É no começo da Norma ISO 9001:2015 que vemos pela primeira vez o termo “mentalidade de riscos”.
Segundo a ISO, ela é adotada a fim de tornar a organização capaz de determinar fatores que possam levar a desvios em relação a seus objetivos e, consequentemente, de adotar controles para prevenir que esses desvios aconteçam de fato.
Mas, quando a ISO fala em mentalidade de riscos, o que vem na sua cabeça?
Os profissionais da qualidade ficam em dúvida em relação a que medida e de que maneira essa mentalidade deve ser implementada e é avaliada em auditorias externas.
Talvez a confusão esteja no termo escolhido pela Norma. Por que não gestão ou gerenciamento de riscos em vez de mentalidade de riscos?
Por isso, neste artigo, vamos dar a nossa interpretação sobre esse conceito e como ele deve ser implementado na prática.
Mentalidade de riscos na ISO 9001
A versão de 2015 da Norma ISO 9001 é a primeira em que o termo mentalidade de riscos aparece (nas outras, de acordo com o texto, ele era implícito), mas já vem revestido de peso. Segundo a ISO, a mentalidade de riscos “é essencial para se conseguir um sistema de gestão da qualidade eficaz”.
Mas o que significa ter uma mentalidade voltada ao risco?
Mentalidade de risco, na ISO 9001, é a habilidade de identificar fatores que possam levar a desvios em relação aos objetivos dos processos e do próprio SGQ, assim como de adotar as medidas cabíveis para prevenir que esses desvios aconteçam.
Em 0.3.3, a ISO afirma que:
Para estar conforme com os requisitos desta Norma, uma organização precisa planejar e implementar ações para abordar riscos e oportunidades.
Ter um sistema de gestão da qualidade em conformidade com a ISO significa incorporar uma mentalidade voltada a riscos, portanto.
Mas isso não é fazer gestão de riscos propriamente dita? Não é. Então qual é a diferença?
Diferença entre mentalidade de risco e gestão de risco
A Norma é clara quando afirma que a empresa precisa ter um plano e ações para lidar com riscos. Por que isso não é gerenciamento ou gestão de riscos, e sim mentalidade de riscos?
Essa resposta a ISO dá no Anexo 4, quando diz que:
Não há requisito para [adotar] métodos formais para gestão de riscos ou um processo de gestão de risco documentado. As organizações podem decidir desenvolver ou não uma metodologia de gestão de risco mais extensiva que o requerido por esta Norma (…).”
É aí que acontece toda a confusão interpretativa. Por um lado, parece que a Norma desdiz o que afirma em 0.3.3, quando lemos que a organização deve abordar riscos para satisfazer a Norma.
Mas a sutileza dos termos escolhidos na redação não deixa margem: abordar riscos não equivale fazer gestão de riscos formal. A mentalidade de riscos pode ser interpretada como uma abordagem de riscos, e não um gerenciamento.
Por que são conceitos diferentes?
Gestão de riscos é um processo formal para identificar, avaliar, priorizar e lidar com riscos. Para isso usa procedimentos para estabelecer o contexto, monitorar o progresso e continuamente comunicar riscos entre os setores, como os estabelecidos na ISO 31000.
Já a mentalidade de riscos ou abordagem a riscos é incorporar os riscos na tomada de decisão da qualidade, tornando-a parte do sistema de gestão. Mas não é um processo formal.
Como instaurar uma mentalidade de riscos conforme à ISO 9001
Então, a pergunta é: como você pode garantir uma abordagem a riscos sem ter uma gestão de riscos formal? Qual seria o mínimo aceitável em termos de abordagem de risco para satisfazer a Norma?
A ISO recomenda tanto que o PDCA do sistema de gestão da qualidade envolva a mentalidade de riscos quanto que a mentalidade de riscos siga o PDCA. Então, tudo começa no planejamento do SGQ, mais precisamente na compreensão do contexto interno e externo à organização e como ele afeta a capacidade de alcançar os resultados almejados.
Ao fazer a análise de contexto, a organização deve:
- levantar os riscos e oportunidades que podem afetar o sistema;
- analisar e avaliá-los criticamente;
- planejar ações para abordá-los;
- integrar essas ações nos processos do SGQ;
- executar as ações;
- monitorar e avaliar a sua eficácia; e
- atualizar riscos e oportunidades.
Todo risco precisa ser abordado?
Não, apenas quando apropriado. As ações de abordagem devem ser adequadas à natureza e ao impacto dos riscos sobre a conformidade dos produtos e serviços. Daí a importância da análise e avaliação dos riscos.
Riscos com impactos pequenos podem ser retidos pela organização. Em busca de uma oportunidade, a organização pode assumir os riscos inerentes a isso.
A organização também pode, de acordo com o risco, mitigá-lo, ou seja, diminuir a probabilidade de que a afete, ou então evitá-lo, eliminando-o completamente.
Abordagem de riscos na ISO 9001 é retida como informação documentada?
Não. A organização não precisa ter um processo formal de documentação de riscos, como lemos no Anexo 4, assim como não precisa manter sobre a determinação de contexto interno e externo. Isso não deverá ser exigido em auditoria.
Porém, é apropriado que mantenha registros da realização desse trabalho, paralelamente à implementação e execução dos processos da qualidade, como evidência da abordagem proativa em relação a riscos.
Que ferramentas usar para analisar, avaliar e priorizar riscos?
Seus indicadores de desempenho sempre serão a principal fonte para o levantamento de riscos. Para levantamento de riscos potenciais, temos algumas ferramentas interessantes: como what if (pergunte “e se acontecer isso?”), brainstorming e APR – Análise Preliminar de Risco.
O PFMEA – Process Failure Mode and Effective Analysis é um framework para identificação de falhas, seus efeitos e suas possíveis causas, para calcular o índice de risco e definir um plano de ação.
Para análise e avaliação de riscos, a principal ferramenta usada é a matriz de riscos. Ela avalia o risco de acordo com nível de probabilidade e impacto, posicionando-o dentro de uma matriz que pode ser 3 x 3 ou 5 x 5.
O posicionamento do risco na matriz já estabelece a prioridade, mas, para uma análise ainda mais profunda, pode ser usada a matriz GUT. Ela avalia cada risco de acordo com a gravidade, urgência e tendência.
Organizações que querem gerenciar riscos de maneira bem estruturada, de acordo com referências normativas como a ISO 31000, assim como documentar todos os processos, podem se beneficiar de um software para gestão de riscos como da Qualyteam.
Mentalidade de riscos: qual a importância dentro do seu SGQ
Quando a ISO 9001 fala em mentalidade de riscos, vimos que isso não significa uma gestão de riscos formal, e sim uma postura proativa em relação a riscos. Um SGQ eficaz é atento e ativo em relação a ameaças que podem desviá-lo de seus objetivos e, logo, capaz de agir diante delas.
Como sua organização tem interpretado a mentalidade a riscos e colocando em prática essa abordagem?