International Organization for Standardization International Accreditation Forum

Fecha: 13 de Enero de 2016

Grupo de Prácticas de Auditoría ISO 9001

Orientación sobre:

Pensamiento basado en riesgos

El riesgo siempre ha estado implícito y contemplado en la norma ISO 9001. Muchos de sus
requisitos están destinados a prevenir los riesgos, por lo tanto, riesgo e ISO 9001 no son
una nueva combinación. Las ediciones anteriores de ISO 9001 incluyen un capítulo de
acciones preventivas, que tiene por objeto prevenir la ocurrencia de no conformidades.

ISO 9001 especifica los requisitos para que la organización comprenda su contexto y
determine los riesgos como una base para la planificación. El pensamiento basado en
riesgos considera tanto los riesgos como las oportunidades.

La introducción y el Anexo A de ISO 9001:2015 proporcionan una explicación sobre el

pensamiento basado en riesgos, incluyendo aclaraciones sobre los conceptos de riesgo y
oportunidades. Información más completa se puede encontrar en el documento de
pensamiento basado en riesgos en www.iso.org/tc176/sc02/public.

Una auditoría a pensamiento basado en riesgos en una organización no puede realizarse

como una actividad independiente. Debe ser implícita durante toda la auditoría del SGC,
incluido cuando se entrevista a la alta dirección. Un auditor debe actuar de acuerdo con los
siguientes pasos y recoger evidencias objetivas de la siguiente manera:

1.- ¿Qué entradas son utilizadas por la organización para determinar los riesgos y las
oportunidades?

Las entradas deben incluir lo siguiente:

 análisis de las cuestiones externas e internas

 la dirección estratégica de la organización

 las partes interesadas pertinentes, y sus requisitos también pertinentes

 el alcance del SGC de la organización

 los procesos de la organización

© ISO & IAF 2004 – All rights reserved

www.iaf.nu; www.iso.org/tc176/ISO9001AuditingPracticesGroup
1 of 3
• El auditor debería tener en cuenta que la organización tiene que determinar la extensión de
la información documentada necesaria para proporcionar evidencia objetiva de la aplicación
del pensamiento basado en riesgos. No hay ningún requisito específico en la norma ISO
9001:2015 sobre cómo documentar los resultados de las determinaciones de los riesgos y
oportunidades.

• Las necesidades de una organización para información documentada y el tipo y extensión

de ésta, variarán en gran medida debido al contexto de la organización, su tamaño, la
cultura, la naturaleza de los productos y servicios, los requisitos legales y reglamentarios
aplicables, o las necesidades del cliente con respecto a los riesgos de productos, etc.

2.- ¿Cómo puede una organización determinar sus riesgos y oportunidades, teniendo
en cuenta lo anterior?

La evidencia objetiva podría estar en diversas formas, por ejemplo:

 actas de las reuniones

 análisis FODA

 informes sobre la retroalimentación del cliente

 actividades de tormenta de ideas

 análisis de la competencia

 actividades de planificación, análisis y evaluación relacionados con los procesos, por

ejemplo, planificación estratégica, diseño y desarrollo, mercadeo, producción y
prestación del servicio, acciones correctivas, ...

 revisión por la dirección

 determinación de riesgos o evaluación de registros, si se determina aplicable o

necesario por la organización

 etc.

3.- ¿Cómo puede una organización abordar sus riesgos y oportunidades

determinados?

Las acciones necesarias a tomarse pueden estar en diferentes formas, por ejemplo:

 revisión de viejos o establecimiento de nuevos objetivos

 planes de acción

 formación en el trabajo

 instrucciones de trabajo

 metas y proyectos de mejora, etc.

4.- ¿La organización evalúa la eficacia de las acciones antes mencionadas?

El auditor debería confirmar si las auditorías internas y las actividades de evaluación del
desempeño tienen en cuenta la aplicación efectiva del pensamiento basado en riesgos.

© ISO & IAF 2004 – All rights reserved

www.iaf.nu; www.iso.org/tc176/ISO9001AuditingPracticesGroup
2 of 3
For further information on the ISO 9001 Auditing Practices Group, please refer to the paper:
Introduction to the ISO 9001 Auditing Practices Group.

Feedback from users will be used by the ISO 9001 Auditing Practices Group to determine
whether additional guidance documents should be developed, or if these current ones should
be revised.

Comments on the papers or presentations can be sent to the following email address:
charles.corrie@bsigoup.com.

The other ISO 9001 Auditing Practices Group papers and presentations may be downloaded
from the web sites:
www.iaf.nu
www.iso.org/tc176/ISO9001AuditingPracticesGroup

Disclaimer

This paper has not been subject to an endorsement process by the International
Organization for Standardization (ISO), ISO Technical Committee 176, or the International
Accreditation Forum (IAF).

The information contained within it is available for educational and communication purposes.
The ISO 9001 Auditing Practices Group does not take responsibility for any errors,
omissions or other liabilities that may arise from the provision or subsequent use of such
information.

© ISO & IAF 2004 – All rights reserved

www.iaf.nu; www.iso.org/tc176/ISO9001AuditingPracticesGroup
3 of 3