En 2015, ISO 9001 eliminó las "acciones preventivas" como cláusula independiente. No fue porque dejaran de importar, sino porque la norma decidió que prevenir debía estar en todas partes, no encerrado en un procedimiento aislado. Así se consolidó, como eje de la versión 2015, el enfoque basado en riesgos en ISO 9001.
Si llegaste buscando el enfoque basado en riesgos en ISO 9001, este artículo va más allá de la teoría. Está pensado para quien debe aplicarlo en un sistema real: aquí entenderás qué es el pensamiento basado en riesgos, por qué la norma habla de riesgos y oportunidades juntos, cómo identificarlos, evaluarlos y abordarlos paso a paso, y qué cambiará con la futura versión 2026.
¿Qué es el enfoque basado en riesgos en ISO 9001?
El enfoque basado en riesgos en ISO 9001 es la consideración sistemática del riesgo a lo largo de todo el sistema de gestión de la calidad: anticipar lo que podría afectar el logro de los objetivos y actuar antes de que el problema ocurra. La norma lo eleva a principio rector, no a una tarea más.
El pensamiento basado en riesgos sustituyó a las acciones preventivas explícitas de la versión 2008. Hasta entonces, la prevención vivía en un procedimiento aparte; desde 2015, la prevención está integrada en la planificación de cada proceso. La norma asume que toda organización que piensa en riesgos ya está previniendo, sin necesidad de un trámite separado.
El riesgo, según ISO 9000, es el efecto de la incertidumbre, y ese efecto puede ser negativo o positivo. Un riesgo no es solo una amenaza: la misma incertidumbre que puede dañar un objetivo también puede abrir una oportunidad. Entender esa doble cara es la clave para no reducir el enfoque basado en riesgos a "hacer una lista de cosas malas".
ISO 9001 no exige una metodología formal de gestión de riesgos. La norma pide determinar y abordar los riesgos y oportunidades, pero no obliga a usar una técnica concreta, un software ni un formato específico. Esa libertad es deliberada: el enfoque basado en riesgos debe adaptarse al tamaño y la complejidad de cada organización.
🧩 Pregunta de experto "Soy responsable de calidad en una empresa de manufactura. ¿Cuál es la diferencia entre el enfoque basado en riesgos de ISO 9001 y la gestión de riesgos de ISO 31000?" ISO 9001 te pide pensar en riesgos dentro del SGC, sin imponer una metodología; ISO 31000 es un marco completo con proceso, criterios y técnicas. ISO 9001 exige el resultado —abordar riesgos y oportunidades—; ISO 31000 ofrece el "cómo" detallado si decides profundizar.
Riesgos y oportunidades: las dos caras de la incertidumbre
ISO 9001 habla de riesgos y oportunidades como un par inseparable porque ambos nacen de la misma fuente: la incertidumbre sobre el futuro. Un riesgo es el efecto que puede alejarte de tus objetivos; una oportunidad es el efecto que puede acercarte a ellos o mejorarlos. Tratarlos juntos obliga a mirar cada situación por sus dos lados.
Un mismo hecho suele ser riesgo y oportunidad a la vez. La entrada en vigor de una nueva regulación, por ejemplo, es un riesgo (incumplir y ser sancionado) y una oportunidad (cumplir antes que la competencia y ganar un mercado). El enfoque basado en riesgos en ISO 9001 entrena a la organización para ver ambas caras en lugar de quedarse solo con el miedo.
La gestión de riesgos en ISO 9001 no busca eliminar toda incertidumbre, algo imposible, sino tomar decisiones conscientes sobre ella. Aceptar un riesgo menor de forma deliberada es una decisión válida; ignorarlo por no haberlo analizado no lo es. La diferencia entre ambas situaciones es justamente lo que la norma quiere que documentes.
Cómo aplicar el enfoque basado en riesgos paso a paso
Aplicar el enfoque basado en riesgos en la práctica se reduce a un ciclo de cuatro pasos que se repite, no a un documento que se archiva. El análisis de riesgos del SGC vive mientras la organización opera, y se actualiza cada vez que algo cambia.
El primer paso es identificar. La identificación de riesgos parte del contexto de la organización, de las partes interesadas y de las salidas de cada proceso: ¿qué podría impedir que este proceso entregue lo que debe? Un riesgo bien identificado siempre se ata a un objetivo o a un resultado concreto, nunca flota en abstracto.
El segundo paso es evaluar. La evaluación prioriza los riesgos según su probabilidad y su impacto, para concentrar el esfuerzo donde más importa. ISO 9001 no impone una escala, así que cada organización define la suya: basta con que el criterio sea coherente y permita comparar un riesgo con otro.
El tercer paso es abordar. Frente a un riesgo, las opciones que la norma sugiere son evitarlo, reducir su probabilidad o impacto, compartirlo con un tercero o asumirlo de forma consciente. Frente a una oportunidad, la acción es perseguirla. Cada acción necesita un responsable y un plazo, o se queda en buena intención.
El cuarto paso es revisar. Los riesgos cambian, así que el análisis se revisa ante cualquier cambio relevante, cuando algo falla y en la revisión por la dirección. Un mapa de riesgos que no se actualiza en un año describe una empresa que ya no existe.
El Curso de Gestión de la Calidad e ISO 9001 de Certhana Academy trabaja este ciclo con casos reales por sector, porque la diferencia entre aprobar una auditoría y gestionar de verdad está en saber abordar riesgos, no solo en saber listarlos.
Dónde exige ISO 9001 el enfoque basado en riesgos
El enfoque basado en riesgos no está confinado a una sola cláusula: recorre toda la norma. Conocer dónde aparece evita el error de pensar que basta con "rellenar la cláusula 6.1" para cumplir.
| Cláusula | Qué exige sobre riesgos y oportunidades |
|---|---|
| 4.1 y 4.2 — Contexto y partes interesadas | Determinar las cuestiones internas y externas y las expectativas que generan riesgos y oportunidades |
| 5.1.2 — Liderazgo y enfoque al cliente | Asegurar que se determinan y abordan los riesgos y oportunidades que afectan la conformidad del producto o servicio |
| 6.1 — Planificación (núcleo) | Planificar las acciones para abordar los riesgos y oportunidades e integrarlas en los procesos del SGC |
| 9.1 y 9.3 — Evaluación y revisión por la dirección | Analizar la eficacia de las acciones tomadas frente a los riesgos y oportunidades |
| 10.2 — No conformidades y mejora | Actualizar los riesgos y oportunidades determinados cuando aparece una no conformidad |
El corazón del requisito está en la cláusula 6.1, "Acciones para abordar riesgos y oportunidades". El resto de la norma alimenta o usa ese análisis: el contexto y las partes interesadas (Capítulo 4) son la materia prima, y la evaluación del desempeño (Capítulo 9) comprueba si las acciones funcionaron.
🧩 Pregunta de experto "Soy responsable de calidad en una pyme de servicios. Un auditor me pidió 'la matriz de riesgos'. ¿ISO 9001 obliga a tener una matriz de riesgos formal?" No. ISO 9001:2015 exige determinar y abordar riesgos y oportunidades, pero no obliga a una metodología documentada ni a una matriz con un formato específico. Debes demostrar cómo los abordaste; la herramienta es tu elección. Una matriz ayuda a organizar, pero es un medio, no un requisito de la norma.
Hacia ISO 9001:2026: riesgo y oportunidad por separado
El enfoque basado en riesgos no desaparece en la próxima versión de la norma: se vuelve más explícito. El borrador internacional (DIS) de ISO 9001:2026 se publicó el 27 de agosto de 2025, el borrador final (FDIS) se sometió a votación hacia abril de 2026 y la publicación definitiva sigue prevista para septiembre de 2026.
El cambio que más afecta a este tema está en el Capítulo 6. La versión 2026 reestructura la cláusula 6.1 en subcláusulas (6.1.1 a 6.1.3) para separar con claridad las acciones frente a los riesgos de las acciones para perseguir oportunidades. El motivo es práctico: agrupar ambos bajo un mismo proceso solía hacer que las organizaciones se concentraran en mitigar amenazas y descuidaran las oportunidades.
El concepto de pensamiento basado en riesgos en sí no cambia. La norma solo hace más evidente que los objetivos y las acciones para los riesgos deben distinguirse de los de las oportunidades, algo que un SGC bien diseñado ya debería hacer. Quien hoy aplica bien el enfoque de 2015 llega a 2026 con ventaja, no con una deuda.
Formarte ahora en ISO 9001:2015 sigue siendo la decisión correcta. La versión 2015 continúa vigente y es la mejor base para una transición sencilla, y los certificados actuales siguen siendo plenamente válidos durante el periodo de transición. Puedes profundizar en todos los cambios en nuestra guía sobre ISO 9001:2026.
Errores comunes al aplicar el enfoque basado en riesgos
La mayoría de los problemas con el enfoque basado en riesgos no vienen de no entenderlo, sino de aplicarlo como un trámite. Reconocer estos errores evita que el análisis de riesgos del SGC se convierta en papel muerto.
-
Creer que ISO 9001 obliga a una matriz de riesgos formal. Ocurre porque algunos auditores o consultores la piden por costumbre. Se evita recordando que la norma exige abordar riesgos y oportunidades, no adoptar un formato concreto.
-
Copiar riesgos genéricos no atados a procesos. Ocurre al intentar "llenar" la matriz para la auditoría. Se evita derivando cada riesgo de un objetivo o de la salida de un proceso real.
-
Identificar riesgos y no definir acciones. Ocurre al confundir el análisis con el tratamiento. Se evita asignando a cada riesgo relevante una acción con responsable y plazo.
-
Mirar solo el lado negativo e ignorar las oportunidades. Ocurre porque la palabra "riesgo" se asocia únicamente a amenaza. Se evita evaluando también el lado positivo de cada incertidumbre.
-
Hacer el análisis una vez y archivarlo. Ocurre al tratarlo como un requisito de papeleo. Se evita revisando los riesgos ante cambios y en la revisión por la dirección.
| Error frecuente | Por qué ocurre | Cómo evitarlo |
|---|---|---|
| Creer que ISO 9001 obliga a una matriz de riesgos formal | Algunos auditores o consultores la piden por costumbre | Recordar que la norma exige abordar riesgos y oportunidades, no adoptar un formato concreto |
| Copiar riesgos genéricos no atados a procesos | Se intenta "llenar" la matriz para la auditoría | Derivar cada riesgo de un objetivo o de la salida de un proceso real |
| Identificar riesgos y no definir acciones | Se confunde el análisis con el tratamiento | Asignar a cada riesgo relevante una acción con responsable y plazo |
| Mirar solo el lado negativo e ignorar las oportunidades | La palabra "riesgo" se asocia únicamente a amenaza | Evaluar también el lado positivo de cada incertidumbre |
| Hacer el análisis una vez y archivarlo | Se trata como un requisito de papeleo | Revisar los riesgos ante cambios y en la revisión por la dirección |
Preguntas frecuentes sobre el enfoque basado en riesgos en ISO 9001
¿ISO 9001 obliga a tener una matriz de riesgos?
¿Cuál es la diferencia entre pensamiento basado en riesgos y gestión de riesgos?
¿Qué cláusula de ISO 9001 habla de riesgos?
¿Cómo aprendo a aplicar el enfoque basado en riesgos en mi empresa?
Conclusión
El enfoque basado en riesgos en ISO 9001 transforma la calidad de reactiva en preventiva: en lugar de apagar incendios, la organización anticipa lo que puede salir bien o mal y actúa antes. Dominar el ciclo de identificar, evaluar, abordar y revisar —mirando siempre riesgos y oportunidades— es lo que separa a quien gestiona de quien improvisa.
La próxima versión de la norma solo refuerza esta lógica al separar con más claridad riesgo y oportunidad. Da el siguiente paso y aprende a aplicar el enfoque basado en riesgos sobre procesos reales, una de las competencias más buscadas en gestión de la calidad.



