Novedades Iso 90012015 Paloma Lopez Lemos

2
3
NOVEDADES ISO 9001:2015
PALOMA LÓPEZ LEMOS
4
NOVEDADES ISO 9001:2015
Autora: Paloma López Lemos
Edita:
© FUNDACIÓN CONFEMETAL
Príncipe de Vergara, 74 – 28006 Madrid
Tel.: 91 782 36 30. Fax: 91 563 17 41
editorial@fundacionconfemetal.es
www.fundacionconfemetal.com
ISBN: 978-84-16671-00-7
Impreso en España – Printed in Spain
QUEDA PROHIBIDA TODA REPRODUCCIÓN TOTAL O PARCIAL DE LA OBRA POR

CUALQUIER MEDIO O PROCEDIMIENTO SIN AUTORIZACIÓN PREVIA.
5
ÍNDICE
INTRODUCCIÓN
Capítulo 1.
HISTORIA DE ISO 9001
1.1. Generalidades
1.2. Breve historia de la calidad
1.2.1. Érase una vez… en Estados Unidos

1.2.2. Érase una vez… en Europa
1.2.3. Érase una vez. en Japón
1.2.4. Los años setenta
1.2.5. Finales del siglo XX
1.2.6. En la actualidad
Capítulo 2.
NORMA ISO 9001
2.1. Estructura de la familia ISO 9000

2.2. Norma ISO 9001
2.2.1. Quién puede implementar la norma ISO 9001

2.2.2. ISO 9001 en el mundo
2.2.3. ISO 9001 en España
2.2.4. Ventajas y beneficios de implementar ISO 9001
Capítulo 3.
PROCESO DE REVISIÓN DE ISO 9001
3.1. Proceso de revisión de las normas ISO

3.2. Revisiones existentes de ISO 9001
3.2.1. Año 1987: primera edición de la norma

3.2.2. Año 1994: segunda edición de la norma
3.2.3. Año 2000: tercera edición de la norma
3.2.4. Año 2008: cuarta edición de la norma
3.2.5. Año 2015: quinta edición de la norma
3.3. Revisión de la norma ISO 9001:2008

3.4. Objetivos de la revisión de la norma ISO 9001:2008
6
3.5. Proceso de transición de la norma de la versión 2008 a la versión 2015
3.5.1. Plazos para la transición

3.5.2. Cómo abordar el proceso
3.5.2.1. Las empresas

3.5.2.2. Las entidades de certificación
Capítulo 4.
ESTRUCTURA DE ALTO NIVEL
4.1. Integración de los sistemas de gestión

4.2. Anexo SL
4.3. Estructura de ISO 9001:2015
4.4. Comparación de la estructura de ISO 9001:2008 e ISO 9001:2015
Capítulo 5.
NUEVA TERMINOLOGÍA Y CONCEPTOS
5.1. Nueva terminología

5.2. Nuevos conceptos
5.2.1. Información documentada

5.2.2. Productos y servicios
5.2.3. Partes interesadas
5.2.4. Enfoque basado en el riesgo
Capítulo 6.
PENSAMIENTO BASADO EN EL RIESGO
6.1. Introducción
6.2. Definición de riesgo e incertidumbre
6.2.1. Gestión del riesgo
6.3. Pensamiento basado en el riesgo

6.4. ¿Por qué aplicar el enfoque basado en el riesgo?
6.5. Enfoque al riesgo en otras normas
6.5.1. Sistemas de gestión de la continuidad de negocio. ISO 22301

6.5.2. Sistemas de gestión de la seguridad de la información. ISO 27001
6.5.3. Sistemas de gestión de la seguridad y la salud laboral. OHSAS 18001
6.6. Gestión del riesgo en ISO 9001:2015
7
6.7. Metodología de gestión del riesgo según ISO 31000
6.8. El riesgo de la gestión del riesgo
Capítulo 7.
OTRAS NOVEDADES
7.1. Introducción
7.2. Identificación del contexto y de las partes interesadas
7.3. Gestión del servicio post-venta
7.4. Gestión del conocimiento
7.5. Desaparición de las acciones preventivas
7.6. Desaparición de la figura “representante de la dirección”
7.7. Desaparición del manual de calidad
Anexo I.
MATRIZ DE CORRELACIÓN ENTRE
ISO 9001:2008 E ISO 9001:2015
Anexo II.
LISTA DE REFERENCIAS A LA INFORMACIÓN
DOCUMENTADA EN ISO 9001:2015
REFERENCIAS
8
INTRODUCCIÓN
Tras varios años de análisis y revisión, la publicación de la

norma ISO 9001:2015 —tan temida como esperada— ya es una
realidad.
Miles de organizaciones han arrancado ya con la

implementación de su sistema de gestión acorde a la nueva
norma, y muchos miles más han empezado a pensar cómo van a
abordar el proceso de transición. No olvidemos que existen ya más
de un millón de empresas certificadas en ISO 9001 en todo el
mundo.
¿Qué es el pensamiento basado en el riesgo y cómo

debo aplicarlo? ¿Sigue siendo válido el mapa de procesos
de mi empresa? ¿Y el sistema documental? ¿¿¿Debo
modificar TODOS los procedimientos y registros del sistema
documental??? Y la más delicada, ¿qué hacemos con el
Responsable de Calidad? Estas son solo algunas de las
preguntas que me llegan relacionadas con la nueva revisión de ISO
9001… a lo largo de los siguientes capítulos se responden a estas y
a otras muchas cuestiones relacionadas tanto con los nuevos
requisitos como con los que desaparecen.
Pero no nos engañemos. Está claro que esta ha sido una

revisión de gran calado y que el proceso de transición no será fácil,
—empezando por la comprensión del nuevo texto de la norma—
por lo que el principal objetivo de este libro es hacer una
descripción lo más sencilla posible de los nuevos contenidos de la
norma —y de cómo implementarlos— de forma que el proceso de
transición sea lo más eficaz y menos traumático posible.
Escrito en un lenguaje riguroso pero sencillo y plagado de
ejemplos y situaciones prácticas, este libro pretende ser una guía
útil tanto para aquellas empresas que aborden la implementación
de la norma por primera vez como aquellas que ya estén
certificadas. Para ello, se incluyen como anexos la correlación entre
9
los puntos de la antigua versión 2008 y la nueva versión 2015 (que
será de gran ayuda para empresas ya certificadas con la antigua
versión en su proceso de adaptación a la nueva), así como un
listado en el que se especifican los nuevos documentos y registros
obligatorios, que facilita la optimización del sistema documental
para todas las empresas inmersas en la implementación de la
norma.
10
CAPÍTULO 1.
HISTORIA DE ISO 9001
1.1. GENERALIDADES
Tras más de 25 años de historia (la primera versión de ISO
9001 data de 1987), y más de un millón de certificados en todo el
mundo, nadie pone en duda que la norma ISO 9001 es el estándar
de referencia para los sistemas de aseguramiento y gestión de la
calidad.
Como consecuencia, todas las revisiones de esta norma

generan gran expectación, tanto entre sus usuarios como en
empresas que están valorando su implementación, y los cambios
que implica cada versión en los sistemas de gestión son tan
esperados como temidos por su impacto en la dirección de
entidades de todo tipo, sector y actividad.
La revisión del año 2015 ha aterrizado con numerosos cambios

en el enfoque, la estructura, los requisitos e incluso en los
términos y definiciones lo que la convierte en una de las
revisiones más importantes y significativas de la norma.
Comprender e interpretar correctamente estos cambios no solo
11
es importante para las empresas que abordan ahora la
implementación de ISO 9001 por primera vez, sino que es esencial
para empresas que hayan implementado sistemas de gestión que
ya estén en funcionamiento pues entre otras cuestiones, deben
hacer frente a la adaptación de sus procedimientos y sus manuales
para que satisfagan los requisitos de la nueva revisión de la
norma.
1.2. BREVE HISTORIA DE LA CALIDAD

Para comprender la amplia difusión que tienen actualmente los
sistemas de gestión de calidad (y más concretamente la norma
ISO 9001) en el mundo, es fundamental dar un breve repaso a su
historia y conocer sus orígenes.
1.2.1. Érase una vez… en Estados Unidos Los

primeros brotes “serios” relacionados
con la calidad se remontan a principios
del siglo XX y empiezan en la empresa
americana Bell Telephone System.
Hacia 1920, la empresa, preocupada por la calidad de los
productos suministrados por sus proveedores, decidió crear un
departamento de inspección en su filial de Western Electric
Company. Uno de sus objetivos era encontrar una forma de
conseguir un buen número de datos sobre la calidad de sus
equipos sin aumentar los niveles de inspección.
12
Artículo sobre la compañía Bell Telephone System En 1933, un ingeniero de la
empresa Bell, Walter A. Shewhart, fue el primero de reconocer que la
variabilidad (diferencias reales entre productos teóricamente idénticos) es
inherente a la fabricación industrial, pero que puede ser medida y controlada
mediante herramientas estadísticas.
De esta forma introdujo el control estadístico aplicado a los

procesos de producción industrial con el fin de disminuir la
variabilidad y mejorar la fiabilidad de los sistemas de transmisión
fabricados en la compañía.
Consiguió establecer una metodología válida para identificar el

origen de los errores para disminuir el porcentaje de producto
defectuoso y mejorar la productividad.
13
En 1939 publicó el libro “Método estadístico desde el punto
de vista del Control de Calidad” en el que sienta las bases del
control estadístico aplicado a los procesos industriales.
Ejemplo de gráfico de control estadístico En septiembre de ese mismo año, se

declara la segunda guerra mundial.
Curiosamente, la guerra fue uno de los principales impulsores

del desarrollo del control de calidad ante la necesidad imperiosa de
fabricar productos más seguros para los soldados (en el ámbito
militar, un producto de mayor calidad implica directamente un
producto más seguro) y más fiables (desde municiones más fiables
hasta paracaídas más seguros) que disminuyeran las pérdidas en
el frente de la guerra.
En el año 1942, en plena guerra, se constata que 345 paracaídas

de cada 1.000 fabricados, no se abrían.
Trabajadoras inspeccionando un paracaídas de nylon durante la II guerra mundial

Así, uno de los objetivos que se estableció la industria bélica fue cómo fabricar
14
productos de mejor calidad a un coste menor.
Una de las primeras medidas fue desarrollar un control de la

calidad de las municiones basado en métodos estadísticos ante la
evidente imposibilidad de verificar el 100% de los productos.
Estos métodos de inspección por muestreo consisten en aceptar

o rechazar cada lote de productos inspeccionando un número
concreto de unidades y tomando la decisión en función del número
de unidades rechazadas en el lote tras ser inspeccionadas,
medidas o comparadas con las correctas.
Proceso de inspección de productos Este tipo de inspección por muestreo

ahorra tiempos y costes de inspección.
Estos métodos de muestreo están basados en normas y

estándares. Las primeras normas en hacer su aparición fueron las
Z1 (también denominadas Military Standards 105).
Los estándares MIL-Q-9858 “Quality Program

Requirements” todavía son ampliamente empleadas en los
planes de muestreo por lote que aún se siguen empleando en
algunos sectores.
Basada en las normas MIL, ISO ha publicado la norma ISO 2859-

1:2012 Procedimiento de muestreo por la inspección de
atributos. Parte 1: Planes de muestreo para las inspecciones lote
por lote, tabulados según el límite de calidad de aceptación
(LCA).
15
Ante el éxito obtenido al aplicar estos métodos de control al
producto terminado, al ejército le siguieron también otras agencias
gubernamentales como la Administración Nacional Aeronáutica y
Espacial, más conocida como la NASA.
1.2.2. Érase una vez… en Europa Al mismo

tiempo, la OTAN desarrolla el
documento AQAP-1, “NATO Quality
Control Requirement for Industry” y
extiende el uso de los estándares MIL
por Europa, donde las Fuerzas Armadas
Británicas las adoptan como modelo
normativo para sus productos. La
metodología de evaluación de
proveedores se extiende —cómo no— a
Europa, con el problema añadido de la
gran diversidad de modelos de control
que empiezan a proliferar en los
distintos países.
En ese momento, la organización British Standard toma
cartas en el asunto y desarrolla la norma BS 5750 en 1979 como
estándar de control de proveedores.
Los aspectos clave de BS 5750 eran los siguientes:
• Responsabilidad • Equipo de Inspección y Prueba •

de la Gerencia • Estado de Inspección y Prueba •
Sistema de Control de Producto No Conforme •
Calidad • Acción Correctiva • Manipulación,
Evaluación de Almacenaje, Embalaje y Entrega •
Contrato • Registros de Calidad • Auditorías
16
Control de Diseño Internas de Calidad • Formación •
• Control de Servicio • Técnicas Estadísticas
Documentos •
Compras
• Requisitos del
Cliente •
Identificación y
Trazabilidad del
Producto •
Control de
Proceso •
Inspección y
Prueba
Aspectos clave de BS 5750
BS 5750 fue una norma que se desarrolló claramente orientada

al control de los resultados de la producción pero incluyendo
bastantes aspectos relativos a la gestión (desde la evaluación del
contrato o los requisitos del cliente hasta las auditorías internas o
el control de los registros).
No incluía aspectos básicos de la gestión de la calidad —como

la conocemos hoy— como la mejora continua o la satisfacción del
cliente.
No obstante, esta norma es considerada como la antepasada

más directa de la norma ISO 9001, por su gran éxito y su adopción
de forma generalizada por empresas de todos los países europeos.
17
Artículo sobre la certificación de BS 5750
El éxito y gran difusión de la BS 5750 tuvieron como

consecuencia que ISO la asumiera en su práctica totalidad, la
elevara a la categoría de norma internacional, y la publicara como
la primera versión de la norma ISO 9001 en 1987.
SOANS muestra su certificado BS 5750 en el año 1978
Antes de la guerra, la organización actualmente conocida como

ISO, ejercía su actividad bajo el nombre de Federación
Internacional de Asociaciones de Normalización
Nacionales (ISA) y su objetivo era crear normas para el sector
de la ingeniería mecánica.
Fue disuelta durante la segunda guerra mundial.
En 1946, delegados de veinticinco países se reunieron en

Londres con el objetivo de fundar una nueva organización
18
internacional que se responsabilizara de la creación de
estándares de uso internacional. En 1947, empieza la actividad
de ISO.
En la actualidad, ISO es una organización independiente, no

gubernamental que está compuesta por representantes de más
de 100 países, y más de 3.000 organismos técnicos responsables
de desarrollar y revisar normas para todos los sectores y todos
los ámbitos.
Es la entidad normalizadora de referencia en todo el mundo.
Su misión es “promover el desarrollo de la estandarización

y actividades relacionadas con el propósito de facilitar el
intercambio internacional de bienes y servicios, y para
desarrollar la cooperación en la esfera de la actividad individual,
científica, tecnológica y económica”.
El nombre de ISO proviene del griego “isos” que significa igual.
1.2.3. Érase una vez… en Japón Antes de la

guerra, los esfuerzos japoneses con
respecto a la calidad se limitaban a la
puesta en práctica —y no de forma
generalizada— de prácticas de
inspección de producto. Algunos
expertos tenían conocimiento de las
técnicas de inspección por muestreo
que se empezaban a realizar en Estados
Unidos y Europa pero no se estaban
poniendo realmente en práctica de
forma consciente y sistemática.
Tras el final de la guerra, Estados Unidos decidió enviar a Japón
19
un grupo de expertos que les apoyasen en el proceso de
reconstrucción económica del país —totalmente arruinado tras la
derrota en el conflicto—, mediante la formación en nuevas técnicas
y procesos de producción que ya habían sido puestos en marcha
con éxito en EE.UU. y Europa.
Uno de los aspectos que se pretendió trasladar fue el sistema

de control estadístico de la calidad aplicado a los procesos de
fabricación, como forma de mejorar la calidad de la producción.
Actividades de inspección de producto en empresa japonesa En 1949, se fundó

en Japón la JUSE (Japanese Union of Scientists and Engineers, Unión de
Científicos e Ingenieros Japoneses), organización cuyo primer paso fue
establecer un Comité de Investigación en Control de Calidad formado por
personas provenientes de las universidades, la industria y el gobierno.
En 1950, Walter E. Deming, un científico estadounidense

dedicado a la estadística —y discípulo de Shewhart— fue invitado
por la JUSE a participar en un seminario ante un buen número de
los principales hombres de negocios de Japón, personas en las que
había recaído la difícil tarea de reflotar la economía del país.
Unos años después, en 1954, fue Joseph Juran el invitado a

participar en una serie de seminarios orientados a la promoción y
aplicación del sistema estadístico de control de calidad así como
otros aspectos administrativos de la producción, como la
planificación, la organización o la importancia del liderazgo de la
dirección con respecto a la calidad.
20
A lo largo de estas ponencias Juran consiguió convencer a su
audiencia de que la mejor estrategia para convertir a Japón en una
potencia era enfocar sus esfuerzos a la obtención de un producto
de calidad, con bajos costes y altos niveles de
rentabilidad…
Toyota tras la segunda guerra mundial …y así fue.
El país pronto experimentó un desarrollo imparable gracias a la

puesta en práctica de procesos de gestión directamente
relacionados con la calidad y la mejora continua y se convirtió en
lo que hoy es, una nación altamente industrializada, puntera en
productos tecnológicos (sobre todo en el sector del automóvil y en
la electrónica) de altísima calidad a precios muy competitivos.
Walter E. Deming es conocido como uno de los padres de la

calidad, y a él se le atribuyen sentencias tan famosas como “no
se puede gestionar lo que no se puede medir” o “En Dios
confiamos, el resto… deben aportar datos” y, sobre todo,
“Para una organización, la mejora continua de su
desempeño debe ser un objetivo permanente”.
Murió en 1993 y su nombre quedará asociado para siempre al

desarrollo y crecimiento de Japón tras la segunda guerra
mundial.
De hecho, en Japón se otorga anualmente el Premio Deming a

la Calidad, que es el reconocimiento más antiguo que existe a
la gestión de la calidad empresarial.
En 1986, con Norteamérica sumida en una profunda crisis
21
económica, publicó el libro “Out of the Crisis” (Salir de la
crisis) donde explica con claridad meridiana su filosofía de la
calidad, la productividad y la competitividad. Este libro, en el que
se enumeran los ya famosos “14 puntos para la gestión” que
recomienda implementar a las compañías para obtener mejores
resultados, se convirtió en el punto final (se publicó a escasos
años de su fallecimiento) de su exitosa carrera profesional.
Pero no toda la calidad vino de América… en 1949, Kaoru

Ishikawa, un ingeniero químico con experiencia en el ámbito
industrial y bélico, y profesor del área de ingeniería de la
universidad de Tokio, comenzó a destacar por su promoción del
control de calidad y su aportación a las teorías de gestión de
calidad.
A él le debemos una de las metodologías más famosas para la

identificación de causas de errores y análisis de causas: el
diagrama de Ishikawa, también llamado diagrama “causa-
efecto” o “espina de pescado”.
Diagrama causa-efecto o “Espina de Ishikawa”
1.2.4. Los años setenta En Estados Unidos,

Joseph Juran y Philip Crosby, siguieron
la estela de Deming y promovieron el
desarrollo de la calidad aplicada a la
22
mejora de los procesos industriales a la
vista de los excelentes resultados que
se observaban en las empresas
japonesas.
Pero la fama de Deming y el extraordinario éxito de las teorías
de gestión de calidad impactaron de verdad a Estados Unidos de la
mano del japonés Kinishi Koyanagi.
Invitado a participar en unos seminarios en Rochester —casi
veinte años después del seminario de Deming en Japón—,
deslumbró a su audiencia con la presentación del progreso
obtenido por trece compañías japonesas que habían conseguido
elevar la calidad y la productividad a partir de las teorías de
Deming.
A mediados de los setenta, la crisis del petróleo, la guerra de
Irak y la caída del dólar sumen a Estados Unidos en una profunda
crisis y el antaño gigante de la producción se ve desplazado como
principal fabricante de automóviles, productos electrónicos y
tecnología en general por otras potencias asiáticas emergentes
como Japón, Korea, Taiwan o Hong-Kong, que no solo son capaces
de fabricar productos de mayor calidad sino a un precio más
competitivo.
Prototipo de vehículo propulsado por levitación magnética desarrollado por

NISSAN
23
Esta necesidad de recuperar su posición en el mercado mundial
hizo que Estados Unidos se posicionara definitivamente del lado
del Control Total de la Calidad (Total Quality Control, TQM) como
medio para mejorar sus procesos de producción.
1.2.5. Finales del siglo XX

Los años ochenta representan la consolidación en todo el
mundo de los sistemas de gestión de la calidad como medio para
lograr la competitividad, especialmente en empresas de
producción: constructoras, empresas del sector químico, metal…
La norma se implementa de forma generalizada, a veces,

integrada con otras normas de sistemas de gestión como ISO
14001 (gestión del medio ambiente), ISO 22000 (aseguramiento
de la inocuidad alimentaria) o ISO 27001 (seguridad de la
información).
Ejemplo de Certificado integrado ISO 9001 e ISO 14001
A partir de los años noventa y especialmente, a partir de la

publicación de la versión del año 2000, tiene lugar la adopción
definitiva de la norma por parte de sistemas de servicios:
entidades financieras, empresas de marketing, asesorías,
empresas de limpieza, educación, sanidad, transportes…
1.2.6. En la actualidad Después de veinticinco

años y con varias revisiones en su
haber, ISO 9001 es la norma más
certificada en el mundo, con más de un
millón de certificados en todo el mundo.
24
Ejemplo de Certificado ISO 9001
La expectación que ha causado el proceso de revisión de ISO

9001:2008 y posterior publicación de la revisión 2015 avalan que
ISO 9001 sigue siendo la norma de referencia para las
organizaciones que desean implementar un sistema de gestión de
la calidad eficaz y eficiente.
Año Evento
1939 Shewhart publica “Método estadístico desde el punto de
vista del control de calidad”
En septiembre, estalla la segunda guerra mundial
1945 Finaliza la guerra
1947 Se crea el organismo normalizador internacional ISO
1949 Se funda la JUSE (Unión de Científicos e Ingenieros
Japoneses)
1950 Deming imparte su primer seminario de gestión de
calidad en Japón
1952 Japón entra a formar parte de la organización ISO
1954 Juran es invitado a dictar varios seminarios relativos a
la gestión de calidad para los empresarios japoneses
1959 El Departamento de Defensa de EE.UU. publica las
normas NMIL-Q-9858
1968 OTAN publica el documento AQAP-1
1979 British Standard publica la norma BS 5750
1986 Deming publica el libro “Out of Crisis”
1987 ISO publica la primera edición de la norma: ISO
9001:1987
Cronología de eventos relacionados con la calidad
25
26
CAPÍTULO 2.
NORMA ISO 9001
2.1. ESTRUCTURA DE LA FAMILIA ISO 9000

La norma ISO 9001 es la norma más popular de la “familia” ISO
9000. Aunque la más conocida es ISO 9001 por ser la norma que
describe los requisitos del sistema de gestión de calidad, en
realidad, este grupo de normas está compuesto en la actualidad
por los siguientes estándares:
Familia ISO 9000
ISO 9000 ISO 9001 ISO 9004
Estándares que componen la familia de normas ISO 9000
• ISO 9000:2015 Sistemas de gestión de la calidad.

Fundamentos y vocabulario: esta norma describe los
conceptos y principios fundamentales de la gestión de calidad e
incluye términos y definiciones que aplican a todas las
normas de gestión de la calidad.
27
• ISO 9001:2015 Sistemas de gestión de la calidad.
Requisitos: esta es la norma que describe los requisitos que
debe satisfacer una organización que declare estar alineada
con la norma. Es la única de entre las tres que está
desarrollada con propósito de ser empleada para la
certificación por tercera parte.
• ISO 9004:2009 Gestión para el éxito sostenido de una
organización. Enfoque de gestión de la calidad: esta
norma proporciona directrices a las organizaciones para
ayudarlas a alcanzar un éxito sostenido a partir de la
implementación de ISO 9001. A pesar de que en su propósito
original no es una norma certificable, algunas entidades de
certificación ofrecen certificaciones (no acreditadas en la
mayoría de los casos) basadas en este modelo de mejora.
La Asociación Española de Normalización y Certificación (AENOR)

ofrece la posibilidad de obtener la “Certificación en Gestión
Avanzada 9004”. Esta certificación está basada en la
verificación externa de la bondad del proceso de autoevaluación
que realiza una organización que aplica la norma española UNE
66174 Guía para la evaluación del sistema de gestión
para el éxito sostenido de una organización según ISO
9004:2009.
2.2. NORMA ISO 9001
2.2.1. Quién puede implementar la norma

ISO 9001
La norma ISO 9001 tal y como la conocemos ahora, es una
norma genérica, aplicable a cualquier organización, sin
importar su tipo o tamaño, sector al que pertenezca o actividades
que lleve a cabo.
28
Desde su publicación original en 1987, la norma ha ido
evolucionando según las necesidades cambiantes de las
organizaciones y de los mercados.
Como hemos visto en el capítulo anterior, si bien originalmente
el enfoque de la norma era hacia empresas dedicadas a la
producción y a la fabricación, gracias al éxito y difusión de la
certificación de calidad, las diversas revisiones, especialmente la
del año 2000, han sido orientadas precisamente a la generalización
de la norma para todo tipo de sectores y actividades.
Esta generalización se ha conseguido gracias a los cinco

elementos clave presentados por ISO en la revisión del año 2000 y
que se mantienen en la actualidad: • Requisitos generales y de la
documentación.
• Requisitos para la dirección de la organización.

• Gestión de los recursos.
• Gestión de la producción apoyada en la gestión por procesos.
• El análisis, la medición y mejora del sistema de gestión.
Puede ser aplicada por igual a empresas de producción

(fábricas, talleres…) que a empresas de servicios (hoteles,
universidades…) y sirve de herramienta para la mejora tanto a la
empresa privada como a la pública (gobiernos y
ayuntamientos, agencias locales…), tanto a pymes como a
grandes empresas multinacionales.
LOGITRAVEL es la primera agencia de viajes on-line certificada en ISO 9001
29
2.2.2. ISO 9001 en el mundo Anualmente,
ISO hace un seguimiento del estado de
las certificaciones en todo el mundo y
publica el informe ISO Survey. Este
informe permite seguir la evolución del
número de certificados de cada norma,
incluida ISO 9001 gracias a la
información aportada por cada país
miembro de ISO.
El último informe ISO Survey corresponde al año 2014 y arroja
resultados como los que se muestran a continuación:
Evolución en el número de certificados (fuente: ISO Survey 2014) A pesar de que

su crecimiento es moderado comparado con tiempos pasados —el boom de la
norma tuvo lugar hace dos décadas—, el buque insignia de ISO, la norma ISO
9001, sigue siendo la norma más certificada en el mundo con más de un
millón de certificados, triplicando al número de certificados de la norma que la
sigue (ISO 14001 Sistemas de gestión del medio ambiente).
Algunos de los países que destacan con mayor número de

empresas certificadas en ISO 9001 son los siguientes:
País Número de certificados

China 342.800
Italia 168.960
Alemania 55.363
Japón 45.785
India 41.016
Reino Unido 40.200
30
España 36.005
Estados Unidos 33.008
Francia 29.122
Australia 19.731
Brasil 18.000
Número de certificados por país (fuente: ISO Survey 2014) 2.2.3. ISO 9001 en
España En nuestro país, la certificación de ISO 9001 se empezó a popularizar a
partir de finales del siglo pasado y tuvo su punto álgido en el año 2008.
Evolución en el número de certificados en España (fuente: ISO Survey 2014) La

delicada situación de los mercados europeos y la crisis económica que ha
asolado a Europa en los últimos años, tuvo un efecto claro en el número de
empresas que decidieron abordar la certificación que han caído ligeramente en
los dos últimos años.
2.2.4. Ventajas y beneficios de implementar

ISO 9001
Como hemos visto, son legión las empresas que han
implementado y certificado un sistema de gestión de calidad según
ISO 9001.
Pero implementar una ISO 9001 supone un coste para las

empresas. Al gasto que supone la auditoría de certificación más la
contratación de las empresas de consultoría especializada —si se
desea contar con ellas—, se debe sumar el tiempo y esfuerzo de
toda la organización en su conjunto con el equipo directivo al
frente de todo el proyecto.
Pero, ¿cuáles son los beneficios? ¿Por qué invertir en

implementar ISO 9001?
31
Gracias a la larga experiencia que existe ya con este estándar,
existen múltiples estudios y análisis sobre los beneficios reales que
aporta su implementación en una organización.
Aunque existen muchos casos en que empresas certificadas han
abandonado tanto la certificación como el sistema, lo cierto según
la información que proporcionan las propias empresas, el
esfuerzo vale la pena.
Algunos de los beneficios, tanto directos como indirectos de la

implementación de un sistema de gestión se muestran a
continuación.
• Mejora en la gestión y dirección de la organización: la
norma ISO 9001 exige la implicación total del equipo directivo
en la implementación del sistema y su mejora continua, la
revisión sistemática de los datos, el establecimiento de
objetivos y la toma de acciones encaminadas a la consecución
de los mismos.
Como consecuencia de la implementación, el equipo de
dirección dispone de más datos sobre el funcionamiento de la
organización —y datos más objetivos— lo que permite tomar
mejores decisiones y llevar a cabo una mejor planificación y
gestión de la empresa.
• Aumento de la productividad: la implementación del
sistema supone una revisión profunda de todos los procesos y,
en muchos casos, su rediseño. Cuellos de botella, procesos
ineficientes, escasez de recursos, personal con insuficientes
competencias para el trabajo que se les ha asignado… Estas
y otras carencias salen a relucir en esta evaluación de procesos
—la etapa preliminar del proceso de implementación— y
permiten a la organización establecer medidas correctoras que
redundan directamente en un aumento de la eficiencia de los
procesos, y por ende, una disminución del consumo de recursos
y un aumento de la productividad.
• Clientes satisfechos: una de las claves del éxito de los
sistemas de gestión es el enfoque a los clientes y grupos de
interés de la compañía. Evaluar su grado de satisfacción, tratar
32
de identificar sus expectativas, contar con su opinión en el
desarrollo del producto o del servicio, gestionar
adecuadamente sus propuestas, ideas o quejas… todas estas
acciones llevan directamente a un aumento de su grado de
satisfacción para con la organización, lo que permite una
mayor fidelización y simplifica el proceso de captar nuevos
clientes.
• Personal motivado: la norma exige que el personal de la
organización conozca sus funciones y responsabilidades dentro
de la misma, así como que tenga las competencias necesarias
para desempeñarlas eficazmente, lo que supone que la
organización se preocupa de la formación continua y el reciclaje
de su personal lo que unido a un entorno de trabajo mejor
gestionado redunda muy favorablemente en el nivel de
motivación del personal interno.
• Mejora de la imagen: una certificación ISO 9001 en sí misma
es un distintivo de calidad y una excelente carta de
presentación para la empresa. En muchos casos, es el billete
para poder entrar a determinados mercados u optar a
proyectos concretos en los que se exige esta certificación como
primer paso a cumplir como proveedor de productos o de
servicios.
Es cada vez más frecuente que las administraciones públicas

incluyan en sus pliegos de condiciones cuando licitan una obra o
un servicio que los solicitantes estén certificados en ISO 9001, y
en algunos sectores —como la construcción o el transporte—
se ha convertido prácticamente en requisito imprescindible para
mantenerse en el mercado.
33
Beneficios de la implementación de un sistema de gestión de calidad Un estudio
llevado a cabo hace unos años por la Universidad de UCLA (University of
California, Los Angeles), puso de manifiesto que las empresas estadounidenses
que cotizaban en la Bolsa de Nueva York, y que estaban certificadas en ISO
9001, habían alcanzado una mejora de su desempeño financiero superior en
comparación con otras empresas que no contaban con esta certificación.
Algunos de los indicadores evaluados en este estudio fueron el

ROA (Return of Assets), o rentabilidad económica, que es la
relación entre el beneficio obtenido en un determinado periodo
(antes de intereses e impuestos) y los activos globales de la
empresa, el ROS (Return of Sales), o rentabilidad de las ventas,
que es el resultado de dividir la utilidad neta después de impuestos
por las ventas netas de la empresa (después de devoluciones y
descuentos).
Este estudio también sirvió para demostrar que las empresas
que acometieron este proyecto de forma rigurosa, obtuvieron
mejores resultados y mayores beneficios de la certificación.
En resumen, leyendas urbanas aparte, implementar un sistema

de gestión acorde a ISO 9001 no es en absoluto un coste sino una
inversión para la organización, que verá recompensado su esfuerzo
con una evidente mejora de sus procesos y de sus resultados.
34
CAPÍTULO 3.
PROCESO DE REVISIÓN DE ISO 9001
3.1. PROCESO DE REVISIÓN DE LAS NORMAS

ISO
Todas las normas ISO son revisadas por su Comité Técnico cada
cinco años con el objetivo de analizar si necesitan alguna
modificación o actualización para mantener su vigencia y
relevancia. Para llevar a cabo este proceso, el Comité Técnico
correspondiente —en el caso de la norma ISO 9001, se trata del
Comité Técnico 176— cuenta con la opinión de todas las partes
involucradas en el proceso.
Reunión del Comité Técnico ISO/TC 176
35
El proceso de revisión está dividido en seis etapas, a lo largo de
las cuales el documento pasa por los siguientes estadios: • Fase 1:
propuesta de nuevos temas de trabajo (NWIP) En esta fase,
se lleva a cabo la evaluación de la norma para determinar si
necesita algún cambio o modificación. Para ello se tienen en
cuenta observaciones, comentarios y propuestas de todos los
que participan activamente del uso y aplicación de la norma
(empresas, entidades de certificación…). Estas propuestas,
denominadas “Propuestas de Nuevos Temas de Trabajo” (New
Work Item Proposal, NWIP) son sometidas a la valoración del
Comité Técnico antes de ser aceptadas.
• Fase 2: borrador de trabajo (WD) Con las propuestas de
revisión de los contenidos de la norma que han sido aceptadas
encima de la mesa, el Comité Técnico comienza su labor y
emite un primer borrador de trabajo (Work Draft, WD) que
las integra. Cada sección del documento suele ser encargado a
un grupo (Subcomité Especial) específico y se suele contar con
la opinión de expertos de todo el mundo de reconocido
prestigio.
• Fase 3: borrador del comité (CD) En esta etapa, los
miembros del Comité Técnico realizan comentarios y votan
sobre los distintos borradores (Committee Draft, CD) que se
van elaborando hasta alcanzar un consenso sobre su contenido
técnico. De momento, el borrador es un documento interno
que se mantiene en el entorno del Comité Técnico, los grupos
de trabajo y los expertos consultados.
• Fase 4: proyecto de norma internacional (DIS) Al final de
la etapa anterior, el CD definitivo es sometido a votación por
los miembros del Comité y aprobado para ser registrado como
Proyecto de Norma Internacional (Draft International Standard,
DIS).
El DIS se distribuye a todos los miembros de ISO que disponen
de tres meses para revisarlo, comentarlo y emitir un voto a
favor o en contra.
Tanto el Comité Técnico como los distintos Subcomités, deben
tomar en consideración TODOS los comentarios de los distintos
36
miembros de ISO, para revisar nuevamente el borrador DIS.
Suele establecerse entonces otro periodo de revisión del nuevo
borrador revisado.
• Fase 5: proyecto final de norma internacional (FDIS) En
esta etapa el nuevo borrador de la norma (Final Draft
International Standard, FDIS) vuelve a ser distribuido a los
miembros de ISO, esta vez durante un periodo de dos meses
para su revisión y votación.
• Fase 6: norma internacional Una vez el FDIS es aprobado, su
contenido técnico ya no puede ser modificado por lo que el
documento final únicamente contiene modificaciones de tipo
editorial y es publicado como Norma Internacional.
3.2. REVISIONES EXISTENTES DE ISO 9001

Como hemos visto, la primera edición de ISO 9001 data del año
1987, con los antecedentes de la norma BS 5750 primero y antes,
del estándar americano MIL-Q-9858.
Antecedentes de ISO 9001
Como cualquier otra norma ISO, ha ido sufriendo varias

revisiones a lo largo de los años.
37
Revisiones de la norma ISO 9001 desde la original hasta la actual Veamos cada
una de ellas con detalle.
3.2.1. Año 1987: primera edición de la norma

Aunque siempre nos referimos a ISO
9001:1987 como la primera revisión de
la norma, en realidad, ISO publicó la
“serie” ISO 9000 que estaba compuesta
por tres normas:
ISO 9001 Quality systems. Model for quality assurance

in design/development, production,
installation and servicing
in production and installation
in final inspection and test
Serie ISO 9000
Las tres normas eran básicamente equivalentes, si bien se

diferenciaban en el alcance y por tanto, en el tipo de empresa al
que iban dirigidas.
ISO 9001 era la más completa (incluía todos los procesos de la

empresa, desde el diseño y desarrollo hasta la instalación),
mientras que ISO 9002 no incluía el diseño e ISO 9003 estaba
38
orientada únicamente a la inspección final.
Esta primera edición de ISO 9001 se estructuraba en cuatro
capítulos principales, siendo el último de ellos el que describía los
requisitos del sistema de calidad.
El apartado de los requisitos se desglosaba a su vez en veinte

capítulos, uno por cada proceso.
39
Una de las características principales de estas normas es que
las tres pueden ser auditadas, introduciendo así en el mercado el
concepto de certificación por tercera parte.
No existen datos contrastados del volumen de empresas
40
certificadas en los primeros años de vida de la norma, pero sí se
conoce que su mayor aceptación se produjo en Europa.
Junto con las normas de requisitos, se publican también otras

dos normas complementarias:
ISO 9000 Quality management and quality assurance

standards. Guidelines for selection and use
ISO 9004 Quality management and quality system
elements. Guidelines
Serie ISO 9GGG
3.2.2. Año 1994: segunda edición de la

norma En el año 1994, y sin grandes
cambios respecto de la versión original,
el comité técnico responsable de las
revisiones de ISO 9001 (ISO/TC 176)
emite la segunda edición de la serie de
normas ISO 9000 manteniendo la
misma estructura de tres normas para
tres diferentes esquemas.
En ese momento, el éxito de la norma es imparable, y aunque
los países europeos siguen a la cabeza del número de
certificaciones, aparecen otros países emergentes como Australia,
China y Japón.
ISO 9001 comienza también a emplearse como “norma de

referencia” para otros estándares de gestión certificables, como
la norma ISO 14001 (para la gestión medioambiental) o la norma
OHSAS 18001 (para la gestión de la seguridad y salud en el
trabajo). Asimismo, se empiezan a desarrollar otros estándares
para la gestión de la calidad en sectores específicos, también
41
basados en ISO 9001 como EN 9100 (calidad en el sector
aeronáutico) y QS-9000 (calidad en el sector automoción).
En 1997, ISO lleva a cabo una ronda de encuestas a más de mil

usuarios de la norma para conocer su opinión y recoger propuestas
de mejora de cara a la revisión del año 2000.
Como un ejemplo más del grado de difusión de la norma, es

reseñable indicar que esta edición de ISO 9001 sí vio la luz en su
versión española, facilitando así su aplicación por parte de las
empresas españolas —y latinoamericanas—.
UNE-EN ISO SISTEMAS DE LA CALIDAD. MODELO PARA EL

9001:1994 ASEGURAMIENTO DE LA CALIDAD EN EL
DISEÑO, EL DESARROLLO, LA PRODUCCION,
LA INSTALACION Y EL SERVICIO POSVENTA.
9002:1994 ASEGURAMIENTO DE LA CALIDAD EN LA
PRODUCCION, LA INSTALACION Y EL
SERVICIO POSVENTA.
9003:1994 ASEGURAMIENTO DE LA CALIDAD EN LA
INSPECCION Y LOS ENSAYOS FINALES.
Versión en castellano de la serie ISO 9000
En España, la publicación de estas normas anula a varias

normas UNE empleadas desde el año 1986 en el aseguramiento de
la calidad: • ISO 9001 anula a la norma española UNE 66901,
aplicable al aseguramiento de la calidad en el proyecto, la
fabricación, la instalación y el mantenimiento.
• ISO 9002 anula a la norma española UNE 66902, empleada en

el aseguramiento de la calidad en las actividades de fabricación
e instalación.
• ISO 9003 anula a la norma española UNE 66903, empleada la
inspección y ensayo final de producto.
42
3.2.3. Año 2000: tercera edición de la norma
A partir de los comentarios recogidos de
los usuarios de la norma (clientes,
entidades de normalización y de
certificación, expertos…), el proceso de
revisión de la serie de normas ISO 9000
(recordemos que en este estadio, aún
existen tres esquemas de certificación)
inicia con los siguientes objetivos
principales: • Mejorar la compatibilidad
con otras normas (ISO 14001,
principalmente).
• Simplificar la carga documental (la anterior edición suponía la
elaboración de hasta 20 procedimientos documentados).
• Simplificar los contenidos de cara a hacerlas más “entendibles”
al usuario.
• Ampliar el enfoque de la norma, para hacerla aplicable también
por el sector servicios.
• Incluir el enfoque a procesos en la gestión de la organización.
• Incluir el enfoque a la prevención y no solo a la corrección de
problemas.
• Incluir el enfoque a la mejora continua.
A la vista de estos objetivos, está claro que la segunda revisión
de la norma resultó una auténtica revolución, y la norma ISO
9001:2000 aportó muchos cambios y de gran calado respecto de la
edición anterior.
Uno de los cambios más significativos es la integración de los
tres esquemas existentes (ISO 9001/ISO 9002/ISO 9003) en un
único esquema de certificación con la posibilidad de que la
organización pueda excluir la aplicación de aquellos requisitos que
no le apliquen en función de sus actividades.
43
Unificación de la serie ISO 9000 tras la revisión del año 2000
Otras de las novedades más importantes de esta edición es la

adopción de los ocho principios de la calidad, que se
constituyen como marco de referencia de los requisitos de la
norma y en los pilares incuestionables de cualquier sistema de
gestión de calidad.
Los ocho principios de la calidad aparecen recogidos y definidos

en la norma ISO 9000:2000 Sistemas de gestión de la calidad.
Fundamentos y vocabulario y en la norma ISO 9004:2000 Sistemas
de gestión de la calidad. Directrices para la mejora del
desempeño.
44
Ocho principios de la calidad Algunos de los más importantes son los siguientes:
• El enfoque al cliente: la calidad deja de ser una apreciación “interna” de la
organización para ser evaluada también desde el exterior a través de la
percepción de los clientes sobre la calidad del producto.
Definición de calidad
• El enfoque a procesos: se abandona el tradicional enfoque

de gestión mediante la organización de áreas o departamentos
independientes entre sí y se propone un enfoque de gestión
estructurado a partir de los distintos procesos que tienen lugar
en la compañía.
La norma exige la identificación de los procesos que existen en
la organización así como la relación existente entre ellos (en la
mayoría de las ocasiones, las entradas de un proceso son las
salidas de otro y viceversa).
El concepto de proceso, su comprensión y su correcta

aplicación a los sistemas de gestión ya existentes supuso,
con diferencia, el requisito más complejo de abordar para
las empresas ya certificadas (y también para las que
decidieron abordar el proceso de implementación con la
nueva edición de la norma).
De hecho, tras la publicación de la norma ISO 9001:2000, el
45
hasta entonces meteórico aumento de los certificados se
estancó ligeramente ante la dificultad de aplicar todos los
cambios.
Como consecuencia de lo anterior, rápidamente se popularizan

los mapas de procesos (representación gráfica de la identificación
de procesos y la relación existente entre los mismos), la propia
norma propone el que se muestra a continuación, que es adoptado
por la mayoría de las empresas.
Mapa de procesos incluido en la versión 2000 de ISO 9001
• La mejora continua: otro concepto innovador que aparece en

la edición del año 2000, es, sin duda, el proceso de mejora
continua del sistema de gestión.
Mediante el establecimiento, la planificación y la vigilancia
continua de los objetivos de la calidad, y apoyándose en
herramientas como el seguimiento y medición de los
procesos, la recogida de datos relativos a la satisfacción de
los clientes y las auditorías internas, la organización está
obligada a mejorar continuamente su desempeño y el de su
sistema.
Superadas las dificultades en la comprensión y aplicación de los
nuevos enfoques, la norma vuelve a difundirse de forma
46
exponencial, esta vez incluyendo empresas de otros sectores que
hasta el momento no parecían muy interesadas —como el sector
público o el sector servicios— y en 1980, el número de certificados
está por encima de los 900.000 en todo el mundo.
Como modelo de proceso de mejora continua, las organizaciones

comienzan a aplicar de manera sistemática una herramienta de
gestión popularizada por Edward Deming y basada en un
concepto ideado por Walter A. Shewhart ya en los años 60…
el ciclo PDCA (Plan-Do-Check-Act).
El modelo PDCA propone una sistemática muy sencilla basada en

la planificación minuciosa de las actividades (Plan) antes de su
despliegue en la organización (Do), y en la obtención de datos
objetivos mediante el seguimiento y la verificación (Check) que
permitan hacer correcciones o mejoras en el proceso (Act).
3.2.4. Año 2008: cuarta edición de la norma

Tras el shock que supuso la edición de
ISO 9001:2000, el sondeo de los
usuarios de la norma por parte de ISO
no aportó grandes necesidades de
cambios para la revisión de 2008.
Los cambios se centraron en mejorar la redacción de algún
47
requisito (por ejemplo, en el apartado 7.6 se cambió la expresión
“dispositivo de seguimiento y medición” por “equipo de
seguimiento y medición”).
De esta forma, la transición de la norma ISO 9001:2000 a ISO
9001:2008 fue muy sencilla de llevar a cabo pues no existían
cambios en la estructura ni en los requisitos del sistema de
gestión. Apenas alguna nota aclaratoria y la modificación de algún
párrafo para darle mayor claridad.
Algunas de esas modificaciones se muestran a continuación (los
cambios se resaltan en negrita).
Texto ISO 9001:2000 Texto ISO 9001:2008

La organización debe realizar La organización debe realizar el
el seguimiento, la medición y seguimiento, la medición cuando
el análisis de los procesos sea aplicable y el análisis de los
procesos
La organización debe La organización debe asegurarse
asegurarse de que se de que se identifican los cambios
identifican los cambios y el y el estado de la revisión actual
estado de la versión de los documentos
vigente de los documentos
La organización debe La organización debe asegurarse
asegurarse de que se de que los documentos de
identifican los documentos origen externo que la
de origen externo y se organización determina que
controla su distribución son necesarios para la
planificación y la operación
del sistema de gestión de la
calidad, se identifican y que se
controla su distribución
La información de entrada La información de entrada para la
para la revisión por la revisión por la dirección debe
dirección debe incluir: a) incluir: a) los resultados de
resultados de auditorías, auditorías, b) la
retroalimentación del cliente, c)
48
b) retroalimentación del el desempeño de los procesos y
cliente, c) desempeño de la conformidad del producto, d) el
los procesos y la estado de las acciones correctivas
conformidad del producto, y preventivas, e) las acciones de
d) estado de las acciones seguimiento de revisiones por la
correctivas y preventivas, dirección previas, f) los cambios
e) acciones de seguimiento que podrían afectar al sistema de
de revisiones por la gestión de la calidad, y g) las
dirección previas, f) recomendaciones para la mejora
cambios que podrían
afectar al sistema de
gestión de la calidad, y g)
recomendaciones para la
mejora
El personal que realice El personal que realice trabajos
trabajos que afecten a la que afecten a la conformidad
calidad del producto debe ser con los requisitos del
competente con base en la producto debe ser competente
educación, formación, con base en la educación,
habilidades y experiencia formación, habilidades y
apropiadas experiencia apropiadas
La organización debe validar La organización debe validar
aquellos procesos de todo proceso de producción y de
producción y de prestación prestación del servicio cuando
del servicio donde los los productos resultantes no
productos resultantes no pueden verificarse mediante
puedan verificarse mediante seguimiento o medición
actividades de seguimiento posteriores y, como
o medición posteriores. Esto consecuencia, las deficiencias
incluye a cualquier aparecen únicamente después
proceso en el que, las de que el producto esté siendo
deficiencias se hagan utilizado o se haya prestado el
aparentes únicamente servicio
después de que el producto
esté siendo utilizado o se
haya prestado el servicio
Control de los dispositivos Control de los equipos de
49
de seguimiento y medición seguimiento y medición
La organización debe revisar La organización debe revisar la
las acciones correctivas eficacia de las acciones
tomadas correctivas tomadas
3.2.5. Año 2015: quinta edición de la norma

Tras quince años sin apenas cambios
(como se ha visto, la edición de 2008
era prácticamente igual que la edición
del año 2000) y ante un cierto
estancamiento del número de empresas
certificadas, ISO se planteó hacer de la
edición de 2015 una norma diferente y
mejorada.
Como se verá a continuación, este objetivo se consiguió
ampliamente: cambio en la estructura, nuevos enfoques, requisitos
que aparecen por primera vez y requisitos que desaparecen… la
versión 2015 de la norma ha tenido un impacto extraordinario que
las organizaciones de todo el mundo aún están evaluando como
abordar.
3.3. REVISIÓN DE LA NORMA ISO 9001:2008

En noviembre de 2012 comenzaron los trabajos del Grupo de
Trabajo (Work Group, WG) 24, perteneciente al Comité Técnico
(Technical Committee, CT) 176 de ISO, encargado de la revisión de
ISO 9001.
El proyecto se inició con la revisión de todos los comentarios y

propuestas de mejora —más de tres mil— que se habían recibido
respecto de la revisión 2008 de la norma por parte de los países
miembros de ISO.
50
Tras pasar por varias etapas y revisiones (del borrador ISO CD
al ISO DIS y de ahí al ISO FDIS) finalmente la norma ha sido
publicada como ISO 9001:2015 en septiembre de 2015.
Etapas del proceso de revisión de la norma ISO 9001:2008
3.4. OBJETIVOS DE LA REVISIÓN DE LA

NORMA ISO 9001:2008
Algunos de los objetivos estratégicos sobre los cuales el TC
176 basó su trabajo fueron los siguientes: • Mayor claridad en la
redacción: sin perder de vista el rigor en la descripción de los
requisitos, se ha apreciado un claro esfuerzo en simplificar y
clarificar su redacción. Concretamente en algunos de los puntos
más problemáticos como diseño y desarrollo o control de los
productos suministrados externamente.
• Aplicabilidad de la norma: se incide en el propósito de que la
norma sea aplicable a todo tipo de empresas. Para ello, se ha
flexibilizado el contenido de algunos requisitos (por ejemplo, el
control de los equipos de seguimiento y medición).
Curiosamente desaparece el concepto de exclusión pero es
sustituido por el de no aplicabilidad.
• Enfoque a procesos: si bien el enfoque a procesos ya aparece
en la versión 2000 de la norma, en esta edición se refuerza y
se concreta, definiendo en el apartado Sistema de Gestión de
la Calidad la información a determinar para una correcta
gestión por procesos.
• Enfoque basado en el riesgo: este nuevo enfoque refuerza el
carácter preventivo del sistema de gestión de la calidad que de
51
manera implícita ya estaba presente en anteriores versiones de
la norma —no olvidemos que con anterioridad ya existían las
acciones preventivas para combatir las no conformidades
“potenciales”—.
Ahora las acciones preventivas se eliminan y se sustituyen por
una herramienta más eficaz como el análisis de riesgos. Para
facilitar y flexibilizar esta labor, la norma no incorpora ningún
requisito sobre la metodología a aplicar para la gestión de los
riesgos.
• Flexibilidad en la documentación: este es un objetivo
común a todas las revisiones de la norma. En la revisión de
2015 se concreta en la eliminación de los conceptos
documento, procedimiento, instrucción o registro y su
sustitución por el término “información documentada” y la
desaparición de la obligación de mantener determinados
documentos (como el manual de calidad, o los antiguos
“procedimientos documentados obligatorios”) y dejando en
gran medida a criterio de la organización el tipo y tamaño de
su sistema documental.
3.5. PROCESO DE TRANSICIÓN DE LA NORMA

DE LA VERSIÓN 2008 A LA VERSIÓN 2015
3.5.1. Plazos para la transición El Foro

Internacional de Acreditación
(International Accreditation Forum,
IAF) es un organismo internacional que
se encarga de gestionar los acuerdos
entre los distintos organismos de
acreditación (que a su vez son
responsables de la acreditación de las
entidades de certificación que evalúan
como partes externas, los sistemas de
52
gestión de calidad y cuando procede,
emiten los correspondientes
certificados).
Organismos involucrados en el proceso de certificación ISO
Uno de esos acuerdos ha tenido por objeto establecer un

proceso claro y coherente para la transición de la norma ISO
9001:2008 a la nueva versión 2015.
En colaboración con el Comité ISO/TC 176/SC 2/WG 23, el

proceso de transición se ha establecido de la forma siguiente: • Un
periodo de transición de tres años desde la fecha de
publicación de la norma. Es decir, ese periodo finaliza en
septiembre de 2018, momento a partir del cual todos los
certificados de ISO 9001:2008 pasarán a ser obsoletos.
El periodo de transición es el plazo que tienen todas las

organizaciones certificadas en ISO 9001:2008 para implementar los
cambios de su sistema de gestión y pasar la auditoría respecto de
esta versión de la norma por parte de una entidad de certificación.
Por otro lado, en marzo de 2017 dejan de emitirse nuevos

certificados respecto de esa norma, de forma que a partir de esa
fecha cualquier primera certificación será ya necesariamente
respecto de la versión 2015.
53
Cronología de la transición hacia la nueva ISO 9001:2015
3.5.2. Cómo abordar el proceso 3.5.2.1. Las

empresas Son muchas las empresas que
se ven abocadas a adaptar su sistema
de gestión de calidad a los requisitos de
la nueva versión de la norma. Las
recomendaciones de la IAF para
abordar este proceso sin mayor
sobresalto son las siguientes: •
Identificar las carencias de la
organización que deben abordarse para
cumplir con los nuevos requisitos.
• Diseñar un plan de implementación que aborde estos
aspectos.
• Sensibilizar al personal y proporcionar la formación necesaria
a todas las partes implicadas que tengan algún impacto en la
eficacia de la organización.
• Actualizar el sistema de gestión de calidad existente para
cumplir con los requisitos revisados y proporcionar verificación
de la eficacia.
54
• En su caso, contactar con la entidad de certificación para
acordar la transición del certificado.
3.5.2.2. Las entidades de certificación Las

entidades de certificación deben emprender
sus propias medidas de adaptación, entre las
que se encuentran: • Formar a sus auditores
y asegurar que tienen las competencias
adecuadas.
• Comunicarse y coordinarse con su entidad de acreditación.
• Comunicarse y coordinarse con sus propios clientes —las
empresas certificadas— para planificar y dar soporte a su
proceso de transición.
Las entidades de certificación deben asesorar con cuidado a sus
clientes respecto de la agenda que deberían seguir en su proceso
de transición.
La mayoría de las entidades de certificación estiman que estarán

listas para ofrecer un certificado ISO 9001:2015 avalado por una
entidad de acreditación a principios del año 2016.
Un plazo demasiado ajustado será perjudicial para la

organización, que necesita tiempo suficiente para revisar
exhaustivamente su sistema de gestión y adaptar sus procesos (y
documentos…), generar evidencias, etc.
Un plazo demasiado largo puede suponer un problema para

disponer del nuevo certificado antes de que el actual resulte
obsoleto.
En cualquier caso, el proceso de adaptación podrá realizarse en

una auditoría de seguimiento, en una auditoría de re-certificación o
en una auditoría extraordinaria, según le convenga a la
organización.
55
La solución más eficiente es aprovechar cualquiera de las
fechas ya planificadas para auditorías de seguimiento o re-
certificación. En el primer caso (auditoría de seguimiento), la
entidad de certificación añadirá el tiempo extra que sea necesario
para adaptarse a la nueva agenda.
56
CAPÍTULO 4.
ESTRUCTURA DE ALTO NIVEL
4.1. INTEGRACIÓN DE LOS SISTEMAS DE

GESTIÓN
A lo largo de los años, la organización ISO ha ido publicando
numerosas normas de sistemas de gestión, no solo relativas a
temas de calidad, sino también a medio ambiente, seguridad,
inocuidad alimentaria, etc., con muchos aspectos en común pero
también con requisitos específicos en cada una de ellas.
El interés de las empresas por adoptar estas normas ha llevado

a la popularización de los sistemas de gestión integrados —es
muy frecuente el sistema integrado de calidad y medio ambiente,
por ejemplo, así como el triple calidad, medio ambiente y
seguridad laboral— llevando a cabo el proceso de integración con
mayor o menor fortuna.
En empresas muy grandes o con larga experiencia en los

sistemas de gestión, se pueden encontrar hasta cinco o seis
normas integradas en un único sistema: calidad, medio ambiente,
seguridad laboral, seguridad de la información, seguridad de la
cadena de suministro, continuidad de negocio… las posibilidades
57
son infinitas dado el gran número de posibilidades “ISO” existentes
hoy en día para el mundo empresarial.
Sistema de gestión integrado en base a seis normas La cuestión es que a pesar

de tener muchos aspectos en común, estas normas ISO no tienen la misma
estructura lo que dificulta muchas veces su coexistencia en la empresa de tal
manera que se pueden encontrar compañías en las que los distintos sistemas
implementados funcionan por separado como si de diferentes empresas se
tratara.
Esto obliga a las empresas a tener varios responsables de

sistemas de gestión —que no siempre trabajan en equipo—, planes
de objetivos que no siempre resultan coherentes entre sí y lo que
es peor, diferentes procedimientos para gestionar procesos
prácticamente idénticos, generando confusión y malestar en las
personas implicadas.
58
Este problema pone de manifiesto que la estructura de las
normas es importante; al fin y al cabo, los sistemas de gestión
se crean apoyados en dichas estructuras, por lo que parece claro
que para integrar y combinar las normas de forma sencilla y más
eficiente se necesita que estas tengan una estructura común.
Conscientes del problema que suponía la integración de las

diferentes normas de gestión, y para evitar en la medida de lo
posible las duplicidades, conflictos e incoherencias entre los
sistemas, el grupo JTCG de ISO (Joint Technical Coordination
Group) decidió desarrollar la estructura de un sistema de gestión
“genérico” que pudiese ser aplicado por una organización
independientemente del aspecto que se fuese a gestionar, para
garantizar así la compatibilidad de los distintos sistemas.
Los requisitos básicos que debía tener esta estructura común

eran: • Idéntico número de capítulos.
• Idénticos textos introductorios para los artículos.
• Enunciados idénticos para requisitos idénticos.
• Términos comunes.
Requisitos básicos de la Estructura de Alto Nivel Dicha estructura fue

denominada Estructura de Alto Nivel y está definida en el Anexo SL del
documento ISO/IEC Directivas, Parte 1.
59
60
Extracto Anexo SL
La Estructura de Alto Nivel ya está siendo aplicada a todas

las normas nuevas de sistemas de gestión y a las revisiones de
normas ya existentes (como es el caso de ISO 9001 en su revisión
2015).
Algunos de los cambios que emanan de esta nueva estructura

son sutiles —como sustituir los conceptos de documentos y
registros por información documentada— y otros son de gran
calado, como la desaparición definitiva del responsable del
sistema o la consolidación del pensamiento basado en el
riesgo.
Algunas de las normas que ya han sido armonizadas con esta

estructura se muestran a continuación.
ISO Sistemas de gestión de la continuidad de

22301:2012 negocio
ISO Sistemas de gestión de la seguridad vial

39001:2012
ISO Sistemas de gestión de la seguridad de la

27001:2013 información
ISO Sistemas de gestión de calidad

9001:2015
ISO Sistemas de gestión del medio ambiente

14001:2015
61
Normas armonizadas con Anexo SL
4.2. ANEXO SL
La Estructura de Alto Nivel que figura en el Anexo SL es
aplicado a normas ISO, especificaciones de acceso público (PAS) y
especificaciones técnicas (TS).
Se compone de diez cláusulas:
Cláusula Objeto y campo de aplicación

1
Cláusula Referencias normativas

2
Cláusula Términos y definiciones

3
Cláusula Contexto de la organización

4
Cláusula Liderazgo
5
Cláusula Planificación
6
Cláusula Soporte
7
Cláusula Operación
8
Cláusula Evaluación del desempeño

9
Cláusula Mejora
62
10
Estructura de Alto Nivel • Cláusula 1: Objeto y campo de aplicación

Especifica el objetivo de la norma y en qué casos y para qué usos puede ser
aplicada. Por ejemplo, en este apartado se suele indicar cuando una norma está
previsto que sea utilizada como estándar de referencia en auditorías de tercera
parte (certificación).
En el caso de ISO 9001:2015, se indica que los requisitos de la

norma son genéricos y que pueden ser aplicados por cualquier
tipo de organización, sin importar su tamaño, o los productos y
servicios que proporcione.
• Cláusula 2: Referencias normativas En este apartado, se
incluyen las referencias a otras normas que sean de aplicación.
En el caso de ISO 9001:2015, se incluye la referencia a la
norma ISO 9000:2015 Sistemas de gestión de la calidad.
Fundamentos y vocabulario.
• Cláusula 3: Términos y definiciones Enumera términos y
definiciones de aplicación específica a la norma. En el caso de
ISO 9001:2015, no se incluye ninguno y se repite de nuevo la
referencia a la norma ISO 9000:2015 Sistemas de gestión
de la calidad. Fundamentos y vocabulario.
• Cláusula 4: Contexto de la organización Esta cláusula se
subdivide en otras cuatro sub-cláusulas: — 4.1 Conocimiento de
la organización y su contexto.
— 4.2 Comprensión de las necesidades y expectativas de las
partes interesadas.
— 4.3 Determinación del alcance del sistema de gestión de la
calidad.
— 4.4 Sistema de gestión.
La cláusula 4 lleva a la organización a preguntarse quién es y
dónde está y a valorar la importancia del entorno que la
rodea.
• Cláusula 5: Liderazgo La cláusula 5 está orientada a cómo los
líderes de la organización ejercen su liderazgo, haciendo
especial hincapié en la responsabilidad de la dirección a la hora
de asumir la implementación, mantenimiento y mejora del
63
sistema, establecer y alcanzar los objetivos, asignar los
recursos necesarios para ello, comunicar al resto de la
organización la importancia de cumplir con los requisitos y la
toma de conciencia y participación de todo el personal.
Está dividida en tres sub-cláusulas: — 5.1 Liderazgo y
compromiso.
— 5.2 Política.
— 5.3 Roles, responsabilidades y autoridades en la
organización.
• Cláusula 6: Planificación La planificación del sistema de
gestión se establece en dos sub-cláusulas de gran importancia:
— 6.1 Acciones para tratar riesgos y oportunidades.
— 6.2 Objetivos del sistema de gestión y planificación para
lograrlos.
Este enfoque preventivo es una de las novedades de la norma y
sustituye a las ya obsoletas acciones preventivas. Por otro lado,
se pone especial énfasis en la planificación y despliegue de los
objetivos de la calidad.
• Cláusula 7: Soporte En esta cláusula, aparecen reflejados los
requisitos relativos a los elementos de soporte
(fundamentalmente los recursos), aspectos que existen en
todas las empresas y que son comunes a la mayoría de los
sistemas de gestión: — 7.1 Recursos.
— 7.2 Competencia.
— 7.3 Toma de conciencia.
— 7.4 Comunicación.
— 7.5 Información documentada.
En la sub-cláusula 7.1 se analizan tanto los recursos humanos
(7.1.2 Personas) como los materiales (7.1.3 Infraestructura,
7.1.5 Recursos de seguimiento y medición) y el ambiente de
trabajo (7.1.4 Ambiente para la operación de los procesos).
• Cláusula 8: Operación Esta es la única cláusula en la que ISO
tiene previsto que aparezcan las diferencias entre un sistema y
otro.
64
Aborda todos los procesos operativos, tanto los procesos
internos como los contratados externamente y tiene una única
cláusula: — 8.1 Planificación y control operacional.
En el caso de ISO 9001:2015, incluye varias sub-cláusulas
más para dar cabida a todos los procesos de
producción/prestación del servicio: — 8.2 Requisitos para los
productos y los servicios.
— 8.3 Diseño y desarrollo de los productos y los servicios.
— 8.4 Control de los procesos, productos y servicios
suministrados externamente.
— 8.5 Producción y provisión del servicio.
— 8.6 Liberación de los productos y servicios.
— 8.7 Control de las salidas no conformes.
Esta es la cláusula más larga de la norma, pues a su vez,
muchas de las sub-cláusulas se desglosan en varios apartados.
Por ejemplo, la sub-cláusula 8.5 Producción y provisión del
servicio, se desglosa a su vez en otros seis apartados, entre los
que se encuentran: — 8.5.2 Identificación y trazabilidad.
— 8.5.3 Propiedad perteneciente a los clientes o los
proveedores externos.
— 8.5.4 Preservación.
— 8.5.5 Actividades posteriores a la entrega.
— 8.5.6 Control de los cambios.
• Cláusula 9: Evaluación del desempeño La cláusula 9 incluye
los procesos y actividades necesarios para evaluar el
funcionamiento del sistema de gestión. Está compuesta a su
vez por tres sub-cláusulas: — 9.1 Seguimiento, medición,
análisis y evaluación.
— 9.2 Auditoría interna.
— 9.3 Revisión por la dirección.
La organización debe determinar qué actividades deben ser
supervisadas y cómo. El proceso de auditoría interna y el
proceso de revisión por la dirección forman parte de este
seguimiento del sistema, que busca asegurarse de que el
sistema se ha implementado correctamente, cumple los
65
requisitos de la norma y, lo más importante, que es eficaz.
• Cláusula 10: Mejora Por último, desglosado en dos sub-
cláusulas, la cláusula 10 trata de la última fase del ciclo: la
mejora.
— 10.1 Generalidades.
— 10.2 No conformidad y acción correctiva.
La organización debe identificar desviaciones (“no
conformidades”) y ver la mejor manera de solucionarlas y de
evitar que vuelvan a ocurrir, siempre dentro del enfoque hacia
la mejora continua de la norma.
4.3. ESTRUCTURA DE ISO 9001:2015

La estructura completa de la norma ISO 9001:2015 es como
66
sigue:
4.4. COMPARACIÓN DE LA ESTRUCTURA DE

ISO 9001:2008 E ISO 9001:2015
La nueva estructura de la norma difiere bastante de la anterior,
pues si bien muchos los requisitos son similares, ha cambiado la
ubicación de muchos de ellos, lo que puede dificultar en un primer
momento su localización dentro de la norma.
A continuación se muestra la estructura de ambas normas y en

el Anexo I Matriz de correlación entre ISO 9001:2008 e
ISO 9001:2015, se incluye una tabla comparativa más detallada
que relaciona los contenidos de ambas normas y permite
relacionar los requisitos de la versión 2008 con su actual
equivalente en la versión 2015 —salvo el apartado 7.1.6
67
Conocimiento de la organización, que no tiene ninguna
equivalencia—.
Cláusulas de ISO 9001:2008 e ISO 9001:2015
Otro de los objetivos de establecer una estructura común es la

simplificación: la unificación de la estructura facilita también la
lectura y comprensión de las normas por parte de sus usuarios,
entendiendo como tales no solo las empresas, sino también los
consultores, auditores y otros expertos.
68
CAPÍTULO 5.
NUEVA TERMINOLOGÍA Y CONCEPTOS
5.1. NUEVA TERMINOLOGÍA Uno de los

motivos de la adopción de la Estructura de
Alto Nivel —como se veía en el capítulo
anterior— es facilitar la integración entre las
distintas normas de sistemas de gestión.
Entre otros problemas, hasta el desarrollo del
Anexo SL, no era infrecuente encontrar
distintos términos en diferentes normas para
referirse a lo mismo, lo que provocaba no
pocos dolores de cabeza a las personas
responsables de su implementación.
Un ejemplo es la integración de los sistemas de calidad,

medio ambiente y seguridad y salud laboral, pues las
normas y reglamentaciones que deben cumplir las empresas en
materia de medio ambiente o de seguridad y salud en el trabajo
difieren entre sí y no siempre son fáciles de armonizar con los
69
requisitos de ISO 9001.
Con la Estructura de Alto Nivel esto dejará de ocurrir —al

menos en aquellas normas que adopten esta estructura— pues
para los distintos sistemas se emplearán los mismos términos para
referirse a los mismos conceptos.
Esto puede no ser especialmente bien recibido por aquellas

compañías que ya dispongan de un sistema de gestión de calidad
bien documentado y comiencen ahora a planificar la transición
hacia la nueva ISO 9001:2015. La idea del trabajo que puede
suponer tener que revisar todos sus documentos —y manuales,
instrucciones, registros…— para adaptarlos a esta nueva
“terminología” puede no resultar demasiado atractiva.
No hay problema: la propia norma, en su Anexo A Aclaración

de la nueva estructura, terminología y conceptos, aclara que
no es un requisito que la organización sustituya los términos que
habitualmente utiliza en su actividad diaria o en su sector por los
que aparecen en la nueva edición.
Estos son algunos de los ejemplos de términos unificados:
Proveedor en lugar de Proveedor, socio,

externo partner,
subcontratista…
Información en lugar de Documentos,
documentada registros, formularios,
manuales, protocolos,
procedimientos,
instrucciones…
Ejemplos de términos que pueden ser usados de forma equivalente Es decir, la
norma adopta estos términos para mayor claridad y para facilitar el manejo y
comprensión de la norma, pero no obliga a la empresa a utilizarlos.
Por ejemplo, en el sector salud es habitual encontrar el término

protocolo para identificar a los documentos que describen cómo
llevar a cabo un tratamiento o un ensayo en lugar de
70
procedimientos o instrucciones.
Las principales diferencias entre la versión 2008 y la versión 2015

de la norma, se indican en la tabla siguiente.
Ejemplos de términos que han sido modificados Es par ticularmente destacable

la desaparición del concepto EXCLUSIÓN que pasa a ser sustituido por la NO
APLICABILIDAD de algún apartado, puesto que el cambio más allá de la
simple expresión: en la norma ISO 9001:2008 las exclusiones se
limitaban a la Cláusula 7 mientras que en la norma ISO 9001:2015 no
existe ninguna limitación a la hora de declarar la no aplicabilidad.
Aunque son términos similares, en la práctica se aplican de

forma diferente.
Diferencia entre EXLUSIÓN y NO APLICABILIDAD
5.2. NUEVOS CONCEPTOS

A continuación se destacan algunos de los conceptos más
novedosos de la norma.
71
5.2.1. Información documentada Uno de los
cambios más llamativos es el relativo a
la documentación del sistema.
Desaparecen términos clásicos relativos a la documentación
como documentos, procedimientos documentados, instrucciones de
trabajo y registros y son sustituidas por un único concepto
denominado información documentada con el cual la norma se
refiere a cualquier documento involucrado en el sistema.
Ejemplos de documentos que conforman la información documentada Este

cambio ha suscitado bastantes dudas a la hora de interpretar correctamente los
requisitos de la norma que se refieren explícitamente a que deba existir
información documentada relativa a algún proceso.
En la anterior versión de la norma, esta hablaba claramente de

procedimientos documentados y hacía referencia al apartado 4.2.4
Control de los registros, cuando exigía la existencia de un registro
para proporcionar evidencia de algún proceso o actividad.
Se debe establecer un procedimiento documentado para definir

las responsabilidades y los requisitos para planificar y realizar
las auditorías, establecer los registros e informar de los
resultados.
Deben mantenerse registros de las auditorías y de sus

resultados (véase 4.2.4).
Extracto del apartado 8.2.2 Auditorías internas de ISO 9001:2008
72
Lógicamente, para cualquier organización que quiera
implementar un sistema de gestión acorde a la norma, es esencial
conocer cuál es la extensión mínima que debe tener el sistema
documental, tanto a nivel de documentos soporte como de
registros.
Pues bien, la forma correcta de identificar la documentación

mínima obligatoria exigida por la norma ISO 9001:2015 es la
siguiente: • Donde la norma ISO 9001:2008 hacía referencia a la
necesidad de que existiese un procedimiento documentado,
ahora la norma ISO 9001:2015 indica la necesidad de mantener la
información documentada (maintain en la versión original en
inglés).
• Donde la norma ISO 9001:2008 hacía referencia a la necesidad

de que existiese un registro, ahora ISO en 9001:2015 se
expresa como un requisito para conservar información
documentada (retain en la versión original en inglés).
• Donde la norma ISO 9001:2015 hace referencia a información
en lugar de información documentada, quiere decir que no
existe requisito alguno de que esa información se tenga que
documentar y es la organización la que decide si es o no
apropiado hacerlo.
A continuación se muestran algunos ejemplos en los que se
encuentran estas expresiones.
73
Ejemplos de requisitos de la norma ISO 9001:2015 que hacen referencia a
información documentada En el Anexo II Lista de referencias a
información documentada en ISO 9001:2015 se enumeran todas las
ocasiones en las que esta versión de la norma alude a la obligatoriedad de
disponer de información documentada, sea en forma de procedimiento o
registro.
5.2.2. Productos y servicios La norma ISO

9001 está orientada a empresas de todo
tipo y sector. Las anteriores versiones
de la norma empleaban el término
productos si bien se indicaba que se
debía entender como referido tanto a
productos como a servicios.
74
En la mayoría de los casos, las empresas que fabrican un
producto, también suelen prestar un servicio (instalación, puesta
en marcha, formación para el uso, reparación, mantenimiento,
garantía post-venta…) con lo que la mayoría de outputs que las
organizaciones ofrecen a sus clientes combinan estos dos aspectos.
La actual versión de la norma ha sustituido la referencia a

productos por productos y servicios en todos los casos.
5.2.3. Partes interesadas Las partes

interesadas, o grupos de interés (o
stakeholders) son aquellas personas,
empresas o entidades de todo tipo que
pueden afectar o ser afectadas por la
actividad de la organización, bien sea
de forma positiva (obteniendo algún
beneficio) o negativamente
(perjudicando o siendo perjudicadas por
esta).
Ejemplos de partes interesadas o grupos de interés Este no es un concepto
75
nuevo en el mundo de la calidad, aunque sí es la primera vez que es utilizado por
la norma ISO 9001:2015 que hasta ahora se ceñía a la existencia de personal —
entiéndase, de la propia organización—, clientes y proveedores.
Uno de los elementos clave de la nueva norma es precisamente

identificar las partes interesadas (o grupos de interés), sus
requisitos, necesidades y expectativas, con el objetivo estratégico
de construir relaciones de beneficio mutuo hacia ellas.
5.2.4. Enfoque basado en el riesgo Otro

concepto que aparece por primera vez
en la norma ISO 9001 es el
pensamiento basado en el riesgo. Este
concepto, —que se analiza con detalle
en el capítulo 6 de este libro— se
presenta en el apar tado 0.3.3
Pensamiento basado en riesgos de la
norma y se describe ampliamente en el
Anexo A de la misma (Apar tado A.4
Pensamiento basado en riesgos).
Este despliegue “explicativo” ya da una idea sobre la
importancia que este nuevo concepto tiene para la nueva versión
de la norma.
En esencia, el enfoque basado en el riesgo consiste en

considerar el sistema de gestión como una herramienta
preventiva en sí misma, de manera que la planificación de todo
el sistema —incluida la decisión sobre mantener o conservar
información documentada— se fundamente en un análisis de los
riesgos existentes y las mejores alternativas para eliminarlos, o si
eso no es posible, mitigarlos hasta niveles aceptables para la
organización.
76
Este concepto no es nuevo para otras normas de sistemas de
gestión alineadas con el Anexo SL que ya incluyen el análisis de los
riesgos como pilar fundamental de la planificación del sistema: por
ejemplo, ISO 28000 Sistemas de gestión de la seguridad de la
cadena de suministro o ISO 22301 Sistemas de gestión de la
continuidad de negocio.
Antes de la publicación del Anexo SL y la difusión de la

Estructura de Alto Nivel, otras normas de gestión también
incluían el análisis de riesgos en sus requisitos; entre otras:
OHSAS 18001 Sistemas de gestión de la seguridad y la salud
de las personas, ISO 22000 Sistemas de gestión de la
inocuidad alimentaria, ISO 13485 Sistemas de gestión de
calidad para el sector de los productos sanitarios, ISO/TS
16949 Sistemas de gestión de calidad para el sector
automovilístico.
En el capítulo 6 se aborda con profundidad este nuevo aspecto

de la norma.
77
CAPÍTULO 6.
PENSAMIENTO BASADO EN EL RIESGO
6.1. INTRODUCCIÓN
Los conceptos riesgo, amenaza, incertidumbre… son
palabras que nos causan sensaciones negativas y que de forma
prácticamente instintiva, nos hacen buscar maneras de evitarlos.
No obstante, el riesgo es, en mayor o menor medida, un
componente inherente de la existencia.
Cuando cruzamos una calle, podemos elegir varias opciones:

atravesar la calle en línea recta, buscar un paso de cebra no
regulado o un paso de cebra regulado por semáforo con buena
visibilidad… cada una de estas opciones, implica diferentes
peligros y genera diferentes niveles de riesgo.
En este proceso de decisión, y de forma inconsciente,

identificamos los peligros existentes y hacemos un rápido
análisis de los riesgos (que nos atropelle un vehículo si cruzamos
en línea recta o que un vehículo se salte un semáforo en rojo si
decidimos finalmente buscar un paso de cebra regulado…).
78
El apetito por el riesgo del usuario, su disponibilidad de recursos
(su estado físico y el tiempo del que disponga, por ejemplo) y la
relación final riesgo/beneficio serán los parámetros que
influyan a la hora de tomar una decisión u otra.
Una vez nos lanzamos a la carretera, estamos gestionando los

riesgos existentes porque los hemos identificado, analizado y
controlado y asumimos que el riesgo residual es tolerable.
De no hacerlo, el resultado puede ser que no lleguemos nunca a

atravesarla…
Todos debemos convivir con riesgos e incertidumbres, luego

debemos aprender a gestionarlos para que el instinto natural de
evitarlos no nos lleve a la paralización y en lo que se refiere a la
vida de las empresas, al no emprendimiento, falta de innovación y
obsolescencia.
79
6.2. DEFINICIÓN DE RIESGO E
INCERTIDUMBRE
La definición de RIESGO la encontramos en la nueva versión de
la norma ISO 9000:2015 de fundamentos y vocabulario, y
aunque se trata de una definición bastante sencilla, se aclara con
varias notas complementarias que ayudan a comprender mejor su
significado.
Definición de riesgo en ISO 9000:2015
NOTA 1: Un efecto es una desviación de lo esperado, positiva

o negativa.
NOTA 2: La incertidumbre es el estado, aunque sea parcial,

de la deficiencia de información relacionada con la comprensión
o el conocimiento de un evento, su consecuencia o su
probabilidad.
NOTA 3: El riesgo se caracteriza a menudo por referencia a

posibles eventos y consecuencias o una combinación de estos.
NOTA 4: El riesgo se expresa a menudo en términos de una

combinación de las consecuencias de un evento (incluyendo
cambios en las circunstancias) y la probabilidad asociada de
ocurrencia.
No debemos confundir el riesgo con la incertidumbre, ya que

son conceptos diferentes.
80
• El riesgo se presenta cuando una variable puede tomar
distintos valores, pero se dispone de información suficiente
para conocer las probabilidades asociadas a cada uno de estos
valores.
Cuando decidimos cruzar la calle con el semáforo en rojo,

sabemos cuáles son las consecuencias y la gravedad de las
mismas y se pueden emprender acciones que permitan eliminar
el riesgo o al menos, disminuir su probabilidad o mitigar
sus consecuencias, como mirar a ambos lados para comprobar
que en ese momento no pasen vehículos o al menos, podamos
estimar si disponemos de tiempo suficiente para hacerlo: no
elimina el riesgo pero lo reduce a límites más que aceptables.
• La incertidumbre es la imperfección en el conocimiento sobre

el estado o los procesos de la naturaleza y se caracteriza
porque los distintos escenarios fruto de una estrategia no son
conocidos y por tanto, su probabilidad de ocurrencia no es
cuantificable.
Esto genera una situación de desconocimiento de lo que

ocurrirá en el futuro. Es el concepto opuesto a la certeza.
Por ejemplo, cuando un director general de una empresa

internacional que cotiza en bolsa decide repentinamente
dimitir de su puesto, esto tiene un efecto inmediato en su
cotización, debido a la incertidumbre que esto suscita entre los
inversores… es difícil estimar la probabilidad de un suceso de
este tipo y más aún calibrar las consecuencias.
La incertidumbre exige un ejercicio de valoración basado en la

experiencia, la información que esté en nuestra mano y la
intuición en lugar de datos objetivos.
81
Diferencias entre riesgo e incertidumbre 6.2.1. Gestión del riesgo Las
organizaciones deben ser conscientes de que existe un riesgo en todos sus
procesos y actividades. Sin aceptar esta premisa, con toda probabilidad la
mayoría de los negocios desaparecerían, pues ignorar los riesgos supone no
controlarlos.
Hemos visto que el riesgo es el efecto que tiene la

incertidumbre en el camino de la compañía hacia sus metas y
objetivos... las empresas que realmente tienen éxito, no son
aquellas que no asumen riesgos sino aquellas que trabajan en
comprender cuáles son estas incertidumbres, identificar los
posibles riesgos que pueden ocasionar y gestionarlos
adecuadamente.
Un riesgo existe en el futuro y acaba por ser un problema si no

es adecuadamente gestionado y controlado en el presente.
Pero, ¿en qué consiste realmente la gestión del riesgo?
La gestión del riesgo es un proceso sistemático para

identificar y evaluar —antes de que ocurran— todos los posibles
peligros, problemas o sucesos que pueden acabar por generar un
riesgo que afecte al éxito de una organización en lo que a alcanzar
sus objetivos se refiere, así como el proceso de establecer
procedimientos y emprender acciones que permitan evitar los
riesgos, minimizar su impacto o reducir sus consecuencias hasta
que estas sean asumibles para la organización.
82
Etapas en la gestión del riesgo Estos sucesos pueden provenir del exterior (por
ejemplo, cambios en las necesidades y expectativas de los clientes, cambios en
las tendencias económicas, inclusión en nuevos mercados, problemas con los
proveedores, surgimiento de empresas más competitivas, dificultades en la
financiación externa, cambios en la legislación...) pero también pueden surgir del
interior de la organización (problemas con las competencias o certificaciones
del personal, equipos obsoletos, cambios en la estructura de la organización…).
Factores de riesgo
Cuando estos sucesos interfieren en el camino hacia el éxito de

la compañía (o al menos, parece que pudiera llegar a ocurrir)
entonces existe un riesgo.
En el fondo, la gestión del riesgo se puede condensar en tres
83
sencillas preguntas...
Preguntas básicas para empezar a gestionar un riesgo La capacidad para

identificar y hacer frente a los riesgos por parte de una organización es, a
menudo, indicativa de su grado de adaptación a los cambios.
El proceso de análisis de riesgos ayuda a las empresas a

identificar posibles potenciales eventos adversos, ser más
proactivas, disponer de procedimientos de respuesta y en
definitiva, a disminuir las “sorpresas” que afecten al negocio y
pueden llegar a ocasionar cuantiosas pérdidas, tanto económicas
como de imagen.
Para ser efectiva, la gestión del riesgo debe ser integrada en

los procesos de negocio de forma que facilite información
relevante y en el momento adecuado sobre los riesgos a la
dirección de la organización.
6.3. PENSAMIENTO BASADO EN EL RIESGO

En ediciones anteriores de la norma, ya existía un cierto
enfoque preventivo, pues era requisito establecer un proceso de
gestión de las “acciones preventivas”, entendiendo como tales
aquellas que servían para controlar las “no conformidades
potenciales” para evitar que llegasen a ocurrir.
El nuevo enfoque basado en el riesgo, es más completo que

el anterior pues integra la gestión preventiva en todo el sistema.
Ahora la gestión de los riesgos forma parte de una de las etapas
iniciales de la implementación —la planificación— y debe ser
tenido en cuenta a lo largo de las etapas de revisión y mejora del
sistema.
Si es un hecho, no es un riesgo.
84
Los hechos requieren acciones inmediatas,
los riesgos requieren planificación.
De esta forma, el sistema se convierte en una herramienta más

proactiva (anticipándose al riesgo) que reactiva (actuando
cuando el riesgo ya existe) y permite eliminar o al menos reducir o
mitigar las consecuencias del riesgo gracias a una rápida
identificación y acción sobre el mismo.
El pensamiento basado en el riesgo asegura que los riesgos que
puedan afectar al éxito serán identificados, evaluados y
controlados a través de planes de acción adecuados a sus
consecuencias y efectos.
Por otro lado, no todos los procesos del sistema de gestión

tendrán los mismos niveles de riesgo para la organización en el
camino a alcanzar sus objetivos. Algunos procesos —con toda
probabilidad aquellos con mayor impacto en la calidad del
producto, del servicio o en la satisfacción de los grupos de interés
— necesitarán mayor vigilancia, planificación y control de los
riesgos que otros.
No tiene el mismo nivel de riesgo cruzar una carretera

secundaria sin apenas tráfico que una autovía de cuatro carriles,
ni tiene el mismo nivel de riesgo cruzar la calle solo que
empujando un carrito de bebé con una mano, y con un niño de
corta edad en la otra…
85
El concepto “riesgo” suele tener connotaciones negativas, es
decir, suele interpretarse como un conjunto de sucesos con
consecuencias malas para la organización.
Sin embargo, el efecto de un riesgo puede ser tanto positivo
como negativo; de hecho, la norma se refiere tanto a riesgos
como a oportunidades. Debemos aclarar que una oportunidad no
es la cara positiva de un riesgo, sino un conjunto de circunstancias
que hacen posible hacer algo —mejor, en la mayoría de los casos
—. Aprovechar o no una oportunidad, puede tener diferentes
riesgos.
Por ejemplo, cruzar la calle en línea recta nos da la oportunidad

de llegar al otro lado más rápido, pero lo cierto es que si
aprovechamos esa oportunidad, también aumentan los
riesgos de ser atropellados por un vehículo.
6.4. ¿POR QUÉAPLICAR EL ENFOQUE BASADO

EN EL RIESGO?
El pensamiento basado en el riesgo tiene efectos muy positivos
para cualquier organización pues mejora su capacidad para
alcanzar los objetivos… esto redunda muy positivamente en la
confianza de sus grupos de interés: • Los clientes pueden
disponer de productos y servicios de calidad acorde a sus requisitos
y expectativas.
• Los accionistas e inversores ven cómo aumentan sus

beneficios.
• Los proveedores cuentan con un cliente que se consolida.
• El personal interno ve como la organización de la que forma
parte asegura su futuro.
86
Otras ventajas de aplicar el pensamiento basado en el riesgo
son: • La mejora generalizada de la gestión de la organización.
• Un mejor conocimiento del entorno.

• El establecimiento de la cultura de la proactividad como un
camino para la mejora.
• Un mayor cumplimiento de la legislación y los requisitos en
general.
• La mejora significativa de la confianza y la satisfacción de
clientes.
• Mejor capacidad de reacción ante los cambios, tanto internos
como externos.
6.5. ENFOQUE AL RIESGO EN OTRAS NORMAS

La gestión del riesgo no es un descubrimiento de ISO
9001:2015 ni mucho menos; existen numerosas normas que han
incluido la gestión del riesgo como un proceso más del sistema de
gestión.
A continuación se muestran varios ejemplos de normas que

incluyen la gestión de los riesgos entre sus requisitos.
6.5.1. Sistemas de gestión de la continuidad

de negocio. ISO 22301
En la mente de todos están los devastadores efectos del
tsunami que se originó en Japón y asoló las costas asiáticas en
87
2004, la destrucción causada por el huracán Katrina en la costa
atlántica de los Estados Unidos en 2005 o el incendio de la Torre
Windsor en Madrid (edificio de oficinas que albergaba importantes
empresas de consultoría, bufetes de abogados, notarías...)
también en 2005.
Catástrofes naturales con efectos más devastadores Inundaciones, huracanes,

incendios... Las pérdidas que ocasionan estos incidentes en las empresas de la
zonas afectadas suelen ser muy graves y a menudo, muchas de las compañías
afectadas no son capaces de recuperarse ante la grave pérdida de información,
instalaciones y equipamientos, por no hablar de las pérdidas personales.
La norma ISO 22301 especifica los requisitos que debe

satisfacer un sistema de gestión que esté orientado a proteger a la
empresa de cualquier incidente que provoque una interrupción
de su actividad así como establecer procedimientos para la
reanudación de la misma en el caso de que finalmente llegue a
suceder.
“Esperar lo inesperado” podría ser uno de los lemas de esta

norma. Uno de los procesos clave de su implementación es
precisamente la identificación y posterior evaluación de los riesgos
que pueden afectar al desempeño de la actividad.
Pero no todo se reduce a desastres naturales de daño

incalculable, otros riesgos más habituales son: • Robos,
sabotajes y acciones terroristas.
88
• Fallo en las tecnologías de la información (redes
informáticas, comunicaciones...).
• Problemas relacionados con las personas (bajas inesperadas,
epidemias, fallos en el transporte del personal...).
• Fallos en la cadena de suministro (proveedores de primer y
segundo nivel).
El sistema de gestión de la continuidad de negocio permite
evaluar estas amenazas y cómo afectan a los procesos de
producción y de prestación del servicio; el objetivo de la empresa
es no parar la actividad o al menos, recuperarla en un plazo de
tiempo óptimo.
6.5.2. Sistemas de gestión de la seguridad de

la información. ISO 27001
La gestión del riesgo también es una parte esencial en la
norma ISO 27001. En la introducción de la versión 2013 de la
norma, se indica que el sistema de gestión de seguridad de la
información está orientado a preservar la confidencialidad,
integridad y disponibilidad de la información aplicando un
proceso de gestión de riesgos a sus activos que da confianza a
todas las partes implicadas de que los riesgos se están
gestionando adecuadamente.
En resumen, la reducción de los riesgos implica una

mejora de la seguridad de la información.
En el ámbito de la seguridad de la información, un riesgo es la

posibilidad de que una amenaza concreta pueda explotar la
vulnerabilidad de un activo y causarle un daño.
89
Definición de activo de información Los activos se suelen clasificar en software
(aplicaciones informáticas), hardware (equipos informáticos, dispositivos de
almacenamiento…), servicios (telefonía, informática), imagen, información y
personas.
Activos de una organización
Las vulnerabilidades más frecuentes de los activos están

asociadas con: • Fallos en la seguridad de las instalaciones
(protección física del edificio).
• Desastres naturales incontrolables.

• Amenazas internas.
• Sabotajes.
• Robos o destrucción de activos por parte del personal.
• Intrusiones externas (virus, troyanos…).
• Fallos en los procedimientos de control o controles de
90
acceso no definidos (por ejemplo, en la asignación y
renovación de claves y contraseñas…).
• Defectos en la configuración del hardware (insuficiente
capacidad de los discos duros, poca memoria…).
• Software mal configurado o desactualizado.
• Mala —o ausencia de— gestión de las copias de seguridad.
• Dependencia exclusiva de un proveedor de servicios externo.
• Pérdida de los activos.
Las metodologías más conocidas para la gestión de riesgos en
el ámbito de la seguridad de la información se muestran a
continuación.
MAGERIT De uso muy extendido en España,

sobre todo en Administraciones
Públicas, al haber sido desarrollada
por el Consejo Superior de
Administración Electrónica. No es
demasiado conocida a nivel
internacional.
CRAMM De origen británico, fue desarrollada
por el CCTA (Central Computer and
Telecommunications Agency). Tiene
reconocimiento a nivel internacional y
su desarrollo es bastante simple:
identificación y valoración de activos,
valoración de amenazas y
vulnerabilidades y selección de
contramedidas.
OCTAVE Fue desarrollada en Estados Unidos
por el SEI (Software Engineering
Institute) y aunque es algo más
compleja de aplicar, está aceptada
internacionalmente.
NIST 800-30 También de origen norteamericano,
91
fue desarrollada por el NIST (National
Institute of Standards and
Technnology). Su uso está
prácticamente limitado a las
Administraciones Públicas
norteamericanas. Es bastante sencilla
e intuitiva de manejar.
ISO 31000 Norma internacional de referencia
para la gestión de los riesgos. Puede
aplicarse no solo a los riesgos
relacionados con la seguridad de la
información sino a cualquier tipo de
riesgo.Metodologías para el análisis
del riesgo en la seguridad de la
información
Metodologías para el análisis del riesgo en la seguridad de la información 6.5.3.
Sistemas de gestión de la seguridad y la salud laboral. OHSAS 18001
La norma OHSAS 18001 es probablemente el estándar

internacional más extendido en todo el mundo para la
implementación de sistemas de gestión de la seguridad y la
salud en el trabajo.
Como ocurre en los casos anteriores, la evaluación del riesgo es

una parte fundamental de la norma, en este caso, orientado
específicamente a los riesgos de seguridad y salud a los que pueda
estar expuesto el trabajador como consecuencia de ocupar uno o
varios puestos de trabajo.
La metodología a seguir es la misma que hemos visto en otras

ocasiones: identificación del peligro, estimación del riesgo (en base
a la probabilidad de ocurrencia y a la gravedad de las
consecuencias), valoración del riesgo y gestión del riesgo, esto es,
planificación de las acciones más adecuadas para eliminarlo o
mitigarlo, según corresponda o sea posible en cada caso.
En el ámbito de la seguridad y salud laboral, un riesgo es la

combinación de la probabilidad de que ocurra un suceso
92
peligroso o la exposición a un peligro y la severidad del daño o
deterioro de la salud causado por este.
Las áreas o actividades con mayores riesgos potenciales son:

• Mantenimiento e instalación de equipos y sistemas.
• Operaciones de limpieza.
• Gestión del tráfico interno.
• Zonas ATEX.
• Trabajos en altura.
• Trabajos en espacios confinados.
• Trabajos en entorno eléctrico.
• Almacenes de sustancias peligrosas.
• Áreas de trabajo con sustancias biológicas contaminantes.
• Trabajos con equipos de movimiento y manipulación de
material (carretillas elevadoras, puentes-grúa, plataformas
elevadoras…).
Y los peligros más frecuentemente identificados en las

organizaciones son: • Caídas al mismo y a distinto nivel.
• Caídas de objetos.
• Choque contra objetos, inmóviles o en movimiento.
Atropellos.
93
• Contacto con elementos móviles de una máquina.
• Golpes con objetos y herramientas.
• Proyecciones de partículas o fragmentos de piezas y
componentes.
• Atrapamiento por o entre objetos.
• Sobre esfuerzos.
• Temperaturas extremas, tanto altas como bajas.
• Contactos eléctricos, tanto directos como indirectos.
• Inhalación o ingestión de sustancias tóxicas o nocivas.
• Contacto con sustancias corrosivas.
• Exposición a radiaciones.
• Explosiones e incendios.
• Enfermedades causadas por agentes químicos, físicos y
biológicos.
La organización ISO está desarrollando una nueva norma, ISO

45001, sobre la seguridad y salud laboral que será
publicada con casi total seguridad a finales de 2016.
Aunque tomando como base la OHSAS 18001, Esta norma estará

alineada con las actuales ISO 9001 e ISO 14001 recientemente
publicadas en 2015 lo que simplificará la integración de estos
tres sistemas de gestión.
94
Sistemas integrados de calidad, medio ambiente y seguridad laboral 6.6.
GESTIÓN DEL RIESGO EN ISO 9001:2015
Como evidencia de la importancia que el pensamiento basado

en el riesgo tiene para ISO 9001:2015, basta una primera lectura
de la norma para caer en la cuenta de que el concepto del riesgo
aparece mencionado en varias ocasiones: • INTRODUCCIÓN: se
describe el concepto de pensamiento basado en el riesgo.
• CLÁUSULA 4: la organización es requerida para identificar los

procesos de su sistema de gestión de calidad así como sus
riesgos y oportunidades.
• CLÁUSULA 5: la dirección de la organización es requerida a
promocionar el pensamiento basado en el riesgo y a
determinar los riesgos y oportunidades que puedan afectar a la
conformidad del producto y del servicio.
• CLÁUSULA 6: la organización es requerida a identificar riesgos
y oportunidades relacionadas con la implementación del
sistema de gestión de calidad y a tomar acciones apropiadas al
respecto (el apartado 6.1 es el denominado “Acciones para
abordar riesgos y oportunidades” y es el que establece el
requisito para llevar a cabo el análisis de riesgos de los
procesos).
6.1 Acciones para tratar riesgos y

95
oportunidades
• CLÁUSULA 7: la organización es requerida a determinar los

recursos necesarios para los procesos del sistema de gestión,
incluida la gestión de los riesgos.
• CLÁUSULA 8: la organización es requerida a gestionar sus
procesos operativos, incluida la gestión de los riesgos.
• CLÁUSULA 9: la organización es requerida para el
seguimiento, medición, monitorización y evaluación de la
efectividad de sus planes de acción incluidos aquellos tomados
para la gestión de los riesgos y las oportunidades.
• CLÁUSULA 10: la organización debe corregir, prevenir o reducir
los efectos no deseados y mejorar continuamente el sistema de
gestión, incluyendo riesgos y oportunidades.
No obstante, en ningún apartado de ISO 9001:2015 se
especifica qué metodología de gestión del riesgo debe ser
aplicada, ni en la descripción de los requisitos relacionados con la
gestión de los riesgos ni en las notas aclaratorias.
Tampoco en el Anexo A (informativo) “Aclaración de la

nueva estructura, terminología y conceptos”, (concretamente
en el apartado A.4 Pensamiento basado en riesgos) en el que se
alude a la posibilidad de que la organización desarrolle una
96
metodología de la gestión del riesgo mediante la aplicación de
normas pero no especifica cuáles.
Esta indefinición por parte de la norma ISO 9001:2015 en lo

que a la metodología de gestión del riesgo se refiere, ha llevado a
que de forma prácticamente unánime, se recomiende la aplicación
de la norma ISO 31000:2010 Gestión del riesgo. Principios y
directrices.
No obstante, cada organización es libre de establecer o no una

metodología acorde a esta norma o emplear otros métodos, en
función del sector o actividad de la organización, Algunos ejemplos
de estos métodos son: • El método AMFE (Análisis Modal de
Fallos y Efectos) para el análisis de los riesgos en el sector
industrial en general y del automóvil en particular.
• El análisis HACCP (Análisis de Peligros y Puntos de Control) en

el sector alimentario.
• La norma ISO 14971 Productos sanitarios. Aplicación de
la gestión de los riesgos a los productos sanitarios, para
el caso de fabricantes de este tipo de productos.
6.7. METODOLOGÍA DE GESTIÓN DEL RIESGO

SEGÚN ISO 31000
La norma ISO 31000:2010 Gestión del riesgo. Principios
y directrices propone unas directrices generales para la gestión
del riesgo y por tanto, puede ser aplicada por organizaciones de
todo tipo para evaluar los riesgos de sus procesos, productos,
servicios, proyectos y activos.
Según ISO 31000, una gestión del riesgo eficaz se asienta sobre
los siguientes principios: a) Crea valor
b) Está integrada en los procesos de la organización c) Forma

parte de la toma de decisiones d) Trata explícitamente la
incertidumbre e) Es sistemática, estructurada y adecuada f)
Está basada en la mejor información disponible g) Está hecha a
medida de la organización h) Tiene en cuenta factores humanos
97
y culturales i) Es transparente e inclusiva j) Es dinámica,
iterativa, y sensible al cambio k) Facilita la mejora continua de la
organización Principios básicos para la gestión de riesgos ISO
31000
Esta norma define el riesgo teniendo en cuenta tanto las
situaciones negativas (que nos apartan de los objetivos) como las
positivas (que suponen oportunidades) y es de tipo “generalista”
—como ISO 9001—.
Puede ser utilizada para gestionar cualquier tipo de riesgo,
independientemente de cual sea su origen o su naturaleza, lo que
hace que sea una norma aplicable en distintos ámbitos y en
numerosos estándares de gestión y la hace especialmente
interesante para la gestión del riesgo en ISO 9001.
Ejemplos de tipos de riesgos
Según esta metodología, una vez identificados los riesgos de

los procesos, la organización debe establecer unos criterios que le
permitan clasificarlos en función de su probabilidad de
ocurrencia y del impacto que tengan en la organización si
finalmente llegan a producirse.
Aunque es posible establecer criterios cualitativos, cuantitativos

y semi-cuantitativos para estimar los valores de las consecuencias
98
y de la probabilidad, lo más habitual es que las organizaciones
empleen métodos cualitativas, por ejemplo, “alto”, “medio”,
“bajo”…
El nivel de riesgo final es la combinación de los parámetros
de consecuencias y probabilidad, que suele representarse
mediante una matriz, en la que cada celda representa un nivel de
riesgo.
En función de los niveles alcanzados por los distintos riesgos, la

organización tendrá que abordar un plan de acciones concreto
que permitan eliminarlos por concreto (en los casos de riesgos
intolerables), o mitigarlos si lo anterior no fuese posible.
Veamos con profundidad cómo es el proceso de gestión del

riesgo propuesto por ISO 31000 que se resume en la figura
siguiente.
Metodología de gestión del riesgo • Identificación del peligro La

identificación de los peligros es la base del proceso de gestión del riesgo.
Consiste en identificar y conocer con detalle las posibles fuentes, orígenes y
causas de los riesgos, a cuántas personas o bienes puede afectar, sus
consecuencias potenciales, las áreas de impacto, etc.
No todos los sucesos que ocurren en una empresa son

susceptibles de generar un riesgo; no obstante, el objetivo de esta
99
etapa es generar una lista tan exhaustiva como sea posible de
peligros, de forma que no ningún riesgo pueda llegar a pasar
inadvertido.
La norma no especifica ningún método ni técnica específica
para realizar esta identificación y deja la puerta abierta al uso de
aquellas que mejor se adapten a la organización (inventarios de
eventos, grupos de trabajo, entrevistas, cuestionarios,
encuestas…) y al tipo de riesgos al que esté expuesta.
Tipología de riesgos identificados en REPSOL
• Análisis del riesgo

Para ISO 31000 el análisis del riesgo supone la valoración de su
probabilidad y de sus consecuencias tanto positivas como
negativas —bien mediante métodos cuantitativos, cualitativos o
mixtos— con diferentes grados de detalle, según los datos e
información disponibles.
Los resultados del análisis del riesgo son empleados para
evaluar el riesgo y decidir si es necesario emprender alguna acción
o procedimiento para tratar los riesgos, así como las estrategias y
los métodos de tratamiento del riesgo más adecuados.
Una de las sistemáticas más habituales de análisis de riesgo es

otorgar valores cualitativos tanto a la probabilidad de ocurrencia
100
como a las consecuencias (por ejemplo: MUY
ALTO/ALTO/MEDIO/BAJO/MUY BAJO), y en base a la combinación
de ambos parámetros establecer una clasificación del riesgo que
va desde el más bajo al más alto según la siguiente matriz de
valoración del riesgo.
Ejemplo de una matriz de valoración del riesgo Esto permite establecer distintos
rangos entre los riesgos y asignar prioridades a la hora de asignar los recursos y
emprender las acciones de tratamiento.
• Evaluación del riesgo La fase de evaluación del riesgo

permite decidir sobre las acciones que la organización va a
emprender para tratar el riesgo, que van desde la ausencia de
las mismas (en el caso de riesgos insignificantes) hasta la
eliminación total de la actividad que genera el riesgo (en el
caso de riesgos intolerables).
La norma ISO 31000 y su complementaria, ISO 31010 describen
varios modelos de evaluación del riesgo que la organización
puede aplicar.
Herramientas y técnicas para la evaluación de riesgos • Tratamiento del
101
riesgo Este proceso supone la selección e implementación de medidas para
eliminar el riesgo (si es posible) o al menos, intentar disminuir su probabilidad o
mitigar sus consecuencias si finalmente tiene lugar, hasta que los riesgos
residuales sean tolerables para la organización.
El abanico de acciones es amplio y se muestra en la figura

siguiente.
En la mayoría de las ocasiones las acciones para tratar los

riesgos combinan varias de estas estrategias en un plan de
tratamiento de los riesgos, que especifica las acciones que deben
ser llevadas a cabo, los responsables, los plazos de ejecución y de
verificación de su eficacia, los recursos necesarios...
• Seguimiento y medición del riesgo La gestión del riesgo es

un proceso cíclico del tipo del Diagrama PDCA
(Plan/Do/Check/Act) cuya eficacia reside en el proceso de
aprendizaje y mejora gracias al análisis de los datos.
Por tanto, el seguimiento y medición del riesgo son el último
paso del ciclo cuyo objetivo es mejorar la eficacia de los planes
de tratamiento del riesgo en base a los datos recolectados en
su seguimiento periódico.
102
Ciclo PDCA aplicado a la gestión del riesgo 6.8. EL RIESGO DE LA GESTIÓN DEL
RIESGO
Como punto final a este capítulo sobre la gestión del riesgo,

merece la pena hacer una última reflexión sobre los riesgos que
tiene una gestión del riesgo mal entendida y aplicada.
Parece “gratis” decir NO a una gran oportunidad por miedo al

riesgo que ello pueda suponer y en muchas ocasiones, el proceso
de análisis de un riesgo acaba suponiendo una ralentización en la
toma de decisiones por parte de la compañía.
Hay una expresión que resume muy bien esta situación The
paralysis by the analysis
Esta expresión trata de describir el peligro que supone

analizar hasta el exceso una situación de forma que nunca
llega a tomarse una decisión ni se emprenda ningún tipo
de acción relativa a la misma o cómo el problema más sencillo
puede convertirse en una cuestión irresoluble si le damos
suficientes vueltas…
El miedo y la aversión al riesgo pueden llevar a la compañía a

situaciones igual de indeseables que el exceso de riesgo o la falta
103
de análisis.
Para ello, lo mejor es abordar el proceso de gestión de los
riesgos de la mano de un cronograma que nos obligue a respetar
plazos de ejecución en las tareas a llevar a cabo: identificación de
peligros, análisis de los riesgos, y especialmente, plan de
tratamiento de los riesgos.
“Si empleas demasiado tiempo pensando sobre algo… nunca conseguirás que se
haga” Bruce Lee De modo que mantengamos el enfoque en el riesgo pero sin
perder de vista el rumbo a seguir… la consecución de los objetivos de
calidad y de la organización en su conjunto.
104
CAPITULO 7.
OTRAS NOVEDADES
7.1. INTRODUCCIÓN
La nueva estructura de alto nivel y el pensamiento basado en el
riesgo son, sin duda alguna, los cambios más espectaculares de la
norma ISO 9001:2015… pero no son los únicos ni los que más
polémica están generando en el sector y entre los usuarios.
Esos cambios respecto de la versión 2008, relacionados tanto
con nuevos requisitos que aparecen como a requisitos habituales
en anteriores versiones que desaparecen de la norma son objeto
de revisión en este capítulo.
Entre los nuevos requisitos que aparecen están la

identificación del contexto y de las partes interesadas, la
gestión del servicio post-venta y la gestión del conocimiento.
105
Nuevos requisitos de ISO 9001:2015
Entre los requisitos que desaparecen, los más representativos

son las acciones preventivas y dos grandes clásicos de la
gestión de calidad como son el representante de la dirección o
el manual de calidad.
Requisitos que desaparecen de ISO 9001:2015
7.2. IDENTIFICACIÓN DEL CONTEXTO Y DE

LAS PARTES INTERESADAS
La cláusula 4 Contexto de la organización es también la
primera novedad con la que nos encontramos al abordar el
apartado de los requisitos de la norma (recordemos que los
apartados 0 al 3, corresponden a la Introducción, Objeto y
campo de aplicación, Referencias normativas y
Definiciones, respectivamente).
A lo largo de dos sub-cláusulas, se describe cómo la

organización debe identificar el contexto en el que está inmersa,
así como las necesidades y expectativas de sus grupos de
interés (partes interesadas o stakeholders).
4. Contexto
4.1. Comprensión de la organización y de su contexto La
organización debe determinar cuáles son las cuestiones externas
e internas que son pertinentes para su propósito y su dirección
estratégica, y que afectan a su capacidad para lograr los
resultados previstos de su sistema de gestión.
106
La organización debe realizar el seguimiento y la revisión de la
información sobre estas cuestiones externas e internas.
4.2. Comprensión de las necesidades y expectativas de
las partes interesadas Debido a su efecto o efecto potencial
en la capacidad de la organización de proporcionar regularmente
productos y servicios que satisfagan los requisitos del cliente así
como los legales y reglamentarios, la organización debe
determinar: a) Las partes interesadas que son pertinentes al
sistema de gestión de calidad; b) Los requisitos pertinentes de
estas partes interesadas para el sistema de gestión de calidad.
La organización debe realizar el seguimiento y medición de la
información sobre estas partes interesadas y sus requisitos
pertinentes.
Extracto de ISO 9001:2015
El análisis del contexto para una organización supone realizar

un ejercicio en el que la dirección identifique: • Contexto
externo: reglamentos y normas que aplican a la organización y su
actividad, mercados en los que trabaja, estado de las tecnologías,
competencia, aspectos culturales, políticos y sociales y situación
económica. Todo aplicado a nivel regional, nacional o internacional
en función de cada caso.
• Contexto interno: valores, cultura, y funcionamiento general

de la entidad, sus recursos, sus activos, capacidades…
Aspectos que intervienen en el contexto Ya que se menciona específicamente las

“cuestiones externas e internas” una buena herramienta para la evaluación del
contexto puede ser la matriz FODA/DAFO (cuyas siglas provienen de los
107
conceptos Fortalezas, Oportunidades, Debilidades y Amenazas) que
permite, de forma muy sencilla, hacer un diagnóstico de la situación en la que se
encuentra la empresa.
Análisis DAFO
• Debilidades: aspectos poco consolidados o áreas de mejora

que tienen un origen interno (por ejemplo, carencias en
competencias clave, problemas de financiación, instalaciones
obsoletas…).
• Amenazas: aspectos negativos que provienen del exterior (por
ejemplo: exceso de competencia, o empresas de la
competencia mejor posicionadas o con más y mejores recursos,
cambios en los intereses y gustos de los clientes, cambios
adversos en la legislación…).
• Fortalezas: aspectos positivos que tienen que ver con la propia
organización (por ejemplo, habilidades y recursos tecnológicos
superiores, buena imagen de marca o campañas de marketing
exitosas).
• Oportunidades: aspectos positivos relacionados con el entorno
externo (por ejemplo, posibilidad de entrar en nuevos
mercados, eliminación de barreras comerciales en mercados
atractivos…).
108
Ejemplo de Análisis DAFO de un joven profesional Llevar a cabo un análisis
DAFO al principio de la implementación de un sistema de gestión es una buena
manera de mejorar el conocimiento que la organización tiene sobre sí misma y
facilita posteriores etapas, como el análisis de riesgos de los procesos o el
establecimiento de los objetivos de calidad.
Por otro lado, la organización debe identificar cuáles son sus

grupos de interés y averiguar cuáles son sus necesidades y
expectativas.
Con este nuevo requisito, la norma ISO 9001 amplía el foco de

la organización, que hasta ahora se centraba fundamentalmente
en obtener la satisfacción de los clientes, a otras personas y
grupos que también son de interés para la organización y que de
una manera u otra, influyen en su funcionamiento.
El análisis de las necesidades y expectativas de los grupos de

interés, son fuente de identificación de oportunidades y
amenazas para la organización.
Estos grupos o stakeholders, están tanto dentro como fuera de

la organización: • Grupos de interés internos: los trabajadores,
los accionistas, los socios…
• Grupos de interés externos: los proveedores y los clientes,
109
pero también la sociedad en su conjunto, las administraciones
públicas, las universidades, los medios de comunicación…
Grupos de interés internos y externos Las herramientas para identificar las

necesidades y expectativas de los grupos de interés van desde las encuestas de
satisfacción a los grupos focales.
A continuación se muestra un ejemplo correspondiente a una

entidad del sector farmacéutico.
110
Grupos de interés en una empresa farmacéutica Tanto la identificación del
contexto como la identificación de las necesidades y expectativas de los grupos
de interés no son aspectos nuevos en el mundo de la calidad. Si bien han
sido adoptados ahora por ISO, ya forman parte desde hace tiempo de otros
modelos de gestión como el modelo de Excelencia EFQM o el modelo de
Responsabilidad Social SGE-21.
7.3. GESTIÓN DEL SERVICIO POST-VENTA

Aunque digamos que el apartado 8.5.5 que
trata de las “Actividades posteriores a la
entrega” es nuevo, en realidad, no es que las
actividades comúnmente llamadas “servicio
post-venta” no estuviesen contempladas en
anteriores versiones de la norma… al fin y al
cabo, el alcance del sistema es el ha marcado
siempre qué actividades estaban incluidas en
el sistema de que gestión.
Digamos que la novedad es que ahora se establecen
requisitos específicos en relación con estas actividades que
antes podían pasar un poco más desapercibidas englobadas en el
contexto de la “producción” o la “prestación del servicio”.
La norma las engloba en “actividades posteriores a la entrega”

y las trata en el punto 8 OPERACIÓN.
8.5.5. Actividades posteriores a la entrega La organización
111
debe cumplir los requisitos para las actividades posteriores a la
entrega asociadas con los productos y servicios.
Al determinar el alcance de las actividades posteriores a la
entrega que se requieren, la organización debe considerar:
a) Los requisitos legales y reglamentarios; b) Las consecuencias
potenciales no deseadas asociadas a sus productos y
servicios; c) La naturaleza, el uso y la vida útil prevista para
sus productos y servicios; d) Los requisitos del cliente; e) La
retroalimentación del cliente.
Los requisitos de la norma se pueden resumir en cumplir con

las obligaciones contractuales y con los requisitos legales y
reglamentarios que sean de aplicación (por ejemplo, la Ley de
Garantías).
En cualquier caso, la organización debe ser consciente de que
se recoge información muy útil sobre la calidad del producto y
sobre la satisfacción del cliente en el desempeño de esas
actividades posteriores a la entrega.
Por ejemplo, la mayoría de empresas con un alto nivel de

servicio post-venta (por ejemplo, fabricantes de vehículos,
electrodomésticos, etc.) cuentan con indicadores del número
de reparaciones o sustituciones del producto en garantía como
medida objetiva de la calidad del producto.
Existen muchas empresas, sobre todo del sector servicios, en

los que este apartado de la norma no será de aplicación, al no
realizarse ningún servicio al cliente posterior a la entrega: hoteles,
empresas de consultoría, entidades de formación… aunque
deberán analizar bien el alcance de su sistema de gestión antes de
declarar la no aplicabilidad de este apartado.
112
7.4. GESTIÓN DEL CONOCIMIENTO
En el apartado dedicado a los Recursos (dentro del punto 7
Soporte) la norma ha incluido un último apartado dedicado a los
conocimientos organizativos.
7.1 6. Conocimientos de la organización La organización

debe determinar los conocimientos necesarios para la operación
de sus procesos y para lograr la conformidad de sus productos y
servicios.
Estos conocimientos deben mantenerse y ponerse a disposición

en la medida que sea necesario.
Cuando se abordan las necesidades y tendencias cambiantes, la

organización debe considerar sus conocimientos actuales y
determinar cómo adquirir o acceder a los conocimientos
adicionales necesarios y a las actualizaciones requeridas.
Los conocimientos de la organización son conocimientos

específicos que la compañía posee, generalmente, gracias a la
experiencia. El problema es que muchas veces, son determinadas
personas y no la empresa en su conjunto las que acumulan la
experiencia y conocimiento.
La pérdida —temporal o definitiva— de cualquiera de estas
113
personas supone entonces un problema para la organización (por
ejemplo, cada vez que se produce una baja por enfermedad, o
periodo de vacaciones o simplemente el trabajador es “fichado”
por otra empresa) La organización debe estudiar este riesgo y
buscar la forma de que el conocimiento se ponga a disposición del
resto de la organización en forma de información manejable y
accesible: acciones formativas o de tutorización, elaboración de
procedimientos e instrucciones de trabajo, manuales,
metodologías…
Estas estrategias para identificar, organizar, compartir y difundir

el conocimiento de las personas para ponerlas al servicio de la
organización se denominan “gestión del conocimiento”.
Acciones básicas de la gestión del conocimiento La gestión del conocimiento

tiene por objetivo fundamental transferir el conocimiento desde los puntos
en los que se genera hasta los puntos en que será utilizado e implica que
internamente, la organización desarrolle los mecanismos necesarios para
identificarlo, compartirlo entre sus miembros, así como otorgarle el valor que se
merece y protegerlo frente a amenazas externas.
Este proceso supone el uso de diversas técnicas (la mayoría de

ellas basadas en las tecnologías de la información) para capturar,
organizar, almacenar, proteger y administrar la información
para transformarlo en un activo intelectual, un valor para la
organización.
114
Aspectos básicos de la gestión del conocimiento Por otro lado, los requisitos de
la norma no son tan ambiciosos y no exigen implementar un sistema de gestión
del conocimiento sino un análisis básico de este proceso.
La norma pide a las organizaciones que determinen cuales son

los conocimientos necesarios para el correcto funcionamiento
de sus procesos y para lograr la conformidad de sus productos y
servicios. Si se debe hacer frente a un cambio —lo que en el
mundo empresarial, es bastante frecuente— se debe hacer una
evaluación del conocimiento actual y de la/s estrategia/s más
adecuada/s para mejorarlo.
Bajando un nivel en el grado de concreción, la norma indica que
uno de los aspectos que está incluido en el conocimiento
organizativo es la propiedad intelectual.
115
Elementos que forman parte de la propiedad intelectual industrial Es decir, no se
exige realmente que la organización implemente un proceso de gestión del
conocimiento complejo… sino que tenga en cuenta aspectos básicos del mismo
como identificar los conocimientos que son críticos para la producción y la
prestación del servicio, o la protección de la propiedad intelectual, aunque
ciertamente identificar, proteger y gestionar adecuadamente el conocimiento de
las organizaciones sea un proceso que aporta gran valor a las mismas.
7.5. DESAPARICIÓN DE LAS ACCIONES

PREVENTIVAS
Hemos visto en el capítulo anterior como el pensamiento
basado en el riesgo convierte el sistema de gestión de calidad en
una herramienta preventiva en sí misma.
La primera consecuencia lógica de este enfoque es la

desaparición de las acciones preventivas —creadas en el pasado
con el objetivo de eliminar las causas de las no conformidades
“potenciales” para que estas no llegaran a ocurrir—.
Se mantienen, eso sí, las acciones correctivas, pues su objetivo
es totalmente diferente y se emprenden cuando el incidente
finalmente ha tenido lugar para identificar y evaluar sus causas y
tratar de evitar que ocurra de nuevo.
Acciones correctivas y acciones preventivas En resumidas cuentas, “parece” que

las acciones preventivas desaparecen pero en realidad están integradas en la
gestión del riesgo pues cualquier acción que se emprenda para eliminar o mitigar
riesgos tendrá un carácter inconfundiblemente preventivo.
Eso sí, será más correcto llamarlas “acciones de tratamiento del

riesgo” en lugar de “acciones preventivas”.
7.6. DESAPARICIÓN DE LA FIGURA

“REPRESENTANTE DE LA DIRECCIÓN”
116
De las tres “desapariciones” identificadas en la nueva versión
de ISO 9001:2015 —junto con las acciones preventivas y el manual
de calidad— quizás sea la desaparición del representante de la
dirección la que más polémica está generando en el mundo de la
calidad en general y entre empresas, auditores y consultores en
particular (y qué decir de aquellas personas que desempeñan
actualmente este cargo…).
El primer susto lo dio el borrador DIS 9001:2015, en el que se

pudo comprobar que no se hacía ninguna referencia al antaño
representante de la dirección que tenía sus funciones y
responsabilidades claramente definidas en versiones anteriores.
Responsabilidades y autoridades del Representante de la dirección según ISO

9001:2008
El borrador definitivo FDIS y posteriormente la propia norma,

confirmó lo que ya nos temíamos y a partir de ahora los sistemas
de gestión de la calidad tendrán que sobrevivir sin representante
de la dirección o como comúnmente ha sido denominado, el
responsable de calidad.
Pero, ¿qué tanto de cierto hay en esto? ¿Será ahora el

director general quién redacte las no conformidades y planifique
las auditorías internas? ¿Realmente los responsables de calidad
tendrán que buscar nuevos empleos…?
Bueno… lo cierto es que la norma ha eliminado la referencia a
la figura del representante de la dirección, pero eso no quiere decir
que sus funciones y responsabilidades desaparezcan sino que
pasan a ser asumidas por la dirección de la organización.
117
El objetivo de la norma es implicar más aún a la dirección en
el sistema de gestión y descansar directamente en sus manos la
labor de asegurar que realmente se implementa, mantiene y
mejora continuamente.
La figura del representante de la dirección, originalmente

pensada para ser un enlace entre la dirección y el sistema de
gestión ha tendido siempre a convertirse en la “figura para todo”
dentro del sistema: responsable del control de documentos,
responsable de emprender acciones correctivas, responsable de
gestión de planes de auditorías, auditor líder, formador…
Ahora, la dirección de la organización debe asumir “sin enlaces”
las responsabilidades que le otorga la norma, como por ejemplo: •
Asegurar que se implementan las políticas y objetivos de calidad
y que estos son coherentes con la dirección estratégica de la
entidad.
• Asegurar que el sistema de gestión de calidad está integrado

con el resto de procesos de negocio.
• Asegurar la disponibilidad de recursos.
• Asegurar que se alcanzan los resultados previstos.
Lo que parece complicado es que la dirección de la organización
—tampoco la norma lo exige— pueda llevar adelante con éxito
esta tarea en solitario. Tendrá que recurrir a un equipo más o
menos grande que le apoye en la tarea de liderar e impulsar el
sistema de gestión y su mejora continua.
118
En el apartado dedicado a los roles, responsabilidades y
autoridades de la organización, la norma nos conduce a un
proceso según el cual se deben asignar responsabilidades y
autoridades a las personas que aporten valor en la dirección
estratégica de la entidad…como son los responsables de los
procesos.
Es decir, perdemos un único responsable de calidad para

ganar un equipo de responsables de procesos más eficaz y
eficiente, pues dispondrán de mayor autoridad para asegurar que
se alcanzan los resultados esperados.
Casi podríamos decir que cada líder de proceso se convierte en

un representante de la dirección en lo que se refiere a la gestión
de su propio proceso.
De esta forma, con total seguridad, la persona que haya

desempeñado las funciones y responsabilidades del representante
de la dirección en el pasado podrá ser integrada con facilidad en
este equipo de trabajo.
Asignación de funciones según ISO 9001:2008
119
Asignación de funciones según ISO 9001:2015
Sin duda, este es un cambio de gran calado en la mayoría de

las empresas, especialmente en las pymes, que deben realizar una
evaluación profunda de las competencias de su personal antes de
pasar a asignar funciones y responsabilidades como las
anteriormente descritas, pero también dará mucho más significado
a la figura del responsable de proceso y reforzará el enfoque a
procesos en la organización.
7.7. DESAPARICIÓN DEL MANUAL DE

CALIDAD
Tras echar un primer vistazo a la norma ISO 9001:2015,
muchos se han empezado a mentalizar para deshacerse de su
otrora imprescindible manual de calidad, aunque quizás de forma
demasiado apresurada.
Como ocurre en el caso del representante de la dirección, el

manual de calidad deja de aparecer en la nueva edición de
la norma; de hecho, como se ha comentado anteriormente, la
norma habla únicamente de información documentada…
entendiendo como tales los procedimientos, instrucciones y
registros de la calidad. Ni siquiera en la descripción del significado
de la información documentada aparece mencionado el manual de
calidad.
Curiosamente, la norma ISO 9000:2015 de Fundamentos y

vocabulario SÍ incluye una definición para el manual de calidad,
120
lo que por lo menos nos advierte que como concepto, no lo hemos
desterrado para siempre.
Definición de Manual de Calidad según ISO 9000:2015
Muchas organizaciones —sobre todo aquellas que ya disponen

de uno— se están preguntando ¿manual sí o manual no? Y en
caso afirmativo ¿por qué y para qué? Para contestar a esas
preguntas, debemos tener en cuenta que los documentos del
sistema de gestión de calidad deben aportar valor a la
organización.
• ¿Su manual de calidad le aporta valor? Consérvelo. Que

la norma no lo exija no quiere decir que no pueda tener uno si
lo considera necesario para el funcionamiento eficaz de su
sistema.
• ¿Su manual de calidad hace tiempo que es un
documento de apenas uso real? Elimínelo del sistema…
… ahora bien, recuerde que deberá mantener como

información documentada algunos de sus contenidos, como el
alcance y la justificación de aquellos puntos que la organización
decida no son de aplicación.
121
122
ANEXO I.
MATRIZ DE CORRELACIÓN ENTRE
ISO 9001:2008 E ISO 9001:2015
A continuación se muestra, en forma de tabla, la relación
existente entre las versiones 2008 y 2015 de la norma ISO 9001.
Es una forma sencilla de ubicar en qué lugar de la norma se

encuentran las distintas cláusulas que la componen y qué relación
tienen con las cláusulas de la anterior revisión.
ISO 9001:2015 a ISO 9001:2008
ISO 9001:2015 ISO 9001:2008

1 Objeto y campo de aplicación 1 Objeto y campo de aplicación
1.1 Generalidades
4 Contexto de la organización 4 Sistema de gestión de la
calidad
4.1 Comprensión de la organización y 4 Sistema de gestión de la
su contexto calidad
5.6 Revisión por la dirección
123
4.2 Comprensión de las necesidades y 4 Sistema de gestión de la
expectativas de las partes interesadas calidad
5.6 Revisión por la dirección
4.3 Determinación del alcance del 1.2 Aplicación
sistema de gestión de calidad 4.2.2 Manual de calidad
4.4 Sistema de gestión de calidad y sus 4 Sistema de gestión de la
procesos calidad
4.1 Requisitos generales
5 Liderazgo 5 Responsabilidad de la
dirección
5.1 Liderazgo y compromiso 5.1 Compromiso de la dirección
5.1.1 Generalidades 5.1 Compromiso de la dirección
5.1.2 Enfoque al cliente 5.2 Enfoque al cliente
5.2 Política 5.3 Política de la calidad
5.2.1 Establecimiento de la política de 5.3 Política de la calidad
calidad
5.2.2 Comunicación de la política de 5.3 Política de la calidad
calidad
5 Liderazgo 5 Responsabilidad de la
dirección
5.3 Roles, responsabilidades y 5.5.1 Responsabilidad y autoridad
autoridades en la organización 5.5.2 Representante de la dirección
5.4.2 Planificación del sistema de
gestión de la calidad
6 Planificación 5.4.2 Planificación del sistema de
6.1 Acciones para abordar riesgos y 5.4.2 Planificación del sistema de
oportunidades gestión de la calidad
8.5.3 Acciones preventivas
6.2 Objetivos de la calidad y 5.4.1 Objetivos de la calidad
planificación para lograrlos
6.3 Planificación de los cambios 5.4.2 Planificación del sistema de
7 Apoyo 6 Gestión de los recursos
7.1 Recursos 6 Gestión de los recursos
124
7.1.1 Generalidades 6.1 Provisión de recursos
7.1.2 Personas 6.1 Provisión de recursos
7.1.3 Infraestructura 6.3 Infraestructura
7.1.4 Ambiente para la operación de los 6.4 Ambiente de trabajo
procesos
7.1.5 Recursos de seguimiento y 7.6 Control de dispositivos de
medición seguimiento y medición
7.1.6 Conocimiento de la organización NO HAY EQUIVALENCIA
7.2 Competencia 6.2.1 Generalidades
6.2.2 Competencia, formación y toma
de conciencia
7.3 Toma de conciencia 6.2.2 Competencia, formación y toma
de conciencia
7.4 Comunicación 5.5.3 Comunicación interna
7.5 Información documentada 4.2 Requisitos de la documentación
7.5.1 Generalidades 4.2.1 Generalidades
7.5.2 Creación y actualización 4.2.3 Control de los documentos
4.2.4 Control de los registros
7.5.3 Control de la información 4.2.3 Control de los documentos
documentada 4.2.4 Control de los registros
8 Operación 7 Realización del producto
8.1 Planificación y control operacional 7.1 Planificación de la realización del
producto
8.2 Requisitos para los productos y 7.2 Procesos relacionados con el
servicios cliente
8.2.1 Comunicación con el cliente 7.2.3 Comunicación con el cliente
8.2.2 Determinación de los requisitos 7.2.1 Determinación de los requisitos
para los productos y los servicios relacionados con el producto
8.2.3 Revisión de los requisitos para 7.2.2 Revisión de los requisitos
los productos y los servicios relacionados con el producto
8.2.4 Cambios en los requisitos para 7.2.2 Revisión de los requisitos
los productos y los servicios relacionados con el producto
8.3 Diseño y desarrollo de los 7.3 Diseño y desarrollo
productos y servicios
125
8.3.1 Generalidades 7.3.1 Planificación del diseño y
desarrollo
8.3.2 Planificación del diseño y 7.3.1 Planificación del diseño y
desarrollo desarrollo
8.3.3 Entradas para el diseño y 7.3.2 Entradas para el diseño y
desarrollo desarrollo
8.3.4 Controles del diseño y desarrollo 7.3.4 Revisión del diseño y desarrollo
7.3.5 Verificación del diseño y
desarrollo
7.3.6 Validación del diseño y desarrollo
8.3.5 Salidas del diseño y desarrollo 7.3.3 Salidas del diseño y desarrollo
8.3.6 Cambios del diseño y desarrollo 7.3.7 Control de los cambios del
diseño y desarrollo
8.4 Control de los procesos, productos 7.4.1 Proceso de compras
y servicios suministrados externamente
8.4.1 Generalidades 4.1 Requisitos generales
7.4.1 Proceso de compras
8.4.2 Tipo y alcance del control 7.4.1 Proceso de compras
7.4.3 Verificación de los productos
comprados
8.4.3 Información para los proveedores 7.4.2 Información de las compras
externos 7.4.3 Verificación de los productos
comprados
8.5 Producción y provisión del servicio 7.5 Producción y prestación del
servicio
8.5.1 Control de la producción y de la 7.5.1 Control de la producción y la
provisión del servicio prestación del servicio
7.5.2 Validación de los procesos de
producción y de la prestación del
servicio
8.5.2 Identificación y trazabilidad 7.5.3 Identificación y trazabilidad
8.5.3 Propiedad perteneciente a los 7.5.4 Bienes propiedad del cliente
clientes o a los proveedores externos
8.5.4 Preservación 7.5.5 Preservación del producto
8.5.5 Actividades posteriores a la 7.5.1 Control de la producción y la
entrega prestación del servicio
126
8.5.6 Control de los cambios 7.3.7 Control de los cambios del
diseño y desarrollo
8.6 Liberación de los productos y los 7.4.3 Verificación de los productos
servicios comprados
8.2.4 Seguimiento y medición del
producto
8.7 Control de las salidas no conformes 8.3 Control del producto no conforme
9 Evaluación del desempeño 8 Medición, análisis y mejora
9.1 Seguimiento, medición, análisis y 8 Medición, análisis y mejora
evaluación
9.1.1 Generalidades 8.1 Generalidades
8.2.3 Seguimiento y medición de
procesos
9.1.2 Satisfacción del cliente 8.2.1 Satisfacción del cliente
9.1.3 Análisis y evaluación 8.4 Análisis de datos
9.2 Auditoría interna 8.2.2 Auditoría interna
9.3 Revisión por la dirección 5.6 Revisión por la dirección
9.3.1 Generalidades 5.6.1 Generalidades
9.3.2 Entradas para la revisión por la 5.6.2 Información de entrada para la
dirección revisión
9.3.3 Salidas para la revisión por la 5.6.3 Resultados de la revisión
dirección
10 Mejora 8.5 Mejora
10.1 Generalidades 8.5.1 Mejora continua
10.2 No conformidad y acción 8.3 Control del producto no conforme
correctiva 8.5.2 Acción correctiva
10.3 Mejora continua 8.5.1 Mejora continua
8.5.3 Acción preventiva
127
ANEXO II.
LISTA DE REFERENCIAS A LA
INFORMACIÓN DOCUMENTADA EN
ISO 9001:2015
A continuación se muestran todas las referencias a la
información documentada que se encuentran en ISO 9001:2015.
Recordemos que la referencia “mantener información

documentada” se refiere a documentos soporte tales como
manuales, procedimientos y registros, mientras que la expresión
“conservar información documentada” hace referencia a registros.
NOTA: NO se incluyen las referencias correspondientes a los

controles que se deben establecer que se describen en el apartado
7.5; únicamente los correspondientes a generalidades.
128
Apartado Requisito
4.3 El alcance del sistema de gestión de la calidad de la
Determinación organización debe estar disponible y mantenerse como
del alcance del información documentada.
sistema de
gestión de la
calidad
4.4. Sistema de En la medida en que sea necesario, la organización debe:
gestión de la a) Mantener información documentada para apoyar
calidad y sus la operación de sus procesos.
procesos (sub-
apartado 4.4.2) b) Conservar la información documentada para
tener la confianza de que los procesos se realizan
según lo planificado.
5.2.2 La política de la calidad debe:
Comunicación de a) Estar disponible y mantenerse como información
la política de la documentada.
calidad
6.2 Objetivos de La organización debe mantener información
la calidad y documentada sobre los objetivos de la calidad.
planificación
para lograrlos
(sub-apartado
6.2.1)
7.1.5 Recursos La organización debe conservar la información
de seguimiento documentada apropiada como evidencia de que los
y medición (sub- recursos de seguimiento y medición son idóneos para su
apartado 7.1.5.1 propósito.
Generalidades)
7.1.5 Recursos […] cuando no existan tales patrones debe conservarse
de seguimiento como información documentada la base utilizada
y medición (sub- para la calibración o verificación.
apartado 7.1.5.2
Trazabilidad de
las mediciones)
7.2 Competencia La organización debe […]:
d) conservar la información documentada apropiada
como evidencia de la competencia.
7.5 Información El sistema de gestión de la calidad de la organización
documentada debe incluir:
129
(7.5.1 a) La información documentada requerida por esta
Generalidades) norma internacional.
b) La información documentada que la organización
determina como necesaria para la eficacia del sistema
de gestión de la calidad.
8.1 Planificación La organización debe planificar, implementar y controlar
y control los procesos necesarios para cumplir los requisitos para la
operacional provisión de productos y servicios […] mediante […]: e)
La determinación, el mantenimiento, y la conservación
de la información documentada en la extensión
necesaria para: 1. Tener confianza en que los procesos se
han llevado a cabo según lo planificado.
2. Demostrar la conformidad de los productos y los

servicios con sus requisitos.
8.2.3 Revisión La organización debe conservar la información
de los requisitos documentada, cuando sea aplicable: a) Sobre los
para los resultados de la revisión.
productos y
servicios (sub- b) Sobre cualquier requisito nuevo para los productos y
apartado los servicios.
8.2.3.2)
8.2.4 Cambios La organización debe asegurarse de que, cuando se
en los requisitos cambien los requisitos para los productos y los servicios,
de los productos la información documentada pertinente sea
y los servicios modificada, y de que las personas pertinentes sean
conscientes de los requisitos modificados.
8.3.2 Al determinar las etapas y controles para el diseño y
Planificación del desarrollo, la organización debe considerar […]: j) la
diseño y información documentada necesaria para demostrar
desarrollo que se han cumplido los requisitos del diseño y desarrollo.
8.3.3 Entradas La organización debe conservar la información

para el diseño y documentada sobre las entradas del diseño y
desarrollo desarrollo.
8.3.4 Controles La organización debe aplicar controles al proceso de
del diseño y diseño y desarrollo para asegurarse de que […]: f) se
desarrollo conserva la información documentada de estas
actividades.
8.3.5 Salidas del La organización debe conservar información
130
diseño y documentada sobre las salidas del diseño y desarrollo.
desarrollo
8.3.6 Cambios La organización debe conservar la información
del diseño y documentada sobre: a) Los cambios del diseño y
desarrollo desarrollo.
b) Los resultados de las revisiones.

c) La autorización de los cambios.
d) Las acciones tomadas para prevenir los impactos
adversos.
8.4 Control de La organización debe conservar la información
los procesos, documentada de estas actividades y de cualquier
productos y acción necesaria que surja de las evaluaciones.
servicios
suministrados
externamente
(sub-apartado
8.4.1
Generalidades)
8.5.1 Control de La organización debe implementar la producción y de la
la producción y provisión del servicio bajo condiciones controladas. Las
de la provisión condiciones controladas deben incluir, cuando sea
del servicio aplicable […]: a) La disponibilidad de información
documentada que defina: 1. Las características de los
productos a producir, los servicios a prestar o las
actividades a desempeñar.
2. Los resultados a alcanzar.

8.5.2 La organización debe controlar la identificación única de
Identificación y las salidas cuando la trazabilidad sea un requisito, y debe
trazabilidad conservar la información documentada necesaria
para permitir la trazabilidad.
8.5.3 Propiedad Cuando la propiedad de un cliente o de un proveedor
perteneciente a externo se pierda, deteriore o de algún modo se considere
los clientes o inadecuada para su uso, la organización debe informar de
proveedores esto al cliente o proveedor externo y conservar la
externos información documentada sobre lo ocurrido.
8.5.6 Control de La organización debe conservar información
los cambios documentada que describa los resultados de la revisión
de los cambios, las personas que autorizan el cambio y de
cualquier acción necesaria que surja de la revisión.
131
8.6 Liberación La organización debe conservar la información
de los productos documentada sobre la liberación de los productos y
y servicios servicios.
La información documentada debe incluir: a)
Evidencia de la conformidad con los criterios de
aceptación.
b) Trazabilidad a las personas que autorizan la liberación.

8.7 Control de La organización debe conservar la información
las salidas no documentada que: a) Describa la no conformidad.
conformes (sub-
apartado 8.7.2) b) Describa las acciones tomadas.
c) Describa todas las concesiones obtenidas.
d) Identifique la autoridad que decide la acción con
respecto a la no conformidad.
9.1 Seguimiento, La organización debe conservar la información
medición, documentada apropiada como evidencia de los
análisis y resultados.
evaluación (sub-
apartado 9.1.1
Generalidades)
9.2 Auditorías La organización debe […]:
internas (sub- f) Conservar información documentada como
apartado 9.2.2) evidencia de la implementación del programa de
auditoría y de los resultados de las auditorías.
9.3.3 Salidas de La organización debe conservar la información
la revisión por la documentada como evidencia de los resultados de las
dirección revisiones por la dirección.
10.2 No La organización debe conservar información
conformidad y documentada como evidencia de: a) La naturaleza de
acción correctiva las no conformidades, y cualquier acción tomada
(sub-apartado posteriormente.
10.2.2)
b) Los resultados de cualquier acción correctiva.
132
REFERENCIAS
ISO 9001:2015 Sistemas de gestión de la calidad.
Requisitos (Quality management systems. Requirements).
International Organization for Standardization (ISO).
ISO 9000:2015 Sistemas de gestión de la calidad.
Fundamentos y vocabulario. (Quality management systems.
Fundamentals and vocabulary). International Organization for
Standardization (ISO).
Informe ISO Survey 2014. International Organization for
“ISO/IEC Directives, Part 1 Consolidated ISO Supplement.
Procedures specific to ISO”. International Organization for
“Transition planning guidance for ISO 9001:2015”.
International Accreditation Forum (IAF).
“Risk based thinking in ISO 9001:2015”. International
Organization for Standardization (ISO).
“A practical guide to risk management” Thomas S. Coleman.
“10 Good Things for SMEs”. International Organization for
“The financial impact of ISO 9000 Certification in the
United States: An Empirical Analysis”. Corbett, Montes-
Sancho, Kirsch.
“Guía práctica para la gestión del riesgo”. Thomas S.
Coleman
“Historia de la Calidad”. Cruz Ramírez.
“Documento Técnico: Introducción al Anexo SL” BSI Group.
NTP 576: Integración de sistemas de gestión: prevención
de riesgos laborales, calidad y medio ambiente. Instituto
Nacional de Seguridad e Higiene en el Trabajo (INSHT).
133
134
135
136

Novedades Iso 90012015 Paloma Lopez Lemos

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Novedades Iso 90012015 Paloma Lopez Lemos

Cargado por

Copyright:

Formatos disponibles

2

PALOMA LÓPEZ LEMOS

Autora: Paloma López Lemos

Impreso en España – Printed in Spain

QUEDA PROHIBIDA TODA REPRODUCCIÓN TOTAL O PARCIAL DE LA OBRA POR

1.2.1. Érase una vez… en Estados Unidos

2.1. Estructura de la familia ISO 9000

2.2.1. Quién puede implementar la norma ISO 9001

3.1. Proceso de revisión de las normas ISO

3.2.1. Año 1987: primera edición de la norma

3.3. Revisión de la norma ISO 9001:2008

3.5.1. Plazos para la transición

3.5.2.1. Las empresas

4.1. Integración de los sistemas de gestión

5.1. Nueva terminología

5.2.1. Información documentada

6.2.1. Gestión del riesgo

6.3. Pensamiento basado en el riesgo

6.5.1. Sistemas de gestión de la continuidad de negocio. ISO 22301

6.6. Gestión del riesgo en ISO 9001:2015

Tras varios años de análisis y revisión, la publicación de la

Miles de organizaciones han arrancado ya con la

¿Qué es el pensamiento basado en el riesgo y cómo

Pero no nos engañemos. Está claro que esta ha sido una

Como consecuencia, todas las revisiones de esta norma

La revisión del año 2015 ha aterrizado con numerosos cambios

Comprender e interpretar correctamente estos cambios no solo

1.2. BREVE HISTORIA DE LA CALIDAD

1.2.1. Érase una vez… en Estados Unidos Los

De esta forma introdujo el control estadístico aplicado a los

Consiguió establecer una metodología válida para identificar el

Ejemplo de gráfico de control estadístico En septiembre de ese mismo año, se

Curiosamente, la guerra fue uno de los principales impulsores

En el año 1942, en plena guerra, se constata que 345 paracaídas

Trabajadoras inspeccionando un paracaídas de nylon durante la II guerra mundial

Una de las primeras medidas fue desarrollar un control de la

Estos métodos de inspección por muestreo consisten en aceptar

Proceso de inspección de productos Este tipo de inspección por muestreo

Estos métodos de muestreo están basados en normas y

Los estándares MIL-Q-9858 “Quality Program

Basada en las normas MIL, ISO ha publicado la norma ISO 2859-

1.2.2. Érase una vez… en Europa Al mismo

Los aspectos clave de BS 5750 eran los siguientes:

• Responsabilidad • Equipo de Inspección y Prueba •

Aspectos clave de BS 5750

BS 5750 fue una norma que se desarrolló claramente orientada

No incluía aspectos básicos de la gestión de la calidad —como

No obstante, esta norma es considerada como la antepasada

El éxito y gran difusión de la BS 5750 tuvieron como

SOANS muestra su certificado BS 5750 en el año 1978

Antes de la guerra, la organización actualmente conocida como

Fue disuelta durante la segunda guerra mundial.

En 1946, delegados de veinticinco países se reunieron en

En la actualidad, ISO es una organización independiente, no

Es la entidad normalizadora de referencia en todo el mundo.

Su misión es “promover el desarrollo de la estandarización

El nombre de ISO proviene del griego “isos” que significa igual.

1.2.3. Érase una vez… en Japón Antes de la

Uno de los aspectos que se pretendió trasladar fue el sistema

Actividades de inspección de producto en empresa japonesa En 1949, se fundó

En 1950, Walter E. Deming, un científico estadounidense

Unos años después, en 1954, fue Joseph Juran el invitado a

Toyota tras la segunda guerra mundial …y así fue.

El país pronto experimentó un desarrollo imparable gracias a la