Gestão de riscos da qualidade: a mentalidade baseada em risco da ISO 9001 (6.1)
A gestão de riscos da qualidade coloca em prática a mentalidade baseada em risco exigida pela ISO 9001:2015 na cláusula 6.1: identificar riscos e oportunidades por processo, avaliá-los numa matriz de probabilidade x impacto, tratá-los no plano de ação e comprovar esse tratamento como evidência de requisito no painel de conformidade. No SGQ — Plataforma de Conformidade Inteligente, o módulo de Riscos integra a camada de gestão do plano Professional e está previsto no roteiro do produto (Fase 4 do roadmap).
Resumo rápido
- A ISO 9001:2015 formaliza a mentalidade baseada em risco na cláusula 6.1 (Ações para abordar riscos e oportunidades): riscos deixam de ser tratados só depois do problema e passam a ser planejados por processo.
- A avaliação combina probabilidade e impacto numa matriz que deriva o nível de risco e a classificação, ordenando de forma auditável a prioridade de tratamento.
- O tratamento vira ação no plano de ação, com prazo no cronograma e conclusão que exige evidência — a mesma cadeia integrada e idempotente do chassi (risco → ação → cronograma → evidência → indicador).
- O risco tratado conta como evidência do requisito 6.1 no painel de conformidade, cujo percentual por norma é calculado a partir do status por requisito e das evidências vinculadas, nunca digitado à mão.
- O FMEA (Análise dos Modos de Falha e seus Efeitos) é citado como método de referência do roteiro funcional do produto, ao lado da matriz de probabilidade x impacto.
- Disponibilidade: módulo de Riscos do plano Professional, previsto na Fase 4 do roadmap; hoje o módulo de riscos e PGR (M02) pertence ao vertical de SST e não integra o pacote de qualidade.
Mentalidade baseada em risco na ISO 9001 (6.1)
A ISO 9001:2015 introduziu a mentalidade baseada em risco (risk-based thinking) como conceito central do sistema de gestão da qualidade. A cláusula 6.1 — Ações para abordar riscos e oportunidades — exige que a organização determine os riscos e as oportunidades que precisam ser tratados para assegurar que o SGQ alcance os resultados pretendidos, previna ou reduza efeitos indesejados e busque a melhoria contínua.
Na estrutura da norma, o requisito 6.1 pertence à Seção 6 (Planejamento) e se conecta diretamente à Seção 4 (Contexto da organização e partes interessadas): os riscos e oportunidades nascem da análise do contexto e dos processos. Essa abordagem substitui a antiga ação preventiva isolada das versões anteriores da norma — o risco passa a ser considerado no planejamento, não apenas depois da ocorrência.
Identificação de riscos e oportunidades por processo
A gestão de riscos da qualidade começa pelo mapa de processos: cada processo do SGQ carrega riscos (o que pode desviar o resultado, gerar não conformidade ou frustrar uma parte interessada) e oportunidades (o que pode elevar o desempenho). A identificação parte do contexto da organização e dos requisitos das normas aplicáveis, e não de uma lista genérica.
As fontes de risco costumam aparecer nos próprios registros do sistema, o que evita retrabalho e planilha paralela:
- Processos do SGQ e seus objetivos da qualidade
- Requisitos das normas aplicáveis à organização
- Não conformidades e reclamações recorrentes
- Mudanças de processo, produto, fornecedor ou equipamento
- Achados de auditoria interna e externa
Matriz de probabilidade x impacto e priorização
Cada risco é avaliado por duas dimensões: a probabilidade de ocorrência e o impacto sobre a qualidade e sobre o resultado do processo. A combinação das duas produz um nível de risco derivado e uma classificação — por exemplo, baixo, médio, alto ou crítico — que ordena a fila de tratamento.
Como o nível é calculado a partir da probabilidade e do impacto (e não informado à mão), a priorização fica auditável: riscos de classificação mais alta entram primeiro no plano de ação, e a decisão de prioridade pode ser justificada e revista. É o mesmo princípio de derivação usado no chassi de riscos do produto, em que o nível de risco é um campo calculado e não um valor livre.
Tratamento de riscos e ações no plano de ação
Tratar um risco significa definir e executar ações para eliminá-lo, reduzi-lo, compartilhá-lo ou aceitá-lo sob monitoramento. No SGQ, esse tratamento não fica solto: cada ação nasce no plano de ação, com prioridade, responsável, prazo e status, e a sua conclusão exige evidência mínima registrada. É a cadeia integrada e idempotente do produto:
- O risco avaliado gera uma ou mais ações no plano de ação (M03).
- Cada ação gera automaticamente um prazo no cronograma de vencimentos (M09).
- A ação só é concluída com evidência anexada como documento (M11).
- O resultado alimenta os indicadores da qualidade (M10), fechando o ciclo de monitoramento.
Riscos que permanecem sob acompanhamento ficam com status de monitoramento, mantendo a rastreabilidade sem hard-delete: nada é apagado, apenas evolui de estado.
Risco tratado como evidência de requisito no painel
O painel de conformidade do SGQ calcula automaticamente o percentual de aderência por norma a partir do status de cada requisito e das evidências vinculadas — conformidade calculada, nunca declarada. O tratamento de um risco (o registro, a ação e a evidência anexada) vincula-se ao requisito 6.1 da ISO 9001 e passa a sustentar esse percentual.
No SGQ, evidência é vínculo: documentos, ações, treinamentos e qualificações de fornecedor se conectam a requisitos, e é esse grafo de vínculos que alimenta o painel de conformidade, a gap analysis e a IA da biblioteca. Assim, a gestão de riscos deixa de ser um exercício à parte e vira prova viva de que o requisito de planejamento da norma está atendido.
FMEA como método de referência para análise de riscos
O FMEA (Failure Mode and Effects Analysis, ou Análise dos Modos de Falha e seus Efeitos) é um método estruturado para mapear modos de falha de um processo ou produto, avaliar seus efeitos e priorizar ações de mitigação. Ele aparece como método de referência do roteiro funcional do produto, ao lado da avaliação por matriz de probabilidade x impacto.
Disponibilidade: módulo Professional (roadmap Fase 4)
Comercialmente, a gestão de riscos compõe a camada de gestão do plano Professional, que reúne, sobre o núcleo Essential (documentos, auditorias, não conformidades e CAPA), os módulos de Indicadores, Riscos, Treinamentos e Fornecedores mais uma biblioteca de requisitos à escolha (ISO 9001 como padrão). O acesso a cada módulo e biblioteca é liberado por entitlements da organização, com gating por plano fail-closed.
Perguntas frequentes
O que é a mentalidade baseada em risco na ISO 9001?
É a abordagem preventiva formalizada pela ISO 9001:2015 na cláusula 6.1 (Ações para abordar riscos e oportunidades). Ela exige que a organização considere riscos e oportunidades ao planejar e operar seus processos, para assegurar os resultados do SGQ e reduzir efeitos indesejados. Substitui a ação preventiva isolada das versões anteriores da norma.
Como funciona a matriz de probabilidade x impacto?
Cada risco é avaliado pela probabilidade de ocorrência e pelo impacto sobre a qualidade. A combinação das duas dimensões deriva automaticamente um nível de risco e uma classificação (por exemplo, baixo, médio, alto ou crítico), que ordena a prioridade de tratamento de forma auditável, sem número digitado à mão.
A gestão de riscos da qualidade usa FMEA?
O FMEA (Análise dos Modos de Falha e seus Efeitos) é citado como método de referência do roteiro funcional do produto, ao lado da matriz de probabilidade x impacto, que é a base da avaliação prevista. Trata-se de referência de método, não de recurso já habilitado.
O módulo de gestão de riscos da qualidade já está disponível?
A matriz de riscos dedicada ao vertical de qualidade está prevista na Fase 4 do roadmap, dentro do plano Professional. Hoje o módulo de riscos e PGR (M02) pertence ao vertical de SST e não integra o pacote de qualidade; a versão para qualidade evolui a partir da mesma cadeia já existente de ação, cronograma e evidência.
Em qual plano está a gestão de riscos da qualidade?
No plano Professional, que reúne o núcleo Essential (documentos, auditorias, não conformidades e CAPA) mais os módulos de Indicadores, Riscos, Treinamentos e Fornecedores e uma biblioteca de requisitos à escolha. A liberação é feita por entitlements da organização, com gating por plano.
Os riscos tratados contam como evidência no painel de conformidade?
Sim. O registro do risco, a ação de tratamento e a evidência anexada vinculam-se ao requisito 6.1 da ISO 9001 e passam a sustentar o percentual calculado do painel de conformidade, que deriva do status por requisito e das evidências vinculadas — conformidade calculada, nunca declarada.
Acessar o sistema