Volver al blog
Comparativo
BowTie

Bowtie ICMM fundamentos riesgos críticos: guía y diagnóstico

Charly Wigstrom10 de julio de 2026

hacer un diagnóstico digital de madurez HSE

Evalúa el nivel de madurez de tu organización en PSM, disciplina operativa y competencias.

Algunos enlaces pueden dirigir a productos, cursos o recursos de WFS Academy.

Bowtie ICMM fundamentos riesgos críticos: guía y diagnóstico

Si hoy tu planta tiene matrices de riesgo, procedimientos y auditorías, pero aun así sigues viendo casi accidentes, desvíos repetitivos o controles críticos que no se sostienen en campo, el problema no suele ser “falta de normas”. El problema suele ser que la organización no está gestionando sus riesgos críticos con una lógica de barreras verificables. Bowtie, dentro del enfoque ICMM, existe justamente para cerrar esa brecha: conectar el peligro, los eventos no deseados, las barreras preventivas y mitigadoras, y la evidencia de desempeño que demuestra si el sistema realmente protege a las personas, los activos y la continuidad operacional.

En esta etapa fundacional, el valor no está en dibujar un diagrama bonito. El valor está en diagnosticar si tu sistema HSE sabe responder tres preguntas básicas: qué riesgo crítico querés controlar, qué barreras dependen de vos y cómo comprobás que siguen vivas. Ese diagnóstico importa para directores, mandos medios y operadores por igual, porque la falla rara vez ocurre solo por error humano; ocurre cuando el sistema no define bien el peligro, no prioriza las barreras y no monitorea su degradación. Por eso este artículo te da fundamentos, criterios de diagnóstico y un marco práctico para saber dónde estás parado antes de pasar a la implementación Bowtie paso a paso en riesgos críticos. Y si después querés ir más lejos, la madurez no termina en construir el Bowtie: sigue en la disciplina de aprendizaje y control que veremos en Bowtie avanzado: mejora continua y lecciones ICMM.

¿Qué problema resuelve Bowtie ICMM fundamentos riesgos críticos?

Bowtie ICMM fundamentos riesgos críticos resuelve un problema muy concreto: traduce riesgos complejos en una estructura operativa donde se ve con claridad qué puede salir mal, qué barreras lo evitan, qué mitigaciones limitan el daño y cómo se comprueba su efectividad. ICMM, a través de sus guías de Critical Control Management, empuja a las mineras y a otras industrias de alto riesgo a dejar atrás el enfoque documentalista y pasar a una gestión basada en controles críticos verificables.

En términos simples, Bowtie responde a una pregunta que muchas organizaciones nunca terminan de contestar bien: “si mañana ocurre el peor escenario creíble, ¿qué barreras deberían detenerlo o reducirlo, y cómo sé que esas barreras están funcionando hoy?”. Esa pregunta es más poderosa que una matriz 5x5 porque obliga a separar causas, consecuencias, barreras y factores de degradación. También obliga a definir responsabilidades, desempeño esperado y evidencia de control.

Definición operativa de Bowtie

Bowtie es una metodología visual y analítica para modelar riesgos que muestra, en un solo esquema, las amenazas que pueden activar un evento crítico y las consecuencias que podrían derivarse de él. En el centro está el “evento top” o pérdida de control, y a ambos lados se ubican las barreras preventivas y mitigadoras. Esta lógica es especialmente útil para riesgos mayores, porque no se centra solo en la probabilidad numérica, sino en la integridad del sistema que debe evitar el accidente.

¿Cómo se relaciona con ICMM?

ICMM promueve una gestión de riesgos críticos basada en controles críticos: aquellos controles cuya falla puede llevar directamente a una fatalidad, un evento de alto potencial o una pérdida mayor. Bowtie es una herramienta natural para ese enfoque porque permite identificar esos controles, clasificarlos, asignarles desempeño esperado y monitorearlos. En otras palabras: Bowtie da estructura; ICMM da la disciplina de gestión.

¿Por qué los riesgos críticos requieren una lógica de barreras?

Porque en riesgos críticos no alcanza con “cumplir” en papel. Un riesgo crítico es aquel cuya materialización puede producir consecuencias severas, como fatalidades, liberaciones mayores, incendios, explosiones, colapsos, atrapamientos, liberaciones tóxicas o eventos de proceso de gran magnitud. En esos escenarios, una sola falla rara vez explica el accidente. Lo que suele ocurrir es una alineación de debilidades: diseño insuficiente, mantenimiento atrasado, procedimiento ambiguo, supervisión débil, competencia incompleta, alarmas desbordadas o presión operativa.

La lógica de barreras sirve para romper esa alineación. Una barrera es cualquier medida que previene un evento o mitiga su consecuencia. Puede ser física, humana, tecnológica, administrativa o basada en gestión. Pero no todas las barreras valen lo mismo: una barrera crítica debe ser específica, independiente, verificable y resistente a la degradación. Esto es coherente con estándares como OSHA PSM 1910.119, IEC 61511 para SIS, ISO 45001 para sistemas de gestión, y con la lógica de seguridad de procesos de CCPS.

ConceptoQué significaEjemplo industrialRiesgo de mala práctica
PeligroFuente con capacidad de causar dañoAmoníaco anhidro a presiónConfundir peligro con evento
Evento TopPérdida de control que inicia la secuenciaFuga significativa en línea de procesoDefinir eventos demasiado genéricos
Barrera preventivaControl que evita que ocurra el evento topVálvula de alivio, interlock, procedimiento de cargaListar controles sin verificar desempeño
Barrera mitigadoraControl que reduce la severidadDetección de gas, ESD, plan de respuestaAsumir que existe solo por estar documentado
Factor de degradaciónCondición que debilita una barreraFalta de calibración, bypass, fatiga, obsolescenciaNo monitorear degradación

El aporte de Bowtie es obligarte a gestionar la secuencia completa. Si una planta tiene detectores de gas pero no los prueba, tiene una barrera “en teoría”, no una barrera en servicio. Si un operador conoce el procedimiento pero el procedimiento no está alineado con la condición real del campo, la barrera humana existe solo en el organigrama, no en el sistema.

¿Cómo diagnosticar la madurez actual del sistema HSE?

Diagnosticar madurez no es hacer una auditoría decorativa. Es medir qué tan capaz es tu organización de identificar riesgos críticos, definir barreras, verificar su efectividad y actuar antes de que una degradación se convierta en evento mayor. En una organización madura, el Bowtie no es un archivo muerto: es una herramienta viva de gobernanza operativa.

Un diagnóstico serio debería evaluar al menos cinco dimensiones: claridad del riesgo crítico, calidad del diseño de barreras, evidencia de desempeño, integración con mantenimiento y operación, y disciplina de seguimiento gerencial. Si una de esas dimensiones falla, el sistema se vuelve reactivo.

Dimensión de madurezEstado bajoEstado medioEstado alto
Identificación de riesgos críticosLista amplia y genéricaPriorización parcialTop eventos definidos y acordados por operación, HSE y mantenimiento
Gestión de barrerasControles sin dueño ni criterioAlgunos controles críticos definidosBarreras críticas con estándar de desempeño y verificación en campo
SeguimientoIndicadores rezagadosRevisión mensual sin análisis causalMonitoreo de estado de barreras y acciones por degradación
GobernanzaResponsabilidad difusaComités parcialesEscalamiento claro y decisiones ejecutivas
CulturaSe prioriza producción sobre controlMensajes mixtosLa producción se gestiona dentro del control del riesgo

Para directores, la madurez se ve en el tablero: menos sorpresas, menos eventos de alto potencial, mejores decisiones de capital y mantenimiento. Para mandos medios, se ve en la calidad de las verificaciones y en la capacidad de cerrar brechas antes del incidente. Para operadores, se ve en algo más concreto: saber exactamente qué control no puede fallar, qué hacer si falla y a quién escalar.

¿Qué dicen los estándares y regulaciones relevantes?

Los marcos más útiles para este tema no compiten entre sí; se complementan. OSHA PSM 1910.119 exige gestión de procesos con integridad mecánica, capacitación, procedimientos, análisis de peligros y cambio. IEC 61511 se enfoca en sistemas instrumentados de seguridad y la necesidad de definir niveles de integridad, pruebas y mantenimiento. ISO 45001 pide liderazgo, participación de trabajadores, gestión de riesgos y mejora continua. CCPS aporta la lógica de capas de protección, desempeño y verificación.

ICMM, por su parte, empuja a seleccionar riesgos fatales o de alto potencial y a tratarlos con controles críticos robustos. El mensaje de fondo es el mismo en todas las fuentes: no basta con tener controles; hay que demostrar que siguen siendo efectivos. Ese cambio de paradigma es lo que convierte a Bowtie en una herramienta de gestión, no solo de documentación.

Análisis profundo con casos reales

Caso 1: Deepwater Horizon y la cascada de barreras degradadas

Situación: En abril de 2010, la plataforma Deepwater Horizon explotó en el Golfo de México tras un pozo fuera de control. El evento dejó 11 fallecidos, múltiples heridos y una de las mayores catástrofes ambientales de la historia industrial moderna. El accidente involucró fallas en barreras técnicas, decisiones operativas, interpretación de pruebas de presión y gestión de la incertidumbre.

Problema: No falló una sola barrera. Falló el sistema para reconocer que varias barreras críticas estaban degradadas o eran insuficientes: cementación deficiente, lectura errónea de pruebas, alarmas no tratadas y una cultura de toma de decisiones bajo presión. En lenguaje Bowtie, el evento top fue la pérdida de control del pozo, y múltiples barreras preventivas no resistieron la secuencia.

Consecuencia: Explosión, incendio, fatalidades y un costo económico y reputacional multimillonario. El caso evidenció que una organización puede tener procedimientos, equipos y expertos, pero aun así carecer de una visión integrada de barreras vivas.

Lección: Bowtie obliga a ver la causalidad completa. Si la organización solo revisa cumplimiento documental, pierde la degradación acumulada. Para un sistema maduro, cada barrera debe tener dueño, criterio de desempeño y verificación independiente.

Caso 2: explosion en la refinería BP Texas City

Situación: En 2005, la refinería BP Texas City sufrió una explosión durante el arranque de una unidad de isomerización. El evento provocó 15 muertes y más de 170 heridos. Investigaciones posteriores mostraron fallas severas en entrenamiento, gestión de cambios, alarmas, instrumentación, procedimientos y cultura de seguridad de procesos.

Problema: El sistema toleró repetidas desviaciones y normalización del desvío. Varios indicadores de degradación ya existían: equipos inadecuados, prácticas inseguras, sobrecarga de trabajo y ausencia de prioridades claras entre producción y seguridad. No faltaba información; faltaba integración y acción.

Consecuencia: Una liberación de hidrocarburos seguida de ignición y explosión masiva. Además del impacto humano, el caso mostró que los indicadores lagging llegaron tarde: cuando aparecieron los datos del accidente, ya era demasiado tarde para evitar el daño.

Lección: Bowtie y la lógica de barreras ayudan a convertir señales débiles en decisiones fuertes. No esperes al TRIR o al reporte de accidente para descubrir que una barrera está rota. El monitoreo debe anticipar el evento, no documentarlo después.

gestionar riesgos con BowTie de forma práctica

Domina la metodología BowTie para gestionar riesgos de proceso con un enfoque práctico.

Algunos enlaces pueden dirigir a productos, cursos o recursos de WFS Academy.

¿Qué nos enseñan estos casos sobre gestión de riesgos críticos?

Ambos casos muestran algo incómodo: la mayoría de los accidentes mayores no se explican por un único acto inseguro. Se explican por una cadena de decisiones, debilidades organizacionales y barreras que dejaron de ser confiables. Esa es justamente la razón por la que Bowtie es más útil que un listado de causas: permite representar la lógica real del accidente y gestionar las defensas antes del desastre.

Además, ambos casos refuerzan una idea clave para HSE: el error humano no se corrige con sermones. Se controla con diseño, supervisión, competencia, carga de trabajo adecuada y barreras robustas. El sistema debe asumir que las personas se equivocan, se distraen, se fatigan y se adaptan. La pregunta correcta no es “¿por qué falló la persona?”, sino “¿qué permitió que una falla humana llegara hasta la consecuencia?”.

Diagnóstico: señales de alerta y autoevaluación

Si querés saber si tu organización está lista para trabajar con Bowtie ICMM fundamentos riesgos críticos, mirá estas señales de alerta. Si aparecen varias al mismo tiempo, tu madurez aún está en una fase inicial o intermedia.

  • Tenés una matriz de riesgos extensa, pero no podés nombrar los 5 riesgos críticos principales por proceso.
  • Las barreras existen en documentos, pero no tienen criterio de desempeño ni frecuencia de verificación.
  • Las acciones correctivas se cierran por evidencia administrativa, no por control real del riesgo.
  • Mantenimiento, operaciones y HSE no comparten la misma definición de control crítico.
  • Los indicadores que más se miran son rezagados: TRIR, días sin accidentes o incidentes reportables.
  • Los permisos de trabajo, LOTO, espacio confinado o energía peligrosa se tratan como trámites, no como barreras.
  • Las desviaciones repetidas se normalizan porque “nunca pasó nada”.

Preguntas de autoevaluación para directores: ¿Puedo demostrar que conozco mis riesgos fatales con evidencia y no solo con percepción? ¿Tengo un tablero de controles críticos que me permite decidir inversión y priorización? ¿Sé qué barreras se degradan más y por qué?

Preguntas para mandos medios: ¿Las barreras críticas tienen dueño, frecuencia de prueba y criterio de aceptación? ¿Estoy revisando condiciones reales de campo o solo cumpliendo checklists? ¿Escalo degradaciones de forma oportuna?

Preguntas para operadores: ¿Sé cuáles son los controles que no pueden fallar en mi tarea? ¿Puedo reconocer una condición degradada antes de que sea tarde? ¿Tengo autoridad y respaldo para detener o escalar una tarea insegura?

¿Cómo se construye un diagnóstico útil antes de implementar?

Antes de implementar Bowtie, conviene hacer un diagnóstico corto pero serio. El objetivo no es producir un informe elegante, sino identificar brechas reales entre el riesgo que decís gestionar y el riesgo que efectivamente controlás. Ese diagnóstico te prepara para la implementación posterior y evita que el Bowtie se convierta en un ejercicio académico.

  1. Seleccioná el riesgo crítico: elegí un evento de alto potencial con consecuencia severa y posibilidad real de control por barreras.
  2. Definí el evento top: formulalo como pérdida de control, no como consecuencia final.
  3. Listá amenazas y consecuencias: separá causas de efectos, evitando mezclar factores humanos con fallas técnicas sin orden lógico.
  4. Identificá barreras existentes: clasificá cuáles previenen y cuáles mitigan.
  5. Asigná estándares de desempeño: especificá qué significa que la barrera esté “apta”.
  6. Verificá evidencia: inspecciones, pruebas, simulacros, calibraciones, competencias, mantenimientos, observaciones en campo.
  7. Detectá degradación: buscá fallas recurrentes, bypass, alarmas fuera de servicio, entrenamiento deficiente o sobrecarga operativa.
PasoPregunta claveEntregableResponsable típico
Selección del riesgo¿Cuál es el evento de mayor potencial?Lista priorizada de riesgos críticosGerencia HSE + Operaciones
Definición del evento top¿Qué pérdida de control queremos evitar?Declaración clara del evento topIngeniería de procesos + Operaciones
Mapa de barreras¿Qué previene y qué mitiga?Bowtie baseEquipo multidisciplinario
Verificación de desempeño¿Cómo sé que la barrera funciona?Criterios y pruebasMantenimiento + HSE
Seguimiento¿Qué hago cuando se degrada?Tablero de accionesLiderazgo operativo

Quick win: empezar por un solo riesgo crítico y 3 a 5 barreras clave. Cambio estructural: integrar el Bowtie al sistema de MOC, mantenimiento, capacitación, inspecciones y revisión gerencial. Si queda aislado, fracasa.

¿Cómo aplicar esto en el día a día de HSE, operaciones y liderazgo?

En el día a día, Bowtie sirve para tomar mejores decisiones, no para producir más documentos. En planta, te ayuda a revisar si una tarea está sosteniendo sus barreras críticas. En supervisión, te ayuda a priorizar desviaciones que sí importan. En dirección, te ayuda a decidir dónde invertir cuando el presupuesto no alcanza para todo.

Para HSE, una herramienta útil es el “check de barreras” en caminatas de campo: identificar la barrera, su condición observable y la evidencia de desempeño. Para operaciones, sirve el enfoque de “si esta barrera falla, ¿qué pasa después?”. Para mantenimiento, la clave es conectar la criticidad del activo con el riesgo crítico que protege. Esto evita la trampa de mantener equipos por rutina y no por riesgo.

También conviene usar lenguaje común. No digas solo “desviación”; decí qué barrera se degradó. No digas solo “acción pendiente”; decí qué consecuencia podría materializarse si no se corrige. Ese cambio lingüístico mejora la calidad de la gestión.

Si tu organización está en etapa inicial, un método paso a paso para implementar Bowtie te va a ayudar a aterrizar esta lógica en procesos reales. Y si ya estás usando Bowtie, el siguiente nivel es pasar del diagrama al aprendizaje organizacional, algo que profundizamos en Bowtie avanzado: mejora continua y lecciones ICMM.

FAQ

¿Bowtie reemplaza a la matriz de riesgos?

No. Bowtie no reemplaza la matriz de riesgos; la complementa. La matriz sirve para priorizar y comunicar de forma simple, pero Bowtie sirve para entender la lógica causal del riesgo crítico y gestionar barreras concretas. En industrias de alto riesgo, la matriz suele quedarse corta porque no muestra cómo se evita el evento ni cómo se verifica el control. Bowtie agrega trazabilidad, responsabilidad y evidencia operativa.

¿Cuándo conviene usar Bowtie?

Conviene usarlo cuando el riesgo tiene consecuencias severas y múltiples controles que dependen de distintas áreas. Es especialmente útil en procesos con energías peligrosas, sustancias inflamables o tóxicas, equipos presurizados, izaje, espacios confinados, minería, petróleo, gas, química y energía. Si el riesgo puede matar, parar una planta o liberar un evento mayor, Bowtie tiene mucho valor.

¿Qué es un control crítico en la práctica?

Un control crítico es una barrera cuya falla puede llevar directamente a una consecuencia grave, y por eso necesita estándar de desempeño, verificación y seguimiento. No todo control es crítico. Un EPP, por ejemplo, puede ser importante, pero no siempre es la última línea antes de la fatalidad. La clave es evaluar si el control realmente separa el peligro de la consecuencia y si su degradación eleva significativamente el riesgo.

¿Qué señales muestran que una organización está madura?

Una organización madura tiene riesgos críticos definidos, barreras con dueño, pruebas y criterios claros, indicadores de degradación, escalamiento efectivo y liderazgo que toma decisiones sobre evidencia. También muestra coherencia entre lo que dice la política y lo que pasa en campo. Si los supervisores, operadores y gerentes usan el mismo lenguaje sobre barreras, la madurez ya empezó a aparecer.

¿Cómo se relaciona Bowtie con el error humano?

Bowtie ayuda a tratar el error humano como parte del sistema, no como culpa individual. Las personas fallan más cuando el sistema las expone a presión de tiempo, ambigüedad, fatiga, multitarea o procedimientos poco prácticos. Bowtie permite identificar qué barreras humanas existen, cómo se degradan y qué salvaguardas de diseño, supervisión y competencia reducen la probabilidad de que una falla humana llegue a una consecuencia mayor.

¿Qué pasa si tengo muchas acciones y pocos recursos?

Entonces Bowtie ayuda a priorizar. No todo debe resolverse al mismo tiempo. Primero hay que proteger las barreras que sostienen los escenarios de mayor potencial. Un diagnóstico bien hecho te permite distinguir entre mejoras cosméticas y cambios que realmente reducen riesgo. Eso tiene un impacto directo en seguridad, continuidad operacional y uso eficiente del presupuesto.

Cierre: por qué este fundamento cambia la conversación

La mayoría de las organizaciones no fracasan por falta de buenas intenciones. Fracasan porque confunden gestión de seguridad con acumulación de documentos, indicadores rezagados y acciones aisladas. Bowtie, dentro del enfoque ICMM, cambia esa conversación: te obliga a pensar en riesgo crítico, barreras y evidencia. Y cuando eso se hace bien, la seguridad deja de ser un discurso y se convierte en un sistema verificable.

Este artículo es el punto de partida de la serie porque define el problema, el lenguaje y el diagnóstico. A partir de acá, la conversación puede avanzar hacia la construcción práctica de diagramas, controles y seguimiento real en campo, tal como veremos en Implementación Bowtie paso a paso en riesgos críticos. Después, el verdadero desafío es sostener el sistema en el tiempo, integrar lecciones aprendidas y escalar la madurez, que es justo lo que desarrolla Bowtie avanzado: mejora continua y lecciones ICMM.

Si querés una conclusión simple y citables: un Bowtie bien usado no es un dibujo, es una forma de gobernar el riesgo crítico con disciplina operacional. Y esa diferencia, en una planta industrial, puede separar una desviación controlada de un accidente mayor.

recibir mentoría para liderar la implementación

Acompañamiento personalizado de Charly Wigstrom para líderes de seguridad y operaciones.

Algunos enlaces pueden dirigir a productos, cursos o recursos de WFS Academy.

Nota de transparencia: Algunos enlaces en este artículo pueden dirigir a productos, cursos o recursos de WFS Academy. Solo recomendamos recursos directamente relacionados con el tema técnico tratado.

Preguntas Frecuentes

¿Bowtie reemplaza a la matriz de riesgos?

No. Bowtie complementa a la matriz de riesgos porque agrega la lógica causal de amenazas, evento top, barreras y consecuencias. La matriz ayuda a priorizar, pero Bowtie ayuda a entender cómo se controla realmente un riesgo crítico. En industrias de alto riesgo, esta diferencia es clave para pasar de la percepción general a la gestión verificable.

¿Cuándo conviene usar Bowtie?

Conviene usarlo cuando el riesgo puede generar fatalidades, pérdidas mayores, incendios, explosiones, liberaciones tóxicas o paradas severas de planta. También es útil cuando existen múltiples controles repartidos entre áreas y necesitás integrar operación, mantenimiento, ingeniería y HSE en una sola lógica de control.

¿Qué es una barrera crítica?

Una barrera crítica es un control cuya falla puede permitir que el evento top llegue a una consecuencia grave. Por eso no alcanza con que exista en un procedimiento; debe tener estándar de desempeño, responsable, verificación y seguimiento. Si no se puede demostrar su efectividad, la barrera es solo nominal.

¿Cómo se diagnostica la madurez del sistema HSE?

La madurez se diagnostica evaluando si la organización identifica bien sus riesgos críticos, define barreras relevantes, verifica su desempeño y corrige degradaciones a tiempo. También importa si la información llega a la dirección y se convierte en decisión. Sin esa cadena, el sistema es reactivo y depende demasiado de la suerte o de personas puntuales.

¿Qué brechas son más comunes en una planta?

Las brechas típicas son controles sin dueño, barreras sin criterio de aceptación, verificación insuficiente, mala integración con mantenimiento y procedimientos que no reflejan la realidad del campo. Otra brecha frecuente es depender de indicadores rezagados, como TRIR, en lugar de monitorear el estado real de las barreras críticas.

¿Bowtie sirve para operadores o solo para gerentes?

Sirve para ambos. Para gerencia, Bowtie ordena gobernanza y priorización. Para mandos medios, ayuda a supervisar y escalar degradaciones. Para operadores, traduce el riesgo en acciones concretas: qué control no puede fallar, qué hacer si falla y cuándo detener o escalar una tarea insegura.

¿Qué debo hacer antes de implementar Bowtie?

Primero definí el riesgo crítico principal, elegí el evento top, mapeá amenazas y consecuencias, e identificá las barreras existentes. Después verificá si esas barreras tienen dueño, estándar de desempeño y evidencia real de funcionamiento. Ese diagnóstico previo evita que Bowtie se convierta en un ejercicio teórico sin impacto en el terreno.

¿Te resultó útil este análisis?

Recibe contenido técnico exclusivo directamente