Saltar al contenido principal
ISO 9001 Clausula 6 1 Evaluacion Riesgos
Solicitar propuesta
iso-9001

ISO 9001 cláusula 6.1 — cómo hacer evaluación de riesgos que pase auditoría

5 min de lectura

Cómo implementar la cláusula 6.1 de ISO 9001:2015 (riesgos y oportunidades) sin convertirla en burocracia. Metodologías aceptadas en auditoría externa.

ISO 9001 cláusula 6.1 — cómo hacer evaluación de riesgos que pase auditoría
Tabla de Contenidos

Qué exige la cláusula 6.1 (literal)

El texto canónico de ISO 9001:2015 cláusula 6.1.2 dice:

"La organización debe planificar: a) las acciones para abordar estos riesgos y oportunidades; b) la manera de: 1) integrar e implementar las acciones en sus procesos del sistema de gestión de la calidad; 2) evaluar la eficacia de estas acciones."

Tres exigencias prácticas para auditoría:

  1. Determinación documentada de riesgos y oportunidades.
  2. Acciones planificadas e integradas al SGC.
  3. Evaluación de eficacia de las acciones tomadas.

La cláusula 6.1.1 establece el contexto: los riesgos y oportunidades deben evaluarse considerando los aspectos de la cláusula 4.1 (contexto) y los requisitos de la cláusula 4.2 (partes interesadas). Es decir: no se evalúan riesgos en abstracto sino vinculados al contexto operativo y las expectativas de los stakeholders.

4 metodologías aceptadas en auditoría

1 · Matriz Severidad × Probabilidad (la más común)

Cada riesgo se evalúa en dos dimensiones: severidad del impacto si ocurriera (1-5) y probabilidad de ocurrencia (1-5). Score = Severidad × Probabilidad. Riesgos > 12 = críticos, 8-12 = significativos, < 8 = aceptables. Es simple, escalable, defendible. La que recomiendo a PyMEs.

2 · ISO 31000 framework

Marco más formal con principios, procesos y definiciones consistentes. Apropiado para empresas medianas/grandes con cultura de gestión de riesgos madura. Requiere training del equipo en la norma. Para PyMEs suele ser overkill.

3 · FMEA (Failure Mode and Effect Analysis)

Analiza modos de falla de procesos y productos · severidad, ocurrencia, detectabilidad → RPN (Risk Priority Number). Excelente para fabricantes. Para empresas de servicios profesionales puede ser excesivamente técnica.

4 · SWOT estructurado

Análisis Fortalezas/Debilidades/Oportunidades/Amenazas con cuantificación. Aceptable si está documentado con criterios de scoring. Útil para empresas pequeñas en sectores con poca regulación.

En auditoría G-CERTI la metodología más vista es matriz S×P (60% de los casos), seguida por ISO 31000 (25%), FMEA (10%) y SWOT (5%).

Matriz mínima auditable · plantilla

IDCategoría DescripciónS PScore AcciónResponsable PlazoEficacia
R-01Operativo Pérdida proveedor crítico A5 210 Calificar 2do proveedorCompras Q32do prov calificado
R-02Tecnológico Caída ERP > 4h4 312 Backup ERP secundarioTI Q2RTO 2h verificado
O-01Mercado Nuevo segmento agroindustria+4 3+12 Plan comercial verticalComercial Q33 ventas Q3

Esta matriz cumple cláusula 6.1 si: cubre los procesos críticos del SGC, las acciones están vinculadas a responsables y plazos reales, y la columna eficacia tiene evidencia documentada.

No olvidar oportunidades · el error más frecuente

El 70% de las matrices que veo en auditoría tienen solo riesgos · no oportunidades. Es NC menor automática. La cláusula 6.1 dice "riesgos Y oportunidades" · ambas son requisito.

Oportunidades típicas en una PyME industrial:

  • Acceso a nuevos mercados/canales (regional, internacional, e-commerce)
  • Adopción de nueva tecnología que mejora calidad o eficiencia
  • Expansión de portafolio de productos/servicios
  • Alianzas estratégicas con proveedores o clientes
  • Captura de tendencias regulatorias (anticipar normativa)
  • Atracción de talento por reputación de calidad certificada

Las oportunidades se evalúan en signo positivo (+severidad = beneficio potencial) y se planifican acciones para capturarlas.

Errores típicos que generan NCs

  1. Matriz de riesgos sin acciones planificadas. Identificar riesgos sin definir qué hacer con ellos = ejercicio teórico. NC mayor.
  2. Acciones sin verificación de eficacia. "Implementamos la acción" no es lo mismo que "el riesgo se mitigó". NC menor.
  3. Solo riesgos, sin oportunidades. Lectura sesgada de la cláusula. NC menor automática.
  4. Riesgos genéricos sin vincularse al contexto. "Riesgo de pandemia" sin análisis específico de cómo afecta a la organización = riesgo declarado pero no evaluado. NC menor.
  5. Matriz no actualizada en 18+ meses. Los riesgos cambian con el contexto. Una matriz estática es señal de que el sistema no vive. NC menor.
  6. Sin trazabilidad a la revisión por la dirección. Cláusula 9.3.2.b exige que la revisión por la dirección considere el desempeño del SGC, incluyendo riesgos y oportunidades. Si la matriz no se discute en revisión por la dirección, hay desconexión.

Conclusión · cómo no convertirlo en burocracia

La cláusula 6.1 puede convertirse en un Excel inútil de 200 filas que nadie mira. O puede convertirse en la herramienta que efectivamente prioriza decisiones de la dirección. La diferencia es cómo se conecta con el resto del SGC.

Tres reglas operativas:

  1. Empezar por procesos, no por riesgos. Identificar primero los procesos críticos del SGC (~5-8 procesos en una PyME). Luego para cada proceso, identificar 3-5 riesgos típicos. Llegará a 25-40 riesgos · cantidad manejable.
  2. Acciones realistas, no aspiracionales. Si la acción es "mejorar la cultura de calidad", no es accionable. Si es "implementar checklist de revisión semanal con 5 puntos", sí.
  3. Revisar trimestral, actualizar anual. Cada trimestre miramos la matriz en revisión por la dirección · cada año actualizamos. No hace falta más, no debería ser menos.

— Fernando Arrieta, Director Técnico G-CERTI.

ISO 9001 cláusula 6.1 riesgos oportunidades thinking risk-based

Compartir este artículo

LinkedIn X / Twitter WhatsApp
Fernando Arrieta
Sobre el autor
Fernando Arrieta

Auditor líder

Auditor líder en 6 normas ISO. Representante regional de G-CERTI para el mercado hispanohablante y miembro del International Accreditation Center (IAC). Columnista y voz pública en certificación, cumplimiento, IA y calidad.

Auditor Líder ISO 9001, 14001, 45001, 27001, 37001, 42001 Representación regional G-CERTI para Latinoamérica, Caribe y mercado hispanohablante Miembro, International Accreditation Center (IAC) Columnista Sección Opinión, Infobae

Preguntas Frecuentes

No. ISO 9001 cláusula 6.1 NO prescribe metodología · solo exige que la organización determine los riesgos y oportunidades, planifique acciones para abordarlos, integre las acciones al sistema y evalúe la eficacia. Puede usar FMEA, ISO 31000, matriz simple severidad×likelihood, brainstorming estructurado, análisis de causa-efecto, análisis SWOT · cualquiera siempre que sea documentada y consistente.
Para una PyME de 30-100 empleados: 25-60 riesgos identificados es razonable. Menos de 15 sugiere análisis superficial. Más de 100 sugiere falta de priorización. La trampa es identificar todos los riesgos posibles · no es eficiente. Hay que enfocarse en los riesgos que afectan la capacidad del SGC de cumplir sus objetivos.
Conceptualmente sí · ambos son eventos potenciales que pueden afectar el cumplimiento de objetivos. Pero la cláusula 6.1.2 los trata explícitamente como conceptos distintos. Ejemplo: riesgo = pérdida de proveedor crítico. Oportunidad = nuevo segmento de cliente. Una buena evaluación identifica ambos · no solo riesgos.
Es NC mayor automática. La cláusula 6.1.2 exige documentar las acciones tomadas para abordar riesgos y oportunidades · sin documentación NO se puede demostrar cumplimiento. La matriz NO es obligatoria como formato (puede ser otro documento), pero ALGÚN registro de las acciones SÍ es obligatorio.
La cláusula 6.1 no especifica frecuencia. Mejor práctica de campo: revisión completa anual + actualización ad-hoc cuando hay cambios significativos (nuevo producto, nuevo mercado, cambio regulatorio, incidente importante). Si la auditoría externa encuentra una evaluación de hace 3 años sin actualizaciones, es NC menor incluso con sistema funcionando.

Artículos Relacionados

Más contenido sobre :category

Auditoría de proveedores · checklist ISO 28000 + ISO 9001 cláusula 8.4
auditoria

Auditoría de proveedores · checklist ISO 28000 + ISO 9001 cláusula 8.4

Checklist práctico para auditar proveedores externos: requisitos ISO 9001:2015 cláusula 8.4 + ISO 28000:2022 (gestión de seguridad cadena suministro).

 Cómo elegir consultor ISO · 8 criterios prácticos para no perder plata
guias-practicas

Cómo elegir consultor ISO · 8 criterios prácticos para no perder plata

Cómo evaluar y contratar un consultor ISO sin equivocarse: 8 criterios objetivos, red flags, rangos de honorarios LATAM 2026, contrato tipo recomendado.

 Gestión documental ISO — qué documentar y qué no (sin convertirlo en burocracia)
iso-9001

Gestión documental ISO — qué documentar y qué no (sin convertirlo en burocracia)

Qué información documentada exige ISO 9001:2015 (cláusula 7.5), qué es opcional, y cómo evitar el síndrome del manual de 400 páginas que nadie lee.
Ver más artículos

Lectura estratégica

Pase de información a evaluación

Si el contenido le ayudó a entender el problema, el siguiente paso es medir prioridad y conectar con la norma adecuada.

Fidelizar con utilidad