La matriz de riesgos es una herramienta muy útil que permite identificar todo tipo de riesgos relacionados con la actividad de la empresa. A nivel del sistema de gestión de seguridad y salud, su uso está muy extendido, sobretodo en las empresas certificadas por la norma ISO 45001

La norma ISO 45001: 20018 de Seguridad y Salud en el Trabajo (SST) indica en su punto 6.1 que se ha realizar una serie de acciones para abordar los riesgos y oportunidades, con el fin de asegurar la consecución de objetivos, prevenir riesgos y, en definitiva, lograr la mejora continua del Sistema de Gestión de la Seguridad y Salud en el Trabajo (SGSST). Todo ello pasa por la identificación de riesgos y oportunidades y la evaluación de su impacto en la organización y contexto para su actuación. Una de las herramientas más útiles con las que cuentan las compañías para identificar, evaluar y gestionar los riesgos a los que se enfrentan es la matriz de riesgos, de la cual hablaremos a lo largo de este artículo.

¿Qué es la matriz de riesgos?

La matriz de riesgos es un documento que permite realizar la identificación de las actividades que realiza una empresa, los riesgos inherentes a las mismas y la probabilidad de que estos riesgos se acaben materializando. Es una herramienta que permite documentar los procesos y evaluar el riesgo integral de una organización. Para que sea eficaz es necesario que participen en su elaboración todas las partes interesadas, unidades productivas, operativas y funcionales de la compañía además de que sea sometida a revisiones periódicas.

La matriz de riesgos según la Norma ISO 45001

Según indica la Norma ISO 45001:

1.Se ha de identificar los riesgos y oportunidades que se presentan tanto en los procesos de una organización, como aquellos relativos al contexto interno o externo que puedan afectar al sistema o a sus partes interesadas (6.1.2 de Identificación de peligros y evaluación de riesgos y oportunidades). Para ello tendremos que tener en cuenta:

  • Alcance global: el contexto interno y externo, necesidades y expectativas de las partes interesadas, además del alcance del SGSST.
  • Definir qué consideramos riesgo u oportunidad: peligros, riesgos y oportunidades para la SST y el sistema de gestión, los requisitos legales y otros que pueden impactar.. Siendo para ello esencial conocer los tipos de riesgos laborales existentes. Se han de tener en cuenta aspectos como : estrategia, estructura, capital humano, procesos, competencia, aspectos sociales y políticos, desarrollo tecnológico, capacidad de innovación, proveedores y colaboradores entre otros.

2. Los riesgos y oportunidades se han de evaluar, tanto bajo condiciones normales, como en un escenario de emergencia (6.1.2.3 Evaluación de las oportunidades para la SST)

3. El último punto es el paso a la acción. Se deben identificar y programar todas las acciones obtenidas de los distintos análisis de riesgos y oportunidades (procedimientos, instrucciones, formaciones…) y evaluar su eficacia. (6.1.4 Planificación de acciones)

¿Cuáles son los elementos imprescindibles para crear una matriz de riesgos?

Tras una primera fase en la que se analizan los objetivos estratégicos de la empresa se elaborará la matriz de riesgos, que ha de contar con

  1. Identificación de riesgos:. Los riesgos pueden ser inherentes a la propia actividad de la empresa o influenciados por el entorno.
  2. Determinación de la probabilidad y el impacto de los riesgos: Se ha de establecer una clasificación donde se establezca la probabilidad de que un riesgo ocurra. Además de la probabilidad de que ocurran los riesgos, es necesario incluir en este apartado el impacto que puede tener sobre la organización
  3. Evaluación del riesgo. A la hora de crear una matriz de riesgos es evaluar si los controles establecidos por la empresa para mitigar los riesgos son eficaces.  Una evaluación eficiente de riesgo determina el nivel del mismo, pudiendo ser trivial, tolerable, moderado, importante o intolerable. El grupo de expertos se encarga de elaborar la matriz de riesgos
  4. Calculo del riesgo neto o residual: Este elemento se calcula teniendo en cuenta el grado de materialización de los riesgos inherentes. Conociendo el “riesgo residual”, la dirección de la empresa podrá tomar mejores ediciones para continuar o no con una actividad, en función de su nivel de riesgo, o reforzar los controles sobre los mismos.
Ejemplo de matriz de riesgos

¿Qué 5 aspectos críticos ha de contemplar una matriz de riesgos?

La gestión de riesgos según la norma ISO 45001 como hemos visto es un proceso dinámico, es necesario volver a evaluar el riesgo periódicamente. Por este motivo se necesita una herramienta flexible, que documente los procesos y evalúe el riesgo integral de una organización. Por ello, es necesario que participen en su elaboración las unidades de negocios, operativas y funcionales de la compañía, principio fundamental de la integración de la Seguridad y Salud en el Trabajo en la organización..

Dicho en otras palabras,  la matriz de riesgos ha de presentar un enfoque sistemático, que garantice que los riesgos son identificados y tratados de forma adecuada para ello se han de seguir 5 puntos fundamentales:

  1. Todo proceso ha de tener asignado un responsable para su análisis, ejecución, seguimiento y mejora. Por lo tanto, estará convenientemente informado y capacitado para ejercer sus funciones
  2.  Los objetivos de cada proceso han de ser revisados, los procesos serán igualmente analizados según su criticidad en búsqueda de riesgos y oportunidades.
  3. La matriz ha de permitir recopilar y analizar  la mayor cantidad de información relevante, teniendo en cuenta todos los puntos críticos
  4. Debe promover la participación de los empleados, generando una cultura de riesgo en la organización
  5. Identificará los riesgos sin dejar ninguno de lado, aunque provenga de procesos poco recurrentes o presente una baja probabilidad o severidad, porque esto podría variar.. La evaluación de riesgos debe permitir clasificarlos  de acuerdo a su nivel y permitir priorizar según niveles de criticidad; establecer controles y verificar su idoneidad para cada riesgo.