Gestión BowTie para directivos: priorizar riesgos críticos

La gestión BowTie para directivos no sirve para decorar un comité ni para reemplazar estudios de ingeniería. Sirve para responder tres preguntas incómodas: cuáles son los riesgos que pueden destruir valor, qué barreras son realmente críticas y quién es accountable si esas barreras se degradan. Cuando una planta tiene muchas protecciones pero nadie sabe cuáles sostienen la continuidad del negocio, la organización termina administrando actividad en lugar de riesgo.

El problema no es teórico. En Texas City 2005 murieron 15 personas, más de 180 resultaron heridas y la compañía enfrentó pérdidas por encima de US$ 1.500 millones. En Buncefield 2005 hubo 43 heridos, evacuaciones masivas y daños superiores a £1.000 millones. En ambos casos el fallo no fue solo técnico; fue de gobernanza, de priorización y de disciplina sobre barreras críticas. La lección para un director, un gerente de planta o un VP de operaciones es simple: si no gobernás los riesgos mayores con criterio, el negocio te los cobra con intereses.

BowTie importa precisamente por eso. No pretende darte una precisión matemática falsa ni competir con LOPA, QRA o IEC 61511. Lo que hace es traducir el lenguaje técnico de seguridad de procesos en decisiones ejecutivas: dónde invertir, qué controlar, qué exigir, cómo medir desempeño y qué barreras no pueden fallar sin que lo sepas primero. En una planta madura, BowTie es una herramienta de priorización; en una planta inmadura, es un espejo incómodo. Y en ambos casos, es mucho más útil que un tablero lleno de indicadores que nadie conecta con el riesgo real.

1. Apertura potente: cuando el riesgo no aparece en el KPI

La mayoría de los comités de dirección revisa producción, costo, calidad, seguridad personal y disponibilidad. Eso está bien, pero es insuficiente si la planta maneja sustancias peligrosas, presión, energía, reactivos inflamables o condiciones de proceso inestables. Un mes con cero lesiones registrables puede convivir con válvulas de alivio vencidas, alarmas bloqueadas, bypasses activos y acciones críticas atrasadas. En otras palabras: podés tener un buen resultado visible y, al mismo tiempo, una degradación silenciosa del sistema de protección.

Ahí es donde BowTie cambia la conversación. En lugar de preguntar solo qué pasó, obliga a preguntar qué barrera evitó el evento, cuál se degradó, quién lo sabía y qué hizo la organización al respecto. Ese cambio parece pequeño, pero para la dirección es enorme: convierte la seguridad de procesos en una disciplina de gobernanza, no en una serie de reportes reactivos. La planta deja de ser un conjunto de indicadores aislados y pasa a ser un sistema de decisiones sobre escenarios críticos.

BowTie no predice con exactitud la probabilidad de un accidente mayor. Sí permite decidir si las barreras críticas existen, si son robustas, si están verificadas y si alguien responde por ellas.

Para directores y gerentes de planta, eso tiene implicancias directas en presupuesto, priorización y accountability. Si una barrera es crítica para prevenir una explosión, una liberación tóxica o un incendio mayor, no puede depender de la buena voluntad del turno ni de una acción difusa en una planilla. Tiene que tener dueño, estándar de desempeño, mecanismo de verificación y consecuencias cuando se degrada. Esa es la diferencia entre gestionar por intención y gobernar por evidencia.

Además, este artículo es la base de una serie que baja de nivel de decisión a nivel de ejecución. Más adelante vas a ver cómo este marco se traduce en rutina de supervisión en BowTie en supervisión: de la política a la práctica diaria y luego en el trabajo real del turno en BowTie para operadores: detectar desvíos y cuidar barreras. Si la estrategia no baja a esos niveles, se queda en PowerPoint.

2. Contexto y marco técnico: qué es BowTie y qué no es

BowTie es un marco cualitativo para visualizar cómo un escenario de pérdida de control puede iniciarse, qué barreras lo previenen, qué barreras lo mitigan y qué factores pueden degradarlas. Se usa para priorizar riesgos críticos, asignar responsables y verificar la salud de controles que realmente sostienen la operación. Su valor no está en calcular un número único, sino en ordenar el pensamiento y volver visible la relación entre peligro, barrera y consecuencia.

Para un líder, el BowTie correcto no es el más bonito; es el que sirve para tomar decisiones. Si la planta tiene 120 bowties y nadie sabe cuáles son los 12 que amenazan la continuidad del negocio, el modelo está sobredimensionado y la gobernanza está débil. Lo que importa es concentrarse en escenarios de alto potencial: incendio mayor, explosión, liberación tóxica, pérdida de contención de hidrocarburos, sobrepresión, runaway reaction, fallas de contención en tanques o pérdida de funciones instrumentadas críticas.

BowTie conversa con otras disciplinas, pero no las reemplaza. LOPA ayuda a evaluar si las capas de protección independientes son suficientes. QRA y modelos cuantitativos estiman frecuencias y consecuencias con mayor detalle. IEC 61511 define requisitos para sistemas instrumentados de seguridad. OSHA PSM 1910.119 exige integridad mecánica, procedimientos, capacitación, investigación de incidentes, MOC y auditorías. BowTie ayuda a que todo eso se ordene alrededor de los escenarios que más importan.

La lógica de fondo es la de Critical Control Management: no todas las salvaguardas son críticas, pero las críticas tienen que ser identificadas, mantenidas y verificadas con disciplina. Eso es coherente con CCPS, con ISO 45001 cuando se gobiernan controles operacionales y con la práctica madura de Process Safety Management. Una barrera crítica que no se puede verificar, no se puede gobernar. Y si no se puede gobernar, no debería considerarse confiable.

La clave para directivos es entender el orden correcto. BowTie no sustituye al análisis detallado de ingeniería, así como un tablero no sustituye al motor. El BowTie se usa para seleccionar dónde mirar primero, qué capa merece más presupuesto, qué barrera merece un dueño serio y qué desviación ya pasó el umbral de tolerancia. En otras palabras, es una herramienta para decidir y para exigir.

3. Análisis profundo con casos: qué falla cuando falla la gobernanza

Caso 1: Texas City 2005, el riesgo conocido que nadie gobernó

Situación: durante el arranque de una unidad de isomerización en la refinería de BP Texas City, la torre de destilación se sobrellenó, liberó hidrocarburos por la línea de venteo y se produjo una explosión catastrófica. El evento dejó 15 muertos, más de 180 heridos y pérdidas superiores a US$ 1.500 millones. El sistema no falló de un solo golpe; fue una cadena de tolerancias, desvíos y decisiones normalizadas.

Problema: no existía una gobernanza robusta sobre las barreras críticas del arranque. Había alarmas, procedimientos, indicadores y experiencia operativa, pero no una disciplina ejecutiva para tratar el sobrellenado como escenario de alto potencial. Se habían aceptado desvíos repetidos en instrumentos, prácticas operativas y cultura de reportar. En términos de BowTie, el top event estaba visible, pero las barreras preventivas y de mitigación eran débiles, no estaban claramente priorizadas o no tenían un estándar de desempeño suficientemente exigente.

Consecuencia: además del costo humano y financiero, el caso mostró que un sistema puede funcionar con producción aceptable y, al mismo tiempo, con riesgo mayor creciendo debajo de la superficie. Para la dirección, el daño no fue solo reputacional. Hubo impacto regulatorio, litigios, revisión de liderazgo y pérdida de confianza en la capacidad de la organización para controlar sus riesgos mayores.

Lección: si el liderazgo no define cuáles son las barreras críticas y no les asigna un dueño con autoridad real, la planta termina dependiendo del heroísmo operativo. Un BowTie bien gobernado habría obligado a preguntar qué evita el sobrellenado, cómo se prueba la confiabilidad de esa protección, qué hacer cuando una barrera está fuera de servicio y quién autoriza seguir operando bajo esa condición. Eso es gestión de riesgo, no simple cumplimiento documental.

Caso 2: Buncefield 2005, un tanque lleno y una organización vacía de control

Situación: en el depósito de combustible de Buncefield, Reino Unido, un tanque de gasolina se sobrellenó y generó una nube de vapor que explotó. Hubo 43 heridos, evacuaciones masivas y daños que superaron £1.000 millones. Fue uno de los mayores incidentes industriales del Reino Unido en tiempos de paz. No se trató de una falla misteriosa; se trató de una combinación de medición deficiente, protección insuficiente y una respuesta organizacional que no había tratado el overfill como un riesgo crítico de dirección.

Problema: el liderazgo había confiado en que la instrumentación y los procedimientos eran suficientes, pero no había una verificación robusta de desempeño de las barreras. La organización toleró debilidades en alarmas, en la gestión de niveles y en la independencia de algunas funciones de protección. En un BowTie maduro, ese escenario obliga a mirar al menos cuatro cosas: el nivel de independencia de la barrera, su capacidad de actuación, la gestión de factores de escalamiento y el protocolo de respuesta cuando la primera capa falla.

Consecuencia: el impacto económico y operacional fue severo, pero además se expuso una falla de gobernanza. El depósito había operado por años sin que la dirección tratara el riesgo de sobrellenado como un escenario prioritario de supervivencia del negocio. El resultado fue una lección dura: si una barrera crítica no tiene indicadores de salud, no existe en términos de gestión. Existe en papel, no en desempeño.

Lección: BowTie aporta valor porque fuerza a separar intención de control. No basta con decir que hay una alarma o un procedimiento. Hay que demostrar que la alarma funciona, que el operador la ve, que sabe qué hacer, que la independencia es real y que la organización no sigue operando alegremente cuando el control está degradado. Esa es la diferencia entre un sistema nominal y un sistema gobernado.

Un tercer ejemplo, aunque no hace falta para entender la idea, es Deepwater Horizon: 11 fallecidos y millones de barriles de petróleo derramados. La historia se repite con variaciones distintas, pero el patrón es el mismo: barreras múltiples debilitadas, señales ignoradas y un liderazgo que subestimó la degradación acumulada. Por eso la conversación de director no puede quedarse en si hubo una falla técnica aislada. Tiene que revisar cómo el sistema vuelve tolerable lo intolerable.

4. Diagnóstico: señales de alerta para dirección y liderazgo

Si te sentás en el comité de dirección, hay señales bastante claras de que la organización está usando BowTie como poster y no como herramienta de gobernanza. La primera es cuando el tablero tiene muchos indicadores de seguridad personal pero pocos de procesos. La segunda es cuando los escenarios críticos se revisan una vez al año, pero no se actualizan con cambios de proceso, MOC o aprendizaje de incidentes. La tercera es cuando las barreras no tienen dueño claro, o el dueño es HSE pero la operación no siente que le pertenezca.

Otra señal de alerta aparece cuando los líderes solo preguntan por atrasos de producción, CAPEX o mantenimiento, pero no por salud de barreras críticas. Si el directivo no pregunta por alarmas bloqueadas, pruebas vencidas, bypasses activos, válvulas de seguridad con demora o acciones críticas atrasadas, el sistema aprende que eso no importa. Y lo que no importa para arriba termina degradándose abajo.

También hay una alarma importante cuando se usa BowTie para justificar decisiones cuantitativas que nunca se hicieron, o para esconder que faltan cálculos de ingeniería. BowTie no reemplaza estudios de dispersión, análisis de consecuencias, SIL, HAZOP ni QRA. Si la organización lo usa así, lo está degradando. Si no hay un cálculo donde hace falta, primero se hace el cálculo; luego BowTie ordena la gobernanza.

Autoevaluación para directivos:

• ¿Puedo nombrar los 10 escenarios de mayor potencial de pérdida para mi planta o mi portafolio?
• ¿Sé cuáles son las barreras críticas de cada escenario y quién responde por su salud?
• ¿Tengo una forma simple y confiable de ver cuándo una barrera está degradada?
• ¿Mis decisiones de presupuesto reflejan los riesgos mayores o solo la urgencia del corto plazo?
• ¿El comité de liderazgo revisa leading indicators de barreras o solo lagging indicators de lesiones?
• ¿La organización aprende de incidentes y near misses o solo los documenta?

Si alguna de estas respuestas te incomoda, no es un problema de software. Es un problema de sistema de gestión. Y eso se corrige con gobernanza, con disciplina y con una agenda ejecutiva que ponga los riesgos críticos al mismo nivel que producción y costo.

5. Solución y metodología: cómo gobernar BowTie desde dirección

El primer paso es aceptar que no se gobiernan todos los riesgos de la misma manera. Se gobiernan con intensidad los escenarios que pueden matar personas, destruir activos críticos, detener la planta o comprometer la licencia social para operar. El resto se administra por rutina. Ese criterio de selección es clave porque evita dispersión y permite concentrar recursos donde generan más reducción de exposición.

El segundo paso es transformar el BowTie en un sistema de responsabilidades. Cada barrera crítica necesita un dueño, un estándar de desempeño, una frecuencia de verificación y un mecanismo de escalamiento cuando se sale de especificación. Un líder no necesita saber cada detalle técnico de una válvula o de un SIS, pero sí debe exigir que esos detalles existan, estén documentados y se reporten en forma confiable.

El tercer paso es integrar BowTie con los procesos existentes de la empresa. No debe vivir separado de MOC, integridad mecánica, permisos de trabajo, auditorías, investigación de incidentes y revisión de desempeño. Si BowTie se maneja como una isla, se convierte en burocracia. Si se integra con los elementos del PSM, se vuelve un sistema de decisión robusto.

En términos prácticos, el liderazgo necesita tres tipos de controles. Primero, controles de diseño: qué barreras existen y con qué capacidad. Segundo, controles de ejecución: quién las verifica y con qué evidencia. Tercero, controles de disciplina: qué pasa cuando una barrera falla o se degrada. Sin esa tríada, BowTie se queda en dibujo.

Quick wins para empezar sin perder tiempo:

• Reducir el universo a los escenarios con mayor potencial de fatalidad, pérdida mayor o paradas largas.
• Nombrar dueño ejecutivo para cada escenario crítico, no solo para cada departamento.
• Crear un tablero de 8 a 12 indicadores de salud de barreras, no 50 métricas irrelevantes.
• Revisar acciones atrasadas de alto potencial en el comité de dirección, no solo en HSE.
• Incluir una pregunta de barreras críticas en toda visita gerencial a campo.

Cambios estructurales que realmente mueven la aguja:

• Integrar BowTie con el proceso de gestión del cambio para que ningún cambio pase sin revisar barreras.
• Vincular presupuesto de mantenimiento e integridad mecánica con la criticidad de las barreras.
• Hacer que el tablero ejecutivo muestre tendencia de Tier 1, Tier 2 y degradaciones de barreras según API 754.
• Definir consecuencias de liderazgo cuando la organización normaliza desvíos sobre controles críticos.

Si querés un criterio muy simple: una barrera crítica no es crítica porque está en el sistema, sino porque su ausencia o degradación cambia de verdad el perfil de riesgo. Si eso no se ve en el comité, la prioridad está mal puesta. Y si la prioridad está mal puesta, el presupuesto también.

6. Aplicación práctica: cómo llevarlo al día a día directivo

La gestión BowTie para directivos funciona cuando entra en la cadencia de gestión. No hace falta que el director se convierta en especialista en instrumentación, pero sí que haga las preguntas correctas, en el momento correcto y con el dato correcto. Un buen hábito es abrir cada reunión mensual con la salud de dos o tres barreras críticas de alto impacto, no con el reporte genérico de cumplimiento HSE.

Otra práctica útil es hacer recorridos de liderazgo con foco en barreras, no solo en housekeeping. En campo, preguntá qué amenaza está más viva hoy, qué protección está en riesgo, cuándo fue la última prueba, qué condición de escalamiento apareció y qué haría falta para operar de forma segura si esa barrera no estuviera disponible. Esas preguntas cambian la calidad de la conversación con supervisores y especialistas.

También conviene usar BowTie como estructura para revisión de inversiones. Cuando un CAPEX compite con otros proyectos, no lo compares solo por retorno financiero. Preguntá qué escenario crítico reduce, qué barrera fortalece, qué degradación elimina y qué valor protege. Muchas veces el proyecto que no luce espectacular es el que evita la pérdida mayor.

Herramientas útiles para directivos y gerentes de planta:

• Tablero de barreras críticas: muestra estado, vencimientos, bypasses, pruebas y acciones abiertas.
• Matriz de accountability: define dueño, backup, frecuencia de verificación y autoridad de escalamiento.
• Revisión ejecutiva de MOC: ningún cambio relevante pasa sin revisar escenarios y barreras afectadas.
• Visitas gerenciales con foco BowTie: preguntas estandarizadas para validar lo que el papel dice.
• Dashboard API 754: complementa el BowTie con datos de eventos Tier 1, 2, 3 y 4.

La rutina importa. Una planta no se vuelve más segura porque alguien leyó un BowTie una vez. Se vuelve más segura cuando la dirección usa ese BowTie para asignar recursos, corregir desvíos, exigir pruebas y frenar normalizaciones peligrosas. Ahí aparece el verdadero valor de liderazgo.

7. FAQ para directores, gerentes de planta y VP de operaciones

¿BowTie reemplaza los estudios cuantitativos?

No. BowTie no reemplaza QRA, LOPA, estudios de consecuencia ni IEC 61511. Su función es cualitativa y de gobernanza: ordenar escenarios, seleccionar barreras críticas y definir responsabilidades. Cuando necesitás precisión de diseño o cálculo de riesgo, vas a la herramienta cuantitativa correspondiente. Cuando necesitás decidir qué controlar y cómo exigirlo, BowTie es el marco adecuado.

¿Cuántos BowTies debería gestionar una planta?

Los necesarios para gobernar los escenarios de mayor potencial, no todos los peligros posibles. En una planta grande puede haber decenas, pero el comité ejecutivo debería concentrarse en un subconjunto reducido de riesgos críticos. Si el número es tan alto que nadie los revisa con profundidad, entonces no se está gobernando riesgo; se está acumulando documentación.

¿Quién debe ser dueño de una barrera crítica?

Debe existir un dueño real, con autoridad para asegurar desempeño y escalar desvíos. Ese dueño puede estar en operaciones, mantenimiento, ingeniería o especialidad técnica, pero no debería quedar difuso. Si el dueño es solo HSE, la barrera suele perder vínculo con la operación. La accountability tiene que vivir donde se decide, se mantiene y se corrige.

¿Cómo sé si una barrera es realmente crítica?

Una barrera es crítica si su falla o ausencia cambia de forma material la probabilidad o severidad del evento mayor. Debe ser independiente, verificable, mantenible y con criterio claro de desempeño. Si no podés probarla, inspeccionarla o medir su salud, probablemente no esté lista para ser tratada como crítica. Una barrera crítica no puede depender de interpretaciones ambiguas.

¿Con qué frecuencia hay que revisar un BowTie?

Depende del riesgo y del dinamismo de la operación, pero no debería quedar congelado durante años. Conviene revisarlo ante cambios de proceso, incidentes, hallazgos de auditoría, cambios organizacionales y de forma periódica en la revisión de liderazgo. En instalaciones de alto riesgo, la salud de barreras debería mirarse al menos mensualmente y algunos controles incluso semanalmente.

¿BowTie sirve solo para seguridad de procesos?

No. Aunque su mayor potencia está en PSM, también puede apoyar decisiones sobre seguridad ocupacional de alto potencial, integridad operativa y continuidad del negocio. Lo importante es no trivializarlo. Si se usa para todo sin criterio, pierde foco. Si se usa para los escenarios que pueden destruir valor, se vuelve una herramienta muy potente de dirección.

8. Cierre: del liderazgo al terreno, sin perder el criterio

Si llegaste hasta acá, ya viste la idea central: BowTie no es un dibujo elegante ni una promesa de exactitud matemática. Es una herramienta de gobernanza para identificar riesgos críticos, asignar recursos, definir accountability y sostener el desempeño de barreras que protegen personas, activos y continuidad operativa. Su poder aparece cuando la dirección deja de mirar solo resultados atrasados y empieza a gestionar la salud de los controles que hacen posible operar.

También queda clara otra cosa: la estrategia no alcanza si no baja a la rutina. El siguiente nivel de la serie muestra cómo ese marco se convierte en práctica de supervisión en BowTie en supervisión: de la política a la práctica diaria, y luego cómo llega al turno y a la observación cotidiana en BowTie para operadores: detectar desvíos y cuidar barreras. Si la visión directiva no se traduce en esas dos capas, la gobernanza pierde tracción.

En plantas industriales, los accidentes mayores rara vez aparecen de la nada. Casi siempre avisan primero con pequeñas degradaciones, excepciones repetidas y barreras que se van aflojando. La tarea del líder es reconocer ese patrón antes de que se convierta en evento. Y para eso, BowTie sigue siendo una de las mejores herramientas cualitativas que tenés sobre la mesa.