Por Juan Camilo Roldán.
Si hay un capítulo que marcará un antes y un después en la forma en que las organizaciones planifican su estrategia, es el Numeral 6.1: Acciones para abordar riesgos y oportunidades.
La versión de 2015 introdujo el “pensamiento basado en riesgos”, pero en la práctica, muchas empresas terminaron fusionando riesgos y oportunidades en matrices estáticas que aportaban poco valor. La futura versión 2026 corrige esto radicalmente, elevando la madurez del sistema y exigiendo un enfoque mucho más analítico y separado.
A continuación, presento un análisis de los cambios principales y mis recomendaciones prácticas para que tu organización esté preparada para afrontar este nuevo requisito en las próximas auditorías.
1. Los Cambios Principales en el Numeral 6.1
El cambio estructural y conceptual en este numeral es profundo. La norma abandona la generalidad para exigir acciones más específicas frente a la incertidumbre.
A. Separación Definitiva: Riesgos por un lado, Oportunidades por el otro
El cambio más visible es la división del antiguo numeral 6.1.2 en dos apartados distintos:
- 6.1.2 Acciones para abordar riesgos.
- 6.1.3 Acciones para abordar oportunidades.
El Anexo A de la norma es tajante al respecto: “Determinar y gestionar riesgos y oportunidades son procesos separados. Los riesgos no son oportunidades”. La norma elimina la vieja concepción de que una oportunidad es simplemente el lado positivo de un riesgo. Ahora se exige el “pensamiento basado en oportunidades” como un concepto con peso propio, derivado de la evaluación del contexto, las capacidades de la empresa y los indicadores de desempeño.
B. El Nuevo Mandato: “Determinar, Analizar y Evaluar”
En la versión 2015, la norma pedía “determinar” los riesgos y planificar acciones. La versión 2026 va un paso más allá y exige explícitamente que la organización debe “determinar, analizar y evaluar” tanto los riesgos como las oportunidades. Esto significa que el auditor buscará evidencia de que se ha comprendido la naturaleza del riesgo (análisis) y se ha priorizado (evaluación) antes de tomar acción.
C. Foco en la Resiliencia y las Interrupciones del Negocio
Una adición crítica en el numeral 6.1.2 es el reconocimiento explícito de las crisis. La norma ahora señala que los riesgos determinados pueden incluir aquellos relacionados con la capacidad de proporcionar productos y servicios conformes “durante y después de una interrupción”. El Anexo A refuerza esto indicando que el pensamiento basado en riesgos debe asegurar que el sistema logre sus objetivos incluso en “ocurrencias disruptivas” mediante la implementación de contramedidas.
D. La Naturaleza de las Oportunidades
El nuevo numeral 6.1.3 detalla qué se entiende por oportunidades. Ya no se trata solo de “mejorar un proceso”, sino de acciones estratégicas para satisfacer necesidades cambiantes del mercado. Las oportunidades ahora incluyen adoptar nuevas prácticas, lanzar nuevos productos, crear nuevas asociaciones y aprovechar tecnologías emergentes.
2. Recomendaciones ¿Qué hacer para cumplir con el nuevo 6.1?
Para evitar no conformidades y asegurar que tu Sistema de Gestión de la Calidad (SGC) haga la transición suavemente a la versión 2026, te recomiendo implementar las siguientes acciones:
1. Separa tus Metodologías (Divide y Vencerás)
Lo que debes hacer: Deja de usar una única “Matriz de Riesgos y Oportunidades” donde las oportunidades son simplemente riesgos con signo positivo.
- Para los Riesgos: Mantén tu matriz enfocada en la prevención de efectos indeseados y la resiliencia operativa.
- Para las Oportunidades: Crea un mecanismo distinto (puede ser un comité de innovación, un análisis DOFA dinámico o un plan de viabilidad de negocios) enfocado en aprovechar el contexto externo. Si surge una oportunidad (ej. una nueva tecnología), evalúa los riesgos asociados a esa oportunidad de forma separada.
2. Implementa un Método de “Análisis y Evaluación” (Sin burocracia excesiva)
Lo que debes hacer: Dado que la norma ahora exige “analizar y evaluar”,, debes tener un criterio claro de priorización.
- Atención: La norma aclara que NO es obligatorio usar metodologías formales de gestión de riesgos (como ISO 31000) ni tener un proceso documentado excesivamente complejo. Sin embargo, debes poder demostrarle al auditor cómo llegaste a la conclusión de que un riesgo es “Alto” o “Bajo”. Usa escalas simples de Probabilidad vs. Impacto, y asegúrate de que las acciones tomadas sean proporcionales al impacto potencial en la conformidad del producto/servicio,.
3. Integra Planes de Contingencia (Gestión de Interrupciones)
Lo que debes hacer: El auditor te preguntará: “¿Qué pasa con la calidad de tu producto si hay un ciberataque, una pandemia o falla tu proveedor principal?”.
- Revisa tus riesgos operativos e incluye escenarios de interrupción del negocio.
- Asegúrate de tener planes de acción (contramedidas) que garanticen que, incluso en contingencia, los requisitos del cliente y legales se sigan cumpliendo.
4. Demuestra la Evaluación de la Eficacia
Lo que debes hacer: Uno de los hallazgos más comunes en auditoría es planificar la acción pero nunca verificar si funcionó. Los nuevos numerales 6.1.2 y 6.1.3 exigen planificar cómo “evaluar la eficacia de estas acciones”,.
- Asigna una fecha y un responsable posterior a la implementación de la acción para medir su resultado. Si la acción para mitigar un riesgo falló, el ciclo PHVA exige que se analice y se tome una nueva medida.
El nuevo numeral 6.1 de ISO 9001:2026 deja de ver el riesgo como un mero trámite documental y lo convierte en el motor táctico de la empresa. Al separar claramente las oportunidades de los riesgos y exigir un análisis riguroso de las interrupciones, la norma busca crear organizaciones más resilientes, estratégicas y preparadas para el futuro.