Causa raíz error humano en liderazgo: BowTie sin atajos

La frase causa raíz error humano en liderazgo aparece una y otra vez después de un evento serio, casi siempre como una salida rápida para cerrar la discusión. El problema es que esa conclusión suele describir el último acto visible, no el sistema que lo hizo probable. Cuando una organización termina en “se equivocó el operador”, normalmente ya perdió de vista el diseño de barreras, la calidad de las decisiones y la presión cultural que estaban detrás.

Para un director, gerente de planta o VP de operaciones, esto no es un asunto semántico. Es una decisión de gobernanza: qué riesgos aceptás, cuáles financiás y cómo sabés si tus barreras críticas están realmente vivas o solo documentadas. Si el liderazgo no exige esa claridad, el análisis de incidentes se convierte en una ceremonia de culpa con poco aprendizaje y menos prevención.

Este artículo establece los fundamentos de la serie. En el siguiente nivel vamos a bajar la estrategia al mando medio con Más allá del error humano: BowTie para supervisores, y luego a la ejecución en campo con Error humano y tareas críticas: prevención en primera línea. Pero primero hay que ordenar la idea central: el error humano no explica por sí solo un evento; lo que explica el evento es un sistema con defensas insuficientes, degradadas o mal gobernadas.

Causa raíz error humano en liderazgo: por qué la pregunta está mal planteada

En seguridad de procesos, el error humano es real, pero rara vez es la causa raíz. Es una señal de que algo falló antes: una instrucción mal diseñada, una interfaz confusa, una carga de trabajo incompatible con la tarea, una barrera fuera de servicio o una decisión gerencial que empujó a la planta a operar al límite. Si no mirás esas condiciones, vas a terminar corrigiendo personas en lugar de corregir el riesgo.

BowTie ayuda justamente a romper esa simplificación. La metodología parte de un top event o evento central, identifica amenazas, muestra barreras preventivas y mitigativas, y obliga a preguntar qué hizo fallar cada barrera. Para liderazgo, eso cambia la conversación: ya no se trata de buscar al culpable, sino de entender qué controles estaban ausentes, débiles, mal asignados o sin verificación.

Del acto inseguro a la condición latente

Un acto inseguro puede ser el último eslabón, pero no el primero. Detrás suele haber condiciones latentes: mantenimiento diferido, MOC incompleto, alarmas sin prueba, procedimientos obsoletos, competencia insuficiente, supervisión débil o metas de producción que desplazan el criterio operativo. El liderazgo es responsable de esas condiciones porque las define, las tolera o las financia.

Ese cuadro resume una verdad incómoda: si la organización solo sabe nombrar errores, pero no sabe nombrar barreras, entonces no está gestionando seguridad de procesos. Está administrando retrospectivamente el daño. Y en una planta, eso sale caro porque los eventos de proceso no se corrigen con slogans; se corrigen con diseño, disciplina y verificación.

Si el informe termina en “el operador se equivocó”, todavía no terminaste la investigación. Apenas encontraste la parte visible del problema.

Contexto y marco técnico para directores, gerentes de planta y VP de operaciones

BowTie no es un dibujo para auditores ni una lámina para PowerPoint. Es una herramienta de gestión de riesgo que traduce complejidad técnica en decisiones ejecutivas. Para un líder, su valor está en que permite ver, en una sola vista, cómo una amenaza puede convertirse en un evento central y qué barreras preventivas y mitigativas sostienen la operación.

El marco técnico importa porque las exigencias regulatorias y los estándares de referencia ya no aceptan una visión reducida del riesgo. OSHA PSM 1910.119 exige identificar y controlar los peligros de proceso mediante PHA, procedimientos, entrenamiento, integridad mecánica, gestión del cambio e investigación de incidentes. IEC 61511 pide disciplina de ciclo de vida para sistemas instrumentados de seguridad, incluyendo pruebas de prueba, gestión de bypass y pruebas funcionales. ISO 45001 pone la responsabilidad de liderazgo, participación y control operativo en el centro del sistema. Y API 754 obliga a mirar indicadores de seguridad de procesos, no solo los personales. CCPS, por su parte, empuja la lógica de gestión de barreras como base para prevenir eventos de alta consecuencia.

La conclusión es simple: el liderazgo no puede esconderse detrás de una tasa de incidentes registrables baja si las barreras críticas están degradadas. Podés tener un TRIR excelente y, al mismo tiempo, un conjunto de alarmas vencidas, pruebas SIS atrasadas y modificaciones temporales sin cierre. Eso no es una operación segura; es una operación con suerte.

Cuando llevás esto a comité, el lenguaje cambia. Ya no preguntás solamente cuántos incidentes hubo, sino cuántas barreras críticas están fuera de especificación, qué tan rápido se cierran las degradaciones y qué porcentaje de desviaciones operativas se repiten. Ese es el tipo de tablero que sirve para gobernar una planta, una unidad de negocio o un portafolio de sitios.

Por eso BowTie es más que una herramienta técnica. Es una herramienta de accountability. Obliga a asignar un dueño a cada barrera, a definir criterios de desempeño, a verificar la integridad y a aceptar que una barrera sin prueba o sin responsable no es una barrera; es una intención.

Análisis profundo con casos reales

Texas City: cuando el “error” tapó un sistema completo

El accidente de Texas City en 2005 sigue siendo uno de los ejemplos más claros de cómo una organización puede esconder fallas de liderazgo detrás de la expresión error humano. Durante el arranque de una unidad de isomerización, el sistema se sobrellenó y la descarga terminó en una nube de hidrocarburos que explotó. El resultado fue devastador: 15 personas fallecidas, alrededor de 180 heridas y pérdidas económicas y legales que superaron los US$ 1.6 mil millones.

La investigación de la CSB y el Baker Panel no encontró una historia simple. Encontró alarmas poco confiables, procedimientos de arranque deficientes, uso de un blowdown drum que ventilaba a la atmósfera, entrenamiento insuficiente, normalización de desviaciones y una cultura que toleraba el funcionamiento inseguro de equipos temporales y de bajo nivel de integridad. En otras palabras: el operador no inventó el riesgo; lo heredó.

Desde BowTie, el análisis cambia de inmediato. La amenaza no era únicamente una lectura equivocada de nivel. También estaban la falla del sistema de medición, la ausencia de una protección independiente contra sobrellenado, la falta de una ruta segura para descargar, el arranque sin verificación robusta y la supervisión que no detuvo la operación cuando aparecieron señales de inestabilidad. Si mirás el BowTie completo, el “error humano” deja de ser la causa raíz y pasa a ser una manifestación de varias barreras ausentes.

La lección para dirección es dura pero necesaria: cuando una planta opera con desvíos repetidos, procedimientos desactualizados y presiones de producción que vuelven normal lo excepcional, el liderazgo ya tomó una decisión de riesgo, aunque no la haya firmado en un memo. El accidente de Texas City no fue solo una falla de turno; fue una falla de gobernanza.

Deepwater Horizon: la decisión de seguir fue el síntoma

El caso de Deepwater Horizon en 2010 muestra otro patrón clásico. Durante las decisiones previas al abandono temporal del pozo, hubo un negative pressure test con resultados ambiguos, interpretación discutible de señales de proceso y una secuencia de decisiones bajo fuerte presión por tiempo y costo. El evento terminó con 11 trabajadores fallecidos y un derrame estimado en 4.9 millones de barriles de petróleo. El costo total para la organización y el ecosistema fue de decenas de miles de millones de dólares.

Acá también se escuchó la frase de siempre: alguien interpretó mal, alguien omitió un paso, alguien tomó una mala decisión. Pero, otra vez, eso es demasiado chico para explicar el desastre. Había debilidades de diseño del pozo, incertidumbre sobre la integridad del cemento, señales de prueba que no se trataron con el rigor debido, y una cadena de decisiones que priorizó avanzar por sobre verificar. El problema no era solo técnico; era organizacional.

BowTie ayuda a ponerle nombres concretos a esas fallas. La barrera preventiva no era únicamente la competencia del equipo de turno. También lo eran la calidad del criterio de aceptación del test, la independencia de la revisión técnica, la capacidad de parar la operación, el control sobre desviaciones y el respaldo visible del liderazgo a la decisión de detenerse ante una señal dudosa. Cuando esas barreras no están definidas o no se verifican, el error humano se vuelve un resultado esperado.

Para un director o VP de operaciones, la pregunta correcta no es si alguien cometió un error. La pregunta correcta es por qué la organización construyó un entorno donde ese error era probable y, peor todavía, donde podía escalar a catástrofe. Eso exige revisar metas de producción, criterios de aprobación de cambios, protocolos de escalamiento y calidad de las decisiones en tiempo real.

El patrón no es exclusivo de petróleo o refinación. En Buncefield, en 2005, el sobrellenado de tanques derivó en una de las mayores explosiones industriales de Europa, con 43 heridos y daños de más de £1 mil millones. Allí también el problema no fue simplemente que alguien “miró mal” un indicador. La protección independiente de sobrellenado era insuficiente para el riesgo real. Cuando el sistema depende de la atención perfecta de una persona, el sistema ya está mal diseñado.

La lección ejecutiva es consistente en todos los casos: si la planta solo aprende a pedir más cuidado al operador, no cambia el riesgo. Si aprende a medir, verificar y fortalecer barreras, sí cambia el riesgo. Esa es la diferencia entre gestionar culpa y gestionar seguridad de procesos.

Diagnóstico del liderazgo: señales de alerta que no conviene ignorar

Hay señales que te dicen, con bastante anticipación, que la organización está usando el error humano como excusa. Si varias de estas aparecen al mismo tiempo, el problema ya no es de entrenamiento; es de gobernanza.

• Los reportes de incidentes terminan con acciones tipo “reforzar entrenamiento” sin modificar barreras, diseño o supervisión.
• Tu tablero ejecutivo muestra TRIR, pero no muestra estado de pruebas SIS, bypasses, alarmas vencidas o mantenimiento diferido de controles críticos.
• Las acciones correctivas se cierran rápido en sistema, pero se repiten en campo porque no cambió la condición que las origina.
• Las desviaciones operativas se normalizan como “parte del negocio”, especialmente en arranques, paradas y mantenimiento.
• Los líderes visitan la planta después del incidente, no antes, y sus recorridas se enfocan en orden y limpieza más que en barreras críticas.
• Las decisiones de producción tienen mucho más peso que las decisiones de integridad mecánica, instrumentación o competencia.
• El MOC existe en papel, pero las modificaciones temporales se vuelven permanentes por inercia.
• La organización habla de cultura, pero no define quién responde por cada barrera ni cómo se verifica su desempeño.

La autoevaluación ejecutiva es todavía más directa. Preguntate esto en tu próximo comité:

• ¿Puedo decir, sin mirar un informe, cuáles son mis cinco barreras críticas por unidad?
• ¿Sé cuántas de esas barreras tienen pruebas vencidas o hallazgos abiertos?
• ¿Tengo evidencia de que mis líderes de planta revisan degradaciones de barreras todas las semanas?
• ¿Las investigaciones de incidentes cambian decisiones de diseño, recursos y planificación, o solo generan lecciones genéricas?
• ¿Mi presupuesto prioriza eliminar exposiciones repetidas o solo absorber fallas ya ocurridas?

Si no podés responder con datos, probablemente tu organización todavía está más orientada a reaccionar que a prevenir. Y en seguridad de procesos, reaccionar tarde suele ser muchísimo más caro que prevenir temprano.

Metodología: cómo liderar BowTie sin atajos

La buena noticia es que no necesitás reinventar el sistema para mejorar. Necesitás ordenar el gobierno del riesgo. La ruta efectiva empieza por identificar los top events de mayor severidad y mapear, con criterio técnico y operativo, las amenazas, barreras y factores de degradación que los rodean. Después viene lo difícil: asignar dueños, definir desempeño, verificar en campo y escalar cuando una barrera cae.

En otras palabras, BowTie no se implementa como un afiche, sino como un sistema de gestión. Un líder maduro usa BowTie para decidir dónde poner presupuesto, qué backlog atacar primero, qué competencias desarrollar y qué desvíos no deben tolerarse. Eso es lo que separa una organización reactiva de una organización que gestiona riesgo.

Los quick wins suelen aparecer rápido si atacás lo evidente. Por ejemplo: eliminar vencimientos de pruebas críticas, cerrar bypasses permanentes, revisar alarmas de alto nivel, limpiar backlog de mantenimiento en instrumentos de protección, y reemplazar acciones correctivas genéricas por acciones que modifiquen la barrera. Eso ya mueve la aguja.

Los cambios estructurales son los que sostienen el resultado en el tiempo. Ahí entran la gobernanza formal de barreras, la disciplina de MOC, la calidad de la competencia operativa, la integración entre producción y mantenimiento, y la revisión periódica de los top events por parte de la alta dirección. Si eso no vive en el sistema de gestión, vuelve a aparecer la misma historia con otro nombre.

Si hoy no tenés claro dónde están tus brechas de madurez en PSM, disciplina operativa y competencias, un Diagnósticos Digitales te da una línea base útil para decidir qué atacar primero. Y si querés acelerar la capacidad de tu equipo para usar BowTie con criterio, el Curso Gestión de Riesgos BowTie ayuda a convertir la metodología en práctica real, no en teoría elegante.

Qué cambia en los primeros 90 días

En los primeros 30 días, el objetivo no es tener todo perfecto. Es tener visibilidad. En los siguientes 60, el objetivo es asignar responsables y eliminar las degradaciones más obvias. En 90 días, ya deberías poder mostrar qué barreras críticas mejoraron, cuáles siguen débiles y qué decisiones de capital o personal se tomaron en consecuencia. Si eso no ocurre, el sistema sigue operando a ciegas.

Una recomendación práctica para liderazgo es revisar cada mes solo tres preguntas: ¿qué barrera crítica se debilitó?, ¿qué hicimos para corregirla? y ¿qué riesgo nuevo apareció por un cambio operativo, de mantenimiento o de personal? Esa disciplina simple evita que la conversación se vaya a generalidades y te obliga a gobernar el riesgo real.

Aplicación práctica en el día a día de la dirección

Para un director, gerente de planta o VP de operaciones, aplicar esto no significa sentarse a dibujar BowTies todo el día. Significa decidir qué preguntas hacer, qué datos exigir y qué comportamiento recompensar. En la práctica, el liderazgo cambia cuando deja de aceptar explicaciones vagas y empieza a pedir evidencia sobre barreras, degradaciones y decisiones.

• En el comité mensual, pedí un reporte de salud de barreras críticas y no solo un resumen de incidentes.
• En tus recorridas, preguntá qué barrera protege cada tarea crítica y cómo se verifica su estado.
• Cuando aparezca una desviación repetida, exigí analizar la condición latente y no cerrar con capacitación genérica.
• Vinculá presupuesto con riesgo: primero eliminá degradaciones de alta severidad, después optimizá el resto.
• Revisá que las áreas de producción, mantenimiento, ingeniería y HSE estén viendo el mismo mapa de riesgo.

La supervisión y la primera línea tienen su propio rol, pero el tono lo pone dirección. Si querés ver cómo esta estrategia se traduce al día a día del mando medio, te conviene leer Más allá del error humano: BowTie para supervisores. Y si necesitás cerrar el ciclo en ejecución segura, el artículo Error humano y tareas críticas: prevención en primera línea muestra cómo se controla el riesgo en turno, en campo y bajo presión operativa.

También podés usar tres herramientas concretas para sostener el cambio. La primera es una matriz de barreras críticas con dueño, frecuencia de verificación y criterio de fallas. La segunda es un dashboard ejecutivo que combine API 754, estado de MOC, backlog de mantenimiento y hallazgos de auditoría. La tercera es un ritual de revisión donde dirección valida si el sistema realmente aprendió del evento o solo lo archivó.

En plantas complejas, el liderazgo efectivo se nota en dos cosas: menos sorpresas y mejores decisiones. Menos sorpresas porque el riesgo se monitorea antes de la falla. Mejores decisiones porque cada inversión, cada parada y cada cambio se evalúan en términos de barreras, no de intuiciones.

Cierre: liderazgo que diseña, no liderazgo que culpa

El error humano seguirá existiendo porque las personas trabajan con límites, distracciones, incertidumbre y presión. Pero una organización madura no usa eso como excusa para no mejorar. Lo usa como razón para diseñar mejores barreras, dar mejores recursos y construir una cultura donde detenerse a tiempo sea una decisión respaldada por el sistema.

Ahí está el verdadero cambio de paradigma. La causa raíz no es el operador; la causa raíz es el sistema que permitió que el error fuera suficiente para generar un evento. Cuando dirección entiende eso, BowTie deja de ser una herramienta técnica y se convierte en una herramienta de liderazgo. Y cuando eso pasa, la conversación deja de girar en torno a la culpa y empieza a girar en torno a la prevención real.

Esta es solo la base de la serie. En el próximo artículo vamos a ver cómo el mando medio traduce estas decisiones estratégicas en verificación, disciplina y seguimiento en campo. Después, cerramos el ciclo en primera línea, donde el riesgo se juega en cada tarea crítica. Si querés avanzar de forma ordenada, empezá por ver dónde está tu organización hoy y seguí con una conversación seria sobre barreras, recursos y accountability.