A ISO 9001:2015 é a norma de sistema de gestão da qualidade mais adotada no mundo. Mais de um milhão de organizações em 170 países são certificadas. No Brasil, é requisito em cadeias de fornecimento de setores como automotivo, aeronáutico, saúde e construção.
O processo de certificação tem estrutura definida e etapas técnicas que seguem uma lógica. Organizações que tentam atalhar esse processo gastam mais tempo e dinheiro do que as que seguem o roteiro correto.
Este artigo descreve as cinco fases — do diagnóstico inicial ao certificado emitido.
Fase 1 — Diagnóstico inicial (Gap Analysis)
A fase de diagnóstico tem um objetivo simples: identificar a diferença entre o que a empresa já faz e o que a ISO 9001:2015 exige. Sem esse diagnóstico, a implementação começa no escuro.
O diagnóstico deve cobrir cada requisito normativo das cláusulas 4 a 10 e classificar o grau de atendimento atual:
- Atendido: o requisito está implementado e há evidência objetiva
- Parcialmente atendido: há algo implementado, mas incompleto ou sem evidência suficiente
- Não atendido: o requisito não existe na organização
O resultado do diagnóstico é uma matriz de gap com o percentual de atendimento por cláusula. Organizações maduras com processos documentados tipicamente chegam com 40% a 60% dos requisitos atendidos — sem nunca terem buscado certificação. O trabalho de implementação cobre o restante.
Duração típica: 2 a 5 dias, dependendo do tamanho e complexidade da organização.
Fase 2 — Planejamento da implementação
Com o gap analysis em mãos, é possível planejar a implementação de forma realista. O plano precisa conter:
- Lista de requisitos a implementar ou complementar, por cláusula
- Responsável por cada requisito
- Prazo de implementação
- Recursos necessários (tempo de pessoal, treinamento, consultoria)
- Marcos intermediários de verificação
A ISO 9001 não tem uma lista de documentos obrigatórios extensa. Os documentos exigidos como informação documentada obrigatória pela norma são:
- Escopo do SGQ (cláusula 4.3)
- Política da qualidade (cláusula 5.2)
- Objetivos da qualidade (cláusula 6.2)
- Informações documentadas dos processos (conforme necessário para a organização)
Além desses, a norma exige a manutenção de registros específicos como evidência de implementação. Esses registros são definidos ao longo das cláusulas 6 a 10.
Armadilha comum: criar documentação excessiva que não reflete o processo real. O auditor verifica se o que está escrito é o que realmente acontece. Documentação que não corresponde à prática é não conformidade — mesmo que o documento esteja bem escrito.
Fase 3 — Implementação
A implementação é a fase mais longa e a que mais depende do engajamento interno. A ISO 9001 não é um projeto de consultoria — é uma mudança de como a organização gerencia seus processos.
Os pontos críticos de implementação, por cláusula:
Cláusula 4 — Contexto: identificar stakeholders, suas expectativas e como elas afetam o SGQ. Definir o escopo com clareza.
Cláusula 5 — Liderança: a alta direção precisa estar presente — não apenas assinar a política. O comprometimento visível da liderança define o ritmo de adoção em toda a organização.
Cláusula 6 — Planejamento: identificar riscos e oportunidades para os objetivos do SGQ. Estabelecer objetivos mensuráveis. Planejar mudanças de forma controlada.
Cláusula 7 — Apoio: garantir competência para funções que afetam a conformidade do produto/serviço. Implementar comunicação interna eficaz. Controlar documentos e registros.
Cláusula 8 — Operação: é aqui que o SGQ toca o produto ou serviço real. Controle de processos, requisitos de clientes, projeto e desenvolvimento (quando aplicável), controle de fornecedores, controle de saídas não conformes.
Cláusula 9 — Avaliação: monitoramento de indicadores, satisfação de clientes, auditoria interna, análise crítica pela direção.
Cláusula 10 — Melhoria: tratamento de não conformidades com análise de causa raiz e verificação de eficácia. Melhoria contínua documentada.
Duração típica: 3 a 12 meses, dependendo do gap inicial e da complexidade operacional.
Fase 4 — Auditoria interna e análise crítica
Antes de solicitar a auditoria de certificação, dois requisitos precisam estar cumpridos:
Auditoria interna (cláusula 9.2): uma auditoria interna completa, cobrindo todas as cláusulas e todo o escopo do SGQ. Os auditores internos precisam ser competentes — formação como auditor interno é requisito verificado na auditoria de certificação. O relatório da auditoria interna, com as não conformidades identificadas e as ações corretivas implementadas, é verificado pelo auditor externo.
Análise crítica pela direção (cláusula 9.3): a alta direção precisa ter realizado a análise crítica com todas as entradas obrigatórias: desempenho dos indicadores, resultados de auditorias, satisfação de clientes, não conformidades, objetivos. O registro desta reunião — ata com decisões e ações — é documento verificado na auditoria de certificação.
Pré-requisito para auditoria de certificação: não conformidades da auditoria interna fechadas com evidência de eficácia.
Fase 5 — Auditoria de certificação
A auditoria de certificação tem duas etapas, chamadas Estágio 1 e Estágio 2.
Estágio 1 — Análise de documentação: geralmente remoto. O organismo de certificação analisa a documentação do SGQ, verifica se o escopo está adequado, confirma se os requisitos normativos foram abordados. O resultado é um relatório com pontos a esclarecer ou complementar antes do Estágio 2.
Estágio 2 — Auditoria de campo: presencial. O auditor visita a organização, entrevista pessoas, observa processos, verifica registros. Confirma que o que está documentado é o que realmente acontece.
Não conformidades encontradas no Estágio 2:
- Maiores: ausência de requisito normativo, ou falha sistêmica. Precisam ser tratadas antes do certificado ser emitido.
- Menores: falha pontual ou evidência insuficiente. Podem ser tratadas após a emissão do certificado, dentro de prazo acordado.
- Observações: pontos de atenção, sem impacto na certificação.
Após o tratamento de não conformidades maiores e a verificação pelo organismo certificador, o certificado é emitido. A validade é de três anos, com auditorias de manutenção anuais.
Erros que atrasam a certificação
- Solicitar o Estágio 2 sem ter concluído a auditoria interna e a análise crítica
- Documentação que não reflete os processos reais (o auditor percebe nas entrevistas)
- Alta direção que não conhece a política, os objetivos ou os resultados do SGQ
- Treinamentos registrados mas sem avaliação de eficácia
- Escopo mal definido — incluindo processos que a empresa não controla ou excluindo processos que afetam a conformidade do produto
Conclusão: certificação é consequência, não objetivo
O certificado ISO 9001 é evidência de que o sistema de gestão funciona. Não é o objetivo em si. Organizações que implementam o SGQ com foco em "passar na auditoria" constroem sistemas frágeis, que funcionam bem no dia da auditoria e mal nos outros 364 dias do ano.
O sistema que funciona todos os dias — com processos controlados, indicadores monitorados e não conformidades tratadas — passa na auditoria como consequência natural. Esse é o roteiro correto.