PÁGINA INICIAL DO BLOG

  • Auditorias de Qualidade de Fornecedores Baseadas em Risco

3 de Junho de 2026

Nas grandes organizações em que trabalhei como líder de qualidade, auditoria de fornecedores Era quase sempre regido por um calendário. Às vezes, as auditorias de fornecedores aconteciam uma vez por ano; em outras, podiam acontecer duas vezes. Eu criava o cronograma para acomodar isso, e o sistema simplesmente funcionava.

Com o tempo, passei a adotar uma abordagem baseada em risco, na qual a profundidade e a frequência das auditorias de um fornecedor não se baseavam em uma data específica, mas sim no risco individual de cada fornecedor.

A forma como você determina o risco alto versus o baixo é crucial e um foco fundamental para os órgãos reguladores sob as novas diretrizes da FDA. Regulamento do Sistema de Gestão da Qualidade (QMSR).

Vamos analisar mais detalhadamente os benefícios das auditorias de fornecedores baseadas em risco e os dados que as sustentam, além do que a FDA e os órgãos de certificação procuram ao avaliar seu programa de fornecedores.

Aprenda como a tecnologia pode apoiar o seu programa de qualidade de fornecedores com o nosso webinar gratuito. Do Onboarding à Auditoria: As Ferramentas Certas para a Qualidade do Fornecedor

Quais são algumas das desvantagens das auditorias de fornecedores baseadas em calendário?

A auditoria padrão baseada em calendário é ineficiente em comparação com as auditorias baseadas em risco, além de aumentar as chances de você deixar passar problemas e ter problemas com os órgãos reguladores.

As maiores desvantagens dessa abordagem são:

  • Recursos desperdiçados: Quando todos os fornecedores são submetidos ao mesmo nível de escrutínio, análises aprofundadas frequentemente recaem sobre fornecedores de baixo risco que, na realidade, não precisam delas.
  • Sinal perdido em fornecedores de alto risco: Ao auditar fornecedores de alto risco com a mesma intensidade que os de baixo risco, o tempo acaba sendo distribuído uniformemente entre uma população com riscos desiguais. Isso aumenta a probabilidade de que algo passe despercebido.
  • Falsa sensação de segurança no nível da liderança: Se você visita os fornecedores anualmente, ninguém está monitorando os fornecedores de alto risco nos 11 meses entre as auditorias programadas.
  • Risco regulatório: De acordo com o QMSR da FDA, em vigor desde fevereiro de 2026, a agência agora pode inspecionar relatórios de auditoria de fornecedores e espera uma avaliação de fornecedores proporcional ao risco. ISO 13485 A cláusula 7.4 exige o mesmo.

Como os fabricantes devem avaliar o risco dos fornecedores?

Avaliando risco do fornecedor Na prática, isso exige analisar o problema sob duas perspectivas.

A primeira é a criticidade e a segunda é o desempenho.

A criticidade diz respeito ao papel que os materiais e componentes do fornecedor desempenham nas suas operações. Os fatores a considerar incluem:

  • Importância do componente: Quão essencial é essa peça ou material para o seu produto final?
  • Exposição regulatória: Uma falha ou alteração neste fornecedor acarretaria obrigações de comunicação ou afetaria sua situação regulatória?
  • Impacto na segurança: O que está em jogo em termos de segurança do produto se o produto deste fornecedor falhar?
  • Concentração da base de fornecimento: Trata-se de um fornecedor único ou de um entre vários?

As métricas de desempenho a serem avaliadas incluem:

  • Entrega no prazo: As entregas estão chegando no prazo previsto? E qual é a consistência desse padrão?
  • Capacidade de resposta: Com que rapidez o fornecedor reconhece e resolve os problemas, responde às suas comunicações e lida proativamente com problemas recorrentes?
  • Solicitação de Ação Corretiva do Fornecedor (SCAR) freqüência: Os problemas estão ocorrendo repetidamente com o mesmo fornecedor e com as mesmas causas principais?
  • Eficácia do CAPA: As ações corretivas impedem que os problemas voltem a ocorrer?
  • Tendências nas pontuações de auditoria: Em que direção estão se movendo as pontuações de auditoria ao longo do tempo?

Analisar tanto a criticidade quanto o desempenho é fundamental para determinar o cronograma e a profundidade adequados da auditoria, tanto do ponto de vista operacional quanto regulatório.

Um fornecedor com desempenho ruim que fornece uma peça crítica representa o maior risco e, consequentemente, será submetido à auditoria mais rigorosa. Um fornecedor com bom desempenho que fornece uma peça não crítica pode receber uma auditoria mais leve. Para fornecedores em uma situação intermediária, a combinação de criticidade e desempenho determina onde você deve concentrar seus esforços.

Profundidade da auditoria de fornecedores: calibrando a confiança com base em evidências.

Uma forma de analisar as auditorias de fornecedores baseadas em risco é considerar que a profundidade da auditoria deve refletir o nível de confiança que o fornecedor conquistou.

Por exemplo, um fornecedor de baixo risco com um histórico impecável conquistou um certo nível de confiança, o que geralmente se traduz em uma auditoria mais simples. Eles possuem um Procedimento Operacional Padrão (POP). Eles afirmam segui-lo. O histórico de auditorias comprova isso. Com a confiança, é mais provável que você aceite essas informações como verdadeiras e gaste menos tempo verificando cada alegação.

Um fornecedor de alto risco, por outro lado, ainda não conquistou essa mesma confiança. Em alguns casos, problemas recorrentes corroeram qualquer confiança que ele pudesse ter tido. Com esses fornecedores de alto risco, você pode precisar fazer verificações pontuais em itens individuais. Registros de treinamento e verificando se o que eles dizem está realmente acontecendo no andar deles. A abrangência da auditoria se expande ou se contrai com base nos dados disponíveis.

Auditorias de fornecedores

Presença da Auditoria de Fornecedores

Como os dados transformam as auditorias de fornecedores

Na minha experiência, uma vez que os dados passaram a determinar a frequência das auditorias, o trabalho que eu realizava durante a própria auditoria mudou. Eu não estava lá para confirmar a SOP existia ou verificava se o treinamento havia sido concluído. Eu estava lá para descobrir por que três SCARs (Surto de Acidente Vascular Cerebral) haviam se concentrado na mesma lacuna de treinamento.

Esse tipo de padrão é um sinal que indica onde você deve investigar mais a fundo. No exemplo da lacuna de treinamento, isso poderia significar analisar aspectos como:

  • Clareza do procedimento operacional padrão (POP): Se eu fosse um operário da produção lendo este procedimento operacional padrão, eu entenderia o que fazer?
  • Avaliação de competências: Trata-se de uma declaração de leitura e compreensão, ou também inclui um questionário ou exame que o trabalhador precisa passar antes que o treinamento seja considerado concluído?
  • Causa raiz: Por que os funcionários estão pulando uma etapa? Seria o procedimento operacional padrão, o método de treinamento, as condições de trabalho ou algo mais?

Os dados de desempenho dos fornecedores também alteram o tom da auditoria, assim como seu escopo. É mais difícil para os fornecedores ficarem na defensiva quando os dados estão disponíveis para ambos. Não há discussão sobre se existe ou não um problema. Em vez disso, a conversa se concentra em como vocês o resolverão juntos.

O que a FDA espera ver na documentação da auditoria do seu fornecedor?

De acordo com o QMSR, a FDA agora pode inspecionar relatórios de auditoria de fornecedores, e a isenção anterior do QSR para esses registros foi revogada. A FDA espera que os fabricantes mantenham um controle contínuo e baseado em risco sobre os fornecedores sob o QMSR. A ISO 13485:2016 também exige avaliação e monitoramento documentados de fornecedores, adequados aos riscos associados ao fornecedor e seus produtos.

Em todas as ciências da vida, reguladores e certificadores ISO Já não aceitam o termo “baseado em risco” sem questionamento. Querem entender a lógica por trás dele, o que significa que agora estão analisando:

  • Lógica de classificação: Como você define alto risco, risco médio e baixo risco? Quais são os fatores considerados nessa classificação?
  • Lógica de frequência de auditoria: Como a categoria de risco de um fornecedor se traduz na frequência das auditorias?
  • Lógica de escalonamento: Que fatores específicos levam um fornecedor a passar de um monitoramento de rotina para uma auditoria mais aprofundada?
  • Dados subjacentes: Quais métricas de desempenho, Registros CAPAOs padrões de reclamações e as análises de tendências influenciam a classificação?
  • Análise de tendências: Você pode demonstrar que está avaliando a trajetória das pontuações de auditoria ao longo de múltiplos ciclos?

O padrão exigido pelos órgãos reguladores dos fabricantes é a consistência entre o que seu Procedimento Operacional Padrão (POP) afirma e o que seus dados demonstram. Se o seu POP descreve um programa baseado em risco, a justificativa, as métricas e as decisões de auditoria precisam estar alinhadas a essa descrição. Chamar um programa de "baseado em risco" sem dados que o sustentem não é suficiente.

Como fazer a transição para auditorias de fornecedores baseadas em risco?

A transição para auditorias de fornecedores baseadas em risco começa com o planejamento do programa e as métricas, com um sistema de gestão da qualidade empresarial (SGQE) Apoiar o programa assim que essas decisões forem tomadas.

As melhores práticas que os fabricantes devem seguir incluem:

  • Definindo suas métricas de desempenho: Decida o que você vai medir e como: entrega no prazo, capacidade de resposta, frequência de SCAR (Surpresa, Ação Corretiva e Preventiva), eficácia de CAPA (Ação Corretiva e Preventiva), tendências de pontuação de auditoria.
  • Reunir os dados em um só lugar: Padrões em CAPAs, não conformidades, auditorias e outras áreas só se tornam visíveis quando os sistemas compartilham dados. Registros em papel e planilhas não permitem a análise necessária.
  • Começando pequeno: Escolha um grupo de fornecedores, como fornecedores de embalagens, e teste sua abordagem. Procure padrões entre as não conformidades e o desempenho nas auditorias. Ajuste conforme necessário.
  • Iterando sobre as métricas: À medida que você coleta dados, correlações podem surgir. Baixas taxas de entrega no prazo, por exemplo, frequentemente estão correlacionadas com problemas de qualidade do produto, porque os fornecedores pulam etapas para cumprir os prazos de envio.
  • Reavaliar as classificações pelo menos anualmente: Reavalie os fornecedores como parte da sua análise de gestão. A categoria de risco de um fornecedor deve ser alterada conforme o desempenho e a exposição ao risco mudem.

Na segunda etapa, um EQMS (Sistema de Gestão da Qualidade Empresarial) torna-se essencial. Um sistema integrado que conecta dados de CAPA (Ações Corretivas e Preventivas), não conformidades, auditorias, reclamações e qualidade de fornecedores em todos os módulos oferece a visibilidade necessária para a construção de um programa baseado em riscos.

Três erros a evitar em auditorias de fornecedores baseadas em risco

Existem vários erros comuns que as equipes de qualidade devem evitar ao fazer essa transição:

  • Chamar seu programa de baseado em risco sem ter dados que o sustentem: De acordo com as normas QMSR e ISO 13485, isso agora é um item sujeito a inspeção. Se você estiver usando o rótulo, precisará da lógica documentada e dos dados de suporte subjacentes.
  • Implementar o EQMS sem compreender os dados que está coletando: Vejo isso com frequência quando se usa ISO 13485 ou Conformidade com a Parte 21 do 820 CFR é o gatilho para a implementação. Primeiro, projete o programa, defina claramente o que você está medindo e por quê, e só então adicione a tecnologia.
  • Basear-se em uma única métrica: A pontuação da auditoria ou a entrega no prazo, por si só, não fornecem uma visão equilibrada. Um fornecedor pode ter uma pontuação baixa em entregas, por exemplo, e ainda assim executar um programa robusto de não conformidades.

O futuro das auditorias de fornecedores

As expectativas em relação à qualidade da cadeia de suprimentos estão mudando, e os programas de auditoria de fornecedores estão acompanhando essa mudança. A auditoria de fornecedores baseada em risco serve a dois propósitos simultaneamente. Ela direciona seu tempo para os fornecedores que realmente precisam de atenção, liberando recursos que seriam melhor empregados na melhoria de processos do que na auditoria de fornecedores com desempenho comprovado.

 

Sobre o autor

Stephanie Ojeda Stephanie é Vice-Presidente de Gestão de Produtos para o setor de Ciências da Vida na AssurX. Ela traz consigo mais de 18 anos de experiência liderando funções de garantia da qualidade em diversos setores, incluindo farmacêutico, biotecnológico, de dispositivos médicos, de alimentos e bebidas e de manufatura.