a eficácia dessas ações. Isso significa que não basta planejar ações — é preciso verificar se elas estão funcionando.
A verificação de eficácia pode ocorrer por meio de:
- Análise de indicadores de processo relacionados ao risco abordado;
- Auditorias internas focadas nos processos de controle dos riscos prioritários;
- Revisão da matriz de riscos nas análises críticas pela direção;
- Análise de ocorrências de não conformidades relacionadas aos riscos identificados.
Gestão de Riscos vs. ISO 31000: Qual a Diferença?
A ISO 31000:2018 é a norma específica de gestão de riscos, que fornece princípios, estrutura e processo detalhados para a gestão de riscos organizacionais. Ela é muito mais abrangente e formal do que o que a ISO 9001 requer.
Para a maioria das organizações que buscam apenas a conformidade com a ISO 9001, a ISO 31000 não é necessária. No entanto, organizações que desejam uma abordagem mais estruturada e abrangente de gestão de riscos — especialmente grandes organizações ou aquelas em setores de alto risco — podem beneficiar-se de implementar a ISO 31000 em paralelo ao SGQ da ISO 9001.
Conclusão
O pensamento baseado em risco não é uma burocracia adicional imposta pela ISO 9001:2015 — é uma mudança de mentalidade que torna as organizações mais proativas, resilientes e estratégicas. Ao identificar sistematicamente o que pode dar errado e o que pode dar certo, a organização deixa de ser reativa (tratando problemas depois que acontecem) para ser preventiva (evitando problemas antes que ocorram) e estratégica (aproveitando oportunidades antes dos concorrentes). Essa é, em última análise, a essência da gestão da qualidade moderna.
Integrando a Gestão de Riscos aos Processos do SGQ
Um erro frequente é tratar a gestão de riscos como um processo separado do SGQ — um formulário que se preenche uma vez por ano para cumprir o requisito 6.1. A integração genuína significa que o pensamento baseado em risco está presente em cada etapa do planejamento e da execução dos processos.
Como integrar na prática:
- No planejamento de novos processos: Antes de implementar um novo processo, identifique os riscos associados e planeje controles preventivos desde o início.
- Na análise crítica de contratos: Ao revisar um novo pedido de cliente, considere os riscos de não conformidade e os impactos potenciais de atraso ou falha.
- Na seleção e avaliação de fornecedores: Os riscos associados a cada fornecedor devem influenciar o nível de controle e monitoramento aplicado.
- No projeto e desenvolvimento: A FMEA de projeto e de processo são exemplos clássicos de pensamento baseado em risco aplicado ao desenvolvimento de produtos.
- Nas auditorias internas: O programa de auditoria deve alocar mais tempo e recursos aos processos com maior nível de risco.
Gestão de Oportunidades: Transformando Risco em Vantagem Competitiva
A ISO 9001:2015 é pioneira entre as normas de sistemas de gestão ao incluir explicitamente as oportunidades ao lado dos riscos no requisito 6.1. Organizações que identificam e aproveitam oportunidades sistematicamente têm uma vantagem competitiva significativa sobre aquelas que apenas reagem a problemas.
Exemplos de como oportunidades identificadas no contexto do SGQ podem gerar vantagem competitiva:
- A identificação de uma nova regulamentação (percebida como ameaça pelos concorrentes) como uma oportunidade de se diferenciar por estar em conformidade antes dos outros;
- O aproveitamento de uma mudança tecnológica (novo software de gestão) para automatizar processos e reduzir erros;
- A parceria com um fornecedor de excelência que eleva a qualidade dos insumos e, consequentemente, dos produtos finais.
Documentação da Gestão de Riscos no SGQ
| Documento | Conteúdo | Obrigatório pela ISO 9001? | Quando Atualizar |
|---|---|---|---|
| Matriz de Riscos e Oportunidades | Lista de riscos e oportunidades identificados, com avaliação de probabilidade e impacto, ações planejadas e responsáveis | Não obrigatório o formato, mas o processo deve ter evidências | Anualmente e sempre que houver mudanças significativas no contexto ou nos processos |
| FMEA de Processo / Produto | Análise sistemática de modos de falha, efeitos e causas com cálculo de NPR e ações de controle | Não obrigatório pela ISO 9001 (pode ser exigido por clientes ou normas setoriais) | A cada novo produto/processo e após mudanças significativas |
| Plano de Ação para Riscos Críticos | Detalhamento das ações planejadas para os riscos de maior prioridade, com responsáveis, prazos e recursos necessários | Evidência exigida pela norma para ações que abordam riscos significativos | Conforme evolução das ações e revisão da matriz de riscos |
| Registro de Avaliação de Eficácia | Evidências de que as ações implementadas para abordar riscos e oportunidades foram eficazes | Exigido pelo requisito 6.1.2 (avaliar a eficácia das ações) | Após implementação das ações e periodicamente na análise crítica pela direção |
| Análise de Contexto e Partes Interessadas | Resultado da análise do ambiente interno e externo e das necessidades e expectativas das partes interessadas — base para a identificação de riscos | Não obrigatório o formato específico, mas o processo deve ter evidências | Anualmente e sempre que houver mudanças relevantes no contexto |
Erros Comuns na Gestão de Riscos do SGQ
- Tratar a gestão de riscos como exercício burocrático: Preencher a matriz de riscos apenas para ter o documento, sem reflexão genuína sobre os riscos reais do negócio.
- Foco exclusivo nos riscos, ignorando as oportunidades: A norma exige que ambos sejam considerados. Organizações que ignoram as oportunidades perdem uma dimensão estratégica importante.
- Não atualizar a matriz de riscos: Uma matriz de riscos estática, elaborada uma única vez no início da implementação, perde rapidamente sua relevância à medida que o contexto muda.
- Não verificar a eficácia das ações: Planejar ações para abordar riscos sem verificar se essas ações foram implementadas e se foram eficazes é uma não conformidade frequente.
- Complexidade desproporcional: Aplicar ferramentas muito complexas (como FTA ou HAZOP) para riscos simples é um desperdício de recursos e pode desestimular a adoção do pensamento baseado em risco.
Artigos Relacionados
Sobre o Autor
0 Comentários