Matriz de riesgo 5x5: 5 fallas que esconden el riesgo real

En la mayoría de las investigaciones de eventos graves que revisé en los últimos años, la matriz de riesgo del proceso involucrado mostraba un puntaje verde o amarillo bajo justo antes del accidente. Este artículo desarma cinco fallas estructurales de la matriz de riesgo 5x5 que dejan al evento grave o mortal fuera del radar, y propone qué hacer en su lugar.

¿Por qué la matriz de riesgo 5x5 no alcanza para el riesgo real?

La matriz de riesgo 5x5 es una herramienta de priorización que cruza probabilidad y consecuencia en cinco niveles cada una, generando un puntaje de 1 a 25 para ordenar peligros, no para describir el comportamiento físico de un riesgo. ISO 31000 la ubica dentro de la etapa de evaluación, una de varias técnicas posibles, nunca como el método de análisis completo. La confusión empieza cuando la organización trata el color de la celda como si fuera el diagnóstico final del peligro.

La norma ISO 31000 establece que la gestión del riesgo es un proceso iterativo de identificación, análisis, evaluación y tratamiento, donde la matriz cumple apenas la función de jerarquizar lo ya identificado. Cuando un equipo salta del peligro directo a la celda de color, omite el análisis intermedio que explica cómo el evento llega a materializarse. El puntaje sustituye al razonamiento, y ahí nace el primer punto ciego.

Como argumenta Andreza Araujo en La Ilusión de la Conformidad, una matriz prolija y mayoritariamente verde funciona muchas veces como certificado de tranquilidad antes que como evidencia de control. A lo largo de más de 25 años liderando EHS en multinacionales, Andreza Araujo identifica que las operaciones con eventos SIF rara vez tenían matrices alarmantes; tenían matrices que parecían bajo control mientras el riesgo letal seguía latente.

1. La falla de la multiplicación: dos riesgos opuestos comparten celda

La primera falla es matemática y silenciosa. Un evento de probabilidad 5 y consecuencia 1 da puntaje 5, igual que un evento de probabilidad 1 y consecuencia 5, aunque el segundo puede matar a un trabajador y el primero apenas genera una molestia. La multiplicación colapsa dos realidades incompatibles en un mismo número, y la celda pierde toda capacidad de distinguir lo tolerable de lo catastrófico.

IEC 31010, la norma que cataloga las técnicas de evaluación de riesgo, advierte que las matrices son adecuadas para una jerarquización gruesa, no para decisiones donde una sola dimensión domina el desenlace. Cuando la consecuencia es la muerte, ninguna baja probabilidad debería diluir esa gravedad hasta volverla verde. La caída de altura figura entre las tres primeras causas de muerte laboral en casi todos los registros de la región, según datos compilados por la OIT, y sin embargo suele aparecer como riesgo medio porque "no pasa seguido".

El equipo de seguridad que opera con esta lógica termina invirtiendo igual atención en un riesgo verde frecuente que en uno verde mortal. La salida práctica consiste en separar la evaluación de los riesgos de consecuencia máxima del resto del registro, dándoles una vía propia de análisis aunque su probabilidad parezca remota. Un riesgo que mata no se promedia con uno que incomoda.

2. ¿Por qué la matriz subestima los eventos graves y mortales?

La matriz subestima los eventos SIF porque su eje de probabilidad mide frecuencia histórica, y los eventos graves son por definición poco frecuentes y de alta consecuencia. Un peligro que produjo cero accidentes en cinco años recibe probabilidad baja, cae en una celda verde y desaparece de la atención gerencial, justamente el patrón que precede a la fatalidad. La pirámide de Heinrich y Bird ya mostraba que los eventos de baja frecuencia y alta gravedad obedecen a una dinámica distinta de los incidentes menores.

Los datos refuerzan la advertencia. La SUSESO de Chile reporta tasas de accidentabilidad que descienden año a año mientras los accidentes fatales se mantienen rígidos, una desconexión que demuestra que reducir frecuencia no reduce automáticamente la mortalidad. En México, la STPS registra alrededor de 1.300 defunciones laborales por año, y la curva de fatalidades no sigue la misma pendiente que la de incidentes leves.

Como sostiene Andreza Araujo en Suerte o Capacidad, los accidentes graves son fenómenos sistémicos, no mala suerte estadística que la matriz pueda capturar contando repeticiones. Durante su gestión en PepsiCo Sudamérica, donde el índice de accidentes cayó 50% en seis meses, quedó claro que el avance se logró atacando los precursores de SIF, no celebrando las celdas verdes del tablero general.

3. La falla de calibración: cada evaluador pinta una matriz distinta

La tercera falla es la subjetividad no controlada de quien evalúa. Dos analistas frente al mismo peligro asignan probabilidades diferentes según su experiencia, su tolerancia personal y la presión de producción del día, de modo que la misma tarea puede ser amarilla para el turno de mañana y verde para el de la noche. La matriz aparenta objetividad numérica, pero alimenta esos números con juicios sin anclaje.

La Resolución 0312 de Colombia exige criterios definidos y verificables para la valoración del riesgo dentro del SG-SST, precisamente porque la autoridad reconoce que sin definiciones operativas la evaluación deriva en arbitrariedad. Aun así, en auditorías de campo es habitual encontrar escalas donde "probable" y "posible" no tienen ninguna definición escrita, lo que deja la celda a merced de la percepción individual.

El sesgo de normalización de la desviación agrava el cuadro, porque el evaluador experimentado deja de ver el riesgo que convive con él todos los días y le asigna una probabilidad menor de la que merece. La práctica correcta exige anclar cada nivel de probabilidad a un criterio observable, como una frecuencia de exposición o un dato de falla del equipo, en vez de confiar en la sensación del analista. Una matriz solo es tan confiable como las definiciones que sostienen sus números.

4. La falla de la aceptación automática: el verde como permiso para no actuar

La cuarta falla es conductual: el color verde se interpreta como autorización para no hacer nada más. Una vez que el riesgo cae en la zona baja, la jerarquía de controles deja de aplicarse, y peligros que admitirían eliminación o solución de ingeniería se quedan apenas con un procedimiento o un elemento de protección personal. El puntaje bajo apaga la pregunta más importante, que es si el control elegido realmente corresponde al peligro.

ISO 45001 especifica en su cláusula 8.1.2 que la organización debe aplicar la jerarquía de controles empezando por la eliminación del peligro, sin importar dónde caiga el riesgo residual en la matriz. La norma no condiciona el orden de los controles al color de una celda. Cerca del 80% de los riesgos verdes que revisé en plantas industriales se controlaban solo con EPP, cuando una barrera de ingeniería habría sido viable.

En más de 250 proyectos de transformación cultural acompañados por Andreza Araujo, la matriz funcionó muchas veces como excusa para dejar de rediseñar el trabajo. La aplicación correcta invierte la lógica: primero se busca eliminar o sustituir el peligro, y solo después se mide el riesgo residual para confirmar que el control fue suficiente. La matriz evalúa el resultado del control, nunca lo reemplaza.

5. La falla de la estática: el riesgo cambia y la matriz no

La quinta falla es temporal. La matriz se completa una vez, se archiva y se revisa cuando una auditoría lo exige, mientras el riesgo real cambia con cada turno, cada contratista nuevo y cada modificación de planta. Una evaluación de hace dieciocho meses describe una operación que ya no existe, y aun así sigue gobernando las decisiones de control.

La Superintendencia de Riesgos del Trabajo de Argentina sostiene, dentro del marco de la Ley 19.587, que la evaluación de riesgos debe actualizarse ante cualquier cambio en las condiciones de trabajo, no en un calendario fijo desconectado de la realidad operativa. Un cambio de proveedor, una parada de mantenimiento o la rotación de personal puede mover un riesgo de verde a rojo en un solo día. La matriz estática no registra ese movimiento.

La percepción de riesgo del equipo se erosiona cuando el documento deja de reflejar lo que ven en el piso, y la herramienta pierde credibilidad. La práctica madura ata la revisión de la matriz a disparadores de cambio reales, como una gestión de cambio formal o un casi accidente, en lugar de esperar a la próxima auditoría externa. Un riesgo dinámico necesita una evaluación viva.

Matriz tradicional frente a evaluación orientada a SIF

La diferencia central entre ambos enfoques no está en la herramienta sino en qué se prioriza y cuándo se revisa. La tabla siguiente contrasta la práctica habitual con la práctica orientada a prevenir eventos graves y mortales, una distinción que la OIT vincula directamente con la reducción de la mortalidad laboral.

Una operación que adopta la columna derecha no descarta la matriz, sino que la coloca en su lugar correcto dentro del proceso de ISO 31000. La herramienta sigue sirviendo para ordenar el grueso de los peligros, mientras los riesgos letales reciben un análisis dedicado que el puntaje promedio jamás podría ofrecer.

Cada semana que la matriz mantiene un riesgo letal en verde es una semana en que la organización decide sin saber que decide, mientras la exposición real del trabajador permanece intacta.

Qué hacer en lugar de confiar en el puntaje

La salida no consiste en abandonar la matriz sino en reducirla a su función legítima de jerarquización y reforzarla con métodos que sí describen el riesgo grave. Las operaciones que previenen eventos SIF combinan la matriz con análisis Bow-Tie para los peligros críticos, donde se identifican las barreras de prevención y mitigación una por una, en vez de resumir todo en un color. Así la decisión deja de depender de un número y pasa a depender de barreras verificables.

La práctica madura empieza por separar el inventario de riesgos de consecuencia máxima, esos que pueden matar aunque ocurran rara vez, y los gestiona con la jerarquía de controles desde la eliminación. Después aplica la matriz solo para ordenar lo que queda, y ata cada revisión a un disparador de cambio concreto. Como recuerda Andreza Araujo, la seguridad se trata de volver a casa, y ninguna celda verde garantiza ese regreso si el control real nunca se cuestionó. Si necesitas implementar este enfoque en tu operación, conversa con el equipo de Andreza Araujo.