Exploramos el universo de la gestión de riesgos a través de las normas ISO 9001 y la ISO 31000. Analizamos qué significa realmente el pensamiento basado en riesgos, cómo integrarlo en la toma de decisiones y de qué manera estas normas permiten transformar la incertidumbre en una oportunidad para proteger y generar valor.
Si el debate te ha parecido interesante, puedes conocer más a continuación…
Qué entiende la ISO por “riesgo” y por qué también pueden ser oportunidades
Cuando hablamos de gestión de riesgos organizacionales (o ERM, del inglés), conviene empezar por la definición moderna de la ISO: el riesgo es el “efecto de la incertidumbre sobre los objetivos”. Un “efecto” es una desviación respecto a lo esperado y puede ser positiva, negativa o ambas. La incertidumbre, por su parte, no es más que falta de información.
En mi experiencia, este giro conceptual cambia el juego: ya no miramos solo amenazas; también miramos oportunidades y cómo capturarlas con un método consistente.
“Efecto de la incertidumbre sobre los objetivos”: explicación práctica
- Si un plazo podría acortarse gracias a automatizar actividades, esa es una oportunidad (desviación positiva).
- Si un proveedor único podría fallar, eso es una amenaza o riesgo (desviación negativa).
- Si lanzamos un producto y podría ir mucho mejor o peor según el canal, hablamos de ambas.
En mi caso, la frase que me sirvió para explicarlo fue: “la incertidumbre es falta de información”. Si me falta información, gestiono: busco datos o diseño salvaguardas (y, si pinta bien, apuesto para capturar más valor).
Cómo diferenciar riesgo, problema e incidencia
- Riesgo: evento potencial (aún no ocurre).
- Problema: condición ya presente que obstaculiza.
- Incidencia: evento ya ocurrido (se gestiona con respuesta y lecciones aprendidas).
Pensamiento basado en riesgos en ISO 9001: llevarlo al día a día
ISO 9001:2015 no te pide burocracia; te pide mentalidad. Pensamiento basado en riesgos significa integrar el pensar en riesgos y oportunidades en la toma de decisiones de cada proceso: estrategia, diseño, compras, operaciones, ventas, posventa y cualquier otro. No exige un método único ni hiper cuantitativo; exige decisiones informadas y trazables.
Personalmente, la jugada ganadora fue meter el riesgo en la forma de pensar del día a día. Me obligo a preguntarme: “¿qué pasaría si…?” y “¿cómo lo aprovecharía?” antes de aprobar un cambio, acudir a un proveedor o tocar un SLA.
Ejemplos rápidos por proceso
- Compras: ¿y si el proveedor A falla? Plan B y criterio de doble fuente.
- Operaciones: ¿y si el lote sale fuera de especificación? Controles en proceso y reacción.
- Comercial: ¿y si un gran descuento erosiona el margen? Políticas y umbrales de aprobación.
- Diseño: ¿y si un requisito del cliente está incompleto? Puntos de revisión y clarificación.
Donde encaja Q-NOW
Si quieres aterrizar esta mentalidad a un sistema y gestionar ISO 9001 (y otras 6 normas) en un mismo entorno, Q-NOW te permite centralizar la gestión y dar visibilidad a responsables y plazos. Es el lugar natural para registrar riesgos y oportunidades asociados a procesos, realidades actuales y decisiones, sin volverlo un ritual pesado.
Marco ISO 31000: el ciclo completo, iterativo y vivo
ISO 31000 ofrece el marco para estructurar la gestión: adaptable, iterativo y práctico.
- Comunicación y consulta: hablar con quienes viven el proceso. Sin esto, la lista queda ciega.
- Alcance, contexto y criterios: definir qué cubro, el entorno (interno/externo) y cómo voy a medir (apetito/tolerancia, umbrales).
- Evaluación del riesgo
- Identificar: ¿qué podría ocurrir, cómo y dónde?
- Analizar: causas, consecuencias, controles existentes.
- Valorar: ¿el nivel resultante cruza mis criterios? ¿Qué prioridad tiene?
- Tratamiento del riesgo: decidir opciones (ver sección 5) y planificar responsables, recursos y fechas.
- Seguimiento y revisión: ¿funcionaron los tratamientos? ¿Cambió el contexto?
- Registro y reporte: dejar huella de decisiones, resultados y aprendizajes.
Consejos prácticos:
- Define criterios antes de valorar: una matriz 5×5 o rangos de impacto (€ / calidad / tiempo / cumplimiento) ayuda a evitar sesgos.
- Prioriza poco pero bien: menos “lista enciclopédica” y más “Top-10 accionable por proceso”.
Técnicas de evaluación: de lo simple a lo robusto
No todas las situaciones necesitan lo mismo. La guía de técnicas de la ISO agrupa métodos desde sencillos a avanzados. Yo priorizo progresar en capas:
- Rápidas y cualitativas: what-if, 5 porqués, FODA, entrevistas.
- Estructuradas: APR (Análisis Preliminar de Riesgos), Ishikawa (causa-efecto).
- Profundas: FMEA/AMEF, HAZOP (según sector), cuantitativas cuando haga falta.
FMEA/AMEF paso a paso y cálculo de RPN/NPR
- Descompón el proceso/producto. 2) Lista de modos de falla. 3) Para cada modo, puntúa:
- Severidad (S): impacto si ocurre.
- Ocurrencia (O): probabilidad/frecuencia.
- Detección (D): capacidad de detectar antes de que afecte.
El RPN/NPR = S × O × D. Cuanto más alto, mayor es la prioridad.
En mi práctica, el RPN me obligó a priorizar. Pasé de docenas de ítems a un Top-5 crítico y concentré recursos ahí. Resultado: menos ruido, más impacto.
Ejemplo simple
Modo: “El pedido se envía incompleto”. S=5 (impacta al cliente), O=2 (ocasional), D=4 (difícil de detectar). RPN=40 → acciones de tratamiento: verificación de picking, doble chequeo en bultos, señalización en WMS.
Elegir la técnica adecuada
- Incertidumbre alta y tiempo corto → what-if + APR.
- Problemas recurrentes → 5 porqués + Ishikawa.
- Procesos críticos o regulados → AMEF con revisión periódica.
Opciones de tratamiento del riesgo: cómo decidir
Las opciones ISO son un menú, no una receta única:
- Evitar (no hacer la actividad).
- Aceptar o incluso incrementar (cuando se busca una oportunidad con conciencia de riesgo).
- Eliminar la fuente.
- Modificar la probabilidad (prevenir).
- Modificar las consecuencias (contener).
- Compartir/transferir (seguro, contrato).
- Retener (decisión informada con plan de contingencia).
Guía rápida:
- Si el riesgo viola la tolerancia y no aporta valor → evitar o eliminar.
- Si aporta upside claro y es controlable → aceptar/incrementar con límites.
- Si es asegurable y conviene → transferir lo financiero y tratar lo operacional.
- Si el costo de mitigar supera el beneficio → retener con monitoreo.
Del papel a la acción: criterios, matriz 5×5 y priorización
Define impactos (calidad, cliente, legal, económico, reputación, tiempo) y escalas (1–5). Cruza con probabilidad para obtener el nivel de riesgo.
Con esto, establece umbrales (p. ej., rojo ≥15, ámbar 8–14, verde ≤7) y reglas de juego (quién aprueba qué).
Mi regla operativa es simple: menos ítems, mejor foco. Prefiero un tablero con 10 riesgos críticos, due-dates claros y “owner” visible, antes que 60 líneas que nadie mira.
Su asistente digital Q-NOW como soporte
Para centralizar la gestión de ISO 9001 y otras 6 normas en un solo sitio, Q-NOW te facilita mantener un registro único de riesgos, acciones y revisiones, alineado con tus procesos. Es el puente entre la intención (criterios y matrices) y la ejecución disciplinada.
Gobierno, liderazgo y cultura: integrar el riesgo en la estrategia
La gestión de riesgos no es cumplir por cumplir. Es una conversación de gobierno y liderazgo sobre cómo proteger y crear valor de forma sostenible.
Lo digo tal cual lo vivo: no es burocracia; es decidir mejor. Sirve para proteger el valor que ya tienes y, al mismo tiempo, crear valor navegando la incertidumbre con más inteligencia.
KPI útiles
- % de riesgos “rojos” que bajan a “ámbar/verde” por trimestre.
- Tiempo medio de cierre de acciones.
- Nº de riesgos críticos recurrentes (debería bajar).
- Porcentaje de revisiones ejecutivas realizadas a tiempo.
Plantillas y checklists de arranque rápido
Registro de riesgos — campos mínimos
- Proceso/Área | Riesgo | Causa | Consecuencia | Controles existentes | Nivel (matriz o RPN) | Dueño | Tratamiento | Acciones | Fecha comp./próx. revisión.
Plan de tratamiento — campos mínimos
- Riesgo | Objetivo de reducción | Acciones | Responsable | Recursos | Fecha | Evidencia | Resultado.
Cuándo escalar
- Riesgos que exceden tolerancias, bloquean objetivos, o tienen componente legal/ético → Comité o Dirección.
CTA ligero
Si quieres arrancar sin hojas de cálculo y con visibilidad total desde el día uno, Q-NOW te permite gestionar ISO 9001 y otras 6 normas en un entorno único y ordenado. Así el checklist se vuelve sistema vivo, no documento olvidado.
Conclusión: lo que cambia cuando el riesgo se vuelve hábito
Cuando el pensamiento basado en riesgos se vuelve un hábito, el equipo decide más rápido y mejor, prioriza con criterio y conversa de oportunidades con la misma seriedad que conversa de amenazas. ISO 31000 te da el esqueleto; ISO 9001 te pide la actitud. Las técnicas (de what-if a FMEA) te dan las manos. El resultado: menos sorpresas malas, más sorpresas buenas.
FAQ
¿Necesito una herramienta para aplicar ISO 9001 y 31000?
No es obligatorio, pero acelera el trabajo. Si quieres centralizar y dar trazabilidad, Q-NOW es una opción para gestionar ISO 9001 y otras 6 normas con orden y visibilidad.
¿Cuál es la diferencia entre riesgo y oportunidad en la práctica?
Mismo marco, distinta señal: si la desviación aumenta el logro del objetivo, es oportunidad; si lo reduce, es amenaza o riesgo. Se gestionan con el mismo proceso.
¿La matriz 5×5 reemplaza al FMEA?
No. La matriz es transversal y rápida; FMEA profundiza en causas y controles. Puedes usarlas juntas: matriz para visión global y FMEA para procesos críticos.
¿Cuándo acepto un riesgo?
Cuando está dentro de la tolerancia, el costo de mitigarlo es mayor que el beneficio, o cuando buscas una oportunidad y has puesto límites/contingencias.
¿Qué KPI miro para saber si vamos bien?
Evolución de niveles, cumplimiento de revisiones, cierre de acciones y reducción de reincidencias.
¿Cada cuánto reviso el registro?
En ciclos definidos (mensual/trimestral) y si cambia el contexto (proveedor, regulación, tecnología, demanda).
¿Se ha utilizado inteligencia artificial para producir este contenido?
Este contenido es generado con el apoyo de herramientas de inteligencia artificial dirigidas con el contexto de nuestra extensa experiencia y documentación propietaria en la materia y nuestro código de ética y transparencia.