La calidad de un producto nunca es mejor que la del proveedor más débil de su cadena de suministro. En un mundo donde el componente comprado representa con frecuencia más del 60% del coste de un producto terminado, gestionar proveedores ha dejado de ser una función administrativa de compras para convertirse en una disciplina central del sistema de gestión de la calidad. La norma ISO 9001 lo recoge en su cláusula 8.4, "control de los procesos, productos y servicios suministrados externamente", que obliga a la organización a evaluar, seleccionar, hacer seguimiento del desempeño y reevaluar a sus proveedores con criterios definidos. Este artículo desarrolla cómo hacerlo de forma rigurosa: desde la homologación inicial hasta el cuadro de mando que detecta el deterioro antes de que llegue al cliente.
La cláusula 8.4 de ISO 9001 y el riesgo de lo externalizado
El requisito 8.4 parte de una idea de fondo: el riesgo de un suministro depende de su impacto en el producto final. No se controla igual a quien fabrica una pieza de seguridad que a quien suministra material de oficina. La norma exige determinar y aplicar criterios para la evaluación, selección, seguimiento del desempeño y reevaluación, y conservar la información documentada de estas actividades. Esto significa que un proveedor homologado hace tres años con buenas notas no permanece homologado automáticamente: debe demostrarlo de forma continua.
La organización debe además comunicar al proveedor los requisitos aplicables —especificaciones, requisitos de competencia del personal, interacciones, control y seguimiento que la propia organización aplicará en las instalaciones del proveedor— antes de la compra. La ambigüedad en la comunicación de requisitos es origen frecuente de no conformidades que después se atribuyen injustamente al proveedor.
Criterios de selección: más allá del precio
La selección rigurosa pondera varios ejes. El más extendido es el modelo QCD (Calidad, Coste, Entrega), al que la gestión moderna añade dos dimensiones cada vez más exigidas: servicio/capacidad técnica y sostenibilidad y cumplimiento. Un cuadro de homologación serio puntúa, por ejemplo, certificaciones del proveedor (ISO 9001, ISO 14001, certificaciones sectoriales), capacidad de proceso demostrada, salud financiera, planes de contingencia y, hoy, criterios ESG y diligencia debida en materia de derechos humanos y medio ambiente.
La diligencia debida ya no es voluntaria para muchas empresas: la Directiva (UE) 2024/1760 de Diligencia Debida en Sostenibilidad Corporativa (CSDDD) obliga a las grandes empresas a identificar y mitigar impactos adversos en su cadena de valor, lo que se traslada en cascada a la homologación de proveedores. Seleccionar al más barato sin verificar su cumplimiento normativo es trasladar un riesgo legal a la propia organización.
Clasificación ABC y segmentación por criticidad
No todos los proveedores merecen el mismo esfuerzo de control. La clasificación ABC, basada en el principio de Pareto, segmenta la cartera por su peso en el gasto: los proveedores "A" (en torno al 20% que concentra el 80% del valor) reciben auditorías presenciales, acuerdos de calidad concertada y planes de mejora conjuntos; los "B" un seguimiento intermedio; y los "C" controles ligeros. A esta lente económica conviene cruzar una de criticidad de riesgo: un proveedor de bajo gasto pero único para una pieza de seguridad es estratégico aunque su clasificación ABC sea baja. La matriz gasto × riesgo evita el error de descuidar a un proveedor pequeño cuya caída paralizaría la producción.
Tabla comparativa de niveles de control por categoría
| Categoría | Peso / riesgo | Evaluación | Frecuencia de seguimiento |
|---|---|---|---|
| A — estratégico | Alto gasto o crítico | Auditoría in situ + PPAP | Mensual |
| B — importante | Medio | Cuestionario + muestras | Trimestral |
| C — transaccional | Bajo | Autoevaluación documental | Anual |
| Único / sin alternativa | Crítico sea cual sea el gasto | Auditoría + plan de contingencia | Continuo |
El proceso de homologación paso a paso
Homologar a un proveedor no es firmar un alta, es ejecutar un procedimiento reproducible. Un flujo robusto recorre estas etapas: (1) identificación de la necesidad y definición de las especificaciones del suministro; (2) prospección y precalificación, donde se envía un cuestionario de autoevaluación que recoge certificaciones, capacidad, referencias y datos financieros; (3) evaluación documental, contrastando lo declarado con evidencias (certificados vigentes, cuentas, pólizas); (4) auditoría de segunda parte para los proveedores críticos, en la que la propia organización audita el sistema y el proceso del proveedor en sus instalaciones; (5) muestras y validación, con ensayos sobre piezas reales y, en sectores regulados, el expediente PPAP; y (6) decisión de homologación con su clasificación y condiciones.
La auditoría de segunda parte merece atención especial porque es donde se separa la homologación seria de la formal. A diferencia de la auditoría de tercera parte (la del organismo certificador), la de segunda parte la hace el cliente con sus propios criterios y foco en lo que de verdad le afecta: la capacidad de proceso de la pieza concreta que va a comprar, la trazabilidad, el plan de control del proveedor y su gestión de no conformidades. Una checklist de auditoría bien construida no repasa el manual de calidad del proveedor, sino que sigue el flujo físico de la pieza desde la recepción de materia prima hasta la expedición.
Acuerdo de calidad concertada y plan de contingencia
Para los proveedores estratégicos, la relación se formaliza en un acuerdo de calidad (Quality Agreement) que va más allá del contrato comercial: define responsabilidades sobre el control de cambios (el proveedor no puede modificar proceso, material o subproveedor sin notificar y obtener aprobación), los requisitos de notificación de incidencias, las reglas de cuarentena y el tratamiento de material no conforme. El control de cambios es decisivo: muchos fallos de campo se originan en un cambio "menor" del proveedor que nadie autorizó ni evaluó.
La gestión del riesgo de suministro exige además un plan de contingencia para las fuentes únicas: cualificar una segunda fuente (dual sourcing), mantener un stock de seguridad calculado sobre el lead time y el plazo de recualificación, o disponer de un proveedor de respaldo precualificado aunque no esté activo. La pandemia y las disrupciones logísticas recientes han demostrado que la resiliencia de la cadena de suministro vale tanto como su eficiencia, y que la concentración extrema en un único origen es una vulnerabilidad estratégica, no un ahorro.
Monitoreo continuo: los KPI que detectan el deterioro
La homologación es una foto; el seguimiento es la película. Los indicadores que componen un scorecard de proveedor robusto son: PPM (partes por millón defectuosas) recibidas, OTIF (On Time In Full, entregas a tiempo y completas), tasa de no conformidades y tiempo medio de respuesta a una acción correctiva (8D). La metodología 8D (Eight Disciplines) estructura la resolución de un problema con el proveedor: contención inmediata (D3), análisis de causa raíz (D4), acción correctiva permanente (D5-D6) y prevención de la recurrencia (D7). Un proveedor que cierra 8D con contención pero sin causa raíz volverá a fallar.
El cuadro de mando debe disparar acciones automáticas: un proveedor que cae por debajo de su umbral de OTIF dos meses seguidos entra en plan de mejora; si no remonta, se reevalúa su homologación. El seguimiento sin consecuencias es un informe que nadie lee.
Errores comunes en la gestión de proveedores
- Seleccionar solo por precio. El coste total de propiedad (incluyendo rechazos, retrasos y reclamaciones) suele desmentir al "más barato".
- Homologar y olvidar. Sin reevaluación periódica, la cláusula 8.4 queda incumplida y el riesgo crece sin avisar.
- No comunicar los requisitos por escrito. Las no conformidades por ambigüedad acaban en disputa, no en mejora.
- Cerrar 8D sin causa raíz. La contención apaga el síntoma, no la causa; el defecto reaparece.
- Ignorar al proveedor único. Concentrar el suministro crítico en una sola fuente sin plan de contingencia es un riesgo operativo de primer orden.
Preguntas frecuentes
¿La ISO 9001 obliga a auditar a todos los proveedores?
No. La cláusula 8.4 exige aplicar controles proporcionales al impacto del suministro. Un proveedor crítico puede requerir auditoría in situ; uno transaccional, una autoevaluación documental. Lo obligatorio es tener criterios definidos y conservar la evidencia.
¿Qué es un buen nivel de PPM?
Depende del sector. La automoción trabaja con objetivos muy exigentes (a menudo por debajo de 50 PPM o incluso cero defectos para piezas de seguridad); en otros sectores el umbral aceptable es mayor. Lo relevante es fijar un objetivo, medirlo y exigir mejora frente a la tendencia.
¿Para qué sirve la metodología 8D?
Para resolver problemas con proveedores de forma estructurada en ocho disciplinas, garantizando que tras la contención inmediata se identifica la causa raíz y se implanta una acción que evita la recurrencia.
¿Cómo afecta la sostenibilidad a la selección de proveedores?
Cada vez más. Marcos como la CSDDD europea trasladan a la cadena de suministro la obligación de diligencia debida en derechos humanos y medio ambiente, de modo que la homologación incorpora criterios ESG además de los clásicos QCD.
Conclusión
Gestionar proveedores con rigor es, en el fondo, externalizar trabajo sin externalizar el riesgo. La cláusula 8.4 de ISO 9001 marca el qué —evaluar, seleccionar, hacer seguimiento y reevaluar— pero el cómo lo decide cada organización: ponderando calidad, coste y entrega junto con la capacidad técnica y el cumplimiento normativo; clasificando por la matriz de gasto y criticidad para concentrar el esfuerzo donde duele; y sosteniendo un scorecard de PPM, OTIF y 8D que convierte el dato en decisión. El proveedor estratégico no es el que nunca falla, sino el que cierra sus no conformidades con causa raíz y mejora medible. En Summum Calidad ayudamos a diseñar el panel de homologación y seguimiento de proveedores, las auditorías de segunda parte y los planes de mejora que blindan la cadena de suministro frente al eslabón más débil.