Blog
ISO 9001:2015

O que é a mentalidade de riscos na ISO 9001?

Por: Adriana Sartori

13 dez 2022 • 7 min de leitura

mulher diante de computador com postura pensativa mentalidade de riscos ISO 9001
É no começo da Norma ISO 9001:2015 que vemos pela primeira vez o termo “mentalidade de riscos”

Segundo a ISO, ela é adotada a fim de tornar a organização capaz de determinar fatores que possam levar a desvios em relação a seus objetivos e, consequentemente, de adotar controles para prevenir que esses desvios aconteçam de fato.

Mas, quando a ISO fala em mentalidade de riscos, o que vem na sua cabeça? 

Os profissionais da qualidade ficam em dúvida em relação a que medida e de que maneira essa mentalidade deve ser implementada e é avaliada em auditorias externas.

Talvez a confusão esteja no termo escolhido pela Norma. Por que não gestão ou gerenciamento de riscos em vez de mentalidade de riscos? 

Por isso, neste artigo, vamos dar a nossa interpretação sobre esse conceito e como ele deve ser implementado na prática.

banner e-book qualyteam explica volume 1

Mentalidade de riscos na ISO 9001

A versão de 2015 da Norma ISO 9001 é a primeira em que o termo mentalidade de riscos aparece (nas outras, de acordo com o texto, ele era implícito), mas já vem revestido de peso. Segundo a ISO, a mentalidade de riscos “é essencial para se conseguir um sistema de gestão da qualidade eficaz”. 

Mas o que significa ter uma mentalidade voltada ao risco?

Mentalidade de risco, na ISO 9001, é a habilidade de identificar fatores que possam levar a desvios em relação aos objetivos dos processos e do próprio SGQ, assim como de adotar as medidas cabíveis para prevenir que esses desvios aconteçam.

Em 0.3.3, a ISO afirma que:

Para estar conforme com os requisitos desta Norma, uma organização precisa planejar e implementar ações para abordar riscos e oportunidades.

Ter um sistema de gestão da qualidade em conformidade com a ISO significa incorporar uma mentalidade voltada a riscos, portanto. 

Mas isso não é fazer gestão de riscos propriamente dita? Não é. Então qual é a diferença?

Kit de ferramentas da qualidade

Diferença entre mentalidade de risco e gestão de risco

A Norma é clara quando afirma que a empresa precisa ter um plano e ações para lidar com riscos. Por que isso não é gerenciamento ou gestão de riscos, e sim mentalidade de riscos?

Essa resposta a ISO dá no Anexo 4, quando diz que: 

Não há requisito para [adotar] métodos formais para gestão de riscos ou um processo de gestão de risco documentado. As organizações podem decidir desenvolver ou não uma metodologia de gestão de risco mais extensiva que o requerido por esta Norma (…).”

É aí que acontece toda a confusão interpretativa. Por um lado, parece que a Norma desdiz o que afirma em 0.3.3, quando lemos que a organização deve abordar riscos para satisfazer a Norma. 

Mas a sutileza dos termos escolhidos na redação não deixa margem: abordar riscos não equivale fazer gestão de riscos formal. A mentalidade de riscos pode ser interpretada como uma abordagem de riscos, e não um gerenciamento. 

Por que são conceitos diferentes?

Gestão de riscos é um processo formal para identificar, avaliar, priorizar e lidar com riscos. Para isso usa procedimentos para estabelecer o contexto, monitorar o progresso e continuamente comunicar riscos entre os setores, como os estabelecidos na ISO 31000

Já a mentalidade de riscos ou abordagem a riscos é incorporar os riscos na tomada de decisão da qualidade, tornando-a parte do sistema de gestão. Mas não é um processo formal.  

Como instaurar uma mentalidade de riscos conforme à ISO 9001

Então, a pergunta é: como você pode garantir uma abordagem a riscos sem ter uma gestão de riscos formal? Qual seria o mínimo aceitável em termos de abordagem de risco para satisfazer a Norma?

A ISO recomenda tanto que o PDCA do sistema de gestão da qualidade envolva a mentalidade de riscos quanto que a mentalidade de riscos siga o PDCA. Então, tudo começa no planejamento do SGQ, mais precisamente na compreensão do contexto interno e externo à organização e como ele afeta a capacidade de alcançar os resultados almejados. 

Ao fazer a análise de contexto, a organização deve: 

  • levantar os riscos e oportunidades que podem afetar o sistema;
  • analisar e avaliá-los criticamente;
  • planejar ações para abordá-los;
  • integrar essas ações nos processos do SGQ; 
  • executar as ações; 
  • monitorar e avaliar a sua eficácia; e
  • atualizar riscos e oportunidades.

Todo risco precisa ser abordado?

Não, apenas quando apropriado. As ações de abordagem devem ser adequadas à natureza e ao impacto dos riscos sobre a conformidade dos produtos e serviços. Daí a importância da análise e avaliação dos riscos.

Riscos com impactos pequenos podem ser retidos pela organização. Em busca de uma oportunidade, a organização pode assumir os riscos inerentes a isso.

A organização também pode, de acordo com o risco, mitigá-lo, ou seja, diminuir a probabilidade de que a afete, ou então evitá-lo, eliminando-o completamente. 

Abordagem de riscos na ISO 9001 é retida como informação documentada?

Não. A organização não precisa ter um processo formal de documentação de riscos, como lemos no Anexo 4, assim como não precisa manter sobre a determinação de contexto interno e externo. Isso não deverá ser exigido em auditoria.

Porém, é apropriado que mantenha registros da realização desse trabalho, paralelamente à implementação e execução dos processos da qualidade, como evidência da abordagem proativa em relação a riscos.

Que ferramentas usar para analisar, avaliar e priorizar riscos?

Seus indicadores de desempenho sempre serão a principal fonte para o levantamento de riscos. Para levantamento de riscos potenciais, temos algumas ferramentas interessantes: como what if (pergunte “e se acontecer isso?”), brainstorming e APR – Análise Preliminar de Risco.

O PFMEA – Process Failure Mode and Effective Analysis é um framework para identificação de falhas, seus efeitos e suas possíveis causas, para calcular o índice de risco e definir um plano de ação.

Para análise e avaliação de riscos, a principal ferramenta usada é a matriz de riscos. Ela avalia o risco de acordo com nível de probabilidade e impacto, posicionando-o dentro de uma matriz que pode ser 3 x 3 ou 5 x 5.

O posicionamento do risco na matriz já estabelece a prioridade, mas, para uma análise ainda mais profunda, pode ser usada a matriz GUT. Ela avalia cada risco de acordo com a gravidade, urgência e tendência. 

Organizações que querem gerenciar riscos de maneira bem estruturada, de acordo com referências normativas como a ISO 31000, assim como documentar todos os processos, podem se beneficiar de um software para gestão de riscos como da Qualyteam.

Mentalidade de riscos: qual a importância dentro do seu SGQ

Quando a ISO 9001 fala em mentalidade de riscos, vimos que isso não significa uma gestão de riscos formal, e sim uma postura proativa em relação a riscos. Um SGQ eficaz é atento e ativo em relação a ameaças que podem desviá-lo de seus objetivos e, logo, capaz de agir diante delas.

Como sua organização tem interpretado a mentalidade a riscos e colocando em prática essa abordagem?

]]>
Compartilhe

Adriana Sartori

13 dez 2022

Leia também

Eventos

A Qualyteam é o primeiro Hub da qualidade no Brasil

A Qualyteam surgiu em 2008 com um propósito forte: proporcionar para as empresas uma ferramenta para facilitar os processos de um SGQ.  Assim surgiu o Software Qualyteam e todos os seus módulos: Com esses produtos, fizemos muito pelo mercado, reconhecimento que se refletiu em nossos números. O Software Qualyteam tem: Foram 16 anos intensos. Trabalhamos […]

Gestão Empresarial e Qualidade

Checklist para evitar retrabalho no SGQ em 2025

A chegada de um novo ano é a oportunidade ideal para revisar os desafios enfrentados no ano anterior e planejar melhorias no Sistema de Gestão da Qualidade (SGQ) para 2025. Entre os maiores obstáculos para a eficiência do SGQ, o retrabalho se destaca como um dos mais onerosos.  Ele consome tempo, desperdiça recursos e compromete […]

Eventos

Vem aí: Coleção Qualyteam – SGQ Além da ISO

A gestão da qualidade é um elemento estratégico para organizações que desejam melhorar continuamente seus processos e resultados.  A norma ISO 9001 é bem conhecida como base para Sistemas de Gestão da Qualidade. No entanto, há práticas extras que podem melhorar a eficiência e a eficácia desses sistemas. Pensando nisso, a Qualyteam apresenta a Coleção […]

Eventos

Qualyteam lança o primeiro Hub da qualidade no Brasil com crescimento do portfólio de produtos e nova marca

No dia 23 de outubro, a Qualyteam celebrou um marco histórico. Em um grande evento realizado em Balneário Camboriú (SC), após um ciclo de 16 anos, revelamos ao mercado o novo posicionamento da Qualyteam: somos o primeiro Hub da qualidade no Brasil. O evento foi o ponto de partida para um novo momento da gestão […]

Qualyteam News

Assine nossa Newsletter e receba as principais informações sobre gestão da qualidade direto em sua caixa de entrada.