Matriz IPER para ISO 45001. Estructura e instrucciones para completarla

Matriz IPER para ISO 45001

Las matrices de riesgos son instrumentos de gran utilidad, ya que nos permite identificar todo tipo de riesgos concurrentes con la actividad de la organización.

El uso de esta herramienta está muy desarrollado, principalmente en las empresas certificadas por la norma ISO 45001, esta nos muestra en su punto 6.1 que se ha ejecutar una serie de acciones para plantear los riesgos y oportunidades, con el objetivo de aseverar la obtención de objetivos, evitar riesgos y, en resumen, conseguir la mejora continua del (SGSST). Todo ello pasa por la identificación de riesgos y oportunidades y la evaluación de su impacto en la empresa y contexto para su acción. Una de los equipos más útiles con las que cuentan las sociedades para identificar, evaluar y gestionar los riesgos a los que se enfrentan es la matriz de riesgos.

Esta específicamente es un documento que permite realizar la identificación de las actividades que realiza una empresa, los riesgos inherentes a las mismas y la probabilidad de que estos riesgos se concreten. Para que sea eficaz es preciso que colaboren en su confección todas las partes interesadas, procesos y áreas productivas, operativas y funcionales de la organización, además de que sea sujeta a revisiones periódicas.

1. Se debe identificar los riesgos y oportunidades que se presentan tanto en los procesos de una organización, como aquellos referentes al contexto interno o externo que logren afectar al sistema o a sus partes interesadas. Para tener en consideración revisemos los siguientes puntos:

Seguimiento general: El contexto interno y externo, necesidades y expectativas de las partes interesadas, además del alcance del SGSST.

Determinar qué estimamos como riesgo u oportunidad: peligros, riesgos y oportunidades para la SST y el sistema de gestión, los requisitos legales y otros que pueden impactar. Se han de tener en cuenta aspectos como: estrategia, estructura, recursos humanos, procesos, competitividad, aspectos sociales y políticos, innovación, desarrollo tecnológico, proveedores, entre otros.

2. Se deberán evaluar los riesgos y oportunidades, en contextos normales, como en un escenario de emergencia (6.1.2.3 Evaluación de las oportunidades para la SST)
3. Este punto es a la acción. Se deben identificar y programar todas las acciones derivadas de los distintos análisis de riesgos y oportunidades (procedimientos, instrucciones, formaciones) y evaluar su eficacia. (6.1.4 Planificación de acciones).

Elementos indispensables para crear una matriz de riesgos

En una primera etapa en la que se estudian los objetivos estratégicos de la empresa, se elaborará la matriz de riesgos, que ha de contar con:

1. Identificación de riesgos. Los riesgos pueden ser inherentes a la propia actividad de la empresa o influenciados por el entorno.
2. Resolución de la probabilidad y el impacto de los riesgos: Establecer una categorización donde se establezca la probabilidad de que un riesgo ocurra. Además de la probabilidad de que ocurran los riesgos, es preciso incluir en este punto el impacto que puede tener sobre la empresa.
3. Evaluación del riesgo: Cuando creas una matriz de riesgos es evaluar si los controles determinados por la organización para mitigar los riesgos son eficaces.  Una evaluación eficaz de riesgo establece el nivel del mismo, pudiendo ser bajo, tolerable, moderado, importante o intolerable. Los expertos se encargan de realizar la matriz de riesgos
4. Cálculo del riesgo neto o residual: Se calcula teniendo en cuenta el grado concreto de los riesgos inherentes, si se conoce el riesgo residual, la gerencia, podrá tomar decisiones para continuar o no con una acción, dependiendo de su nivel de riesgo.

Estados críticos que ha de considerar una matriz de riesgos

Como ya hemos visto, la gestión de riesgos según la norma 45001 es un proceso dinámico, por lo tanto, se necesita volver a evaluar el riesgo habitualmente. Por esto es que se necesita un instrumento manejable, que documente los procesos y evalúe el riesgo general de la compañía. Por ello, en la elaboración se necesita la colaboración de diferentes entidades de negocios, ya sean funcionales u operativas.

La matriz de riesgos ha de mostrar una orientación metódica. Esta tendrá que avalar que los riesgos son identificados y convenidos de forma adecuada, aquí 5 puntos fundamentales:

1. Todo proceso ha de tener asignado un responsable para su análisis, ejecución, seguimiento y mejora. Por consiguiente, estará eficazmente informado y capacitado para realizar sus funciones.
2.  Los objetivos de cada proceso han de ser revisados, los procesos serán igualmente analizados según su criticidad en búsqueda de riesgos y oportunidades.
3. La matriz ha de permitir recopilar y analizar la mayor cantidad de información relevante, teniendo en cuenta todos los puntos críticos
4. Debe promover la participación de los empleados, generando una cultura de riesgo en la organización
5. Identificará todos los riesgos, aunque procedan de procesos poco demandantes o se vea una baja probabilidad o severidad. La evaluación de riesgos debe admitir, catalogarlos de acuerdo a su nivel y acceder a anticipar según niveles de criticidad; crear controles y comprobar su capacidad para cada riesgo.