A ISO 9001:2015 excluiu o requisito 8.5.3. da versão 2008, que tratava das Ações Preventivas, substituindo esta questão pelo requisito 6.1 Ações par abordar riscos e oportunidades, a gestão de riscos na ISO 9001:2015 .
Na versão 2008 da ISO 9001 a ação preventiva podia ser aberta a qualquer momento para tratar das não conformidades em potencial. Já na ISO 9001:2015 a organização deve definir as ações para tratar os riscos e oportunidades no momento do planejamento do Sistema de Gestão da Qualidade, devendo assim serem reavaliadas nas reuniões de análise crítica da Alta Direção.
De acordo com a ISO 31000:2009 – Princípios e diretrizes, a implantação de um processo de gestão de riscos traz diversos benefícios:
- Aumentar a probabilidade de atingir os objetivos;
- Melhorar a identificação de oportunidades e ameaças;
- Atender os requisitos legais e regulatórios pertinentes;
- Melhorar a confiança das partes interessadas;
- Estabelecer uma base confiável para a tomada de decisão e o planejamento;
- Melhorar os controles;
- Alocar e utilizar de forma eficaz os recursos para o tratamento de riscos;
- Melhorar a eficácia e a eficiência operacional;
- Minimizar perdas;
- Melhorar a aprendizagem organizacional;
- Aumentar a resiliência da organização.
Ainda, de acordo com a ISO 31000, um processo de gestão de riscos consiste no estabelecimento do contexto organizacional, identificação, análise, avaliação e tratamento de riscos, que por sua vez devem ser comunicados, monitorados e analisados criticamente, conforme figura a seguir.
Tanto a ISO 9001:2015 como a ISO 31000:2009 estabelecem que o contexto organizacional deve ser levado em consideração na identificação dos riscos e oportunidades. Considera-se Contexto Organizacional:
- A análise do ambiente interno e externo;
- As necessidades e expectativas das partes interessadas;
- Os processos do escopo do Sistema de Gestão da Qualidade.
Depois de identificado os riscos, estes devem ser analisados e avaliados. Na maioria das vezes, a análise envolve a apreciação das causas e das fontes de risco, suas consequências (Impactos) positivas e negativas, e a probabilidade de que essas consequências possam ocorrer. A avaliação pode ser qualitativa, quantitativa ou semi-quantitativa.
As ações para tratar dos riscos e oportunidades devem estar de acordo com o impacto potencial sobre a conformidade dos produtos ou serviços. De acordo com a ISO 31000, há diversas opções de tratamento de riscos:
- Ação de evitar o risco ao se decidir não iniciar ou descontinuar a atividade que dá origem ao risco;
- Tomada ou aumento do risco na tentativa de tirar proveito de uma oportunidade;
- Remoção da fonte de risco;
- Alteração da probabilidade;
- Alteração das consequências;
- Compartilhamento do risco com outra parte ou partes (incluindo contratos e financiamento do risco); e
- Retenção do risco por uma decisão consciente e bem embasada.
É importante observar que existem riscos que a probabilidade de ocorrência é baixa, mas o impacto é tão relevante que o risco deve ser evitado a qualquer custo, como por exemplo, um acidente aéreo.
Por fim, fica a dica de leitura da ISO 31000:2009 para melhorar o processo de gestão de riscos do seu sistema de gestão da qualidade ISO 9001:2015.
