La columna vertebral del SG-SST. Te explicamos cómo construir una matriz IPER que sobreviva una auditoría de Mintrabajo, ARL o ISO 45001.

La matriz de Identificación de Peligros y Valoración del Riesgo (IPER) es el documento técnico donde una empresa lista todos los peligros que sus trabajadores enfrentan en sus procesos, valora cuán probable y severo sería un daño asociado, y decide qué controles implementar. Es el insumo del que se deriva prácticamente todo el SG-SST: plan anual de trabajo, capacitaciones, EPP, exámenes médicos, plan de emergencias e inversión en seguridad.
Sin una matriz IPER actualizada y bien construida, el SG-SST carece de fundamento técnico: las capacitaciones no se priorizan por riesgo real, los exámenes médicos no se gradúan por exposición y los indicadores se vuelven decorativos. Por eso es el primer hallazgo que busca un inspector del Mintrabajo o un auditor ARL.
El Decreto 1072 de 2015 (art. 2.2.4.6.15) exige tener la matriz IPER como parte del componente de Planificación del SG-SST. La Resolución 0312 de 2019 lo cuenta como estándar mínimo verificable: una matriz desactualizada o ausente puede generar sanciones desde 5 hasta 500 SMMLV según el tamaño de la empresa.
Una matriz IPER no es un Excel inerte que se llena una vez al año. Es un documento vivo que se actualiza cada vez que cambia un proceso, ingresa un cargo nuevo, ocurre un incidente o se introduce un equipo. Esa es la principal diferencia entre la teoría y el cumplimiento real.
La Guía Técnica Colombiana GTC 45 es publicada por el Instituto Colombiano de Normas Técnicas (ICONTEC). Su última versión vigente es la GTC 45:2012, que adapta los principios internacionales de identificación de peligros (BS 8800, OHSAS 18001, ISO 31000) al contexto colombiano.
Aunque la GTC 45 es técnicamente una "guía" (no una norma de cumplimiento obligatorio per se), el Mintrabajo y las ARL la adoptaron como la referencia estándar para evaluar SG-SST en Colombia. Las matrices IPER construidas con otras metodologías (William Fine, MIR, INSST de España, etc.) pueden ser aceptadas, pero el camino más seguro y reconocido es GTC 45.
GTC 45:2012 — guía técnica vigente publicada por ICONTEC, base de la mayoría de matrices IPER en empresas colombianas.
ISO 45001:2018 — norma internacional de SST, exige identificación de peligros pero deja libre la metodología (compatible con GTC 45).
ISO 31000:2018 — gestión del riesgo en sentido amplio (no solo SST), fuente conceptual de la GTC 45.
OHSAS 18001 (derogada) — antecesora histórica de ISO 45001, todavía citada en matrices viejas que necesitan migración.
Decreto 1072 art. 2.2.4.6.15 — exige metodología documentada para identificar peligros; GTC 45 es la aceptada por defecto.
Resolución 0312 de 2019 — estándar mínimo 2.1.2 requiere matriz IPER actualizada como evidencia verificable.
Una matriz IPER GTC 45 mínima debe tener las siguientes columnas. Algunas matrices comerciales agregan más (responsable, fecha, área específica), pero estas 14 son el núcleo que un auditor verifica.
Proceso / actividad — el proceso del sistema de gestión al que pertenece el peligro.
Zona / lugar — sede, área o ubicación física específica.
Actividades rutinarias / no rutinarias — diferenciar peligros operativos del día a día vs eventuales.
Clasificación del peligro — categoría GTC 45 (biomecánico, físico, químico, biológico, psicosocial, condiciones de seguridad, fenómeno natural).
Descripción específica del peligro — nombre técnico (ej. "ruido continuo", "polvo respirable de sílice").
Efectos posibles — daños potenciales en el trabajador (lesión musculoesquelética, hipoacusia inducida por ruido, etc.).
Controles existentes (fuente / medio / individuo) — qué ya está implementado y dónde actúa.
Nivel de Deficiencia (ND) — qué tan crítica es la deficiencia de los controles existentes (0, 2, 6, 10).
Nivel de Exposición (NE) — frecuencia con la que el trabajador está expuesto (1, 2, 3, 4).
Nivel de Probabilidad (NP = ND × NE) — combinación de los dos anteriores.
Nivel de Consecuencia (NC) — severidad esperada del daño (10, 25, 60, 100).
Nivel de Riesgo (NR = NP × NC) — magnitud final del riesgo (resultado numérico).
Interpretación del NR — clasificación cualitativa (I, II, III, IV).
Aceptabilidad y controles adicionales — qué hay que implementar para reducir el riesgo según jerarquía.
Si tu matriz IPER actual no tiene estas 14 columnas con datos coherentes, vas a tener hallazgos en auditoría. El error más común es saltarse los Niveles de Deficiencia / Exposición / Consecuencia y poner directamente una valoración cualitativa sin sustento numérico.
La GTC 45 organiza los peligros en 7 categorías. Esta clasificación es importante porque dispara controles, exámenes médicos y normativa específica diferente para cada categoría.
Biomecánicos — postura prolongada, movimientos repetitivos, manipulación manual de cargas, esfuerzo (DME).
Físicos — ruido, vibración, iluminación, radiaciones (ionizantes y no ionizantes), temperaturas extremas, presiones anormales.
Químicos — polvos, humos, gases, vapores, líquidos, sólidos. Diferenciar por vía de ingreso (inhalación, dérmica, ingestión).
Biológicos — virus, bacterias, hongos, parásitos, picaduras de insectos, mordeduras de animales (relevante en salud, agro, residuos).
Psicosociales — carga mental, contenido de la tarea, demandas emocionales, jornada, liderazgo (evaluados con la Batería Res. 2404).
Condiciones de seguridad — mecánicos (atrapamiento, golpes, cortes), eléctricos, locativos (pisos, techos), tecnológicos (incendio, explosión), accidentes de tránsito, públicos (atraco, terrorismo).
Fenómenos naturales — sismo, inundación, lluvias intensas, granizadas, vientos fuertes (relevante para plan de emergencias).
Para cada cargo o actividad, recorré las 7 categorías y preguntate qué peligros aplican. Un cargo de soldador en construcción tendrá peligros físicos (radiación UV, ruido), químicos (humos metálicos), biomecánicos (postura sostenida) y condiciones de seguridad (incendio, eléctrico, mecánico) simultáneamente. Una matriz IPER buena no se limita a "lo obvio".
La GTC 45 usa una valoración numérica para evitar subjetividad. La fórmula es: Nivel de Riesgo (NR) = Nivel de Probabilidad (NP) × Nivel de Consecuencia (NC). El NP a su vez se calcula como Nivel de Deficiencia (ND) × Nivel de Exposición (NE).
Cada variable tiene una tabla de valores discretos definidos por la guía. La idea es que dos personas que valoran el mismo peligro lleguen a un resultado similar siguiendo las tablas, en lugar de "sentir" si el riesgo es alto o bajo.
ND (Nivel de Deficiencia): 0 (no hay deficiencia detectada) → 2 (baja) → 6 (media) → 10 (muy alta).
NE (Nivel de Exposición): 1 (esporádica) → 2 (ocasional) → 3 (frecuente) → 4 (continua).
NP (Nivel de Probabilidad) = ND × NE → rango de 0 a 40. Se interpreta: 40-24 muy alto, 20-10 alto, 8-6 medio, 4-2 bajo.
NC (Nivel de Consecuencia): 10 (leve, sin baja) → 25 (grave, días de baja) → 60 (muy grave, incapacidad permanente) → 100 (mortal o catastrófica).
NR (Nivel de Riesgo) = NP × NC → rango de 0 a 4.000. Interpretación: NR I (4.000-600), II (500-150), III (120-40), IV (20-0).
Los riesgos NR I (muy altos) son inaceptables: requieren intervención inmediata o suspensión de la actividad. Los NR II son altos: requieren plan de acción con plazo definido. Los NR III son moderados: monitoreo y mejoras. Los NR IV son aceptables: control rutinario. Mintrabajo y la ARL prestan especial atención a cómo se tratan los NR I y II — su ausencia o mal manejo es hallazgo crítico.
Una matriz IPER no se queda en identificar y valorar — debe proponer controles para reducir el riesgo a niveles aceptables. La GTC 45 (y la ISO 45001) exigen aplicar los controles en un orden de jerarquía estricto. Aplicar EPP cuando se puede eliminar el peligro es un hallazgo común que invalida la matriz en auditoría.
1. Eliminación — quitar completamente el peligro (cambiar el proceso para que no exista la exposición). Ej: automatizar manipulación de químicos para eliminar contacto humano.
2. Sustitución — reemplazar el peligro por uno menos riesgoso. Ej: cambiar solvente cancerígeno por uno no cancerígeno.
3. Controles de ingeniería — barreras físicas que separan al trabajador del peligro. Ej: guardas mecánicas, ventilación localizada, enclaustramiento.
4. Controles administrativos — procedimientos, capacitación, rotación, señalización, permisos de trabajo. Ej: procedimiento de trabajo seguro en altura.
5. EPP (Equipo de Protección Personal) — última línea de defensa. Ej: respiradores, arnés, casco, guantes. Nunca puede ser el único control.
Una matriz que solo propone EPP como control es señal de inmadurez: se acepta exponer al trabajador y se le da una barrera personal. Una matriz madura combina controles de ingeniería + administrativos + EPP, ordenados por la jerarquía. El auditor lo verifica viendo qué controles aparecen primero en la columna correspondiente.
Estos son los errores que con más frecuencia generan hallazgos en visitas Mintrabajo, auditorías ARL o certificaciones ISO 45001. Si tu matriz tiene alguno de estos, hay que corregir antes de la próxima inspección.
Matriz sin firmar o sin fecha — invalidez total: el auditor no puede determinar si está vigente.
Mismo NR para todos los peligros — señal de que la valoración fue mecánica, no analítica.
Valoración cualitativa sin números — sin ND/NE/NC sustentados, la matriz no resiste cuestionamiento.
No incluye actividades no rutinarias (mantenimiento, contratistas, emergencias) — gaps de cobertura.
Controles solo en EPP — falta de jerarquía, viola GTC 45 e ISO 45001.
No se actualiza tras un accidente — el accidente prueba que la valoración previa fue incorrecta y obliga a revisión.
No incluye peligros psicosociales — Resolución 2404 los exige; ausencia genera doble hallazgo (IPER + Batería).
Construida por una sola persona — la GTC 45 exige participación de trabajadores y supervisores del proceso.
Excel sin trazabilidad — quién cambió qué cuándo es imposible de auditar; software con versionado es la alternativa.
El paso de Excel a un software dedicado no es cosmético: cambia la calidad del SG-SST. Una matriz IPER en software bien diseñado evita los errores comunes que listamos arriba, automatiza la valoración numérica y se conecta con el resto del sistema (plan anual, EPP, exámenes médicos, capacitaciones).
Lo que un buen software de matriz IPER aporta:
Plantilla GTC 45 oficial con las 14 columnas preconfiguradas — cero riesgo de saltarse campos críticos.
Catálogos cerrados de peligros por categoría — todas las matrices del grupo usan vocabulario consistente.
Cálculo automático de NP, NR e interpretación — cero error humano de multiplicación o clasificación.
Historial de versiones — quién modificó qué cuándo, evidencia automática para auditoría.
Conexión con plan anual — cada peligro NR I/II dispara automáticamente una acción en el plan anual.
Conexión con exámenes médicos — peligros químicos disparan profesiograma con exámenes específicos.
Conexión con EPP — peligros físicos disparan listado de EPP requerido y su programa de entrega.
Reportes consolidados — matriz por sede, por proceso, por categoría, por nivel de riesgo, con un click.
Sugerencias IA — un asistente entrenado en GTC 45 propone peligros típicos del sector económico que podrías estar olvidando.
Una empresa de 50 trabajadores con matriz IPER en Excel típicamente tarda 2-3 semanas en actualizarla cuando ingresa un cargo nuevo o cambia un proceso. Con software, esa actualización toma 15-30 minutos. La diferencia compone: una matriz IPER que se actualiza realmente es una matriz IPER que protege a los trabajadores.
HoldingSoft+ centraliza la matriz IPER, COPASST, indicadores y reportes Resolución 0312. Reduce 60-80% el tiempo de gestión SGI.
Cumple Decreto 1072 + Resolución 0312
Estándares mínimos SG-SST + ISO 9001/14001/45001IA SOFÍA con citas verificables
RAG sobre tus documentos, sin alucinacionesDesde USD 30/mes · +40 apps incluidas
Sin penalización por cambiar de planNo, pero comparten origen conceptual. La matriz IPER (bajo GTC 45) se enfoca exclusivamente en riesgos para la seguridad y salud de los trabajadores (campo SST). La matriz de riesgos ISO 31000 cubre todos los riesgos del negocio: estratégicos, operativos, financieros, reputacionales, tecnológicos. Si tienes un sistema integrado HSEQ, una empresa madura mantiene ambas matrices alimentándose mutuamente, sin duplicar trabajo.
No hay periodicidad fija exigida por norma — el Decreto 1072 dice que se actualiza "cuando sea necesario". En la práctica: (1) anualmente como mínimo en la revisión del SG-SST; (2) cada vez que ingresa un cargo nuevo o cambia el alcance del existente; (3) tras cualquier accidente o incidente relevante; (4) cuando se introduce un equipo, sustancia o proceso nuevo; (5) tras un cambio normativo significativo. Una matriz sin actualización en más de 12 meses es vista como abandono del SG-SST.
La GTC 45 y el Decreto 1072 exigen participación: (1) responsable del SG-SST (lidera); (2) trabajadores del proceso (conocen los peligros reales); (3) supervisor o jefe del área; (4) representantes del COPASST; (5) cuando aplique, profesionales especializados (higienista, ergónomo, médico ocupacional). Una matriz construida solo por la coordinadora SST encerrada con Excel suele estar incompleta — el conocimiento de los peligros vive en quienes hacen el trabajo.
Es uno de los hallazgos más frecuentes y casi siempre se traduce en sanción. El inspector lo lee como ausencia formal de matriz IPER (no es trazable, no es auditable, no tiene fecha cierta). La sanción aplicable: hasta 50 SMMLV para empresa pequeña, hasta 250 SMMLV para mediana, hasta 500 SMMLV para grande. Una matriz en software con firma digital, fecha y trazabilidad de cambios cierra este hallazgo de raíz.
No hay número mínimo, depende del proceso. Pero como referencia operativa: un proceso productivo típico (manufactura, construcción, salud, transporte) tiene entre 8 y 25 peligros identificables por cargo. Un proceso administrativo (oficina) tiene entre 4 y 10 peligros. Si tu matriz tiene 2-3 peligros por proceso, está incompleta. Si tiene 50+ por cargo administrativo, está sobre-detallada. La GTC 45 valora calidad de identificación, no cantidad bruta.
Técnicamente es una guía técnica del ICONTEC (no es ley). Pero el Decreto 1072 obliga a usar "una metodología documentada" para identificar peligros, y el Mintrabajo + las ARL adoptaron GTC 45 como referencia estándar. En la práctica: si usas GTC 45 estás del lado seguro; si usas otra metodología (William Fine, MIR, INSST) puedes tener que justificar más en una inspección. La GTC 45 es el camino de menor fricción.
La matriz IPER alimenta el plan anual. Cada peligro con Nivel de Riesgo I (muy alto) o II (alto) debe tener acciones asociadas en el plan anual de trabajo: capacitaciones específicas, controles de ingeniería a implementar, exámenes médicos a programar, EPP a entregar, inspecciones a realizar. Un plan anual sin línea de conexión a la matriz IPER es plan administrativo, no técnico. Mintrabajo verifica esa trazabilidad: cada acción del plan debe poder rastrearse a un peligro de la matriz.
HoldingSoft+ automatiza la gestión documental, los indicadores y los reportes que aquí se mencionan. Ahorras semanas de trabajo administrativo y reduces el riesgo de hallazgos en auditoría.