Criterios de aceptación de riesgo: guía de 8 pasos

Los criterios de aceptación de riesgo son reglas escritas que indican cuándo un riesgo puede operar con controles existentes, cuándo exige controles adicionales y cuándo debe detenerse la tarea. En un SG-SST maduro, esos criterios no dependen del ánimo del supervisor, sino de severidad potencial, exposición, requisitos legales y eficacia verificable de barreras cuya condición debe poder probarse en campo.

Una matriz de riesgo sin umbrales de aceptación termina produciendo discusiones largas y decisiones débiles. ISO 45001 exige identificar peligros, evaluar riesgos y planificar controles, pero la operación necesita una traducción concreta: qué riesgo se acepta, cuál se escala y cuál obliga a rediseñar el trabajo antes de continuar. Esa traducción se vuelve crítica cuando un cambio operacional obliga a actualizar la matriz de riesgos antes de aprobar el riesgo residual.

La trampa más común es llamar aceptable a un riesgo porque no generó accidente en los últimos 12 meses. En distintos proyectos de transformación cultural, Andreza Araujo observa que ese razonamiento convierte la ausencia de daño en permiso tácito, aunque los controles críticos sigan sin evidencia de funcionamiento.

Paso 1: Definir el alcance operativo

El primer paso consiste en fijar el alcance exacto de los criterios, porque una regla única para toda la empresa suele mezclar oficina, mantenimiento, contratistas, trabajo en altura y operación crítica bajo el mismo lenguaje. Para una planta industrial de 300 personas, el alcance inicial debería separar al menos procesos rutinarios, tareas no rutinarias, emergencias y cambios temporales.

ISO 45001, en su edición 2018, establece el marco de gestión de SST para controlar riesgos y mejorar el desempeño, pero no prescribe una tabla universal de aceptación. Esa libertad es útil solo cuando la empresa declara dónde aplica cada criterio, quién puede aprobar excepciones y cuál es la evidencia sin la cual el riesgo no debería liberarse.

El alcance debe responder 4 preguntas: qué actividades entran, qué ubicaciones quedan incluidas, qué contratistas deben cumplirlo y qué decisiones quedan fuera por exigencia legal. Si el alcance no menciona mantenimiento, compras y cambios de proceso, el criterio nacerá incompleto.

Para conectar esta guía con el mapa de peligros existente, conviene revisar primero la matriz de riesgo 5x5 y confirmar si hoy distingue severidad real, exposición y barreras efectivas.

Paso 2: Separar riesgo legal, tolerable y crítico

Un criterio de aceptación funciona cuando separa 3 zonas de decisión: riesgo prohibido por ley, riesgo tolerable bajo controles demostrados y riesgo crítico que exige escalamiento formal. Esa separación evita que una calificación amarilla esconda una obligación normativa o que una tarea roja se autorice por presión de producción.

La NOM-030-STPS-2009 establece funciones preventivas de seguridad y salud en el trabajo, incluido el diagnóstico de condiciones de seguridad y el programa de acciones preventivas y correctivas. En México, ese enfoque obliga a convertir el diagnóstico en acciones, no en una lista decorativa de riesgos.

Colombia también deja una señal útil para la región. En los Estándares Mínimos del SG-SST, la herramienta pública del Ministerio del Trabajo prioriza la gestión de peligros y riesgos dentro del sistema, y la lógica es consistente: identificar no basta, porque el control debe quedar priorizado y documentado.

Andreza Araujo advierte en *A Ilusão da Conformidade* que cumplir el papel puede aumentar el riesgo cuando la regla se aplica sin mirar el contexto real. Por eso, el criterio debe decir explícitamente que una exigencia legal no se negocia, aunque la matriz le asigne probabilidad baja.

Paso 3: Elegir variables de decisión

Las variables mínimas para aceptar o rechazar un riesgo son severidad potencial, exposición, eficacia del control, requisito legal, historial de desviaciones y capacidad de respuesta. Con 6 variables bien definidas, el EHS manager evita que la decisión dependa solo de una multiplicación mecánica entre probabilidad y consecuencia.

La severidad potencial debe mirar SIF, fatalidad, incapacidad permanente y daño mayor, incluso cuando el evento todavía sea un cuasi-accidente. La exposición debe medir frecuencia, número de personas y duración, porque una tarea de 15 minutos repetida 40 veces por semana puede acumular más riesgo que una intervención excepcional de 2 horas.

La eficacia del control exige evidencia. Un procedimiento firmado no equivale a una barrera funcional; una guarda removida, un LOTO incompleto o una alarma anulada cambian el criterio de aceptación de inmediato. Este punto conversa con la guía sobre auditoría de controles críticos, donde la pregunta central no es si el control existe, sino si opera cuando la tarea lo necesita.

ISO 31000 describe la gestión del riesgo como un enfoque para identificar, analizar, evaluar, tratar y monitorear riesgos. En seguridad laboral, esa secuencia solo protege si la evaluación termina en una decisión visible para quien ejecuta el trabajo.

Paso 4: Redactar umbrales con verbos de acción

Los umbrales deben estar escritos con verbos de acción para que cualquier supervisor sepa qué hacer en menos de 2 minutos. Una tabla útil no dice solamente bajo, medio o alto; dice continuar, corregir antes de iniciar, escalar al gerente, detener la tarea o rediseñar el método.

Un criterio práctico puede usar 4 niveles. Nivel 1 permite continuar con controles rutinarios verificados. Nivel 2 exige acción correctiva antes de iniciar o antes del próximo turno. Nivel 3 requiere autorización del responsable de SST y dueño del área. Nivel 4 detiene la actividad hasta eliminar el peligro o sustituir el método.

La redacción debe evitar frases como riesgo aceptable bajo criterio profesional, porque esa fórmula abre la puerta a decisiones personales. Es mejor escribir: si hay exposición a energía peligrosa sin bloqueo verificado, la tarea queda en Nivel 4; si el control existe pero la evidencia de verificación supera 30 días, la tarea queda en Nivel 3 hasta nueva prueba.

Como Andreza Araujo sostiene en *Sorte ou Capacidade*, el cumplimiento legal es el piso de la seguridad, no el techo. El umbral correcto preserva ese piso y agrega una capa de decisión operativa para los riesgos que la norma no detalla caso por caso.

Paso 5: Probar los criterios con casos reales

Un criterio de aceptación debe probarse con 10 casos reales antes de aprobarse, porque la tabla que parece clara en una sala puede fallar ante ruido, contratistas, presión de producción o información incompleta. La prueba revela si dos líderes califican el mismo riesgo de forma parecida o si el sistema todavía depende de interpretación individual.

El equipo puede seleccionar 3 incidentes, 3 cuasi-accidentes, 2 tareas rutinarias críticas y 2 cambios recientes. En cada caso, los participantes aplican la tabla por separado y luego comparan decisión, evidencia usada y acción propuesta. Si la variación supera 1 nivel de diferencia, el criterio todavía no está listo.

Esta prueba también evita que el criterio castigue el reporte. Cuando un operador informa una desviación y la respuesta automática es bloquear todo sin analizar barreras, el sistema aprende a callar. El artículo sobre respuesta al reporte desarrolla ese riesgo cultural con más detalle.

Durante el piloto, el EHS manager debe registrar cada ajuste. En 30 días, una buena versión inicial debería reducir discusiones repetidas, aclarar escalamiento y mejorar la calidad del registro de riesgos, aunque todavía necesite calibración mensual.

Paso 6: Integrar la aprobación al SG-SST

El último paso es integrar los criterios al SG-SST con responsables, frecuencia de revisión y evidencias mínimas, porque un criterio aislado se vuelve una hoja olvidada. La aceptación de riesgo debe aparecer en permisos de trabajo, gestión de cambios, compras, investigación de incidentes y revisión gerencial.

La integración exige 5 evidencias: versión vigente, matriz de responsabilidades, criterios por nivel, registro de decisiones y revisión periódica. En operaciones con contratistas, la aceptación de riesgo también debe entrar en la evaluación de proveedores, dado que el estándar colombiano del SG-SST incluye evaluación y selección de contratistas dentro de la gestión integral.

El liderazgo necesita ver el criterio como una regla de gobierno, no como un anexo técnico. A lo largo de su trayectoria liderando EHS en multinacionales, Andreza Araujo identificó que la madurez aparece cuando la gerencia acepta que ciertos riesgos no se compran con velocidad, producción ni costumbre.

Cada mes con criterios ambiguos permite que riesgos críticos se negocien en el piso de operación, mientras los indicadores reactivos siguen mostrando tranquilidad aparente hasta que una barrera falla.

El cierre debe incluir una revisión trimestral con el comité o foro equivalente, más una revisión extraordinaria después de fatalidad potencial, cambio mayor, auditoría crítica o requisito legal nuevo. Para que la dirección monitoree si el criterio funciona, conviene conectar los resultados al tablero de seguridad y medir cuántas decisiones fueron aceptadas, escaladas, detenidas o rediseñadas.

Paso 7: Capacitar a quienes deciden

La capacitación debe enfocarse en las personas que aceptan, escalan o detienen riesgos, porque una política bien escrita falla cuando el supervisor no reconoce el límite de su autoridad. En una operación con 4 turnos, al menos supervisores, jefes de área, EHS, mantenimiento y contratistas críticos deben practicar los mismos casos.

La formación no debería durar 8 horas de teoría. Funciona mejor con 3 bloques: criterios y niveles, aplicación en casos reales y simulación de conversación cuando producción presiona por continuar. El objetivo es que dos mandos distintos lleguen a una decisión parecida frente al mismo escenario.

Andreza Araujo suele insistir en que la cultura se prueba bajo presión, no en los días tranquilos. Esa idea vuelve la capacitación incómoda, porque obliga a ensayar el momento exacto en que alguien debe decir que una tarea rentable todavía no es segura.

Paso 8: Medir decisiones y revisar trimestralmente

La revisión trimestral cierra el ciclo porque los criterios de aceptación envejecen cuando cambian procesos, contratistas, tecnología o requisitos legales. En 90 días, la empresa debería saber cuántos riesgos fueron aceptados, cuántos se escalaron, cuántos detuvieron tareas y cuántos terminaron en rediseño.

La medición debe mirar calidad de decisión, no solo cantidad. Si el 95% de los riesgos evaluados termina como aceptado, la tabla puede estar normalizando el peligro; si todo se detiene, el criterio quizá no distingue severidad real ni eficacia de controles. Ambos extremos dañan la confianza del sistema.

La revisión final debe entrar en la reunión gerencial del SG-SST con 3 salidas: ajustes a umbrales, cambios en controles críticos y decisiones que requieren inversión. Así la aceptación de riesgo deja de ser trámite documental y se convierte en gobierno operacional.

Los criterios de aceptación de riesgo no eliminan la incertidumbre, pero obligan a decidir con reglas visibles. Cuando la empresa los vincula con ISO 45001, reguladores LatAm y controles críticos verificables, la conversación deja de girar alrededor de opiniones y empieza a girar alrededor de evidencias.

Para profundizar la implementación cultural de estos criterios, el diagnóstico de Andreza Araujo ayuda a identificar si la organización decide por convicción preventiva o por presión de cumplimiento. Empieza por documentar 6 umbrales, probarlos con 10 casos reales y revisar la calidad de las decisiones durante el próximo ciclo mensual.