Este guia mostra como estruturar o controle de documentos e registros conforme na ISO 9001: da teoria normativa à aplicação prática na saúde.
Imagine este cenário: durante uma cirurgia eletiva, a equipe de enfermagem segue um procedimento operacional padrão que descreve o preparo do material cirúrgico. O documento estava disponível, acessível e parecia atualizado. Semanas depois, em uma auditoria interna, descobre-se que aquele POP havia sido revisado há três meses e a versão vigente exigia uma etapa adicional de esterilização que não foi realizada.
Nenhuma infecção ocorreu Desta vez. Mas o risco estava lá, silencioso, embutido em uma falha de controle documental.
Este é o tipo de problema que a ISO 9001:2015 busca prevenir com o seu item 7.5, dedicado à informação documentada. E é exatamente sobre isso que este guia trata: como estruturar um processo sólido de controle de documentos e registros, reduzir riscos de não conformidade e transformar a gestão documental em um ativo real do seu Sistema de Gestão da Qualidade (SGQ).
Para quem é este guia? Analistas, assistentes, coordenadores e gestores da qualidade em hospitais, clínicas, laboratórios e operadoras de saúde que buscam aplicação prática, não apenas teoria normativa.
O que a ISO 9001 entende por informação documentada?
Profissionais com experiência em versões anteriores da norma lembram bem dos termos documentos e registros da qualidade — tratados como categorias distintas e, muitas vezes, administrados de formas completamente diferentes. A ISO 9001:2008, por exemplo, listava 21 procedimentos documentados obrigatórios e 21 registros específicos.
A ISO 9001:2015 simplificou esse cenário ao unificar tudo sob o conceito de informação documentada. O termo aparece ao longo de toda a norma e é definido como:
Definição normativa
Informação que deve ser controlada e mantida por uma organização e o meio em que está contida. Pode estar em qualquer formato e mídia e pode se referir a qualquer assunto pertinente ao SGQ. (ISO 9000:2015, item 3.8.6)
Na prática, isso significa que a norma não impõe mais uma lista rígida de documentos obrigatórios. Em vez disso, ela exige que a organização determine o que precisa ser documentado para apoiar a operação dos seus processos e demonstrar conformidade. Essa flexibilidade é poderosa — mas também exige maturidade na interpretação.
Os três subitens do item 7.5 da ISO 9001:2015
7.5.1 — Generalidades
O que deve ser documentado para apoiar o SGQ e demonstrar conformidade.
7.5.2 — Criação e atualização
Requisitos de identificação, formato, revisão e aprovação.
7.5.3 — Controle
Disponibilidade, proteção, recuperação, controle de alterações, retenção e descarte.
Qual a diferença entre documentos e registros?
Mesmo com a unificação trazida pela ISO 9001:2015, a distinção operacional entre documentos e registros continua sendo fundamental para estruturar o controle. Confundí-los é um dos erros mais comuns — e mais custosos — na gestão documental de SGQs.
| Critério | Documento | Registro |
|---|---|---|
| Definição | Informa como a atividade deve ser realizada | Evidencia que a atividade foi realizada |
| Alteração | Pode e deve ser revisado e atualizado | Não pode ser alterado, é uma evidência objetiva |
| Exemplos na saúde | POPs, protocolos, instruções de trabalho, políticas, formulários em branco | Checklists preenchidos, relatórios de auditoria, fichas de treinamento, laudos, atas de reunião |
| Controle de versão | Obrigatório. Versão, data, autor, aprovador | Não aplicável,identificação da data e responsável |
| Objetivo no SGQ | Garantir padronização e repetibilidade | Demonstrar conformidade e rastreabilidade |
| Risco de obsolescência | Alto — requer revisão periódica | Baixo — o risco é de perda ou inacessibilidade |
Atenção ao formulário em branco vs. preenchido
Um formulário em branco é um documento e pode ser revisado. O mesmo formulário, uma vez preenchido, torna-se um registro — não pode ser alterado. Essa distinção determina fluxos de controle completamente diferentes.
Por que o controle de documentos e registros na ISO 9001 é tão importante?
Gestores que enxergam o controle documental apenas como uma exigência burocrática da ISO 9001 estão perdendo a perspectiva estratégica da questão. Em organizações de saúde, especificamente, um controle documental deficiente não é apenas um problema de conformidade — é um risco para a segurança do paciente e para a sustentabilidade do negócio.
- Padronização: processos executados da mesma forma, independente do profissional
- Segurança: protocolos corretos reduzem eventos adversos evitáveis
- Auditorias: evidências organizadas agilizam e simplificam o processo
- Treinamento: documentos vigentes como base confiável de capacitação
Considere um laboratório clínico com dezenas de POPs para coleta, processamento e análise de amostras. Se um técnico recém-admitido é treinado com base em um procedimento desatualizado, ele aprenderá um método que a organização já decidiu abandonar. Cada novo colaborador onboardado com documentação incorreta multiplica o problema.
A informação correta, disponível no momento certo, para a pessoa certa — essa é a promessa que um controle documental eficiente cumpre.
PASSO 1: Defina quais documentos precisam ser controlados
O ponto de partida é o mapeamento documental — um inventário de toda a informação documentada existente na organização. Muitas organizações descobrem, nessa etapa, que possuem muito mais documentos do que imaginavam, espalhados em pastas físicas, drives compartilhados, e-mails salvos e até em computadores pessoais de colaboradores.
Após o levantamento, classifique os documentos segundo critérios de criticidade:
- Impacto na segurança do paciente: protocolos assistenciais, procedimentos de medicação, checklists cirúrgicos
- Requisito normativo ou regulatório: exigências da ANVISA, CFM, ONA, ISO 9001
- Impacto em processos críticos: documentos que, se desatualizados, causam retrabalho, falhas ou perdas
- Frequência de uso: documentos acessados diariamente precisam de controle mais rigoroso
Exemplo prático: Hospitais
Um hospital de médio porte pode ter mais de 800 documentos formalmente criados. Uma boa prática é organizar por módulos (assistencial, administrativo, qualidade, RH) e definir um responsável técnico por módulo — isso distribui a carga de revisão e aumenta a pertinência técnica do conteúdo.
PASSO 2: Estabeleça regras de criação e aprovação
Um documento sem processo de aprovação formal é, na prática, uma opinião individual. O item 7.5.2 da ISO 9001:2015 exige que a organização assegure que a informação documentada seja adequadamente identificada, descrita, revisada e aprovada quanto à adequação e suficiência.
Defina, em um procedimento específico de controle documental:
- Quem pode criar documentos: qualquer colaborador? Apenas responsáveis técnicos? Somente o setor da qualidade?
- Quem revisa: o responsável pelo processo descrito deve participar da revisão técnica
- Quem aprova: a aprovação deve ser feita por alguém com autoridade sobre o processo — gerente, coordenador, diretor técnico
- Prazos: tempo máximo para análise, revisão e aprovação após solicitação
- Critérios de adequação: o que define se um documento está “pronto” para ser aprovado
Erro comum a evitar
Aprovar documentos apenas pelo setor da qualidade, sem envolvimento de quem executa o processo. O resultado são documentos tecnicamente conformes com a norma, mas que não refletem a realidade operacional — e que as equipes deixam de consultar na prática.
PASSO 3: Estruture o controle de versões
O controle de versões é talvez o componente mais crítico de toda a gestão documental. Sem ele, a organização não consegue garantir (nem demonstrar) que todos os colaboradores estão trabalhando com a informação correta.
Cada documento deve conter, no mínimo:
- Código de identificação único (ex: POP-ASS-001, IT-LAB-023)
- Número de revisão (ex: Rev. 00, Rev. 01, Rev. 02)
- Data de emissão da versão vigente
- Nome e assinatura do responsável pela elaboração
- Nome e assinatura do responsável pela aprovação
- Histórico de revisões com descrição sucinta das alterações
Exemplo — Histórico de revisões de um POP assistencial
| Revisão | Data | Descrição de alteração | Status |
| Rev. 00 | 15/03/2022 | Emissão inicial | Obsoleto |
| Rev. 01 | 08/09/2023 | Atualização de EPI obrigatório | Obsoleto |
| Rev. 02 | 12/04/2025 | Inclusão de etapa de verificação dupla | Vigente |
A lista mestra de documentos é a ferramenta central desse controle. Ela funciona como um índice de todos os documentos vigentes da organização, indicando código, título, versão atual, data de revisão e próxima revisão prevista.
PASSO 4: Garanta acesso apenas à versão correta
De nada adianta ter documentos revisados e aprovados se a equipe continua utilizando versões antigas. O item 7.5.3 da ISO 9001:2015 exige que a organização controle a disponibilidade, a distribuição e o acesso à informação documentada.
As práticas fundamentais incluem:
- Distribuição controlada: quando um documento é aprovado, a versão anterior deve ser recolhida (em papel) ou arquivada como obsoleta (em sistemas digitais) imediatamente
- Identificação de documentos obsoletos: qualquer cópia física de versão antiga deve ser claramente identificada como “OBSOLETO” para evitar uso inadvertido
- Ponto único de acesso: os colaboradores devem saber exatamente onde encontrar a versão vigente de cada documento — seja um sistema digital, uma pasta específica ou um mural controlado
- Controle de impressões: documentos impressos devem ser controlados ou identificados como “cópia não controlada” para evitar que versões antigas circulem
PASSO 5: Defina regras para retenção e descarte de registros
Registros são evidências. E evidências precisam estar disponíveis quando necessário — seja para uma auditoria interna, uma investigação de evento adverso ou uma fiscalização regulatória. A ISO 9001:2015 exige que a organização defina períodos de retenção para seus registros e garantia de proteção adequada durante esse período.
- Levante os requisitos legais e regulatórios: a legislação de saúde (CFM, ANVISA, ANS) frequentemente define prazos mínimos de guarda para prontuários, resultados laboratoriais, registros de vigilância sanitária
- Defina prazos por categoria de registro: registros de treinamento, não conformidades, ações corretivas, auditorias internas — cada tipo pode ter um prazo diferente
- Estabeleça responsável pela guarda: quem é responsável pela integridade e disponibilidade de cada categoria de registro?
- Documente o processo de descarte: registros que contêm dados sensíveis (pacientes, colaboradores) devem ser descartados de forma segura, com evidência do descarte
| Tipo de registro | Prazo sugerido | Referência principal |
|---|---|---|
| Registros de auditorias internas | Mínimo 3 anos | ISO 9001:2015 |
| Registros de treinamento e competência | Vigência + 3 anos | ISO 9001:2015 / Política interna |
| Não conformidades e ações corretivas | Mínimo 3 anos | ISO 9001:2015 |
| Registros de calibração de equipamentos | Vida útil do equipamento | ISO 9001:2015 / ANVISA |
| Resultados de análises clínicas | Mínimo 5 anos | RDC ANVISA / CFM |
| Registros de rastreabilidade de produtos | Conforme legislação aplicável | ANVISA / legislação setorial |
Boa prática vs. exigência normativa
A ISO 9001 não define prazos específicos de retenção — isso é uma decisão da organização, orientada pela legislação aplicável, pelo contexto do negócio e pelos riscos envolvidos. Defina prazos mais conservadores quando houver dúvida. O custo de guardar registros desnecessariamente é muito menor do que o custo de não tê-los quando necessário.
Principais erros no controle de documentos e registros na ISO 9001
A experiência em auditorias de SGQ em organizações de saúde revela padrões de falha que se repetem independentemente do porte ou da maturidade da organização. Conhecê-los é o primeiro passo para evitá-los.
- Múltiplas versões circulando simultaneamente: versões impressas antigas, arquivos em drives pessoais, e-mails com anexos desatualizados — o ambiente de trabalho é poluído por informação conflitante
- Ausência de revisão periódica: documentos criados há 5 anos sem qualquer revisão formal, mesmo com processos que mudaram significativamente nesse período
- Arquivos sem aprovação registrada: documentos utilizados operacionalmente que nunca passaram por um processo formal de aprovação — evidência de criação “informal” fora do SGQ
- Registros perdidos ou inacessíveis: evidências de treinamento em pastas físicas sem organização, resultados de auditorias sem local definido de arquivamento, fichas de manutenção nos computadores dos técnicos
- Falta de rastreabilidade: não conseguir responder “quem aprovou”, “quando foi revisado” ou “qual versão estava em uso naquela data” para um documento específico
- Controle manual sem processo definido: planilhas de controle desatualizadas, listas mestras preenchidas manualmente sem responsável definido
- Confusão entre documento e registro: registros sendo revisados como se fossem documentos, ou documentos sem controle de versão sendo tratados como registros imutáveis
Como se preparar para auditorias relacionadas ao item 7.5
O item 7.5 é consistentemente um dos itens mais verificados em auditorias de certificação e recertificação ISO 9001. Auditores experientes sabem que a qualidade do controle documental é um proxy confiável para a maturidade geral do SGQ — organizações com gestão documental sólida costumam ter sistemas de qualidade mais robustos em todas as dimensões.
O que os auditores verificam
- Lista mestra de documentos atualizada
- Histórico de revisões dos documentos críticos
- Evidências de aprovação (assinaturas, registros digitais)
- Acesso controlado — somente versões vigentes
- Registros de treinamento nos documentos revisados
- Controle de documentos externos relevantes
- Processo formal de descarte/inutilização de obsoletos
Como se preparar
- Realize uma auditoria interna específica do item 7.5 antes da certificação
- Verifique pessoalmente o acesso nos postos de trabalho
- Confirme que todos os documentos críticos têm revisão dentro do prazo
- Garanta que registros de treinamento existem para cada revisão
- Documente o fluxo de aprovação no próprio procedimento de controle
- Teste a recuperação: consiga localizar qualquer registro em menos de 5 minutos
Checklist de prontidão para auditoria — Item 7.5
Aplique este checklist como simulado antes de qualquer auditoria de certificação: (1) Lista mestra atualizada nos últimos 30 dias; (2) Zero documentos com revisão vencida; (3) Sem versões físicas obsoletas nos pontos de uso; (4) Registros de aprovação acessíveis para os últimos 3 anos; (5) Procedimento de controle documental ele mesmo aprovado e em revisão.
Como a tecnologia pode facilitar o controle de documentos e registros
A ISO 9001 não exige nenhuma tecnologia específica. Um sistema de controle documental pode ser implementado com pastas físicas, planilhas e processos manuais bem definidos — e, para organizações muito pequenas, isso pode ser suficiente. No entanto, à medida que o volume de documentos cresce e os processos se tornam mais complexos, ferramentas digitais passam de conveniência a necessidade.
Fluxos automatizados
Aprovações por e-mail ou sistema eliminam gargalos e criam registros automáticos de cada etapa
Controle de versões integrado
O sistema arquiva versões anteriores automaticamente e garante que só a vigente esteja acessível
Rastreabilidade completa
Quem leu, quem aprovou, quando foi revisado — tudo registrado sem esforço manual adicional
Alertas de revisão
O sistema notifica automaticamente quando documentos estão próximos do prazo de revisão
Acesso via dispositivos móveis
Colaboradores em campo acessam a versão vigente diretamente pelo smartphone
Gestão de documentos externos
Normas técnicas, legislações e referências externas também ficam centralizadas e atualizadas
Ao avaliar um software de gestão documental para organizações de saúde, priorize funcionalidades como: integração com módulos de não conformidade e ação corretiva, suporte a assinatura eletrônica com valor jurídico, controle de acesso por perfil e trilha de auditoria completa.
Quer simplificar o controle documental do seu SGQ?
Veja como o Qualiex automatiza fluxos de aprovação, controla versões e gera evidências prontas para auditorias — tudo em um único sistema para organizações de saúde.
Controle documental como ativo do SGQ
O controle de documentos e registros na ISO 9001 vai muito além de manter pastas organizadas para satisfazer auditores. Quando bem estruturado, ele garante que cada colaborador — independentemente do turno, do tempo de casa ou do nível de experiência — execute os processos com base na melhor informação disponível, validada pelos responsáveis técnicos e atualizada conforme o conhecimento da organização evolui.
Os cinco passos descritos neste guia formam uma sequência lógica: comece definindo o escopo (o que controlar), depois as regras de criação e aprovação, em seguida o controle de versões, depois o acesso controlado, e finalmente as políticas de retenção e descarte. Cada etapa depende da anterior.
Para organizações de saúde, o custo de um sistema documental deficiente é duplamente alto: não conformidades em auditoria de um lado, riscos para o paciente do outro. A boa notícia é que estruturar esse processo não exige grandes investimentos iniciais — exige método, responsabilidade e comprometimento de liderança.
Comece pelo mapeamento. Identifique os documentos mais críticos. Estabeleça um procedimento simples de controle. E itere. Um sistema documental maduro é construído gradualmente, auditoria após auditoria, revisão após revisão.
Perguntas frequentes sobre controle documental na ISO 9001
O que é informação documentada na ISO 9001?
Informação documentada é o conceito introduzido pela ISO 9001:2015 para unificar o que versões anteriores chamavam separadamente de “documentos” e “registros”. Abrange qualquer informação que a organização precisa controlar e manter para apoiar o funcionamento do seu Sistema de Gestão da Qualidade e demonstrar conformidade com os requisitos da norma. Pode estar em qualquer formato — papel, digital, vídeo — e em qualquer mídia.
Qual a diferença entre documento e registro?
Documento é uma informação que orienta como as atividades devem ser realizadas — pode e deve ser revisado e atualizado periodicamente. Registro é a evidência de que uma atividade foi realizada conforme planejado — não pode ser alterado após sua criação, pois serve como prova objetiva. Um formulário em branco é um documento; o mesmo formulário preenchido é um registro.
O que a ISO 9001 exige especificamente para o controle de documentos e registros?
O item 7.5 da ISO 9001:2015 exige que a organização crie e atualize a informação documentada com identificação adequada, formato e mídia apropriados, revisão e aprovação formais. Além disso, exige o controle da distribuição, acesso e recuperação, proteção contra uso indevido, controle de alterações, retenção por período definido e descarte seguro ao final do prazo.
Como controlar versões de documentos?
O controle de versões deve incluir: código único de identificação, numeração sequencial de revisões, data de emissão de cada versão, identificação do elaborador e aprovador, e histórico sucinto das alterações realizadas. Uma lista mestra de documentos centraliza essa informação. Documentos obsoletos devem ser arquivados de forma segregada ou inutilizados, garantindo que apenas a versão vigente esteja acessível nos pontos de uso.
Quanto tempo os registros devem ser mantidos?
A ISO 9001 não define prazos específicos de retenção — cabe à organização estabelecê-los com base em requisitos legais, regulatórios e contratuais aplicáveis. Na saúde, legislações específicas (CFM, ANVISA, ANS) frequentemente definem prazos mínimos para categorias como prontuários, resultados de análises e registros de vigilância sanitária. Para registros do SGQ sem requisito externo definido, 3 a 5 anos é uma referência comum.
O que acontece se uma empresa utilizar documentos desatualizados?
Usar documentos desatualizados é uma não conformidade direta com o item 7.5.3 da ISO 9001:2015, podendo resultar em não conformidade maior ou menor dependendo do impacto. Em organizações de saúde, além da penalidade na auditoria, representa risco real para a segurança do paciente — processos realizados com base em informações incorretas podem causar eventos adversos evitáveis e aumentam a exposição a responsabilidades legais.
É obrigatório utilizar software para controle de documentos e registros?
Não. A ISO 9001 não exige nenhum software específico. O controle pode ser feito em papel ou planilhas, desde que os requisitos da norma sejam atendidos. No entanto, à medida que o volume de documentos cresce, sistemas de gestão documental tornam o controle mais confiável, reduzem erros humanos, automatizam fluxos de aprovação e facilitam a geração de evidências para auditorias.
Como organizar documentos para auditorias da ISO 9001?
Mantenha uma lista mestra de documentos atualizada e acessível. Garanta que apenas versões vigentes estejam disponíveis nos pontos de uso. Preserve registros de aprovação e histórico de revisões para os últimos 3 anos. Documente os treinamentos realizados após cada revisão. E teste a recuperação de registros antes da auditoria — qualquer evidência solicitada deve ser localizável em poucos minutos.
Qualiex: O melhor Software para a Gestão da Qualidade!
Com o Qualiex você consegue fazer uma gestão sistêmica e profissional dos processos em sua empresa. Elimine planilhas, ganhe tempo, garanta a conformidade com os requisitos aplicáveis e foque seus recursos no que realmente importa.
E tem mais: Se você é pequena empresa pode contar com a tecnologia Qualiex disponível sob medida para sua organização.
Além de sermos o melhor software para gestão da qualidade, te ajudamos com cursos de especialistas voltados à gestão, qualidade e excelência por meio da Saber Gestão. Por isso, não perca mais tempo, entre em contato conosco!
