Cómo elaborar la matriz de riesgos y oportunidades ISO 9001 con Qiso
La ISO 9001:2015 introdujo en la cláusula 6.1 un requisito que antes era opcional: el pensamiento basado en riesgos. Ya no basta con reaccionar cuando algo sale mal — la norma pide que identifiques de antemano qué puede fallar (y qué oportunidades puedes aprovechar), que valores la probabilidad e impacto de cada escenario y que definas cómo vas a actuar. El resultado se documenta en la matriz de riesgos y oportunidades, una de las evidencias más revisadas en una auditoría. En este artículo te explicamos qué pide la norma, por qué el Excel ya no es suficiente y cómo elaborar la matriz de riesgos ISO 9001 paso a paso con Qiso.
Qué pide la norma (cláusula 6.1)
La cláusula 6.1 (Acciones para tratar riesgos y oportunidades) establece que la organización debe:
- Identificar los riesgos y oportunidades que pueden afectar a su capacidad de cumplir los requisitos del cliente y de la norma.
- Planificar las acciones necesarias para tratarlos.
- Implementar esas acciones e integrarlas en los procesos del SGC.
- Evaluar la eficacia de las acciones tomadas.
Atención: la norma no exige un formato de matriz concreto ni una escala P×I específica, pero sí pide que el proceso sea sistemático y documentado. El auditor querrá ver que no has hecho la lista una vez y no la has vuelto a mirar: los riesgos deben revisarse periódicamente y actualizarse cuando cambien las circunstancias.
El problema sin herramienta
La mayoría de pymes que se enfrentan por primera vez a la cláusula 6.1 abren un Excel y crean una tabla con columnas de probabilidad, impacto, nivel y acción. El resultado tiene un aspecto correcto, pero acaba siendo papel mojado:
- Versiones perdidas: el archivo se llama
Matriz_Riesgos_v4_FINAL_2.xlsxy nadie sabe si es la que aprobó dirección. - Sin seguimiento: se define un plan de acción para cada riesgo, pero nadie lo ejecuta ni verifica que haya funcionado.
- Sin alertas: los riesgos en nivel alto siguen igual al año siguiente porque no hay nada que recuerde que toca revisarlos.
- Sin trazabilidad: no queda registro de quién evaluó qué ni cuándo. Si el auditor pregunta, no puedes demostrarlo.
- Riesgos y procesos desconectados: la matriz existe como documento aislado, sin vinculación a los procesos donde se materializan los riesgos.
El auditor detecta rápidamente si la matriz es un ejercicio de cumplimiento o una herramienta real. La diferencia está en si hay evidencia de seguimiento y actualización.
Paso a paso con Qiso
1. Accede al módulo de Riesgos
En Qiso, ve a Riesgos y Oportunidades en la barra lateral. Desde el listado principal puedes ver todos los riesgos registrados, su nivel actual y su estado de seguimiento de un vistazo.
2. Crea un nuevo riesgo u oportunidad
Pulsa Nuevo riesgo y rellena la ficha:
- Descripción del riesgo: qué puede ocurrir, en qué proceso o área se origina, cuál sería la consecuencia si se materializa.
- Tipo: Riesgo (algo que puede ir mal) u Oportunidad (algo que puedes aprovechar para mejorar). La norma pide tratar ambos.
- Proceso vinculado: el riesgo queda ligado al proceso del mapa de procesos de tu empresa, lo que ayuda al auditor a ver que el análisis es integral.
- Responsable: quién se encarga de gestionar este riesgo.
3. Puntúa con la escala P×I
Qiso utiliza la escala clásica Probabilidad × Impacto para calcular el nivel de riesgo:
| Probabilidad | Valor |
|---|---|
| Muy baja | 1 |
| Baja | 2 |
| Media | 3 |
| Alta | 4 |
| Muy alta | 5 |
| Impacto | Valor |
|---|---|
| Insignificante | 1 |
| Menor | 2 |
| Moderado | 3 |
| Mayor | 4 |
| Catastrófico | 5 |
El sistema multiplica automáticamente ambos valores (score de 1 a 25) y asigna el nivel de riesgo:
| Score P×I | Nivel | Color |
|---|---|---|
| 1 – 4 | Bajo | Verde |
| 5 – 9 | Medio | Amarillo |
| 10 – 16 | Alto | Naranja |
| 17 – 25 | Crítico | Rojo |
4. Define el tratamiento
Para cada riesgo debes decidir qué haces con él. Los tratamientos habituales según la norma son:
- Eliminar: suprimir la actividad que genera el riesgo.
- Mitigar: reducir la probabilidad o el impacto mediante controles.
- Transferir: contratar un seguro o externalizar la actividad.
- Aceptar: asumir el riesgo si el coste de tratarlo supera el impacto potencial.
En Qiso, el campo Tratamiento es texto libre donde describes exactamente qué acciones se van a tomar: qué control se implementa, quién lo ejecuta y cuándo. Esto es la evidencia que buscará el auditor de la cláusula 6.1.2.
5. Registra el seguimiento
Una vez implementado el tratamiento, el estado del riesgo avanza. Qiso permite marcar el riesgo como:
- Identificado: registrado, pendiente de evaluar o tratar.
- En tratamiento: las acciones definidas están en curso.
- Controlado: el tratamiento está implantado y el riesgo está dentro del nivel aceptable.
- Cerrado: riesgo eliminado o ya no aplica.
Cada cambio de estado queda registrado con usuario y fecha, lo que proporciona la traza histórica que exige la norma.
6. Revisa la matriz completa
Desde el listado de Riesgos y Oportunidades puedes ver toda la matriz de un vistazo: nivel de riesgo, tipo, proceso vinculado, responsable y estado de tratamiento. Puedes filtrar por nivel (Alto/Crítico) para priorizar acciones.
El motor de madurez de Qiso también tiene en cuenta el porcentaje de riesgos evaluados y con tratamiento activo: si dejas riesgos en nivel alto sin tratar, tu puntuación de preparación para la auditoría baja.
7. Exporta el informe para el auditor
Qiso genera el informe PDF de riesgos (/api/pdf/risks) con todos los riesgos registrados, su puntuación P×I, nivel, tratamiento y estado. Un documento estructurado y firmado que puedes entregar directamente en la auditoría.
Qué evidencia queda lista para el auditor
Al completar este proceso en Qiso, el auditor puede revisar:
- ✅ Listado de riesgos y oportunidades con tipo, proceso, puntuación P×I y nivel.
- ✅ Ficha de cada riesgo: descripción, evaluación, tratamiento definido, responsable y estado.
- ✅ Historial de cambios con usuario y fecha (trazabilidad completa).
- ✅ Vinculación a procesos: el riesgo está ligado al mapa de procesos de tu empresa.
- ✅ Informe PDF descargable para incluir en el dossier de auditoría.
- ✅ Estado de seguimiento: evidencia de que los riesgos se revisan y actualizan, no solo se crean.
Un ejemplo concreto: la empresa que dependía de un solo proveedor crítico
Una empresa de producción tenía el 80 % de su materia prima clave suministrada por un único proveedor. Cuando este tuvo problemas de capacidad, la línea de producción se paró tres semanas. El riesgo era obvio en retrospectiva, pero nadie lo había documentado ni tenía un plan.
Con Qiso:
- Se registra el riesgo "Dependencia de proveedor único para materia prima clave" vinculado al proceso de Compras.
- Probabilidad: 3 (media) — el proveedor es estable pero la dependencia es total. Impacto: 5 (catastrófico) — parada de producción completa. Score P×I: 15 → Nivel Alto.
- Tratamiento: identificar un segundo proveedor homologado y mantener stock mínimo de seguridad de 2 semanas.
- Estado: En tratamiento mientras se homologa el segundo proveedor. Responsable: jefe de compras. Plazo: 3 meses.
- Tras homologar el segundo proveedor, se actualiza a Controlado. El score P×I baja a 6 (probabilidad reducida a 2).
El auditor ve el riesgo identificado antes de que ocurra algo, el plan de acción y la evidencia de que se ha ejecutado. Eso es pensamiento basado en riesgos real.
Riesgos y no conformidades: la conexión
La ISO 9001 espera que tu análisis de riesgos mejore con el tiempo: una no conformidad recurrente debería hacer que revisaras la probabilidad de los riesgos relacionados, y un riesgo que se materializa debería generar una no conformidad. En Qiso, los módulos de Riesgos y No conformidades son parte del mismo SGC: puedes navegar desde una NC al riesgo vinculado o viceversa, trazando la cadena completa de causas y controles.
¿Listo para tener tu matriz de riesgos siempre actualizada y lista para el auditor? Prueba Qiso gratis durante 14 días y cubre la cláusula 6.1 desde el primer día.
¿Quieres seguir avanzando en tu SGC? Consulta nuestra guía principal Primeros pasos para conseguir la ISO 9001 en tu empresa con Qiso, o sigue leyendo sobre cómo registrar no conformidades y acciones correctivas con Qiso y cómo planificar auditorías internas con Qiso.