Cómo implementar Bowtie y matriz de riesgos paso a paso
Cómo implementar Bowtie y matriz de riesgos: método práctico para HSE y supervisores
Si hoy tu organización sigue usando la matriz de riesgos como un trámite anual y el Bowtie como un diagrama bonito para auditoría, estás dejando valor en la mesa. La pregunta no es si tienes herramientas; la pregunta es si esas herramientas te ayudan a prevenir eventos no deseados antes de que se conviertan en incidentes, paradas o pérdidas mayores. En seguridad de procesos, esa diferencia no es semántica: es operacional.
El problema aparece en casi todas las plantas: se identifican peligros, se asignan colores, se dibuja un bowtie con flechas y se imprime para “cumplir”. Luego, el documento envejece rápido porque no está conectado con la realidad del turno, con los cambios temporales, con el mantenimiento, con la gestión de alarmas, con los permisos de trabajo ni con las competencias de quienes ejecutan. Ahí es donde se rompe la disciplina operativa.
Este artículo está pensado para profesionales HSE y supervisores que necesitan ejecutar, no solo explicar. Vas a encontrar una metodología paso a paso para construir una matriz de riesgos útil y trazable, y luego desarrollar un Bowtie completo, operativo y verificable. También vas a ver criterios de calidad para barreras, amenazas y consecuencias, además de formatos de trabajo para talleres con operación, mantenimiento y liderazgo de turno. Si todavía estás definiendo qué herramienta aplicar según el tipo de riesgo, te conviene revisar antes la guía para evaluar tu gestión. Y si tu desafío ya no es modelar, sino escalar y sostener el sistema, el siguiente paso lógico es cómo integrar Bowtie y matriz de riesgos con KPIs y mejora continua.
La lógica que vamos a usar es simple pero exigente: primero definís el peligro y el evento no deseado con precisión; después identificás amenazas creíbles, consecuencias realistas y barreras existentes; finalmente validás que esas barreras funcionan, tienen dueño y se verifican en campo. Eso parece obvio, pero en muchas organizaciones no pasa. Y cuando no pasa, el sistema de gestión produce papeles, no control del riesgo.
Contexto técnico: qué resuelve cada herramienta y por qué falla su implementación
La matriz de riesgos sirve para priorizar peligros y decidir acciones en función de probabilidad y severidad. Es útil cuando necesitás ordenar un universo amplio de riesgos, estandarizar el lenguaje y enfocar recursos. El Bowtie, en cambio, te permite representar causalidad, barreras preventivas, barreras de mitigación y degradaciones de control sobre un evento central. En términos prácticos, la matriz te ayuda a decidir qué importa más; el Bowtie te ayuda a entender cómo se controla lo que importa.
En la práctica industrial, el error más común es usar la matriz como si fuera un fin en sí mismo. Eso lleva a categorías demasiado genéricas: “exposición a químicos”, “trabajos en altura”, “energía mecánica”, con niveles de riesgo que no cambian la decisión operativa. En cambio, cuando se implementa bien, la matriz conecta con controles críticos, requisitos de mantenimiento, entrenamiento, supervisión y verificación de barreras. Esa conexión es consistente con OSHA PSM 29 CFR 1910.119, que exige identificación de peligros, integridad mecánica, gestión del cambio y procedimientos operativos; con ISO 45001, que pide controlar riesgos y oportunidades con enfoque sistemático; y con IEC 61511, cuando hay capas instrumentadas de seguridad que deben tener desempeño definido y pruebas periódicas.
También hay una razón de fondo: el sistema falla cuando se confunde cumplimiento documental con control real. El incendio de Deepwater Horizon mostró cómo múltiples barreras degradadas pueden converger; la investigación final documentó fallas en decisiones, verificación y control de barreras antes del blowout. En Buncefield, la sobrellenado de un tanque evidenció que tener instrumentos no equivale a tener capas de protección efectivas si no se validan alarmas, independencias y respuesta operativa. La lección es incómoda pero clara: los eventos mayores no se evitan con formatos, se evitan con diseño, disciplina y seguimiento de barreras.
| Herramienta | Objetivo principal | Cuándo usarla | Salida esperada | Error típico de implementación |
|---|---|---|---|---|
| Matriz de riesgos | Priorizar peligros y definir tratamiento | Portafolios amplios de riesgos, tareas rutinarias, evaluación inicial | Ranking trazable de riesgos y plan de acción | Usar criterios ambiguos o escalas sin consistencia |
| Bowtie | Mostrar causalidad, barreras y degradación del control | Riesgos mayores, eventos catastróficos, controles críticos | Mapa de amenazas, consecuencias y barreras verificables | Convertirlo en un diagrama decorativo sin dueños ni pruebas |
| LOPA / capas de protección | Verificar suficiencia de independencia y desempeño | Cuando el riesgo exige justificar capas de protección | Nivel de mitigación o necesidad de más salvaguardas | Asumir independencia sin evidencia |
| Gestión de barreras críticas | Control operativo continuo del riesgo | Operaciones con energía peligrosa, químicos, presión, fuego | Indicadores de desempeño y verificación en campo | No asignar dueño ni frecuencia de prueba |
La clave metodológica es esta: la matriz clasifica; el Bowtie explica y disciplina. Si querés que ambos convivan sin duplicarse, necesitás un flujo de trabajo común, criterios homogéneos y validación en campo. De eso trata la implementación.
Análisis profundo con casos: cuando la herramienta está, pero el control no
Caso 1: sobrellenado en terminal de almacenamiento
En una terminal de combustibles, una operación de trasiego de diésel tuvo un sobrellenado de tanque con derrame mayor y activación de respuesta de emergencia. El análisis posterior encontró que existía una matriz de riesgos general para “operación de tanques”, pero no se había desagregado el evento no deseado específico: pérdida de contención por sobrellenado. Tampoco se habían identificado con claridad las barreras preventivas y de mitigación, ni su estado real.
El problema no fue falta de conocimiento técnico. Había alarmas de alto nivel, procedimientos y rondas operativas. El problema fue que nadie había validado la independencia funcional entre el procedimiento, la alarma y la respuesta del operador. Además, el cambio de turno coincidió con una carga de trabajo alta y alarmas menores recurrentes, lo que aumentó la probabilidad de omisión. En términos sistémicos, el error humano fue el último eslabón visible; la causa real estaba en la configuración del trabajo.
La consecuencia fue derrame, detención operativa y exposición reputacional. Según investigaciones de incidentes de sobrellenado en instalaciones de hidrocarburos, los costos directos de respuesta y remediación pueden superar ampliamente el costo de implementar y verificar barreras críticas con anticipación. En este tipo de escenarios, un Bowtie bien hecho debería mostrar al menos: barrera de medición de nivel, alarma independiente, cierre operativo oportuno, procedimiento de carga, control de permisos y plan de respuesta.
Lección: una matriz bien categorizada no reemplaza la trazabilidad causal. Si no podés decir qué barrera evita el evento, quién la verifica y con qué evidencia, no tenés control del riesgo; tenés una hipótesis.
Caso 2: liberación de energía en mantenimiento de equipos rotativos
En una planta de proceso, durante mantenimiento de una bomba crítica, un equipo fue intervenido sin bloqueo completo de una fuente de energía auxiliar. Se produjo un arranque inesperado con atrapamiento de mano y lesión incapacitante. El análisis mostró que el riesgo estaba contemplado en una matriz general de LOTO, pero la herramienta no discriminaba entre tareas rutinarias y trabajos con energías múltiples o residuales. El Bowtie, si hubiese existido, habría obligado a representar amenazas concretas: arranque automático, energía almacenada, error en aislamiento, comunicación deficiente entre contratista y operación.
La consecuencia no fue solo la lesión. Hubo investigación interna, revisión de permisos, reentrenamiento y pérdida de confianza en el control operacional. El costo indirecto en horas perdidas, supervisión adicional y demora de mantenimiento suele ser más alto que el costo del incidente visible. En varios análisis de seguridad industrial, las fallas en bloqueo y aislamiento siguen apareciendo como causas recurrentes porque el sistema confía demasiado en la memoria del trabajador y demasiado poco en las verificaciones independientes.
La lección aquí es muy clara para supervisores: el Bowtie no es un lujo para eventos catastróficos solamente; es una forma de poner orden donde hay múltiples capas humanas y técnicas. Y para HSE, la matriz de riesgos no puede quedarse en la descripción “mantenimiento de equipos”. Tiene que traducirse en tareas, energías, barreras y pruebas concretas.
| Elemento | Qué debe definirse | Pregunta de calidad | Evidencia aceptable |
|---|---|---|---|
| Peligro | Fuente de daño con potencial de pérdida | ¿Es específico o demasiado general? | Proceso, energía, sustancia, condición |
| Evento no deseado | Transición crítica que libera el peligro | ¿Se puede observar o describir operativamente? | Sobrepresión, fuga, ignición, caída, arranque inesperado |
| Amenaza | Escenario que puede gatillar el evento | ¿Es creíble en tu operación? | Falla mecánica, error de operación, corrosión, cambio no gestionado |
| Barrera | Control que previene o mitiga | ¿Es efectiva, independiente, mantenida y auditable? | Procedimiento, PSV, SIS, barrera física, capacitación, inspección |
| Consecuencia | Resultado final de la pérdida de control | ¿Es relevante para personas, activos, ambiente o negocio? | Lesión, incendio, derrame, paro, sanción, pérdida financiera |
Diagnóstico: señales de alerta de una implementación débil
Si tu organización quiere implementar Bowtie y matriz de riesgos de manera seria, primero tiene que admitir cuándo está fallando. Estas señales aparecen con frecuencia en plantas industriales y son fáciles de reconocer cuando las buscás en campo:
- La matriz de riesgos tiene colores, pero no cambia decisiones operativas.
- Los Bowties existen solo para auditorías o presentaciones de liderazgo.
- No hay dueño claro de cada barrera crítica.
- Las amenazas están redactadas de forma genérica, sin evidencia de escenarios reales.
- Las consecuencias no distinguen entre daño a personas, integridad, ambiente y negocio.
- No se prueban barreras con frecuencia definida ni con criterios de aceptación.
- El taller de riesgo lo hace solo HSE, sin operación ni mantenimiento.
Ahora la autoevaluación. Si sos supervisor, preguntate: ¿sé cuáles son las tres barreras más importantes del proceso que lidero? ¿puedo explicar qué pasa si una falla? ¿verifico en terreno que existan? Si sos profesional HSE, preguntate: ¿la metodología que usamos permite trazabilidad entre peligro, evento no deseado, barrera y acción? ¿o solo genera una calificación que nadie usa?
Si la respuesta incomoda, mejor. La incomodidad suele ser el punto de partida de una mejora real. Y si querés revisar la base conceptual antes de seguir, volvés a la guía de comparación entre matriz y Bowtie para confirmar cuándo conviene cada herramienta y evitar sobrediseñar o subdiseñar el control.
Solución: metodología paso a paso para implementar ambas herramientas
La implementación efectiva no arranca dibujando. Arranca definiendo el alcance, el nivel de detalle y el uso operativo del modelo. En planta, eso significa elegir una unidad, un proceso, un equipo o un evento relevante y construir un caso de uso real. Hacerlo bien requiere método, no inspiración.
Paso a paso para construir una matriz de riesgos útil y trazable
- Definí el alcance. Elegí proceso, área o actividad. Evitá mezclar “toda la planta” con tareas específicas.
- Listá peligros concretos. Separá energía, químicos, alturas, presión, tránsito interno, atmósferas explosivas y factores humanos.
- Redactá eventos no deseados. No uses frases vagas. Escribí la transición crítica: liberación de producto, ignición, colapso, atrapamiento, exposición.
- Asigná consecuencias reales. Diferenciá personas, ambiente, activos y continuidad operacional.
- Definí criterios de severidad y probabilidad. Usá descriptores con ejemplos internos para que dos equipos distintos lleguen a resultados comparables.
- Identificá controles existentes. Incluí controles de ingeniería, administrativos y de respuesta. No llames “control” a una buena intención.
- Evaluá brechas. Preguntá qué parte del riesgo no está cubierta, qué barreras son débiles y qué depende demasiado del comportamiento humano.
- Priorizá acciones. Cerrá con dueño, fecha, evidencia y criterio de cierre.
Paso a paso para desarrollar un Bowtie completo y operativo
- Elegí el evento central. Debe ser un evento no deseado claro, como “pérdida de contención de amoníaco” o “arranque inesperado de equipo”.
- Identificá amenazas creíbles. Limitate a escenarios que realmente puedan ocurrir en tu planta.
- Definí barreras preventivas. Cada amenaza debe tener una o más barreras que eviten el evento central.
- Definí barreras mitigadoras. Si el evento ocurre, qué limita la magnitud del daño.
- Asigná degradadores. ¿Qué puede debilitar cada barrera? Ej.: suciedad, bypass, fatiga, calibración vencida, cambio no gestionado.
- Nombrá dueños de barrera. Un Bowtie sin responsable es solo una lámina.
- Establecé criterios de desempeño. Frecuencia de prueba, condición de aceptación, evidencia documental y tiempo máximo de corrección.
- Vinculá con la operación diaria. El Bowtie debe aparecer en permisos, rondas, inspecciones, charlas de turno y gestión de cambios.
| Fase | Objetivo | Herramienta | Entregable | Responsable principal |
|---|---|---|---|---|
| 1. Alcance | Delimitar el problema | Workshop inicial | Área, proceso, evento y objetivos | HSE + Supervisión |
| 2. Identificación | Levantar peligros y escenarios | Checklist y recorrido en campo | Lista depurada de amenazas y consecuencias | Operación + Mantenimiento |
| 3. Priorización | Clasificar el riesgo | Matriz de riesgos | Ranking trazable y acciones | HSE |
| 4. Causalidad | Modelar barreras y degradación | Bowtie | Mapa de barreras y dueños | HSE + Operación |
| 5. Validación | Comprobar efectividad | Revisión en campo | Evidencia de pruebas y cierre de brechas | Supervisión |
| 6. Seguimiento | Sostener el control | KPIs y auditorías | Indicadores de barreras y acciones | Liderazgo de área |
Quick wins: usar una plantilla única, limitar el taller a un evento por sesión, llevar evidencia fotográfica de barreras, y vincular el resultado con permisos de trabajo y checklists de turno. Cambios estructurales: formalizar dueños de barreras, incorporar pruebas periódicas, integrar el Bowtie al MOC y estandarizar los criterios de severidad y probabilidad para toda la organización.
Evaluá tu nivel de madurez en PSM y disciplina operativa
Evalúa el nivel de madurez de tu organización en PSM, disciplina operativa y competencias.
Algunos enlaces pueden dirigir a productos, cursos o recursos de WFS Academy.
Formatos prácticos para talleres con HSE, supervisión y operación
Un buen taller no es el que llena muchas celdas. Es el que genera entendimiento compartido y decisiones claras. Para eso, te conviene trabajar con tres formatos mínimos: uno para levantamiento de peligros, otro para construcción de Bowtie y un tercero para validación de barreras.
Formato 1: levantamiento de peligros
- Área / proceso / equipo
- Actividad o condición analizada
- Peligro
- Evento no deseado
- Consecuencia
- Control existente
- Brecha observada
Formato 2: taller Bowtie
- Evento central
- Amenaza
- Barrera preventiva
- Degradador de barrera
- Barrera mitigadora
- Responsable
- Frecuencia de verificación
- Evidencia aceptable
Formato 3: validación en campo
- ¿La barrera existe físicamente?
- ¿Está operable hoy?
- ¿Tiene prueba o inspección vigente?
- ¿El personal sabe qué hacer si falla?
- ¿Hay desviaciones abiertas?
Para supervisores, la recomendación práctica es no esperar al cierre del taller para mirar campo. Llevá el grupo al equipo, al panel, a la línea o al frente de trabajo. Ver una alarma, un bloqueo, una válvula o una barrera física cambia la calidad de la discusión. En seguridad de procesos, la realidad manda más que la presentación.
Aplicación práctica en el día a día del supervisor y del equipo HSE
En el día a día, implementar Bowtie y matriz de riesgos significa cambiar la rutina de gestión. En lugar de revisar solo incidentes pasados, revisás condiciones de barrera, degradaciones, cambios y tendencias. En lugar de preguntar “¿hubo accidente?”, preguntás “¿qué barrera se debilitó y por qué?”. Esa es una diferencia de madurez.
Para HSE, la herramienta más efectiva es una matriz maestra de riesgos críticos enlazada a Bowties de alto potencial. Para supervisión, la utilidad real aparece cuando cada turno tiene un checklist breve de barreras críticas. Ese checklist no debería tener veinte ítems. Debería incluir solo lo que, si falla, te expone a un evento mayor.
La ejecución diaria también debe incluir revisión de MOC, permisos de trabajo, pruebas de alarmas, inspecciones de integridad y disciplina en el cierre de acciones. Si hay un cambio temporal, una desviación o un bypass, el Bowtie tiene que reflejarlo. Si no lo refleja, queda desactualizado y pierde legitimidad operativa.
Si tu organización ya está lista para pasar de la implementación básica a un control más robusto, el siguiente paso es conectar esta metodología con indicadores, aprendizaje y toma de decisiones. Eso lo desarrollamos en el artículo de la serie sobre integración, KPIs y mejora continua.
Checklist de calidad para barreras, amenazas y consecuencias
Antes de cerrar un análisis, usá este filtro. Si la respuesta a varias preguntas es “no”, el modelo todavía no está listo para sostener decisiones.
- ¿La amenaza es específica y creíble para esta unidad?
- ¿El evento central describe una pérdida de control clara?
- ¿La barrera preventiva actúa antes del evento, no después?
- ¿La barrera mitigadora limita consecuencias reales?
- ¿La barrera tiene dueño, frecuencia de prueba y evidencia?
- ¿La barrera es independiente de otras que comparten el mismo modo de falla?
- ¿Hay un criterio de aceptación para decir que está operable?
- ¿Las consecuencias incluyen personas, ambiente, activos y negocio?
- ¿El taller involucró a operación y supervisión, no solo a HSE?
- ¿El resultado se traduce en acciones priorizadas y seguimiento?
Este checklist parece simple, pero es lo que separa un trabajo técnico serio de una documentación cosmética. Y en una auditoría PSM o ISO 45001, esa diferencia se nota enseguida.
FAQ
¿Puedo usar matriz de riesgos y Bowtie al mismo tiempo sin duplicar trabajo?
Sí, pero con roles distintos. La matriz prioriza y el Bowtie explica el control de los riesgos más relevantes. La duplicación aparece cuando querés que ambas herramientas hagan lo mismo. Definí una matriz maestra para priorizar peligros y desarrollá Bowties solo para eventos de alto potencial o donde haya varias barreras críticas. Así evitás burocracia y mantenés trazabilidad.
¿Cuántas barreras debe tener un Bowtie para ser “completo”?
No hay un número mágico. Lo correcto es que cada amenaza tenga barreras preventivas suficientes y que cada consecuencia significativa tenga mitigación adecuada. La cantidad depende del riesgo, la independencia entre capas y el desempeño requerido. Un Bowtie útil no es el más grande; es el que muestra barreras efectivas, verificables y con dueño claro.
¿Qué hago si operación no quiere participar en el taller?
No avances igual. Sin operación, el modelo queda teórico y probablemente incorrecto. Explicá que el objetivo no es auditoría, sino evitar fallas reales y reducir retrabajo, incidentes y paradas. Mostrá ejemplos concretos de cómo una barrera mal entendida termina fallando en turno. La participación operativa no es un favor; es parte del control del riesgo.
¿Cómo sé si una barrera es realmente crítica?
Una barrera es crítica cuando su falla eleva de forma material la probabilidad o severidad del evento. Si al removerla el riesgo aumenta de manera significativa, probablemente sea crítica. Evaluá independencia, desempeño, frecuencia de prueba y evidencia. También fijate si el personal la conoce y si existe una forma objetiva de verificarla en campo.
¿Conviene hacer un Bowtie para todos los riesgos?
No. Hacer Bowtie para todo suele matar el sistema por exceso de trabajo y falta de foco. Usalo en riesgos mayores, eventos de alto potencial o escenarios con múltiples barreras y degradaciones. Para el resto, una buena matriz de riesgos puede ser suficiente. El criterio es utilidad operacional, no ambición documental.
¿Cómo conecto esta metodología con ISO 45001 y PSM?
ISO 45001 te pide identificar peligros, evaluar riesgos y controlar operativamente. PSM exige gestión de integridad mecánica, procedimientos, capacitación, MOC e investigación de incidentes. Bowtie y matriz son herramientas muy útiles para dar trazabilidad a esos requisitos, siempre que se integren a procesos reales, no solo a formatos. La clave es que el sistema de gestión use la información para decidir y verificar.
Cierre
Implementar Bowtie y matriz de riesgos no es un ejercicio de diseño gráfico. Es una disciplina de gestión que obliga a pensar mejor, conversar con operación y verificar en campo. Cuando lo hacés bien, la organización deja de reaccionar al incidente y empieza a controlar el escenario antes de que se materialice.
La lección central es esta: la matriz ordena el riesgo, pero el Bowtie te obliga a entender cómo se rompe el control y cómo lo mantenés vivo. Esa combinación es especialmente potente cuando querés salir del cumplimiento superficial y pasar a una gestión madura, trazable y útil para supervisores y equipos HSE. Si todavía no elegiste la herramienta correcta para tu contexto, volvé al primer artículo de la serie. Si ya la elegiste y querés llevarla a indicadores, barreras críticas y mejora continua, seguí con el tercero. Ahí es donde el sistema empieza a escalar de verdad.
Acompañamiento para implementar Bowtie con foco operativo
Acompañamiento personalizado de Charly Wigstrom para líderes de seguridad y operaciones.
Algunos enlaces pueden dirigir a productos, cursos o recursos de WFS Academy.
Preguntas Frecuentes
¿Puedo usar matriz de riesgos y Bowtie al mismo tiempo sin duplicar trabajo?
Sí, pero con roles distintos. La matriz prioriza y el Bowtie explica el control de los riesgos más relevantes. La duplicación aparece cuando querés que ambas herramientas hagan lo mismo. Definí una matriz maestra para priorizar peligros y desarrollá Bowties solo para eventos de alto potencial o donde haya varias barreras críticas. Así evitás burocracia y mantenés trazabilidad.
¿Cuántas barreras debe tener un Bowtie para ser “completo”?
No hay un número mágico. Lo correcto es que cada amenaza tenga barreras preventivas suficientes y que cada consecuencia significativa tenga mitigación adecuada. La cantidad depende del riesgo, la independencia entre capas y el desempeño requerido. Un Bowtie útil no es el más grande; es el que muestra barreras efectivas, verificables y con dueño claro.
¿Qué hago si operación no quiere participar en el taller?
No avances igual. Sin operación, el modelo queda teórico y probablemente incorrecto. Explicá que el objetivo no es auditoría, sino evitar fallas reales y reducir retrabajo, incidentes y paradas. Mostrá ejemplos concretos de cómo una barrera mal entendida termina fallando en turno. La participación operativa no es un favor; es parte del control del riesgo.
¿Cómo sé si una barrera es realmente crítica?
Una barrera es crítica cuando su falla eleva de forma material la probabilidad o severidad del evento. Si al removerla el riesgo aumenta de manera significativa, probablemente sea crítica. Evaluá independencia, desempeño, frecuencia de prueba y evidencia. También fijate si el personal la conoce y si existe una forma objetiva de verificarla en campo.
¿Conviene hacer un Bowtie para todos los riesgos?
No. Hacer Bowtie para todo suele matar el sistema por exceso de trabajo y falta de foco. Usalo en riesgos mayores, eventos de alto potencial o escenarios con múltiples barreras y degradaciones. Para el resto, una buena matriz de riesgos puede ser suficiente. El criterio es utilidad operacional, no ambición documental.
¿Cómo conecto esta metodología con ISO 45001 y PSM?
ISO 45001 te pide identificar peligros, evaluar riesgos y controlar operativamente. PSM exige gestión de integridad mecánica, procedimientos, capacitación, MOC e investigación de incidentes. Bowtie y matriz son herramientas muy útiles para dar trazabilidad a esos requisitos, siempre que se integren a procesos reales, no solo a formatos. La clave es que el sistema de gestión use la información para decidir y verificar.
¿Te resultó útil este análisis?
Recibe contenido técnico exclusivo directamente