Verifty Logo

Matriz de riesgos IPEVR (GTC-45): paso a paso

Santiago Salcedo Forero16 de julio de 2026
IPEVR
GTC-45
matriz de riesgos
SG-SST
Portada de Matriz de riesgos IPEVR (GTC-45): paso a paso

La matriz IPEVR (Identificación de Peligros, Evaluación y Valoración de Riesgos) es, junto con la política y el plan de trabajo anual, el documento que más miran los auditores y los inspectores del Ministerio de Trabajo. No es un formato que se llena "para cumplir": es el mapa de todo lo que puede lastimar o enfermar a un trabajador en tu empresa, y de lo que estás haciendo para evitarlo.

El problema es que mucha gente la copia de otra empresa, le cambia el nombre y la deja quieta durante años. Eso no protege a nadie y, además, no pasa una auditoría. En esta guía te explico cómo hacer la matriz de riesgos con la metodología GTC-45 paso a paso, con las tablas reales de valores (ND, NE, NC), cómo se calcula el nivel de riesgo y los errores que más cuestan sanciones. Está escrita para el responsable de SST colombiano que necesita hacerla bien, no bonita.

Qué es la matriz IPEVR y por qué es obligatoria

IPEVR significa Identificación de Peligros, Evaluación y Valoración de los Riesgos. Es el proceso mediante el cual una empresa reconoce todo aquello que puede causar daño (peligros), estima qué tan grave y probable es ese daño (evaluación), y decide qué tan urgente es intervenirlo (valoración).

En Colombia esto no es opcional. El marco normativo es claro:

  • Decreto 1072 de 2015, artículo 2.2.4.6.15: obliga al empleador a aplicar una metodología para la identificación de peligros, evaluación y valoración de los riesgos, y a hacerlo con participación de los trabajadores.
  • Resolución 0312 de 2019: convierte la identificación de peligros en un estándar mínimo auditable. Es uno de los ítems que verifica el inspector y que pesa en la calificación de tu SG-SST.
  • GTC-45:2012: es la Guía Técnica Colombiana que propone la metodología concreta para hacerlo. No es obligatorio usar la GTC-45 (la ley pide "una metodología"), pero es la más usada, la más aceptada por los auditores y la que verás en casi todas las empresas del país.

Si quieres entender cómo encajan estas normas entre sí, te recomiendo leer primero el recorrido por el Decreto 1072 y la Resolución 0312, que son las bases del SG-SST colombiano.

La metodología GTC-45 en resumen

Antes de llenar nada, entiende la lógica. La GTC-45 evalúa cada riesgo con dos preguntas: ¿qué tan probable es que pase? y ¿qué tan grave sería si pasa? El cruce de ambas da el nivel de riesgo.

La fórmula completa es:

  • Nivel de Deficiencia (ND) × Nivel de Exposición (NE) = Nivel de Probabilidad (NP)
  • Nivel de Probabilidad (NP) × Nivel de Consecuencia (NC) = Nivel de Riesgo (NR)

Ese Nivel de Riesgo (NR) se traduce en una interpretación (I, II, III o IV) que te dice qué tan rápido debes actuar. Suena abstracto ahora; con las tablas y el ejemplo del final quedará claro. Vamos al paso a paso.

Paso 1: Clasificar los procesos, actividades y tareas

No se identifican peligros "en el aire". Primero organizas la empresa en un árbol:

Proceso → Zona/lugar → Actividad → Tarea → ¿rutinaria o no rutinaria?

Por ejemplo, en una empresa de manufactura: proceso Producción → zona Planta 1 → actividad Corte de lámina → tarea Operar la cizalla. Marca si la tarea es rutinaria (se hace habitualmente) o no rutinaria (mantenimientos, paradas de planta, emergencias). Las tareas no rutinarias son las que más se olvidan y las que más accidentes graves generan.

Haz este inventario por cada cargo o grupo de exposición similar, no persona por persona. Trabajadores que hacen lo mismo, en el mismo sitio, con los mismos peligros, van juntos.

Paso 2: Identificar los peligros por clasificación

Para cada tarea, recorre las seis grandes clasificaciones de peligro de la GTC-45. Tenerlas como checklist evita que se te escape algo:

ClasificaciónEjemplos típicos
FísicoRuido, vibración, temperaturas extremas, iluminación deficiente, radiaciones
QuímicoPolvos, gases, vapores, humos, líquidos, material particulado
BiológicoVirus, bacterias, hongos, picaduras, fluidos corporales
BiomecánicoPosturas forzadas, movimientos repetitivos, manipulación manual de cargas, esfuerzo
PsicosocialCarga de trabajo, jornadas extensas, acoso, monotonía, atención al público
Condiciones de seguridadMecánico, eléctrico, locativo, trabajo en alturas, tecnológico, público (atracos), accidentes de tránsito

A esto se suman los fenómenos naturales (sismo, inundación, deslizamiento), que la guía trata aparte.

Para cada peligro, anota además la fuente, el efecto posible (¿qué lesión o enfermedad genera?) y cuántas personas están expuestas. El efecto posible es clave porque alimenta el Nivel de Consecuencia del Paso 5.

Paso 3: Registrar los controles existentes

Antes de valorar, anota qué controles ya tienes para ese peligro, clasificados en tres puntos de la cadena:

  • En la fuente (por ejemplo, encerramiento de una máquina ruidosa).
  • En el medio (barreras, señalización, ventilación).
  • En el individuo (EPP, capacitación, rotación).

Esto importa porque la valoración se hace considerando los controles actuales. Un peligro con buenos controles tendrá menor deficiencia que el mismo peligro sin ningún control.

Paso 4: Evaluar la probabilidad (ND × NE)

Aquí empieza la parte numérica. Asignas dos valores.

Nivel de Deficiencia (ND)

Mide qué tan expuesto está el trabajador según los peligros presentes y los controles que faltan. A mayor deficiencia de controles, mayor valor.

Nivel de deficienciaValor (ND)Significado
Muy alto (MA)10Se detectan peligros que determinan como muy posible un daño; los controles son ineficaces o no existen
Alto (A)6Peligros que pueden dar lugar a consecuencias significativas; controles insuficientes
Medio (M)2Peligros de menor importancia; controles parcialmente eficaces
Bajo (B)No se asigna valor (0)No se ha detectado consecuencia alguna, o el riesgo está controlado. Se valora, no se descarta

Nivel de Exposición (NE)

Mide cuánto tiempo el trabajador está en contacto con el peligro.

Nivel de exposiciónValor (NE)Significado
Continua (EC)4Varias veces durante la jornada, con tiempo prolongado
Frecuente (EF)3Varias veces en su jornada, aunque por tiempos cortos
Ocasional (EO)2Alguna vez en su jornada y por poco tiempo
Esporádica (EE)1De manera eventual

Nivel de Probabilidad (NP = ND × NE)

Multiplicas ambos. El resultado se interpreta así:

Nivel de probabilidadValor (NP)Interpretación
Muy alto (MA)24 a 40Situación deficiente con exposición continua; lo normal es que ocurra el daño
Alto (A)10 a 20Situación deficiente con exposición frecuente; es posible que suceda el daño
Medio (M)6 a 8Situación mejorable con exposición ocasional o frecuente
Bajo (B)2 a 4Situación mejorable con exposición esporádica; no es esperable el daño, aunque no es descartable

Paso 5: Determinar el Nivel de Consecuencia (NC)

Ahora respondes: si el daño ocurre, ¿qué tan grave sería? Aquí piensas en la peor consecuencia razonable, no en la más probable.

Nivel de consecuenciaValor (NC)Daño a la persona
Mortal o catastrófico (M)100Muerte
Muy grave (MG)60Lesiones o enfermedades graves e irreparables (amputación, invalidez permanente)
Grave (G)25Lesiones o enfermedades con incapacidad laboral temporal
Leve (L)10Lesiones o enfermedades que no requieren incapacidad

Paso 6: Calcular y valorar el Nivel de Riesgo (NR)

Multiplicas la probabilidad por la consecuencia: NR = NP × NC. El resultado cae en uno de cuatro niveles de interpretación:

Nivel de riesgo (NR)Valor NRSignificado
I4000 – 600Situación crítica. Corrección urgente
II500 – 150Corregir y adoptar medidas de control lo antes posible
III120 – 40Mejorar si es posible; justificar la intervención y su rentabilidad
IV20Mantener las medidas existentes; conservar el control

Paso 7: Decidir la aceptabilidad del riesgo

El nivel de riesgo se traduce en una decisión de negocio: ¿acepto este riesgo o no? La GTC-45 sugiere este criterio, pero cada empresa debe definir formalmente el suyo:

Nivel de riesgoAceptabilidad
INo aceptable
IINo aceptable o aceptable con control específico
IIIAceptable (mejorable)
IVAceptable

Los riesgos I y II son la prioridad absoluta de tu plan de trabajo anual. Un auditor que vea riesgos nivel I sin plan de acción va a levantar un hallazgo grave.

Paso 8: Definir las medidas de intervención (jerarquía de controles)

Identificar el riesgo sin actuar no sirve de nada. Para cada riesgo no aceptable, define medidas siguiendo la jerarquía de controles, de la más efectiva a la menos efectiva:

  1. Eliminación — quitar el peligro por completo (rediseñar la tarea).
  2. Sustitución — reemplazar por algo menos peligroso (un químico menos tóxico).
  3. Controles de ingeniería — aislar a la persona del peligro (guardas, ventilación, encerramientos).
  4. Controles administrativos / señalización — procedimientos, permisos de trabajo, rotación, capacitación, advertencias.
  5. Equipos de protección personal (EPP) — el último recurso, no el primero.

El error clásico es saltar directo al EPP porque es lo barato. El EPP protege solo al que lo usa bien y no elimina el peligro. Úsalo como complemento, no como solución única. Cuando definas EPP, aterrízalo por cargo en una matriz de EPP, que es el puente natural entre tu IPEVR y la dotación real de cada trabajador.

Ejemplo completo de valoración

Tarea: operar una cizalla sin guarda de seguridad, 3 horas al día.

  • Peligro: mecánico (atrapamiento/amputación).
  • ND = 6 (Alto): hay peligro real y el control —la guarda— no existe.
  • NE = 3 (Frecuente): la usa varias veces al día por tiempos cortos.
  • NP = 6 × 3 = 18 → Nivel Alto.
  • NC = 60 (Muy grave): una amputación es lesión irreparable.
  • NR = 18 × 60 = 1080Nivel I. No aceptable.

Conclusión: intervención urgente. La medida no es "dar guantes" (EPP); es instalar una guarda (control de ingeniería) y bloquear la máquina hasta que la tenga. Así se lee y se usa una matriz IPEVR.

Errores comunes al elaborar la matriz IPEVR

  • Copiarla de otra empresa. Los peligros dependen de tus procesos. Una matriz genérica es un hallazgo de auditoría casi seguro.
  • Valorar por persona y no por grupo de exposición. Infla el documento y no aporta nada.
  • Olvidar las tareas no rutinarias y las emergencias. Ahí están los accidentes graves.
  • Ignorar el peligro psicosocial. Es real, es obligatorio y las ARL lo están mirando cada vez más.
  • Saltar directo al EPP sin agotar la jerarquía de controles.
  • Dejarla sin plan de acción. Los riesgos I y II tienen que aparecer en el plan de trabajo anual con responsable y fecha.
  • No involucrar a los trabajadores ni al COPASST. La ley exige su participación, y además ellos conocen peligros que tú no ves desde el escritorio.
  • Hacerla y archivarla. Una matriz que no se actualiza está muerta.

Cada cuánto se actualiza la matriz IPEVR

Como mínimo una vez al año. Pero además debes actualizarla cada vez que ocurra un cambio que altere los peligros:

  • Ingreso de nueva maquinaria, equipos o sustancias químicas.
  • Cambios en procesos, instalaciones o en la organización del trabajo.
  • Después de un accidente o incidente grave (la investigación casi siempre revela un peligro mal valorado).
  • Nuevos requisitos legales.
  • Traslado a una nueva sede.

La regla práctica: si algo en la operación cambió, la matriz cambia con ello.

De la teoría a un documento que pasa auditoría

Hacer bien la matriz IPEVR es, sobre todo, método y disciplina: clasificar, identificar por las seis categorías, valorar con las tablas y priorizar la intervención. Lo difícil no es entender la GTC-45 —ya la tienes— sino mantenerla viva, cruzada con tus accidentes, tus EPP y tu plan anual.

Para empezar con el pie derecho, descarga la plantilla de matriz IPEVR GTC-45 en Excel: ya trae las fórmulas de ND × NE y NP × NC calculadas, las tablas de valores y la interpretación automática del nivel de riesgo, así te concentras en identificar peligros y no en cuadrar celdas.

Y si tu empresa maneja varios centros de trabajo, contratistas o quieres que la matriz se conecte automáticamente con la dotación de EPP, las inspecciones y la investigación de accidentes sin vivir pegado a un Excel, mira cómo el software de SST de Verifty mantiene todo el SG-SST en un solo lugar y siempre listo para el inspector.

Preguntas frecuentes

¿Cómo se calcula el nivel de riesgo en la GTC-45?+

Con dos multiplicaciones encadenadas. Primero, Nivel de Deficiencia (ND) por Nivel de Exposición (NE) da el Nivel de Probabilidad (NP). Luego, ese NP se multiplica por el Nivel de Consecuencia (NC) y da el Nivel de Riesgo (NR). El NR se interpreta en cuatro niveles: I (600-4000), II (150-500), III (40-120) y IV (20).

¿Qué son el ND, el NE y el NC en la matriz IPEVR?+

Son los tres valores que evalúan cada riesgo. El Nivel de Deficiencia (ND) mide qué tan malos o ausentes son los controles (0, 2, 6 o 10). El Nivel de Exposición (NE) mide cuánto tiempo está la persona expuesta al peligro (1, 2, 3 o 4). El Nivel de Consecuencia (NC) mide qué tan grave sería el daño si ocurre (10, 25, 60 o 100).

¿Cada cuánto se actualiza la matriz de riesgos IPEVR?+

Como mínimo una vez al año. Además, se debe actualizar cada vez que haya un cambio que modifique los peligros: nueva maquinaria o sustancias, cambios en procesos o instalaciones, una nueva sede, nuevos requisitos legales o después de un accidente o incidente grave.

¿Es obligatoria la GTC-45 en Colombia?+

La GTC-45 en sí no es obligatoria. Lo obligatorio, según el Decreto 1072 de 2015, es aplicar una metodología para identificar peligros y valorar riesgos. La GTC-45 es la metodología más usada y aceptada por los auditores, por eso en la práctica casi todas las empresas la adoptan.

¿Cuáles son las clasificaciones de peligros de la GTC-45?+

Son seis: físico, químico, biológico, biomecánico, psicosocial y condiciones de seguridad (que incluye mecánico, eléctrico, locativo, alturas, tránsito y público). A estas se suman los fenómenos naturales como sismos o inundaciones. Conviene usarlas como checklist para no olvidar ningún peligro por tarea.

¿Qué diferencia hay entre riesgo aceptable y no aceptable?+

Un riesgo es no aceptable cuando su nivel es I, o II según el criterio de la empresa; requiere corrección urgente o pronta. Es aceptable cuando es nivel III (mejorable) o IV (se mantienen los controles). Cada empresa debe definir formalmente sus criterios de aceptabilidad teniendo en cuenta la legislación vigente.

¿Se debe hacer una matriz por cada trabajador?+

No. La valoración se hace por grupos de exposición similar: trabajadores que hacen la misma tarea, en el mismo sitio y con los mismos peligros se agrupan bajo un mismo cargo. Hacerla persona por persona infla el documento sin aportar información útil.

¿Qué relación tiene la matriz IPEVR con los EPP?+

Los EPP son el último nivel de la jerarquía de controles que define la matriz. Los riesgos valorados en la IPEVR determinan qué protección necesita cada cargo. Por eso la IPEVR alimenta directamente la matriz de EPP, que aterriza esa dotación por puesto de trabajo.

Deja el papel atrás. Empieza hoy con una demo en 15 minutos.

Verificación con IA, Face ID en portería, formatos digitales y los 8 módulos integrados. Sin compromiso.

Lee también

Imagen de portada para Cómo automatizar la Matriz de Riesgos (GTC 45) sin morir en el intento

Cómo automatizar la Matriz de Riesgos (GTC 45) sin morir en el intento

¿Sigues usando Excel para tu Matriz de Riesgos? Descubre cómo automatizar la GTC 45 para evitar errores de cálculo, multas de la ARL y fallos en la identificación de peligros.

Leer más...
Imagen de portada para Por qué Excel, Word y las Plantillas SG-SST ya no son útiles en 2025: Conozca la nueva era del Software SST

Por qué Excel, Word y las Plantillas SG-SST ya no son útiles en 2025: Conozca la nueva era del Software SST

Si has llegado a este artículo buscando "plantillas SG-SST en Excel" o "formato Decreto 1072 en Word", no estás solo. Durante años, los profesionales de Seguridad y Salud en el Trabajo (SST) han dependido de hojas de cálculo...

Leer más...
Imagen de portada para ATS, PTS y Permiso de Trabajo: la diferencia clara

ATS, PTS y Permiso de Trabajo: la diferencia clara

ATS, PTS y permiso de trabajo no son lo mismo. Aprende qué es cada uno, cuándo usarlos y cómo se complementan en tu SG-SST. Con tabla comparativa.

Leer más...

Asegura el cumplimiento de tu SG-SST

Con Verifty simplificas auditorías, cumples la normativa sin estrés y mantienes la trazabilidad de cada actividad de SST.

Dejanos tus datos y nos contactamos

Tus datos están seguros y encriptados.