Evaluación de riesgos ISO 45001: 4 metodologías con ejemplos
La evaluación de riesgos es el corazón de cualquier sistema de gestión de seguridad y salud en el trabajo. En ISO 45001 no es un trámite: es el proceso del que salen las decisiones sobre qué controles poner, dónde invertir y qué vigilar cada día. Y sin embargo, es donde más empresas se equivocan, casi siempre por el mismo motivo: copian una metodología sin entender qué mide. Vamos a ver qué exige la norma y a comparar cuatro metodologías reales para que elijas la que encaja con tu organización.
¿Qué exige ISO 45001 sobre la evaluación de riesgos?
El punto 6.1.2 de ISO 45001 ("Identificación de peligros y evaluación de los riesgos y oportunidades") pide tres cosas encadenadas: primero identificar los peligros de forma proactiva y continua; después evaluar los riesgos para la seguridad y salud asociados a esos peligros; y por último, evaluar también los riesgos del propio sistema de gestión. Lo importante es que la norma no impone ninguna metodología concreta: exige que tengas una, que sea sistemática y que los criterios estén definidos y documentados de antemano.
Esa libertad es una ventaja y una trampa a la vez. La ventaja: puedes adaptar el método a tu sector y tamaño. La trampa: si eliges mal, acabas con una matriz que da la misma puntuación a un resbalón en la oficina que a un trabajo en altura sin protección. La clave está en definir bien los criterios de probabilidad y consecuencia antes de puntuar nada.
La base común: matriz probabilidad × consecuencia
Casi todas las metodologías parten de la misma idea: el nivel de riesgo es el producto de la probabilidad de que ocurra un daño por la consecuencia (gravedad) que tendría. Cambia la escala y los factores que se añaden, pero el esqueleto es este:
| Consecuencia ↓ / Probabilidad → | Baja | Media | Alta |
|---|---|---|---|
| Leve | Trivial | Tolerable | Moderado |
| Grave | Tolerable | Moderado | Importante |
| Muy grave / mortal | Moderado | Importante | Intolerable |
El color de la casilla marca la prioridad: un riesgo intolerable obliga a parar la actividad hasta reducirlo; uno moderado se planifica; uno trivial no requiere acción inmediata. Sobre esta base, cada metodología añade matices.
4 metodologías de evaluación de riesgos
1. Matriz simple 3×3 o 5×5
Es la más extendida y la que recomienda ISO 45001 para empezar. Se cruza probabilidad y consecuencia en una tabla de 3×3 o 5×5 y se lee el nivel de riesgo directamente de la casilla. Ideal para pymes y para la mayoría de riesgos: es rápida, visual y fácil de explicar en la revisión por la dirección. Su límite es que trata todos los riesgos con la misma vara, sin distinguir cuánta gente está expuesta ni con qué frecuencia.
2. Método William Fine
Añade un tercer factor a la ecuación: la exposición (con qué frecuencia se está ante el peligro). Su fórmula es Grado de peligrosidad = Consecuencia × Exposición × Probabilidad. Es útil cuando necesitas priorizar inversiones, porque incorpora un factor de justificación económica: permite comparar el coste de la medida correctora frente al riesgo que elimina. Se usa mucho en industria con muchos puestos y presupuestos que hay que defender.
3. Método NTP 330 (INSST)
Es el método del Instituto Nacional de Seguridad y Salud en el Trabajo español, muy habitual en España. Sustituye la "probabilidad" por el nivel de deficiencia (cuántos y cómo de graves son los fallos detectados) y el nivel de exposición. Su resultado, el nivel de riesgo (NR = ND × NE × NC), es trazable y auditable, lo que lo hace muy defendible ante inspección. Requiere algo más de formación del evaluador que la matriz simple.
4. Guía GTC 45 (Colombia / Latam)
Muy usada en el ámbito latinoamericano, especialmente en Colombia. Combina nivel de deficiencia, exposición y consecuencia en un nivel de probabilidad y de ahí al nivel de riesgo, pero añade una capa muy útil: la clasificación de peligros por tipo (físico, químico, biológico, biomecánico, psicosocial, etc.). Encaja bien con las exigencias documentales de la región y con el enfoque preventivo de la NR-1 brasileña o la normativa colombiana.
¿Cuál elegir?
No hay una "mejor": hay la que puedes aplicar bien y de forma constante. Como orientación:
- Pyme o empresa que empieza: matriz simple 5×5. Sencilla, suficiente y fácil de mantener.
- Industria con muchos puestos y que justifica inversiones: William Fine.
- Empresa en España que busca trazabilidad ante inspección: NTP 330.
- Organización latinoamericana: GTC 45 por su encaje normativo.
Y sea cual sea, recuerda lo que de verdad valora un auditor: que los criterios estén definidos por escrito antes de evaluar, que la evaluación esté actualizada (revisada tras cambios, incidentes o nuevas actividades) y que de cada riesgo relevante salga una medida de control con responsable y plazo. Una matriz perfecta que nadie revisa no vale nada; una matriz sencilla viva y usada para decidir vale oro.
Aprende a montar tu evaluación de riesgos paso a paso: en el curso de Implementador ISO 45001 trabajamos la identificación de peligros, las metodologías de evaluación y la jerarquía de controles con casos reales. Y cuando la tengas lista, comprueba que resiste una revisión con nuestra guía de auditoría interna ISO 45001 paso a paso.