Acabei de passar por uma auditoria da ISO 9001:2015 como consultor de um cliente que ainda não era certificado. O trabalho foi intenso, pois o cliente não tinha SGQ (Sistema de Gestão de Qualidade) e nem experiência com normas certificáveis. Partimos do zero, claro que usando a experiência de implantação e auditoria em vários sistemas de gestão da qualidade diferentes.
A condição de auditor de terceira parte por 11 anos (auditor de organismo certificador) dá esta visão privilegiada: muitas formas diferentes de atender a mesma norma, criadas por diferentes consultores e em diversas realidades empresariais.
Mas foi uma grande experiência, como disse um auditor americano enquanto fazia uma auditoria testemunhal comigo num cliente de SA 8000 (Responsabilidade Social) aqui no sul.
O motivo deste pequeno artigo é compartilhar a minha admiração pela nova versão da norma, que traz nos requisitos adicionados à antiga versão de 2008, uma total amarração das questões estratégicas, táticas e operacionais de uma empresa, obrigando a se pensar estrategicamente e, ao mesmo tempo, levando a estratégia ao pessoal operacional de uma forma prática e incorporada nas atividades do dia a dia. O desdobramentos, objetivos e metas das políticas agora são obrigatórios e necessários para se ter uma análise de riscos completa, ampla e irrestrita.
Não adianta fazer meia gestão de riscos. Vai aparecer furo em outra parte do sistema de gestão, pois está tudo interligado. Na verdade, deve estar tudo interligado para funcionar direito e ajudar a empresa a se proteger dos riscos inerentes ao seu negócio.
Quando se faz o planejamento estratégico, ao avaliar cenários, fatores críticos de sucesso, forças de Porter, matriz SOWT (forças, fraquezas, oportunidades e ameaças), estratégias e ações estratégicas, já estamos trabalhando com gestão de riscos, mas só isso não basta. Existem os riscos táticos e operacionais, relacionados aos processos do SGQ e que aparecem quando se desdobra os objetivos estratégicos para esses processos. Esses riscos devem ser identificados e tratados em outra ferramenta complementar ao planejamento estratégico.
Quando a norma pede para identificar as partes interessadas que afetam a capacidade da empresa de entregar os requisitos determinados e aumentar a satisfação dos clientes, estamos identificando relacionamentos que demandam comunicação assertiva e mais riscos a serem gerenciados.
Quando descrevemos nossas atividades operacionais, definindo controles e parâmetros de aceitação, estamos identificando mais riscos. Quando definimos melhorias para o SGQ, mais riscos e oportunidades.
Existem riscos a serem avaliados em todas as decisões e atividades da empresa, como nas mudanças planejadas, nos problemas que ocorrem, nas entregas de produtos, recebimentos de matérias-primas e insumos. E a cada novo risco identificado, a metodologia de análise de riscos deve ser utilizada e os controles atualizados. Isso gera total envolvimento das chefias operacionais, da média gerência e da alta direção, fazendo com que o sistema seja efetivamente utilizado e, por consequência, melhorado.
Na versão anterior, a alta direção ainda podia definir um responsável maior pela operação do sistema que resolvia muita coisa sozinho e reportava o que acontecia para a alta direção.
Os gestores de processo já eram responsáveis pelos seus resultados, mas agora devem gerenciar os riscos dos seus processos sob pena de não atingir os resultados planejados. Aumentou também sua participação na efetiva gestão.
Quem fizer uma boa análise de riscos e utilizar para valer o SGQ vai ter melhores resultados, vai aparecer mais para a alta direção e ser mais valorizado por isso. Consequência disso será uma maior efetividade do SGQ.
A recomendação desse meu cliente para a certificação foi um reconhecimento da metodologia utilizada e um prêmio para a equipe do cliente que se envolveu e mais, se comprometeu com o trabalho forte na busca dos resultados previstos no planejamento estratégico e da própria certificação.