Toggle Side Panel
Close search
Inicio / Artículos / Gestión / gestión de calidad

Domina la gestión de riesgos en el marco de la norma ISO 9001:2015

Conoce paso a paso cómo identificar, analizar, evaluar y tratar los riesgos que pueden afectar la calidad y construye tu matriz de riesgos y oportunidades.
Por Aracely Henríquez. en Mayo 26, 2024 Actualizado: Noviembre 8, 2025
Proceso de gestión de riesgos según ISO 9001:2015
Tabla de Contenidos
  1. Riesgos y oportunidades: claves para una planificación efectiva
  2. ¿Qué implica gestionar riesgos y oportunidades según ISO 9001:2015?
    1. 1. Definición del contexto
    2. 2. Identificación de riesgos y oportunidades
    3. 3. Análisis de riesgos: La matriz de riesgos y oportunidades
      1. ¿Qué es una matriz de riesgos y oportunidades?
      2. Cómo hacer una matriz de riesgos y oportunidades paso a paso
      3. ¿De dónde se obtienen los valores de probabilidad?
    4. 4. Evaluación de riesgos
    5. 5. Tratamiento de riesgos y oportunidades
    6. 6. Seguimiento y revisión
  3. Beneficios de la gestión de riesgos según ISO 9001:2015
  4. Conclusiones
  5. Referencias

En un contexto organizacional dinámico, aquellas empresas encaminadas hacia la búsqueda de la excelencia y el éxito requieren anticiparse a los posibles eventos que puedan afectar su desempeño. En el marco de la Gestión de Riesgos según ISO 9001, la norma introduce en su cláusula 6.1, el enfoque basado en riesgos como un principio esencial para planificar, implementar y mantener un Sistema de Gestión de la Calidad (SGC) sólido y efectivo.

Este enfoque proactivo permite a las organizaciones identificar, evaluar y abordar los riesgos y oportunidades que puedan incidir en el desempeño, cumplimiento de los objetivos del sistema, la satisfacción del cliente y la mejora continua. Este artículo te introduce de manera clara y práctica en los principios de la gestión de riesgos de la calidad, facilitando la comprensión de sus aspectos claves para una efectiva aplicación.

Riesgos y oportunidades: claves para una planificación efectiva

Cuando una organización estructura sus actividades de manera organizada, secuencial y metódica, minimiza desperdicios, reduce ineficiencias y genera confianza en sus clientes.
En este contexto, la gestión de riesgos y oportunidades se convierte en una práctica estratégica que transforma el enfoque reactivo tradicional en una cultura preventiva y analítica.

También te puede interesar
Gestión de la calidad con responsabilidad social: ISO 9001 y ESG
Integrando la gestión del cambio en Sistemas de la Calidad ISO 9001

De acuerdo a lo expresado por ISO 9001:2015, el riesgo se entiende como el efecto de la incertidumbre sobre los objetivos, y se expresa en términos de probabilidad y consecuencias.
Por su parte, una oportunidad se define como una situación o condición que, si se aprovecha, puede generar un resultado positivo para la organización, como el incremento de la eficiencia, la innovación o la satisfacción del cliente.

Gestionar riesgos y oportunidades implica entonces equilibrar lo negativo y lo positivo del contexto organizacional, planificando para evitar fallos e impulsar la mejora continua.

¿Qué implica gestionar riesgos y oportunidades según ISO 9001:2015?

La cláusula 6.1 de la norma ISO 9001:2015 establece que la organización debe determinar los riesgos y oportunidades necesarios para:

  • Asegurar que el SGC logre los resultados previstos.
  • Prevenir, evitar o reducir efectos no deseados.
  • Fomentar la mejora continua.

Esto no implica cumplir con un procedimiento rígido, sino adoptar un enfoque de pensamiento basado en riesgos que de manera transversal atraviese todas las actividades y procesos, desde la planificación estratégica hasta las operaciones diarias, considerando recursos, roles y responsabilidades.

Gestionar riesgos y oportunidades es, por tanto, un proceso continuo, cíclico y sistemático que comprende las etapas: definición del contexto, identificación, análisis, evaluación, tratamiento y seguimiento.

A continuación, se desarrolla cada una de ellas, según la interpretación de Doria, López, Bonilla y Parra (2019).

1. Definición del contexto

En esta etapa se determinan las condiciones, eventos, fenómenos, factores internos y externos que pueden incidir en la capacidad de la organización para alcanzar los objetivos del SGC.

  • Contexto interno: cultura organizacional, estructura organizacional, recursos, procesos, tecnología, clima laboral, entre otros.
  • Contexto externo: mercado, competencia, entorno político, regulaciones, factores ambientales, sociales y tecnológicos, proveedores y partes interesadas.

Una herramienta muy útil para desarrollar esta etapa es el análisis FODA, que permite reconocer las fortalezas, oportunidades, debilidades y amenazas que servirán de base para desarrollar un análisis estratégico.

El propósito es comprender el entorno en el que opera la organización, pues de allí surgen tanto los riesgos como las oportunidades.

2. Identificación de riesgos y oportunidades

En esta fase se buscan los eventos o situaciones que puedan impactar positiva o negativamente en el desempeño del sistema de gestión.

Fuentes de información habituales:

  • Registros históricos, antecedentes.
  • Resultados de auditorías internas o externas.
  • No conformidades y quejas de clientes.
  • Indicadores de desempeño.
  • Cambios tecnológicos o normativos.
  • Experiencia del personal y análisis de procesos.

Preguntas orientadoras que pueden ser respondidas para ayudar a describir los riesgos:

  • ¿Qué eventos o situaciones pueden ocurrir que representen una amenaza para la organización y sus fines?
  • ¿Qué eventos o situaciones pueden ocurrir que representen una oportunidad para la organización y sus fines?
  • ¿Qué cambios podrían representar ventajas competitivas o mejoras?

El resultado de esta etapa es una lista inicial de riesgos y oportunidades potenciales, que luego será analizada en profundidad.

3. Análisis de riesgos: La matriz de riesgos y oportunidades

En esta etapa se examinan los riesgos y oportunidades identificados para determinar su nivel de significancia.
El análisis de riesgos considera dos variables fundamentales: La probabilidad de que ocurra un evento y el impacto o severidad de sus consecuencias.

¿Qué es una matriz de riesgos y oportunidades?

La matriz de riesgos y oportunidades es una herramienta estructurada que permite representar visualmente y clasificar los riesgos en función de su probabilidad e impacto. En términos simples, es una tabla que cruza ambos factores (probabilidad × impacto) para determinar un nivel de riesgo y así priorizar las acciones a tomar.

Su propósito es convertir información compleja en un formato claro y visual, facilitando la comprensión y la toma de decisiones dentro de la organización. Además, la matriz ayuda a cumplir con la cláusula 6.1 de la norma ISO 9001:2015, al demostrar que los riesgos y oportunidades han sido determinados, analizados y priorizados con base en criterios objetivos.

Cómo hacer una matriz de riesgos y oportunidades paso a paso

  • Define las escalas de probabilidad e impacto

El primer paso consiste en definir las escalas de valoración que representarán el grado de probabilidad e impacto de cada evento.
Por ejemplo, al utilizar una matriz 5×5, los valores pueden ir del 1 al 5, de menor a mayor severidad.

Ejemplo de escalas:

  • Probabilidad: rara vez, poco probable, posible, probable, casi seguro.
  • Impacto: insignificante, menor, moderado, mayor, crítico.

¿De dónde se obtienen los valores de probabilidad?

Los valores de probabilidad se determinan a partir de fuentes objetivas, especializadas, tales como registros históricos de incidentes, fallas o no conformidades, análisis de modos y efectos de falla (AMEF), juicios expertos, entre otras. Cuando no existen datos numéricos disponibles, se pueden utilizar escalas cualitativas consensuadas por el equipo de gestión, asegurando consistencia en la evaluación.

  • Calcula el nivel de riesgo

Una vez definidas las escalas, se calcula el nivel de riesgo mediante la fórmula:

Nivel de riesgo= Probabilidad × Impacto 

Este resultado permite cuantificar la severidad o relevancia del riesgo, clasificándolo como bajo, medio o alto según los valores obtenidos. Esta etapa es clave para priorizar acciones dentro de la planificación estratégica del SGC.

  • Construye el mapa de calor

La información se representa gráficamente en un mapa de calor, donde cada celda combina un nivel de probabilidad con uno de impacto.
Los colores indican la prioridad del tratamiento del riesgo:

  • Verde: riesgo bajo o aceptable.
  • Amarillo: riesgo moderado (requiere monitoreo).
  • Rojo: riesgo alto o crítico (demanda acción inmediata).

El mapa de calor facilita la interpretación y la comunicación visual de los riesgos en toda la organización.

4. Evaluación de riesgos

La evaluación de riesgos consiste en comparar los resultados del análisis con los criterios de aceptabilidad definidos por la organización, de esta manera se determinan cuáles riesgos requieren tratamiento inmediato, cuáles pueden aceptarse, y qué oportunidades deben potenciarse.

Los criterios de evaluación son los niveles predefinidos de aceptabilidad del riesgo, suelen clasificarse en:

  • No aceptable (crítico): requiere acción inmediata.
  • Moderado (tolerable): requiere control o seguimiento.
  • Aceptable: se puede asumir o monitorear.

Esta fase persigue priorizar los riesgos y oportunidades que demandan intervención, estableciendo el orden de atención. La matriz de riesgos y oportunidades se convierte en una herramienta visual que facilita esta priorización: los riesgos ubicados en las zonas rojas representan condiciones críticas que deben ser atendidas con prioridad o evitadas; aquellos en zonas amarillas requieren la aplicación de estrategias de transferencia o mitigación, y las verdes pueden considerarse aceptables o de seguimiento, según la política de la organización. (Ver Figura 1. La Matriz de Riesgos)

El resultado de esta evaluación servirá como insumo para la siguiente fase: el tratamiento de riesgos y oportunidades, en la que se definirán las medidas concretas de respuesta y su integración en los planes del SGC.

Criterios recomendados para priorizar:

  • Impacto en los objetivos de calidad.
  • Costo o esfuerzo de mitigación.
  • Frecuencia o recurrencia esperada.
  • Efecto sobre la satisfacción del cliente.

5. Tratamiento de riesgos y oportunidades

Una vez identificados, analizados y evaluados los riesgos y oportunidades, la organización debe planificar e implementar acciones concretas para su tratamiento.
Estas acciones deben integrarse en los procesos del SGC y formar parte de la planificación estratégica.

Opciones comunes de tratamiento:

  • Evitar el riesgo: eliminando su causa.
  • Reducir/ Mitigar el riesgo: disminuyendo su probabilidad o impacto mediante controles.
  • Transferir el riesgo: delegando su gestión (por ejemplo, seguros o alianzas).
  • Aceptar el riesgo: cuando es tolerable y su tratamiento no resulta viable.

En el caso de las oportunidades, la estrategia se orienta a aprovechar o potenciar los beneficios que estas ofrecen.
Cada acción debe estar documentada, asignando responsables, recursos, plazos y métodos de seguimiento.

6. Seguimiento y revisión

Los riesgos y oportunidades deben monitorearse y revisarse de forma continua, ya que las condiciones internas y externas cambian con el tiempo.
Este seguimiento permite:

  • Verificar la eficacia de las acciones implementadas.
  • Detectar nuevos riesgos emergentes.
  • Ajustar la matriz y los planes de mitigación.

De esta manera, la gestión de riesgos se convierte en un proceso dinámico, alineado con la filosofía de mejora continua de la ISO 9001:2015.

Gestión de riesgos según ISO 9001: La Matriz de Riesgos
Figura 1. Imagen representativa de la Matriz de Riesgos.

Beneficios de la gestión de riesgos según ISO 9001:2015

Cada organización gestiona los riesgos de acuerdo a sus características propias, riesgos inherentes a su naturaleza y operaciones, así como también de acuerdo al sector donde se desenvuelve. 

De manera general, gestionar los riesgos en el marco de la ISO 9001:2015 contribuirá en mayor o en menor medida, de acuerdo al impacto que estos riesgos representan, en aspectos como:

  • Mayor satisfacción del cliente y cumplimiento de requisitos ISO.
  • Reducción de pérdidas financieras y operativas.
  • Análisis del sistema de producción, optimizando procesos y tiempos de respuesta.
  • Selección de proveedores más confiables.
  • Incremento de la confiabilidad organizacional y la reputación.
  • Fomento de la innovación al convertir riesgos en oportunidades.
  • Cultura preventiva que fortalece la toma de decisiones y la mejora continua.

Conclusiones

La gestión de riesgos y oportunidades en el marco de la ISO 9001:2015 no es un requisito documental, sino un principio de gestión estratégica que impulsa la excelencia organizacional.

El uso de herramientas como la matriz de riesgos y oportunidades, en coherencia con la cláusula 6.1, permite a las organizaciones prevenir desviaciones, aprovechar oportunidades y asegurar el cumplimiento de los objetivos del SGC.

Adoptar el enfoque basado en riesgos significa decidir con anticipación, actuar con conocimiento y mantener un sistema resiliente ante los cambios del entorno.

Si deseas fortalecer tus competencias en este ámbito y dominar la aplicación práctica de los requisitos ISO 9001:2015, explora los cursos y diplomados de Inspenet Academy, diseñados para profesionales del sector industrial y energético que buscan liderar la calidad con visión analítica y estratégica.

Puedes complementar más acerca de la matriz de riesgos consultando el siguiente artículo: Desarrollo de la matriz de riesgos y oportunidades en ISO 9001.

Referencias

  1. Pirani Academy (2024). Guide to implement a risk management system, according to ISO 31000. https://www.piranirisk.com/es/academia/especiales/guia-del-sistema-de-gestion-de-riesgos-iso-31000
  2. Doria-Parra, A., López-Benavidez, L., Bonilla-Ferrer, M. & Parra-Cera, G. (2019). Methodology for the implementation of risk management in a quality management system. Signos. Research in
  3. Management Systems, 12(1), 123-135. DOI: https://doi.org/10.15332/24631140.5424
    ISOTOOLS. ISO Standards for Enterprise Risk Management. https://www.isotools.us/2022/02/17/normas-iso-para-la-gestion-de-riesgos-corporativos/

Reportar

Harassment or bullying behavior
Contains mature or sensitive content
Contains misleading or false information
Contains abusive or derogatory content
Contains spam, fake content or potential malware

Block Member?

Please confirm you want to block this member.

You will no longer be able to:

  • See blocked member's posts
  • Mention this member in posts
  • Invite this member to groups
  • Message this member
  • Add this member as a connection

Please note: Esta acción también eliminará a este miembro de sus conexiones y enviará un informe al administrador del sitio. Please allow a few minutes for this process to complete.

Reportar

Ya has reportado esto .