Certificação ISO passo a passo: da preparação ao selo
Certificar a empresa em uma norma ISO (como a ISO 9001, de sistema de gestão da qualidade) é um processo estruturado, não um evento único. O caminho tem cinco etapas de preparação — escolher a norma e mapear os requisitos aplicáveis, rodar a gap analysis, executar o plano de ação (CAPA) e o cronograma, e fazer a auditoria interna e a análise crítica pela direção — que culminam na auditoria de certificação conduzida por um organismo certificador acreditado. O SGQ — Plataforma de Conformidade Inteligente organiza, calcula e evidencia cada etapa dentro da própria plataforma, mas quem emite o certificado é o organismo certificador, não o software.
Resumo rápido
- São cinco etapas de preparação — escolher a norma e mapear requisitos, gap analysis, plano de ação (CAPA) e cronograma, auditoria interna e análise crítica — mais a auditoria de certificação externa em duas fases.
- A prontidão é medida no painel de conformidade: percentual por norma = requisitos atendidos plenamente ÷ total; parcial, não atendido e não avaliado não pontuam, e o número é sempre derivado, nunca digitado.
- Cada lacuna vira ação rastreável: na gap analysis, resposta Não gera CAPA de prioridade alta com 14 dias e Parcial gera prioridade média com 30 dias, sempre com item de cronograma (M09).
- A auditoria interna (módulo M28, ISO 9001 item 9.2) e a análise crítica pela direção (módulo M19, item 9.3) fecham o ciclo PDCA antes de chamar o auditor externo.
- O certificado é emitido por um organismo certificador acreditado: o SGQ não substitui a auditoria de certificação nem a consultoria.
- Depois do selo, a certificação se mantém com auditorias de acompanhamento periódicas e recertificação ao fim do ciclo, normalmente de três anos.
O caminho até a certificação (visão geral)
Conquistar uma certificação ISO é o resultado de um sistema de gestão implementado e evidenciado, avaliado por um auditor externo. As primeiras cinco etapas são de preparação e acontecem dentro da organização; a última é a auditoria de certificação, de responsabilidade de um organismo certificador acreditado. O SGQ acompanha todo o percurso: transforma a norma em biblioteca de requisitos, calcula a aderência, organiza o plano de correção e guarda a trilha de evidências.
- Escolher a norma e mapear os requisitos aplicáveis.
- Rodar a gap analysis para diagnosticar a aderência.
- Executar o plano de ação (CAPA) e o cronograma.
- Fazer a auditoria interna e a análise crítica pela direção.
- Passar pela auditoria de certificação (fase 1 e fase 2).
Etapa 1: escolher a norma e mapear requisitos aplicáveis
A primeira etapa é definir qual norma certificar e levantar os requisitos que se aplicam à organização. No SGQ, cada norma é uma biblioteca de requisitos versionada — ISO 9001, ISO 14001, ISO 45001, ISO 13485, RDC 665/2022, RDC 430/2020, PALC e ONA. Ao cadastrar a empresa pelo CNAE, o sistema vincula as normas aplicáveis à atividade; a ISO 9001, por ser transversal à qualidade de produtos e serviços, costuma ser a primeira biblioteca a entrar no painel.
Os requisitos legais que não fazem parte das bibliotecas de normas — NRs, LGPD, exigências ambientais e sanitárias — entram na matriz de requisitos legais (módulo M18), o SSOT legal onde cada requisito recebe aplicabilidade por empresa, unidade ou atividade, área responsável, evidência, validade e status de atendimento.
Etapa 2: gap analysis e diagnóstico de aderência
Com a norma escolhida, a gap analysis mede a distância entre a operação atual e os requisitos. É um questionário requisito a requisito respondido com Sim, Não ou Parcial, que grava o status oficial de cada requisito: Sim marca atendido, Parcial marca parcialmente atendido e Não marca não atendido.
O percentual de aderência é sempre derivado, nunca digitado: requisitos atendidos plenamente ÷ total de requisitos da norma, com uma casa decimal. Parciais, não atendidos e não avaliados não pontuam. Por exemplo, 60 de 67 requisitos atendidos resultam em 89,6% — os 5 parciais e os 2 não atendidos são exatamente o que ainda falta evidenciar para a certificação. É a mesma fórmula do painel de conformidade, então gap analysis e painel nunca divergem.
Etapa 3: plano de ação (CAPA) e cronograma
Cada lacuna apontada pela gap analysis vira trabalho rastreável. Para toda resposta Não ou Parcial (Sim não gera ação), o sistema cria automaticamente um rascunho de CAPA no plano de ação (módulo M03) e um item de cronograma com prazo (módulo M09), ambos ligados ao requisito de origem.
- Não atendido — prioridade alta e prazo de 14 dias, contados a partir da aplicação do questionário.
- Parcialmente atendido — prioridade média e prazo de 30 dias.
- Reprocessar o questionário é idempotente: atualiza as ações e prazos já existentes em vez de duplicá-los.
Concluir uma CAPA exige evidência mínima. Assim, o diagnóstico deixa de ser uma foto estática e vira um plano de ação para a certificação: cada lacuna tem responsável, prazo e prioridade, e o avanço é medido de volta no painel de conformidade.
Etapa 4: auditoria interna e análise crítica
Antes da auditoria externa, a norma exige que a própria organização verifique o seu sistema. A auditoria interna (módulo M28) registra auditorias de primeira parte — planejamento, execução e achados — com código, escopo, responsável, data e status. Cada achado vira uma não conformidade vinculada por ID, que abre uma CAPA com prazo por severidade: crítica em 7 dias, maior em 14 e menor em 30. A verificação de eficácia encerra a não conformidade quando o resultado é eficaz e reabre o tratamento quando é ineficaz.
A análise crítica pela direção (módulo M19) fecha o ciclo: a liderança avalia indicadores, status de conformidade e ações em aberto e registra em ata o período, os participantes, as metas, os resultados e as decisões. Cada decisão que exige execução vira um item no plano de ação (M03), mantendo vínculo com a ata que a originou, e as atas assinadas ficam nas evidências (M11).
Etapa 5: auditoria de certificação (fase 1 e fase 2)
A certificação em si é uma auditoria externa (de terceira parte), conduzida por um organismo certificador acreditado. Ela costuma acontecer em duas fases:
- Fase 1 — análise de documentação e prontidão: o organismo avalia se o sistema de gestão está implementado e documentado, confirma o escopo e aponta os pontos de atenção para a fase seguinte.
- Fase 2 — auditoria no local: o auditor verifica a implementação e a eficácia na prática, colhendo evidências. Não conformidades identificadas precisam de correção e plano de ação aceito antes da emissão do certificado.
No SGQ, essa auditoria externa é registrada no mesmo módulo de auditorias (tipo externa), e o dossiê de evidências — documentos controlados, auditorias internas, não conformidades e CAPA — fica organizado por requisito no painel, pronto para ser apresentado ao auditor. Cada evidência aponta por ID para o seu registro de origem, preservando a rastreabilidade.
Manutenção: auditorias de acompanhamento e recertificação
O certificado não é permanente. Depois de emitido, ele é mantido por auditorias de acompanhamento (manutenção) periódicas — em geral anuais — e renovado por uma auditoria de recertificação ao fim do ciclo, normalmente de três anos. Entre uma auditoria externa e outra, o sistema de gestão precisa continuar operando e gerando evidências.
A operação contínua da qualidade sustenta esse ciclo: documentos controlados com versão e vigência, cronograma de vencimentos e obrigações (M09), indicadores (M10) e novas rodadas de auditoria interna e análise crítica mantêm as evidências atualizadas. Como os efeitos derivados são idempotentes, recalcular a conformidade ou reprocessar a gap analysis não duplica ações nem prazos.
Como o painel de conformidade indica a prontidão
A leitura de prontidão para a certificação é o painel de conformidade. Ele mostra, para cada norma, o percentual calculado (atendidos plenamente ÷ total) e faz drill-down de norma para seção e para requisito, com o percentual recalculado em cada nível. Assim a equipe localiza com precisão onde está o gap — uma Operação forte convivendo com uma Avaliação de Desempenho fraca, por exemplo — em vez de olhar um único número da norma inteira.
Cada requisito acumula as evidências que sustentam o seu status — documento, auditoria, não conformidade, CAPA e treinamento — vinculadas por referência de ID. Como o número é sempre derivado e nunca editável, ninguém consegue ajustar a conformidade para 100%: o painel reflete o estado real do sistema de gestão, sem maquiagem.
O SGQ não substitui o organismo certificador
O SGQ organiza, calcula e evidencia o sistema de gestão para que a equipe e a consultoria trabalhem sobre uma base única — mas não emite certificado nem substitui a auditoria de certificação. A decisão técnica continua com quem conhece o processo, e a certificação ou acreditação continua a cargo do organismo competente e acreditado.
O papel da plataforma é levar a organização à auditoria externa com as lacunas mapeadas e tratadas, as evidências vinculadas por requisito e a trilha auditável de tudo o que foi feito — encurtando a preparação e reduzindo o risco de não conformidades na fase 2.
Certificação ISO passo a passo, da preparação ao selo
- Escolher a norma e mapear os requisitos aplicáveis. Defina a norma a certificar (por exemplo, ISO 9001) habilitando a biblioteca de requisitos correspondente. Ao cadastrar a empresa pelo CNAE, o sistema vincula as normas aplicáveis; requisitos legais fora das bibliotecas de normas entram na matriz de requisitos legais (M18).
- Rodar a gap analysis (diagnóstico de aderência). Responda o questionário requisito a requisito com Sim, Não ou Parcial. O sistema grava o status de cada requisito e calcula o percentual de aderência pela regra atendidos plenos ÷ total.
- Executar o plano de ação (CAPA) e o cronograma. Para cada resposta Não ou Parcial, trate o rascunho de CAPA (M03) e o item de cronograma (M09) gerados automaticamente: Não com prioridade alta e 14 dias, Parcial com prioridade média e 30 dias. Concluir a CAPA exige evidência.
- Fazer auditoria interna e análise crítica pela direção. Planeje e execute a auditoria interna (M28), transformando achados em não conformidades e CAPAs, e registre a ata de análise crítica pela direção (M19) com metas, resultados, decisões e ações. É a exigência dos itens 9.2 e 9.3 da ISO 9001.
- Passar pela auditoria de certificação (fase 1 e fase 2). O organismo certificador acreditado conduz a fase 1 (análise de documentação e prontidão) e a fase 2 (auditoria no local, verificando implementação e eficácia). Apresente o dossiê de evidências organizado por requisito no painel.
- Manter a certificação (acompanhamento e recertificação). Sustente o certificado com auditorias de acompanhamento periódicas e a auditoria de recertificação ao fim do ciclo (em geral três anos), mantendo documentos, indicadores e novas rodadas de auditoria interna e análise crítica atualizados.
Perguntas frequentes
Quantas etapas tem a certificação ISO?
Cinco etapas de preparação — escolher a norma e mapear os requisitos aplicáveis, rodar a gap analysis, executar o plano de ação (CAPA) e o cronograma, e fazer a auditoria interna e a análise crítica pela direção — mais a auditoria de certificação externa, conduzida por um organismo certificador acreditado em duas fases. Depois do selo vêm as auditorias de acompanhamento e, ao fim do ciclo, a recertificação.
O que é a auditoria de certificação fase 1 e fase 2?
A fase 1 é a análise de documentação e prontidão: o organismo certificador confirma o escopo, verifica se o sistema de gestão está implementado e documentado e aponta pontos de atenção. A fase 2 é a auditoria no local, que verifica a implementação e a eficácia na prática e colhe evidências. Não conformidades identificadas precisam de correção e plano de ação aceito antes da emissão do certificado.
O SGQ emite o certificado ISO?
Não. O certificado é emitido por um organismo certificador acreditado. O SGQ prepara a organização, mede a prontidão no painel de conformidade e guarda as evidências vinculadas por requisito; ele não substitui a auditoria de certificação nem a consultoria.
Preciso fazer auditoria interna antes de certificar?
Sim. A ISO 9001:2015 exige auditoria interna a intervalos planejados (item 9.2) e análise crítica pela direção (item 9.3). No SGQ, a auditoria interna é registrada no módulo M28, os achados viram não conformidades e CAPAs rastreáveis, e a análise crítica é formalizada em ata no módulo M19, fechando o ciclo PDCA antes da auditoria externa.
Como sei que a empresa está pronta para a certificação?
Pelo painel de conformidade: o percentual por norma (atendidos plenamente ÷ total) e o drill-down por seção e por requisito mostram, sem maquiagem, o que ainda falta evidenciar. A gap analysis complementa gerando plano de ação e cronograma priorizados para fechar os gaps, e cada requisito exibe as evidências que sustentam o seu status.
Quanto tempo leva para certificar a empresa na ISO?
Depende da maturidade do sistema de gestão e do tamanho das lacunas mapeadas; não há prazo fixo. O que o SGQ faz é encurtar a preparação: a gap analysis prioriza as ações (Não em 14 dias, Parcial em 30), o plano de ação e o cronograma acompanham cada prazo, e o painel de conformidade indica quando as evidências sustentam a prontidão para chamar o organismo certificador.
Acessar o sistema