Volver al blog
Comparativo
BowTie

BowTie paso a paso: guía práctica para implementarlo

Charly Wigstrom27 de junio de 2026

Evaluá si tu organización está lista para BowTie

Evalúa el nivel de madurez de tu organización en PSM, disciplina operativa y competencias.

Algunos enlaces pueden dirigir a productos, cursos o recursos de WFS Academy.

BowTie paso a paso: guía práctica para implementarlo

En plantas de proceso, los incidentes raramente nacen de una sola falla. En Texas City 2005, un arranque mal controlado terminó en 15 muertes y más de 180 heridos; en Buncefield 2005, un sobrellenado liberó una nube de vapor que destruyó 20 tanques y costó cerca de £1.000 millones. El patrón es incómodo pero repetido: cuando el control se degrada, la organización cree tener barreras que en realidad nadie validó. Por eso el BowTie paso a paso no debería ser un ejercicio de dibujo, sino una secuencia ordenada para construir un modelo confiable, verificable y útil para supervisores y profesionales HSE.

Si venís del artículo de fundamentos, ya tenés claro qué es un evento superior, una amenaza, una consecuencia y una barrera. Si todavía no cerraste ese diagnóstico, te conviene leer antes BowTie: fundamentos, diagnóstico y estado actual en HSE, porque un BowTie mal diagnosticado solo produce una falsa sensación de control. Este artículo, en cambio, te muestra cómo pasar del concepto al trabajo real: seleccionar el evento correcto, identificar amenazas creíbles, validar barreras y armar un formato operativo que pueda usarse en taller, en campo y en la supervisión diaria.

La diferencia importa porque HSE y supervisión no necesitan un póster más en la pared. Necesitan una herramienta que ayude a priorizar, conversar y verificar controles críticos. Cuando el BowTie se integra con permisos de trabajo, mantenimiento, gestión del cambio y disciplina operativa, deja de ser una figura estática y se convierte en una forma de pensar el riesgo. Y ese cambio es el puente natural hacia BowTie avanzado: mejora continua e integración con HSE, donde el modelo empieza a medir desempeño, actualizarse con datos y evolucionar con la operación.

BowTie paso a paso: por qué falla cuando se improvisa

Muchísimas organizaciones dicen que “tienen BowTie”, pero en realidad tienen un gráfico incompleto. El problema no es estético; es metodológico. Si el evento superior se define mal, las amenazas se vuelven genéricas. Si las barreras se nombran sin criterio, aparecen controles repetidos, vagos o imposibles de verificar. Y si no hay dueños, frecuencias de prueba ni criterios de rendimiento, el modelo sirve para una auditoría, pero no para reducir riesgo.

Un BowTie confiable se construye con la misma lógica con la que se diseña un sistema de protección: primero el riesgo, después la función, después la prueba. Esto es consistente con el enfoque de OSHA PSM 29 CFR 1910.119 para procesos altamente peligrosos, con las capas de protección de CCPS, con la lógica de instrumentación de seguridad de IEC 61511, con la gestión por desempeño de ISO 45001 y con el uso de indicadores de API 754 para observar la salud del sistema de seguridad de procesos.

“Un BowTie no vale por lo que se ve, sino por lo que permite decidir antes de que ocurra el evento.”

Desde la perspectiva de supervisores y HSE, el valor está en que el método ordena la conversación. Qué amenaza es real, cuál barrera está degradada, qué control depende de personas, qué control depende de ingeniería y cuál simplemente no existe. Esa discusión, bien hecha, evita que la seguridad quede reducida a capacitación genérica o a un checklist de cumplimiento que no cambia el riesgo real.

Enfoque tradicionalBowTie operativoRiesgo de quedarse en lo superficial
Hacer el diagrama después del incidente o por exigencia de auditoríaConstruirlo antes, con datos de incidentes, HAZOP, MOC y observación en campoSe documenta el pasado, no se controla el futuro
Nombrar barreras como “capacitación”, “procedimiento” o “supervisión”Definir funciones concretas, requisitos de desempeño y responsableNo se puede verificar si realmente funcionan
Listar todas las causas posiblesPriorizar amenazas creíbles y relevantes para el evento superior elegidoEl taller se vuelve infinito y pierde foco
Usar el BowTie como presentaciónUsarlo como herramienta de decisión para campo, permisos y mantenimientoQueda decorativo y no cambia conductas

Contexto y marco técnico para construir un BowTie confiable

El BowTie funciona porque traduce un problema complejo en una estructura entendible: a la izquierda están las amenazas que pueden llevarte al evento superior; a la derecha, las consecuencias que pueden desplegarse si el control se pierde. En el medio, las barreras preventivas y mitigadoras. Pero ese esquema solo es útil si cada parte se define con precisión operacional, no con lenguaje ambiguo.

Para profesionales HSE y supervisores, la clave es separar tres cosas: estructura, desempeño y gobierno. La estructura es el diagrama. El desempeño es si la barrera realmente cumple su función con la frecuencia y capacidad necesarias. El gobierno es quién la mantiene, quién la prueba, quién la actualiza y qué hace la organización cuando la barrera falla o queda degradada.

Los marcos técnicos ayudan a no improvisar. OSHA PSM 1910.119 exige gestión de integridad mecánica, procedimientos, capacitación, MOC e investigación de incidentes. IEC 61511 aporta el criterio para funciones instrumentadas de seguridad, su independencia, pruebas y ciclo de vida. ISO 45001 refuerza el enfoque de riesgo, liderazgo y mejora. API 754 permite mirar indicadores líderes y rezagados de seguridad de procesos para saber si el sistema se está debilitando antes del accidente. Y CCPS aporta la lógica de capas de protección, que en la práctica conversa muy bien con BowTie.

Elemento del BowTieQué debe responderEvidencia mínimaError frecuente
Evento superior¿Qué pérdida de control exacta estamos modelando?Definición operacional, límites claros, condición de bordeConvertirlo en consecuencia (“explosión”, “derrame”, “muerte”)
Amenaza¿Qué puede hacer que ocurra el evento superior?Datos de incidentes, HAZOP, observación de tareas, historial de fallasListar causas irrelevantes o demasiado genéricas
Barrera preventiva¿Qué evita que la amenaza llegue al evento superior?Diseño, procedimiento, alarma, enclavamiento, competencia verificadaNombrarla sin validar disponibilidad, independencia o prueba
Barrera mitigadora¿Qué reduce el daño si el evento superior ya ocurrió?Plan de respuesta, supresión, contención, evacuación, alivioSuponer que “emergencia” es una barrera concreta
Requisito de desempeño¿Cómo sabemos que la barrera sigue funcionando?Frecuencia de prueba, tolerancia, capacidad, indicadoresEvaluar solo existencia documental

Acá conviene hacer una aclaración incómoda: no todo control merece llamarse barrera. En muchos talleres aparece la palabra “procedimiento” como si fuera una garantía. Pero un procedimiento sin entrenamiento, sin supervisión de campo y sin verificación de adherencia no es una barrera sólida; es una esperanza escrita. El enfoque BowTie obliga a distinguir entre controles de papel y controles que realmente reducen el riesgo.

También conviene pensar en la relación entre BowTie y el sistema de gestión. Un BowTie aislado no cambia nada. Uno integrado sí. Por ejemplo, si el BowTie muestra que la barrera crítica es una válvula de alivio, entonces mantenimiento, inspección, repuestos, pruebas y gestión del cambio deben alinearse. Si la barrera es una verificación humana, entonces importa la competencia operacional, la carga de trabajo, el diseño del turno y la calidad de la comunicación. Eso es disciplina operativa aplicada al riesgo.

Análisis profundo con casos reales

Caso 1: BP Texas City, 2005

Situación: Durante el arranque de la unidad de isomerización, el raffinate splitter se sobrellenó y liberó hidrocarburos a través del sistema de venteo. El arranque se hizo con equipos y prácticas degradadas, y con una cultura donde las desviaciones ya se habían vuelto normales. El incidente dejó 15 fallecidos y más de 180 heridos.

Problema: El evento superior no estaba suficientemente explicitado como pérdida de contención durante arranque con energía y nivel fuera de control. Si el BowTie se hubiera construido con rigor, la organización habría visto que varias barreras eran frágiles: medición de nivel poco confiable, disposición inadecuada del venteo, prácticas de arranque débiles y supervisión insuficiente. El problema no era solo técnico; era sistémico.

Consecuencia: Además de las víctimas, el impacto corporativo fue enorme. Se estimaron pérdidas superiores a US$ 1.000 millones, sin contar costos legales, reputacionales y regulatorios. OSHA publicó hallazgos severos sobre fallas de gestión de seguridad de procesos. El caso se volvió un ejemplo clásico de cómo un sistema puede aparentar control mientras acumula degradación.

Lección: El BowTie no debía terminar en “arranque peligroso”. Debía describir amenazas concretas, como instrumento de nivel degradado, condiciones de inicio fuera de especificación, y decisiones operativas bajo presión de producción. También debía exigir barreras verificables: alarmas útiles, criterios de parada, independencia de protección y una verificación de arranque previa al escalado de la operación. Aquí se ve la diferencia entre un diagrama bonito y una herramienta de gestión.

Caso 2: Buncefield, Reino Unido, 2005

Situación: En el terminal de combustible de Buncefield, un tanque de gasolina se sobrellenó durante la transferencia. La indicación de nivel ya mostraba problemas y el sistema automático de corte no evitó la pérdida de contención. El vapor se dispersó y luego explotó, generando una de las mayores explosiones no nucleares en Europa. Hubo 43 heridos, más de 20 tanques dañados y pérdidas cercanas a £1.000 millones.

Problema: La amenaza no era abstracta: transferencia con nivel alto y protección deficiente contra sobrellenado. En muchos BowTies improvisados, esto habría aparecido como “error del operador” o “falla de procedimiento”. Pero el análisis serio muestra otra cosa: la barrera de ingeniería no estaba validada con suficiente robustez, y la dependencia del comportamiento humano era excesiva.

Consecuencia: El evento no dejó víctimas fatales, pero sí una nube de vapor visible a kilómetros, daños estructurales masivos y un gran aprendizaje regulatorio sobre la necesidad de capas independientes y alarmas con criterio de desempeño. En otras palabras, el daño fue mucho mayor de lo que cualquier persona de campo hubiera aceptado como “solo un desvío operacional”.

Lección: En un BowTie confiable, una barrera no puede existir por nombre. Debe tener función, dueño, prueba y criterio de aceptación. Si el sobrellenado es una amenaza crítica, no alcanza con decir “operador atento”. Hace falta una combinación de instrumentos, alarmas, límites de operación, respuesta definida y mantenimiento que sostenga la confiabilidad del control. Esa es la lógica que debería guiar a supervisores y HSE cuando elaboran el formato operativo.

Estos dos casos muestran algo que en planta se ve todos los días: el riesgo no suele crecer por falta de procedimientos, sino por controles mal diseñados, mal entendidos o mal verificados. Por eso, al construir un BowTie, conviene preguntarse qué barreras son realmente independientes y cuáles dependen de la misma persona, el mismo turno o el mismo instrumento. Si varias barreras fallan por la misma causa, en realidad no son varias.

Domina BowTie con un enfoque práctico

Domina la metodología BowTie para gestionar riesgos de proceso con un enfoque práctico.

Algunos enlaces pueden dirigir a productos, cursos o recursos de WFS Academy.

Diagnóstico y autoevaluación: señales de alerta

Antes de sentarte a dibujar, vale la pena hacer una auditoría rápida del método. Si ves estas señales, todavía no tenés un BowTie confiable, sino un borrador:

  • El evento superior se redactó como consecuencia final, no como pérdida de control concreta.
  • Las amenazas son tan amplias que sirven para cualquier proceso, pero no para tu unidad.
  • Las barreras tienen nombres genéricos: “capacitación”, “supervisión”, “procedimiento”, sin función verificable.
  • No existe dueño de cada barrera ni frecuencia de prueba o inspección.
  • El BowTie no conversa con permisos de trabajo, mantenimiento, MOC o PSSR.
  • Hay demasiadas amenazas y consecuencias, pero pocas barreras reales priorizadas.
  • El taller terminó con consenso verbal, pero sin validación en campo.
  • No hubo revisión de incidentes, near misses ni datos de desempeño para contrastar hipótesis.

Si sos profesional HSE, preguntate: ¿estoy ayudando a priorizar controles críticos o solo facilitando un taller? ¿Mis barreras tienen criterios de aceptación? ¿Puedo demostrar con datos que una barrera está viva o degradada? ¿El modelo me ayuda a decidir en auditorías, inspecciones y cambios de proceso? Si la respuesta es no, el BowTie todavía no está maduro.

Si sos supervisor, hacete estas preguntas: ¿sé cuáles son las tres amenazas principales para mi área? ¿Puedo reconocer en campo si una barrera está indisponible? ¿Sé a quién escalar cuando un control crítico cae? ¿El BowTie me sirve para arrancar el turno, revisar un permiso o tomar una decisión de parada? Si no cambia mi conversación de turno, entonces no está cumpliendo su función.

Un buen diagnóstico no busca culpables. Busca dónde el sistema dejó de protegerte.

Solución: metodología paso a paso para construir un BowTie confiable

La mejor forma de implementar BowTie es tratarlo como un proceso con entradas, criterios y salidas, no como una sesión creativa. A continuación te dejo una secuencia ordenada y repetible, diseñada para HSE y supervisión.

Paso 1: definir el alcance y el evento superior

Elegí una unidad, equipo o actividad de riesgo relevante. No intentes abarcar toda la planta en un solo taller. Luego redactá el evento superior como una pérdida de control específica y observable. Ejemplo: “sobrepresión del reactor”, “liberación de amoníaco”, “incendio en sistema de bombeo”, “caída de persona desde borde sin protección”. Evitá redactarlo como el daño final.

Paso 2: levantar amenazas reales, no teóricas

Usá datos antes que opiniones. Revisá HAZOP, incidentes históricos, reportes de mantenimiento, desvíos de operación, permisos de trabajo, auditorías y observaciones de campo. Después, priorizá amenazas creíbles: las que ya ocurrieron, las que están en el historial del proceso o las que surgen de la física del sistema. En una refinería, por ejemplo, una amenaza real puede ser falla de válvula de control; en una planta química, contaminación cruzada; en minería, ingreso a espacio confinado con ventilación degradada.

Paso 3: identificar barreras preventivas

Preguntate qué evita que la amenaza llegue al evento superior. Acá aparecen controles de ingeniería, instrumentación, alarmas, procedimientos robustos, competencia operacional y diseño de tarea. Una barrera preventiva buena tiene una función concreta, un responsable y una forma de verificación. Si no puede probarse o inspeccionarse, probablemente no es una barrera crítica.

Paso 4: identificar barreras mitigadoras

Si el evento superior ya ocurrió, ¿qué reduce el impacto? Contención secundaria, supresión, aislamiento, detección temprana, respuesta de emergencia, evacuación, equipos de rescate. Estas barreras no evitan el evento, pero reducen la severidad. En muchas organizaciones se mezclan prevención y mitigación; separarlas mejora la lógica del análisis y evita sobrestimar controles.

Paso 5: validar cada barrera con criterios de desempeño

Esta es la etapa que más diferencia a un BowTie maduro de uno decorativo. La pregunta no es si existe la barrera, sino si funciona con el desempeño requerido. Definí frecuencia de prueba, confiabilidad esperada, tolerancia a fallas, tiempo de respuesta, independencia y evidencia de funcionamiento. Acá aparece la lógica de IEC 61511 para funciones instrumentadas y la lógica de integridad mecánica de OSHA PSM.

Paso 6: asignar dueños y acciones de control

Cada barrera necesita un responsable claro. No vale “mantenimiento”, “operaciones” o “HSE” como dueño difuso. Definí quién prueba, quién revisa, quién aprueba desvíos y quién recibe la alerta cuando el control cae. Si una barrera requiere acción humana, registrá también el rol, la competencia y el momento de intervención.

Paso 7: armar el formato operativo y llevarlo al campo

El BowTie final debe poder usarse en un taller de 60 a 90 minutos y en una revisión de campo de 10 minutos. Eso exige un formato limpio: evento superior, amenazas, barreras preventivas, barreras mitigadoras, dueños, pruebas y evidencias. Luego vinculalo con permisos de trabajo, rondas, pre-startup, cambios de proceso y reuniones de turno. Si no entra en la operación diaria, no va a sobrevivir como herramienta.

PasoObjetivoEntradasParticipantesEntregable
1. Alcance y evento superiorDefinir el borde del análisisMapa de proceso, incidentes, prioridades del negocioHSE, supervisor, operaciones, mantenimientoEvento superior redactado correctamente
2. AmenazasElegir causas creíblesHAZOP, incidentes, datos de campoOperación, ingeniería, mantenimientoLista priorizada de amenazas
3. Barreras preventivasEvitar la pérdida de controlDiseño, procedimientos, instrumentaciónTodos los roles claveMapa de barreras con función
4. Barreras mitigadorasReducir severidadPlan de emergencia, contención, respuestaHSE, emergencias, supervisiónCapas de mitigación definidas
5. ValidaciónProbar capacidad realRegistros de prueba, inspecciones, KPIMantenimiento, QA/QC, HSERequisitos de desempeño
6. Dueños y seguimientoSostener el controlMatriz RACI, planes, frecuenciasJefatura, supervisión, mantenimientoFormato operativo implementado

Quick wins y cambios estructurales

Quick wins: corregí la redacción del evento superior, eliminá amenazas duplicadas, convertí barreras genéricas en funciones concretas, y agregá dueño y frecuencia de verificación. Con eso ya mejorás muchísimo la calidad del análisis.

Cambios estructurales: integrá el BowTie al permiso de trabajo, al MOC, al plan de inspección y a la investigación de incidentes. Si el BowTie no alimenta decisiones reales, se desactualiza rápido. Y si querés que la organización escale, documentá también indicadores de barrera y gatillos de revisión. Ahí es donde empieza la transición hacia la mejora continua.

Cómo usarlo en el día a día de HSE y supervisión

Para HSE, el BowTie es una herramienta de priorización y gobierno. Te ayuda a decidir dónde poner esfuerzo, qué controles críticos auditar y qué desviaciones escalan a dirección. Para supervisión, es una guía simple para conversar con el equipo: “¿qué amenaza tenemos hoy?”, “¿qué barrera está debilitada?”, “¿qué pasa si esta barrera no está disponible?”.

En un turno, podés usar una versión resumida del BowTie en tres momentos: antes del inicio, durante la verificación de permisos y al cierre de la jornada. Eso obliga a mirar el control real y no solo el cumplimiento formal. Si una bomba depende de una alarma de nivel alto para evitar sobrellenado, el supervisor tiene que saber si esa alarma está operativa, probada y no bypassed. Si una tarea en altura depende de una línea de vida, la revisión debe confirmar no solo que exista, sino que esté instalada y sea compatible con la tarea.

Un formato útil para el campo incluye: evento superior, tres amenazas principales, tres barreras críticas por amenaza, dueño de cada barrera y condición de disponibilidad. Con eso alcanza para una charla de 10 minutos antes del trabajo. Y si aparece una desviación, el BowTie permite decidir si se trabaja con controles adicionales, si se reprograma o si se detiene la actividad.

La mejor señal de que está funcionando es simple: la gente empieza a hablar de barreras, no solo de tareas. Cuando eso pasa, el sistema deja de ser reactivo. Ahí podés conectar con la lógica de indicadores, revisión de desempeño y aprendizaje organizacional que desarrolla el artículo de BowTie avanzado: mejora continua e integración con HSE.

Cierre: del diagnóstico al control real

Implementar BowTie paso a paso no es llenar una plantilla; es ordenar el pensamiento de riesgo para que la operación pueda prevenir, detectar y mitigar mejor. La diferencia entre un BowTie útil y un BowTie decorativo está en la calidad del evento superior, la credibilidad de las amenazas, la validación de las barreras y la disciplina para mantenerlo vivo.

Si ya revisaste la base conceptual y el estado de madurez, este artículo te da el método para construirlo. Si todavía estás en etapa de diagnóstico, volvé al artículo BowTie: fundamentos, diagnóstico y estado actual en HSE y asegurate de partir de una definición sólida. Y si tu organización ya tiene un BowTie mínimo viable, el siguiente paso es conectarlo con indicadores, revisiones y aprendizaje continuo, como veremos en BowTie avanzado: mejora continua e integración con HSE.

En seguridad de procesos, la madurez no se mide por la cantidad de diagramas, sino por la capacidad de tomar decisiones mejores antes de que el sistema falle. Ese es el verdadero valor de BowTie: convertir conocimiento disperso en control operativo.

Llevá tu BowTie del papel al turno con acompañamiento experto

Acompañamiento personalizado de Charly Wigstrom para líderes de seguridad y operaciones.

Algunos enlaces pueden dirigir a productos, cursos o recursos de WFS Academy.

Nota de transparencia: Algunos enlaces en este artículo pueden dirigir a productos, cursos o recursos de WFS Academy. Solo recomendamos recursos directamente relacionados con el tema técnico tratado.

Preguntas Frecuentes

¿Cuánto tiempo lleva construir un BowTie útil?

Depende del alcance y de la calidad de los datos disponibles. Para un evento superior bien acotado, un taller inicial puede tomar entre 60 y 90 minutos si ya tenés HAZOP, incidentes y experiencia de campo. Si la unidad es compleja o hay poco historial documentado, vas a necesitar varias iteraciones. Lo importante no es terminar rápido, sino salir con un modelo que pueda verificarse y usarse en la operación.

¿Qué hago si aparecen demasiadas amenazas?

Eso suele indicar que el evento superior está demasiado amplio o mal definido. Antes de seguir agregando flechas, revisá si el problema es el alcance. Un BowTie práctico prioriza amenazas creíbles y relevantes. Si intentás meter todo, perdés foco, y la gente en campo deja de usarlo porque se vuelve inmanejable.

¿Una capacitación cuenta como barrera?

No por sí sola. La capacitación puede formar parte de una barrera, pero una barrera necesita función, verificación y desempeño. Si depende de la memoria humana, la carga de trabajo, el turno o la presión por producción, no alcanza con decir “está capacitado”. Hay que validar competencia, refresco, observación en campo y condiciones reales de ejecución.

¿Cómo valido que una barrera realmente funciona?

Con evidencia. Eso incluye pruebas, inspecciones, simulacros, registros de mantenimiento, observación de tarea y resultados de indicadores. La pregunta no es si el control existe, sino si está disponible, responde a tiempo y mantiene la capacidad requerida. Ahí es donde BowTie se conecta con integridad mecánica, desempeño y gestión del cambio.

¿Cómo uso BowTie en un permiso de trabajo?

Tomá el evento superior y revisá cuáles son las amenazas principales de la tarea. Después verificá qué barreras deben estar presentes antes de iniciar, cuáles deben vigilarse durante el trabajo y qué hacer si una barrera falla. En la práctica, BowTie te ayuda a transformar el permiso en una conversación de control crítico, no en un trámite administrativo.

¿Cada cuánto debo actualizar el BowTie?

Cada vez que cambien las condiciones relevantes: incidentes, near misses, modificaciones de proceso, cambios de turno, nuevos equipos o cambios en la estrategia de mantenimiento. Si la operación cambió y el BowTie no, ya quedó viejo. Una revisión periódica formal también es recomendable para sostener la trazabilidad y preparar la mejora continua.

¿Te resultó útil este análisis?

Recibe contenido técnico exclusivo directamente