Registro de riesgos: guía de 9 pasos

La OIT estima que 2,93 millones de trabajadores mueren cada año por accidentes y enfermedades relacionadas con el trabajo, y una parte de esa pérdida nace de riesgos conocidos que nunca se transformaron en control verificable. Esta guía muestra cómo construir un registro de riesgos que sirva para decidir, auditar y corregir antes de que el peligro llegue al incidente.

¿Por qué el registro de riesgos falla aunque exista?

Un registro de riesgos falla cuando se convierte en archivo estático, porque ISO 45001:2018 exige identificar peligros, evaluar riesgos y oportunidades, planificar controles y revisar desempeño dentro de un ciclo vivo de gestión. La norma fue publicada en 2018 y confirmada como vigente por ISO en 2024, dato que refuerza una idea práctica: el registro no es una planilla aislada, sino una evidencia del sistema de gestión.

La ISO explica que ISO 45001 provee un marco para gestionar riesgos de SST y mejorar el desempeño, mientras la NOM-030-STPS-2009 en México exige un diagnóstico de seguridad y salud en el trabajo. Cuando esos dos requisitos se aterrizan en una sola herramienta, el EHS manager deja de perseguir papeles y empieza a gobernar prioridades.

Como Andreza Araújo argumenta en Safety Culture Diagnosis, diagnosticar sin traducir hallazgos en decisiones crea una falsa sensación de control. El registro debe mostrar qué riesgo se acepta, qué riesgo se reduce, quién responde, cuándo se revisa y qué evidencia prueba que el control funcionó.

Step 1: ¿Qué decisión debe soportar el registro?

El primer paso es definir la decisión que el registro debe soportar, porque una herramienta que no cambia presupuesto, prioridad o rutina termina siendo inventario decorativo. En una planta de 320 empleados, por ejemplo, el registro puede orientar 3 decisiones mensuales: parar una tarea, financiar un control de ingeniería o elevar un riesgo SIF al comité ejecutivo.

La trampa común es crear 40 columnas antes de saber quién usará la información. En más de 250 proyectos de transformación cultural, Andreza Araújo ha observado que los registros más útiles suelen empezar con una pregunta sencilla: qué riesgo puede matar, lesionar gravemente o detener la operación si el control crítico no existe.

Para aplicar este paso, escribe una frase de propósito en la primera hoja o pantalla del registro. Si el propósito dice solo cumplir auditoría, vuelve a redactarlo hasta que conecte con una decisión operacional verificable, como priorizar controles para mantenimiento, contratistas, izaje, trabajo en altura o energía peligrosa.

Step 2: Delimita el alcance operativo en 30 días

El alcance del registro debe cubrir un proceso, área o familia de tareas durante una ventana manejable, y 30 días suelen ser suficientes para levantar información sin perder frescura operacional. ISO 45001 pide considerar actividades rutinarias y no rutinarias, por eso el alcance debe incluir turnos, contratistas, cambios temporales y condiciones anormales.

El error que más distorsiona el análisis es mezclar toda la empresa en una sola matriz global. Un taller de mantenimiento, una línea de empaque y una bodega con montacargas tienen exposiciones distintas, aunque compartan la misma política de SST. El registro gana valor cuando conserva esa granularidad.

Empieza con un área donde ya existan datos mínimos: reportes de cuasi-accidentes, inspecciones, permisos de trabajo o resultados de AST con ISO 45001. Ese material evita que el equipo invente riesgos desde una sala y obliga a mirar el trabajo real.

Step 3: Levanta peligros con evidencia, no con memoria

El levantamiento de peligros debe combinar observación en campo, revisión documental y conversación con trabajadores, porque cada fuente muestra una parte distinta del riesgo. La NOM-030-STPS-2009 define el diagnóstico de SST como identificación de condiciones inseguras, agentes del ambiente laboral, peligros circundantes y requerimientos normativos aplicables.

La STPS reúne guías de seguridad y salud en el trabajo que ayudan a ordenar ese diagnóstico en México, pero el documento oficial no reemplaza el juicio técnico. El supervisor que camina el área a las 6:00 puede ver desviaciones que no aparecen en un procedimiento firmado a las 10:00.

Registra cada peligro con fuente, fecha y evidencia. Una foto, un número de permiso, una observación comportamental o un hallazgo de inspección pesan más que una frase genérica como riesgo de caída, porque permiten discutir control y no percepción personal.

Step 4: Clasifica consecuencias antes de calcular probabilidad

La consecuencia potencial debe clasificarse antes de la probabilidad, porque los riesgos SIF no toleran el mismo tratamiento que una lesión menor, aunque ambos parezcan poco probables. En gestión de riesgos, una frecuencia baja con consecuencia fatal exige gobernanza distinta a una frecuencia alta con daño reversible.

Andreza Araújo conecta esta lógica con una crítica presente en Um Dia Para Não Esquecer, donde las fatalidades se estudian como señales sistémicas y no como eventos aislados. El registro debe impedir que una baja probabilidad esconda una consecuencia intolerable para personas, continuidad operacional y reputación.

Usa al menos 4 niveles de consecuencia y define ejemplos concretos para cada uno. Si el nivel más alto dice fatalidad o incapacidad permanente, debe activar revisión de controles críticos, investigación preventiva y escalamiento al comité de seguridad antes de esperar un incidente.

Step 5: Valora el riesgo sin depender solo de la matriz 5x5

La valoración del riesgo debe producir prioridad de acción, no una ilusión matemática. Una matriz 5x5 puede ordenar conversaciones, pero pierde fuerza cuando el equipo discute colores durante 45 minutos y no verifica barreras, exposición ni calidad del control existente.

Por eso conviene usar la matriz como una entrada y no como sentencia final. El artículo sobre matriz de riesgo 5x5 profundiza ese límite: el color rojo no salva a nadie si el permiso de trabajo, la supervisión y el aislamiento de energía siguen fallando en campo.

En este paso, agrega 3 campos que suelen faltar: exposición real por turno, confiabilidad del control existente y potencial SIF. La combinación permite distinguir un riesgo amarillo administrativamente cómodo de un riesgo crítico operacionalmente inaceptable.

Step 6: Define controles con jerarquía y dueño único

Cada riesgo priorizado debe quedar vinculado a un control que siga la jerarquía de eliminación, sustitución, ingeniería, administración y EPP. Si el registro termina con capacitación y procedimiento para todo, el sistema está aceptando que el trabajador absorba fallas que deberían resolverse antes en el diseño del trabajo.

La experiencia ejecutiva de Andreza Araújo en operaciones multinacionales muestra que el control sin dueño muere rápido. Durante su gestión en PepsiCo South America, donde el índice de accidentes cayó 50% en 6 meses, una de las lecciones fue que la reducción sostenida exigía responsables claros, seguimiento semanal y disciplina de ejecución.

Conecta este paso con la jerarquía de controles y asigna un dueño único por acción. Si hay 3 responsables, nadie responde; si hay 1 responsable con fecha, evidencia y criterio de cierre, el registro empieza a mover la operación.

Step 7: Vincula controles críticos con verificación en campo

Los controles críticos deben verificarse en campo con una frecuencia definida, porque su existencia documental no prueba capacidad de prevención. Para un riesgo SIF, revisar una vez al año puede ser insuficiente; en tareas de alto potencial, la verificación puede necesitar frecuencia diaria, semanal o por tarea.

La OIT señala que la prevención requiere una cultura sólida de seguridad y salud, y sus estimaciones globales muestran la escala del problema con 2,93 millones de muertes anuales relacionadas con el trabajo. La OIT describe la seguridad y salud en el trabajo como protección de la vida, prevención del daño y trabajo digno, no como simple archivo administrativo.

Diseña una columna de verificación con 4 datos mínimos: qué se verifica, quién lo verifica, cada cuánto y qué evidencia queda. Para controles de alto potencial, conecta el registro con la guía de controles críticos en 30 días y exige prueba física, no solo firma.

Step 8: ¿Cuándo debe revisarse y escalarse el riesgo?

Un riesgo debe revisarse cuando cambia la tarea, el equipo, el personal, el ambiente, el contratista o la evidencia de desempeño. Un registro que se actualiza solo cada 12 meses no captura cambios de turno, presión de producción, mantenimiento correctivo ni introducción de maquinaria nueva.

La revisión también debe tener reglas de escalamiento. Si un riesgo mantiene nivel alto por más de 30 días, si un control crítico falla 2 veces en un mes o si aparece un cuasi-accidente con potencial fatal, el tema debe salir del archivo del EHS manager y entrar en agenda de gerencia.

Para operaciones con metodologías más técnicas, el registro puede disparar estudios como HAZOP, Bow-Tie o FMEA. Esa derivación evita usar una herramienta simple para riesgos que exigen análisis de barreras, modos de falla o escenarios de proceso.

Step 9: Convierte el registro en rutina de liderazgo

El registro de riesgos se sostiene cuando entra en la rutina de liderazgo, con una revisión breve, frecuente y orientada a decisiones. Una reunión mensual de 60 minutos puede bastar para un área estable, pero una operación con cambios semanales necesita seguimiento más cercano y criterios claros de cierre.

En Make The Difference: Be a Leader in Health & Safety, Andreza Araújo enfatiza que el liderazgo de seguridad se prueba en decisiones visibles. Si el gerente pregunta por producción y nunca por el riesgo abierto desde hace 45 días, el equipo aprende cuál prioridad manda realmente.

Instala 5 preguntas fijas para la reunión: qué riesgo subió, qué control falló, qué acción venció, qué barrera necesita inversión y qué aprendizaje debe compartirse. La simplicidad importa porque una rutina que el líder no puede sostener durante 90 días no es gestión, es campaña.

Registro estático vs registro vivo

La diferencia entre un registro estático y un registro vivo se ve en la trazabilidad de decisiones. El primero muestra riesgos escritos; el segundo muestra riesgos gobernados, con responsables, controles, evidencias, revisión y aprendizaje.

Cada mes con un registro estático aumenta la distancia entre el riesgo conocido y el control ejecutado, mientras las operaciones acumulan cambios de turno, presión de producción y contratistas que no esperan al próximo ciclo anual.

Cómo empezar sin sobrediseñar el sistema

Empieza con un área crítica, 9 pasos, 30 días de levantamiento y una reunión de decisión al cierre. ISO 45001:2018, la NOM-030-STPS-2009 y la Ley 29783 en Perú apuntan en la misma dirección práctica: identificar peligros, organizar acciones preventivas y mantener evidencia de gestión.

La SUNAFIL recuerda que el mapa de riesgos forma parte de las responsabilidades del empleador dentro del sistema de gestión de SST bajo la Ley 29783, y que mantener documentación actualizada evita infracciones graves. El punto no es producir más papeles, sino lograr que los riesgos visibles reciban controles verificables.

Si necesitas llevar este proceso a una operación compleja, combina el registro con diagnóstico cultural, verificación de controles críticos y liderazgo visible. Para profundizar la aplicación, los libros de Andreza Araújo y los diagnósticos de ACS Global Ventures ofrecen una ruta práctica desde la exposición real hasta la decisión ejecutiva.