Cómo aplicar el punto 6.1 de ISO 9001 con análisis de riesgos

Uno de los aspectos clave para garantizar la eficacia de un Sistema de Gestión de la Calidad (SGC) bajo ISO 9001:2015 es la correcta identificación de riesgos y oportunidades. Este tema está contemplado en el punto 6.1 de ISO 9001, el cual establece que la organización debe determinar los riesgos y oportunidades que necesita abordar para asegurar que el sistema pueda lograr sus resultados previstos, prevenir efectos no deseados y lograr la mejora continua.

Para muchas PYMES, este punto representa un reto porque no se trata de implementar un sistema de gestión de riesgos complejo, sino de integrar el pensamiento basado en riesgos de forma proporcional al contexto de la empresa. El problema suele ser que no se sabe cómo cumplir con análisis de riesgos, qué profundidad aplicar, o qué ejemplos pueden presentarse en una auditoría.

Este artículo te guía paso a paso para aplicar correctamente el punto 6.1 de ISO 9001 en tu organización, con ejemplos prácticos de aplicación en PYMES de diferentes sectores, y con herramientas sencillas pero efectivas para cumplir con la norma sin complicaciones.

¿Qué exige exactamente el punto 6.1 de ISO 9001?

El texto de la norma indica que la organización debe:

• Determinar los riesgos y oportunidades que pueden afectar el logro de los objetivos del sistema de gestión de la calidad.

• Planificar acciones para abordar esos riesgos y oportunidades.

• Integrar e implementar estas acciones en sus procesos del SGC.

• Evaluar la eficacia de estas acciones.

Es decir, no basta con identificar riesgos: también se debe demostrar que se han planificado, ejecutado y evaluado las acciones tomadas en consecuencia. Esto implica evidencias documentadas, seguimiento y revisión en las reuniones de revisión por la dirección o auditorías internas.

Cómo cumplir con análisis de riesgos sin complicarse

A diferencia de otras normas como ISO 31000 o ISO 27001, en ISO 9001 no es obligatorio tener un proceso formal de gestión de riesgos, pero sí debe demostrarse que el pensamiento basado en riesgos está presente y activo.

¿Cómo cumplir con análisis de riesgos ISO en la práctica?

1. Identifica los procesos clave de tu SGC (ej. compras, producción, atención al cliente, entrega, servicio posventa).

2. Para cada uno, analiza posibles eventos que podrían:

   • Impedir lograr la calidad esperada.

   • Generar incumplimientos legales o contractuales.

   • Afectar la satisfacción del cliente.

3. Evalúa la probabilidad e impacto de cada evento.

4. Clasifica los riesgos según criticidad (bajo, medio, alto).

5. Define acciones para mitigar o eliminar los riesgos significativos.

6. Monitorea si estas acciones están funcionando.

Todo este análisis puede documentarse en una tabla o matriz sencilla que puedes presentar como evidencia.

Ejemplos punto 6.1 aplicados en PYMES

Ejemplo 1: Empresa textil

• Riesgo identificado: falla en la entrega de materia prima importada.

• Impacto: retraso en pedidos clave para cliente mayorista.

• Acción: definir proveedor alterno nacional, mantener stock de seguridad.

• Seguimiento: reporte mensual de cumplimiento de entregas.

Ejemplo 2: PYME de servicios de calibración

• Riesgo identificado: pérdida o daño de equipos durante traslado.

• Impacto: cancelación de servicios y reclamos.

• Acción: capacitación al personal de campo + checklist de transporte seguro.

• Seguimiento: monitoreo de incidentes mensuales.

Ejemplo 3: Fábrica de envases plásticos

• Riesgo identificado: obsolescencia de máquinas que afecta consistencia del producto.

• Impacto: devoluciones por deformación de envases.

• Acción: programa de mantenimiento preventivo y plan de renovación gradual.

• Seguimiento: control estadístico de producción (rejillas, lotes, peso).

En cada uno de estos casos se puede demostrar cómo se aplicó el pensamiento basado en riesgos de forma coherente con los recursos y contexto de la organización.

¿Dónde documentar el análisis de riesgos?

Aunque no es obligatorio mantener un documento específico titulado “análisis de riesgos”, en la práctica es altamente recomendable tenerlo documentado para demostrar cumplimiento.

Puedes usar alguno de los siguientes formatos:

• Matriz de riesgos por proceso.

• Parte de tu mapa de procesos.

• Documento de planificación del sistema (junto a objetivos).

• Registros de revisión por la dirección donde se analicen riesgos estratégicos.

Además, muchas empresas integran los riesgos dentro de sus indicadores de desempeño, permitiendo medir de forma indirecta su control o mitigación.

Buenas prácticas para mantener vigente el análisis

• Revisa y actualiza los riesgos al menos una vez al año o cuando cambie el contexto (nuevos productos, clientes, proveedores).

• Integra el análisis de riesgos en reuniones de mejora continua o planificación estratégica.

• Capacita a tu equipo para que entienda cómo su área contribuye a controlar riesgos.

• Usa lenguaje claro: no es necesario usar términos técnicos si no aplican a tu empresa.

• No exageres: tu matriz debe ser realista y útil, no extensa por cumplir.

¿Qué buscan los auditores al revisar el punto 6.1?

Durante una auditoría externa, es probable que el auditor quiera ver:

• Qué riesgos y oportunidades has identificado.

• Cómo decidiste qué acciones tomar.

• Dónde integraste esas acciones en tu sistema.

• Qué resultados has tenido.

Si puedes responder con claridad y mostrar evidencias concretas (matriz, reportes, minutas), estás cumpliendo.

Conclusión

Aplicar el punto 6.1 de ISO 9001 no requiere un sistema complejo de gestión de riesgos, pero sí exige un enfoque real, coherente y documentado. Al usar herramientas sencillas y ejemplos alineados con la operación de tu PYME, puedes cumplir con este requisito de forma efectiva y con valor para la empresa.

Recuerda: el objetivo no es solo aprobar la auditoría, sino tomar decisiones informadas que prevengan problemas y te permitan mejorar constantemente.