Saltar al contenido principal
Auditoria Proveedores ISO 28000 Checklist
Solicitar propuesta
auditoria

Auditoría de proveedores · checklist ISO 28000 + ISO 9001 cláusula 8.4

4 min de lectura

Checklist práctico para auditar proveedores externos: requisitos ISO 9001:2015 cláusula 8.4 + ISO 28000:2022 (gestión de seguridad cadena suministro).

Auditoría de proveedores · checklist ISO 28000 + ISO 9001 cláusula 8.4
Tabla de Contenidos

Qué exige ISO 9001 cláusula 8.4

La cláusula 8.4 de ISO 9001:2015 obliga a controlar el suministro de productos, servicios o procesos provistos externamente. Tres requisitos centrales:

  • 8.4.1 · Criterios documentados para evaluar, seleccionar, monitorear y reevaluar proveedores
  • 8.4.2 · Tipo y alcance del control proporcional al impacto del proveedor en la calidad final
  • 8.4.3 · Información comunicada a proveedores: requisitos, métodos, criterios de aceptación, competencias del personal del proveedor cuando aplique, controles propios del proveedor, validación, calificación de personas

En la práctica esto se materializa en: padrón formal de proveedores · procedimiento de evaluación · checklist de auditoría · plan anual de auditorías · registros de cada auditoría · acciones derivadas y su seguimiento.

ISO 28000:2022 · seguridad de la cadena de suministro

ISO 28000:2022 es una norma específica certificable que extiende los controles de cadena de suministro hacia seguridad · más allá de calidad. Cubre:

  • Amenazas físicas (robo, sabotaje, contrabando)
  • Ciberseguridad de la cadena (proveedores como vector de ataque)
  • Fraude y trazabilidad
  • Continuidad ante interrupciones
  • Cumplimiento aduanero y trade compliance

Empresas que la implementan: farma exportadora, electrónica de consumo, alimentos exportados a UE/USA, alta tecnología, defensa. Para LATAM, los exportadores de productos sensibles a USA (post-FSMA) o UE (post-MDR para farma) la están adoptando.

ISO 28000 + ISO 9001 + ISO 27001 = trinorma de cadena de suministro segura que se está volviendo estándar en sectores regulados.

Checklist 25 puntos · auditoría a proveedor

Bloque A · Aspectos legales y administrativos (5 puntos)

  1. Razón social, CUIT/RUT/RFC, domicilio fiscal verificable
  2. Habilitaciones y licencias vigentes (regulador del sector)
  3. Ausencia en listas restrictivas (OFAC, ONU, UE, listas locales)
  4. Alta en organismos previsionales (ART, AFP, IMSS según país)
  5. Seguros vigentes con cobertura suficiente

Bloque B · Sistema de gestión de calidad (8 puntos)

  1. Sistema de gestión de calidad documentado (ISO 9001 o equivalente)
  2. Política de calidad firmada por dirección
  3. Procedimientos de procesos críticos documentados
  4. Indicadores de calidad medidos y reportados
  5. Programa de auditorías internas vigente
  6. Procedimiento de no conformidades + acciones correctivas
  7. Capacitación del personal documentada
  8. Calibración de equipos de medición (si aplica)

Bloque C · Capacidad operativa (5 puntos)

  1. Capacidad productiva alineada con compromisos contractuales
  2. Planes de contingencia ante picos de demanda
  3. Subcontratación documentada (si aplica)
  4. Trazabilidad de lotes / órdenes / entregas
  5. Tiempos de entrega históricos consistentes con compromisos

Bloque D · Seguridad y compliance (4 puntos · ISO 28000)

  1. Política de seguridad de la cadena de suministro
  2. Control de acceso físico a instalaciones
  3. Cyber-seguridad básica (firewall, backup, control de identidades)
  4. Plan de respuesta ante incidentes de seguridad

Bloque E · Sostenibilidad y ESG (3 puntos)

  1. Cumplimiento de regulación ambiental aplicable
  2. Gestión de residuos peligrosos (si aplica)
  3. Política de ética y antisoborno (relevante en sector público)

Segmentación por riesgo del proveedor · matriz

TipoCriticidadFrecuencia auditoríaProfundidad
A · CríticoAlta · paraliza producción si fallaAnual presencial + reevaluación trimestral remota25 puntos completos
B · SignificativoMedia · afecta calidad pero hay alternativasBianual presencial + cuestionario anual15 puntos · enfoque calidad
C · EstándarBaja · impacto limitadoCuestionario anual + revisión de documentación5-8 puntos · básicos
D · CommodityMínima · totalmente sustituibleSolo verificación legal/administrativaBloque A · 5 puntos

Una PyME industrial de 80 empleados típicamente tiene: 5-10 proveedores tipo A · 15-25 tipo B · 50-100 tipo C · resto tipo D. El tiempo total de auditorías a proveedores: ~8-12 días/año del responsable de calidad o procurement.

Conclusión · cuándo escalar a ISO 28000

Para la mayoría de PyMEs, la cláusula 8.4 de ISO 9001 con segmentación por riesgo es suficiente. ISO 28000 conviene solo cuando:

  • Exporta productos sensibles a mercados regulados (UE-MDR, USA-FSMA)
  • Sufrió incidentes de seguridad en cadena (robos, contrabando, manipulación)
  • Cliente B2B grande lo exige como requisito de homologación
  • Sector regulado (defensa, alta tecnología, farma exportadora)

Si no aplican, mantener cláusula 8.4 robusta con auditorías documentadas a proveedores críticos suele ser el balance correcto entre rigor y costo operativo.

— Fernando Arrieta, Director Técnico G-CERTI.

ISO 28000 ISO 9001 cláusula 8.4 proveedores cadena de suministro

Compartir este artículo

LinkedIn X / Twitter WhatsApp
Fernando Arrieta
Sobre el autor
Fernando Arrieta

Auditor líder

Auditor líder en 6 normas ISO. Representante regional de G-CERTI para el mercado hispanohablante y miembro del International Accreditation Center (IAC). Columnista y voz pública en certificación, cumplimiento, IA y calidad.

Auditor Líder ISO 9001, 14001, 45001, 27001, 37001, 42001 Representación regional G-CERTI para Latinoamérica, Caribe y mercado hispanohablante Miembro, International Accreditation Center (IAC) Columnista Sección Opinión, Infobae

Preguntas Frecuentes

No. ISO 9001 cláusula 8.4.1 dice "los criterios para la evaluación, la selección, el seguimiento del desempeño y la reevaluación de los proveedores externos, basándose en su capacidad para suministrar procesos o productos y servicios de acuerdo con los requisitos." La práctica común y aceptada es segmentar proveedores por criticidad (alta/media/baja) y aplicar nivel de control proporcional. Auditoría completa solo a proveedores de criticidad alta · típicamente 10-20% del padrón.
Tres dimensiones: 1) impacto si falla (¿paraliza producción? ¿afecta calidad final? ¿genera incumplimiento legal?), 2) probabilidad de falla (¿tiene alternativas? ¿historia de incidentes?), 3) volumen económico (¿>5% de costos totales?). Proveedor con scores altos en 2 o 3 dimensiones = crítico. Típicamente 15-25% del padrón califica.
No, son complementarios. ISO 9001 cláusula 8.4 es genérica (calidad). ISO 28000:2022 es específica de seguridad de la cadena de suministro · cubre amenazas físicas, ciberseguridad, fraude, contrabando, terrorismo. Empresas con cadenas globales o productos sensibles (farma, electrónica, alimentos exportados) suelen implementar ambas integradas.
Plantilla mínima: fecha · auditor · proveedor · alcance · checklist usado · hallazgos clasificados · acciones acordadas con plazos · status final (aprobado / aprobado con condiciones / rechazado). Conservar mínimo 3 años. En auditoría externa, es uno de los registros más solicitados · sin él, NC mayor en cláusula 8.4.
Tres opciones según severidad: 1) Acciones correctivas con plazo · si el proveedor las cumple, mantenemos. 2) Suspensión temporal · si el riesgo es alto, paramos compras hasta que se cierre. 3) Sustitución · si reincidente o sin capacidad de mejorar, buscar alternativa. La cláusula 8.4 exige documentar la decisión · "es nuestro proveedor histórico" no es justificación auditable.

Artículos Relacionados

Más contenido sobre :category

Cómo elegir consultor ISO · 8 criterios prácticos para no perder plata
guias-practicas

Cómo elegir consultor ISO · 8 criterios prácticos para no perder plata

Cómo evaluar y contratar un consultor ISO sin equivocarse: 8 criterios objetivos, red flags, rangos de honorarios LATAM 2026, contrato tipo recomendado.

 Gestión documental ISO — qué documentar y qué no (sin convertirlo en burocracia)
iso-9001

Gestión documental ISO — qué documentar y qué no (sin convertirlo en burocracia)

Qué información documentada exige ISO 9001:2015 (cláusula 7.5), qué es opcional, y cómo evitar el síndrome del manual de 400 páginas que nadie lee.

 Cuánto cuesta certificar ISO 13485 en LATAM (2026) · costos reales por tamaño
iso-13485

Cuánto cuesta certificar ISO 13485 en LATAM (2026) · costos reales por tamaño

Costo real de certificación ISO 13485 para dispositivos médicos en LATAM 2026: rangos por tamaño organizacional, factores que afectan precio, vs FDA QSR.
Ver más artículos

Lectura estratégica

Pase de información a evaluación

Si el contenido le ayudó a entender el problema, el siguiente paso es medir prioridad y conectar con la norma adecuada.

Fidelizar con utilidad