logotype
logotype
Seguridad Industrial

¿Qué es una matriz de riesgos? Guía práctica con ejemplos (EHS, NOM-035 y 5×5)

21 de noviembre de 2025

Definición clara y para qué sirve (matriz ≠ gestión del riesgo)

Una matriz de riesgos es una herramienta para priorizar peligros y decidir dónde actuar primero. Cruza dos ejes (normalmente probabilidad e impacto/severidad) y clasifica cada riesgo en niveles (bajo, medio, alto, crítico). Hasta aquí, nada nuevo. Lo importante es entender su alcance real:

  • Lo que sí hace: te da una foto priorizada para enfocar recursos y justificar acciones (ingeniería, procedimientos, entrenamiento, EPP, etc.).
  • Lo que no hace: no gestiona los riesgos por sí sola. “El riesgo no se gestiona en la matriz, se gestiona en el piso de trabajo.” La matriz es el mapa; la gestión es caminar el terreno, implementar y verificar.

En ambientes EHS y de cumplimiento (p. ej., STPS, NOM-035 y NOM-030), la matriz ayuda a demostrar sistematización, criterios consistentes y mejora continua. Pero ojo: un mapa desactualizado te puede llevar a lugares equivocados. “Una matriz de riesgos bien hecha es un mapa; lo peligroso es asumir que un mapa viejo sigue siendo correcto.”

Cómo hacer una matriz de riesgos paso a paso

Paso 1: Alcance y procesos

Delimita dónde aplicarás la matriz (líneas de producción, áreas de servicio, cuadrillas de mantenimiento, oficinas). Define objetivos (cumplimiento, reducción de incidentes, priorización de CAPEX/OPEX, auditoría interna).

Paso 2: Identificación de peligros

Lista tareas y peligros por tipo: mecánicos, eléctricos, energías peligrosas (LOTO/candadeo), químicos, ergonómicos, trabajo en altura, psicosociales (alineado con NOM-035), etc. Apóyate en inspecciones, entrevistas, incidentes previos y cambios operativos.

En mis proyectos, el quiebre ocurre cuando pasamos de “peligros genéricos” a tareas concretas (desconectar prensa, cambiar dados, limpieza interna, atención a cliente con picos de demanda, etc.).

Paso 3: Definir escalas y criterios observables

Elige 3×3 o 5×5 (recomendado para granularidad). Documenta criterios objetivos, por ejemplo:

  • Probabilidad: basada en histórico, fallas conocidas, controles existentes y exposición (ver siguiente sección).
  • Impacto/Severidad: desde lesión leve / pérdida menor hasta fatalidad / paro crítico del negocio.
  • Evidencia de controles: “Si un control no se puede observar, no existe.” Cuenta lo que está implementado y verificado, no lo que “planean”.

Paso 4: Valorar riesgo inherente, registrar controles y calcular residual

  1. Asigna nivel al riesgo sin controles (inherente).
  2. Registra controles reales (ingeniería, administrativos, EPP, capacitación, permisos, procedimientos).
  3. Recalifica el residual. Si sigue alto, genera acciones (quitar/eliminar, sustituir, ingeniería, administrativos, EPP, en ese orden jerárquico).

Paso 5: Priorización y plan de acción

Construye un backlog con responsables, fechas y métricas (p. ej., “% tareas críticas con candadeo verificado”, “% procedimientos actualizados y capacitados”). Integra con gantt/kanban y revisiones periódicas.

Probabilidad vs. impacto, y el clásico lío: frecuencia vs. exposición

Mucha gente usa “frecuencia” como sinónimo de probabilidad, pero no es lo mismo. La probabilidad sube no solo por cuántas veces ocurre la tarea, sino por cuántas personas están expuestas y cuánto tiempo lo están.

Mini-ejemplo realista

  • Tarea A sucede 2 veces/mes, pero expone a 40 personas durante turnos completos.
  • Tarea B sucede 20 veces/mes, pero solo expone a 1 técnico por 10 minutos.

A menudo, la Tarea A resulta más crítica por exposición acumulada (y porque un desvío, como saltarse un bloqueo, afectaría a muchos). En un proyecto, un equipo marcó como “frecuente” un riesgo “por costumbre”, y al revisar la exposición re-priotizamos toda la semana. Esta distinción cambia decisiones de personal, ingeniería y capacitación.

Riesgo inherente, controles y riesgo residual

  • Riesgo inherente: nivel del peligro sin controles (imaginando que nada existe).
  • Controles: solo cuentan si están documentados, implementados y verificados (procedimiento, firma de entrenamiento, checklist, inspección, candadeo en sitio, resguardos físicos).
  • Riesgo residual: nivel después de controles efectivos. Si el residual queda en rojo, no alcanzó: aplica jerarquía de controles o rediseña el proceso.

He visto matrices “verdes” porque “ya tenemos candadeo”… y en campo ni un solo candado. No se vale colorear el residual con controles supuestos.

Ejemplos prácticos: manufactura, servicios y trabajos en altura

Manufactura (prensa hidráulica)

En una planta de ensamble, los supervisores presumían estar “meses sin accidentes”. La matriz mostró que 70% de tareas críticas tenía controles informales. Al recorrer, la tarea más crítica (desconectar una prensa) dependía de un procedimiento verbal que solo recordaba un operador. Documentamos, capacitamos, validamos controles (candadeo, checklist de energía cero, prueba de verificación) y al mes siguiente la matriz cambió… y también la cultura.

Servicios (matriz hipercompleja que nadie usa)

Una empresa de servicios tenía una hoja con 50 columnas y códigos de color que nadie entendía. La reducimos a 5 columnas clave (tarea, peligro, probabilidad, severidad, acciones/responsable). Con criterios claros y observables, la organización empezó a decidir con la matriz, no a sufrirla.

Trabajos en altura

  • Peligros: caída, caída de objetos, clima, superficie frágil, rescate.
  • Controles críticos: líneas de vida certificadas, anclajes, barandales, EPP conforme, permisos de trabajo, plan de rescate practicado.
  • Residual aceptable: solo cuando demuestras (inspecciones, bitácoras, fotografías, registros de entrenamiento) que el control vive en el sitio.

Errores comunes y cómo evitarlos

  1. Confundir frecuencia con exposición Solución: incorpora una columna de exposición (personas expuestas, tiempo, densidad) o ajusta criterios de probabilidad para capturarla.
  2. Poner controles que no existen Solución: auditoría de observabilidad. Recorre el área: si no ves procedimiento, señalización, resguardo o candado, no lo cuentes.
  3. Dejar la matriz como documento estático Solución: empatar con cambios operativos (nueva máquina, material, turno, proveedor). Cada cambio dispara revisión.
  4. Códigos y colores incomprensibles Solución: define leyenda simple (5×5 o 3×3), ejemplos de cada nivel y una regla clara de aceptación/no aceptación.
  5. No ligar la matriz al plan de acción Solución: cada riesgo rojo/ámbar debe tener tareas asignadas, fechas, presupuesto y una métrica de verificación.

Cómo mantenerla viva: revisiones, indicadores y mejoras

  • Revisión periódica: mínimo trimestral/semestral y siempre que cambie una tarea, equipo o proceso.
  • Indicadores útiles:
    • % tareas críticas con controles verificados en campo.
    • % procedimientos vigentes con evidencia de capacitación.
    • Tiempo de cierre de acciones correctivas por riesgo alto/crítico.
  • Gemba/recorridos: integra la matriz a walkthroughs semanales para validar controles.
  • Lecciones aprendidas: cada incidente/casi-incidente actualiza criterios y ejemplos.
  • Gobernanza: un dueño de la matriz por área y un foro mensual para desbloquear recursos.

Recursos y plantillas recomendadas

  • Plantilla 5×5 simple (columnas mínimas): Tarea | Peligro | Probabilidad | Severidad | Nivel | Controles existentes (evidencia) | Acciones | Responsable | Fecha objetivo | Verificado por.
  • Checklist de observabilidad: procedimiento vigente (sí/no), capacitación (lista de asistencia), inspección EPP, candadeo aplicado y probado, resguardos físicos, fotos adjuntas.
  • Criterios por nivel: define ejemplos concretos por industria para que todos califiquen igual.

Si quieres, preparo una plantilla editable (Sheets/Excel) con escalas 3×3 y 5×5, fórmulas de residual y panel de indicadores.

FAQs

¿Cada cuánto debo actualizar la matriz?

Cuando cambie una tarea, equipo o proceso; además, fija una revisión periódica (trimestral/semestral) y tras cualquier incidente relevante.

¿Mapa de riesgos, mapa de calor y matriz son lo mismo?

No. La matriz es la tabla de valoración y decisiones; el mapa de calor es una visualización; el mapa de riesgos suele describir categorías y relaciones a nivel negocio.

¿Cómo elijo 3×3 o 5×5?

Si buscas simplicidad y adopción rápida, arranca con 3×3. Si necesitas priorización fina (capex, paros críticos, multi-área), usa 5×5 con criterios documentados.

¿Qué hago si casi todos los riesgos salen “medios”?

Revisa tus criterios (quizá son ambiguos), tu exposición (posiblemente subestimada) y la evidencia de controles (puede que estés sobre-valorando lo “existente”).

Conclusión

Una buena matriz prioriza y te permite mover recursos donde más duele. Pero la magia está en el piso, validando controles y cerrando acciones. Cuando dudo, repito lo básico: “El riesgo no se gestiona en la matriz, se gestiona en el piso de trabajo.” Y antes de pintar algo en verde, confirmo lo obvio: “Si un control no se puede observar, no existe.”

Errores comunes al presentar la COA (y cómo evitarlos de verdad)
PREVIOUS POST

Errores comunes al presentar la COA (y cómo evitarlos de verdad)

NEXT POST

Licencia o DC-3 para montacargas: requisitos, curso y cómo evitar multas

Licencia o DC-3 para montacargas: requisitos, curso y cómo evitar multas

Related Posts

seguridad industrial
Seguridad Industrial
18 de agosto de 2025 By EHSmarketing

¿Qué es la Seguridad Industrial?

Introducción a la seguridad industrial La seguridad industrial es un tema que cada vez...
20 Nov Blog EHS
Seguridad Industrial
21 de noviembre de 2025 By EHSmarketing

¿Qué es una matriz de riesgos? Guía práctica con ejemplos (EHS, NOM-035 y 5×5)

Definición clara y para qué sirve (matriz ≠ gestión del riesgo) Una matriz de riesgos...

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *