Gestión de riesgos en ISO 9001 sin caer en burocracia

ISO 9001:2015 sustituyó las "acciones preventivas" de la versión 2008 por "pensamiento basado en riesgos". Muchas empresas entendieron que debían implementar un sistema ERM completo. No es el caso. La cláusula 6.1 pide identificar riesgos relevantes para los objetivos del SGC y actuar sobre ellos.

Qué pide exactamente la cláusula 6.1

Dos sub-requisitos:

6.1.1 Determinar riesgos y oportunidades que deben abordarse
6.1.2 Planificar acciones para abordarlos e integrarlas al SGC

La norma no exige matriz de probabilidad por impacto, ni software ERM, ni metodología específica. Exige evidencia de que los riesgos están identificados y las acciones planeadas.

Tres niveles de riesgo útiles

Para una PYME industrial, tres niveles cubren el 90% de lo auditable:

Riesgos estratégicos al SGC. Pérdida de certificación, pérdida de cliente clave, cambio regulatorio.
Riesgos de proceso. Errores en producción, retrasos en entrega, fallas de equipo crítico.
Riesgos de cumplimiento. NOM aplicables, requisitos de cliente Tier 1, regulación ambiental.

No confundas niveles. Un riesgo de proceso escalado a la revisión por la dirección se vuelve ruido.

Matriz mínima viable

Columnas recomendadas:

Riesgo	Contexto	Probabilidad	Impacto	Acción	Dueño	Fecha
Rotación > 20% en producción	Cl. 4.1	Alta	Alto	Plan de retención H1	RH	2026-03-31
Falla de prensa CNC	Cl. 7.1.3	Media	Alto	Plan mantenimiento	Mantto	2026-02-15

Probabilidad e impacto pueden ser cualitativos (alto/medio/bajo). El auditor no exige escala numérica, exige consistencia.

Oportunidades: el lado olvidado

La cláusula también pide identificar oportunidades. Ejemplos típicos:

Nuevo mercado de exportación que abre el certificado IATF
Automatización que reduce costo de no calidad
Certificación adicional (ISO 14001) que habilita licitaciones

Una matriz que solo lista amenazas está incompleta.

Integración con otros elementos del SGC

La cláusula 6.1.2 exige integrar las acciones al SGC. No es una lista paralela. Los riesgos deben aparecer en:

Objetivos de calidad (6.2)
Controles operacionales (8.1)
Indicadores de desempeño (9.1)
Acciones correctivas y mejora (10.2)

Si la matriz vive aislada en un Excel, la integración falla.

Errores que cuestan hallazgos

Copiar matrices de otros clientes o plantillas de consultoras
Actualizar solo antes de la auditoría externa
No conectar el riesgo a un indicador medible
Listar 200 riesgos en lugar de los 15 que realmente mueven el negocio

Qué hacer esta semana

Revisa tu matriz de riesgos actual. ¿Cuándo fue la última actualización? ¿Cuántos riesgos tienen fecha vencida sin cierre? ¿Alguno aparece también como objetivo de calidad? Si alguna respuesta te incomoda, dedica 90 minutos a corregir esos tres puntos. Pasar la auditoría es consecuencia, no objetivo.

Qué pide exactamente la cláusula 6.1

Dos sub-requisitos:

6.1.1 Determinar riesgos y oportunidades que deben abordarse
6.1.2 Planificar acciones para abordarlos e integrarlas al SGC

La norma no exige matriz de probabilidad por impacto, ni software ERM, ni metodología específica. Exige evidencia de que los riesgos están identificados y las acciones planeadas.

Tres niveles de riesgo útiles

Para una PYME industrial, tres niveles cubren el 90% de lo auditable:

Riesgos estratégicos al SGC. Pérdida de certificación, pérdida de cliente clave, cambio regulatorio.
Riesgos de proceso. Errores en producción, retrasos en entrega, fallas de equipo crítico.
Riesgos de cumplimiento. NOM aplicables, requisitos de cliente Tier 1, regulación ambiental.

No confundas niveles. Un riesgo de proceso escalado a la revisión por la dirección se vuelve ruido.

Matriz mínima viable

Columnas recomendadas:

Riesgo	Contexto	Probabilidad	Impacto	Acción	Dueño	Fecha
Rotación > 20% en producción	Cl. 4.1	Alta	Alto	Plan de retención H1	RH	2026-03-31
Falla de prensa CNC	Cl. 7.1.3	Media	Alto	Plan mantenimiento	Mantto	2026-02-15

Probabilidad e impacto pueden ser cualitativos (alto/medio/bajo). El auditor no exige escala numérica, exige consistencia.

Oportunidades: el lado olvidado

La cláusula también pide identificar oportunidades. Ejemplos típicos:

Nuevo mercado de exportación que abre el certificado IATF
Automatización que reduce costo de no calidad
Certificación adicional (ISO 14001) que habilita licitaciones

Una matriz que solo lista amenazas está incompleta.

Integración con otros elementos del SGC

La cláusula 6.1.2 exige integrar las acciones al SGC. No es una lista paralela. Los riesgos deben aparecer en:

Objetivos de calidad (6.2)
Controles operacionales (8.1)
Indicadores de desempeño (9.1)
Acciones correctivas y mejora (10.2)

Si la matriz vive aislada en un Excel, la integración falla.

Errores que cuestan hallazgos

Copiar matrices de otros clientes o plantillas de consultoras
Actualizar solo antes de la auditoría externa
No conectar el riesgo a un indicador medible
Listar 200 riesgos en lugar de los 15 que realmente mueven el negocio

Gestión de riesgos en ISO 9001 sin caer en burocracia

Qué pide exactamente la cláusula 6.1

Tres niveles de riesgo útiles

Matriz mínima viable

Oportunidades: el lado olvidado

Integración con otros elementos del SGC

Errores que cuestan hallazgos

Qué hacer esta semana

Sigue leyendo

Enfoque basado en procesos: del diagrama al día a día

Control operacional: del SOP al registro automático

Cláusula 4: entender el contexto de tu organización

Gestión de riesgos en ISO 9001 sin caer en burocracia

Qué pide exactamente la cláusula 6.1

Tres niveles de riesgo útiles

Matriz mínima viable

Oportunidades: el lado olvidado

Integración con otros elementos del SGC

Errores que cuestan hallazgos

Qué hacer esta semana

Sigue leyendo

Enfoque basado en procesos: del diagrama al día a día

Control operacional: del SOP al registro automático

Cláusula 4: entender el contexto de tu organización