A norma ISO 9001 teve sua última revisão em 2015, trazendo uma versão que, por assim dizer, oficializou a gestão de riscos na qualidade. Hoje, cerca de 7 anos depois, ainda há muitas dúvidas sobre gestão de riscos! 

“O que é preciso fazer? Precisa se basear na ISO 31000? Precisa ter um processo de gestão de riscos? Onde preciso analisar os riscos? De onde vou tirar esses riscos? Preciso usar uma ferramenta como o FMEA? O que levar em consideração para a avaliação?” e por aí vai.

A verdade é que cada empresa “deu um jeito” e fez a gestão de riscos com uma metodologia que achou pertinente, mas muitas delas ainda gaguejam para responder sobre a gestão de riscos para o auditor.

Agora que estamos em épocas de planejamento estratégico, precisamos conversar sobre isso e, talvez, rever nossas metodologias. Vamos lá? 🤔 

O que a 9001 fala sobre gestão de riscos?

A ISO 9001 tem apenas um requisito sobre gestão de riscos, o 6.1, porém ela toca no assunto em vários outros momentos do texto. 

A primeira vez que vemos a palavra riscos dentro dos requisitos aplicáveis é no requisito onde falamos sobre o desenho dos processos, o 4.4. A norma diz que devemos “f) abordar os riscos e oportunidades conforme determinados de acordo com os requisitos de 6.1”.

Depois, ao falar sobre foco no cliente, a ISO coloca que “os riscos e oportunidades que possam afetar a conformidade de produtos e serviços e a capacidade de aumentar a satisfação do cliente sejam determinados e abordados”.

Só então, chegamos no requisito sobre gestão de riscos propriamente dito. Ao interpretá-lo, entendemos que precisamos olhar para tudo que colocamos no contexto (fatores internos e externos e necessidades e expectativas das partes interessadas) e levantar os riscos e oportunidades a partir disso. Aqui, de certa forma, já eliminamos a dúvida sobre “de onde tirar os riscos”.

Faça o levantamento dos riscos a partir do seu contexto

Muito se fala sobre fazer um super levantamento de riscos em várias perspectivas (como econômica, de reputação no mercado, de satisfação de clientes e etc), mas para quem está começando ou está com o processo embolado, basta apenas olhar para o contexto e simplificar. 

Por exemplo: se um ponto fraco da empresa é a dificuldade em achar mão de obra qualificada, podemos presumir que o risco de falhas e erros durante a produção e provisão de serviço é enorme. 

Daqui tiramos um ponto importante: sua gestão de riscos só poderá ser bem feita se o contexto for bem analisado. Então, ao invés de criar um processo de gestão de riscos mega complexo, gaste sua energia para entender o contexto em que a empresa está inserido. 😉

Trate os riscos com seus processos 

Continuando no requisito 6.1, a norma especifica que o levantamento de riscos e oportunidades serve para:

• assegurar que o resultados pretendidos sejam alcançados, ou seja, que a política e objetivos da qualidade sejam atingidos;

• que os efeitos desejáveis sejam aumentados e os indesejáveis sejam diminuídos, ou seja, que a empresa consiga estar preparada para tirar o melhor das situações que ocorrerem; 

• e ainda que seja usado para alcançar melhoria, pensando sempre que em qual a melhor ação para ser tomada nas situações.

Com isso em mente, entramos na “gestão de riscos” da 9001: conforme o requisito 6.1.2, o que precisa ser feito são ações que abordem esses riscos identificados.

Para isso, essas ações precisam: a) ser feitas de forma que entrem nos processos da empresa (e aí voltamos para primeira aparição dos riscos no requisito 4.4), e; b) que a eficácia dessas ações seja avaliada, para entender se elas estão surtindo efeito ou se só estão burocratizando o sistema.

Para fazer as ações, a norma deixa dicas nas notas:

• NOTA 1 Opções para abordar riscos podem incluir evitar o risco, assumir o risco para perseguir uma oportunidade, eliminar a fonte de risco, mudar a probabilidade ou as consequências, compartilhar o risco ou decidir, com base em informação, reter o risco.

• NOTA 2 Oportunidades podem levar à adoção de novas práticas, lançamento de novos produtos, abertura de novos mercados, abordagem de novos clientes, construção de parcerias, uso de novas tecnologias e outras possibilidades.

Portanto, se tenho o risco de erros e falhas nos processos por falta de mão de obra qualificada, preciso ir no processo de contratação e colocar uma ação de só contratar pessoas com as competências técnicas necessárias. Isso é uma forma de eliminar o risco.

Mas se essa ação não for possível, então entramos com um processo de integração dos colaboradores para suas funções, e colocar a ação “de dar treinamento para todo colaborador novo” ou todo colaborador que assuma uma nova função dentro da empresa. Assim, diminuímos a probabilidade desse risco acontecer.

Avalie os riscos e oportunidades com visão sistêmica 

Depois do requisito 6.1, só ouvimos falar sobre riscos novamente no requisito 9, de avaliação do sistema de gestão. Isso casa com quando o requisito fala que precisamos avaliar se as ações para abordar riscos e oportunidades estão sendo suficientes. 

Nessa linha, imaginemos que arrumamos o processo de integração de novos colaboradores, mas recebemos não conformidades sobre defeito no produto com a causa raiz “falha do colaborador”.

Então a ação não foi suficiente para eliminar o risco (vale lembrar que colocamos essa ação para mitigar o risco, então precisamos avaliar se a ocorrência está dentro do aceitável ou se precisamos mudar ou adicionar ações).

E onde fazemos essa análise? Precisamos implantar mais uma reunião no SGQ? Não, pois os riscos e oportunidades são abordados novamente no requisito de análise crítica, que é o momento de olhar para a empresa de forma sistêmica e ligar todos os pontos do SGQ.

A gestão de riscos começa de forma simples!

Às vezes, não sabemos o que fazer e vamos em busca de informações (e tá tudo certo!). Mas quanto mais a gente estuda, mais a gente se enrola, pois mais fundo aprofundamos no conteúdo. O que realmente vai fazer a gente sair do papel é começar com o simples!

No caso da gestão de riscos, temos uma norma que fala só disso: a ISO 31000. Visto que a família de normas ISO é super abrangente e bem completa, podemos contar com várias normas para nos ajudar. 

Mas a 31000 tem um processo bem amplo, que serve para todas as situações, e para quem não tem nada ou tem um processo duvidoso, pode ser bem complicado implantar. Por isso, se você está implantando a ISO 9001, comece pelo processo da 9001:

1. identifique os riscos do contexto que podem atrapalhar na entrega de conformidade para o cliente
2. defina ações para abordar esses riscos, colocando-as nos processos;
3. avalie se essas ações estão sendo suficientes, olhando para os resultados que o sistema está tendo.

Se você seguir esses passos, aos poucos, garanto que vai sair do zero e construir uma gestão de riscos incrível na sua empresa. Reforço: só o que você precisa fazer é começar de forma simples e, então, pôr em prática o maior princípio da qualidade: a melhoria contínua! 😉

Automatize sua gestão de riscos com o software da 8Quali! Saiba mais clicando aqui!