Boas Práticas de Auditoria - ISO 9001:2015 - Pensamento Baseado em Risco

Hélio René Lopes da Rocha

Tradução livre do documento:

“Auditing Practices Group Guidance Risk Based Thinking” – ISO (International Organization
for Standardization and IAF (International Accreditation Forum) – 13 January 2016.

O risco sempre foi implícito e abordado na ISO 9001. Muitas de suas exigências visam
prevenir riscos, portanto risco e ISO 9001 não é uma combinação nova. As edições anteriores
da ISO 9001 incluíam uma cláusula de ação preventiva, que visava evitar a ocorrência de não
conformidades.

A ISO 9001 especifica os requisitos para que a organização compreenda seu contexto e
determine os riscos como base para o planejamento. O pensamento baseado em riscos
considera tanto os riscos quanto as oportunidades.

A Introdução e o Anexo A da ISO 9001:2015 fornecem uma explicação sobre o pensamento

baseado em risco, incluindo esclarecimentos sobre os conceitos de risco e oportunidade.
Informações mais abrangentes podem ser encontradas no documento de pensamento
baseado em risco em www.iso.org/tc176/sc02/public .

Uma auditoria de pensamento baseado em risco em uma organização não pode ser realizada
como uma atividade autônoma. Ele deve estar implícito durante toda a auditoria de um SGQ,
inclusive quando entrevistar a alta administração. Um auditor deve agir de acordo com as
seguintes etapas e coletar provas objetivas como segue:

=> Que entradas são usadas pela organização para determinação de risco e oportunidade?
Essas entradas devem incluir o seguinte:
 Análise de questões externas e internas;
 A direção estratégica da organização;
 Partes interessadas, relacionadas ao seu SGQ, e suas exigências, também relacionadas
ao SGQ;
 O âmbito do SGQ da organização, e;
 Os processos da organização.

=> O auditor deve notar que a organização tem de determinar a extensão da informação
documentada necessária para fornecer evidência objetiva da aplicação do pensamento
baseado no risco. Não há exigência específica na ISO 9001: 2015 sobre como documentar os
resultados das determinações de riscos e oportunidades.

=> As necessidades de uma organização e a extensão e tipo de informações documentadas

variam muito em função do contexto da organização, seu tamanho, cultura, natureza dos
produtos e serviços, requisitos legais e regulamentares aplicáveis ou requisitos do cliente em
relação aos riscos sobre Produtos, etc.

=> Como uma organização pode determinar seus riscos e oportunidades, considerando o
acima exposto? A evidência objetiva pode estar em várias formas, por exemplo:
 Minutas da reunião;
  Análise SWOT;
 Relatórios sobre o feedback dos clientes;
 Atividades de brainstorming;
 Análise dos competidores;
 As atividades de planejamento, análise e avaliação relacionadas com vários processos,
p.e. planejamento estratégico, design e desenvolvimento, marketing, produção e
prestação de serviços, ações corretivas, ...
 Revisão de gerenciamento;
 Registros de determinação de risco ou de avaliação, se determinado aplicável ou
necessário pela organização, e;
 Etc.

=> Como uma organização pode enfrentar seus riscos e oportunidades determinados? As
ações necessárias para ser tomadas podem ser em diferentes formas, por exemplo:
 A revisão do velho, ou a fixação de novos objetivos;
 Planos de ação;
 No treinamento de trabalho;
 Instruções de trabalho, e;
 Objetivos e projetos de melhoria, etc.

=> A organização avalia a eficácia das ações acima mencionadas? O auditor deve confirmar se
auditorias internas e atividades de avaliações de desempenho levam em conta a efetiva
aplicação do pensamento baseado no risco.