Normas ISO 9001 e 14001
Neste terceiro texto sobre as mudanças das normas ISO 9001 e 14001, abordarei aquelas referentes à mentalidade de riscos e à identificação de riscos e oportunidades.
A mentalidade de risco é uma abordagem que fazemos automaticamente e muitas vezes subconscientemente para obter o melhor resultado. O conceito de mentalidade de risco estava implícito na ISO 9001, incluindo, por exemplo, ações preventivas para eliminar não conformidades potenciais. A revisão 2015 a explicitou e a incorporou ao sistema de gestão como um todo, assegurando que seja parte do planejamento estratégico e operacional, com benefícios como melhoria na tomada de decisões, na eficácia do sistema de gestão e desempenho, bem como da confiança e satisfação das partes interessadas.
Riscos e Oportunidades
A mentalidade de risco aplicada na ISO 9001 possibilitou alguma redução em requisitos prescritivos e sua substituição por requisitos baseados em desempenho. Há maior flexibilidade que a versão anterior nos requisitos para processos, informação documentada e responsabilidades organizacionais, substituindo ainda o requisito de ação preventiva.
Definições
A ISO 9000:2015 define risco como efeito da incerteza, com explicações adicionais:
- um efeito é um desvio do esperado – positivo ou negativo. Mas a palavra risco é algumas vezes utilizada quando há somente a possibilidade de consequências negativas.
- incerteza é o estado, ainda que parcial, de deficiência de informação, de compreensão ou de conhecimento relacionado a um evento, sua consequência ou probabilidade.
- risco é frequentemente caracterizado pela referência a “eventos” potenciais e “consequências”, sendo expresso em termos de uma combinação de suas consequências e “probabilidade”.
Pensando no sistema da qualidade, oportunidades podem surgir como resultado de uma situação favorável ao alcance de um resultado pretendido, p.ex. um conjunto de circunstâncias que possibilite à organização atrair clientes, desenvolver novos produtos e serviços, reduzir desperdício ou melhorar produtividade, podendo levar à adoção de novas práticas, lançamento de novos produtos, abertura de novos mercados, abordagem de novos clientes, construção de parcerias, uso de novas tecnologias, etc. Ações para abordar oportunidades podem também incluir a consideração de riscos associados. Um desvio positivo proveniente de um risco pode oferecer uma oportunidade, mas nem todos os efeitos positivos de risco resultam em oportunidades.
A ISO 14001:2015, por sua vez, aborda os riscos e oportunidades de forma similar à ISO 9001 (não fala de uma mentalidade de riscos), porém ressalta o caráter negativo dos riscos e positivo das oportunidades, como a própria definição de riscos e oportunidades (exclusiva da ISO 14001): efeitos potenciais adversos (ameaças) e efeitos potenciais benéficos (oportunidades). Além disto, a cultura de riscos em meio ambiente é mais consolidada em torno dos conceitos e técnicas de análises de riscos.
Requisitos das Normas ISO 9001 e 14001
Para estar conforme com os requisitos destas normas, uma organização precisa planejar e implementar ações para abordar riscos e oportunidades, possibilitando o aumento da eficácia do sistema de gestão, melhoria de resultados e prevenção de efeitos negativos.
Os riscos e oportunidades são abordados nas normas ISO 9001 e 14001 em:
Introdução da ISO 9001 – conceito de mentalidade de risco
Item 4 da ISO 9001 – contém requisito para determinar os processos necessários para o sistema de gestão da qualidade e sua aplicação na organização, que devem abordar os riscos e oportunidades conforme o item 6.1;
Item 5 – a alta direção deve, no caso da ISO 9001:
o promover o uso da abordagem de processo e da mentalidade de risco;
o determinar e abordar os riscos e oportunidades que possam afetar a conformidade de produtos e serviços e a capacidade de aumentar a satisfação do cliente;
Item 6 – nas duas normas, a organização deve:
o determinar riscos e oportunidades relacionadas ao desempenho do sistema de gestão (considerando o já definido no item 4; na ISO 14001 deve-se considerar ainda aqueles relacionados aos aspectos ambientais e requisitos legais e outros, bem como potenciais situações de emergência);
o planejar:
ações para abordar esses riscos e oportunidades (no caso da ISO 9001, são exemplificadas opções para abordar riscos: evitá-los, assumi-los, eliminar a sua fonte, mudar a sua probabilidade ou consequências, compartilhá-lo ou retê-lo);como integrar, implementar e avaliar a eficácia dessas ações nos processos do seu sistema de gestão;
Item 7 – requer a determinação e provisão de recursos para implementar as ações para abordar riscos e oportunidades;
Item 8 – requisita o planejamento e controle dos processos para tratar das ações identificadas no item 6. No caso da ISO 14001, isto inclui o cumprimento dos requisitos legais e outros, bem como controle sobre os aspectos e impactos ambientais;
Item 9 – requer o monitoramento, medição, análise e avaliação da eficácia das ações tomadas para abordar os riscos e oportunidades (explicitamente na ISO 9001 e mais indiretamente na ISO 14001), incluindo a sua abordagem na análise crítica pela direção;
Item 10 – requisita a correção, prevenção ou redução dos efeitos indesejáveis e a melhoria do sistema de gestão, e atualização dos riscos e oportunidades frente a
mudanças (explicitamente na ISO 9001 e mais indiretamente na ISO 14001).
Implementação
Apesar dos requisitos para abordar riscos e oportunidades disseminados pelas normas ISO 9001 e 14001, não há definição para métodos formais para gestão de riscos ou um processo de gestão de risco documentado. As organizações podem decidir desenvolver ou não uma metodologia de gestão de risco mais extensiva/formal que o requerido por esta Norma, por exemplo, através da aplicação de outras diretrizes.
A mais reconhecida norma internacional para avaliação de riscos é a ISO 31000 (Gestão de riscos: Princípios e diretrizes) e seus desdobramentos, como a ISO TR 31004 (Gestão de riscos – Guia para implementação da ABNT NBR ISO 31000) e a ISO/IEC 31010 (Gestão de riscos – Técnicas para avaliação de riscos, com cerca de 30 opções de técnicas, desde as mais simples até as mais complexas).
Independentemente da necessidade de adoção integral, vale entender a abordagem e avaliar o uso parcial. Outras ferramentas podem também ser empregadas, como matriz SWOT (Forças, fraqueza, oportunidades e ameaças).
O processo deve ser adequado às características da organização, e a decisão sobre o grau de formalidade e informação documentada deve ser por ela decidida, principalmente no caso da ISO 9001.
A ISO 14001 é mais rigorosa neste ponto, pois os riscos e oportunidades também têm como fonte os aspectos ambientais (que envolve um processo de avaliação de riscos, no mínimo as potenciais situações de emergência) e requisitos legais/outros.
Ela define que deve ser mantida informação documentada de seus riscos e oportunidades que precisam ser abordados, e dos processos necessários em 6.1.1 a 6.1.4, na extensão necessária para ter confiança de que eles sejam realizados conforme planejado.
Do ponto de vista do auditor, ele deve verificar a implementação da mentalidade de risco (ISO 9001) e os resultados das etapas do PDCA relativo aos riscos e oportunidades, devendo estar aberto ao processo adotado pela organização bem como às técnicas e informação documentada mantidas/retidas.
Quer saber mais?
Michel Epelbaum – diretor da Ellux Consultoria
Consulte nossos serviços de Consultoria, Treinamento e Auditoria em Sistemas de Gestão, inclusive nas Normas ISO 14001:2015 e ISO 9001:2015.
Pingback: Normas ISO 9001:2015 e 14001:2015 mudanças
Pingback: Maiores Mudanças Normas ISO 9001, ISO 14001 e OHSAS 18001