Gestión del riesgo ISO 9001

Riesgos y oportunidades en ISO 9001:2015

Compartir en LinkedIn Compartir en WhatsApp

¡Cómo vamos entusiasta! Hoy en la sección sistema de gestión de calidad, abordamos el numeral 6.1 Acciones para abordar riesgos y oportunidades desde la perspectiva de la norma ISO 9001:2015. Voy a contarte cómo se determinan los riesgos y oportunidades de forma muy detallada (tal como lo explico en mi ebook) y también hablaremos de manera más superficial del numeral 6.1.2.

El numeral 6.1 se compone de dos clausulas: 6.1.1 y 6.1.2.

Este post contiene una copia exacta del requisito 6.1.1 explicado en el ebook ISO 9001:2015 Guía de trabajo. Puedes obtener un extracto gratuito del ebook haciendo click aquí.

Cuando trabajamos en la especificación de los procesos operativos necesarios y de los recursos relacionados para lograr los objetivos de la calidad, necesariamente tenemos que hablar de incertidumbre.

Este requisito exige tener en cuenta el contexto de la organización (requisitos 4.1 y 4.2) para la determinación de los riesgos y oportunidades, a fin de que nos aseguremos de que el sistema de gestión de calidad pueda alcanzar resultados previstos, aumentar efectos deseables, prevenir efectos no deseados y alcanzar la mejora.

Al planificar el sistema de gestión de la calidad, la organización debe considerar las cuestiones referidas en el apartado 4.1 y los requisitos referidos en el apartado 4.2, y determinar los riesgos y oportunidades que es necesario abordar con el fin de:

  • asegurar que el sistema de gestión de la calidad pueda lograr sus resultados previstos;
  • aumentar los efectos deseables;
  • prevenir o reducir efectos no deseados;
  • lograr la mejora.

La organización debe planificar:

  • las acciones para abordar estos riesgos y oportunidades;
  • la manera de:
    1. integrar e implementar las acciones en sus procesos del sistema de gestión de la calidad;
    2. evaluar la eficacia de estas acciones.

Las acciones tomadas para abordar los riesgos y oportunidades deben ser proporcionales al impacto potencial en la conformidad de los productos y los servicios.

Pero no podemos explicar cómo cumplir el requisito 6.1.1 sin antes comprender la definición de riesgo y oportunidad.

Qué es un riesgo en ISO 9001

Según la norma ISO 9000,  riesgo es el efecto de la incertidumbre. 

Donde efecto es la desviación positiva o negativa frente a lo esperado. Por ejemplo, si compramos dólares a precio bajo para venderlos a precio alto, ¿qué es lo que esperamos?

Por supuesto, esperamos que el precio del dólar suba para venderlos a un precio más alto.

Bajo este escenario se pueden generar dos tipos de desviaciones:

  • 🙂 Positiva: Que el precio del dólar suba y consigamos dinero por venderlo más caro con respecto al precio al que se adquirió.
  • 🙁 Negativa: Que el precio del dólar baje y perdamos dinero por haberlo comprado más caro con respecto a su precio actual, de manera que si lo vendemos perdemos la diferencia entre el precio pasado de compra y el precio actual.

Por otra parte, la incertidumbre es el estado incluso parcial,  deficiencia de información relacionada con la comprensión o conocimiento de un evento, su consecuencia o su probabilidad. 

En el caso de compra de dólares, la incertidumbre es el desconocimiento del valor que va a tomar el dólar después de la compra.

Qué es una oportunidad en ISO 9001

El concepto de oportunidad es muy similar al de riesgo, solo que se suele asociar riesgo con algo negativo cuando en realidad, como hemos visto en nuestro ejemplo,  el riesgo también puede ser positivo , pero ante la connotación que este ha adquirido, vamos a denominar al riesgo positivo como oportunidad.

Riesgo, su causa y consecuencia

Continuemos con nuestro ejemplo de compra de dólares.

Pensemos por un momento, ¿qué puede ocasionar que el valor del dólar baje?

Todo lo que pienses en realidad son las causas del riesgo. Para este caso hay muchas: un cambio en los precios del petróleo, las decisiones que toma un presidente, movimientos en la economía de un país, etc.

Cuando una de estas causas hace que se materialice el riesgo, se generan consecuencias. En nuestro ejemplo, la consecuencia más evidente es la pérdida de dinero.

¿Por qué te cuento esto?
Porque es importante diferenciar entre riesgo, su causa y la consecuencia. A veces, la línea es muy delgada y hace falta pensar mucho en la situación.

Aclarado el tema conceptual, ahora si hablemos de la norma.

Cómo determinar los riesgos y oportunidades para el sistema de gestión de calidad

Para cumplir este requisito es necesario contar con una metodología para la gestión de riesgos y oportunidades. La norma no especifica una metodología, esto quiere decir que tu organización puede elegir cualquier metodología o implantar una propia.

Lo mínimo exigido por la norma a través de este requisito y el 6.2.2 consiste en 3 pasos:

  1. Determinar riesgos y oportunidades (6.1.1)
  2. Controlar riesgos y oportunidades  (6.2.2)
  3. Evaluar eficacia de las acciones para abordar riesgos y oportunidades (6.2.2)

Para tomar una mejor decisión te recomiendo leas la norma ISO 31000 Gestión del riesgo. Principios y directrices e ISO 31010 Gestión del riesgo. Técnicas de valoración del riesgo.

El contexto organizacional y su relación con los riesgos y oportunidades

Recuerda que al abordar los requisitos 4.1 y 4.2 obtuvimos una visión completa del entorno de la organización. Esta visión por sí sola ya nos está entregando un paquete importante de riesgos y oportunidades.

Con vista en la información obtenida al abordar estos requisitos, debemos preguntarnos:

  • ¿Qué aspectos del contexto externo e interno suponen riesgos y oportunidades?
  • ¿Cómo las necesidades y expectativas de las partes interesadas suponen riesgos y oportunidades?

Por ejemplo, si uno de los elementos obtenidos del análisis de contexto es:

  • El 80% de los ingresos de la organización están en manos de dos clientes.

¿Qué riesgos se derivan de esta situación? ¿Qué pasaría si uno de esos clientes cancelara el contrato?

Determinando riesgos y oportunidades

¡Pasemos a la acción!

Conforma un equipo de personas con conocimiento del negocio. Con vista en el análisis del contexto de la organización y de las necesidades y expectativas de las partes interesadas, identifiquen los riesgos y oportunidades estratégicos.

Decimos estratégicos porque son riesgos organizacionales y no específicos de un proceso.

Si durante el ejercicio se identifican riesgos y oportunidades de procesos, anótalos también.

La identificación puede incluir: fuente, causas, áreas de impacto y consecuencias.

Con los riesgos y oportunidades identificados, ya tienes información suficiente para analizarlos, evaluarlos y definir acciones para abordarlos en función de su impacto potencial en la conformidad de tus productos y servicios, y evaluando la eficacia.

 Pero eso es tema del requisito 6.1.2 y lo explico de forma detallada en mi ebook

Clasificando los riesgos y oportunidades

Una vez se identifican los riesgos y oportunidades, podemos clasificarlos, ¿por qué?

Para identificar cuáles son los riesgos y oportunidades más significativos y enfocar mayores esfuerzos en su tratamiento o acciones. Esto se debe a que las organizaciones no siempre cuentan con el personal, el tiempo y el dinero para abordar todos los riesgos y oportunidades.

Si bien esto no es un «debe» de la norma, debido a que el requisito 6.1.1 únicamente te dice que determines los riesgos y oportunidades con base en el contexto de la organización, si es importante que se clasifiquen por temas de priorización en asignación de recursos.

Información documentada en la determinación de riesgos y oportunidades

Este requisito NO exige información documentada. El auditor va a indagar en la metodología de la organización para gestionar riesgos y oportunidades, por lo que deberás mostrar evidencia de la determinación de riesgos y oportunidades.

Esta información puede estar toda en la cabeza del personal y es válido, sin embargo, siempre resulta más fácil para todos tener este requisito documentado.

Usualmente se emplea una matriz de riesgos y oportunidades o solo matriz de riesgos, que muestra como mínimo, los riesgos determinados, los controles establecidos y la evaluación de la eficacia de las acciones realizadas.

La matriz de riesgos y oportunidades puede ser tan compleja como tu desees y esto va de acuerdo al tamaño y complejidad de la empresa. Puede tener campos como fuente del riesgo, área de impacto, probabilidad, frecuencia, severidad, nivel de riesgo, control, eficacia de las acciones, etc.

Trabajando con los riesgos operativos

Hasta aquí ya podemos decir que estamos cumpliendo con el requisito 6.1.1 de la norma ISO 9001:2015.

Pero…

La gestión del riesgo va mucho más allá. La gestión del riesgo requiere fuentes de información para conocer la percepción del cliente, el estado de nuestros procesos y del sistema de gestión de calidad.

Las fuentes de información de los riesgos

Para mantener un sistema de gestión de calidad que funcione y aporte a los resultados de la empresa, debemos disponer de fuentes de información que nos permitan detectar cuándo es necesario realizar cambios y tomar decisiones. Ya mencionamos que el contexto organizacional (requisitos 4.1 y 4.2) es una fuente de información para la determinación de los riesgos estratégicos.

Existen otras fuentes de información para los riesgos operativos:

  • Auditorias internas: Las conclusiones de auditoria nos permiten conocer qué hacer para tener un sistema de gestión conveniente, adecuado y eficaz.
  • Medir la satisfacción del cliente: Cualquier mecanismo que tengamos para comunicarnos con el cliente y obtener su percepción u opinión sobre el producto.
  • Medición y seguimiento de procesos: Lo que hacemos para monitorear nuestros procesos y asegurarnos de que cumplan su objetivos (gráfico de control, indicadores, inspección, etc)

Auditoria interna

Los hallazgos de auditoría son una fuente valiosa de riesgos y oportunidades. Se obtienen al tomar evidencias objetivas de lo que hace la empresa y evaluarlas frente a unos criterios de auditoría, los cuales los podemos enmarcar dentro de los requisitos CLON:

  • Clientes: Necesidad o expectativa del cliente, generalmente implícita u obligatoria.
  • Legales: Requisito obligatorio especificado por un organismo legislativo.
  • Organizacionales: Requisito propio de la organización.
  • Norma: Requisito especificado en una norma, por ejemplo ISO 9001:2015 o ISO 14001:2015.

Lo ya mencionado se puede resumir en esta imagen:Acción correctiva, riesgos y auditoria

Midiendo la satisfacción del cliente

Debemos medir la satisfacción del cliente. Las formas más comunes para hacerlo son:

  • Encuestas.
  • Entrevistas.
  • FPQRS (Felicitaciones, peticiones, quejas, reclamos, sugerencias), del cliente a la empresa.

Un buen análisis de la medición de la satisfacción del cliente debería permitir la identificación de riesgos y oportunidades.

Medición y seguimiento de procesos

La empresa determina qué prácticas le permiten medir y seguir sus procesos. Comúnmente se hace uso de indicadores (la primer imagen a continuación) y de revisiones y verificaciones del producto o servicio.

Indicadores estratégicos, tácticos y operativos
Indicadores estratégicos, tácticos y operativos

Dificultades asociadas a la gestión del riesgo

Tomar acciones e implementar un enfoque basado en riesgos no es fácil para las empresas.

Hacernos conscientes de esto permite encontrar (o al menos pensar) mejores formas de hacer la gestión del riesgo. La pregunta para hacerse entonces es, ¿Pasa esto en su organización?

1. El tiempo de todos: Todos están ocupados haciendo su trabajo. ¿Por qué voy a hacer algo que no es probable que pase o porqué voy a hacer algo que ya pasó una vez y la probabilidad de que vuelva a pasar no me es importante? No tengo tiempo para eso. Es lo que solemos escuchar en las empresas, y si se hacen las acciones, se hacen para última hora.

2. No hay cultura de mejoramiento: Relacionado con el anterior. ¿Implementamos acciones para mostrar que se hizo algo? Esa no es la idea de un sistema de gestión. Hacemos correcciones y acciones para mejorar continuamente y no para cumplir un requisito.

3. Temor: Temor a las no conformidades, temor a que nos quiten la certificación. Primero reconozcamos que algo está funcionando mal o que puede funcionar mal y luego hagamos las acciones para que esto no suceda más.

4. Análisis de causas superficiales: Antes de hacer un análisis debemos saber qué es lo que pasó, describir la situación y luego si determinar qué lo causó. Aquí es cuando herramientas como 5 porqués, Ishikawa y Pareto son de utilidad.

5. Confundir las correcciones con acciones correctivas: Si hay un incendio, lo apagamos. Eso fue una corrección. Si ya sabemos que en esa zona hay incendios con frecuencia, pues colocamos extintores y cambiamos el material inflamable que contribuye a la propagación del fuego. Eso fue una acción correctiva. ¿Y si hubiésemos pensando antes del incendio en que esto podía suceder, qué control de riesgos podríamos impementar. Esto es una acción para abordar un riesgo.

6. No documentar: Nos da pereza decir qué se hizo para resolver. Debemos buscar mecanismos para facilitar el registro de las acciones correctivas y de los riesgos. No necesitamos tener el «formatote» de acción correctiva, recuerda que una empresa hace su sistema de gestión tan complejo como lo desee. ¿Qué tal si ponemos una cartelera en el pasillo mas transitado, donde se relacionan las acciones hechas en el mes?

7. No estandarizar las mejoras: Tuvimos problemas, los resolvimos, pero lo hicimos una sola vez. ¿Qué pasa si después volvemos a recaer? ¿Hicimos una modificación permanente en la maquina prensadora para evitar ese color verdoso en la hoja o solo compramos un repuesto de segunda?

Derechos de imagen

La imagen de cabecera del post es de Freepik

Cómo referenciar este artículo

APACHICAGOICONTECISO 690MLA

Betancourt, D. F. (17 de octubre de 2015). Riesgos y oportunidades en ISO 9001:2015. Recuperado el 09 de febrero de 2025, de Ingenio Empresa: www.ingenioempresa.com/riesgos-oportunidades-iso-9001.

Betancourt, Diego Fernando. Riesgos y oportunidades en ISO 9001:2015. (17 de octubre de 2015). www.ingenioempresa.com/riesgos-oportunidades-iso-9001. (último acceso: 09 de febrero de 2025).

BETANCOURT, Diego. Riesgos y oportunidades en ISO 9001:2015. [En línea]. 17 de octubre de 2015. [Citado 09 de febrero de 2025]. Disponible en: (www.ingenioempresa.com/riesgos-oportunidades-iso-9001).

BETANCOURT QUINTERO, Diego. Riesgos y oportunidades en ISO 9001:2015. En: Ingenio Empresa. [En línea]. 17 de octubre de 2015. [Citado el: 09 de febrero de 2025]. www.ingenioempresa.com/riesgos-oportunidades-iso-9001.

Betancourt, Diego Fernando. Riesgos y oportunidades en ISO 9001:2015. 17 de octubre de 2015. 09 de febrero de 2025. <www.ingenioempresa.com/riesgos-oportunidades-iso-9001>.

22 comentarios en «Riesgos y oportunidades en ISO 9001:2015»

  2. Me parece muy digerible la explicación sobre losriesgos, a pesar de que es algo que no podemos predecir, sin embargo, contando con la información adecuada y una buena plaenación, las oportunidades se acrecenta, saludos.

    Responder

    • Hola Alejandra.

      Puedes realizar revisiones periódicas de las matrices de riesgos y oportunidades, por ejemplo cada 6 meses o 1 año. Aunque el tiempo lo defines tú con base en la dinámica del negocio. Si por ejemplo la dinámica del negocio es muy cambiante por factores como el social, ambiental, tecnológico o legal, podría ser necesario revisar con más frecuencia la matriz de riesgos y oportunidades.

      Igualmente, la situación del negocio hace que se actualice la matriz, si por ejemplo por x o y situación se materializó un riesgo que no tenías previsto, una actividad a realizar sería incluir ese riesgo y las acciones para su abordaje, para que no vuelva a ocurrir.

      Responder

  7. hola
    en la empresa donde laboro tenemos toda una metodología para los riesgos y los calificamos de acuerdo al impacto y probabilidad de que suceda , para los que nos dan bajo impacto y baja probabilidad no tomamos acciones, el auditor me dice que estoy obligada a tomar acciones aunque sean de bajo impacto y baja probabilidad. ¿¿¿¿¿Esto es correcto, debo de tomara acciones????

    Responder

    • Hola Mónica,

      Efectivamente en tu empresa se realiza una evaluación adecuada de los riesgos al considerar el impacto y la probabilidad de los mismos (independientemente de la metodología aplicada) , en le caso cuyo resultado de la evaluación sea de bajo impacto y baja probabilidad sugiero consideres asumir el riesgo, ya que este resultado no impacta de forma significativa el proceso.

      En tal sentido, no coincido con el auditor en la recomendación, puesto que debemos recordar que toda acción derivará en la gestión de recursos (indistintamente de los que apliquen) y ello en relación al impacto de origen del riesgo no resulta nada rentable ni óptimo para la organización.

      Saludos cordiales,

      Responder

  8. hola
    en la empresa donde laboro tenemos toda una metodología para los riesgos y los calificamos de acuerdo al impacto y probabilidad de que suceda , para los que nos dan bajo impacto y baja probabilidad no tomamos acciones, el auditor me dice que estoy obligada a tomar acciones aunque sean de bajo impacto y baja probabilidad. ¿¿¿¿¿Esto es correcto, debo de tomara acciones????

    Responder

  9. Hola, qué útil toda la información toda esta información, aclaran dudas y te guían.. Muchas gracias por tu trabajo que ayuda y aporta sin duda al trabajo de otros, como en mi caso. Sólo me queda una duda, trabajo en una empresa donde desarrollamos un SGC, levantamos matrices de riesgo pero tenemos criterios diferentes a la metodología de riesgo operacional de la empresa. La duda es: Qué sería lo aconsejable, tener una única metodología de riesgo standar para toda la organización o esto dependerá del objetivo del proyecto, área, etc.? Me gustaría poder aclarar esta duda de acuerdo a tu experiencia. Gracias

    Responder

    • Hola Carolina.

      En la norma ISO 9001 no hay ningún requisito asociado a las metodologías de riesgo. Tampoco se menciona algo sobre si se utilizan diferentes metodologías. Lo importante aquí es que se identifiquen y se aborden los riesgos.

      Ahora bien, ¿hay alguna razón para tener diferentes metodologías o criterios? Me parece más práctico utilizan una única metodología de riesgo, pero entiendo que puede haber casos donde por la naturaleza del negocio se requieran metodologías de riesgo con criterios, priorizaciones, severidades, ocurrencias, impactos, etc, diferentes. Es decir que si, puede que dependiendo de proyectos, procesos, los productos o servicios que se comercialicen, puede que existan diferentes metodologías de riesgo.

      No obstante, no son muchos los casos que vi de este tipo. Usualmente siempre se usa una sola metodología de riesgo y por ende, una sola matriz. Y la verdad, me parece más práctica, de nuevo, siempre que las condiciones lo permitan.

      En resumen, a nivel de norma no hay ningún incumplimiento si adoptas múltiples metodologías. Pero asegúrate de que lo que elijan en la organización sea práctico, puede que sea necesario más de una metodología de riesgo, puede que no. Ustedes lo deciden.

      Un saludo.

      Responder

  10. Muchas Gracias me sirvió bastante , aunque me hubiera gustado tener alguna Matriz de Probabilidad e Impacto de ejemplo, nos hubieras ayudado mucho más .
    Pero te felicito muchas gracias !!!!

    Responder

  12. Felicitar tu blog y el apoyo que nos brindas. Preguntar sobre como evaluar la eficacia de las acciones para abordar riesgos y oportunidades, agradeceré tu valioso comentario.

    Responder

    • Hola Amelia.

      Con eficacia nos referimos a la capacidad de obtener el efecto pretendido como resultado de nuestras acciones. Dicho lo anterior, la eficacia de las acciones para abordar riesgos y oportunidades la puedes evaluar considerando si el efecto que trajo la acción ha logrado mitigar (evitar, transferir, aceptar, etc) el riesgo u oportunidad.

      Consideremos por ejemplo que somos una clínica odontológica y tenemos un riesgo que es la cancelación de contrato con una empresa que nos remite pacientes afiliados al sistema de salud del estado. Los pacientes que nos envía esta empresa representa el 90% de los ingresos que obtenemos.

      El riesgo es grandísimo y las acciones deben ser proporcionales al impacto del riesgo. Podemos emplear estrategias comerciales para obtener pacientes por fuera. La eficacia de esta acción consistiría en determinar si el efecto deseado de esta acción (disminuir la participación en los ingresos de los pacientes que nos remiten por el sistema de salud) se logró.

      Supongamos que tras un año de implementadas las estrategias comerciales, se determinó que los pacientes que nos remite el sistema de salud ahora representan el 70% de los ingresos totales. En este caso la acción fue eficaz, permitió mitigar el riesgo y debe ser una acción continua.

      Responder

  13. en mi empresa, tenemos un procedimiento de gestion de riesgos para el SIG donde se recogen riesgos de seguridad y salud, medioambientales y de control interno, por procesos, podemos utilizar este mismo procedimiento (se incluye la identificacion, evaluación, plan de prevención) como informacion documentada para la gestión de los riesgos, codificandolos como riesgos operacionales,

    Responder

    • Hola Enio.
      Supongo que me estás haciendo una pregunta. Asumo que me estás hablando de un sistema de información geográfica.

      De entrada te diría que si. Por supuesto habría que hacer una adaptación, pues en el post me enfoco en el ámbito empresarial y más aún, en la gestión de la calidad. Podrías buscar la analogía entre cada una de las fuentes de información de riesgos referentes a tu temática y las que nombro en el post y partir de ahí estructurar el documento.

      Responder

  14. Hola.
    Me llama mucho la atención lo que mencionas en las dificultades para no predecir los eventos o tratar accioness correctivas. En mi caso, el funcionamiento de la empresa por áreas, donde todos mantenían ocupados y para que te ayudaran siendo de otra área era un gran problema. Luego cuando te encuentras en una empresa que entiende la norma, te das cuenta de que es el enfoque basado en procesos.

    Esperaba que hablaras más de riesgos, según la 2015. Tengo algunas dudas con eso.

    Responder

    • Lamentablemente en algunas empresas es así, y más cuando tienes un sistema de gestión de calidad que no es eficaz.
      Tienes razón. Tengo pensando para inicios de noviembre desarrollar un post dedicado totalmente a la nueva versión 2015 y a sus cambios.

      Un saludo.

      Responder

        • Hola Noe.

          Puedes hacerlo por procesos si lo deseas. He visto organizaciones en las que cada líder de proceso crea un FODA para cada proceso, para luego extraer lo más importante y elaborar un FODA de la organización.

          También puedes hacer solo un FODA organizacional.

          Ambas opciones cumplen con los requisitos de la norma. Aunque yo me inclino más por un FODA a nivel organizacional.

          Un saludo.

Deja un comentario

Responsable de tus datos: Diego Betancourt. Finalidad: Moderación de los comentarios por el tiempo que dure este post publicado o hasta que decidas borrar tu comentario. Legitimación: Tu consentimiento otorgado en este formulario. Destinatario: Wordpress.Derechos: Tienes derechos de acceso, rectificación, cancelación y oposición de tus datos. Este sitio usa Akismet para reducir el spam. Conoce cómo se procesan los datos de tus comentarios.

Ingenio Empresa