5 – Gestão de Riscos e Oportunidades

Curso ISO 9001:2015 EAD: pensamento baseado em riscos, ISO 31000, identificação, avaliação, tratamento e ferramentas de análise

Carga horária: 8 horas

Este módulo apresenta a gestão de riscos e oportunidades como parte essencial da ISO 9001:2015. A versão 2015 da norma tornou explícito o pensamento baseado em riscos, orientando as organizações a considerar incertezas que possam afetar seus processos, seus resultados, seus clientes e seu Sistema de Gestão da Qualidade. A proposta não é transformar a ISO 9001 em uma norma de gestão de riscos completa, mas integrar a prevenção, a análise crítica e a tomada de decisão ao funcionamento cotidiano da qualidade.

Objetivos de aprendizagem

Ao final deste módulo, o aluno deverá ser capaz de explicar o pensamento baseado em riscos na ISO 9001:2015, compreender a contribuição da ISO 31000, identificar riscos e oportunidades nos processos, avaliar riscos com critérios objetivos, elaborar planos de tratamento e aplicar ferramentas de análise como matriz de riscos, SWOT, FMEA, 5W2H, brainstorming, Ishikawa e cinco porquês.

1. Pensamento baseado em riscos

O pensamento baseado em riscos é uma das principais mudanças introduzidas pela ISO 9001:2015. Ele orienta a organização a considerar, desde o planejamento do Sistema de Gestão da Qualidade, quais incertezas podem afetar a capacidade de alcançar resultados pretendidos, entregar produtos e serviços conformes e aumentar a satisfação do cliente. A ISO/TC 176 esclarece que o pensamento baseado em riscos considera tanto riscos quanto oportunidades, integrando a prevenção ao sistema de gestão (Iso/Tc 176, 2023).

Em versões anteriores da ISO 9001, a ideia de prevenção aparecia principalmente associada à ação preventiva. Na versão 2015, a lógica preventiva foi incorporada de modo mais amplo ao sistema, especialmente nos requisitos relacionados ao contexto da organização, planejamento, processos, operação, avaliação de desempenho e melhoria. Isso significa que a organização deve pensar preventivamente antes que a não conformidade ocorra.

Risco, no contexto da gestão, pode ser compreendido como o efeito da incerteza sobre os objetivos. Esse efeito pode ser negativo, quando ameaça resultados, ou positivo, quando se manifesta como oportunidade. Por exemplo, a instabilidade de um fornecedor crítico pode representar risco de atraso na entrega. Por outro lado, a entrada de uma nova tecnologia pode representar oportunidade de reduzir falhas, melhorar atendimento e aumentar produtividade.

O pensamento baseado em riscos não exige necessariamente métodos complexos em todas as situações. A própria ISO 9001:2015 permite que a abordagem seja proporcional ao contexto, ao porte, à complexidade e à criticidade dos processos. Uma pequena empresa pode utilizar uma matriz simples de probabilidade e impacto. Uma indústria de alta criticidade pode precisar de métodos mais robustos, como FMEA, análise de perigos, estudos estatísticos e controles técnicos avançados.

O ponto central é que riscos e oportunidades não sejam tratados apenas como documentos para auditoria. Eles devem orientar decisões reais: onde investir recursos, quais processos controlar mais de perto, quais fornecedores monitorar, quais competências desenvolver, quais indicadores acompanhar e quais ações implementar para reduzir efeitos indesejáveis ou potencializar efeitos positivos.

Caixa explicativa 1: risco não é apenas perigo

Na ISO 9001:2015, risco não deve ser entendido apenas como ameaça ou acidente. Risco é o efeito da incerteza sobre resultados esperados. Esse efeito pode ser negativo, quando compromete a qualidade, ou positivo, quando revela uma oportunidade. Por isso, a norma fala em riscos e oportunidades.

Fonte: Iso/Tc 176 (2023); Iso (2026).

2. ISO 31000

A ISO 31000 é uma norma internacional que apresenta diretrizes para gestão de riscos. Ela fornece princípios, estrutura e processo para gerenciar riscos em organizações de diferentes portes e segmentos. A ISO informa que a ISO 31000 oferece uma abordagem abrangente para identificar, analisar, avaliar, tratar, monitorar e comunicar riscos em uma organização (Iso, 2026).

Diferentemente da ISO 9001, a ISO 31000 não é uma norma de certificação de Sistema de Gestão da Qualidade. Ela funciona como uma diretriz para apoiar organizações na construção de práticas de gestão de riscos. Sua aplicação pode ser adaptada ao contexto da organização, à natureza de seus objetivos, aos processos e aos tipos de risco enfrentados.

A relação entre ISO 9001:2015 e ISO 31000 é complementar. A ISO 9001 exige que a organização determine riscos e oportunidades relevantes para o Sistema de Gestão da Qualidade. A ISO 31000 ajuda a estruturar uma abordagem mais ampla e madura para identificação, análise, avaliação, tratamento, monitoramento e comunicação desses riscos.

A ISO 31000 trabalha com a ideia de que a gestão de riscos deve ser integrada, estruturada, personalizada, inclusiva, dinâmica, baseada na melhor informação disponível, considerar fatores humanos e culturais e promover melhoria contínua. Esses princípios ajudam a evitar que o risco seja tratado como tarefa isolada do setor da qualidade ou como mera formalidade documental.

Para um curso ISO 9001:2015 EAD, estudar a ISO 31000 permite que o aluno compreenda melhor a lógica de risco e oportunidade aplicada ao Sistema de Gestão da Qualidade. A ISO 9001 indica o que deve ser considerado no contexto da qualidade; a ISO 31000 amplia o entendimento sobre como estruturar a gestão de riscos de modo sistemático.

Caixa explicativa 2: ISO 9001 e ISO 31000 são iguais?

Não. A ISO 9001:2015 define requisitos para Sistemas de Gestão da Qualidade e pode ser usada para certificação. A ISO 31000 apresenta diretrizes para gestão de riscos e não é uma norma certificável da qualidade. No curso, a ISO 31000 será usada como apoio conceitual e metodológico para compreender melhor riscos e oportunidades.

Fonte: Iso (2026); PECB (2026).

3. Identificação dos riscos

A identificação dos riscos é a etapa em que a organização reconhece eventos, condições, causas, fontes ou circunstâncias que podem afetar seus objetivos, processos e resultados. No Sistema de Gestão da Qualidade, essa identificação deve considerar o contexto da organização, as necessidades das partes interessadas, os processos, os requisitos legais e regulamentares, os fornecedores, os recursos, as competências, a infraestrutura, a comunicação e a satisfação do cliente.

A identificação não deve se limitar a perguntas genéricas como “quais são os riscos da empresa?”. É mais eficaz analisar processo por processo. Em um processo de compras, podem existir riscos de atraso de fornecedor, especificação incorreta, compra sem aprovação, preço elevado, material não conforme e dependência de fornecedor único. Em um processo de atendimento, podem existir riscos de demora, resposta inadequada, perda de informação, falha de registro e insatisfação do cliente.

A identificação dos riscos deve envolver pessoas que conhecem a operação. Gestores, colaboradores, técnicos, auditores internos, responsáveis por processos e até clientes internos podem contribuir para reconhecer riscos reais. Muitas vezes, quem executa o trabalho percebe fragilidades que não aparecem nos documentos formais.

Também é importante identificar oportunidades. Uma oportunidade pode ser uma possibilidade de melhorar desempenho, reduzir desperdício, automatizar processos, aumentar satisfação do cliente, fortalecer fornecedores, melhorar indicadores ou simplificar documentos. A oportunidade não é apenas uma “coisa boa”; ela precisa ser analisada quanto à sua viabilidade, impacto e alinhamento com os objetivos da organização.

Boas fontes para identificação de riscos incluem auditorias internas, reclamações de clientes, indicadores, histórico de não conformidades, análise de fornecedores, reuniões de equipe, mudanças legais, pesquisas de satisfação, incidentes, retrabalhos, atrasos, alterações tecnológicas e análise de contexto.

4. Avaliação dos riscos

Após identificar riscos, a organização precisa avaliá-los. Avaliar riscos significa compreender sua relevância, considerando critérios como probabilidade, impacto, detectabilidade, criticidade, urgência, vulnerabilidade e capacidade de controle. A avaliação ajuda a priorizar ações, evitando que todos os riscos sejam tratados como se tivessem a mesma importância.

Uma das formas mais simples de avaliação é a matriz de probabilidade e impacto. Nela, a organização atribui uma pontuação à chance de ocorrência e outra à gravidade das consequências. A multiplicação ou combinação desses valores gera uma classificação do risco, por exemplo: baixo, médio, alto ou crítico.

A avaliação precisa ser coerente com critérios previamente definidos. Se uma organização não define o que significa impacto baixo, médio ou alto, cada pessoa pode classificar os riscos de forma subjetiva. Por isso, recomenda-se criar critérios claros. Por exemplo: impacto alto pode significar risco de perda de cliente, violação legal, parada de processo crítico, prejuízo financeiro relevante ou dano grave à imagem institucional.

A avaliação também deve considerar controles existentes. Um risco pode parecer grave inicialmente, mas estar bem controlado por procedimentos, treinamentos, sistemas, verificações e indicadores. Por outro lado, um risco moderado sem nenhum controle pode exigir ação imediata. A análise deve considerar a situação real do processo.

Em Sistemas de Gestão da Qualidade, a avaliação de riscos deve estar conectada aos processos, objetivos da qualidade e satisfação do cliente. Riscos que podem comprometer conformidade, prazos, segurança, legislação, contratos e imagem institucional merecem atenção prioritária.

Caixa explicativa 3: exemplo simples de matriz de riscos

Uma empresa identifica o risco de atraso na entrega por dependência de fornecedor único. A probabilidade é classificada como alta, pois atrasos já ocorreram nos últimos meses. O impacto também é alto, pois o atraso compromete contratos com clientes. O risco, portanto, deve ser tratado com prioridade, podendo envolver homologação de novos fornecedores, estoque mínimo e monitoramento de desempenho.

Fonte: Iso (2026); Asq (2026).

5. Plano de tratamento dos riscos

O plano de tratamento dos riscos é o conjunto de ações definidas para lidar com riscos e oportunidades. Após identificar e avaliar os riscos, a organização precisa decidir o que fará com eles. Algumas possibilidades incluem eliminar o risco, reduzir sua probabilidade, reduzir seu impacto, compartilhar o risco, aceitar o risco com monitoramento ou aproveitar uma oportunidade.

Um bom plano de tratamento deve indicar o risco tratado, a ação proposta, o responsável, o prazo, os recursos necessários, o indicador de acompanhamento e a forma de verificar eficácia. Sem esses elementos, o plano pode se tornar apenas uma lista de intenções sem execução prática.

Na ISO 9001:2015, as ações para riscos e oportunidades devem ser proporcionais ao impacto potencial sobre a conformidade de produtos e serviços. Isso significa que nem todo risco exige o mesmo nível de controle. O excesso de controles pode gerar burocracia desnecessária; a ausência de controles pode gerar falhas, custos, reclamações e não conformidades.

O tratamento de riscos também precisa ser acompanhado. Não basta definir ações. É necessário verificar se foram implementadas, se reduziram o risco, se criaram novos riscos e se continuam adequadas ao longo do tempo. Mudanças de mercado, processos, pessoas, fornecedores ou tecnologia podem alterar o nível de risco.

Em muitos casos, o plano de tratamento pode ser estruturado com 5W2H, indicando o que será feito, por que será feito, onde, quando, por quem, como e quanto custará. Para riscos mais complexos, podem ser necessários projetos de melhoria, controles técnicos, auditorias específicas, alterações contratuais, treinamentos, automações, redundâncias ou mudanças de processo.

6. Ferramentas de análise

As ferramentas de análise ajudam a organização a identificar, avaliar, tratar e monitorar riscos e oportunidades. Elas não substituem o julgamento profissional, mas tornam a análise mais organizada, participativa e baseada em evidências.

6.1 Matriz de riscos

A matriz de riscos é uma ferramenta simples e muito utilizada para cruzar probabilidade e impacto. Ela permite classificar riscos em níveis e definir prioridades. Sua vantagem é a facilidade de aplicação. Sua limitação é a possibilidade de subjetividade quando os critérios não são bem definidos.

6.2 SWOT

A análise SWOT identifica forças, fraquezas, oportunidades e ameaças. Ela é útil para compreender o contexto da organização e relacionar fatores internos e externos com riscos e oportunidades. No Sistema de Gestão da Qualidade, pode apoiar o planejamento estratégico, a definição de objetivos e a análise de contexto.

6.3 FMEA

FMEA significa Failure Mode and Effects Analysis, ou análise dos modos de falha e seus efeitos. É uma ferramenta mais estruturada para identificar modos de falha, causas, efeitos, controles existentes e prioridades de ação. Costuma utilizar critérios como severidade, ocorrência e detecção. É muito aplicada em indústria, saúde, engenharia, processos críticos e desenvolvimento de produtos.

6.4 5W2H

O 5W2H é uma ferramenta de planejamento de ações. Ajuda a transformar análise em execução, respondendo: o que será feito, por que, onde, quando, por quem, como e quanto custará. É especialmente útil na construção de planos de tratamento de riscos e oportunidades.

6.5 Brainstorming

O brainstorming permite reunir ideias de diferentes pessoas para identificar riscos, causas, oportunidades e possíveis ações. Sua qualidade depende da participação de pessoas que conhecem o processo e de uma condução organizada, evitando julgamentos precipitados e estimulando contribuição ampla.

6.6 Diagrama de Ishikawa

O diagrama de Ishikawa ajuda a investigar causas de um problema ou risco. Ele organiza possíveis causas em categorias, como método, mão de obra, máquina, material, meio ambiente e medição. É útil para evitar conclusões rápidas e ampliar a análise causal.

6.7 Cinco Porquês

A técnica dos cinco porquês busca aprofundar a análise de causa perguntando sucessivamente por que um problema ocorreu. É simples, mas exige cuidado para não transformar uma análise complexa em resposta superficial. Deve ser usada com evidências e, quando possível, combinada com outras ferramentas.

Caixa explicativa 4: ferramenta não resolve sozinha

Ferramentas como matriz de riscos, SWOT, FMEA, Ishikawa e 5W2H ajudam a organizar o pensamento, mas não substituem evidências, conhecimento técnico e decisão gerencial. Uma matriz bonita, sem ação, não reduz risco. Um plano de ação sem responsável e prazo não melhora processo.

Fonte: Iso (2026); Asq (2026).


Resumo do módulo

Neste módulo, estudamos a gestão de riscos e oportunidades no contexto da ISO 9001:2015. Vimos que o pensamento baseado em riscos integra a prevenção ao Sistema de Gestão da Qualidade, permitindo que a organização antecipe incertezas, reduza efeitos indesejáveis e aproveite oportunidades. Analisamos a ISO 31000 como referência complementar para estruturação da gestão de riscos. Também estudamos a identificação, avaliação e tratamento de riscos, destacando a importância de critérios objetivos, participação das pessoas e conexão com processos, indicadores e satisfação do cliente. Por fim, conhecemos ferramentas de análise como matriz de riscos, SWOT, FMEA, 5W2H, brainstorming, Ishikawa e cinco porquês.


10 perguntas discursivas

  1. Explique o que significa pensamento baseado em riscos na ISO 9001:2015.
  2. Por que a versão 2015 da ISO 9001 substituiu a lógica isolada de ação preventiva por uma abordagem mais ampla de riscos?
  3. Explique a relação entre risco e oportunidade na gestão da qualidade.
  4. Qual é a contribuição da ISO 31000 para organizações que implantam a ISO 9001:2015?
  5. Quais fontes podem ser usadas para identificar riscos em um Sistema de Gestão da Qualidade?
  6. Explique como uma matriz de probabilidade e impacto pode apoiar a avaliação de riscos.
  7. Por que os critérios de avaliação de risco precisam ser definidos antes da classificação dos riscos?
  8. O que deve conter um plano de tratamento de riscos?
  9. Compare SWOT, FMEA e 5W2H na gestão de riscos e oportunidades.
  10. Explique por que o tratamento de riscos deve ser acompanhado e revisado periodicamente.

Gabarito comentado

1. Explique o que significa pensamento baseado em riscos na ISO 9001:2015.

Pensamento baseado em riscos significa considerar, durante o planejamento e a operação do Sistema de Gestão da Qualidade, as incertezas que podem afetar os resultados pretendidos. Isso inclui riscos que podem prejudicar a conformidade de produtos e serviços, a satisfação do cliente, os processos e os objetivos da qualidade. Também inclui oportunidades que podem melhorar desempenho, reduzir falhas e aumentar valor. A ideia central é agir preventivamente, e não apenas reagir depois que problemas ocorrem.

2. Por que a versão 2015 da ISO 9001 substituiu a lógica isolada de ação preventiva por uma abordagem mais ampla de riscos?

A versão 2015 incorporou a prevenção ao próprio sistema de gestão, em vez de tratá-la apenas como uma ação separada. Nas versões anteriores, a ação preventiva podia ser interpretada como um procedimento isolado. Com o pensamento baseado em riscos, a prevenção aparece no contexto da organização, no planejamento, na operação, nos processos, na avaliação de desempenho e na melhoria. Isso torna a gestão mais estratégica e menos burocrática.

3. Explique a relação entre risco e oportunidade na gestão da qualidade.

Risco é o efeito da incerteza sobre os resultados esperados. Esse efeito pode ser negativo ou positivo. Quando a incerteza ameaça a conformidade, o prazo, o custo, a satisfação do cliente ou a imagem da organização, ela é tratada como risco negativo. Quando a incerteza abre possibilidade de melhoria, inovação, redução de falhas ou aumento de desempenho, ela pode ser tratada como oportunidade. A ISO 9001:2015 considera ambos porque a organização deve reduzir efeitos indesejáveis e aumentar efeitos desejáveis.

4. Qual é a contribuição da ISO 31000 para organizações que implantam a ISO 9001:2015?

A ISO 31000 contribui oferecendo diretrizes para gestão de riscos, incluindo princípios, estrutura e processo. Embora a ISO 9001:2015 exija que a organização determine riscos e oportunidades relacionados ao Sistema de Gestão da Qualidade, a ISO 31000 ajuda a compreender melhor como identificar, analisar, avaliar, tratar, monitorar e comunicar riscos. Ela não substitui a ISO 9001, mas serve como apoio metodológico para uma gestão de riscos mais madura.

5. Quais fontes podem ser usadas para identificar riscos em um Sistema de Gestão da Qualidade?

A organização pode identificar riscos a partir da análise de contexto, necessidades das partes interessadas, indicadores, auditorias internas, reclamações de clientes, histórico de não conformidades, desempenho de fornecedores, mudanças legais, reuniões de equipe, falhas operacionais, retrabalhos, incidentes, atrasos, alterações tecnológicas e observação direta dos processos. Quanto mais conectada a identificação estiver à realidade operacional, mais útil será a análise.

6. Explique como uma matriz de probabilidade e impacto pode apoiar a avaliação de riscos.

A matriz de probabilidade e impacto apoia a avaliação ao classificar riscos de acordo com a chance de ocorrência e a gravidade de suas consequências. Um risco com alta probabilidade e alto impacto tende a ser prioritário. Um risco com baixa probabilidade e baixo impacto pode ser apenas monitorado. A matriz ajuda a organizar prioridades, direcionar recursos e definir ações proporcionais à criticidade do risco.

7. Por que os critérios de avaliação de risco precisam ser definidos antes da classificação dos riscos?

Os critérios precisam ser definidos antes para reduzir subjetividade e garantir consistência. Sem critérios claros, cada pessoa pode interpretar probabilidade e impacto de modo diferente. Por exemplo, “impacto alto” pode significar perda financeira, descumprimento legal, reclamação grave, parada de processo ou perda de cliente. Quando a organização define os critérios previamente, a classificação dos riscos torna-se mais confiável e comparável.

8. O que deve conter um plano de tratamento de riscos?

Um plano de tratamento de riscos deve conter o risco identificado, a ação planejada, o objetivo da ação, o responsável, o prazo, os recursos necessários, o indicador de acompanhamento, a forma de verificação da eficácia e a situação da implementação. Também é importante definir se a ação busca eliminar, reduzir, compartilhar, aceitar ou monitorar o risco, ou ainda aproveitar uma oportunidade.

9. Compare SWOT, FMEA e 5W2H na gestão de riscos e oportunidades.

A SWOT é útil para analisar fatores internos e externos, identificando forças, fraquezas, oportunidades e ameaças. Ela é adequada para análise de contexto e planejamento estratégico. O FMEA é mais detalhado e técnico, voltado à identificação de modos de falha, efeitos, causas, controles e prioridades de ação. O 5W2H é uma ferramenta de execução, usada para transformar decisões em plano de ação. Assim, a SWOT ajuda a enxergar o cenário, o FMEA aprofunda falhas potenciais e o 5W2H organiza a ação.

10. Explique por que o tratamento de riscos deve ser acompanhado e revisado periodicamente.

O tratamento de riscos deve ser acompanhado porque ações planejadas podem não ser implementadas, podem não produzir o efeito esperado ou podem gerar novos riscos. Além disso, o contexto da organização muda: fornecedores, clientes, tecnologias, leis, processos e pessoas podem se alterar. A revisão periódica permite verificar a eficácia das ações, atualizar a classificação dos riscos e manter o Sistema de Gestão da Qualidade adequado à realidade.


Referências bibliográficas:

Asq. How organizational context and risk-based thinking influence a quality management system. Milwaukee: American Society for Quality, 2026. Disponível em: https://asq.org/quality-resources/articles/how-organizational-context-and-risk-based-thinking-influence-a-quality-management-system. Acesso em: 7 jul. 2026. DOI: não se aplica.

Asq. ABC’s of implementing risk-based thinking. Milwaukee: American Society for Quality, 2016. Disponível em: https://videos.asq.org/pdfs/ABCs_of_Implementing_Risk-Based_Thinking.pdf. Acesso em: 7 jul. 2026. DOI: não se aplica.

Barafort, B.; Mesquida, A. L.; Mas, A. ISO 31000-based integrated risk management process assessment model for IT organizations. Journal of Software: Evolution and Process, v. 31, n. 1, 2019. DOI: 10.1002/smr.1984. Acesso em: 7 jul. 2026.

Iso. ISO 31000:2018: risk management — guidelines. Geneva: International Organization for Standardization, 2026. Disponível em: https://www.iso.org/standard/65694.html. Acesso em: 7 jul. 2026. DOI: não se aplica.

Iso. ISO 9001:2015: quality management systems. Geneva: International Organization for Standardization, 2026. Disponível em: https://www.iso.org/standard/62085.html. Acesso em: 7 jul. 2026. DOI: não se aplica.

Iso/Tc 176. Auditing Practices Group guidance on risk based thinking. Geneva: International Organization for Standardization, 2023. Disponível em: https://committee.iso.org/files/live/sites/tc176/files/PDF%20APG%20New%20Disclaimer%2012-2023/ISO-TC%20176-TF_APG-RiskBasedThinking.pdf. Acesso em: 7 jul. 2026. DOI: não se aplica.

PECB. ISO 31000 risk management: principles and guidelines. PECB, 2026. Disponível em: https://pecb.com/en/whitepaper/iso-31000-risk-management-principles-and-guidelines. Acesso em: 7 jul. 2026. DOI: não se aplica.