Gestão de não conformidades: guia completo com ciclo, métricas e CAPA

Gestão de não conformidades é a disciplina que identifica, investiga e corrige desvios em processos, produtos ou requisitos normativos para promover melhoria contínua.

Gestão de não conformidades transforma os desvios de processos em oportunidades de melhoria. Em vez de apenas corrigir o problema imediato, essa disciplina investiga a causa raiz, implementa ações corretivas e preventivas e monitora resultados para evitar recorrência.

Produtos fora de especificação, processos que não seguem procedimentos documentados e requisitos legais descumpridos são exemplos de situações que, sem tratamento adequado, geram retrabalho, perdas financeiras e riscos regulatórios.

Organizações com sistemas maduros de tratamento de não conformidades reduzem custos operacionais, fortalecem a confiança de clientes e parceiros e mantêm certificações como ISO 9001, ISO 14001 e ISO 45001. 

O que é não conformidade?

O conceito de não conformidade (NC) vem da norma ISO 9000:2015 se abre en una nueva pestaña, que estabelece vocabulário e conceitos fundamentais para sistemas de gestão da qualidade. O requisito pode ser interno (procedimento operacional padrão), legal (legislação trabalhista ou ambiental) ou normativo (cláusula de certificação ISO).

As não conformidades aparecem em diferentes contextos:

• produto — lote com dimensões fora da tolerância especificada;

• processo — etapa de inspeção pulada durante a produção;

• serviço — prazo de entrega descumprido sem justificativa documentada;

• sistema de gestão — registro de treinamento inexistente para atividade crítica;

• regulatório — descumprimento de norma sanitária da Anvisa.

Identificar a não conformidade é apenas o primeiro passo. Sem investigação estruturada e ações sistemáticas, o mesmo desvio tende a reaparecer, gerando custos crescentes e desgaste com clientes e órgãos reguladores.

O que é gestão de não conformidades?

Gestão de não conformidades é o conjunto de práticas, responsabilidades e registros que asseguram tratamento sistemático de cada desvio identificado. Enquanto a não conformidade é o evento, a gestão é o sistema que responde a ele.

Essa disciplina envolve desde a detecção inicial até a verificação de eficácia das ações tomadas. O objetivo não é apenas resolver o problema pontual, mas criar mecanismos que reduzam a probabilidade de recorrência.

Empresas que tratam não conformidades sem processos definidos enfrentam problemas previsíveis: 

• registros incompletos;

• ações corretivas que não atacam a causa raiz;

• dificuldade para rastrear histórico;

• auditorias com achados repetidos. 

Um sistema estruturado reduz esses gargalos e transforma dados de desvios em inteligência para decisões estratégicas.

A maturidade do sistema pode ser avaliada por indicadores como taxa de recorrência, tempo médio de fechamento e percentual de NCs com causa raiz identificada. Organizações que monitoram esses dados conseguem antecipar tendências e agir preventivamente.

Não conformidade maior e menor: diferenças

Normas de certificação classificam não conformidades em dois níveis de severidade. Essa distinção orienta a urgência do tratamento e o impacto na manutenção do certificado.

Acumular não conformidades menores sem tratamento pode evidenciar falhas sistêmicas. Auditores experientes avaliam o conjunto de desvios menores para determinar se, juntos, configuram uma não conformidade maior.

Além disso, a classificação influencia diretamente a priorização de recursos. Não conformidades maiores exigem plano de ação imediato com alocação dedicada, enquanto menores podem ser agrupadas em ciclos regulares de melhoria.

O ciclo completo da gestão de não conformidades

O tratamento eficaz segue sete etapas sequenciais. Cada passo gera registros que alimentam o próximo, criando rastreabilidade completa desde a detecção até a verificação de eficácia.

1. Identificação

O desvio é detectado por diferentes fontes: 

• inspeção de produto;

• auditoria interna ou externa;

• reclamação de cliente;

• monitoramento de indicadores;

• observação de colaborador. 

O ponto crítico nesta etapa é assegurar que qualquer pessoa na organização saiba como e por qual canal reportar uma não conformidade.

Sistemas de registro devem ser acessíveis e padronizados. Formulários complexos ou processos burocráticos inibem o reporte e fazem com que desvios sejam ignorados ou tratados informalmente.

2. Registro

Toda não conformidade identificada deve ser documentada com informações mínimas: 

• descrição objetiva do desvio;

• local e data da ocorrência;

• requisito não atendido;

• evidências (fotos, dados, amostras);

• responsável pelo registro.

Registros incompletos são uma das falhas mais comuns. Sem descrição clara e evidências, a investigação posterior fica comprometida e a organização perde a capacidade de demonstrar conformidade em auditorias.

3. Triagem e priorização

Nem toda não conformidade exige o mesmo nível de resposta. A triagem classifica cada ocorrência por severidade (maior ou menor), urgência e impacto potencial. Uma matriz de risco ajuda a definir prioridades de forma objetiva e repetível.

Critérios típicos incluem:

• impacto no cliente;

• risco regulatório;

• custo estimado;

• potencial de recorrência. 

A priorização estimula que recursos limitados sejam direcionados para os desvios de maior impacto.

4. Investigação de causa raiz

Esta é a etapa que diferencia gestão reativa de gestão eficaz. O problema tende a voltar quando se corrige o sintoma sem investigar a causa raiz. As ferramentas de qualidade mais utilizadas nesta fase são:

• Cinco porquês — perguntas sequenciais que aprofundam até a causa fundamental;

• Diagrama de Ishikawa — organiza causas potenciais por categorias (mão de obra, método, máquina, material, meio ambiente, medição);

• Análise de Pareto — identifica as causas que respondem pela maioria das ocorrências.

A investigação deve envolver as pessoas que executam o processo no dia a dia. Análises feitas exclusivamente por gestores, sem contato com a operação, frequentemente chegam a conclusões superficiais.

5. Plano de ação (correção e ação corretiva)

O plano de ação tem dois componentes distintos:

1. correção — elimina o efeito imediato do desvio, como segregar um lote fora de especificação;

2. ação corretiva — atua sobre a causa raiz para evitar recorrência, como revisar o procedimento de controle de processo.

Cada ação deve ter responsável definido, prazo realista e critério de verificação. Planos sem dono ou sem prazo raramente são executados e geram acúmulo de pendências no sistema.

6. Verificação de eficácia

Após a implementação das ações, a organização precisa confirmar que funcionaram. A verificação deve responder a uma pergunta objetiva: o desvio parou de ocorrer?

Métodos incluem reinspeção, monitoramento de indicadores por período definido, auditoria de follow-up ou análise de recorrência. A não conformidade só deve ser encerrada após evidência de eficácia.

7. Lições aprendidas e melhoria contínua

A última etapa conecta o tratamento individual com a evolução do sistema. Lições aprendidas são compartilhadas com áreas relevantes, procedimentos são atualizados e indicadores são revisados. 

Essa etapa alimenta a gestão de processos em sua totalidade, promovendo melhoria sistemática. Organizações que negligenciam esta finalização perdem a capacidade de aprender com erros e prevenir novos desvios.

CAPA: ações corretivas e preventivas

CAPA (Corrective and Preventive Action) é a metodologia que estrutura as respostas a não conformidades em duas frentes complementares. Embora o conceito apareça no ciclo de sete etapas, sua importância justifica tratamento aprofundado.

A ação corretiva e a mentalidade de risco, juntas, formam o motor de melhoria contínua previsto pelo ciclo PDCA.

A eficácia do CAPA depende da qualidade da investigação de causa raiz. Ações corretivas baseadas em análises superficiais tratam sintomas e criam a ilusão de resolução, enquanto o problema real permanece.

Setores regulados como farmacêutico e dispositivos médicos exigem registros de CAPA com evidências documentadas em cada etapa. Auditorias da Anvisa e da FDA (Food and Drug Administration) avaliam se a metodologia aplicada é proporcional à severidade da não conformidade. 

Ações preventivas robustas, quando bem implementadas, reduzem significativamente o volume de não conformidades recorrentes ao longo do tempo.

Métricas e KPIs para gestão de não conformidades

Medir é a única forma de gerenciar com objetividade. As métricas a seguir permitem avaliar a maturidade do sistema e identificar tendências antes que se tornem problemas críticos.

Métricas operacionais

Métricas estratégicas

Executivos precisam de visão consolidada que conecte qualidade com resultados financeiros:

• custo da não conformidade por área — identifica departamentos que mais geram retrabalho;

• tendência trimestral de NCs — sinaliza melhoria ou deterioração do sistema;

• percentual de NCs com causa raiz identificada — mede profundidade da investigação;

• tempo entre identificação e início do tratamento — revela agilidade de resposta.

A escolha de métricas deve refletir os objetivos estratégicos da organização. Medir tudo sem analisar nada é tão ineficaz quanto não medir.

Custo da não qualidade (COPQ)

COPQ (Cost of Poor Quality) quantifica o impacto financeiro de falhas internas e externas. Organizações que não calculam esse custo subestimam o desperdício real e resistem a investir em prevenção.

A relação entre investimento em prevenção e redução de falhas não é linear, mas segue um princípio consistente. Cada real investido em prevenção gera economia multiplicada em correção. 

Desse modo, calcular o COPQ é a base para justificar investimentos em sistemas, treinamento e tecnologia que reduzem não conformidades.

Falhas comuns na gestão de não conformidades

Mesmo organizações com sistemas formalizados cometem erros que comprometem a eficácia do tratamento. Reconhecer essas falhas é o primeiro passo para eliminá-las.

1. Falta de evidências no registro

Não conformidades registradas apenas como produto fora do padrão ou processo não seguido não fornecem informação suficiente para investigação. Sem fotos, dados, datas e responsáveis, a análise de causa raiz parte de premissas vagas.

2. Ações corretivas que tratam sintomas

A pressão por fechar não conformidades rapidamente leva a ações superficiais. Retreinar os colaboradores é a ação corretiva mais comum e, frequentemente, a menos eficaz, pois ignora falhas de processo, equipamento ou supervisão.

3. Dificuldade de rastreabilidade em auditoria

Registros dispersos em planilhas, e-mails e documentos físicos tornam impossível reconstruir o histórico de tratamento. Auditores precisam de gestão de documentos que conecte cada NC às suas evidências, ações e verificações.

4. Aprovações lentas que travam o tratamento

Planos de ação que dependem de múltiplas assinaturas manuais ficam parados por semanas. A aprovação de documentos sem fluxo definido e automatizado é um dos maiores gargalos operacionais em sistemas de qualidade.

5. Não conformidade sem dono

NCs sem responsável definido entram em um limbo organizacional. Ninguém propõe ações e o desvio permanece aberto até a próxima auditoria, quando vira achado recorrente.

6. Ausência de verificação de eficácia

Encerrar a NC após implementar a ação corretiva, sem verificar se funcionou, torna o processo incompleto. A não conformidade desaparece do sistema, mas o problema persiste na operação.

Gestão de não conformidades por norma

Diferentes normas de sistema de gestão abordam não conformidades com requisitos específicos. Organizações com certificações múltiplas precisam integrar o tratamento para evitar duplicação de esforços e aplicar compliance completo.

ISO 9001:2015 (qualidade)

A cláusula 10.2 exige que a organização reaja a não conformidades, avalie a necessidade de ação corretiva e implemente mudanças no sistema de gestão quando necessário. 

O requisito explicita a obrigação de reter informação documentada sobre a natureza da NC, ações tomadas e resultados.

ISO 14001:2015 (meio ambiente)

Segue estrutura similar à ISO 9001, mas aplicada a desvios ambientais: 

• emissões acima do permitido;

• destinação incorreta de resíduos;

• descumprimento de licenças. 

A conformidade legal ambiental exige rastreabilidade rigorosa e prazos de resposta frequentemente definidos por órgãos reguladores.

ISO 45001:2018 (saúde e segurança)

Não conformidades em saúde e segurança ocupacional envolvem riscos diretos à integridade de pessoas. A norma exige participação de trabalhadores na investigação e priorização imediata de ações que eliminem perigos.

IATF 16949:2016 (automotivo)

O setor automotivo adiciona requisitos específicos como metodologia 8D (Eight Disciplines) para resolução de problemas, análise de peça devolvida e notificação obrigatória ao cliente em casos de produto não conforme expedido.

Exemplos de gestão de não conformidades por setor

A gestão de não conformidades assume características distintas conforme o setor de atuação. Entender essas particularidades ajuda a calibrar o sistema para as necessidades reais da organização.

Indústria manufatureira

NCs típicas no setor manufatureiro envolvem:

• produto fora de especificação;

• falha de equipamento;

• desvio de parâmetros de processo. 

O volume de ocorrências tende a ser alto, o que exige triagem eficiente e análise estatística para identificar padrões. Metodologias como FMEA (Failure Mode and Effects Analysis) são amplamente utilizadas.

Um exemplo recorrente é a variação dimensional em peças usinadas. A correção imediata segrega o lote, enquanto a ação corretiva investiga se a causa é desgaste de ferramenta, erro de setup ou variação de matéria-prima e implementa controles que previnam a reincidência.

Saúde e farmacêutico

Regulamentações da Anvisa e da BPF (boas práticas de fabricação) exigem tratamento rigoroso com prazos definidos. NCs em processos de esterilização, armazenamento de medicamentos ou rastreabilidade de lotes podem resultar em interdição de produtos e penalidades severas.

A documentação nesse setor precisa ser especialmente detalhada. Cada registro deve incluir:

• lote;

• validade;

• condições de armazenamento;

• cadeia de responsabilidade. 

A rastreabilidade completa também é um requisito regulatório inegociável.

Tecnologia da informação

Na área de TI, as NCs manifestam-se como:

• incidentes de segurança;

• indisponibilidade de sistemas;

• falhas em processos de mudança. 

Frameworks como ITIL (Information Technology Infrastructure Library) integram gestão de incidentes com gestão de problemas, que corresponde ao tratamento de causa raiz de não conformidades recorrentes.

Em ambientes ágeis, não conformidades frequentemente surgem em processos de deploy e integração contínua. A velocidade de entrega não deve comprometer a qualidade dos controles de mudança.

Serviços e consultoria

Desvios relacionados a prazos, escopo e qualidade de entrega predominam. A documentação de NCs em serviços é frequentemente negligenciada porque o produto é intangível. 

Contudo, organizações certificadas precisam demonstrar que tratam sistematicamente as falhas na prestação de serviços.

Como a Docusign fortalece a gestão de não conformidades?

A gestão de não conformidades eficaz depende de documentação padronizada, fluxos de aprovação ágeis e rastreabilidade completa. A plataforma Docusign IAM(gestão inteligente de acordos) atende diretamente a esses requisitos, modernizando todo o ciclo de qualidade com os seguintes recursos:

• Registro padronizado com Web Forms: Facilite o reporte de desvios na operação. Transforme formulários estáticos em formulários digitais dinâmicos e responsivos, assegurando que a coleta de dados da não conformidade seja estruturada e sem erros desde a origem;

• Automação do CAPA com Workflow Builder: Crie fluxos de trabalho personalizados (sem necessidade de código) para orquestrar as aprovações de ações corretivas e preventivas. O sistema envia notificações e roteia documentos automaticamente, eliminando o gargalo das assinaturas manuais demoradas;

• Conformidade com Docusign eSignature: Encerre relatórios de não conformidade com assinaturas eletrônicas e digitais avançadas. A plataforma Docusign atende integralmente aos requisitos da MP 2.200-2/2001 e da Lei 14.063/2020 no Brasil, gerando um Certificado de Conclusão com trilha de auditoria irrefutável.

• Rastreabilidade com Agreement Manager: Substitua pastas dispersas por um repositório centralizado alimentado por Inteligência Artificial (Docusign Iris). O Agreement Manager permite buscas instantâneas por evidências, responsáveis e histórico de ações, simplificando o processo de comprovação durante as auditorias da ISO.

Ao adotar o ecossistema Docusign IAM, a sua organização eleva a segurança corporativa e o compliance aos mais altos padrões globais. O resultado é o aumento da velocidade dos negócios (com planos de ação executados rapidamente) e a proteção direta do faturamento, reduzindo o Custo da Não Qualidade (COPQ) gerado por retrabalhos e multas. 

Perguntas frequentes

O que é não conformidade em um sistema de gestão da qualidade?

Não conformidade é o não atendimento a um requisito estabelecido, conforme a ISO 9000:2015. O desvio pode ser interno, legal ou normativo e deve ser registrado, investigado e tratado de forma estruturada para manter a conformidade do sistema.

Qual a diferença entre correção e ação corretiva?

Correção é a ação imediata para eliminar o efeito do desvio, como segregar um lote defeituoso. Ação corretiva atua sobre a causa raiz para evitar que o desvio se repita, como revisar o processo de fabricação. Ambas são necessárias, mas apenas a ação corretiva previne recorrência.

Como classificar uma não conformidade como maior ou menor?

Não conformidade maior indica falha sistêmica ou ausência total de atendimento a um requisito, podendo suspender a certificação. Não conformidade menor é um desvio pontual que não compromete o sistema. 

O que significa CAPA na gestão de não conformidades?

CAPA (Corrective and Preventive Action) é a metodologia que organiza ações corretivas e preventivas para eliminar causas reais ou potenciais de desvios. É um requisito essencial em sistemas regulados e em normas como a ISO 9001 e regulamentações da Agência Nacional de Vigilância Sanitária.

Como calcular o custo da não qualidade (COPQ)?

O COPQ soma custos de falhas internas, falhas externas, avaliação e prevenção. Em organizações com baixa maturidade em gestão da qualidade baseada na ISO 9001, esse custo pode representar parcela relevante do faturamento.

A gestão de não conformidades é obrigatória para certificação ISO?

Sim. Normas como ISO 9001, ISO 14001 e ISO 45001 exigem um processo formal para identificar, tratar e verificar a eficácia das ações. A ausência desse controle caracteriza uma não conformidade maior em auditorias.

Glossário

• Não conformidade (NC): É o não atendimento a um requisito estabelecido (interno, legal ou normativo), conforme a norma ISO 9000:2015.

• Gestão de não conformidades: disciplina que identifica, investiga e corrige desvios em processos, produtos ou requisitos normativos para promover a melhoria contínua.

• Não conformidade maior: falha sistêmica ou ausência total de atendimento a um requisito, podendo suspender ou impedir a certificação.

• Não conformidade menor: desvio pontual que não compromete o sistema como um todo, sendo registrado para acompanhamento, sem suspensão da certificação.

• CAPA (Corrective and Preventive Action): metodologia que estrutura as respostas a não conformidades em ações corretivas e preventivas, formando o motor de melhoria contínua.

• Correção: ação imediata que elimina o efeito do desvio, como segregar um lote fora de especificação.

• Ação corretiva: atua sobre a causa raiz do desvio (passado) para evitar a recorrência do problema, como revisar um procedimento.

• Mentalidade de risco: atua sobre um risco potencial (futuro) para evitar que a não conformidade ocorra, como implementar um controle estatístico de processo.

• COPQ (Cost of Poor Quality): quantifica o impacto financeiro de falhas internas (ex.: retrabalho, refugo) e externas (ex.: devoluções, garantia), além dos custos de avaliação e prevenção.

• ISO 9001: norma de sistemas de gestão da qualidade cuja cláusula 10.2 exige o processo formal de reação a não conformidades e implementação de ações corretivas.

• 8D (Eight Disciplines): metodologia de resolução de problemas, adicionada como requisito específico na norma IATF 16949 para o setor automotivo.

• FMEA (Failure Mode and Effects Analysis): metodologia de análise de modos de falha e seus efeitos, utilizada para prevenir não conformidades, especialmente na indústria manufatureira.