Matriz 5x5 vs LOPA vs tolerabilidad del riesgo: 6 criterios para priorizar riesgos mayores
Comparativo F3 para decidir cuándo usar matriz 5x5, LOPA o criterios de tolerabilidad al priorizar riesgos mayores bajo ISO 45001 y reguladores LatAm.
Puntos clave
- 01La matriz 5x5 sirve para ordenar riesgos amplios, pero pierde fuerza cuando la decisión exige probar independencia y eficacia de barreras.
- 02LOPA es más útil para escenarios de alto potencial donde se necesita justificar capas independientes de protección antes de aceptar el riesgo.
- 03El criterio de tolerabilidad conecta el riesgo con la autoridad de decisión, el apetito corporativo y la obligación de no normalizar exposición grave.
- 04ISO 45001:2018 y reguladores LatAm exigen evaluación, control, participación y mejora, no solo una tabla de probabilidad por consecuencia.
- 05El error ejecutivo más costoso es tratar un riesgo mayor con una herramienta simple porque produce una calificación cómoda para el comité.
Cuando un comité ejecutivo recibe veinte riesgos en una sola tabla, la herramienta elegida decide qué se vuelve inversión, qué queda como promesa y qué se pierde en una calificación aceptable. Una matriz 5x5 puede mostrar orden, LOPA puede revelar si las barreras son independientes y el criterio de tolerabilidad puede exponer quién tiene autoridad para aceptar exposición residual.
La tesis de este comparativo es directa. La matriz 5x5 gana como filtro amplio, LOPA gana cuando el escenario tiene potencial catastrófico y la tolerabilidad del riesgo gana cuando la pregunta ya no es técnica, sino de gobierno. Tratar esas tres decisiones como si fueran equivalentes vuelve invisible el riesgo mayor justo cuando la empresa cree que lo está controlando.
ISO 45001:2018 exige identificar peligros, evaluar riesgos y oportunidades, aplicar controles, consultar a los trabajadores, preparar respuestas y verificar mejora. En América Latina, esa lógica se conecta con NOM-STPS en México, Resolución 0312 de 2019 y SG-SST en Colombia, DS 40 y criterios SUSESO en Chile, SRT y Ley 19.587 en Argentina, y Ley 29783 en Perú. Ninguno de esos marcos premia una calificación bonita si la decisión no reduce exposición real.
En más de 250 proyectos de transformación cultural apoyados por Andreza Araújo, una brecha recurrente aparece en la forma de priorizar. La organización invierte en riesgos frecuentes de baja severidad porque se ven en el tablero mensual, mientras deja riesgos de fatalidad en una fila roja que nadie sabe convertir en presupuesto, autoridad y verificación. Esa brecha no nace de falta de tablas; nace de una decisión mal encuadrada.
Criterios de evaluación
La comparación necesita seis criterios. El primero es el tipo de decisión, porque no es igual ordenar un inventario que aprobar una operación crítica. El segundo es la calidad de las barreras, cuya independencia importa más que su cantidad. El tercero es la trazabilidad de la autoridad, ya que aceptar riesgo residual no puede depender de un supervisor aislado. El cuarto es la sensibilidad al cambio operacional. El quinto es la capacidad de explicar el resultado a dirección, trabajadores y auditoría. El sexto es el costo de equivocarse.
Estos criterios evitan una discusión falsa sobre qué método es superior en abstracto. La pregunta real es qué método produce la decisión menos frágil para el contexto. Una planta con miles de peligros necesita clasificación simple para no quedar paralizada, aunque esa misma simplicidad puede ser peligrosa cuando el escenario involucra incendio, atrapamiento, energía peligrosa, caída de altura, sustancia tóxica o pérdida de contención.
El artículo sobre matriz de riesgo viva muestra por qué una matriz que no cambia con la operación se convierte en archivo, aunque aquí el foco es decidir cuándo la matriz ya no alcanza y debe ceder espacio a un análisis con mayor exigencia.
| Criterio | Matriz 5x5 | LOPA | Tolerabilidad |
|---|---|---|---|
| Tipo de decisión | Priorización inicial | Validación de barreras | Aceptación ejecutiva |
| Mejor pregunta | Qué riesgos ordeno primero | Qué capas impiden el evento | Quién puede aceptar este residual |
| Mayor riesgo de mal uso | Promediar severidad grave | Contar barreras dependientes | Normalizar exposición intolerable |
| Audiencia principal | EHS y operación | Ingeniería, procesos y EHS | Dirección y comité de riesgos |
Matriz 5x5: mejor para inventario amplio, débil para aceptar riesgo mayor
La matriz 5x5 funciona cuando la organización necesita ordenar muchos peligros con un lenguaje común. Permite separar lo trivial de lo relevante, establecer prioridades iniciales y conversar con áreas que no dominan métodos complejos. Su valor está en la velocidad y en la posibilidad de crear una primera imagen del portafolio de riesgos.
El problema aparece cuando la matriz se usa para tomar una decisión que exige más precisión de la que puede entregar. Probabilidad y consecuencia suelen mezclarse con percepciones, memoria reciente, presión de producción y deseo de cerrar el hallazgo. Si el resultado depende de discutir si algo es probable o remoto, el comité puede terminar negociando el color de la celda en lugar de probar la eficacia del control.
La matriz también sufre cuando la severidad máxima queda diluida por baja frecuencia. En riesgos mayores, una exposición rara puede merecer inversión inmediata si la consecuencia incluye fatalidad, daño irreversible, incendio mayor o afectación a varias personas. La baja frecuencia no debería convertir una catástrofe plausible en un asunto administrativo.
Como Andreza Araújo argumenta en A Ilusão da Conformidade, la organización puede confundir evidencia documental con dominio real del riesgo. Una matriz aprobada tranquiliza porque parece técnica, aunque no demuestra que el bloqueo funcione, que la válvula cierre, que el permiso se lea o que el equipo sepa detener la tarea antes de cruzar una línea crítica.
| Dimensión | Evaluación de la matriz 5x5 |
|---|---|
| Fortaleza | Clasifica muchos riesgos con bajo costo y lenguaje común |
| Límite | No prueba independencia ni desempeño de barreras críticas |
| Mejor uso | Inventario inicial, priorización de inspecciones, plan anual de SST |
| No debería usarse sola para | Aceptar riesgos de fatalidad, pérdida mayor o exposición múltiple |
LOPA: mejor para probar capas independientes antes de aceptar exposición grave
LOPA, análisis de capas de protección, es más exigente porque obliga a mirar el escenario como una cadena. Pregunta cuál es el evento iniciador, qué consecuencias son creíbles, qué capas impiden la progresión y si esas capas son independientes. Esa independencia es el punto que muchas matrices no ven.
Una organización puede decir que tiene procedimiento, permiso, capacitación, supervisor, alarma y dispositivo de parada. Si todos dependen de la misma persona, del mismo sensor degradado, de la misma rutina no verificada o de la misma autorización apresurada, la cantidad de barreras es engañosa. LOPA fuerza una conversación incómoda porque separa barrera nombrada de barrera capaz.
El comparativo sobre Bow-Tie, FMEA y HAZOP ayuda a ubicar LOPA dentro de una familia de análisis más profunda. Bow-Tie comunica amenazas, consecuencias y controles con claridad visual; HAZOP explora desviaciones de proceso; FMEA ordena modos de falla. LOPA entra cuando la organización necesita estimar si las capas existentes reducen suficientemente un escenario específico.
Su límite está en la calidad de los supuestos. Si el equipo inventa tasas, asume disponibilidad perfecta o cuenta como independiente una capa que comparte causa común, el método produce una precisión falsa. Por eso LOPA exige competencia técnica, datos razonables, participación de operación y revisión crítica de quienes conocen la tarea real.
En riesgos mayores, esa exigencia vale el esfuerzo. Andreza Araújo ha observado que la madurez no aparece cuando la empresa suma controles en una diapositiva, sino cuando descarta los controles que no podrían funcionar bajo demanda. Ese descarte protege a dirección de una ilusión cara: creer que el riesgo está bajo control porque existen muchas barreras en papel.
| Dimensión | Evaluación de LOPA |
|---|---|
| Fortaleza | Evalúa capas independientes para un escenario de alto potencial |
| Límite | Depende de supuestos, datos y competencia técnica |
| Mejor uso | Riesgos mayores con barreras críticas, energía peligrosa, proceso o pérdida de contención |
| No debería usarse para | Listas amplias de peligros simples donde el costo de análisis supera el beneficio |
Tolerabilidad del riesgo: mejor para conectar técnica, autoridad y apetito corporativo
La tolerabilidad del riesgo no reemplaza el análisis técnico, sino que lo gobierna al definir qué nivel de exposición puede aceptarse, con qué justificación, por cuánto tiempo, bajo qué controles y con qué nivel de autoridad. En una empresa madura, el supervisor no acepta solo un riesgo de fatalidad, el gerente no normaliza una desviación crítica y el comité no delega en EHS una decisión que pertenece al negocio.
Este enfoque es especialmente útil cuando el riesgo residual sigue alto incluso después de controles. La pregunta deja de ser si la celda cambió de rojo a amarillo y pasa a ser si la organización puede defender esa exposición ante trabajadores, fiscalización, directorio y familia afectada en caso de evento grave. Esa prueba moral y técnica incomoda, pero evita que la tolerabilidad sea usada como permiso elegante para seguir igual.
La discusión se conecta con riesgo residual aceptado, porque aceptar residual sin dueño, plazo y verificación vuelve frágil el control. El criterio de tolerabilidad exige que cada aceptación tenga vencimiento, plan de reducción y evidencia de que no existe una alternativa razonable de menor exposición.
En términos regulatorios, ISO 45001:2018 no usa la tolerabilidad como excusa para reducir obligaciones. La norma pide eliminar peligros cuando sea posible y reducir riesgos mediante jerarquía de controles. Los reguladores LatAm cambian en formularios, plazos y responsabilidades, aunque mantienen una presión común: el empleador debe prevenir, controlar y demostrar gestión suficiente.
| Dimensión | Evaluación de tolerabilidad del riesgo |
|---|---|
| Fortaleza | Conecta riesgo residual con autoridad, plazo y decisión corporativa |
| Límite | Puede degradarse en formalidad si no exige reducción adicional |
| Mejor uso | Aprobación de exposición residual en riesgos mayores y decisiones de inversión |
| No debería usarse para | Justificar permanencia indefinida de una condición grave |
Matriz de decisión ejecutiva
La matriz ejecutiva debe impedir que una herramienta simple ocupe el lugar de una decisión difícil. Si el escenario es amplio, diverso y todavía exploratorio, la matriz 5x5 ayuda. Si el escenario tiene consecuencia grave y depende de barreras específicas, LOPA agrega rigor. Si el residual compromete reputación, vida humana, continuidad operacional o responsabilidad legal, la tolerabilidad define quién decide y qué reducción adicional será exigida.
| Contexto | Método recomendado | Razón |
|---|---|---|
| Plan anual de SST con muchos peligros | Matriz 5x5 | Permite ordenar prioridades iniciales sin detener el sistema |
| Tarea crítica con potencial de fatalidad | LOPA o análisis equivalente de barreras | La decisión depende de independencia y confiabilidad de capas |
| Riesgo residual alto después de controles | Tolerabilidad del riesgo | La aceptación necesita autoridad, plazo y plan de reducción |
| Cambio temporal en operación | Matriz revisada más prueba de barreras | El cambio puede invalidar supuestos anteriores |
| Comité ejecutivo de inversión | Tolerabilidad con evidencia técnica | La decisión involucra recursos, reputación y deber de prevención |
El artículo sobre registro de riesgos operativo ayuda a cerrar esta lógica, porque ningún método funciona si la decisión no entra al sistema de seguimiento. La priorización debe terminar en responsable, fecha, recurso, control crítico, verificación y criterio de escalamiento.
Recomendación por contexto LatAm
Para una empresa mediana que está consolidando su SG-SST, la matriz 5x5 puede ser el punto de partida, siempre que no absorba decisiones de alto potencial. En Colombia, por ejemplo, la Resolución 0312 de 2019 presiona por identificación de peligros, evaluación de riesgos, plan de trabajo, responsabilidades y mejora. Una matriz ayuda a organizar, aunque no agota el deber de control.
Para plantas químicas, minería, alimentos con amoníaco, energía, izaje crítico, espacios confinados o mantenimiento con energía peligrosa, LOPA debe entrar cuando la severidad supera la comodidad del método general. La operación no necesita aplicar LOPA a todo, pero sí necesita reconocer los escenarios donde una barrera dependiente puede matar.
Para dirección, el criterio de tolerabilidad debería gobernar riesgos residuales que siguen siendo altos, controles críticos degradados, inversiones postergadas y excepciones temporales. En ese nivel, aceptar riesgo sin plazo es una forma de transferir la exposición a trabajadores y supervisores. Andreza Araújo suele tratar esta brecha como un problema de liderazgo, porque la cultura se revela en la decisión que la empresa toma cuando corregir cuesta dinero.
En México, Chile, Argentina y Perú, el lenguaje regulatorio varía, pero la lógica de prevención no cambia. NOM-STPS, DS 40, SRT, Ley 19.587 y Ley 29783 sostienen deberes de identificación, control, capacitación, participación y mejora. Por eso la pregunta ejecutiva no debería ser qué método satisface la auditoría, sino qué método impide que el riesgo mayor quede escondido detrás de una calificación aceptable.
Trampas que distorsionan la elección
La primera trampa es usar la matriz 5x5 para todo porque es fácil de explicar. La facilidad no es un criterio suficiente cuando la consecuencia puede ser irreversible. La segunda trampa es convertir LOPA en ritual técnico sin operación, donde el equipo calcula capas que el turno real no reconoce ni puede ejecutar.
La tercera trampa es llamar tolerable a lo que apenas fue postergado. Si el residual alto no tiene dueño, plazo, presupuesto y verificación, la aceptación es una pausa administrativa, no una decisión de control. La cuarta trampa es priorizar por frecuencia histórica cuando el peligro relevante es de baja frecuencia y alta severidad.
James Reason ayuda a leer esta distorsión desde fallas latentes. El evento grave suele emerger de decisiones acumuladas que parecían razonables por separado: una matriz simplificada, un control crítico sin prueba, una excepción temporal renovada, un mantenimiento diferido y una autoridad que no quiso escalar el costo. Mirar solo al operador del día empobrece el aprendizaje.
En Muito Além do Zero, Andreza Araújo cuestiona la comodidad de medir seguridad solo por ausencia de accidentes, y esa crítica aplica cuando la empresa usa resultados históricos tranquilos para justificar baja prioridad en riesgos mayores, confundiendo silencio estadístico con capacidad preventiva.
Cierre operativo
Matriz 5x5, LOPA y tolerabilidad del riesgo no compiten por el mismo espacio. La matriz ordena el inventario, LOPA prueba capas independientes y la tolerabilidad gobierna la aceptación residual. La mala práctica aparece cuando una sola herramienta intenta responder las tres preguntas.
Para una operación LatAm bajo ISO 45001, el estándar mínimo de madurez es saber cuándo subir de método. Si el riesgo puede matar, si una barrera crítica está degradada, si el residual exige inversión o si la autoridad de aceptación no está clara, la matriz simple ya no debería cerrar la discusión. Andreza Araújo apoya a organizaciones a convertir cultura de seguridad, control operacional y liderazgo ejecutivo en decisiones verificables. Conoce más en andrezaaraujo.com.
Preguntas frecuentes
¿La matriz 5x5 es suficiente para riesgos mayores?
¿Cuándo conviene usar LOPA?
¿Qué significa tolerabilidad del riesgo en SST?
¿ISO 45001 exige LOPA?
¿Qué reguladores LatAm se conectan con esta decisión?
Sobre la autora
Andreza Araujo
Especialista Global en Cultura de Seguridad
Andreza Araujo es una referencia internacional en EHS, cultura de seguridad y comportamiento seguro, con más de 25 años liderando programas de transformación cultural en empresas multinacionales e impactando a trabajadores en más de 30 países. Reconocida como LinkedIn Top Voice, contribuye a la conversación pública sobre liderazgo, cultura de seguridad y prevención para una audiencia profesional global. Ingeniera civil e ingeniera de seguridad laboral por la Unicamp, con una maestría en Diplomacia Ambiental por la Universidad de Ginebra. Autora de 16 libros sobre cultura de seguridad, liderazgo y prevención de SIF, y conductora del Headline Podcast.
- Ingeniera Civil (Unicamp)
- Ingeniera de Seguridad Laboral (Unicamp)
- Maestría en Diplomacia Ambiental (Universidad de Ginebra)
Documentales
Mira los documentales de Andreza
Tres producciones sobre cultura de seguridad, fallas organizacionales y las lecciones humanas detrás de grandes desastres.
Podcasts
Escucha los podcasts de Andreza
Conduce tres programas sobre liderazgo en seguridad, EHS y cultura organizacional, en inglés y portugués.
