Universidade Federal Fluminense – UFF, Niterói, Rio de Janeiro, Brasil.
Universidade Federal Fluminense – UFF, Niterói, Rio de Janeiro, Brasil.
Universidade Federal Fluminense – UFF, Niterói, Rio de Janeiro, Brasil.
Universidade Federal Fluminense – UFF, Niterói, Rio de Janeiro, Brasil.
Universidade Federal Fluminense – UFF, Niterói, Rio de Janeiro, Brasil.
A nova revisão da norma ISO 9001 foi lançada em 2015 e incorporou ao seu acervo de requisitos para a implantação de um sistema de gestão da qualidade novos conceitos, tais como o relacionamento com partes interessadas, a gestão do conhecimento e a gestão de riscos no âmbito organizacional, ampliando o seu foco de abrangência. Neste sentido, e prevendo-se que mudanças ocorrerão nas organizações a partir dessa nova perspectiva, o presente artigo tem por objetivo apresentar a utilização da mentalidade de risco nos sistemas de gestão da qualidade, por meio de uma análise comparativa entre as normas ABNT NBR ISO 9001:2015 e ABNT NBR ISO 31000:2009. A pesquisa se caracteriza como qualitativa, e foi realizada com base em pesquisa documental e revisão sistemática da literatura. Os achados sugerem que o conceito de pensamento baseado em risco sempre esteve implícito na ISO 9001, manifestado sob a forma de ações preventivas e que a pretensão de incorporar a mentalidade de risco como requisito na versão de 2015 é estimular as organizações a adotarem o risco como critério em suas decisões. Evidencia-se que a literatura de prevenção e riscos está alinhada com os métodos dos sistemas de gestão da qualidade mais avançados, os quais são baseados mais nos princípios de prevenção do que em ações corretivas.
Palavras-chaves: ISO 9001, ISO 31000, mentalidade de risco, sistemas de gestão da qualidade (SGQ).
O mundo tem passado por significativas transformações, seja através da consolidação de práticas e processos nas organizações, seja por meio da intensificação da interação global entre os agentes econômicos e sociais. Um desses conceitos consolidados, e cada vez mais praticados e disseminados, é a abordagem de gestão pela qualidade.
Os Sistemas de Gestão da Qualidade (SGQ) foram disseminados pelo mundo a partir da década de 1980, com a publicação da primeira edição da norma ISO 9001, que apresenta os requisitos que um sistema de gestão da qualidade deve apresentar para ser certificável. As normas ISO, da família 9000, definem padrões de um sistema de qualidade que orientam o desempenho de uma organização em termos de requisitos específicos (Bonina, 2009; Fonseca, 2015).
A globalização da economia tornou necessária a padronização dos requisitos de sistemas de garantia da qualidade. O organismo que edita, revisa e divulga essas normas é a International Organization for Standardization (ISO), criada em 1947, é privada e sem fins lucrativos, da qual participam 162 países em 210 Comitês Técnicos que cuidam da normalização específica de cada setor da economia. Cada comitê elabora normas internacionais sobre produtos e serviços específicos dos seus setores (Fernandes, 2011).
Os benefícios obtidos a partir da implantação de sistemas de gestão da qualidade, cujo principal objetivo é demonstrar a capacidade das empresas de fornecer produtos e serviços que atendam aos requisitos dos clientes, já foram amplamente pesquisados em todo o mundo. Depexe e Paladini (2008) apontam como benefícios para as empresas certificadas a redução do número de reclamações por parte dos clientes, a redução do tempo de entrega, a melhoria do processo produtivo e a melhoria dos processos e dos procedimentos de trabalho. De acordo com Bonina (2009), a norma não estabelece como os requisitos devem ser implementados, o que representa flexibilidade e compatibilidade com qualquer ramo de atividade, além de figurar como mecanismo de obtenção de vantagem competitiva entre as organizações dos mais diversos setores.
Segundo Nascimento (2016), em média, a cada cinco anos as normas da ISO passam por um processo de revisão para determinar se devem ser mantidas, alteradas ou descontinuadas, na busca por preservar a atualidade e a evolução das práticas organizacionais.
Assim, a versão da norma ISO 9001/2008 foi incluída neste processo de atualização a partir de 2013 e, conforme as deliberações dos membros do Comitê Técnico ISO/TC176, seu conteúdo foi extensamente retrabalhado e a nova revisão foi publicada em outubro de 2015.
Na nova versão, a referida norma trouxe como maior inovação a incorporação dos conceitos de pensamento baseado em risco e de gestão do conhecimento, conceitos que as empresas, atualmente certificadas, deverão se adequar a fim de manterem atualizados seus sistemas de gestão da qualidade.
Para Fonseca (2015), a ISO 9001:2015 (ABNT NBR ISO 9001:2015 – Sistemas de Gestão da Qualidade – Requisitos) representa uma grande fonte de problemas para mais de 1 milhão de empresas, atualmente certificadas, e para muitos profissionais da área de qualidade, devido às inúmeras novidades conceituais e aos novos requisitos que surgiram em seu conteúdo.
Incorporar novos conceitos ao SGQ nas organizações provoca nova reflexão sobre a adequação dessas práticas ao cotidiano organizacional, entendendo que uma das maiores mudanças para essas organizações será introduzir a gestão do conhecimento e o pensamento baseado em riscos em seus processos internos.
No entanto, o autor acredita que a nova norma trará maiores benefícios para os sistemas de gestão da qualidade, com menor ênfase em documentação e novas abordagens que reforçam o contexto da organização, o pensamento baseado em riscos e a gestão do conhecimento, fortalecendo, assim, a trilha das organizações a caminho da qualidade total. Tais abordagens são inéditas em SGQ, apesar de já estarem implícitas nas versões anteriores da norma e em outros sistemas de gestão, alguns desses conceitos até figuram em normas próprias, como é o caso da gestão de riscos, que é representada pela norma ISO 31000 (ABNT NBR ISO 31000:2009 – Gestão de Riscos – Princípios e Diretrizes), o que justifica uma análise mais criteriosa visando compreender como as organizações que adotam sistemas de gestão da qualidade baseados na norma ISO 9001 já tratavam destes assuntos, além de verificar como seria o impacto destas mudanças para a manutenção dos sistemas existentes.
Neste contexto, o trabalho objetiva avaliar o impacto que a mudança de foco da norma ISO 9001, em sua versão 2015, poderá causar nas práticas de gestão da qualidade realizada pelas organizações certificadas, com destaque para a inserção do pensamento baseado em risco, que deverá nortear as atividades de gestão das empresas e orientar os seus sistemas de gestão da qualidade. Neste sentido, busca-se realizar um observação dos usos da mentalidade de risco nas normas ISO 9001 e ISO 31000, além de apresentar um exemplo da utilização da interação destes novos conceitos nas organizações.
Formado em 1979, o Comitê Técnico 176 (ISO/TC176) é o responsável pelas normas de Gestão e Garantia da Qualidade. Sua preocupação latente era com o aumento das exigências dos diferentes mercados mundiais que, acompanhadas pelo surgimento de sistemas nacionais de garantia a consumidores, estavam gerando obstáculos ao crescimento do comércio internacional (Nascimento, 2016).
Em 1987, foram editadas e aprovadas cinco normas internacionais, mundialmente conhecidas como normas da Série ISO 9000, criadas para facilitar o comércio internacional e possibilitar a padronização de requisitos de gestão da qualidade em todo o mundo. A estrutura de implantação de um sistema de gestão da qualidade segue o princípio do PDCA (Plan, Do, Check, Action) (Bonina, 2009).
Vitoreli e Carpinetti (2013) afirma que a norma ISO 9001 se caracteriza por ser genérica e passível de utilização por qualquer organização que pretenda estabelecer um SGQ, com a possibilidade de certificação por um organismo externo.
A disseminação dessa família de normas foi tão intensa que, nos Estados Unidos, em novembro de 1988, foi entregue o primeiro Prêmio Malcolm Baldrige, enquanto na Europa foi instituído, em 1988, o Prêmio Europeu da Qualidade e, no Brasil, em 1991, foi criado o Prêmio Nacional da Qualidade (PNQ).
As normas da Série ISO 9000:1987 foram revisadas pela primeira vez em 1994, e deram origem às normas da Série ISO 9000:1994 (Fernandes, 2011). A revisão de 1994 da ISO 9001 trouxe maior ênfase à garantia da qualidade do produto do que aos resultados da empresa, concomitante ao surgimento dos prêmios de excelência em qualidade.
No ano de 2000, série foi revisada dando origem às normas da Série ISO 9000:2000. Foram incorporados aspectos valorizados pelos prêmios de excelência em qualidade, isto é, a satisfação do cliente, os resultados da empresa, a gestão empresarial e a melhoria contínua. Em dezembro de 2005 foi lançada a ISO 9000:2005 de fundamentos e vocabulário e, em outubro de 2008, a ISO 9001:2008, numa revisão que apresentou pequenas evoluções em relação à versão anterior, mantendo como foco os aspectos já levantados pela revisão do ano 2000 (Carpinetti, 2010; Fernandes, 2011; Nascimento, 2016).
Em 2015 é editada uma nova revisão da série ISO 9000 e na ISO 9001, desta vez, verifica-se mudanças significativas, demostrando que traz um amadurecimento e uma ampliação de conceitos, além de novas abordagens para a prática da melhoria contínua.
Apresentado o processo de revisão da norma, o tópico a seguir trata da revisão de 2015 da norma ISO 9001.
A estrutura geral da norma mantém o compromisso com a abordagem de processos, buscando a interação entre resultado e direcionamento estratégico, através do ciclo PDCA de melhoria contínua, que foi idealizado por Shewhart, em 1931. O ciclo PDCA tem como foco a análise de processos, a solução de problemas e a padronização de rotinas, sendo amplamente utilizado como ferramenta de melhoria contínua de processos (Fonseca, 2015). Neste aspecto a norma amplia o escopo da abordagem por processos, incorporando a necessidade de se focar na mentalidade de riscos, para aproveitar melhor as oportunidades e prevenir resultados indesejáveis.
Os oito tradicionais princípios de gestão da qualidade também foram revisados e condensados em apenas sete princípios (Quadro 1): foco no cliente, liderança, engajamento das pessoas, abordagem de processo, melhoria, tomada de decisão baseada em evidência e gestão de relacionamento (ABNT, 2015). As abordagens tanto por processo como sistêmica fundem-se em um princípio só, considerando que a abordagem por processos já implica considerar uma visão sistêmica da organização.
Quadro 1. Mudanças nos princípios de gestão da qualidade
Fonte: Adaptado de Fonseca (2015).
A nova versão da norma busca oferecer requisitos aplicáveis a todos os tamanhos e tipos de organização de qualquer setor, com graus variados de maturidade de seus sistemas de gestão. Uma característica que permaneceu na norma é a abordagem centrada no cliente como chave para o êxito nos negócios, uma vez que as empresas precisam adaptar-se para atender às crescentes necessidades dos clientes, obtendo e monitorando esse feedback, para atender às suas necessidades e expectativas (Fernandes, 2011).
Para atender aos princípios da qualidade estabelecidos na nova revisão, e facilitar a demonstração dos requisitos do SGQ, estes foram divididos em sete seções: contexto da organização, liderança, planejamento, apoio, operação, avaliação de desempenho e melhoria (ABNT, 2015), conforme pode ser visualizado na Figura 1.
Figura 1. Requisitos da ISO 9001:2015
Fonte: Elaborado pelos autores.
Para Vitoreli e Carpinetti (2013), entender as ligações entre os requisitos é importante para a construção do SGQ (Figura 1). Neste aspecto, as relações entre as seções da nova revisão da ISO 9001 podem ser descritas partindo do entendimento do contexto da organização e dos objetivos a serem alcançados, onde a alta direção assume seu papel de liderança, estabelecendo a política e as responsabilidades que vão possibilitar realizar o planejamento para alcance desses objetivos, bem como a abordagem de riscos e oportunidades adequadas.
Somente a partir da estruturação do contexto, política e objetivos (primeira etapa de planejamento do PDCA), inicia-se a operacionalização de atendimento aos requisitos estabelecidos pelos clientes (segunda etapa de execução do PDCA), ou seja, são providos todo o apoio necessário para operacionalizar a realização do produto e/ou serviço (recursos, formas de disseminação, comunicação, informação que será documentada, controle operacional, projeto e desenvolvimento de produtos e serviços, dentre outros). Após sua realização, o produto e/ou serviço é entregue aos clientes e a organização deve monitorar sua satisfação, bem como realizar a gestão do relacionamento (etapa de verificação do PDCA), de modo que possa ter dados para avaliar o desempenho por meio de medição desses indicadores, auditorias e análise crítica, fomentando a melhoria contínua do sistema de gestão da qualidade e cumprindo a quarta etapa do PDCA (ABNT, 2015; Bonina, 2009; Carpinetti, 2010; Fernandes, 2011).
Algumas terminologias são reformuladas para esclarecer a abrangência da norma. Termos como “exclusões” e “representante da direção”, que eram usados até a versão de 2008, não são mais utilizados nesta nova versão, já que a aplicabilidade de requisitos e as definições das responsabilidades podem ser analisadas criticamente a partir da atividade realizada pela organização e à natureza dos riscos e oportunidades que são por ela encontrados (ABNT, 2015).
Foram diferenciados os termos “produtos e serviços” de modo a incluir tudo o que se refira às saídas de um processo, sendo enfatizada uma característica peculiar dos serviços, que é ter parte de sua saída realizada na interface com o cliente. Isto torna a norma mais genérica para facilitar sua aplicação pelo setor de serviços, além disso, foram aperfeiçoados os requisitos capazes de aumentar a confiança na capacidade da organização em fornecer produtos e serviços conformes.
Novos conceitos também foram introduzidos nesta revisão, visando, de acordo com Fonseca (2015), aproximar práticas mais abrangentes de modelos de excelência em negócios aos requisitos implantados e certificados nos sistemas de gestão da qualidade. Neste sentido, abordam-se a gestão de relacionamento, a avaliação de desempenho, a gestão do conhecimento organizacional e a gestão de riscos, o que promove a mudança na perspectiva sobre ação preventiva.
No que se refere ao contexto da organização, seu conceito prescreve que devem ser definidos os fatores internos (cultura, valores, missão, visão, conhecimento, etc.) e externos (políticos, econômicos, sociais, tecnológicos, ambientais, etc.) relevantes ao alcance dos objetivos estratégicos e das metas do sistema de gestão da qualidade, bem como o conceito do pensamento baseado no risco, em que a organização deve identificar os riscos e as oportunidades associados ao seu contexto e objetivos.
Dentro dessa abordagem, dois riscos chaves devem ser considerados: a falha em fornecer produtos e serviços conformes, e a falha em alcançar a satisfação dos clientes. Importante destacar que requisitos sobre ação preventiva foram eliminados, uma vez que, com a mudança de abordagem, sua necessidade foi descontinuada.
Ainda de acordo com Fonseca (2015), a ISO introduziu uma estrutura de texto comum a todas as suas normas de sistemas de gestão. A introdução dos conceitos de oportunidades e riscos ao sistema de gestão reforça o uso da norma ISO 9001 como um instrumento que pode facilitar às organizações a criação de sistemas viáveis de governança, os quais podem culminar com a excelência na gestão.
Através do pensamento baseado no risco, em todas as suas partes, a norma promove uma abordagem proativa de identificação de riscos e aproveita as oportunidades para alimentar a sistemática de melhoria contínua. Prevê-se que isto leva a melhorias na governança e na tomada de decisão, facilitando a integração de múltiplos sistemas, o que pode tender a economia de tempo e dinheiro (Fernandes, 2011; Fonseca, 2015).
Além disso, a introdução do conceito de informação documentada, a partir do qual a organização define o que irá documentar, reforça a ideia de que sistemas de gestão da qualidade são estratégicos, e devem primar pela gestão do conhecimento organizacional, não mais se caracterizando por sistemas burocráticos baseados em papéis.
Como benefício para as organizações, esta nova versão traz a oportunidade de se rever a organização e seus processos atuais, conduzindo a um alinhamento com a estratégia do negócio, visando a aumentar a qualidade dos produtos e serviços e alcançar melhorias de desempenho que promovam a sustentabilidade (Nascimento, 2016). Conceitos foram ampliados para uma abordagem que deve considerar os riscos e as oportunidades como ação preventiva.
A seguir, é apresentado um dos novos conceitos trazidos pela nova versão da ISO 9001, a mentalidade de risco na formulação de requisitos de um SGQ, a qual, dentro da perspectiva da nova revisão, expressa o conceito de ação preventiva. Neste sentido, apresenta-se a perspectiva de gestão de risco abordada pela norma 31000, em uma comparação com a formulação de requisitos relacionados à mentalidade de risco na ISO 9001.
A versão atual da ISO 9001 traz o conceito da mentalidade de risco de forma abrangente em diversos dos seus requisitos.
Considerando que as organizações são sistemas adaptativos e, por isso, estão em constante mudança para atender às exigências do mercado buscando padronizar conceitos e práticas com vistas a atender aos requisitos dos clientes, a ISO, já em 2009, editou uma norma não certificável, com objetivo de servir como norma orientadora dos princípios e diretrizes para a gestão de riscos, a ISO 31000 (ABNT NBR ISO 31000:2009 – Gestão de Riscos – Princípios e Diretrizes).
A norma ISO 31000 traz recomendações sobre os princípios e as diretrizes para implementação da gestão de risco nas organizações. Divide-se em três seções: princípios, estrutura e processo (Figura 2), além de demonstrar o relacionamento entre essas três seções. A estrutura da norma segue as diretrizes do PDCA, o que facilita a utilização da norma para implantar a gestão de risco de modo sistemático.
Figura 2. Requisitos da norma ISO 31000:2009
Fonte: Elaborado pelos autores.
A mentalidade de risco, de acordo com a ISO 9001 (ABNT, 2015), habilita uma organização a determinar os fatores que poderiam causar desvios nos seus processos e no seu SGQ em relação aos resultados planejados, a colocar em prática controles preventivos para minimizar efeitos negativos e a maximizar o aproveitamento das oportunidades que surjam. Considerando o importante alinhamento entre as normas, este conceito corrobora com o requisito de tratamento de riscos descrito na norma 31000:2009. Porém, a ISO 9001 (ABNT, 2015) traz avanços e atualiza a definição de risco trazendo o conceito de oportunidade, enquanto faceta positiva do risco.
Segundo a ISO 9001:2015, “risco é o efeito da incerteza, e qualquer incerteza pode ter um efeito positivo ou negativo. Um desvio positivo proveniente de um risco pode oferecer uma oportunidade, mas nem todos os efeitos positivos de risco resultam em oportunidades” (ABNT, 2015, p. xi). Já a norma ISO 31000:2009 define risco como o efeito da incerteza nos objetivos, sendo este efeito o desvio em relação ao esperado, podendo ter um caráter positivo e/ou negativo.
A norma ISO 9001 (ABNT, 2015) exemplifica que oportunidades podem surgir como resultado de uma situação favorável ao atingimento de um resultado pretendido, por exemplo, um conjunto de circunstâncias que possibilite à organização a adoção de novas práticas, abordagem de novos clientes, abertura de novos mercados, desenvolvimento de novos produtos e serviços, novas tecnologias, construção de parcerias, redução de desperdício ou melhoria de produtividade.
Ações para abordar oportunidades incluem também a consideração de riscos associados. Desta forma, o conceito de oportunidade associada ao resultado positivo de um risco, de certo modo, veio como uma ampliação do conceito de melhoria a partir de ações preventivas.
Na gestão dos processos do SGQ dentro dos princípios do ciclo PDCA (Liebesman, 2005), é incluído agora o foco direcionado para a mentalidade de riscos.
As organizações deverão planejar e implementar ações para abordar riscos e oportunidades e esta nova forma de ação visa tirar proveito das oportunidades e prevenir resultados indesejáveis. A abordagem de riscos e oportunidades estabelece uma base para o aumento da eficácia do sistema de gestão da qualidade, para o alcance de resultados melhorados e para a prevenção de efeitos negativos.
Operacionalmente, observa-se que a ISO 31000 (ABNT, 2009) define o macroprocesso de avaliação de riscos como aquele que engloba as etapas de identificação, análise e avaliação de riscos, em que a identificação de riscos tem por finalidade gerar uma lista abrangente de todos os riscos possíveis, baseada em eventos que possam criar, aumentar, evitar, reduzir, acelerar ou atrasar a realização dos objetivos.
Já a análise de riscos envolve a compreensão dos riscos e a apreciação de suas consequências e probabilidades. De acordo com as circunstâncias, a análise pode ser qualitativa, semiqualitativa ou quantitativa, ou uma combinação destas. Quanto à avaliação de riscos, a ISO 31000 (ABNT, 2009) afirma que nessa etapa ocorre a comparação entre o nível de risco encontrado durante o processo anterior e os critérios de risco estabelecidos. Com base nesta comparação, a necessidade e a prioridade de tratamento podem ser definidas (Ferreira et al., 2014).
Segundo o princípio da liderança definido na norma ISO 9001 (2015), a alta direção continua detendo a responsabilidade pelo SGQ. A norma determina que a alta direção deve demonstrar liderança e comprometimento com relação ao sistema de gestão da qualidade, responsabilizando-se por prestar contas pela sua eficácia e promovendo o uso da abordagem de processo e da mentalidade de risco, além de demonstrar comprometimento com relação ao foco no cliente, assegurando que os riscos e oportunidades, que possam afetar a conformidade de produtos e serviços e a capacidade de aumentar a satisfação do cliente, sejam determinados e abordados.
Trazendo uma nova leitura de conceitos que já foram abordados na ISO 31000 (ABNT, 2009), a ISO 9001 (ABNT, 2015) apresenta os conceitos de partes interessadas e do contexto organizacional, como pré-requisitos necessários para a correta definição de riscos e oportunidades. Segundo a ISO 31000, a organização, ao estabelecer um contexto, articula seus objetivos, define os parâmetros externos e internos a serem levados em consideração. Ao gerenciar riscos, devem ser estabelecidos o escopo e os critérios de risco para o restante do processo. Além disso, convém que a organização defina os critérios a serem utilizados para avaliar a significância dos riscos, os objetivos que pretende alcançar e quais os fatores externos e internos que podem influenciar esta busca (Ferreira et al., 2014).
Ao planejar SGQ, a organização deve considerar o seu contexto e a relação com as partes interessadas, para determinar os riscos e as oportunidades que precisam ser abordados para assegurar que o sistema possa alcançar seus resultados pretendidos, aumentando efeitos desejáveis e prevenindo ou reduzindo efeitos indesejáveis.
Para isso, é necessário o planejamento de ações para abordar esses riscos e oportunidades, integrando e implementando as ações nos processos do seu SGQ e avaliando a eficácia dessas ações tomadas para abordar riscos e oportunidades, que devem ser apropriadas ao impacto potencial sobre a conformidade de produtos e serviços.
Segundo Ferreira et al. (2014), na etapa do tratamento de riscos, a norma ISO 31000 prevê a avaliação do tratamento dos riscos já materializados. Tal decisão contempla o um processo decisório de um sistema de gestão com relação aos seus riscos, que deverá classificar e definir se os níveis de risco residual são toleráveis; se é necessária a implantação de um novo tratamento para os riscos, caso esses níveis não sejam toleráveis, bem como a avaliação da eficácia desse tratamento.
Assim, ao selecionar a opção mais desejável de tratamento dos riscos, a organização deve equilibrar, de um lado, os custos e os esforços de implantação de sistemáticas para tratamento e, de outro lado, os benefícios decorrentes relativos a requisitos legais, regulatórios, de responsabilidade social, de proteção do ambiente natural e outros.
Como opções possíveis para tratamento dos riscos, a ISO 9001 também se apropria dos conceitos definidos na norma específica, apresentando opções para abordá-los, que incluem as alternativas de evitar o risco, assumir o risco para perseguir uma oportunidade, eliminar a fonte de risco, mudar a probabilidade ou as consequências, compartilhar o risco ou decidir reter o risco, com base em informação e evidências.
Conforme as etapas do ciclo PDCA, enquanto ações de melhoria no que tange ao tratamento dos riscos, a ISO 9001:2015 estabelece que a organização deve analisar e avaliar dados e informações apropriados provenientes de monitoramento e estes resultados devem ser usados para avaliar a eficácia das ações tomadas para abordar riscos e oportunidades (Nascimento, 2016). Os pontos de monitoramento e medição necessários para controle, naturalmente, são específicos de cada processo e variam dependendo dos riscos relacionados.
Para Liebesman (2005), é melhor prevenir do que corrigir, e para uma boa governança corporativa, as metas principais são a gestão do risco, a gestão eficaz do processo e melhoria contínua do desempenho da empresa. A direção da organização deve mudar a mentalidade corporativa da correção de problemas para sua prevenção.
Liebesman (2005) cita que a Lei Sarbanes-Oxley trouxe a necessidade de melhor identificar e gerir o risco das empresas. Sistemas de gestão da qualidade e de gestão ambiental são ferramentas que podem interagir com as ações propostas pela gestão de riscos, na medida em que as situações operacionais passíveis de risco sejam previstas pela alta administração da organização e divulgadas para todos os seus níveis.
Certamente, os organismos que executam atualmente as atividades de certificação dos SGQ deverão estar adaptados à nova demanda das organizações, capacitados e aptos a avaliar sistemas de gestão de riscos, inseridos no âmbito dos sistemas de gestão da qualidade. Esta mudança tende a gerar uma nova fronteira para a formação de auditores e avaliadores, que exigirá uma capacitação muito mais extensa e abrangente deles.
Este estudo se caracteriza como um trabalho teórico conceitual descritivo sobre um determinado tema (Zago e Retour, 2013), que apresenta uma sistematização de uma pesquisa bibliográfica e documental, através de uma análise crítica.
Foi realizada uma pesquisa qualitativa que apresenta uma revisão bibliográfica sobre o histórico de revisões da norma ISO 9001, bem como das ferramentas utilizadas pelas empresas para a gestão de riscos, através de exemplos e representações da integração entre as normas ISO 9001:2015 e ISO 31000:2009.
O processo metodológico tem por objetivo dar robustez a uma pesquisa científica e para isto é essencial escolher aquele que sustente e estruture a pesquisa naquilo que se pretende observar (Zago e Retour, 2013).
Neste sentido, foi desenvolvida uma pesquisa exploratória e descritiva. Buscou-se utilizar as pesquisas bibliográfica e documental para efetuar a coleta de dados, considerando ser um método adequado para efetuar as observações pertinentes a este trabalho.
Dados os objetivos propostos de avaliar o impacto da inserção do pensamento baseado em risco nas práticas de gestão da qualidade das organizações que operam alinhadas com os requisitos da norma ISO 9001, decidiu-se proceder uma pesquisa bibliográfica que permitisse evidenciar a confluência entre estes temas na literatura acadêmica nas últimas décadas.
Assim, procurou-se identificar trabalhos que tratam especificamente da questão relativa à gestão de riscos, em estrita relação com a gestão da qualidade, para dar um embasamento teórico mais preciso a esta pesquisa (Quadro 2).
Quadro 2. Levantamento bibliográfico e principais resultados encontrados.
Fonte: Elaborado pelos autores.
Portanto, foi realizado um levantamento bibliográfico nas bases de artigos e periódicos acadêmicos Scopus e Portal Capes. A fim de buscar a maior abrangência possível de publicações já feitas sobre os dois temas em questão, foram relacionadas no Quadro 2 as palavras-chave utilizadas na busca: “ISO 9001” e “Risk Management” e os resultados encontrados em cada base, respectivamente.
A revisão da literatura mostra que a cultura de gerenciar riscos é um conceito pluridimensional, que levará as empresas que desejam manter seus sistemas de gestão da qualidade e implementar melhorias em seus processos a reduzir seu nível de produtos defeituosos, buscar a satisfação do cliente, dos colaboradores e de diversas partes interessadas, reduzindo riscos negativos e riscos que, mesmo sendo positivos, não representam uma oportunidade como nova forma de buscar a excelência.
O referencial teórico que norteou a formação dos conhecimentos sobre o assunto em pauta permitiu verificar que a literatura da prevenção de riscos está alinhada com os métodos dos sistemas de gestão da qualidade mais avançados, os quais são baseados mais nos princípios da prevenção, do que nas ações corretivas.
Por essa razão, os sistemas de gestão ambiental e de saúde e segurança no trabalho se tornaram bastante comuns nos últimos 20 anos e os profissionais que trabalham com a gestão ambiental e da segurança, geralmente, são, concomitantemente, membros das equipes de qualidade. Isto potencializa o uso da mentalidade de risco, garantindo que a gestão da qualidade aconteça paralelamente à gestão de riscos.
As ações tomadas para alcançar a melhoria contínua da qualidade são as mesmas necessárias para atingir uma efetiva gestão dos riscos organizacionais, permitindo a inserção do pensamento baseado em risco na ISO 9001 e tornando a sua implantação compatível com os princípios e diretrizes para a gestão de riscos já identificados na ISO 31000:2009.
O conceito de pensamento baseado no risco sempre esteve implícito na ISO 9001, manifestado sob a forma de ações preventivas para eliminar não conformidades potenciais, e na análise das causas das não conformidades, para evitar sua reincidência.
Para Nascimento (2016), o que se pretende é que as organizações incorporem seu conceito e adotem o risco como critério nas suas decisões. Para auxiliar na implantação de um sistema de gestão de riscos existem outras normas ISO, não certificáveis, mas que norteiam essa implantação.
Para aplicar o pensamento baseado no risco, a organização deve ter uma ideia clara do seu contexto e objetivos.
Uma das finalidades de um SGQ é atuar como ferramenta preventiva e o pensamento baseado no risco permite que a organização determine fatores que podem ter o potencial de levar seus processos e seu SGQ a desvios com relação aos resultados planejados, para colocar em prática controles de prevenção de modo a minimizar os efeitos negativos e aproveitar ao máximo as oportunidades que possam surgir.
Na nova versão da norma, o conceito de ação preventiva está expresso através da aplicação do pensamento baseado no risco. Sua aplicação na ISO 9001 permitiu uma redução nos requisitos prescritivos e sua substituição por requisitos baseados no desempenho.
Apesar de especificar que a organização deve planejar ações para abordar riscos, não há requisito para métodos formais para práticas de gestão de riscos ou um processo de gestão de risco documentado.
Nem todos os processos de um SGQ representam o mesmo nível de risco em termos da capacidade da organização atingir seus objetivos, além de os efeitos da incerteza não serem os mesmos para todas as organizações. A norma ISO 9001 define que a organização é responsável pela aplicação da mentalidade de risco e pelas ações que ela toma para abordar riscos, incluindo a retenção ou não da informação documentada como evidência de sua determinação de riscos.
As organizações podem decidir desenvolver ou não uma metodologia de gestão de risco mais extensiva que o requerido pela norma, por exemplo, através da aplicação de outras diretrizes ou normas.
Comparativamente, a ISO 9001:2015 resgata as opções para o tratamento de riscos, descritas na ISO 31000 (2009), que podem incluir: evitar os riscos (conceito de evitar), tomar o risco a fim de buscar uma oportunidade (conceito de aceitar), eliminar a fonte de risco alterando a probabilidade ou as consequências (conceito de mitigar), compartilhar o risco (conceito de transferir), ou reter o risco por base em decisão informada (conceito de aceitar).
A relação encontrada entre as duas normas pode ser construída a partir de alguns requisitos específicos, de maneira a facilitar o entendimento e a aplicação dos conceitos na prática das organizações.
Fazer a inter-relação pode representar a maneira menos trabalhosa para implementar a mentalidade de risco num processo de construção, ou adequação de SGQ, observando os cenários e o contexto da implementação.
A título de ilustração da aplicação prática, um dos elementos que exige maior atenção, quando uma organização implementa seu SGQ, são os requisitos que tratam da operação das organizações, os quais estão representados no item 8.0 da norma ISO 9001:2015. Para isso, foi elaborado um quadro com intuito de ilustrar a inter-relação entre as normas (Quadro 3), a considerar como base o requisito “8.4 – Controle de processos, produtos e serviços providos externamente”.
Quadro 3. Aplicações práticas ISO 9001:2015 x ISO 31000:2009
Fonte: Elaborado pelos autores.
Considerando os contextos externo e da gestão de riscos, e as responsabilidades que são inerentes à alta direção (governança) e os gestores dos outros níveis das organizações (operações e atividades), a relação entre esses aspectos pode ser visualizada no Quadro 3.
São observadas, no contexto externo, as oportunidades e ameaças tanto para a governança como para as operações e atividades.
Nesta perspectiva, a alta direção pode trabalhar as oportunidades e as ameaças para a promoção de uma boa governança através do planejamento estratégico correlacionado com a observância do disposto no requisito 8.4.1 – generalidades, explicitado na ISO 9001, assim como a definição de metas, valores e objetivos devem estar interrelacionados com os objetivos para critérios de risco (Quadro 3).
Para a alta direção é essencial considerar os contextos externo e de gestão de riscos numa atuação conjunta para promover o desenvolvimento de uma política de governança consistente, efetiva e eficaz, apoiada em estratégias de apoio à decisão (Figura 3).
Na fase da elaboração, implementação e execução das atividades, que fica sob a responsabilidade dos gestores operacionais, a observância dos pressupostos de contextos, tanto de riscos como o externo, deve ser considerada. Para tanto, a gestão pode trabalhar os requisitos das duas normas em conjunto, conforme exemplo mostrado no Quadro 3.
A busca pela implementação da ISO 9001 pode ser mais bem adequada à realidade da organização, quando esta procura verificar os graus de aderência do SGQ aos requisitos da gestão de riscos.
A Figura 3 representa como a gestão de risco está intrinsecamente relacionada ao processo decisório nas organizações, pois construir uma mentalidade de risco que esteja de acordo com os níveis de decisão (processual, operacional, estratégico) é fundamental em cada parte do processo.
Figura 3. Gestão de risco no apoio à decisão
Fonte: Elaborado pelos autores.
O gerenciamento do risco deve perpassar por todas as fases decisórias que implicam o compromisso com a gestão das organizações, uma vez que cada nível decisório e de atividades pressupõe seus riscos inerentes.
Em uma pirâmide hierárquica típica, as decisões partem de cima para baixo e vão se desdobrando conforme a amplitude de ação de cada nível.
Por outro lado, para tomar decisões baseadas em fatos, é importante que as informações partam de baixo, e, ao longo do processo, a construção das respostas serão fornecidas como insumo decisório para que a organização cumpra seu papel. Essas informações evoluem e com a incorporação de novas informações, ao longo do fluxo de baixo para cima, proporciona a construção de conhecimento para robustecer a tomada de decisão, num processo cíclico de fomento à tomada de decisão a partir do conhecimento gerado.
Neste sentido, modelos como o “top-down” e “bottom-up” operacionalizam a geração de conhecimento organizacional necessário à definição dos riscos e oportunidades a partir do contexto da organização.
Para Wanke (2008),
“dentro das organizações cada uma das abordagens pode, individualmente, ser mais aderente a um determinado horizonte de planejamento e/ou tipo de tomada de decisão. Por exemplo, a abordagem top-down tende a ser empregada em horizontes de tempo mais longos e para dados mais agregados, ao passo que a abordagem bottom-up tende a ser mais adotada em horizontes de tempo mais curtos e para itens individuais” (p. 231).
Modelos “top-down” e “bottom-up”, embora partam de perspectivas diferentes, são colaborativos com o levantamento de riscos, o que facilita a gestão desses riscos (Figura 3) e a maximização do aproveitamento de oportunidades que venham a minimizar os desvios nos processos e, consequentemente, no SGQ, em relação aos resultados planejados.
Para Nonaka e Takeuchi (2008), no modelo top-down de gestão, o conhecimento que é gerado pelo topo da administração segue para ser processado e implementado. Já no modelo bottom-up, por sua vez, empregados da linha de frente criam conhecimento a partir de algumas sinalizações do topo da administração, mas na maior parte das vezes são empregados empreendedores.
Segundo Nonaka (2001, p. 43), “os empregados da linha de frente estão imersos nos detalhes cotidianos das tecnologias, produtos ou mercados específicos. Ninguém compreende tanto quanto eles a realidade dos negócios da empresa”.
Os modelos top-down são modelos de previsão de elementos agregados, conforme reforçam Jakobsson et al. (2014), tais como sistemas e modelos macroeconômicos. Já os modelos bottom-up são modelos representativos de cadeias e sistemas de prevenção operacionais.
O primeiro modelo se adéqua ao processo de captura dos objetivos da organização e a diversidade de critérios de risco, considerando que, para a gestão eficaz dos riscos, as necessidades e critérios de risco específicos de cada setor devem ser analisados conforme sua especificidade.
Dentro dessa perspectiva, a melhoria da governança, da aprendizagem organizacional, da confiança das partes interessadas, além do estabelecimento de bases confiáveis para a tomada de decisões e do planejamento, sendo esses alguns elementos que sustentam a implementação da gestão de riscos por toda a organização, vê-se numa adequação do modelo top-down uma alternativa que pode ser estratégica para o trabalho da alta direção.
Práticas como a melhoria dos controles, da eficiência e eficácia operacional, a gestão pró-ativa, a utilização dos recursos para tratamento de riscos, a prevenção e minimização de perdas, assim como o “desenvolvimento de normas, guias, procedimentos e códigos de práticas que, no todo, ou em parte, estabelecem como o risco deve ser gerenciado dentro do contexto específico desses documentos” (ABNT, 2009, p. v), estariam adequados às proposições associadas a adequações do modelo bottom-up.
Embora cada modelo ocorra em momentos distintos do processo de identificação de riscos, quando analisados a partir do objetivo de criação da mentalidade de riscos nas organizações, mostram-se complementares para a construção de uma estrutura sólida de gestão de riscos.
A Norma ISO 31000 (2009) agrega atividades a expressões de modo a clarificar o entendimento por parte das organizações. Assim, considera a referência à arquitetura para gerenciar os riscos – princípios, estrutura e processo, como “gestão de riscos”, e a aplicação dessa arquitetura é apresentada com o uso da expressão “gerenciando riscos”.
Na Figura 3, observa-se que a gestão de riscos perpassa por todos os processos da organização e que sua identificação, implementação e manutenção se correlacionam de forma interdependente de modelos que se adéquem às necessidades das especificidades de cada organização.
Relacionando as expressões com os modelos apresentados e que são considerados complementares, mesmo sendo implementados em momentos distintos da vida organizacional, a “gestão de riscos” pode ser correlacionada ao top-down, na medida em que apresenta a estrutura que vai fornecer os fundamentos para a incorporação da gestão de risco em todos os níveis da organização e o “gerenciando riscos” ao bottom-up, incluindo o processo de avaliação, tratamento e monitoramento de riscos.
Assim como na gestão da qualidade, as definições de política e objetivos da qualidade estão mais próximas do modelo top-down. A realização das atividades fins da organização, os procedimentos operacionais de realização de produtos e serviços, os controles de análise, medição e monitoramento, bem como o atendimento às expectativas do cliente atenderiam ao que representa o modelo bottom-up.
Por fim, a implementação de um sistema de gestão da qualidade baseada na mentalidade de riscos pressupõe que as inter-relações entre conceitos distintos sejam muito bem analisados para que possam gerar resultados eficazes, independentemente da perspectiva de eficiência e efetividade nas práticas e processos adotados pelas organizações.
O levantamento teórico feito nesta pesquisa permitiu a definição de algumas premissas básicas fundamentais para a atualização dos SGQ baseados na nova revisão 2015 da norma ISO 9001.
Ao aplicar o conceito de pensamento baseado no risco, a organização deve identificar os riscos e as oportunidades associados a seu contexto e objetivos, planejar como integrar e implementar as ações para lidar com estes riscos e oportunidades dentro dos processos do seu sistema de gestão e avaliar a efetividade dessas ações, de modo a dar garantias que o SGQ possa alcançar os resultados pretendidos, melhorar os efeitos desejáveis, prevenir ou reduzir os efeitos indesejados e alcançar melhorias.
As ações para lidar com riscos e oportunidades, enquanto novos requisitos devem ser tratados com cautela, pois as possibilidades de identificar riscos e oportunidades dentro de qualquer organização são inúmeras. A empresa deve ter uma ideia clara do seu contexto e objetivos para que possa definir e programar adequadamente as diretrizes, a metodologia e os critérios com os quais irá analisar, priorizar, e tratar os riscos e oportunidades associados.
As ações para tratar riscos e oportunidades devem ser proporcionais ao impacto potencial de cada risco identificado sobre a conformidade de produtos e serviços.
A nova versão da ISO 9001 não determina que a organização implante um sistema de gestão de riscos como descrito na ABNT NBR ISO 31000, mas a organização pode decidir se quer ou não desenvolver uma metodologia de gestão de riscos mais extensa que a requerida pela norma usando outros guias ou metodologias disponíveis.
O sustentáculo básico de um sistema de certificação deve ser a confiança e a reputação das organizações envolvidas na certificação dos sistemas de gestão, tanto das que executam a função de avaliadoras como aquelas que são objeto de avaliação. As palavras chave para o sucesso desses sistemas são a credibilidade e a confiança. E as novas abordagens da ISO 9001 exigirão uma capacitação muito maior por parte de seus avaliadores, extrapolando as fronteiras de uma norma.
Observar o cenário e o contexto de aplicação e implementação da norma 9001 facilita a incorporação de elementos que compõem a mentalidade de risco. Além disso, buscar o entendimento das relações da gestão de riscos em cada nível de decisão pode colaborar para uma implantação mais efetiva do sistema de gestão da qualidade pelas organizações.
Esta pesquisa procurou realizar uma análise comparativa teórica entre a norma de sistema de gestão da qualidade (ISO 9001) e a norma de gestão de risco (ISO 31000), ambas editadas pela ISO, em que a primeira teve sua revisão editada em outubro de 2015, e a segunda está vigente desde 2009. Buscou-se acrescentar à esta análise algumas sugestões para que as organizações possam observar na implementação da nova versão da 9001 o contexto e o cenário, além de considerar os aspectos inerentes a cada nível de decisão, de modo a estimular a prática da mentalidade de risco em seus ambientes relacionais.
Por fim, entende-se que sistemas de gestão da qualidade podem incorporar a gestão de riscos de forma bastante eficaz enquanto mecanismo de indução à melhoria contínua dos produtos, processos e serviços oferecidos pelas organizações e de mitigação dos impactos negativos que seus processos possam causar para as partes envolvidas no negócio da organização.
Para tal, é importante que as organizações interessadas se aprofundem no estudo da gestão de riscos, pelos mais distintos métodos, sendo a norma ISO 31000 um caminho natural e mais simples para este processo, dada a similaridade de sua estrutura com as demais normas ISO para sistemas de gestão.
O acompanhamento, a medição e a observação da forma como a implementação da nova versão da ISO 9001 ocorre, por exemplo, considerando a reestruturação que a mesma traz de conceitos como mentalidade de risco, representará o aprofundamento futuro das pesquisas que seguem neste sentido.
Associação Brasileira de Normas Técnicas – ABNT (2009), ABNT NBR ISO 31000:2009, “Gestão de riscos – Princípios e diretrizes”, ABNT, Rio de Janeiro.
Associação Brasileira de Normas Técnicas – ABNT (2015), ABNT NBR ISO 9001:2015, “Sistemas de gestão da qualidade – Requisitos”, ABNT, Rio de Janeiro.
Bonina, N. (2009), “A Qualidade Total no Serviço Público: os caminhos de uma instituição pública portuguesa rumo à certificação ISO 9001:2000”, Dissertação de Mestrado em Gestão de Recursos Humanos, Coimbra: ISMT-ESAE.
Carpinetti, L. C. R. (2010), Gestão da Qualidade: conceitos e técnicas, São Paulo, Atlas.
Depexe, M. D.; Paladini, E. P. (2008), “Benefícios da implantação e certificação de sistemas de gestão da qualidade em empresas construtoras”, Revista Gestão Industrial, Vol. 4, No. 2, pp. 145-161.
Fernandes, W. A. (2011), “O movimento da qualidade no Brasil”, Essential Idea Publishing, Rio de Janeiro – RJ.
Ferreira, R. O.; Lima, G. B. A. L.; Maciel, G. F. S. V. et al. (2014), “Análise da implantação do processo de gestão de riscos com base na ISO 31000: aplicação numa empresa de energia”, Relatórios de Pesquisa em Engenharia de Produção, Vol.14, No. 13, p.159-172.
Fonseca, L. M. (2015) “ISO 9001 Quallity Managementt Syystemss through the Lenss off Organizational Culture”, Quality Management, Vol. 16, No. 148, Oct, p. 63 - 78.
Fonseca, L. M. (2015), “From Quality Gurus and TQM to ISO 9001:2015: A review of several quality paths”, International Journal for Quality Research, Vol. 9, No. 1, pp. 167–180.
Jakobsson, K.; Söderbergh, B.; Snowden, S. et al. (2014), “Bottom-up modeling of oil production: A review of approaches”, Energy Policy, Vol. 64, pp. 113–123.
Liebesman, S. (2005), “Mitigate SOX Risk with ISO 9001 and 14001”, Quality Progress. September.
Nascimento, L. C. (2016), “A ISO 9001 vai mudar: O que você precisa saber – oficialmente”. ABNT/CB-25, 2013, Disponível em: http://www.ABNTcb25.com.br/ Acesso em: 12 jan. 2016.
Nonaka, I. (2001), “A empresa criadora de conhecimento”, In: HARVARD BUSINESS REVIEW. (Org). Gestão do Conhecimento. Campus, Rio de Janeiro, p. 27 – 49.
Nonaka, I.; Takeuchi, H. (2008), “Gestão do Conhecimento”, Bookman, Porto Alegre.
Vitoreli, G. A.; Carpinetti, L. C. R. (2013), “Análise da integração dos sistemas de gestão normalizados ISO 9001 e OHSAS 18001: estudo de caso múltiplos”, Gestão & Produção, São Carlos, Vol. 20, No. 1, pp. 204-217.
Wanke, P. (2008), “Previsão top-down ou buttom-up? Impacto nos níveis de erros e de estoques de segurança”, Gestão & Produção, São Carlos, Vol. 15, No. 2, p. 231-245.
Zago, C. C.; Retour, D. (2013), “Cultura organizacional: Nível coletivo constitutivo da gestão por competências”, Gestão & Produção, São Carlos, Vol. 20, No. 1, p.180-191.
Recebido: 26 maio. 2018
Aprovado: 16 set. 2019
DOI: 10.20985/1980-5160.2019.v14n3.1430
Como citar: Simão, V. G.; Bonina, N.; Lima, G. B. A., et al. (2019), “Análise comparativa entre as normas ABNT NBR ISO 9001:2015 e a ABNT NBR ISO 31000:2009: a mentalidade de riscos nos sistemas de gestão da qualidade”, Sistemas & Gestão, Vol. 14, No. 3, pp. 310-322, disponível em: http://www.revistasg.uff.br/index.php/sg/article/view/1430 (acesso dia mês abreviado. ano).