ISO 9001

Gestão de riscos na ISO 9001 (requisito 6.1): como atender sem complicar

Quando a ISO 9001:2015 trocou o velho procedimento de "ação preventiva" pela mentalidade de risco, muita empresa entendeu errado e produziu uma planilha de riscos com 120 linhas que ninguém abre depois da auditoria. O requisito 6.1 não pede isso. Ele pede algo bem mais simples de entender e bem mais difícil de fingir: que você pense nos riscos antes de eles virarem problema e faça alguma coisa a respeito.

Neste guia você vai ver o que o requisito 6.1 realmente exige, como levantar riscos e oportunidades a partir do contexto da organização, como montar a matriz de probabilidade x impacto sem transformar isso num projeto de mestrado, como decidir o que tratar e o que aceitar, e os erros que fazem a gestão de riscos virar burocracia morta.

Gestão de riscos na ISO 9001: o que o requisito 6.1 exige de verdade

O requisito 6.1 — "Ações para abordar riscos e oportunidades" — tem uma redação curta e uma exigência clara. A organização deve, ao planejar o sistema de gestão da qualidade:

  • Determinar os riscos e oportunidades que precisam ser abordados para dar garantia de que o SGQ alcança seus resultados, aumenta os efeitos desejáveis e previne os indesejáveis;
  • Planejar ações para tratar esses riscos e oportunidades;
  • Integrar essas ações aos processos do sistema de gestão;
  • Avaliar a eficácia dessas ações.

Repare no que não está escrito. Não há exigência de método, de matriz, de software, nem de um documento chamado "mapa de riscos". A norma até diz, em nota, que as ações podem incluir evitar, assumir, eliminar a fonte, mudar a probabilidade, compartilhar ou reter o risco por decisão consciente. E deixa explícito que a ação deve ser proporcional ao impacto potencial na conformidade e na satisfação do cliente. Ou seja: risco pequeno, tratamento leve. É essa proporcionalidade que a maioria esquece — e é por isso que tanta planilha de risco fica inchada.

💡 Mentalidade de risco não é preencher formulário. É a pergunta que um bom gestor já faz naturalmente: "o que pode dar errado aqui, e o que eu faço se der?". O requisito 6.1 só pede que você registre essa reflexão de forma que ela possa ser mostrada e revisada.

De onde saem os riscos: comece pelo contexto

Riscos não aparecem do nada — eles nascem do contexto da organização (requisito 4.1) e das necessidades das partes interessadas (4.2). Por isso a gestão de riscos só funciona quando é a continuação dessa análise, não um exercício isolado. Antes de listar risco nenhum, tenha na mão:

  • As questões internas e externas que afetam o SGQ — a análise de contexto (uma matriz SWOT é o instrumento mais comum aqui: ameaças e fraquezas são fontes diretas de risco; oportunidades e forças alimentam as oportunidades do 6.1);
  • As partes interessadas relevantes e o que elas exigem — cliente, órgão regulador, matriz, fornecedor crítico;
  • Os processos do SGQ e onde eles mais falham hoje.

Uma forma prática de gerar a lista: percorra cada processo crítico e pergunte "o que pode fazer este processo não entregar o resultado esperado ao cliente?". Se você já fez o mapeamento dos seus processos, essa varredura fica muito mais rápida — cada gargalo e cada "entrega de bastão" entre setores que o mapa revelou é um candidato a risco.

Passo 1 — Identifique riscos e oportunidades (e separe os dois)

Um erro comum é listar só o lado ruim. O 6.1 fala em riscos e oportunidades — e a oportunidade não é "o contrário do risco", é uma possibilidade favorável que vale a pena perseguir: um novo mercado, um processo que pode ser automatizado, uma parceria, um requisito de cliente que vira diferencial. Trate-a com a mesma seriedade: quem é o dono, qual a ação, qual o prazo.

Para os riscos, descreva cada um como uma frase de causa e efeito, não como uma palavra solta. "Fornecedor" não é um risco. "Atraso na entrega do fornecedor único de matéria-prima X pode parar a linha e gerar atraso ao cliente" — isso é um risco, e já aponta para a ação. Um risco bem escrito quase resolve sozinho o que fazer com ele.

Passo 2 — Analise com a matriz de probabilidade x impacto

Com os riscos listados, você precisa priorizá-los — porque não dá (nem deve) tratar todos com a mesma energia. A ferramenta padrão é a matriz de probabilidade x impacto: pontue cada risco em duas dimensões e multiplique para obter o nível de risco.

NívelProbabilidadeImpacto (na conformidade / no cliente)
1 — BaixoRaro / improvávelEfeito mínimo, contornável internamente
2 — MédioPossível de vez em quandoRetrabalho, atraso pontual, reclamação isolada
3 — AltoProvável / frequentePerda de cliente, não conformidade grave, risco legal

Multiplicando probabilidade × impacto, cada risco cai numa faixa que define a prioridade:

Nível de risco (P × I)FaixaO que fazer
1 a 2Baixo (verde)Aceitar e monitorar — sem ação obrigatória
3 a 4Médio (amarelo)Tratar quando houver recurso; manter sob controle
6 a 9Alto (vermelho)Ação obrigatória e prazo definido

✅ A matriz não precisa ser 5×5 para ser boa. Uma escala 3×3 como esta é mais rápida de aplicar e menos sujeita a discussão infinita sobre "isso é 3 ou 4?". Comece simples: você sempre pode refinar a escala depois que a equipe pegar o jeito.

Um cuidado: a pontuação é um apoio à decisão, não uma sentença matemática. Se um risco deu "médio" na conta mas o seu faro de campo diz que ele é grave, confie no faro e trate — a matriz existe para ajudar a priorizar, não para terceirizar o julgamento.

Passo 3 — Defina a ação para cada risco relevante

Aqui está o coração do 6.1, e onde a maioria das planilhas morre: risco identificado sem ação é só um diagnóstico bonito. Para cada risco das faixas amarela e vermelha, decida a estratégia de tratamento:

  • Evitar — não fazer a atividade que gera o risco (mudar o processo, deixar de atender um segmento problemático);
  • Reduzir — atacar a probabilidade ou o impacto (qualificar um segundo fornecedor, criar um checkpoint de inspeção, treinar a equipe);
  • Compartilhar / transferir — seguro, contrato, terceirização de parte do risco;
  • Aceitar — reter o risco de forma consciente e registrada, quando o custo de tratar supera o do próprio risco.

Escolhida a estratégia, transforme-a em ação concreta com responsável e prazo. É exatamente aqui que uma ferramenta simples de plano de ação como o 5W2H encaixa: cada risco vermelho gera uma linha de "o quê, quem, quando, como". Sem isso, o tratamento fica no verbo no infinitivo ("melhorar o controle de fornecedores") e nunca acontece.

⚠️ Não confunda risco com não conformidade. O risco é o que pode acontecer; a não conformidade é o que aconteceu. A gestão de riscos é preventiva (6.1); quando o problema ocorre, você entra no fluxo de tratativa de não conformidade. Aliás, uma NC recorrente é um ótimo sinal de que faltou mapear aquele risco lá atrás — realimente sua análise com o que a NC ensinou.

Passo 4 — Integre as ações ao dia a dia e avalie a eficácia

O requisito 6.1 pede duas coisas que costumam ser esquecidas: integrar as ações aos processos e avaliar a eficácia delas. Traduzindo:

  1. A ação de risco não pode viver só na planilha. Se você decidiu criar um checkpoint de inspeção para reduzir um risco, esse checkpoint precisa aparecer no procedimento do processo, no POP e na rotina de quem executa — senão ele não existe na prática.
  2. Meça se a ação funcionou. Ligue os riscos tratados a indicadores: se o risco era "atraso do fornecedor", acompanhe o índice de entregas no prazo depois de qualificar o segundo fornecedor. Se o número não melhorou, a ação não foi eficaz — e você precisa de outra.
  3. Feche o ciclo. A gestão de riscos é, no fundo, um PDCA: planejar a ação (P), executar (D), verificar se o risco caiu (C) e padronizar o que funcionou (A). Sem o Check e o Act, você só tem uma lista de boas intenções.

Como manter a análise viva (e não só na semana da auditoria)

A pior versão da gestão de riscos é aquela que é preenchida na véspera da auditoria e congelada por doze meses. Para manter a análise útil:

  • Reveja na análise crítica pela direção — leve o mapa de riscos para a reunião de direção e discuta o que mudou de status;
  • Use a mudança como gatilho — novo cliente grande, troca de fornecedor, nova legislação, reestruturação: toda mudança relevante pede uma revisão dos riscos daquele processo (isso conversa direto com o requisito 6.3, planejamento de mudanças);
  • Deixe o mapa acessível — se só o gestor da qualidade sabe que ele existe, ninguém vai alimentá-lo. Os donos de processo precisam enxergar os riscos que são deles.

Os 5 erros mais comuns no requisito 6.1

  1. Planilha gigante — listar 100 riscos com o mesmo peso garante que nenhum será tratado; concentre nos críticos e seja proporcional;
  2. Risco sem ação — identificar e não decidir o que fazer é entregar meio requisito; toda faixa vermelha precisa de plano;
  3. Confundir risco com NC — misturar o que pode acontecer com o que já aconteceu embaralha a prevenção com a correção;
  4. Esquecer as oportunidades — o 6.1 tem dois lados; só listar ameaças deixa a metade boa da norma na mesa;
  5. Análise congelada — preencher uma vez e nunca revisar transforma a mentalidade de risco em documento morto.

Gestão de riscos e o resto da ISO 9001

O requisito 6.1 não é uma ilha: ele puxa o contexto (4.1) como entrada, alimenta o planejamento de mudanças (6.3), aparece na análise crítica pela direção (9.3) e fecha o laço com a melhoria (10) quando um risco que virou problema realimenta a análise. É a espinha preventiva que atravessa toda a norma. Se você está montando o sistema do zero, vale entender como essas peças se encaixam no guia prático da ISO 9001 antes de se afundar em uma única cláusula.

No fim, atender ao 6.1 sem complicar é uma questão de dose: pense nos riscos que realmente importam, escreva-os como causa e efeito, priorize com uma matriz simples, transforme os relevantes em ações com dono e prazo, e revise quando o mundo mudar. Uma análise de risco enxuta e viva vale infinitamente mais do que uma planilha impecável que ninguém abre — e é isso que o auditor (e a sua operação) querem ver.

Perguntas frequentes

A ISO 9001 obriga a ter um mapa de riscos formal?

Não. O requisito 6.1 exige que a organização determine os riscos e oportunidades e planeje ações para tratá-los, mas não exige um método específico, nem matriz, nem documento com nome de 'mapa de riscos'. Você precisa demonstrar que pensou nos riscos e agiu — o formato é livre. A matriz de probabilidade x impacto é a forma mais comum e defensável, mas uma lista simples bem justificada também atende.

Qual a diferença entre a gestão de riscos da ISO 9001 e a ISO 31000?

A ISO 9001 pede a mentalidade de risco aplicada ao sistema de gestão da qualidade — de forma proporcional e sem exigir método. A ISO 31000 é a norma dedicada à gestão de riscos, com um processo estruturado e completo (estabelecer contexto, identificar, analisar, avaliar, tratar, monitorar). Você pode usar a ISO 31000 como referência para robustecer o 6.1, mas a 9001 não a torna obrigatória.

Preciso avaliar risco em todos os processos da empresa?

Não em todos com a mesma profundidade. A ISO 9001 fala em ação proporcional ao impacto potencial na conformidade e na satisfação do cliente. Concentre a análise nos processos críticos — os que mais afetam o cliente, têm mais reclamação, retrabalho ou risco legal. Processos de baixo impacto podem ser tratados de forma mais leve. Analisar tudo igual gera uma planilha gigante que ninguém mantém.

Com que frequência devo revisar os riscos e oportunidades?

No mínimo na análise crítica pela direção, que costuma ser anual ou semestral. Mas o gatilho principal é a mudança: novo cliente grande, troca de fornecedor, nova legislação, reestruturação, uma não conformidade relevante. Sempre que o contexto muda, os riscos mudam — revisar só uma vez por ano deixa a análise desatualizada no meio do caminho.

Newsletter

Receba o melhor do blog por e-mail

Guias práticos de gestão da qualidade, direto na sua caixa — sem spam, de quem vive isso há 15 anos.

Ao se inscrever você concorda com a Política de Privacidade. Cancele quando quiser, em 1 clique.