Volver al blog
Comparativo
BowTie

BowTie fundamentos: guía clave para diagnosticar brechas

Charly Wigstrom2 de julio de 2026

Hacer diagnóstico

Evalúa el nivel de madurez de tu organización en PSM, disciplina operativa y competencias.

Algunos enlaces pueden dirigir a productos, cursos o recursos de WFS Academy.

BowTie fundamentos: guía clave para diagnosticar brechas

Cuando una planta dice “tenemos procedimientos” pero no puede demostrar qué barreras realmente evitan una pérdida de contención, el problema no es documental: es de control del riesgo. BowTie fundamentos no trata de dibujar un diagrama bonito; trata de responder una pregunta incómoda: ¿qué está evitando hoy que una amenaza termine en una consecuencia mayor, y cómo lo sabemos?

Esto importa para profesionales HSE de todos los niveles porque la mayoría de las organizaciones no falla por ausencia total de controles, sino por una combinación peligrosa de supuestos. Se asume que el mantenimiento “está al día”, que los operadores “ya conocen el riesgo”, que la alarma “seguro sonó”, o que un permiso de trabajo “equivale” a una barrera. En la práctica, los incidentes mayores suelen aparecer cuando varias defensas degradadas coinciden. Eso es precisamente lo que BowTie hace visible.

La industria tiene suficientes ejemplos para dejar de discutir si el enfoque es útil. La explosión de Texas City mostró cómo una secuencia de desviaciones operativas, diseño deficiente, control de nivel inadecuado y cultura de seguridad débil terminó en 15 muertes y más de 180 lesionados. El desastre de Deepwater Horizon dejó 11 fallecidos y una pérdida económica multibillonaria, con lecciones claras sobre barreras, verificación y decisiones bajo presión. Y en BP Texas City, la investigación de CSB mostró que no bastaba con cumplir tareas: había que entender si las barreras eran efectivas, independientes y mantenibles. BowTie nace exactamente para eso: para pasar del cumplimiento aparente al control demostrable.

En esta primera entrega de la serie BowTie aplicado: de los fundamentos a la mejora continua, el objetivo es construir una base sólida. Si aún estás armando el caso interno para implementar esta metodología, te conviene revisar también cómo implementar BowTie paso a paso en tu operación, porque ahí se aterriza la práctica. Y si ya operás con matrices, barreras y KPI, más adelante vas a querer ir a BowTie avanzado: barreras críticas y mejora continua para madurar el sistema.

Qué es BowTie y por qué cambia la conversación sobre riesgo

BowTie es una metodología visual y estructurada para analizar escenarios de riesgo mayor. Conecta una amenaza con una consecuencia a través de un evento central no deseado, y ubica en medio las barreras que previenen que la amenaza escale o mitigan sus efectos si ya ocurrió. Su valor no está solo en representar el riesgo, sino en obligarte a definir qué controla realmente el escenario, cómo falla y quién verifica su desempeño.

La lógica es simple, pero poderosa: una amenaza puede disparar el evento central; las barreras de prevención intentan impedirlo; las barreras de mitigación reducen el daño si el evento ya sucedió. Cuando esas barreras son “genéricas”, “administrativas” o no tienen dueño, el diagrama queda lindo pero inútil. BowTie exige precisión operativa.

Conceptos esenciales

Para evitar ambigüedades, conviene usar definiciones consistentes. En BowTie, una amenaza es una causa o fuente con potencial de activar el evento central. Una consecuencia es el resultado no deseado que impacta personas, activos, ambiente o continuidad operativa. Una barrera es una medida que evita, controla o reduce el impacto del escenario. Y un control crítico es una barrera cuya falla incrementa significativamente la probabilidad o severidad del evento mayor.

Esto se alinea con el lenguaje de PSM y con marcos como OSHA 1910.119, ISO 45001, CCPS y prácticas de IEC 61511 para funciones instrumentadas de seguridad. También es consistente con el enfoque de API 754, que empuja a mirar indicadores de desempeño de seguridad de procesos más allá de los rezagados. BowTie no reemplaza esos marcos; los integra de forma operacional.

Marco técnico: cómo se relacionan amenazas, barreras y controles críticos

La diferencia entre una organización madura y una reactiva no está en “tener” controles, sino en saber cuáles son críticos, cómo verificarlos y qué pasa cuando se degradan. La siguiente tabla resume el lenguaje mínimo que debería manejar cualquier equipo HSE, operación y mantenimiento.

ElementoDefinición prácticaEjemplo en plantaError común
AmenazaFuente con potencial de activar el evento centralSobrepresión por bloqueo en línea de descargaConfundir amenaza con consecuencia
Evento centralPérdida de control que separa prevención de mitigaciónRuptura de un reactor por sobrepresiónDefinir eventos demasiado genéricos
Barrera preventivaEvita que la amenaza alcance el evento centralInterlock de alta presión, procedimiento de alineaciónIncluir actividades humanas sin verificación
Barrera mitigadoraReduce el daño una vez ocurrido el evento centralVálvula de alivio, dique de contención, plan de emergenciaAsumir que una respuesta de emergencia es prevención
Control críticoBarrera cuya falla compromete el control del riesgo mayorSIS, PSV, barrera física de contenciónNombrar todo como crítico
Factor de degradaciónCondición que reduce la efectividad de la barreraPruebas vencidas, bypass, entrenamiento deficienteNo monitorear degradación en campo

BowTie funciona mejor cuando el escenario está bien seleccionado. Un error frecuente es intentar diagramar todo el universo de riesgos al mismo tiempo. Eso genera mapas inmanejables y equipos fatigados. En PSM, el foco debe estar en escenarios de pérdida de contención, liberación de energía, incendios, explosiones, toxicidad y eventos de proceso con potencial de múltiples fatalidades o impactos mayores al negocio.

También hay que distinguir entre barreras técnicas, humanas y organizacionales. Una alarma es técnica; la respuesta del operador es humana; el programa de gestión de alarmas y la competencia operacional son organizacionales. Si mezclás todo como “una barrera”, después no sabés qué verificar ni quién responde por la degradación.

Relación con PSM, LOPA y capas de protección

BowTie se parece a LOPA en que ambos miran capas de protección, pero no son lo mismo. LOPA cuantifica la reducción de riesgo de algunas capas con supuestos de independencia y probabilidad de falla. BowTie, en cambio, tiene una potencia visual y de gestión superior para comunicar escenarios, barreras, dueños y desempeño. Por eso muchas organizaciones usan BowTie como columna vertebral del sistema y LOPA para validar cuantitativamente escenarios seleccionados.

En términos de gestión, BowTie ayuda a responder cuatro preguntas que PSM exige de forma dispersa: ¿cuáles son los escenarios mayores?, ¿qué barreras los controlan?, ¿cómo sabemos si funcionan?, ¿qué hacemos cuando se degradan? Si querés profundizar en la relación entre BowTie y la madurez operativa, más adelante el artículo Errores frecuentes en PSM: diagnóstico y fundamentos clave te da un mapa útil para no confundir cumplimiento con control real.

Tabla técnica: estándares y para qué te sirven en BowTie

Estándar / guíaAporte a BowTieUso prácticoQué no hacer
OSHA PSM 1910.119Base regulatoria para gestión de riesgos de procesoSeleccionar escenarios de alto potencial y revisar integridad mecánicaUsarlo solo como checklist documental
API 754Indicadores Tier 1 a Tier 4 para seguridad de procesosVincular degradación de barreras con indicadores leadingMedir solo incidentes y pérdidas
IEC 61511Gestión del ciclo de vida de SISDefinir funciones instrumentadas como barreras críticasTratar el SIS como “caja negra”
ISO 45001Gestión sistemática de riesgos y oportunidadesIntegrar BowTie con planificación, competencia y verificaciónLimitarlo a seguridad ocupacional tradicional
CCPSBuenas prácticas y criterios de riesgo mayorElegir escenarios relevantes y definir desempeño de barrerasAplicarlo sin disciplina operativa

Casos reales: cuando las barreras existían pero no protegían

Caso 1: Texas City, una torre de destilación y múltiples fallas de barrera

Situación: en 2005, durante la puesta en marcha de una unidad en Texas City, se produjo una liberación de hidrocarburos que terminó en explosión e incendio. La secuencia incluyó sobrellenado de la torre, descarga a una pila de venteo inadecuada y acumulación de nube inflamable en una zona con personas y equipos expuestos.

Problema: no falló una sola barrera. Fallaron varias. Había instrumentos y procedimientos, pero no se aseguró su efectividad real. Se normalizaron desviaciones, hubo problemas de capacitación, alarmas y arranques, y las salvaguardas de diseño no estaban alineadas con el nivel de riesgo. El error aquí no fue “humano” en sentido aislado, sino sistémico: el sistema permitió que una tarea de arranque se desarrollara sin barreras confiables.

Consecuencia: 15 fallecidos, más de 180 heridos y una de las sanciones corporativas y reputacionales más costosas de la historia de la refinación. La investigación del CSB evidenció que el riesgo de proceso se subestimó y que el desempeño de barreras no se gestionó como debía.

Lección: BowTie hubiera obligado a preguntar qué barreras prevenían el sobrellenado, cuáles mitigaban una liberación y cómo se verificaba su disponibilidad. No alcanza con “tener procedimiento de arranque”; hay que demostrar que el procedimiento, la instrumentación, la alarma, el drenaje y la supervisión funcionan como un sistema.

Caso 2: Deepwater Horizon y la ilusión de control

Situación: en 2010, durante operaciones en la plataforma Macondo, se produjo una pérdida de control del pozo seguida de explosión e incendio. Hubo múltiples defensas técnicas y organizacionales, pero varias se encontraban degradadas, interpretadas erróneamente o sobreconfiadas por la organización.

Problema: la secuencia incluyó decisiones apresuradas, interpretación errónea de datos de presión, confianza excesiva en barreras que no se evaluaron de forma robusta y una cadena de barreras que no estaba operando con independencia ni confiabilidad suficiente. En otras palabras, existían “capas”, pero no un control verificable del escenario.

Consecuencia: 11 muertos, 17 heridos y un derrame masivo con impacto ambiental y económico de escala histórica. El costo total superó decenas de miles de millones de dólares, además del daño a la licencia social para operar.

Lección: BowTie ayuda a evitar el autoengaño. Si el equipo cree que una señal, un plan o una aprobación administrativa equivalen a una barrera crítica, el sistema se vuelve frágil. Las barreras deben tener función clara, integridad demostrable y desempeño medible.

Comenzar

Domina la metodología BowTie para gestionar riesgos de proceso con un enfoque práctico.

Algunos enlaces pueden dirigir a productos, cursos o recursos de WFS Academy.

Lecciones transversales de los casos

Los incidentes mayores rara vez aparecen porque “nadie sabía nada”. Aparecen porque la organización sabía algunas cosas, pero no distinguía entre control aparente y control efectivo. Eso se ve todos los días en plantas de químicos, minería, energía, alimentos con amoníaco y terminales de hidrocarburos: permisos bien completados, pero pruebas vencidas; procedimientos robustos, pero bypass activos; simulacros hechos, pero sin aprendizaje; mantenimiento planificado, pero no orientado a criticidad.

Si querés ver cómo llevar esta lógica al terreno sin perderte en teoría, el siguiente paso natural es cómo implementar BowTie paso a paso en tu operación. Ahí el foco pasa de “entender” a “hacer”.

Cómo diagnosticar el estado actual de tu organización

Antes de implementar BowTie, necesitás saber si la organización tiene las condiciones mínimas para sostenerlo. De lo contrario, el riesgo es convertirlo en un ejercicio de workshop que produce carteles, pero no mejora el control del riesgo. El diagnóstico no es un trámite; es el filtro que separa iniciativas de gestión real.

Una organización lista para BowTie muestra capacidad para identificar escenarios mayores, definir barreras con precisión, asignar responsables y verificar desempeño con disciplina. Una organización inmadura mezcla amenazas, causas, controles y tareas en una sola lista interminable. El resultado es confusión y falsa confianza.

Señales de alerta

  • Las barreras se describen como actividades genéricas: “capacitación”, “supervisión” o “conciencia”.
  • No existe criterio claro para decidir qué escenario es crítico y cuál no.
  • Los activos críticos no están ligados a escenarios específicos.
  • Hay evidencia documental, pero poca verificación en campo.
  • Los bypass, inhibiciones o pruebas vencidas no se escalan con rapidez.
  • Operaciones, mantenimiento y HSE usan distintos lenguajes para el mismo riesgo.
  • Los indicadores reportan resultados, pero no degradación de barreras.

Preguntas de autoevaluación por rol

Si sos director o gerente: ¿sabés cuáles son los cinco escenarios de riesgo mayor que más exposición le generan a tu negocio? ¿Podés demostrar, con evidencia, que las barreras críticas están operativas y no solo “documentadas”? ¿Tus KPI reflejan degradación real o solo accidentes pasados?

Si sos jefe de planta o supervisor: ¿Tus equipos saben reconocer cuándo una barrera está degradada? ¿Tenés criterios para priorizar acciones cuando varios hallazgos compiten por recursos? ¿El mantenimiento planificado está alineado con criticidad, o responde a la urgencia del día?

Si sos operador o técnico: ¿Sabés qué barreras protegen tu equipo de trabajo frente a una liberación de energía, producto o presión? ¿Qué hacés cuando una alarma falla, un instrumento está fuera de servicio o un procedimiento no se puede seguir tal como está escrito?

Metodología práctica para construir un buen diagnóstico

El diagnóstico BowTie se hace mejor en tres niveles: selección del escenario, validación de barreras y revisión del sistema de gestión. La idea es priorizar donde el potencial de pérdida sea alto, no donde sea más fácil dibujar. Esto evita el clásico error de dedicar meses a escenarios de baja relevancia mientras los activos críticos siguen sin una lógica de control clara.

Primero, elegí escenarios con impacto alto en personas, ambiente, activos o continuidad. Segundo, mapear amenazas, consecuencias y barreras de manera concreta. Tercero, verificar si cada barrera tiene propietario, criterio de desempeño, frecuencia de prueba y respuesta frente a degradación. Si no lo tiene, no es una barrera sólida; es una intención.

La siguiente tabla resume una ruta de implementación diagnóstica que funciona tanto para una refinería como para una planta química, una terminal de líquidos o una operación minera con sustancias peligrosas.

PasoQué hacerResultado esperadoQuick winCambio estructural
1. Seleccionar escenariosElegir 3-5 escenarios de mayor riesgo por unidadFoco en riesgos mayores realesUsar históricos, HAZOP y incidentesCriterio corporativo de priorización
2. Definir barrerasNombrar barreras específicas y verificablesLenguaje común entre áreasEliminar barreras genéricasTaxonomía única de barreras
3. Asignar dueñosDefinir responsable por barreraAccountability claroCrear matriz RACI simpleGobernanza formal de barreras críticas
4. Medir desempeñoDefinir pruebas, inspecciones y señales de degradaciónSeguimiento operativoChecklist de campoTablero con indicadores leading
5. Escalar desviacionesEstablecer reglas de acción ante fallo o bypassRespuesta rápidaNotificación inmediataIntegración con MOC y PSM

Un criterio útil para priorizar activos es combinar consecuencia potencial, frecuencia de exposición y robustez de barreras. Si un activo puede liberar energía o producto con impacto severo, opera frecuentemente y depende de pocas barreras frágiles, va primero. Esto es más inteligente que priorizar por antigüedad del equipo o por el nivel de ruido del último incidente.

Errores comunes al diagnosticar BowTie

El primer error es convertir cualquier control en una barrera. No toda capacitación es barrera; no toda inspección es control crítico. El segundo error es hacer BowTie con demasiados detalles menores y perder el foco en el evento mayor. El tercero es no incorporar degradación: una barrera que existe pero está vencida, bypassada o mal mantenida no protege igual.

Otro error frecuente es pensar que el diagnóstico sirve para “cumplir” con una iniciativa. En realidad, el diagnóstico sirve para decidir dónde invertir tiempo, talento y capital. Ahí está el vínculo con ROI: una barrera bien seleccionada y bien verificada reduce la probabilidad de pérdidas enormes, paradas no planificadas y exposición legal. Eso es gobernanza, no burocracia.

Aplicación práctica en el día a día

Para un profesional HSE, BowTie no debería ser una carpeta más. Tiene que convertirse en una herramienta de conversación operativa. En terreno, eso significa mirar un activo y preguntarte: ¿qué escenario mayor puede ocurrir aquí?, ¿qué barrera lo evita?, ¿cómo sé si está viva?, ¿qué haría si hoy falla?

En reuniones con supervisión, usalo para priorizar: si hay tres hallazgos, elegí el que degrada una barrera crítica antes que el que solo mejora apariencia. En mantenimiento, vinculá órdenes de trabajo con barreras y criticidad. En operaciones, reforzá el reconocimiento de señales de degradación: alarmas inhibidas, lecturas inestables, válvulas pegadas, procedimientos que se saltan por presión del turno.

Si sos líder HSE, tu aporte no es solo “pedir cumplimiento”, sino instalar disciplina de verificación. La cultura mejora cuando la organización ve que las barreras críticas importan más que el discurso. Y cuando necesites escalar la madurez, vas a poder apoyarte en BowTie avanzado: barreras críticas y mejora continua para pasar de diagnóstico a mejora sostenida.

FAQ sobre BowTie fundamentos

Muchas organizaciones preguntan lo mismo cuando empiezan: ¿esto reemplaza a HAZOP?, ¿sirve para todas las plantas?, ¿cómo sé si mi organización está lista?, ¿qué hago con los controles administrativos? La respuesta corta es que BowTie no reemplaza herramientas previas, sino que organiza el conocimiento en torno a escenarios mayores. La respuesta útil es que el valor aparece cuando lo conectás con decisiones operativas reales.

Si buscás una base conceptual sólida, el mejor punto de partida es seleccionar pocos escenarios relevantes y hacerlos bien. Si querés acelerar la curva de aprendizaje, el artículo de implementación te muestra el paso a paso práctico. Y si ya tenés experiencia, el siguiente nivel es gestionar criticidad y desempeño con mayor madurez.

Cierre: por qué los fundamentos importan más de lo que parece

BowTie no es una moda metodológica. Es una forma de pensar el riesgo mayor con disciplina, trazabilidad y foco en barreras que realmente protegen. Para los equipos HSE, la diferencia entre un diagrama y un sistema vivo está en el diagnóstico: saber dónde están las brechas antes de prometer una implementación completa.

Si hoy tu organización no puede responder con claridad qué escenarios mayores prioriza, qué barreras los controlan y cómo verifica su degradación, todavía está en fase fundacional. Eso no es un fracaso; es una oportunidad. Empezar por aquí evita errores caros después y prepara el terreno para una implementación ordenada.

En la próxima entrega de la serie vas a ver cómo implementar BowTie paso a paso en tu operación. Y cuando quieras ir más lejos, el artículo de BowTie avanzado: barreras críticas y mejora continua te va a mostrar cómo sostener la disciplina en el tiempo. Porque en seguridad de procesos, entender el riesgo es apenas el comienzo; controlarlo de verdad es el trabajo serio.

Esto te ayudara

Acompañamiento personalizado de Charly Wigstrom para líderes de seguridad y operaciones.

Algunos enlaces pueden dirigir a productos, cursos o recursos de WFS Academy.

Nota de transparencia: Algunos enlaces en este artículo pueden dirigir a productos, cursos o recursos de WFS Academy. Solo recomendamos recursos directamente relacionados con el tema técnico tratado.

Preguntas Frecuentes

¿BowTie reemplaza a HAZOP o LOPA?

No. BowTie no reemplaza esas herramientas; las complementa. HAZOP ayuda a identificar desviaciones y causas, LOPA puede cuantificar capas de protección seleccionadas, y BowTie organiza todo en un formato visual y operativo para gestionar escenarios mayores. En muchas plantas, BowTie funciona como el lenguaje común para conectar estudios previos con la verificación de barreras en campo.

¿Qué tipo de escenarios conviene analizar primero?

Conviene empezar por escenarios de alto potencial: pérdida de contención de sustancias peligrosas, sobrepresión, incendios, explosiones, toxicidad y eventos con potencial de múltiples lesiones o impacto ambiental significativo. No arranques por lo más fácil de mapear; arrancá por lo que más daño puede causar si el control falla. Esa priorización es clave para usar bien los recursos.

¿Una capacitación cuenta como barrera?

Puede ser parte de una barrera, pero no debería definirse sola como barrera crítica. Si la capacitación no tiene criterios de competencia, verificación, refresco y evidencia de desempeño, es una intención, no una defensa confiable. BowTie exige precisión: si no podés demostrar cómo esa medida previene o mitiga el evento, no la sobrecargues con un rol que no puede sostener.

¿Cómo sé si mi organización está lista para implementar BowTie?

Está más preparada si ya puede definir escenarios prioritarios, asignar responsables claros, distinguir barreras de actividades generales y medir degradación de controles. Si hoy todo se reporta como “cumplido” pero nadie puede decir qué barrera está vencida o degradada, todavía necesitás diagnóstico. BowTie funciona mejor cuando hay disciplina operativa mínima y voluntad de priorizar riesgos mayores.

¿Qué relación tiene BowTie con indicadores PSM?

Una relación directa. BowTie te ayuda a identificar cuáles barreras son críticas y cómo monitorear su desempeño, mientras que API 754 ofrece una lógica de indicadores Tier 1 a Tier 4 para mirar tanto resultados como señales tempranas. Si conectás BowTie con indicadores leading, podés detectar degradación antes de que aparezca un incidente. Ese es el salto de madurez que muchas plantas todavía no dan.

¿Cuál es el error más común al hacer BowTie?

El error más común es confundir controles genéricos con barreras efectivas. Después de eso, viene el problema de no definir criterios de desempeño ni responsables. Un BowTie sin verificación de campo se convierte en un dibujo. La pregunta correcta no es si el diagrama está completo, sino si realmente ayuda a prevenir una pérdida de contención o a reducir su impacto.

¿Te resultó útil este análisis?

Recibe contenido técnico exclusivo directamente