Matriz IPER y GTC 45: guía paso a paso para empresas (2026)

La matriz IPER (Identificación de Peligros, Evaluación y Valoración de Riesgos) es el documento que cada empresa colombiana debe construir bajo la GTC 45 de 2012 del ICONTEC para mapear los peligros de cada puesto de trabajo, valorar el riesgo y definir controles. Es el corazón del SG-SST y se actualiza al menos una vez al año o ante cualquier cambio significativo: nuevo proceso, nueva sede, nuevo equipo o accidente grave.

¿Qué es la GTC 45 y por qué es la guía base?

La GTC 45 es una Guía Técnica Colombiana publicada por ICONTEC en 2012 (segunda actualización). No es una norma de obligatorio cumplimiento, pero es la metodología de facto que usan ARL, inspectores y auditores en Colombia. El Decreto 1072 de 2015 y la Resolución 0312 de 2019 exigen una metodología técnicamente válida para identificar peligros — y la GTC 45 cumple esa función.

En la práctica, si su empresa no usa GTC 45 debe demostrar que su metodología alternativa cumple los mismos criterios. La mayoría de las empresas no se complica y adopta la guía directamente.

Diferencia entre peligro y riesgo (no son sinónimos)

Es la confusión más común y la que más invalida matrices:

• Peligro — fuente, situación o acto con potencial de causar daño. Ejemplo: un piso húmedo, una máquina sin guarda, un conductor que maneja 14 horas seguidas.
• Riesgo — combinación de la probabilidad de que ocurra el daño y la severidad si ocurre. El piso húmedo en una zona de alto tránsito es riesgo alto; el mismo piso en un cuarto cerrado al que nadie entra es riesgo bajo.

La matriz IPER no lista "peligros". Lista peligros valorados como riesgos. Sin valoración no hay matriz.

Los 7 pasos para construir su matriz IPER

La GTC 45 estructura el ejercicio así:

1. Definir el alcance — qué procesos, qué sedes, qué actividades cubre la matriz. Empiece por su mapa de procesos.
2. Clasificar los procesos, actividades y tareas — desglose hasta el nivel de tarea ejecutada por una persona en un tiempo específico.
3. Identificar los peligros en cada tarea, con observación directa, entrevista a trabajadores y revisión de incidentes históricos.
4. Identificar los controles existentes — fuente, medio y persona. ¿Hay guarda? ¿Hay capacitación? ¿Hay EPP?
5. Valorar el riesgo con la fórmula NR = NP × NC (ver siguiente sección).
6. Definir criterio de aceptabilidad — ¿qué nivel de riesgo es aceptable y cuál exige acción inmediata?
7. Establecer controles adicionales y plan de acción con responsables, recursos y plazos.

El producto final no es solo la matriz: es la matriz más el plan de acción priorizado.

Cómo clasificar peligros según la GTC 45

La guía agrupa los peligros en seis categorías:

• Biológicos — virus, bacterias, hongos, fluidos.
• Físicos — ruido, iluminación deficiente, vibración, temperaturas extremas, radiaciones.
• Químicos — polvos, humos, gases, vapores, líquidos.
• Biomecánicos — postura, movimiento repetitivo, manipulación manual de cargas.
• Psicosociales — gestión, características de la organización, condiciones de la tarea, jornada, interfase persona-tarea.
• Condiciones de seguridad — mecánicos, eléctricos, locativos, tecnológicos, accidentes de tránsito, públicos, trabajo en alturas, espacios confinados.

Adicionalmente, fenómenos naturales (sismo, inundación) y emergencias se documentan por separado en el plan de emergencias. Para psicosociales, recuerde aplicar la Batería del Mintrabajo según la Resolución 2764.

Cómo valorar el riesgo: la fórmula NR = NP × NC

La GTC 45 usa cuatro variables:

• ND (Nivel de Deficiencia): qué tan deficiente son los controles actuales — Muy alto (10), Alto (6), Medio (2), Bajo (0).
• NE (Nivel de Exposición): cuánto tiempo se está expuesto — Continua (4), Frecuente (3), Ocasional (2), Esporádica (1).
• NP (Nivel de Probabilidad): NP = ND × NE.
• NC (Nivel de Consecuencia): qué tan grave es el daño potencial — Mortal (100), Muy Grave (60), Grave (25), Leve (10).

El Nivel de Riesgo final (NR) = NP × NC. El resultado se compara contra rangos predefinidos para clasificarlo en cuatro categorías: I (no aceptable), II (aceptable con control específico), III (mejorable), IV (aceptable).

Ejemplo concreto: trabajo en alturas con arnés en buen estado y certificación vigente — ND medio (2), NE frecuente (3), NC muy grave (60). NP = 6, NR = 360. Riesgo nivel II: aceptable con control específico (autorización por trabajos, supervisión, certificación renovada).

Jerarquía de controles: del más al menos efectivo

La GTC 45 obliga a aplicar los controles en este orden de prioridad:

1. Eliminación — quitar el peligro de raíz. Un proceso manual peligroso se elimina automatizándolo.
2. Sustitución — reemplazar por algo menos peligroso. Cambiar un químico tóxico por uno menos agresivo.
3. Controles de ingeniería — guardas, ventilación, aislamiento, automatización.
4. Controles administrativos — procedimientos, capacitación, señalización, rotación de turnos.
5. Equipo de protección personal (EPP) — el último recurso, no el primero.

Una matriz que solo lista EPP como control evidencia que la empresa no ha pensado el problema. Las auditorías serias detectan eso de inmediato.

Errores que invalidan la matriz IPER en una auditoría

Las cinco fallas que más vemos:

• Matriz copiada de otra empresa — peligros que no aplican y peligros propios que no aparecen. Una imprenta no comparte los peligros de una constructora.
• Lista de peligros sin valoración — solo decir que "hay ruido" no es matriz IPER.
• No incluir contratistas y temporales — la GTC 45 exige cubrir a toda persona que trabaja en sus instalaciones.
• Sin firma del responsable — la matriz debe estar firmada por quien la elaboró (responsable SST con licencia) y aprobada por la alta dirección.
• Sin actualización — una matriz de 2022 en una empresa que cambió de sede en 2024 está desactualizada de oficio.

Cómo automatizar la matriz IPER con IA

Hoy la IA puede acelerar partes del proceso (no reemplazarlo):

• Generar borradores de matriz desde descripciones de cargo, que el responsable SST ajusta.
• Cruzar incidentes históricos contra la matriz para detectar peligros no identificados.
• Mantener versionamiento, revisiones programadas y alertas de actualización.
• Sugerir controles según jerarquía cuando el responsable carga un nuevo peligro.

El responsable SST sigue siendo el dueño del documento — pero pasa de hacer trabajo mecánico a hacer trabajo de criterio. Conozca nuestro servicio de SST con IA o vea más casos de uso de IA en SG-SST.

Preguntas frecuentes

Fuentes: ICONTEC, Guía Técnica Colombiana GTC 45 (2012, segunda actualización) — tienda.icontec.org; Decreto 1072 de 2015, Libro 2 Parte 2 Título 4 Capítulo 6; Resolución 0312 de 2019 (Mintrabajo); ISO 45001:2018 sobre sistemas de gestión de SST. Documento informativo; la matriz IPER de su empresa debe ser elaborada por un profesional con licencia vigente.