Pensamiento basado en riesgos: el concepto de ISO 9001:2015 que más se malinterpreta

Cuando ISO 9001:2015 eliminó el requisito de tener un procedimiento de acciones preventivas y lo reemplazó con el concepto de "pensamiento basado en riesgos", generó una ola de confusión en el mundo de los sistemas de gestión. Muchas organizaciones respondieron creando un nuevo procedimiento —ahora llamado "gestión de riesgos y oportunidades"— con un registro, un responsable y una frecuencia de revisión. Es decir, hicieron exactamente lo contrario de lo que la norma proponía.

El pensamiento basado en riesgos no es un procedimiento. Es una forma de operar. ISO 9001:2015 lo define en la cláusula 6.1 con una sola exigencia central: que la organización considere los riesgos y oportunidades al planificar el SGC y al planificar cómo alcanzar sus objetivos. Eso es todo. La norma no dice cómo documentarlo ni con qué frecuencia revisarlo.

El pensamiento basado en riesgos no es una herramienta que se aplica una vez al año. Es la pregunta que debería hacerse antes de tomar cualquier decisión relevante.

La diferencia entre gestión de riesgos y pensamiento basado en riesgos

La gestión de riesgos —tal como la describe ISO 31000, por ejemplo— es un proceso estructurado: identificación, análisis, valoración, tratamiento, monitoreo. Es sistemática, documentada y repetible. El pensamiento basado en riesgos, en cambio, es una disposición mental: la tendencia a considerar qué podría salir mal (y qué podría salir extraordinariamente bien) antes de actuar.

Una organización puede tener un proceso robusto de gestión de riesgos y, al mismo tiempo, no tener pensamiento basado en riesgos si ese proceso está desconectado de la toma de decisiones cotidiana. Y puede tener pensamiento basado en riesgos sin un proceso formal si sus líderes naturalmente anticipan consecuencias antes de actuar. ISO 9001:2015 quiere lo segundo; lo primero es una herramienta que puede ayudar a lograrlo, pero no lo garantiza.

Cómo se ve el pensamiento basado en riesgos en la práctica

En una organización donde el pensamiento basado en riesgos está integrado, las conversaciones sobre decisiones incluyen naturalmente preguntas como: ¿qué supuestos estamos haciendo aquí que podrían estar equivocados? ¿Qué tendría que ocurrir para que este plan no funcione? ¿Hay señales tempranas que podríamos monitorear para detectar problemas antes de que se conviertan en crisis? ¿Existe alguna condición actual que nos da una ventaja que deberíamos aprovechar ahora?

Esas preguntas no requieren un formato de registro. Requieren que los líderes las hagan parte de su rutina de gestión. Y eso es, precisamente, lo que ISO 9001:2015 espera cuando habla de liderazgo y compromiso en la cláusula 5.

Los tres errores más comunes al implementar este requisito

Error 1: Crear un registro de riesgos desconectado de los procesos

El error más frecuente es crear un registro centralizado de riesgos que "pertenece" al área de calidad. Los dueños de proceso no lo conocen, no lo actualizan y no lo usan para tomar decisiones. El auditor lo ve; la organización no lo vive.

Error 2: Documentar solo amenazas y olvidar las oportunidades

ISO 9001:2015 habla explícitamente de "riesgos y oportunidades". La mayoría de los registros solo documentan amenazas. Las oportunidades —cambios en el mercado, nuevas tecnologías, debilidades de la competencia— son igualmente parte del pensamiento basado en riesgos y, a menudo, las más valiosas para el negocio.

Error 3: Revisar los riesgos solo en la revisión por la dirección

Si los riesgos solo se revisan una vez al año, el sistema responde a la realidad de hace doce meses, no a la actual. El pensamiento basado en riesgos implica que cuando algo cambia en el contexto de la organización —un nuevo cliente, un cambio regulatorio, la salida de un proveedor clave— alguien en la organización se pregunta qué implica ese cambio para los objetivos del SGC.

Lo mínimo que necesitas para cumplir el requisito

• —Identificar los riesgos y oportunidades relevantes para los objetivos del SGC, no para todos los objetivos del negocio
• —Decidir cómo abordarlos —no es obligatorio tratarlos todos, solo considerarlos
• —Planificar acciones para los riesgos que decidas tratar y verificar su eficacia
• —Documentar lo suficiente para demostrarle al auditor que el proceso existe y funciona

La palabra clave es "considerar". ISO 9001 no exige que elimines todos los riesgos. Exige que los tengas en cuenta al planificar. Un sistema de gestión que toma decisiones sin preguntarse qué podría salir mal es un sistema frágil. Uno que se paraliza intentando eliminar toda incertidumbre es un sistema ineficiente. El equilibrio entre ambos extremos es lo que la norma llama pensamiento basado en riesgos.