Fernando ArrietaPresidente · International Accreditation Center

Área de práctica · Pilar 07

Calidad y sistemas de gestión.

ISO 9001 leída en serio. Integración con 14001, 45001 y 27001 cuando suma; separación cuando no.

Llevo más de quince años auditando sistemas de gestión de calidad. Más de ochocientas organizaciones evaluadas. ISO 9001 sigue siendo la columna de la mayoría de los sistemas, pero su lectura cambió. Lo que en 2010 era control de procesos documentados, hoy es lectura técnica de operación, integración con otros estándares y reconciliación con la experiencia del cliente real.

1. Calidad no es conformidad

Es la tesis técnica que más veces tuve que repetir en mi carrera. La calidad es lo que el sistema produce de manera sostenible. La conformidad es lo que el sistema documenta. No son lo mismo. Un sistema perfectamente conforme puede producir resultados de baja calidad. Un sistema con observaciones puede producir excelencia operativa.

La auditoría que confunde conformidad con calidad firma certificados que no se sostienen bajo escrutinio. Es lo que hace el cazador de no conformidades y lo que hace el burócrata (sobre los tipos de auditor, ver la doctrina Tres tipos de auditor). La auditoría técnica seria lee la calidad operativa y la documenta. Esa documentación, después, es la que sostiene el certificado bajo escrutinio externo. Sobre la diferencia entre lo que un certificado dice y lo que no puede decir, recomiendo la doctrina Alcance epistémico.

El sistema conforme no es sistema bueno. Es sistema documentado. La calidad se mide en la operación, no en el archivador.

2. ISO 9001:2015 (próxima revisión 2026) leída técnicamente

La estructura de ISO 9001:2015 (Anexo SL) sigue siendo la base de la mayoría de los sistemas integrados que audito. Cuando llegue la revisión esperada de 2026, cambiarán algunos énfasis pero la columna se mantiene.

De los diez capítulos de la norma, hay cuatro que en auditorías reales son donde se separa el sistema bueno del documentado.

Capítulo 4 · Contexto. La organización tiene que demostrar que entendió su contexto operativo, no recitarlo. Una auditoría que valida "tenemos un análisis de contexto" sin profundizar firma sobre un papel.

Capítulo 6 · Planificación de riesgos y oportunidades. Los riesgos declarados se reconcilian con los incidentes reales sucedidos. Si los riesgos en el papel no coinciden con lo que efectivamente le pasó a la organización, el análisis no funcionó.

Capítulo 9 · Evaluación de desempeño. Los KPIs declarados se reconcilian con la experiencia operativa real, especialmente con la del cliente. Sobre esto, ver el pilar Experiencia del cliente.

Capítulo 10 · Mejora. No es sumarle no conformidades cerradas a un Excel. Es demostrar que el ciclo de mejora detecta tendencias y corrige causas raíz. La mayoría de los sistemas certificados cierran no conformidades sin corregir la causa que las generó. Cierre formal sin mejora real.

3. Integración SGI · cuándo conviene y cuándo no

Un Sistema Integrado de Gestión combina ISO 9001 (calidad) con otras normas: ISO 14001 (ambiental), ISO 45001 (seguridad y salud), ISO/IEC 27001 (seguridad de la información), ISO 22301 (continuidad), ISO/IEC 42001 (IA). El Anexo SL los hace estructuralmente compatibles.

Integrar tiene tres ventajas reales:

  1. Una sola auditoría externa al año, no cuatro.
  2. Una sola estructura de procesos, no cuatro paralelas.
  3. Una sola revisión por la dirección.

Tiene tres riesgos reales:

  1. El sistema integrado tiende a homogeneizar lo que técnicamente es heterogéneo. Calidad y ciberseguridad no piden las mismas evidencias.
  2. El auditor "generalista" de SGI puede no tener profundidad en cada norma. Una organización que opera infra crítica necesita auditor con expertise sectorial específico, no SGI light.
  3. El cliente termina certificando "lo que hay" en lugar de "lo que necesita". Cuatro normas integradas pueden producir cuatro cumplimientos superficiales en vez de uno profundo y tres bien hechos.

Mi regla, después de auditar SGI en cientos de organizaciones: integrar normas que comparten propósito operativo (calidad + ambiente + seguridad ocupacional para una planta industrial); separar normas con propósito independiente (calidad + ciberseguridad: separadas, profundas, no integradas mecánicamente).

4. PDCA · ciclo útil y trampa frecuente

El ciclo Plan-Do-Check-Act, base de ISO 9001, es una herramienta útil cuando se aplica con criterio. Es una trampa cuando se aplica mecánicamente.

La aplicación mecánica produce sistemas que documentan PDCA en cada proceso sin que el ciclo se complete realmente. El "Act" (corregir) se vuelve "agregar otra acción al registro" sin pasar al "Plan" siguiente con la información de la corrección. El sistema gira en falso: parece estar mejorando porque tiene actas, pero no mejora porque las actas no alimentan el siguiente ciclo.

Esta crítica está desarrollada en el ensayo PDCA y su trampa. La síntesis: PDCA bien aplicado mejora; PDCA mal aplicado certifica.

5. Auditor de calidad · cinco preguntas que pesan más que las del checklist

Cuando audito calidad bajo ISO 9001, las preguntas que pesan no son las del checklist. Son cinco preguntas operativas que separan el sistema que funciona del que solo se documenta.

  1. ¿Cuántas no conformidades del año pasado se cerraron resolviendo la causa raíz, no solo el síntoma?
  2. ¿Cuáles fueron los tres principales hallazgos de la última revisión por la dirección y cómo se transformaron en acciones operativas?
  3. ¿Qué KPI declarado interno no se condice con la experiencia operativa real de la organización y por qué?
  4. ¿Qué riesgos identificados en la planificación se materializaron en incidentes durante el último año?
  5. ¿Qué cambió en el sistema como consecuencia de la última auditoría interna?

6. Sectores donde audito calidad

Industria (metalurgia, alimentos, química, automotriz, papel). Servicios financieros (calidad del servicio bancario, gestión de reclamos, atención al cliente). Salud privada y prepagas (calidad asistencial integrada con ISO 13485 si hay dispositivos médicos). Servicios profesionales B2B (consultoría, auditoría, agencias). Sector público (calidad de servicios al ciudadano). Plataformas digitales (calidad de servicio medida en experiencia, no en uptime).

7. Cómo se contrata una auditoría de calidad

Las auditorías formales sobre ISO 9001 — sola o integrada con 14001, 45001, 27001, 22301, 42001 — se contratan a través del International Accreditation Center. ISO 9001 es la primera de las diez normas operadas dentro de la cobertura internacional vigente del centro.

Para contratar

Auditoría 9001 o SGI vía IAC.

Ir a accreditationcenter.org →

Lecturas relacionadas

Doctrina y ensayos del marco.

D · 02

Tres tipos de auditor

Leer → D · 03

Alcance epistémico

Leer → 12

Calidad no es conformidad

Leer → 13

PDCA y su trampa

Leer →