Una guía paso a paso por la estructura de alto nivel del Anexo SL para empresas que se preparan para certificación o recertificación de su sistema de gestión de calidad.
Desde 2015, ISO publicó todas sus normas de sistemas de gestión bajo una misma estructura de 10 cláusulas conocida como Anexo SL. Esto significa que ISO 9001 (calidad), ISO 14001 (ambiental), ISO 45001 (SST) e ISO 27001 (seguridad de la información) comparten la misma columna vertebral.
La consecuencia práctica: una empresa que tiene ISO 9001 certificada parte con ~50% del trabajo hecho cuando decide ir por ISO 14001 o 45001. Por eso los sistemas integrados HSEQ se han vuelto el estándar en Colombia para empresas medianas y grandes.
Estas tres cláusulas son introductorias y no contienen requisitos auditables, pero definen el lenguaje del estándar. La cláusula 3 (términos y definiciones) hace referencia a ISO 9000:2015, que es el diccionario oficial.
Una buena práctica al implementar es elaborar un glosario interno con la terminología que el auditor verá en sus revisiones (no conformidad, riesgo, parte interesada, etc.).
Aquí aparece el primer requisito auditable. La organización debe entender su contexto interno y externo, identificar las partes interesadas (clientes, empleados, accionistas, autoridades, comunidad) y definir el alcance de su sistema de gestión.
Herramientas comunes: análisis FODA, matriz PESTEL, mapa de partes interesadas con expectativas y necesidades. La salida documental obligatoria es un alcance del SGC redactado y aprobado por la dirección.
El error #1 en empresas pequeñas: hacer un alcance "demasiado amplio" que luego no pueden cumplir. Mejor empezar acotado (una línea de negocio, una sede) y ampliar en re-certificaciones.
La alta dirección debe demostrar liderazgo y compromiso con el SGC. Esto se aterriza en la política de calidad, los objetivos, los roles y responsabilidades, y la integración del SGC en los procesos del negocio.
En auditoría, los auditores entrevistan al gerente general (no solo al líder de calidad). Si el gerente no puede explicar la política o no la firma, hay no conformidad mayor.
Esta es la cláusula que más se reforzó en la versión 2015. La organización debe identificar riesgos y oportunidades para sus procesos, planificar acciones para abordarlos y establecer objetivos de calidad medibles.
La salida típica es una matriz de riesgos por proceso con criterios de probabilidad e impacto, y un cuadro de objetivos de calidad alineados a la política. Los objetivos deben ser SMART y revisarse en la revisión por la dirección.
Aquí están los requisitos de soporte: recursos suficientes, infraestructura adecuada, ambiente de trabajo, competencia del personal (con evidencia: hojas de vida, capacitaciones, evaluaciones), comunicación interna y externa, y manejo de la información documentada.
Información documentada incluye el control de documentos (versiones, aprobaciones, distribución) y el control de registros (almacenamiento, recuperación, disposición). Esta es típicamente la cláusula con más hallazgos en pequeñas empresas que aún manejan todo en carpetas compartidas.
Es la cláusula más larga: cubre la planificación operacional, los requisitos del cliente, el diseño y desarrollo (cuando aplica), el control de proveedores externos, la producción/prestación del servicio, la liberación del producto y el control de salidas no conformes.
Aquí es donde el SGC se conecta con la operación real del negocio. Si la cláusula 8 está bien implementada, el resto del sistema fluye solo. Si está mal, ningún software de calidad lo arregla.
La cláusula 9 exige seguimiento, medición, análisis y evaluación del desempeño del SGC. Esto incluye satisfacción del cliente, auditoría interna y revisión por la dirección. Los KPIs aquí no son opcionales.
La cláusula 10 cierra el ciclo PHVA: tratamiento de no conformidades con análisis de causa raíz, acciones correctivas y mejora continua. La eficacia de las acciones correctivas debe verificarse posterior a su implementación.
Una vez implementado el SGC, el camino a la certificación tiene tres etapas: pre-auditoría (opcional pero recomendada), auditoría de certificación etapa 1 (revisión documental) y etapa 2 (auditoría in situ).
Las certificadoras acreditadas en Colombia incluyen ICONTEC, SGS, Bureau Veritas, BSI y SQS, entre otras. Los costos varían según el alcance, sedes y número de empleados, pero típicamente están entre 8 y 30 millones COP para empresas medianas, con renovación cada 3 años.
HoldingSoft+ centraliza la matriz IPER, COPASST, indicadores y reportes Resolución 0312. Reduce 60-80% el tiempo de gestión SGI.
Cumple Decreto 1072 + Resolución 0312
Estándares mínimos SG-SST + ISO 9001/14001/45001IA SOFÍA con citas verificables
RAG sobre tus documentos, sin alucinacionesDesde USD 30/mes · +40 apps incluidas
Sin penalización por cambiar de planEn empresas pequeñas y medianas con dedicación seria, entre 6 y 12 meses. La velocidad real depende de la madurez previa de los procesos y del soporte de la dirección.
No es obligatorio, pero ayuda en la primera implementación. Lo importante es no caer en consultorías que entreguen documentación genérica que el equipo interno no entiende ni opera. Mejor un consultor que entrene al equipo y deje capacidad instalada.
ISO 9001 es voluntaria y aplica a calidad. SG-SST (basado en Decreto 1072 y Resolución 0312) es obligatoria para todo empleador. Quien tiene ISO 9001 ya conoce el ciclo PHVA y puede integrar fácilmente con ISO 45001 o con SG-SST mediante un sistema integrado HSEQ.
Funcionalmente no, puedes hacerlo con Excel y carpetas compartidas. En la práctica, para empresas con más de 30 trabajadores el costo administrativo de mantener evidencias manuales supera ampliamente el costo de un software ISO especializado, sobre todo en re-certificaciones.
HoldingSoft+ automatiza la gestión documental, los indicadores y los reportes que aquí se mencionan. Ahorras semanas de trabajo administrativo y reduces el riesgo de hallazgos en auditoría.