Novedades ISO 9001 2015 - (PG 56 - 99)

Es
decir, la norma adopta estos términos para mayor claridad y para facilitar el
manejo y comprensión de la norma, pero no obliga a la empresa a utilizarlos.
Por ejemplo, en el sector salud es habitual encontrar el término protocolo para

identificar a los documentos que describen cómo llevar a cabo un tratamiento o un
ensayo en lugar de procedimientos o instrucciones.
Las principales diferencias entre la versión 2008 y la versión 2015 de la norma, se

indican en la tabla siguiente.
Ejemplos de términos que han sido modificados
Es par ticularmente destacable la desaparición del concepto EXCLUSIÓN que

pasa a ser sustituido por la NO APLICABILIDAD de algún apartado, puesto que el
cambio más allá de la simple expresión: en la norma ISO 9001:2008 las
exclusiones se limitaban a la Cláusula 7 mientras que en la norma ISO
9001:2015 no existe ninguna limitación a la hora de declarar la no aplicabilidad.
Aunque son términos similares, en la práctica se aplican de forma diferente.
Copyright © 2016. FC Editorial. All rights reserved.
Diferencia entre EXLUSIÓN y NO APLICABILIDAD
5.2. NUEVOS CONCEPTOS
A continuación se destacan algunos de los conceptos más novedosos de la

norma.
López, Lemos, Paloma. Novedades ISO 9001: 2015, FC Editorial, 2016. ProQuest Ebook Central, http://ebookcentral.proquest.com/lib/unadsp/detail.action?docID=4824522.
Created from unadsp on 2018-03-15 06:52:50.
5.2.1. Información documentada
Uno de los cambios más llamativos es el relativo a la documentación del sistema.

Desaparecen términos clásicos relativos a la documentación como documentos,
procedimientos documentados, instrucciones de trabajo y registros y son sustituidas
por un único concepto denominado información documentada con el cual la norma
se refiere a cualquier documento involucrado en el sistema.
Ejemplos de documentos que conforman la información documentada
Este cambio ha suscitado bastantes dudas a la hora de interpretar correctamente

los requisitos de la norma que se refieren explícitamente a que deba existir
información documentada relativa a algún proceso.
En la anterior versión de la norma, esta hablaba claramente de procedimientos
documentados y hacía referencia al apartado 4.2.4 Control de los registros, cuando
exigía la existencia de un registro para proporcionar evidencia de algún proceso o
actividad.
Se debe establecer un procedimiento documentado para definir las

responsabilidades y los requisitos para planificar y realizar las auditorías,
establecer los registros e informar de los resultados.
Deben mantenerse registros de las auditorías y de sus resultados (véase 4.2.4).

Extracto del apartado 8.2.2 Auditorías internas de ISO 9001:2008
Lógicamente, para cualquier organización que quiera implementar un sistema de

gestión acorde a la norma, es esencial conocer cuál es la extensión mínima que debe
tener el sistema documental, tanto a nivel de documentos soporte como de registros.
Pues bien, la forma correcta de identificar la documentación mínima obligatoria
exigida por la norma ISO 9001:2015 es la siguiente:
• Donde la norma ISO 9001:2008 hacía referencia a la necesidad de que existiese
un procedimiento documentado, ahora la norma ISO 9001:2015 indica la
necesidad de mantener la información documentada (maintain en la versión
original en inglés).
• Donde la norma ISO 9001:2008 hacía referencia a la necesidad de que existiese
un registro, ahora ISO en 9001:2015 se expresa como un requisito para
conservar información documentada (retain en la versión original en inglés).
• Donde la norma ISO 9001:2015 hace referencia a información en lugar de
información documentada, quiere decir que no existe requisito alguno de que
esa información se tenga que documentar y es la organización la que decide si es
o no apropiado hacerlo.
A continuación se muestran algunos ejemplos en los que se encuentran estas
expresiones.
Ejemplos de requisitos de la norma ISO 9001:2015 que hacen referencia a información documentada
En el Anexo II Lista de referencias a información documentada en ISO

9001:2015 se enumeran todas las ocasiones en las que esta versión de la norma
alude a la obligatoriedad de disponer de información documentada, sea en forma de
procedimiento o registro.
5.2.2. Productos y servicios
La norma ISO 9001 está orientada a empresas de todo tipo y sector. Las
anteriores versiones de la norma empleaban el término productos si bien se indicaba
que se debía entender como referido tanto a productos como a servicios.
En la mayoría de los casos, las empresas que fabrican un producto, también
suelen prestar un servicio (instalación, puesta en marcha, formación para el uso,
reparación, mantenimiento, garantía post-venta…) con lo que la mayoría de outputs
que las organizaciones ofrecen a sus clientes combinan estos dos aspectos.
La actual versión de la norma ha sustituido la referencia a productos por
productos y servicios en todos los casos.
5.2.3. Partes interesadas
Las partes interesadas, o grupos de interés (o stakeholders) son aquellas

personas, empresas o entidades de todo tipo que pueden afectar o ser afectadas
por la actividad de la organización, bien sea de forma positiva (obteniendo algún
beneficio) o negativamente (perjudicando o siendo perjudicadas por esta).
Ejemplos de partes interesadas o grupos de interés
Este no es un concepto nuevo en el mundo de la calidad, aunque sí es la primera

vez que es utilizado por la norma ISO 9001:2015 que hasta ahora se ceñía a la
existencia de personal —entiéndase, de la propia organización—, clientes y
proveedores.
Uno de los elementos clave de la nueva norma es precisamente identificar las
partes interesadas (o grupos de interés), sus requisitos, necesidades y expectativas,
con el objetivo estratégico de construir relaciones de beneficio mutuo hacia ellas.
5.2.4. Enfoque basado en el riesgo
Otro concepto que aparece por primera vez en la norma ISO 9001 es el
pensamiento basado en el riesgo. Este concepto, —que se analiza con detalle en
el capítulo 6 de este libro— se presenta en el apar tado 0.3.3 Pensamiento basado
en riesgos de la norma y se describe ampliamente en el Anexo A de la misma (Apar
tado A.4 Pensamiento basado en riesgos).
Este despliegue “explicativo” ya da una idea sobre la importancia que este nuevo
concepto tiene para la nueva versión de la norma.
En esencia, el enfoque basado en el riesgo consiste en considerar el sistema de
gestión como una herramienta preventiva en sí misma, de manera que la
planificación de todo el sistema —incluida la decisión sobre mantener o conservar
información documentada— se fundamente en un análisis de los riesgos existentes y
las mejores alternativas para eliminarlos, o si eso no es posible, mitigarlos hasta
niveles aceptables para la organización.
Este concepto no es nuevo para otras normas de sistemas de gestión alineadas

con el Anexo SL que ya incluyen el análisis de los riesgos como pilar fundamental de
la planificación del sistema: por ejemplo, ISO 28000 Sistemas de gestión de la
seguridad de la cadena de suministro o ISO 22301 Sistemas de gestión de la
continuidad de negocio.
Antes de la publicación del Anexo SL y la difusión de la Estructura de Alto Nivel,

otras normas de gestión también incluían el análisis de riesgos en sus requisitos;
entre otras: OHSAS 18001 Sistemas de gestión de la seguridad y la salud de las
personas, ISO 22000 Sistemas de gestión de la inocuidad alimentaria, ISO
13485 Sistemas de gestión de calidad para el sector de los productos sanitarios,
ISO/TS 16949 Sistemas de gestión de calidad para el sector automovilístico.
En el capítulo 6 se aborda con profundidad este nuevo aspecto de la norma.
CAPÍTULO 6.
PENSAMIENTO BASADO EN EL RIESGO

6.1. INTRODUCCIÓN
Los conceptos riesgo, amenaza, incertidumbre… son palabras que nos causan
sensaciones negativas y que de forma prácticamente instintiva, nos hacen buscar
maneras de evitarlos.
No obstante, el riesgo es, en mayor o menor medida, un componente inherente
de la existencia.
Cuando cruzamos una calle, podemos elegir varias opciones: atravesar la calle
en línea recta, buscar un paso de cebra no regulado o un paso de cebra regulado
por semáforo con buena visibilidad… cada una de estas opciones, implica
diferentes peligros y genera diferentes niveles de riesgo.
En este proceso de decisión, y de forma inconsciente, identificamos los peligros

existentes y hacemos un rápido análisis de los riesgos (que nos atropelle un
vehículo si cruzamos en línea recta o que un vehículo se salte un semáforo en rojo
si decidimos finalmente buscar un paso de cebra regulado…).
El apetito por el riesgo del usuario, su disponibilidad de recursos (su estado físico
y el tiempo del que disponga, por ejemplo) y la relación final riesgo/beneficio
serán los parámetros que influyan a la hora de tomar una decisión u otra.
Una vez nos lanzamos a la carretera, estamos gestionando los riesgos

existentes porque los hemos identificado, analizado y controlado y asumimos que
el riesgo residual es tolerable.
De no hacerlo, el resultado puede ser que no lleguemos nunca a atravesarla…

Todos debemos convivir con riesgos e incertidumbres, luego debemos aprender a
gestionarlos para que el instinto natural de evitarlos no nos lleve a la paralización y en
lo que se refiere a la vida de las empresas, al no emprendimiento, falta de innovación
y obsolescencia.
6.2. DEFINICIÓN DE RIESGO E INCERTIDUMBRE
La definición de RIESGO la encontramos en la nueva versión de la norma ISO

9000:2015 de fundamentos y vocabulario, y aunque se trata de una definición
bastante sencilla, se aclara con varias notas complementarias que ayudan a
comprender mejor su significado.
Definición de riesgo en ISO 9000:2015

NOTA 1: Un efecto es una desviación de lo esperado, positiva o negativa.
NOTA 2: La incertidumbre es el estado, aunque sea parcial, de la deficiencia de

información relacionada con la comprensión o el conocimiento de un evento, su
consecuencia o su probabilidad.
NOTA 3: El riesgo se caracteriza a menudo por referencia a posibles eventos y

consecuencias o una combinación de estos.
NOTA 4: El riesgo se expresa a menudo en términos de una combinación de las

consecuencias de un evento (incluyendo cambios en las circunstancias) y la
probabilidad asociada de ocurrencia.
No debemos confundir el riesgo con la incertidumbre, ya que son conceptos

diferentes.
• El riesgo se presenta cuando una variable puede tomar distintos valores, pero se
dispone de información suficiente para conocer las probabilidades asociadas a
cada uno de estos valores.
Cuando decidimos cruzar la calle con el semáforo en rojo, sabemos cuáles son
las consecuencias y la gravedad de las mismas y se pueden emprender acciones
que permitan eliminar el riesgo o al menos, disminuir su probabilidad o mitigar
sus consecuencias, como mirar a ambos lados para comprobar que en ese
momento no pasen vehículos o al menos, podamos estimar si disponemos de
tiempo suficiente para hacerlo: no elimina el riesgo pero lo reduce a límites más
que aceptables.
• La incertidumbre es la imperfección en el conocimiento sobre el estado o los

procesos de la naturaleza y se caracteriza porque los distintos escenarios fruto
de una estrategia no son conocidos y por tanto, su probabilidad de ocurrencia
no es cuantificable.
Esto genera una situación de desconocimiento de lo que ocurrirá en el futuro. Es
el concepto opuesto a la certeza.
Por ejemplo, cuando un director general de una empresa internacional que cotiza
en bolsa decide repentinamente dimitir de su puesto, esto tiene un efecto
inmediato en su cotización, debido a la incertidumbre que esto suscita entre los
inversores… es difícil estimar la probabilidad de un suceso de este tipo y más aún
calibrar las consecuencias.
La incertidumbre exige un ejercicio de valoración basado en la experiencia, la

información que esté en nuestra mano y la intuición en lugar de datos objetivos.
Diferencias entre riesgo e incertidumbre
6.2.1. Gestión del riesgo
Las organizaciones deben ser conscientes de que existe un riesgo en todos sus
procesos y actividades. Sin aceptar esta premisa, con toda probabilidad la mayoría
de los negocios desaparecerían, pues ignorar los riesgos supone no controlarlos.
Hemos visto que el riesgo es el efecto que tiene la incertidumbre en el camino de
la compañía hacia sus metas y objetivos... las empresas que realmente tienen éxito,
no son aquellas que no asumen riesgos sino aquellas que trabajan en comprender
cuáles son estas incertidumbres, identificar los posibles riesgos que pueden
ocasionar y gestionarlos adecuadamente.
Un riesgo existe en el futuro y acaba por ser un problema si no es
adecuadamente gestionado y controlado en el presente.
Pero, ¿en qué consiste realmente la gestión del riesgo?

La gestión del riesgo es un proceso sistemático para identificar y evaluar —
antes de que ocurran— todos los posibles peligros, problemas o sucesos que
pueden acabar por generar un riesgo que afecte al éxito de una organización en lo
que a alcanzar sus objetivos se refiere, así como el proceso de establecer
procedimientos y emprender acciones que permitan evitar los riesgos, minimizar su
impacto o reducir sus consecuencias hasta que estas sean asumibles para la
organización.
Etapas en la gestión del riesgo
Estos sucesos pueden provenir del exterior (por ejemplo, cambios en las
necesidades y expectativas de los clientes, cambios en las tendencias económicas,
inclusión en nuevos mercados, problemas con los proveedores, surgimiento de
empresas más competitivas, dificultades en la financiación externa, cambios en la
legislación...) pero también pueden surgir del interior de la organización (problemas
con las competencias o certificaciones del personal, equipos obsoletos, cambios en
la estructura de la organización…).
Factores de riesgo
Cuando estos sucesos interfieren en el camino hacia el éxito de la compañía (o al

menos, parece que pudiera llegar a ocurrir) entonces existe un riesgo.
En el fondo, la gestión del riesgo se puede condensar en tres sencillas
preguntas...
Preguntas básicas para empezar a gestionar un riesgo
La capacidad para identificar y hacer frente a los riesgos por parte de una
organización es, a menudo, indicativa de su grado de adaptación a los cambios.
El proceso de análisis de riesgos ayuda a las empresas a identificar posibles
potenciales eventos adversos, ser más proactivas, disponer de procedimientos de
respuesta y en definitiva, a disminuir las “sorpresas” que afecten al negocio y pueden
llegar a ocasionar cuantiosas pérdidas, tanto económicas como de imagen.
Para ser efectiva, la gestión del riesgo debe ser integrada en los procesos de
negocio de forma que facilite información relevante y en el momento adecuado
sobre los riesgos a la dirección de la organización.
6.3. PENSAMIENTO BASADO EN EL RIESGO
En ediciones anteriores de la norma, ya existía un cierto enfoque preventivo, pues

era requisito establecer un proceso de gestión de las “acciones preventivas”,
entendiendo como tales aquellas que servían para controlar las “no conformidades
potenciales” para evitar que llegasen a ocurrir.
El nuevo enfoque basado en el riesgo, es más completo que el anterior pues
integra la gestión preventiva en todo el sistema. Ahora la gestión de los riesgos
forma parte de una de las etapas iniciales de la implementación —la planificación— y
debe ser tenido en cuenta a lo largo de las etapas de revisión y mejora del sistema.
Si es un hecho, no es un riesgo.
Los hechos requieren acciones inmediatas,
los riesgos requieren planificación.
De esta forma, el sistema se convierte en una herramienta más proactiva

(anticipándose al riesgo) que reactiva (actuando cuando el riesgo ya existe) y
permite eliminar o al menos reducir o mitigar las consecuencias del riesgo gracias a
una rápida identificación y acción sobre el mismo.
El pensamiento basado en el riesgo asegura que los riesgos que puedan afectar
al éxito serán identificados, evaluados y controlados a través de planes de acción
adecuados a sus consecuencias y efectos.
Por otro lado, no todos los procesos del sistema de gestión tendrán los mismos
niveles de riesgo para la organización en el camino a alcanzar sus objetivos.
Algunos procesos —con toda probabilidad aquellos con mayor impacto en la calidad
del producto, del servicio o en la satisfacción de los grupos de interés— necesitarán
mayor vigilancia, planificación y control de los riesgos que otros.
No tiene el mismo nivel de riesgo cruzar una carretera secundaria sin apenas
tráfico que una autovía de cuatro carriles, ni tiene el mismo nivel de riesgo cruzar la
calle solo que empujando un carrito de bebé con una mano, y con un niño de corta
edad en la otra…
El concepto “riesgo” suele tener connotaciones negativas, es decir, suele

interpretarse como un conjunto de sucesos con consecuencias malas para la
organización.
Sin embargo, el efecto de un riesgo puede ser tanto positivo como negativo; de
hecho, la norma se refiere tanto a riesgos como a oportunidades. Debemos aclarar
que una oportunidad no es la cara positiva de un riesgo, sino un conjunto de
circunstancias que hacen posible hacer algo —mejor, en la mayoría de los casos—.
Aprovechar o no una oportunidad, puede tener diferentes riesgos.
Por ejemplo, cruzar la calle en línea recta nos da la oportunidad de llegar al otro
lado más rápido, pero lo cierto es que si aprovechamos esa oportunidad,

también aumentan los riesgos de ser atropellados por un vehículo.
6.4. ¿POR QUÉAPLICAR EL ENFOQUE BASADO EN EL RIESGO?
El pensamiento basado en el riesgo tiene efectos muy positivos para cualquier

organización pues mejora su capacidad para alcanzar los objetivos… esto redunda
muy positivamente en la confianza de sus grupos de interés:
• Los clientes pueden disponer de productos y servicios de calidad acorde a sus
requisitos y expectativas.
• Los accionistas e inversores ven cómo aumentan sus beneficios.
• Los proveedores cuentan con un cliente que se consolida.
• El personal interno ve como la organización de la que forma parte asegura su
futuro.
Otras ventajas de aplicar el pensamiento basado en el riesgo son:

• La mejora generalizada de la gestión de la organización.
• Un mejor conocimiento del entorno.
• El establecimiento de la cultura de la proactividad como un camino para la
mejora.
• Un mayor cumplimiento de la legislación y los requisitos en general.
• La mejora significativa de la confianza y la satisfacción de clientes.
• Mejor capacidad de reacción ante los cambios, tanto internos como externos.
6.5. ENFOQUE AL RIESGO EN OTRAS NORMAS
La gestión del riesgo no es un descubrimiento de ISO 9001:2015 ni mucho

menos; existen numerosas normas que han incluido la gestión del riesgo como un
proceso más del sistema de gestión.
A continuación se muestran varios ejemplos de normas que incluyen la gestión de

los riesgos entre sus requisitos.
6.5.1. Sistemas de gestión de la continuidad de negocio. ISO 22301
En la mente de todos están los devastadores efectos del tsunami que se originó
en Japón y asoló las costas asiáticas en 2004, la destrucción causada por el huracán
Katrina en la costa atlántica de los Estados Unidos en 2005 o el incendio de la Torre
Windsor en Madrid (edificio de oficinas que albergaba importantes empresas de
consultoría, bufetes de abogados, notarías...) también en 2005.
Catástrofes naturales con efectos más devastadores
Inundaciones, huracanes, incendios... Las pérdidas que ocasionan estos

incidentes en las empresas de la zonas afectadas suelen ser muy graves y a
menudo, muchas de las compañías afectadas no son capaces de recuperarse ante
la grave pérdida de información, instalaciones y equipamientos, por no hablar de las
pérdidas personales.
La norma ISO 22301 especifica los requisitos que debe satisfacer un sistema de
gestión que esté orientado a proteger a la empresa de cualquier incidente que
provoque una interrupción de su actividad así como establecer procedimientos
para la reanudación de la misma en el caso de que finalmente llegue a suceder.
“Esperar lo inesperado” podría ser uno de los lemas de esta norma. Uno de los
procesos clave de su implementación es precisamente la identificación y posterior
evaluación de los riesgos que pueden afectar al desempeño de la actividad.
Pero no todo se reduce a desastres naturales de daño incalculable, otros riesgos
más habituales son:

• Robos, sabotajes y acciones terroristas.
• Fallo en las tecnologías de la información (redes informáticas,
comunicaciones...).
• Problemas relacionados con las personas (bajas inesperadas, epidemias, fallos
en el transporte del personal...).
• Fallos en la cadena de suministro (proveedores de primer y segundo nivel).
El sistema de gestión de la continuidad de negocio permite evaluar estas
amenazas y cómo afectan a los procesos de producción y de prestación del servicio;
el objetivo de la empresa es no parar la actividad o al menos, recuperarla en un plazo
de tiempo óptimo.
6.5.2. Sistemas de gestión de la seguridad de la información. ISO

27001
La gestión del riesgo también es una parte esencial en la norma ISO 27001. En la
introducción de la versión 2013 de la norma, se indica que el sistema de gestión de
seguridad de la información está orientado a preservar la confidencialidad,
integridad y disponibilidad de la información aplicando un proceso de gestión de
riesgos a sus activos que da confianza a todas las partes implicadas de que los
riesgos se están gestionando adecuadamente.
En resumen, la reducción de los riesgos implica una mejora de la seguridad
de la información.
En el ámbito de la seguridad de la información, un riesgo es la posibilidad de que
una amenaza concreta pueda explotar la vulnerabilidad de un activo y causarle un
daño.
Definición de activo de información

Los activos se suelen clasificar en software (aplicaciones informáticas),

hardware (equipos informáticos, dispositivos de almacenamiento…), servicios
(telefonía, informática), imagen, información y personas.
Activos de una organización
Las vulnerabilidades más frecuentes de los activos están asociadas con:

• Fallos en la seguridad de las instalaciones (protección física del edificio).
• Desastres naturales incontrolables.
• Amenazas internas.
• Sabotajes.
• Robos o destrucción de activos por parte del personal.
• Intrusiones externas (virus, troyanos…).
• Fallos en los procedimientos de control o controles de acceso no definidos
(por ejemplo, en la asignación y renovación de claves y contraseñas…).
• Defectos en la configuración del hardware (insuficiente capacidad de los discos
duros, poca memoria…).
• Software mal configurado o desactualizado.
• Mala —o ausencia de— gestión de las copias de seguridad.
• Dependencia exclusiva de un proveedor de servicios externo.

• Pérdida de los activos.
Las metodologías más conocidas para la gestión de riesgos en el ámbito de la
seguridad de la información se muestran a continuación.
MAGERIT De uso muy extendido en España, sobre todo en

Administraciones Públicas, al haber sido
desarrollada por el Consejo Superior de
Administración Electrónica. No es demasiado
conocida a nivel internacional.
CRAMM De origen británico, fue desarrollada por el CCTA
(Central Computer and Telecommunications
Agency). Tiene reconocimiento a nivel
internacional y su desarrollo es bastante simple:
identificación y valoración de activos, valoración
de amenazas y vulnerabilidades y selección de
contramedidas.
OCTAVE Fue desarrollada en Estados Unidos por el SEI
(Software Engineering Institute) y aunque es algo
más compleja de aplicar, está aceptada
internacionalmente.
NIST 800-30 También de origen norteamericano, fue
desarrollada por el NIST (National Institute of
Standards and Technnology). Su uso está
prácticamente limitado a las Administraciones
Públicas norteamericanas. Es bastante sencilla e
intuitiva de manejar.
ISO 31000 Norma internacional de referencia para la gestión
de los riesgos. Puede aplicarse no solo a los
riesgos relacionados con la seguridad de la
información sino a cualquier tipo de
riesgo.Metodologías para el análisis del riesgo
en la seguridad de la información
Metodologías para el análisis del riesgo en la seguridad de la información
6.5.3. Sistemas de gestión de la seguridad y la salud laboral.

OHSAS 18001
La norma OHSAS 18001 es probablemente el estándar internacional más

extendido en todo el mundo para la implementación de sistemas de gestión de la

seguridad y la salud en el trabajo.
Como ocurre en los casos anteriores, la evaluación del riesgo es una parte
fundamental de la norma, en este caso, orientado específicamente a los riesgos de
seguridad y salud a los que pueda estar expuesto el trabajador como consecuencia
de ocupar uno o varios puestos de trabajo.
La metodología a seguir es la misma que hemos visto en otras ocasiones:
identificación del peligro, estimación del riesgo (en base a la probabilidad de
ocurrencia y a la gravedad de las consecuencias), valoración del riesgo y gestión del
riesgo, esto es, planificación de las acciones más adecuadas para eliminarlo o
mitigarlo, según corresponda o sea posible en cada caso.
En el ámbito de la seguridad y salud laboral, un riesgo es la combinación de la

probabilidad de que ocurra un suceso peligroso o la exposición a un peligro y la
severidad del daño o deterioro de la salud causado por este.
Las áreas o actividades con mayores riesgos potenciales son:

• Mantenimiento e instalación de equipos y sistemas.
• Operaciones de limpieza.
• Gestión del tráfico interno.
• Zonas ATEX.
• Trabajos en altura.
• Trabajos en espacios confinados.
• Trabajos en entorno eléctrico.
• Almacenes de sustancias peligrosas.
• Áreas de trabajo con sustancias biológicas contaminantes.
• Trabajos con equipos de movimiento y manipulación de material (carretillas
elevadoras, puentes-grúa, plataformas elevadoras…).
Y los peligros más frecuentemente identificados en las organizaciones son:

• Caídas al mismo y a distinto nivel.
• Caídas de objetos.
• Choque contra objetos, inmóviles o en movimiento. Atropellos.
• Contacto con elementos móviles de una máquina.
• Golpes con objetos y herramientas.
• Proyecciones de partículas o fragmentos de piezas y componentes.
• Atrapamiento por o entre objetos.
• Sobre esfuerzos.
• Temperaturas extremas, tanto altas como bajas.
• Contactos eléctricos, tanto directos como indirectos.
• Inhalación o ingestión de sustancias tóxicas o nocivas.
• Contacto con sustancias corrosivas.
• Exposición a radiaciones.
• Explosiones e incendios.
• Enfermedades causadas por agentes químicos, físicos y biológicos.
La organización ISO está desarrollando una nueva norma, ISO 45001, sobre la
seguridad y salud laboral que será publicada con casi total seguridad a finales
de 2016.
Aunque tomando como base la OHSAS 18001, Esta norma estará alineada con las
actuales ISO 9001 e ISO 14001 recientemente publicadas en 2015 lo que
simplificará la integración de estos tres sistemas de gestión.
Sistemas integrados de calidad, medio ambiente y seguridad laboral
6.6. GESTIÓN DEL RIESGO EN ISO 9001:2015

Como evidencia de la importancia que el pensamiento basado en el riesgo tiene
para ISO 9001:2015, basta una primera lectura de la norma para caer en la cuenta
de que el concepto del riesgo aparece mencionado en varias ocasiones:
• INTRODUCCIÓN: se describe el concepto de pensamiento basado en el riesgo.
• CLÁUSULA 4: la organización es requerida para identificar los procesos de su
sistema de gestión de calidad así como sus riesgos y oportunidades.
• CLÁUSULA 5: la dirección de la organización es requerida a promocionar el
pensamiento basado en el riesgo y a determinar los riesgos y oportunidades que
puedan afectar a la conformidad del producto y del servicio.
• CLÁUSULA 6: la organización es requerida a identificar riesgos y oportunidades
relacionadas con la implementación del sistema de gestión de calidad y a tomar
acciones apropiadas al respecto (el apartado 6.1 es el denominado “Acciones
para abordar riesgos y oportunidades” y es el que establece el requisito para
llevar a cabo el análisis de riesgos de los procesos).
6.1 Acciones para tratar riesgos y oportunidades

• CLÁUSULA 7: la organización es requerida a determinar los recursos necesarios

para los procesos del sistema de gestión, incluida la gestión de los riesgos.
• CLÁUSULA 8: la organización es requerida a gestionar sus procesos operativos,
incluida la gestión de los riesgos.
• CLÁUSULA 9: la organización es requerida para el seguimiento, medición,
monitorización y evaluación de la efectividad de sus planes de acción incluidos
aquellos tomados para la gestión de los riesgos y las oportunidades.
• CLÁUSULA 10: la organización debe corregir, prevenir o reducir los efectos no
deseados y mejorar continuamente el sistema de gestión, incluyendo riesgos y
oportunidades.
No obstante, en ningún apartado de ISO 9001:2015 se especifica qué
metodología de gestión del riesgo debe ser aplicada, ni en la descripción de los
requisitos relacionados con la gestión de los riesgos ni en las notas aclaratorias.
Tampoco en el Anexo A (informativo) “Aclaración de la nueva estructura,
terminología y conceptos”, (concretamente en el apartado A.4 Pensamiento
basado en riesgos) en el que se alude a la posibilidad de que la organización
desarrolle una metodología de la gestión del riesgo mediante la aplicación de normas
pero no especifica cuáles.
Esta indefinición por parte de la norma ISO 9001:2015 en lo que a la metodología
de gestión del riesgo se refiere, ha llevado a que de forma prácticamente unánime,
se recomiende la aplicación de la norma ISO 31000:2010 Gestión del riesgo.
Principios y directrices.
No obstante, cada organización es libre de establecer o no una metodología
acorde a esta norma o emplear otros métodos, en función del sector o actividad de
la organización,
Algunos ejemplos de estos métodos son:
• El método AMFE (Análisis Modal de Fallos y Efectos) para el análisis de los
riesgos en el sector industrial en general y del automóvil en particular.
• El análisis HACCP (Análisis de Peligros y Puntos de Control) en el sector
alimentario.
• La norma ISO 14971 Productos sanitarios. Aplicación de la gestión de los
riesgos a los productos sanitarios, para el caso de fabricantes de este tipo de
productos.
6.7. METODOLOGÍA DE GESTIÓN DEL RIESGO SEGÚN ISO 31000
La norma ISO 31000:2010 Gestión del riesgo. Principios y directrices

propone unas directrices generales para la gestión del riesgo y por tanto, puede ser
aplicada por organizaciones de todo tipo para evaluar los riesgos de sus procesos,
productos, servicios, proyectos y activos.
Según ISO 31000, una gestión del riesgo eficaz se asienta sobre los siguientes
principios:
a) Crea valor
b) Está integrada en los procesos de la organización
c) Forma parte de la toma de decisiones
d) Trata explícitamente la incertidumbre
e) Es sistemática, estructurada y adecuada
f) Está basada en la mejor información disponible
g) Está hecha a medida de la organización
h) Tiene en cuenta factores humanos y culturales
i) Es transparente e inclusiva
j) Es dinámica, iterativa, y sensible al cambio
k) Facilita la mejora continua de la organización
Principios básicos para la gestión de riesgos ISO 31000
Esta norma define el riesgo teniendo en cuenta tanto las situaciones negativas
(que nos apartan de los objetivos) como las positivas (que suponen oportunidades)
y es de tipo “generalista” —como ISO 9001—.
Puede ser utilizada para gestionar cualquier tipo de riesgo, independientemente
de cual sea su origen o su naturaleza, lo que hace que sea una norma aplicable en
distintos ámbitos y en numerosos estándares de gestión y la hace especialmente
interesante para la gestión del riesgo en ISO 9001.
Ejemplos de tipos de riesgos
Según esta metodología, una vez identificados los riesgos de los procesos, la
organización debe establecer unos criterios que le permitan clasificarlos en función
de su probabilidad de ocurrencia y del impacto que tengan en la organización si
finalmente llegan a producirse.
Aunque es posible establecer criterios cualitativos, cuantitativos y semi-
cuantitativos para estimar los valores de las consecuencias y de la probabilidad, lo
más habitual es que las organizaciones empleen métodos cualitativas, por ejemplo,
“alto”, “medio”, “bajo”…
El nivel de riesgo final es la combinación de los parámetros de consecuencias
y probabilidad, que suele representarse mediante una matriz, en la que cada celda
representa un nivel de riesgo.
En función de los niveles alcanzados por los distintos riesgos, la organización
tendrá que abordar un plan de acciones concreto que permitan eliminarlos por
concreto (en los casos de riesgos intolerables), o mitigarlos si lo anterior no fuese
posible.
Veamos con profundidad cómo es el proceso de gestión del riesgo propuesto por
ISO 31000 que se resume en la figura siguiente.
Metodología de gestión del riesgo
• Identificación del peligro

La identificación de los peligros es la base del proceso de gestión del riesgo.
Consiste en identificar y conocer con detalle las posibles fuentes, orígenes y
causas de los riesgos, a cuántas personas o bienes puede afectar, sus
consecuencias potenciales, las áreas de impacto, etc.
No todos los sucesos que ocurren en una empresa son susceptibles de generar
un riesgo; no obstante, el objetivo de esta etapa es generar una lista tan exhaustiva
como sea posible de peligros, de forma que no ningún riesgo pueda llegar a pasar
inadvertido.
La norma no especifica ningún método ni técnica específica para realizar esta
identificación y deja la puerta abierta al uso de aquellas que mejor se adapten a la
organización (inventarios de eventos, grupos de trabajo, entrevistas, cuestionarios,
encuestas…) y al tipo de riesgos al que esté expuesta.
Tipología de riesgos identificados en REPSOL
• Análisis del riesgo

Para ISO 31000 el análisis del riesgo supone la valoración de su probabilidad y
de sus consecuencias tanto positivas como negativas —bien mediante métodos
cuantitativos, cualitativos o mixtos— con diferentes grados de detalle, según los
datos e información disponibles.
Los resultados del análisis del riesgo son empleados para evaluar el riesgo y
decidir si es necesario emprender alguna acción o procedimiento para tratar los
riesgos, así como las estrategias y los métodos de tratamiento del riesgo más
adecuados.
Una de las sistemáticas más habituales de análisis de riesgo es otorgar valores
cualitativos tanto a la probabilidad de ocurrencia como a las consecuencias (por
ejemplo: MUY ALTO/ALTO/MEDIO/BAJO/MUY BAJO), y en base a la combinación
de ambos parámetros establecer una clasificación del riesgo que va desde el más
bajo al más alto según la siguiente matriz de valoración del riesgo.
Ejemplo de una matriz de valoración del riesgo
Esto permite establecer distintos rangos entre los riesgos y asignar prioridades a
la hora de asignar los recursos y emprender las acciones de tratamiento.
• Evaluación del riesgo
La fase de evaluación del riesgo permite decidir sobre las acciones que la
organización va a emprender para tratar el riesgo, que van desde la ausencia de
las mismas (en el caso de riesgos insignificantes) hasta la eliminación total de la
actividad que genera el riesgo (en el caso de riesgos intolerables).
La norma ISO 31000 y su complementaria, ISO 31010 describen varios modelos
de evaluación del riesgo que la organización puede aplicar.
Herramientas y técnicas para la evaluación de riesgos

• Tratamiento del riesgo

Este proceso supone la selección e implementación de medidas para eliminar el
riesgo (si es posible) o al menos, intentar disminuir su probabilidad o mitigar sus
consecuencias si finalmente tiene lugar, hasta que los riesgos residuales sean
tolerables para la organización.
El abanico de acciones es amplio y se muestra en la figura siguiente.
En la mayoría de las ocasiones las acciones para tratar los riesgos combinan
varias de estas estrategias en un plan de tratamiento de los riesgos, que especifica
las acciones que deben ser llevadas a cabo, los responsables, los plazos de
ejecución y de verificación de su eficacia, los recursos necesarios...
• Seguimiento y medición del riesgo
La gestión del riesgo es un proceso cíclico del tipo del Diagrama PDCA
(Plan/Do/Check/Act) cuya eficacia reside en el proceso de aprendizaje y mejora
gracias al análisis de los datos.
Por tanto, el seguimiento y medición del riesgo son el último paso del ciclo cuyo
objetivo es mejorar la eficacia de los planes de tratamiento del riesgo en base a
los datos recolectados en su seguimiento periódico.
Ciclo PDCA aplicado a la gestión del riesgo
6.8. EL RIESGO DE LA GESTIÓN DEL RIESGO

Como punto final a este capítulo sobre la gestión del riesgo, merece la pena
hacer una última reflexión sobre los riesgos que tiene una gestión del riesgo mal
entendida y aplicada.
Parece “gratis” decir NO a una gran oportunidad por miedo al riesgo que ello
pueda suponer y en muchas ocasiones, el proceso de análisis de un riesgo acaba
suponiendo una ralentización en la toma de decisiones por parte de la compañía.
Hay una expresión que resume muy bien esta situación
The paralysis by the analysis
Esta expresión trata de describir el peligro que supone analizar hasta el exceso
una situación de forma que nunca llega a tomarse una decisión ni se emprenda
ningún tipo de acción relativa a la misma o cómo el problema más sencillo puede
convertirse en una cuestión irresoluble si le damos suficientes vueltas…
El miedo y la aversión al riesgo pueden llevar a la compañía a situaciones igual de
indeseables que el exceso de riesgo o la falta de análisis.
Para ello, lo mejor es abordar el proceso de gestión de los riesgos de la mano de
un cronograma que nos obligue a respetar plazos de ejecución en las tareas a llevar
a cabo: identificación de peligros, análisis de los riesgos, y especialmente, plan de
tratamiento de los riesgos.
“Si empleas demasiado tiempo pensando sobre algo… nunca conseguirás que se haga” Bruce Lee
De modo que mantengamos el enfoque en el riesgo pero sin perder de vista el

rumbo a seguir… la consecución de los objetivos de calidad y de la organización
en su conjunto.
CAPITULO 7.
OTRAS NOVEDADES

7.1. INTRODUCCIÓN
La nueva estructura de alto nivel y el pensamiento basado en el riesgo son, sin

duda alguna, los cambios más espectaculares de la norma ISO 9001:2015… pero no
son los únicos ni los que más polémica están generando en el sector y entre los
usuarios.
Esos cambios respecto de la versión 2008, relacionados tanto con nuevos
requisitos que aparecen como a requisitos habituales en anteriores versiones que
desaparecen de la norma son objeto de revisión en este capítulo.
Entre los nuevos requisitos que aparecen están la identificación del contexto y
de las partes interesadas, la gestión del servicio post-venta y la gestión del
conocimiento.
Nuevos requisitos de ISO 9001:2015
Entre los requisitos que desaparecen, los más representativos son las acciones
preventivas y dos grandes clásicos de la gestión de calidad como son el
representante de la dirección o el manual de calidad.
Requisitos que desaparecen de ISO 9001:2015
7.2. IDENTIFICACIÓN DEL CONTEXTO Y DE LAS PARTES

INTERESADAS
La cláusula 4 Contexto de la organización es también la primera novedad con la

que nos encontramos al abordar el apartado de los requisitos de la norma
(recordemos que los apartados 0 al 3, corresponden a la Introducción, Objeto y
campo de aplicación, Referencias normativas y Definiciones, respectivamente).
A lo largo de dos sub-cláusulas, se describe cómo la organización debe identificar
el contexto en el que está inmersa, así como las necesidades y expectativas de sus
grupos de interés (partes interesadas o stakeholders).
4. Contexto
4.1. Comprensión de la organización y de su contexto
La organización debe determinar cuáles son las cuestiones externas e internas que
son pertinentes para su propósito y su dirección estratégica, y que afectan a su
capacidad para lograr los resultados previstos de su sistema de gestión.
La organización debe realizar el seguimiento y la revisión de la información sobre
estas cuestiones externas e internas.
4.2. Comprensión de las necesidades y expectativas de las partes
interesadas
Debido a su efecto o efecto potencial en la capacidad de la organización de
proporcionar regularmente productos y servicios que satisfagan los requisitos del
cliente así como los legales y reglamentarios, la organización debe determinar:
a) Las partes interesadas que son pertinentes al sistema de gestión de calidad;
b) Los requisitos pertinentes de estas partes interesadas para el sistema de
gestión de calidad.
La organización debe realizar el seguimiento y medición de la información sobre
estas partes interesadas y sus requisitos pertinentes.
Extracto de ISO 9001:2015
El análisis del contexto para una organización supone realizar un ejercicio en el

que la dirección identifique:
• Contexto externo: reglamentos y normas que aplican a la organización y su
actividad, mercados en los que trabaja, estado de las tecnologías, competencia,
aspectos culturales, políticos y sociales y situación económica. Todo aplicado a
nivel regional, nacional o internacional en función de cada caso.
• Contexto interno: valores, cultura, y funcionamiento general de la entidad, sus
recursos, sus activos, capacidades…
Aspectos que intervienen en el contexto
Ya que se menciona específicamente las “cuestiones externas e internas” una

buena herramienta para la evaluación del contexto puede ser la matriz
FODA/DAFO (cuyas siglas provienen de los conceptos Fortalezas,
Oportunidades, Debilidades y Amenazas) que permite, de forma muy sencilla,
hacer un diagnóstico de la situación en la que se encuentra la empresa.
Análisis DAFO
• Debilidades: aspectos poco consolidados o áreas de mejora que tienen un origen

interno (por ejemplo, carencias en competencias clave, problemas de
financiación, instalaciones obsoletas…).
• Amenazas: aspectos negativos que provienen del exterior (por ejemplo: exceso
de competencia, o empresas de la competencia mejor posicionadas o con más y
mejores recursos, cambios en los intereses y gustos de los clientes, cambios
adversos en la legislación…).
• Fortalezas: aspectos positivos que tienen que ver con la propia organización (por
ejemplo, habilidades y recursos tecnológicos superiores, buena imagen de marca
o campañas de marketing exitosas).
• Oportunidades: aspectos positivos relacionados con el entorno externo (por

ejemplo, posibilidad de entrar en nuevos mercados, eliminación de barreras
comerciales en mercados atractivos…).
Ejemplo de Análisis DAFO de un joven profesional
Llevar a cabo un análisis DAFO al principio de la implementación de un sistema

de gestión es una buena manera de mejorar el conocimiento que la organización tiene
sobre sí misma y facilita posteriores etapas, como el análisis de riesgos de los
procesos o el establecimiento de los objetivos de calidad.
Por otro lado, la organización debe identificar cuáles son sus grupos de interés
y averiguar cuáles son sus necesidades y expectativas.
Con este nuevo requisito, la norma ISO 9001 amplía el foco de la organización,
que hasta ahora se centraba fundamentalmente en obtener la satisfacción de los
clientes, a otras personas y grupos que también son de interés para la organización y
que de una manera u otra, influyen en su funcionamiento.
El análisis de las necesidades y expectativas de los grupos de interés, son fuente

de identificación de oportunidades y amenazas para la organización.
Estos grupos o stakeholders, están tanto dentro como fuera de la organización:

• Grupos de interés internos: los trabajadores, los accionistas, los socios…
• Grupos de interés externos: los proveedores y los clientes, pero también la
sociedad en su conjunto, las administraciones públicas, las universidades, los
medios de comunicación…
Grupos de interés internos y externos
Las herramientas para identificar las necesidades y expectativas de los grupos de

interés van desde las encuestas de satisfacción a los grupos focales.
A continuación se muestra un ejemplo correspondiente a una entidad del sector
farmacéutico.
Grupos de interés en una empresa farmacéutica
Tanto la identificación del contexto como la identificación de las necesidades y

expectativas de los grupos de interés no son aspectos nuevos en el mundo de la
calidad. Si bien han sido adoptados ahora por ISO, ya forman parte desde hace
tiempo de otros modelos de gestión como el modelo de Excelencia EFQM o el
modelo de Responsabilidad Social SGE-21.
7.3. GESTIÓN DEL SERVICIO POST-VENTA
Aunque digamos que el apartado 8.5.5 que trata de las “Actividades posteriores a
la entrega” es nuevo, en realidad, no es que las actividades comúnmente llamadas
“servicio post-venta” no estuviesen contempladas en anteriores versiones de la
norma… al fin y al cabo, el alcance del sistema es el ha marcado siempre qué
actividades estaban incluidas en el sistema de que gestión.
Digamos que la novedad es que ahora se establecen requisitos específicos en
relación con estas actividades que antes podían pasar un poco más desapercibidas
englobadas en el contexto de la “producción” o la “prestación del servicio”.
La norma las engloba en “actividades posteriores a la entrega” y las trata en el

punto 8 OPERACIÓN.
8.5.5. Actividades posteriores a la entrega

La organización debe cumplir los requisitos para las actividades posteriores a la
entrega asociadas con los productos y servicios.
Al determinar el alcance de las actividades posteriores a la entrega que se
requieren, la organización debe considerar:
a) Los requisitos legales y reglamentarios;

b) Las consecuencias potenciales no deseadas asociadas a sus productos y
servicios;
c) La naturaleza, el uso y la vida útil prevista para sus productos y servicios;
d) Los requisitos del cliente;
e) La retroalimentación del cliente.
Los requisitos de la norma se pueden resumir en cumplir con las obligaciones

contractuales y con los requisitos legales y reglamentarios que sean de aplicación
(por ejemplo, la Ley de Garantías).
En cualquier caso, la organización debe ser consciente de que se recoge
información muy útil sobre la calidad del producto y sobre la satisfacción del cliente
en el desempeño de esas actividades posteriores a la entrega.
Por ejemplo, la mayoría de empresas con un alto nivel de servicio post-venta (por
ejemplo, fabricantes de vehículos, electrodomésticos, etc.) cuentan con
indicadores del número de reparaciones o sustituciones del producto en garantía
como medida objetiva de la calidad del producto.
Existen muchas empresas, sobre todo del sector servicios, en los que este
apartado de la norma no será de aplicación, al no realizarse ningún servicio al cliente
posterior a la entrega: hoteles, empresas de consultoría, entidades de formación…
aunque deberán analizar bien el alcance de su sistema de gestión antes de declarar
la no aplicabilidad de este apartado.
7.4. GESTIÓN DEL CONOCIMIENTO
En el apartado dedicado a los Recursos (dentro del punto 7 Soporte) la norma

ha incluido un último apartado dedicado a los conocimientos organizativos.
7.1 6. Conocimientos de la organización
La organización debe determinar los conocimientos necesarios para la operación

de sus procesos y para lograr la conformidad de sus productos y servicios.
Estos conocimientos deben mantenerse y ponerse a disposición en la medida que

sea necesario.
Cuando se abordan las necesidades y tendencias cambiantes, la organización

debe considerar sus conocimientos actuales y determinar cómo adquirir o acceder
a los conocimientos adicionales necesarios y a las actualizaciones requeridas.
Los conocimientos de la organización son conocimientos específicos que la

compañía posee, generalmente, gracias a la experiencia. El problema es que
muchas veces, son determinadas personas y no la empresa en su conjunto las que
acumulan la experiencia y conocimiento.
La pérdida —temporal o definitiva— de cualquiera de estas personas supone
entonces un problema para la organización (por ejemplo, cada vez que se produce
una baja por enfermedad, o periodo de vacaciones o simplemente el trabajador es
“fichado” por otra empresa)
La organización debe estudiar este riesgo y buscar la forma de que el
conocimiento se ponga a disposición del resto de la organización en forma de
información manejable y accesible: acciones formativas o de tutorización,
elaboración de procedimientos e instrucciones de trabajo, manuales, metodologías…
Estas estrategias para identificar, organizar, compartir y difundir el conocimiento
de las personas para ponerlas al servicio de la organización se denominan “gestión
del conocimiento”.
Acciones básicas de la gestión del conocimiento

La gestión del conocimiento tiene por objetivo fundamental transferir el

conocimiento desde los puntos en los que se genera hasta los puntos en que será
utilizado e implica que internamente, la organización desarrolle los mecanismos
necesarios para identificarlo, compartirlo entre sus miembros, así como otorgarle el
valor que se merece y protegerlo frente a amenazas externas.
Este proceso supone el uso de diversas técnicas (la mayoría de ellas basadas en
las tecnologías de la información) para capturar, organizar, almacenar, proteger y
administrar la información para transformarlo en un activo intelectual, un valor para
la organización.
Aspectos básicos de la gestión del conocimiento
Por otro lado, los requisitos de la norma no son tan ambiciosos y no exigen
implementar un sistema de gestión del conocimiento sino un análisis básico de este
proceso.
La norma pide a las organizaciones que determinen cuales son los
conocimientos necesarios para el correcto funcionamiento de sus procesos y para
lograr la conformidad de sus productos y servicios. Si se debe hacer frente a un
cambio —lo que en el mundo empresarial, es bastante frecuente— se debe hacer
una evaluación del conocimiento actual y de la/s estrategia/s más adecuada/s para
mejorarlo.
Bajando un nivel en el grado de concreción, la norma indica que uno de los
aspectos que está incluido en el conocimiento organizativo es la propiedad
intelectual.
Elementos que forman parte de la propiedad intelectual industrial
Es decir, no se exige realmente que la organización implemente un proceso de

gestión del conocimiento complejo… sino que tenga en cuenta aspectos básicos del
mismo como identificar los conocimientos que son críticos para la producción y la
prestación del servicio, o la protección de la propiedad intelectual, aunque
ciertamente identificar, proteger y gestionar adecuadamente el conocimiento de las
organizaciones sea un proceso que aporta gran valor a las mismas.
7.5. DESAPARICIÓN DE LAS ACCIONES PREVENTIVAS
Hemos visto en el capítulo anterior como el pensamiento basado en el riesgo

convierte el sistema de gestión de calidad en una herramienta preventiva en sí
misma.
La primera consecuencia lógica de este enfoque es la desaparición de las
acciones preventivas —creadas en el pasado con el objetivo de eliminar las causas
de las no conformidades “potenciales” para que estas no llegaran a ocurrir—.
Se mantienen, eso sí, las acciones correctivas, pues su objetivo es totalmente
diferente y se emprenden cuando el incidente finalmente ha tenido lugar para
identificar y evaluar sus causas y tratar de evitar que ocurra de nuevo.
Acciones correctivas y acciones preventivas
En resumidas cuentas, “parece” que las acciones preventivas desaparecen pero

en realidad están integradas en la gestión del riesgo pues cualquier acción que se
emprenda para eliminar o mitigar riesgos tendrá un carácter inconfundiblemente
preventivo.
Eso sí, será más correcto llamarlas “acciones de tratamiento del riesgo” en lugar
de “acciones preventivas”.
7.6. DESAPARICIÓN DE LA FIGURA “REPRESENTANTE DE LA

DIRECCIÓN”
De las tres “desapariciones” identificadas en la nueva versión de ISO 9001:2015

—junto con las acciones preventivas y el manual de calidad— quizás sea la
desaparición del representante de la dirección la que más polémica está
generando en el mundo de la calidad en general y entre empresas, auditores y
consultores en particular (y qué decir de aquellas personas que desempeñan
actualmente este cargo…).
El primer susto lo dio el borrador DIS 9001:2015, en el que se pudo comprobar
que no se hacía ninguna referencia al antaño representante de la dirección que tenía
sus funciones y responsabilidades claramente definidas en versiones anteriores.
Responsabilidades y autoridades del Representante de la dirección según ISO 9001:2008
El borrador definitivo FDIS y posteriormente la propia norma, confirmó lo que ya

nos temíamos y a partir de ahora los sistemas de gestión de la calidad tendrán que
sobrevivir sin representante de la dirección o como comúnmente ha sido denominado,
el responsable de calidad.
Pero, ¿qué tanto de cierto hay en esto? ¿Será ahora el director general quién
redacte las no conformidades y planifique las auditorías internas? ¿Realmente los
responsables de calidad tendrán que buscar nuevos empleos…?
Bueno… lo cierto es que la norma ha eliminado la referencia a la figura del
representante de la dirección, pero eso no quiere decir que sus funciones y
responsabilidades desaparezcan sino que pasan a ser asumidas por la dirección
de la organización.
El objetivo de la norma es implicar más aún a la dirección en el sistema de

gestión y descansar directamente en sus manos la labor de asegurar que realmente
se implementa, mantiene y mejora continuamente.
La figura del representante de la dirección, originalmente pensada para ser un
enlace entre la dirección y el sistema de gestión ha tendido siempre a convertirse en
la “figura para todo” dentro del sistema: responsable del control de documentos,
responsable de emprender acciones correctivas, responsable de gestión de planes
de auditorías, auditor líder, formador…
Ahora, la dirección de la organización debe asumir “sin enlaces” las
responsabilidades que le otorga la norma, como por ejemplo:
• Asegurar que se implementan las políticas y objetivos de calidad y que estos
son coherentes con la dirección estratégica de la entidad.
• Asegurar que el sistema de gestión de calidad está integrado con el resto de
procesos de negocio.
• Asegurar la disponibilidad de recursos.
• Asegurar que se alcanzan los resultados previstos.
Lo que parece complicado es que la dirección de la organización —tampoco la
norma lo exige— pueda llevar adelante con éxito esta tarea en solitario. Tendrá que
recurrir a un equipo más o menos grande que le apoye en la tarea de liderar e
impulsar el sistema de gestión y su mejora continua.
En el apartado dedicado a los roles, responsabilidades y autoridades de la

organización, la norma nos conduce a un proceso según el cual se deben asignar
responsabilidades y autoridades a las personas que aporten valor en la dirección
estratégica de la entidad…como son los responsables de los procesos.
Es decir, perdemos un único responsable de calidad para ganar un equipo
de responsables de procesos más eficaz y eficiente, pues dispondrán de mayor
autoridad para asegurar que se alcanzan los resultados esperados.
Casi podríamos decir que cada líder de proceso se convierte en un representante
de la dirección en lo que se refiere a la gestión de su propio proceso.
De esta forma, con total seguridad, la persona que haya desempeñado las
funciones y responsabilidades del representante de la dirección en el pasado podrá
ser integrada con facilidad en este equipo de trabajo.
Asignación de funciones según ISO 9001:2008
Asignación de funciones según ISO 9001:2015
Sin duda, este es un cambio de gran calado en la mayoría de las empresas,

especialmente en las pymes, que deben realizar una evaluación profunda de las
competencias de su personal antes de pasar a asignar funciones y responsabilidades
como las anteriormente descritas, pero también dará mucho más significado a la
figura del responsable de proceso y reforzará el enfoque a procesos en la
organización.
7.7. DESAPARICIÓN DEL MANUAL DE CALIDAD

Tras echar un primer vistazo a la norma ISO 9001:2015, muchos se han

empezado a mentalizar para deshacerse de su otrora imprescindible manual de
calidad, aunque quizás de forma demasiado apresurada.
Como ocurre en el caso del representante de la dirección, el manual de calidad
deja de aparecer en la nueva edición de la norma; de hecho, como se ha
comentado anteriormente, la norma habla únicamente de información documentada…
entendiendo como tales los procedimientos, instrucciones y registros de la calidad. Ni
siquiera en la descripción del significado de la información documentada aparece
mencionado el manual de calidad.
Curiosamente, la norma ISO 9000:2015 de Fundamentos y vocabulario SÍ
incluye una definición para el manual de calidad, lo que por lo menos nos advierte que
como concepto, no lo hemos desterrado para siempre.
Definición de Manual de Calidad según ISO 9000:2015
Muchas organizaciones —sobre todo aquellas que ya disponen de uno— se están

preguntando ¿manual sí o manual no? Y en caso afirmativo ¿por qué y para qué?
Para contestar a esas preguntas, debemos tener en cuenta que los documentos del
sistema de gestión de calidad deben aportar valor a la organización.
• ¿Su manual de calidad le aporta valor? Consérvelo. Que la norma no lo exija
no quiere decir que no pueda tener uno si lo considera necesario para el
funcionamiento eficaz de su sistema.
• ¿Su manual de calidad hace tiempo que es un documento de apenas uso
real? Elimínelo del sistema…
… ahora bien, recuerde que deberá mantener como información documentada

algunos de sus contenidos, como el alcance y la justificación de aquellos puntos que
la organización decida no son de aplicación.
ANEXO I.
MATRIZ DE CORRELACIÓN ENTRE
ISO 9001:2008 E ISO 9001:2015

Novedades ISO 9001 2015 - (PG 56 - 99)

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Novedades ISO 9001 2015 - (PG 56 - 99)

Uploaded by

Copyright:

Available Formats

Es

Por ejemplo, en el sector salud es habitual encontrar el término protocolo para

Las principales diferencias entre la versión 2008 y la versión 2015 de la norma, se

Ejemplos de términos que han sido modificados

Es par ticularmente destacable la desaparición del concepto EXCLUSIÓN que

Diferencia entre EXLUSIÓN y NO APLICABILIDAD

5.2. NUEVOS CONCEPTOS

A continuación se destacan algunos de los conceptos más novedosos de la

Uno de los cambios más llamativos es el relativo a la documentación del sistema.

Ejemplos de documentos que conforman la información documentada

Este cambio ha suscitado bastantes dudas a la hora de interpretar correctamente

Se debe establecer un procedimiento documentado para definir las

Deben mantenerse registros de las auditorías y de sus resultados (véase 4.2.4).

Lógicamente, para cualquier organización que quiera implementar un sistema de

En el Anexo II Lista de referencias a información documentada en ISO

5.2.3. Partes interesadas

Las partes interesadas, o grupos de interés (o stakeholders) son aquellas

Ejemplos de partes interesadas o grupos de interés

Este no es un concepto nuevo en el mundo de la calidad, aunque sí es la primera

5.2.4. Enfoque basado en el riesgo

Este concepto no es nuevo para otras normas de sistemas de gestión alineadas

Antes de la publicación del Anexo SL y la difusión de la Estructura de Alto Nivel,

En el capítulo 6 se aborda con profundidad este nuevo aspecto de la norma.

En este proceso de decisión, y de forma inconsciente, identificamos los peligros

Una vez nos lanzamos a la carretera, estamos gestionando los riesgos

De no hacerlo, el resultado puede ser que no lleguemos nunca a atravesarla…

6.2. DEFINICIÓN DE RIESGO E INCERTIDUMBRE

La definición de RIESGO la encontramos en la nueva versión de la norma ISO

Definición de riesgo en ISO 9000:2015

NOTA 1: Un efecto es una desviación de lo esperado, positiva o negativa.

NOTA 2: La incertidumbre es el estado, aunque sea parcial, de la deficiencia de

NOTA 3: El riesgo se caracteriza a menudo por referencia a posibles eventos y

NOTA 4: El riesgo se expresa a menudo en términos de una combinación de las

No debemos confundir el riesgo con la incertidumbre, ya que son conceptos

• La incertidumbre es la imperfección en el conocimiento sobre el estado o los

La incertidumbre exige un ejercicio de valoración basado en la experiencia, la

Diferencias entre riesgo e incertidumbre

Pero, ¿en qué consiste realmente la gestión del riesgo?

Cuando estos sucesos interfieren en el camino hacia el éxito de la compañía (o al

6.3. PENSAMIENTO BASADO EN EL RIESGO

En ediciones anteriores de la norma, ya existía un cierto enfoque preventivo, pues

los riesgos requieren planificación.

De esta forma, el sistema se convierte en una herramienta más proactiva

El concepto “riesgo” suele tener connotaciones negativas, es decir, suele

lado más rápido, pero lo cierto es que si aprovechamos esa oportunidad,

6.4. ¿POR QUÉAPLICAR EL ENFOQUE BASADO EN EL RIESGO?

El pensamiento basado en el riesgo tiene efectos muy positivos para cualquier

Otras ventajas de aplicar el pensamiento basado en el riesgo son:

6.5. ENFOQUE AL RIESGO EN OTRAS NORMAS

La gestión del riesgo no es un descubrimiento de ISO 9001:2015 ni mucho

A continuación se muestran varios ejemplos de normas que incluyen la gestión de

6.5.1. Sistemas de gestión de la continuidad de negocio. ISO 22301

Catástrofes naturales con efectos más devastadores

Inundaciones, huracanes, incendios... Las pérdidas que ocasionan estos

más habituales son:

6.5.2. Sistemas de gestión de la seguridad de la información. ISO

Definición de activo de información

Los activos se suelen clasificar en software (aplicaciones informáticas),

Las vulnerabilidades más frecuentes de los activos están asociadas con:

• Dependencia exclusiva de un proveedor de servicios externo.

MAGERIT De uso muy extendido en España, sobre todo en

6.5.3. Sistemas de gestión de la seguridad y la salud laboral.

La norma OHSAS 18001 es probablemente el estándar internacional más