SGQ — Plataforma de Conformidade InteligenteAcessar o sistema

Gestão de riscos da qualidade: a mentalidade baseada em risco da ISO 9001 (6.1)

A gestão de riscos da qualidade coloca em prática a mentalidade baseada em risco exigida pela ISO 9001:2015 na cláusula 6.1: identificar riscos e oportunidades por processo, avaliá-los numa matriz de probabilidade x impacto, tratá-los no plano de ação e comprovar esse tratamento como evidência de requisito no painel de conformidade. No SGQ — Plataforma de Conformidade Inteligente, o módulo de Riscos integra a camada de gestão do plano Professional e está previsto no roteiro do produto (Fase 4 do roadmap).

Resumo rápido

  • A ISO 9001:2015 formaliza a mentalidade baseada em risco na cláusula 6.1 (Ações para abordar riscos e oportunidades): riscos deixam de ser tratados só depois do problema e passam a ser planejados por processo.
  • A avaliação combina probabilidade e impacto numa matriz que deriva o nível de risco e a classificação, ordenando de forma auditável a prioridade de tratamento.
  • O tratamento vira ação no plano de ação, com prazo no cronograma e conclusão que exige evidência — a mesma cadeia integrada e idempotente do chassi (risco → ação → cronograma → evidência → indicador).
  • O risco tratado conta como evidência do requisito 6.1 no painel de conformidade, cujo percentual por norma é calculado a partir do status por requisito e das evidências vinculadas, nunca digitado à mão.
  • O FMEA (Análise dos Modos de Falha e seus Efeitos) é citado como método de referência do roteiro funcional do produto, ao lado da matriz de probabilidade x impacto.
  • Disponibilidade: módulo de Riscos do plano Professional, previsto na Fase 4 do roadmap; hoje o módulo de riscos e PGR (M02) pertence ao vertical de SST e não integra o pacote de qualidade.

Mentalidade baseada em risco na ISO 9001 (6.1)

A ISO 9001:2015 introduziu a mentalidade baseada em risco (risk-based thinking) como conceito central do sistema de gestão da qualidade. A cláusula 6.1 — Ações para abordar riscos e oportunidades — exige que a organização determine os riscos e as oportunidades que precisam ser tratados para assegurar que o SGQ alcance os resultados pretendidos, previna ou reduza efeitos indesejados e busque a melhoria contínua.

Na estrutura da norma, o requisito 6.1 pertence à Seção 6 (Planejamento) e se conecta diretamente à Seção 4 (Contexto da organização e partes interessadas): os riscos e oportunidades nascem da análise do contexto e dos processos. Essa abordagem substitui a antiga ação preventiva isolada das versões anteriores da norma — o risco passa a ser considerado no planejamento, não apenas depois da ocorrência.

Identificação de riscos e oportunidades por processo

A gestão de riscos da qualidade começa pelo mapa de processos: cada processo do SGQ carrega riscos (o que pode desviar o resultado, gerar não conformidade ou frustrar uma parte interessada) e oportunidades (o que pode elevar o desempenho). A identificação parte do contexto da organização e dos requisitos das normas aplicáveis, e não de uma lista genérica.

As fontes de risco costumam aparecer nos próprios registros do sistema, o que evita retrabalho e planilha paralela:

  • Processos do SGQ e seus objetivos da qualidade
  • Requisitos das normas aplicáveis à organização
  • Não conformidades e reclamações recorrentes
  • Mudanças de processo, produto, fornecedor ou equipamento
  • Achados de auditoria interna e externa

Matriz de probabilidade x impacto e priorização

Cada risco é avaliado por duas dimensões: a probabilidade de ocorrência e o impacto sobre a qualidade e sobre o resultado do processo. A combinação das duas produz um nível de risco derivado e uma classificação — por exemplo, baixo, médio, alto ou crítico — que ordena a fila de tratamento.

Como o nível é calculado a partir da probabilidade e do impacto (e não informado à mão), a priorização fica auditável: riscos de classificação mais alta entram primeiro no plano de ação, e a decisão de prioridade pode ser justificada e revista. É o mesmo princípio de derivação usado no chassi de riscos do produto, em que o nível de risco é um campo calculado e não um valor livre.

Tratamento de riscos e ações no plano de ação

Tratar um risco significa definir e executar ações para eliminá-lo, reduzi-lo, compartilhá-lo ou aceitá-lo sob monitoramento. No SGQ, esse tratamento não fica solto: cada ação nasce no plano de ação, com prioridade, responsável, prazo e status, e a sua conclusão exige evidência mínima registrada. É a cadeia integrada e idempotente do produto:

  1. O risco avaliado gera uma ou mais ações no plano de ação (M03).
  2. Cada ação gera automaticamente um prazo no cronograma de vencimentos (M09).
  3. A ação só é concluída com evidência anexada como documento (M11).
  4. O resultado alimenta os indicadores da qualidade (M10), fechando o ciclo de monitoramento.

Riscos que permanecem sob acompanhamento ficam com status de monitoramento, mantendo a rastreabilidade sem hard-delete: nada é apagado, apenas evolui de estado.

Risco tratado como evidência de requisito no painel

O painel de conformidade do SGQ calcula automaticamente o percentual de aderência por norma a partir do status de cada requisito e das evidências vinculadas — conformidade calculada, nunca declarada. O tratamento de um risco (o registro, a ação e a evidência anexada) vincula-se ao requisito 6.1 da ISO 9001 e passa a sustentar esse percentual.

No SGQ, evidência é vínculo: documentos, ações, treinamentos e qualificações de fornecedor se conectam a requisitos, e é esse grafo de vínculos que alimenta o painel de conformidade, a gap analysis e a IA da biblioteca. Assim, a gestão de riscos deixa de ser um exercício à parte e vira prova viva de que o requisito de planejamento da norma está atendido.

FMEA como método de referência para análise de riscos

O FMEA (Failure Mode and Effects Analysis, ou Análise dos Modos de Falha e seus Efeitos) é um método estruturado para mapear modos de falha de um processo ou produto, avaliar seus efeitos e priorizar ações de mitigação. Ele aparece como método de referência do roteiro funcional do produto, ao lado da avaliação por matriz de probabilidade x impacto.

Disponibilidade: módulo Professional (roadmap Fase 4)

Comercialmente, a gestão de riscos compõe a camada de gestão do plano Professional, que reúne, sobre o núcleo Essential (documentos, auditorias, não conformidades e CAPA), os módulos de Indicadores, Riscos, Treinamentos e Fornecedores mais uma biblioteca de requisitos à escolha (ISO 9001 como padrão). O acesso a cada módulo e biblioteca é liberado por entitlements da organização, com gating por plano fail-closed.

Perguntas frequentes

O que é a mentalidade baseada em risco na ISO 9001?

É a abordagem preventiva formalizada pela ISO 9001:2015 na cláusula 6.1 (Ações para abordar riscos e oportunidades). Ela exige que a organização considere riscos e oportunidades ao planejar e operar seus processos, para assegurar os resultados do SGQ e reduzir efeitos indesejados. Substitui a ação preventiva isolada das versões anteriores da norma.

Como funciona a matriz de probabilidade x impacto?

Cada risco é avaliado pela probabilidade de ocorrência e pelo impacto sobre a qualidade. A combinação das duas dimensões deriva automaticamente um nível de risco e uma classificação (por exemplo, baixo, médio, alto ou crítico), que ordena a prioridade de tratamento de forma auditável, sem número digitado à mão.

A gestão de riscos da qualidade usa FMEA?

O FMEA (Análise dos Modos de Falha e seus Efeitos) é citado como método de referência do roteiro funcional do produto, ao lado da matriz de probabilidade x impacto, que é a base da avaliação prevista. Trata-se de referência de método, não de recurso já habilitado.

O módulo de gestão de riscos da qualidade já está disponível?

A matriz de riscos dedicada ao vertical de qualidade está prevista na Fase 4 do roadmap, dentro do plano Professional. Hoje o módulo de riscos e PGR (M02) pertence ao vertical de SST e não integra o pacote de qualidade; a versão para qualidade evolui a partir da mesma cadeia já existente de ação, cronograma e evidência.

Em qual plano está a gestão de riscos da qualidade?

No plano Professional, que reúne o núcleo Essential (documentos, auditorias, não conformidades e CAPA) mais os módulos de Indicadores, Riscos, Treinamentos e Fornecedores e uma biblioteca de requisitos à escolha. A liberação é feita por entitlements da organização, com gating por plano.

Os riscos tratados contam como evidência no painel de conformidade?

Sim. O registro do risco, a ação de tratamento e a evidência anexada vinculam-se ao requisito 6.1 da ISO 9001 e passam a sustentar o percentual calculado do painel de conformidade, que deriva do status por requisito e das evidências vinculadas — conformidade calculada, nunca declarada.

SGQ — Plataforma de Conformidade Inteligente
Acessar o sistema