En auditorías realizadas en 2025, se detectó un patrón alarmante: el 65% de las empresas colombianas tienen matrices de riesgos “de papel” documentos copiados y pegados que no reflejan la realidad operativa, dejando al gerente expuesto a responsabilidades civiles y penales en caso de accidente.

Ese número no sorprende a quienes trabajan en SST. La evaluación de riesgos es el requisito técnico más importante del SG-SST y, simultáneamente, el que con mayor frecuencia se implementa de forma superficial: un documento que existe para pasar la auditoría, no para prevenir el próximo accidente.

Esta guía explica cómo hacer una evaluación de riesgos que funcione en la práctica: con la metodología correcta, el marco legal vigente, los errores que hay que evitar y una plantilla lista para aplicar en tu operación.

Por qué la evaluación de riesgos es el centro de todo el SG-SST

El Sistema de Gestión de Seguridad y Salud en el Trabajo tiene muchos componentes capacitaciones, inspecciones, indicadores, investigación de accidentes, exámenes médicos pero todos ellos dependen de un insumo central: saber qué riesgos existen, dónde están y qué tan graves son.

Sin una evaluación de riesgos rigurosa, las capacitaciones se hacen sobre los temas equivocados, las inspecciones no saben qué buscar, los indicadores no miden lo que importa y los controles se diseñan para los riesgos visibles, no para los críticos.

La matriz de evaluación de riesgos actúa como un mapa de prevención, orientando las decisiones técnicas, operativas y organizacionales necesarias para minimizar la exposición al riesgo y proteger al recurso humano de la empresa. No es un documento de archivo. Es la brújula del programa preventivo.

Cuando las matrices siguen la GTC 45, el equipo puede justificar mejor el diseño del plan de trabajo anual del SG-SST y priorizar las inversiones. Esta trazabilidad se vuelve crítica al evidenciar el cumplimiento ante auditorías o requerimientos de la autoridad laboral: cada actividad preventiva se sustenta en un nivel de riesgo cuantificado y en criterios técnicos verificables.

Antes del método, los conceptos. En el contexto del SG-SST colombiano, peligro y riesgo no son sinónimos y confundirlos lleva a matrices mal construidas.

Peligro es la fuente, situación o acto con potencial de causar daño en términos de lesión o enfermedad. El peligro existe independientemente de si hay alguien expuesto por ejemplo una máquina con partes móviles expuestas es un peligro, haya o no trabajadores cerca.

Riesgo es la combinación de la probabilidad de que ese peligro se materialice y la severidad del daño resultante. El riesgo depende de la exposición: el mismo peligro genera niveles de riesgo distintos según cuántas personas están expuestas, con qué frecuencia y con qué consecuencias potenciales.

La implicación práctica es directa: la evaluación de riesgos no es un inventario de peligros. Es un análisis de la interacción entre esos peligros y los trabajadores que los enfrentan en su labor cotidiana.

La obligatoriedad de la evaluación de riesgos en Colombia tiene dos fuentes normativas principales:

El Artículo 2.2.4.6.7 del Decreto 1072 de 2015 establece que los objetivos de la Política de SST deben incluir, al menos, la identificación de peligros, la evaluación y valoración de riesgos y el establecimiento de los respectivos controles. El Artículo 2.2.4.6.8, numeral 6, especifica que es obligación de los empleadores adoptar medidas puntuales para identificar peligros, evaluar y valorar los riesgos y establecer controles destinados a prevenir daños en la salud de los trabajadores.

El numeral 3, artículo 2.2.4.6.12 del Decreto Único Reglamentario 1072 de 2015 señala que la identificación de los riesgos es una actividad anual, con responsabilidad directa por parte del empleador.

La Resolución 0312 de 2019 complementa este marco estableciendo los estándares mínimos del SG-SST según el tamaño de la empresa. Para empresas con 11 o más trabajadores en riesgo I y II, la identificación de peligros y evaluación de riesgos es un estándar de obligatorio cumplimiento con porcentaje de evaluación del sistema.

Aunque el Decreto 1072 de 2015 no obliga explícitamente a usar la GTC 45 y permite otras metodologías reconocidas internacionalmente, en la práctica la GTC 45 es el lenguaje universal que hablan los inspectores del Ministerio del Trabajo y las ARL en Colombia. Las alternativas reconocidas incluyen el Método FINE (probabilístico, basado en fórmula matemática) y el Método INSHT (basado en cuestionarios de chequeo de deficiencias), pero la GTC 45 sigue siendo la metodología de referencia por su alineación con el marco regulatorio colombiano.

La GTC 45 de ICONTEC contiene todo un capítulo destinado a las definiciones y muestra, punto por punto, qué acciones se deben realizar para llegar a una identificación precisa de los peligros y a una valoración profesional de los riesgos, con ejemplos prácticos en sus anexos.

Aquí está el proceso en cinco pasos aplicables en cualquier empresa colombiana:

Antes de escribir una sola fila en la matriz, debes responder tres preguntas: ¿qué procesos cubre la evaluación?, ¿quiénes participan en construirla? y ¿con qué información de base se trabaja?

El alcance debe incluir todos los procesos, áreas, actividades rutinarias y no rutinarias, y todos los trabajadores incluyendo contratistas, temporales y personal de empresas de servicios que operen en las instalaciones. El Decreto 1072 incluye dentro de la definición de colaborador a los trabajadores de proveedores externos, contratistas, independientes y los proporcionados por otra organización, en la medida en que la organización comparta control sobre su trabajo o actividades.

La información base incluye: procesos y procedimientos documentados, registros de accidentes e incidentes anteriores, reportes de inspecciones previas, información de los fabricantes de maquinaria y equipos, y fundamentalmente la participación directa de los trabajadores que realizan las tareas.

Para cada actividad identificada en el paso 1, el equipo debe responder: ¿qué puede salir mal aquí? La respuesta se estructura en términos de fuente del peligro, situación peligrosa y evento peligroso.

La GTC 45 clasifica los peligros en categorías que siguen siendo válidas para la gestión actual: biológicos, físicos, químicos, psicosociales, biomecánicos, condiciones de seguridad y fenómenos naturales.

La herramienta más efectiva para este paso es la observación directa de las tareas en campo no la revisión de procedimientos escritos en una oficina. Los peligros más frecuentemente omitidos en las matrices son exactamente aquellos que se han normalizado en la operación cotidiana y que los trabajadores ya no “ven” porque “siempre ha sido así”.

Este es el corazón técnico de la GTC 45. El nivel de riesgo es el resultado de cruzar los niveles de probabilidad e impacto en una matriz de doble entrada, lo que permite asignar un nivel de riesgo (bajo, medio, alto o extremo) y distinguir entre los que requieren intervención inmediata y los que pueden gestionarse en el mediano o largo plazo.

La GTC 45 descompone la probabilidad en cuatro factores que se suman para obtener el Nivel de Probabilidad (NP):

• Nivel de Deficiencia (ND): qué tan deficiente es el control existente (sin control, deficiente, mejorable, aceptable)
• Nivel de Exposición (NE): con qué frecuencia el trabajador está expuesto al peligro
• Nivel de Consecuencia (NC): severidad del daño potencial (mortal, grave, moderado, leve)
• Nivel de Riesgo (NR) = NP × NC: resultado final que determina si el riesgo es aceptable o requiere intervención

El nivel de riesgo resultante determina tres decisiones: si el riesgo es No Aceptable (requiere controles inmediatos y verificación antes de continuar la tarea), No Aceptable o Aceptable con control específico (requiere controles definidos con plazo), o Aceptable (se mantiene con los controles actuales y seguimiento periódico).

Una vez valorado el riesgo, el paso siguiente es definir los controles. La normativa colombiana hace énfasis en la jerarquía de controles: Eliminación, Sustitución, Controles de Ingeniería, Controles Administrativos y Equipos de Protección Personal (EPP). Esto sigue siendo un pilar fundamental en la gestión del riesgo.

La jerarquía importa porque no todos los controles son igual de efectivos. Eliminar el peligro (paso 1 de la jerarquía) es siempre más confiable que proteger al trabajador del peligro con EPP (paso 5). Un error frecuente en las matrices colombianas es saltar directamente al EPP como primera respuesta, sin explorar si hay controles más robustos posibles.

Eliminación: se suprime el peligro de la fuente. Ej: reemplazar un proceso con solventes tóxicos por uno con solventes al agua.

Sustitución: se reemplaza el peligro por uno de menor severidad. Ej: usar una herramienta neumática más silenciosa para reducir la exposición a ruido.

Controles de ingeniería: se modifican físicamente las instalaciones, la maquinaria o el proceso. Ej: guardas en maquinaria, sistemas de extracción localizada, barreras físicas.

Controles administrativos: se modifican los procedimientos, la organización del trabajo o la conducta. Ej: rotación de puestos, permisos de trabajo, señalización, capacitación específica.

EPP: se protege al trabajador con elementos de protección personal. Es el último recurso, no el primero.

La matriz construida no tiene valor si permanece en un archivo PDF en el computador del profesional SST. La GTC 45 establece que los resultados deben ser documentados, con los responsables y fechas de implementación de los controles claramente definidos.

La socialización con los trabajadores es obligatoria y estratégicamente importante: el trabajador que conoce los riesgos identificados en su puesto y los controles que le protegen es un aliado activo de la prevención, no un receptor pasivo de normas. El COPASST debe participar activamente en el proceso de construcción y validación de la matriz.

En las matrices “de papel” que mencionamos al inicio, los peligros omitidos son siempre los mismos. Aquí los seis más frecuentemente ausentes:

1. Riesgo psicosocial: carga laboral excesiva, jornadas extendidas, acoso laboral, trabajo emocional. La Resolución 2764 de 2022 obliga a evaluarlo con la Batería de Riesgo Psicosocial del Ministerio. Es el peligro más subvalorado en la industria colombiana.

2. Riesgo biomecánico: posturas mantenidas, movimientos repetitivos, levantamiento de cargas. Es la primera causa de enfermedad laboral calificada en Colombia, con enfermedades musculoesqueléticas encabezando consistentemente la lista de diagnósticos.

3. Riesgo vial: para cargos que implican conducción de vehículos en misión  desde visitas comerciales hasta transporte de carga. Si la empresa tiene 10 o más vehículos o conductores, el PESV es obligatorio y el riesgo vial debe estar en la matriz.

4. Riesgo en actividades no rutinarias: mantenimiento, limpieza de altura, trabajos en espacios confinados, operaciones de cargue y descargue. Son las actividades que concentran una proporción desproporcionada de los accidentes graves porque no tienen los controles rutinarios establecidos.

5. Riesgo de contratistas: los accidentes de trabajadores de empresas contratistas en las instalaciones son responsabilidad legal del contratante. La matriz debe incluir los peligros a los que se exponen, no solo los de los trabajadores directos.

6. Riesgo de nuevas tecnologías: si la empresa ha incorporado robots, sistemas automatizados, AGVs o cualquier nueva maquinaria en los últimos 24 meses, esos peligros deben estar explícitamente en la matriz. La tecnología nueva crea riesgos nuevos que la matriz anterior no contempla.

Error 1: Copiar la matriz de otra empresa. El 65% de las empresas tienen matrices que no reflejan su realidad operativa. Una matriz copiada no identifica los peligros específicos de tu proceso, tu maquinaria y tus condiciones de trabajo. Si llega un inspector del Ministerio y le pregunta a un trabajador sobre un riesgo que figura en la matriz, y el trabajador no lo reconoce porque no es su realidad, la empresa está en problemas.

Error 2: Valorar el riesgo con controles inexistentes. Es frecuente ver matrices que asignan un nivel de riesgo bajo porque “existe un procedimiento” o “se realiza capacitación”, cuando en la práctica ese procedimiento no se aplica o la capacitación fue hace tres años. La valoración del riesgo debe reflejar los controles realmente implementados y verificados, no los controles que deberían existir.

Error 3: No involucrar al trabajador. La persona que mejor conoce los riesgos de un puesto de trabajo es quien lo ocupa. Una evaluación construida solo por el profesional SST, sin observación directa y sin consulta al trabajador, tendrá puntos ciegos en exactamente las tareas más riesgosas  porque son las que más se han normalizado.

Error 4: No priorizar. Una matriz con 200 filas y todos los riesgos en nivel “medio” no es una herramienta de gestión  es una lista. La valoración debe permitir identificar los 10 o 15 riesgos que requieren intervención prioritaria, y el plan de acción debe empezar por ahí.

Error 5: No hacer seguimiento a los controles. Definir controles en la matriz sin asignar responsable, fecha y mecanismo de verificación convierte el ejercicio en un documento estático. Los controles deben tener seguimiento en el cronograma de actividades del SG-SST.

El Decreto 1072 exige actualización anual como mínimo. Sin embargo, la matriz debe actualizarse inmediatamente si ocurre un accidente mortal o grave, o si hay cambios en los procesos, instalaciones o maquinaria.

Los cuatro detonadores que obligan a una actualización inmediata son:

1. Accidente grave o mortal: el evento indica que la evaluación anterior no identificó correctamente el riesgo o que los controles no eran suficientes. La investigación del accidente debe alimentar directamente la actualización de la matriz.

2. Cambio en procesos, maquinaria o instalaciones: una nueva línea de producción, un nuevo equipo, una obra de adecuación o cualquier modificación significativa en el entorno de trabajo crea peligros nuevos o modifica la severidad de los existentes.

3. Resultados de inspecciones o auditorías: si una inspección identifica condiciones inseguras que no estaban contempladas en la matriz, la matriz está desactualizada y debe corregirse.

4. Cambios en la normativa: una nueva resolución, una modificación del Decreto 1072 o una actualización de los estándares de la ARL puede crear nuevas obligaciones de identificación y control de riesgos específicos.

¿Es obligatorio usar la GTC 45 para la evaluación de riesgos en Colombia?

No es obligatorio por ley, pero es la metodología de referencia. A pesar de existir múltiples metodologías que permiten la identificación de los peligros y la valoración de los riesgos, la GTC 45 permite dar cumplimiento a las exigencias del Decreto 1072 de 2015, siendo considerada una herramienta apta, versátil y de fácil uso. Otras metodologías reconocidas como el Método FINE o el INSHT son aceptadas, pero la GTC 45 es el lenguaje que hablan los inspectores del Ministerio de Trabajo y las ARL en Colombia.

¿Con qué frecuencia debe actualizarse la matriz de riesgos?

Como mínimo una vez al año. Adicionalmente, debe actualizarse ante cualquiera de los cuatro detonadores: accidente grave o mortal, cambios en procesos o instalaciones, hallazgos de inspecciones y cambios en la normativa aplicable. La versión vigente de la matriz siempre debe estar disponible para consulta del COPASST y los trabajadores.

¿Quién puede elaborar la matriz de riesgos en Colombia?

Debe ser elaborada y firmada por un responsable del SG-SST con licencia vigente, pero es vital que sea validada por la gerencia y socializada con el COPASST. Para empresas con más de 50 trabajadores, el Decreto 1072 exige que la persona responsable del SG-SST tenga formación específica en SST (técnico, tecnólogo, profesional o posgrado según el nivel de riesgo y el número de trabajadores).

¿Cómo se diferencia un riesgo “aceptable” de uno “no aceptable” en la GTC 45?

Depende del Nivel de Riesgo calculado (NR = NP × NC).

• Los NR entre 4.000 y 600 se clasifican como No Aceptables (requieren control inmediato y verificación antes de continuar la tarea). Los NR entre 500 y 150 son No Aceptables o Aceptables con control específico.
• Los NR menores a 120 son Aceptables con mantenimiento de los controles existentes.
• Esta escala numérica es lo que permite priorizar las inversiones en prevención de forma técnica y objetiva.

¿Qué pasa si el Ministerio de Trabajo encuentra que la matriz no está actualizada?

El incumplimiento puede generar sanciones que oscilan entre 1 y 500 SMMLV, dependiendo de la gravedad y la reincidencia, según lo establecido en la Ley 1562 de 2012. Si adicionalmente se presenta un accidente grave en una actividad cuyo riesgo no estaba identificado en la matriz, la empresa puede enfrentar responsabilidad civil y penal por omisión en la gestión del riesgo.

Descarga la plantilla IPERC

Una evaluación de riesgos rigurosa no empieza en una hoja en blanco. Empieza con una estructura que ya incorpora la metodología GTC 45, los campos obligatorios del Decreto 1072 y los 6 tipos de peligro que no puedes omitir.

Hemos preparado una plantilla Excel de matriz IPERC lista para usar en cualquier operación industrial colombiana. Incluye:

• Estructura de columnas alineada con la GTC 45 y el Decreto 1072
• Tabla de valoración de Nivel de Probabilidad y Nivel de Consecuencia
• Calculadora automática de Nivel de Riesgo y clasificación (Aceptable / No Aceptable)
• Columnas de jerarquía de controles EEICA con lista desplegable
• Hoja de seguimiento de controles con responsable y fecha de verificación

[→ Descargar plantilla IPERC GTC 45  gratuita]

Si quieres que tu equipo no solo descargue la plantilla sino que la construya correctamente, con visibilidad en tiempo real del cumplimiento de los controles y sin carga manual sobre el equipo HSEQ, contáctanos para una evaluación sin costo de tu operación actual.