Bowties para líderes: cómo definir amenazas con criterio

En los bowties para líderes, el problema no es dibujar un diagrama prolijo; es decidir qué amenazas merecen existir, con qué nombre, con qué alcance y bajo qué criterio de negocio. Si esa decisión se toma por intuición, por silos o por exceso de detalle, el BowTie deja de ser una herramienta de gobernanza y se convierte en una carpeta más que nadie usa.

Esto importa más de lo que parece. En seguridad de procesos, la diferencia entre un BowTie útil y uno decorativo no se ve en la presentación, se ve en la asignación de recursos, en la priorización de barreras y en la velocidad con la que la organización detecta degradación. Cuando el liderazgo define mal las amenazas, financia lo incorrecto, discute lo accesorio y deja intacto lo crítico.

Los accidentes mayores suelen venir precedidos por señales que la organización ya conocía, pero que estaban dispersas en documentos distintos, lenguajes distintos y dueños distintos. Texas City, Buncefield, Piper Alpha y otros eventos históricos nos dejaron una lección incómoda: el problema rara vez fue falta de información. El problema fue falta de gobernanza sobre la información correcta.

Por eso este artículo no trata el BowTie como una técnica de análisis aislada. Lo trata como una decisión de dirección. Si sos director, gerente de planta o VP de operaciones, tu rol no es construir cada BowTie con el mouse en la pantalla. Tu rol es asegurar que la organización tenga un criterio común para definir amenazas, evitar duplicidades, conectar el riesgo con el negocio y asignar accountability real a planta, HSE, mantenimiento y operación.

Bowties para líderes: de análisis de riesgos a gobernanza

La mayoría de las organizaciones empieza el BowTie desde la premisa equivocada: ‘hagamos el diagrama y después vemos’. En liderazgo, el orden correcto es el inverso. Primero se define para qué se usará el BowTie, qué decisiones habilita y qué preguntas de negocio debe responder. Después se diseña la taxonomía de amenazas, el nivel de detalle y el esquema de revisión.

Un BowTie maduro no sirve para documentar todo. Sirve para estandarizar lo importante. Su valor está en separar el ruido de las amenazas relevantes, conectar escenarios con barreras y hacer visible dónde se rompe el sistema antes de que se rompa el proceso.

Desde dirección, el criterio no es solamente técnico. También es económico, operativo y organizacional. Una amenaza debe entrar al BowTie si cambia de forma material la exposición al evento superior, si exige una barrera distinta, si requiere un dueño claro o si su degradación impacta el perfil de riesgo del sitio. Si no cumple con eso, probablemente es un detalle causal, no una amenaza.

Un BowTie no es un inventario de todo lo que podría salir mal. Es una decisión estructurada sobre qué escenarios merecen gobernarse de forma explícita.

La confusión típica aparece cuando el equipo mezcla causas, amenazas, factores contribuyentes y fallas de control en el mismo nivel. Eso produce BowTies gigantes, redundantes y difíciles de auditar. Y cuando todo es amenaza, nada es amenaza. En la práctica, el liderazgo termina con tableros saturados, indicadores inservibles y reuniones donde nadie sabe qué priorizar.

Desde el punto de vista normativo, esto está alineado con varios marcos. OSHA PSM 1910.119 exige un Process Hazard Analysis y gestión del cambio; IEC 61511 obliga a pensar en capas instrumentadas con lógica de ciclo de vida y demanda; ISO 45001 pide identificar riesgos y oportunidades con participación de trabajadores; API 754 empuja a medir desempeño de seguridad de procesos con indicadores líderes y rezagados; y el enfoque de CCPS insiste en controles críticos, disciplina operativa y aprendizaje organizacional.

El mensaje para dirección es simple: el BowTie no reemplaza estos estándares, pero ayuda a integrarlos en una estructura visual y gobernable. Si tu organización tiene HAZOP, PHA, MOC, auditorías y KPIs, pero no logra definir amenazas de forma consistente, el problema no es de falta de técnica. Es de falta de criterio común.

Cómo decidir si una amenaza merece existir

Una amenaza válida no es la subcausa más detallada posible. Tampoco es una categoría tan genérica que sirva para cualquier cosa. Debe estar en el nivel justo para que la organización pueda gestionarla. En otras palabras, debe ser lo bastante específica para activar una barrera distinta y lo bastante estable para que distintos equipos la entiendan igual.

Para liderazgo, hay cinco preguntas que filtran si una amenaza entra o no entra al BowTie. La primera: ¿cambia la exposición al evento superior? La segunda: ¿requiere una barrera distinta o un dueño distinto? La tercera: ¿es observable en campo? La cuarta: ¿se repite en más de una unidad o activo? La quinta: ¿si la elimino, desaparece una parte material del riesgo?

Si la respuesta es no en casi todo, no estás frente a una amenaza de BowTie. Estás frente a un detalle causal, una falla de procedimiento o una condición que probablemente pertenece a otro nivel del análisis. Ese filtro evita BowTies infinitos y hace posible la comparación entre plantas, unidades y años.

Cuando el criterio de inclusión se vuelve explícito, las discusiones cambian. Ya no se trata de quién grita más fuerte, sino de qué amenaza aporta valor de decisión. Y eso le devuelve al liderazgo una cosa que suele perderse en seguridad: la capacidad de elegir dónde poner el dinero, el tiempo y la atención ejecutiva.

Casos que muestran el costo de definir mal las amenazas

Los accidentes mayores suelen ser menos misteriosos de lo que parecen. Lo que cambia es la forma en que la organización interpreta sus señales. Cuando el BowTie está mal gobernado, la amenaza se nombra de forma ambigua, la barrera se vuelve genérica y el negocio cree que el riesgo está controlado cuando no lo está.

Caso 1: Buncefield, Reino Unido, 2005

En Buncefield, una terminal de almacenamiento de combustible sufrió un sobrellenado masivo en uno de sus tanques. El resultado fue una explosión e incendio de gran magnitud, con daños que superaron £1 mil millones. Hubo más de veinte heridos, aunque afortunadamente no se registraron muertes.

El problema de fondo no fue solo un sensor fallado. Fue una cadena de gobernanza débil alrededor de la amenaza de overfill: dependencia excesiva de una medición, alarmas que no estaban gestionadas como defensa independiente y una tolerancia organizacional demasiado alta a la degradación de controles. Si el BowTie hubiera sido un instrumento de dirección, la amenaza se habría definido como pérdida de contención por sobrellenado durante almacenamiento o transferencia, no como un simple problema de instrumento.

La lección para un director o gerente de planta es clara. Cuando una amenaza se formula de manera superficial, la organización invierte en lo visible y deja sin resolver lo decisivo. En este caso, no bastaba con revisar el nivel de un tanque; había que gobernar el sistema completo de prevención de sobrellenado, incluyendo independencia de protección, verificación periódica, bypass management y respuesta a alarmas.

Caso 2: Texas City, Estados Unidos, 2005

En la refinería de Texas City, durante el arranque de una unidad, se produjo una liberación de hidrocarburos que terminó en explosión. Murieron 15 personas y más de 180 resultaron heridas. El evento dejó en evidencia fallas de diseño, de mantenimiento, de operación y de supervisión. También mostró algo más incómodo: la organización había normalizado señales de peligro que no debieron aceptarse.

Desde la perspectiva de BowTie, la amenaza no era simplemente ‘error del operador’. Esa formulación es pobre y, peor todavía, injusta. La amenaza real incluía arranque con instrumentos poco confiables, nivel de inventario incierto, condiciones de proceso inestables, debilidad en respuesta a alarmas, y una secuencia de defensa insuficiente frente a una sobrepresión y liberación a la atmósfera.

¿Qué hace un líder con eso? Deja de tratar el error humano como causa única y empieza a gobernar las condiciones del sistema. Si la organización define la amenaza en términos de comportamiento individual, termina entrenando más y cambiando menos. Si la define en términos de exposición real, puede invertir en instrumentos, procedimientos, diseño de arranque, verificación independiente y criterios claros de parada.

La enseñanza estratégica es dura pero útil: el negocio paga varias veces cuando una amenaza está mal definida. Primero paga en la falsa sensación de control. Después paga en recursos dispersos. Y si ocurre el evento, paga en pérdidas humanas, regulatorias, reputacionales y financieras. Texas City costó mucho más que la reparación; costó credibilidad de liderazgo.

Qué muestran estos dos casos

Buncefield y Texas City comparten un patrón. En ambos, la organización conocía parte del problema, pero no lo había traducido en una estructura de decisión sólida. El BowTie no falló por falta de técnica. Falló por falta de gobernanza. Nadie había cerrado de forma estricta la pregunta que todo líder debería hacer: qué amenaza entra, qué amenaza sale y por qué.

Ahí está el salto de madurez. Cuando un sitio tiene criterio, dos unidades distintas pueden usar el mismo lenguaje para amenazas similares y discutir diferencias reales. Cuando no lo tiene, cada área hace su propio diccionario y el resultado es un espejo roto. Planta ve operación, HSE ve cumplimiento, ingeniería ve diseño y negocio ve costo. El BowTie debe obligar a que todos hablen el mismo idioma.

Diagnóstico para dirección y liderazgo

Si estás liderando esta práctica, hay señales muy concretas de que el sistema no está gobernado. La primera es obvia: BowTies con 40, 60 o 100 amenazas sin priorización ni criterio de inclusión. La segunda es más sutil: la misma amenaza aparece con nombres distintos en distintas plantas. La tercera es todavía peor: los líderes aprueban el documento sin poder explicar por qué una amenaza está incluida o excluida.

Otra señal de alerta es cuando HSE se convierte en dueño de contenido y operación en dueño de la ejecución, pero nadie es dueño del criterio. En ese esquema, se generan documentos correctos en apariencia y débiles en adopción. También hay un síntoma clásico: los BowTies no se conectan con MOC, incidentes, pruebas de barreras ni presupuesto. Si no mueve decisiones, no está gobernando nada.

Preguntate honestamente: ¿tu organización puede explicar en menos de dos minutos por qué cada amenaza principal existe en el BowTie? ¿Podría otra planta de la compañía entender el mismo escenario usando exactamente los mismos criterios? ¿Tus gerentes usan BowTie para decidir mantenimiento, entrenamiento o cambios de diseño, o solo para cumplir una auditoría?

Señales de alerta en una organización madura solo en papel

• Demasiadas amenazas genéricas como ‘falla humana’ o ‘falla de procedimiento’.
• Duplicidades entre unidades, procesos o activos con nombres diferentes para el mismo escenario.
• BowTies actualizados una vez al año, pero no después de cambios de proceso o incidentes.
• Controles llamados barreras sin evidencia de desempeño, independencia o verificación.
• Participación de dirección limitada a aprobar, no a desafiar criterios.
• Brecha entre lo que dice HSE y lo que realmente usa operación en turno.

Si te reconocés en dos o más de esas señales, el problema no es el software ni la plantilla. El problema es el modelo de gobernanza. Y si el modelo de gobernanza falla, el diagrama no va a salvarte.

Cómo construir gobernanza para definir amenazas

El liderazgo necesita un sistema simple, repetible y auditable. No alcanza con pedir que ‘hagan mejores BowTies’. Hay que definir quién decide, con qué criterio, cada cuánto revisa y qué evidencia deja. Eso es gobernanza, y en seguridad de procesos la gobernanza vale más que la estética del diagrama.

La forma más sólida de arrancar es fijar cuatro decisiones de liderazgo. La primera es la taxonomía oficial de amenazas. La segunda es el nivel de detalle permitido. La tercera es el dueño de cada escenario o familia de escenarios. La cuarta es el mecanismo de escalamiento cuando hay desacuerdo entre planta, HSE y negocio.

La taxonomía no puede ser un diccionario infinito. Debe ser un conjunto de categorías suficientemente amplio para cubrir exposición real y suficientemente restringido para evitar duplicidad. En sitios maduros, la misma estructura sirve para turnar, para auditar, para entrenar y para reportar. En sitios inmaduros, cada área inventa su propio lenguaje y después nadie puede comparar resultados.

Hay un principio práctico que recomiendo a directores y gerentes: si dos personas inteligentes no pueden llegar al mismo listado de amenazas usando el mismo escenario, entonces el criterio no está suficientemente definido. La discusión no se resuelve con más tiempo; se resuelve con mejores reglas.

Ese punto es clave porque evita el sesgo de escritorio. El sesgo de escritorio aparece cuando alguien define amenazas desde la oficina, sin ver el funcionamiento real, los desvíos habituales ni la capacidad real de respuesta del turno. En una refinería, una terminal o una planta química, la exposición no se entiende solo con diagramas. Se entiende mirando cómo se trabaja, qué se aísla, qué se puentea y qué se tolera como normal.

Si querés bajar estas decisiones a la rutina operativa, el siguiente nivel está en Bowties en supervisión: cómo definir amenazas sin errores, donde la supervisión transforma el criterio directivo en disciplina diaria. Y si querés validar la calidad de la información en campo, el complemento natural es Bowties en primera línea: detectar amenazas en tareas críticas.

Metodología práctica para implantar Bowties para líderes

La implantación no debería empezar con un taller de diagramación. Debería empezar con una decisión ejecutiva sobre uso, alcance y dueños. Cuando eso está claro, la metodología se vuelve bastante simple. Cuando no, el proyecto se llena de debates técnicos que nunca terminan y los BowTies quedan desconectados de la operación.

Propongo una secuencia de seis pasos. No es teórica. Es la forma más rápida de pasar de diagramas individuales a una gobernanza consistente entre planta, HSE y negocio.

1. Definí el caso de uso. ¿Vas a usar BowTie para priorizar capital, gestionar barreras críticas, revisar escenarios mayores o integrar PHA/MOC? Sin caso de uso, no hay criterio de detalle.
2. Establecé la taxonomía oficial. Acordá categorías y nivel de detalle permitido. Eliminá términos vagos y duplicidades antes de escalar el ejercicio.
3. Nombrá dueños de escenario y de barrera. Cada amenaza importante debe tener un responsable que la entienda y la defienda. Si no hay dueño, no hay gobernanza.
4. Validá con exposición real. Revisá campo, historial de incidentes, bypasses, pruebas y condiciones de operación. Lo que no se ve en planta no debería dominar el BowTie.
5. Conectá con MOC, auditorías y KPIs. Cada cambio de proceso, cada desvío y cada degradación de control debe volver al BowTie y no quedar en un sistema paralelo.
6. Institucionalizá el escalamiento. Si planta, HSE y negocio no coinciden, definí quién resuelve y en qué plazo. La ambigüedad también es una falla de control.

Los quick wins suelen ser claros. Primero, congelar la proliferación de amenazas sin dueño. Segundo, limpiar los top 10 escenarios del sitio. Tercero, elegir un formato común para que planta y HSE hablen igual. Cuarto, revisar que cada barrera tenga evidencia de desempeño, no solo nombre bonito.

Los cambios estructurales son los que realmente sostienen la mejora. Ahí entran la estandarización corporativa, el entrenamiento de liderazgo, la integración con el sistema de gestión, la revisión de capacidades y la disciplina de auditoría. Si el sitio no tiene un mecanismo para que un cambio de operación vuelva al BowTie, la gobernanza sigue incompleta.

Acá vale una observación incómoda: muchas organizaciones invierten más en software de visualización que en criterio. El software no resuelve ambigüedad. Solo la hace más elegante. Lo que resuelve el problema es una línea de mando que sabe qué aceptar, qué rechazar y qué escalar.

Aplicación práctica en el día a día del líder

Para un director o VP, la aplicación práctica no debería ocupar horas, sino cambiar la calidad de las preguntas. En una reunión mensual, podés empezar con cuatro preguntas simples: ¿cuáles son nuestros tres escenarios mayores con mayor exposición?, ¿qué amenazas se repiten en más de una planta?, ¿qué barreras críticas están degradadas?, ¿qué cambio de proceso todavía no volvió al BowTie?

Para un gerente de planta, la aplicación pasa por una rutina de gestión. No hace falta revisar todo el sistema cada semana. Hace falta revisar lo que cambia: incidentes, desvíos, mantenimientos pendientes, bypasses, alarmas críticas y hallazgos de campo. Cada uno de esos eventos puede alterar la validez de una amenaza o la calidad de una barrera.

Para el comité de operaciones, el BowTie debería funcionar como lenguaje común. No como archivo. Si un equipo pide presupuesto para una barrera, el pedido debe venir ligado al escenario, la amenaza, el desempeño esperado y la evidencia de degradación. Eso mejora decisiones y evita discusiones basadas en percepciones.

Herramientas útiles para este nivel: un diccionario corporativo de amenazas, un registro de barreras críticas, una matriz de escalamiento, una agenda mensual de escenarios top y una revisión integrada con MOC. Si lo querés llevar más lejos, Diagnósticos Digitales ayuda a medir madurez real en PSM, disciplina operativa y competencias, y la Mentoría Industrial acelera la adopción cuando el sistema ya tiene demasiadas brechas para resolver solo con capacitaciones sueltas.

Y no olvides algo importante: la calidad del BowTie no se valida en la sala de reuniones. Se valida en campo. Si la supervisión y la primera línea no reconocen las amenazas de la misma forma que la dirección, el sistema está desalineado. Por eso este artículo es el punto de partida, no el final de la serie.

Por qué esto impacta cultura, recursos y accountability

Cuando un BowTie se gobierna bien, la cultura cambia porque la organización deja de premiar el relato y empieza a premiar el criterio. Los líderes hablan de exposición real, de barreras y de dueños. No de intenciones. Eso baja la variabilidad entre áreas y hace que el riesgo deje de depender de quién estaba de turno o quién levantó la mano más fuerte.

También cambia la asignación de recursos. Con amenazas bien definidas, el dinero fluye hacia los controles que realmente cambian el riesgo. Con amenazas mal definidas, el presupuesto se dispersa en mejoras marginales, cursos genéricos o documentos que nadie usa. El retorno de invertir en criterio es mayor que el retorno de comprar tecnología sin gobernanza.

Finalmente, mejora el accountability. Cuando hay criterio común, cada área sabe qué le toca. HSE no carga sola con todo. Operaciones no queda como receptor pasivo. Ingeniería no diseña en una burbuja. Y dirección deja de ser espectadora. Esa es la diferencia entre una organización que administra documentos y una que administra riesgo.

Cierre

Los bowties para líderes no se tratan de dibujar más. Se tratan de decidir mejor. Definir amenazas con criterio de negocio, evitar sesgos de escritorio, eliminar duplicidades y establecer gobernanza no es un detalle metodológico; es una capacidad de liderazgo que protege personas, continuidad y valor.

Si hoy tu organización tiene muchos BowTies pero poca consistencia, el problema probablemente no está en la herramienta. Está en el criterio. Empezá por pocos escenarios, acordá reglas de inclusión, nombrá dueños y obligá al sistema a hablar el mismo idioma entre planta, HSE y negocio. Ese es el fundamento que después profundizan la supervisión y la primera línea.

Si querés seguir la serie, el próximo paso natural es Bowties en supervisión: cómo definir amenazas sin errores, donde se baja el criterio a la rutina del mando medio. Luego, Bowties en primera línea: detectar amenazas en tareas críticas muestra cómo validar la información donde realmente ocurre el trabajo.

Y si querés acelerar el cambio, no empieces por más diagramas. Empezá por una decisión de liderazgo. Después, sí, usá una herramienta como el Curso Gestión de Riesgos BowTie o un diagnóstico de madurez para convertir criterio en sistema.