Plan de contingencias del riesgo ISO 9001:2015

Publicado por Adriana Gómez

Algunos de vosotros, me habéis solicitado, un ejemplo de cómo elaborar un plan de

contingencias de riesgos, con la finalidad de cumplir con la norma de referencia.

¿Qué es un plan de contingencia de riesgos? ¿Debemos incorporarlo en

nuestra gestión de riesgos? ¿Es un requisito de la norma ISO 9001:2015?

Este artículo pertenece al conjunto de publicaciones que os ofrezco para realizar una
gestión de riesgos adecuada y que cumpla con los requisitos de la nueva actualización
de la norma ISO 9001.

Primero de todo hemos de definir ¿Qué es un Plan de Contingencia?

Es una forma de organizarse para actuar frente a un evento posible. El Plan

de contingencia establece las medidas a tomar, las tareas a realizar, los recursos que
se necesitan y las indicaciones a fin de disminuir los daños que puede ocasionar.

¿Qué pasos hay que realizar antes de establecer un plan de contingencias?

Debemos establecer y definir una metodología para gestionar el riesgo de los procesos
(ver aquí), así como identificar cada uno de los riesgos de los procesos de la empresa.

Posteriormente, se deberá establecer

los criterios y parámetros a seguir para el análisis del riesgo (ver aquí). En este
punto, se realizará una clasificación de riesgo con una descripción de las estrategias a
seguir para cada una de las tipologías del riesgo.
Una vez establecidos los criterios, se realizará la evaluación de riesgos propiamente
dicha (ver aquí), donde se obtendrán valores numéricos a la evaluación de los
diferentes aspectos para cada uno de los riesgos.

La norma requiere que se debe planificar, verificar y vigilar el monitoreo y revisión

(ver aquí). Para poder cumplir con este aparatado, es necesario un plan de
contingencias, donde se especifique, para cada riesgo evaluado, que estrategia y
qué medidas debemos tomar.

Os pondré un ejemplo, siguiendo el criterio que he elegido en las publicaciones

anteriores. Como hes comentado, este es sólo un ejemplo, existen numerosas
técnicas, igual de válidas que cumplen con el requisito de la norma.

Pasos a seguir en el ejemplo:

Se identifican los riesgos de los procesos de la empresa.

Se define el riesgo como la probabilidad que ocurra un evento por impacto; por lo
tanto: R= IxP

Se establecen los criterios y la clasificación de dichos riesgos:

A – Riesgo intolerable: el riesgo requiere de una acción inmediata, el coste no debe

ser una limitación y el no hacer nada no es una opción aceptable. Un riesgo de tipo A
representa una situación de emergencia y deben establecerse controles temporales
inmediatos. La mitigación debe hacerse por medio de controles de ingeniería y/o por
factores humanos hasta reducirlos a un tipo C o preferentemente de tipo D en un
periodo de tiempo inferior a 90 días.

B - Riesgo indeseable: el riesgo debe ser reducido y hay margen para investigar y
analizar con más detalle. No obstante la acción correctiva debe darse en los primeros
90 días. Si la situación se demora más tiempo deben establecerse controles
temporales inmediatos para reducir el riesgo.
 C – Riesgo aceptable con controles: el riesgo es significativo pero se pueden
acompañar las acciones correctivas con el paro de las instalaciones programadas. Los
medios de solución para atender los hallazgos deben darse en los próximos 18 meses.
La mitigación debe enfocarse en la disciplina operativa y en la confiabilidad de los
sistemas de protección.

D – Riesgo razonablemente aceptable: el riesgo requiere de acción pero es de bajo

impacto y puede programarse su atención y reducción conjuntamente con otras
mejoras operativas.

Se establecen los criterios de clasificación:

 Riesgo 1-3 se corresponde con riesgo bajo (Riesgo de tipo D)
 Riesgo 4-8 se corresponde con riesgo medio (Riesgo de tipo C)
 Riesgo 9-14 se corresponde con riesgo alto (Riesgo de tipo B)
 Riesgo 15-25 se corresponde con riesgo muy alto (Riesgo de tipo A)
Y se establece una tabla de correlaciones:

Probabilidad 5 5 10 15 20 25

Probabilidad 4 4 8 12 16 20

Probabilidad 3 3 6 9 12 15

Probabilidad 2 2 4 6 8 10

Probabilidad 1 1 2 3 4 5

Impacto 1 Impacto 2 Impacto 3 Impacto 4 Impacto 5

Y se evalúa cada uno de los aspectos del riesgo identificado, y se puntúa. Al final
tendremos un riesgo y una clasificación. Una vez que hemos evaluado cada uno de los
riesgos, tenemos que saber qué tratamiento debemos hacer con cada uno de ellos, y
para eso debemos realizar un plan de contingencias, como el siguiente:

RESULTADO
ID ACTIVIDAD/FASE RIESGO CONSECUENCIA EVALUACIÓN ESTRATEGIA RESP. DISPARADOR
Cambios en los Evitar y si
criterios de diseño a sucede
petición de la Mitigar
1 General constructora. Coste / Plazo A renegociando IS Comunicación
Evitar y si
Cambios de criterio sucede
o imposiciones de la Mitigar
2 General Administración. Coste / Plazo B renegociando IS Comunicación
Retraso en la
Seguimiento de realización de la Evitar.
campaña campaña Supervisión Detección por
3 geotécnica geotécnica. Plazo C directa. MA supervisor
Comunicación
Incumplimiento o Mitigar. o detección
quiebra por parte de Plazo / Supervisión por jefe de
4 General proveedor. Calidad C directa. IS proyecto
Debemos identificar:

- La actividad o fase del proceso al que pertenece

- El riesgo evaluado
- La consecuencia
- El resultado de la evaluación
- La estrategia a seguir
- El responsable de aplicar la estrategia
- El disipador del riesgo

Se podría añadir otra columna donde se establezca el plazo para mitigar el riesgo, o
aplicar la estrategia, y los recursos a utilizar.

Posteriormente se tendrá que realizar el seguimiento y verificar el cumplimiento de

este plan de contingencias.

Lo he querido hacer por partes, para que fuera más sencillo su entendimiento, pero la
realidad es que podéis fusionar registros, y evitar así la duplicidad de documentos.
Podéis aprovechar el listado de riesgos e incluirlo en el plan de contingencias, y así
elimináis un registro extra.