Gestión de riesgos PSM: cómo diagnosticar tu estado real

La gestión de riesgos PSM no empieza con una matriz ni termina con una evaluación. Cuando una organización cree que ya entendió el riesgo porque completó un taller, normalmente todavía no entendió su estado real de control. Bhopal, Texas City y Buncefield son recordatorios brutales de que conocer el peligro no evita la catástrofe si las barreras se degradan, la disciplina operativa se afloja y la gobernanza deja de verificar lo que dice controlar.

Este artículo es el punto de partida de la serie. Si trabajás en HSE, operaciones, mantenimiento o liderazgo, tu desafío no es sólo listar peligros, sino leer señales de madurez: dónde hay control consistente, dónde hay control aparente y dónde directamente hay una falsa sensación de seguridad. Esa diferencia define si un programa de PSM es un sistema vivo o un archivo bien presentado.

La idea es simple y exigente al mismo tiempo: un riesgo en PSM nunca es un objeto estático. Cambia con el estado de los equipos, con los turnos, con la competencia de las personas, con la calidad de los datos y con las decisiones de negocio. Por eso la gestión de riesgos PSM es un ciclo continuo, no una actividad aislada. Si querés pasar del diagnóstico conceptual a la ejecución, en el siguiente artículo de la serie PSM en práctica: herramientas para gestionar riesgos hoy bajamos esto a rutinas, herramientas y decisiones concretas.

Gestión de riesgos PSM: por qué no alcanza con evaluar

En Process Safety Management, evaluar el riesgo sin entender cómo se controla es como medir la presión de una línea sin saber si el transmisor está calibrado, si la válvula de alivio funciona o si el operador confía en una alarma que ya aprendió a ignorar. El riesgo no se gestiona sólo en el análisis; se gestiona en el tiempo, en el turno, en el cambio, en la prueba de barreras y en la reacción ante desviaciones.

OSHA PSM 1910.119 obliga a sostener elementos que no son decorativos: process hazard analysis, operating procedures, training, mechanical integrity, management of change, incident investigation, emergency planning, compliance audits y contractor safety. Pero cumplir cada elemento en papel no garantiza control. Lo que importa es la integración entre ellos. Cuando un PHA dice una cosa, el MOC otra y el mantenimiento otra, la organización no tiene un sistema: tiene tres versiones de la verdad.

En PSM, el problema no es sólo el peligro. El problema es la degradación no detectada de las capas de protección y la normalización de la desviación.

CCPS lo plantea en su enfoque de Risk Based Process Safety: la seguridad de proceso depende de la robustez del sistema de gestión, no de una sola barrera o de una cultura “buena” en abstracto. ISO 45001 también empuja en esa dirección cuando exige contexto organizacional, liderazgo, participación de los trabajadores, control operacional y mejora continua. Y IEC 61511, en el mundo de los SIS, te recuerda que una función instrumentada de seguridad no es confiable por definición: necesita especificación correcta, prueba, bypass controlado y verificación de desempeño real.

La consecuencia práctica es contundente: una organización puede tener un mapa de riesgos impecable y, al mismo tiempo, operar con barreras degradadas, cambios no evaluados y competencias insuficientes. Ahí aparece la brecha entre “evaluar” y “controlar”. En términos de gestión, esa brecha es el verdadero riesgo.

Qué miran las organizaciones maduras

Las organizaciones maduras no preguntan sólo “cuál es el nivel de riesgo”. Preguntan: “¿qué evidencia tengo de que el riesgo está contenido hoy?”, “¿qué barrera está más frágil?”, “¿qué cambio reciente puede haber alterado el escenario?” y “¿qué está viendo el operador en el turno que no aparece en la presentación mensual?”. Esa es la diferencia entre una foto y un sistema.

Un indicador útil no es sólo el número de incidentes. En PSM, también importan los indicadores de estado: retrasos en pruebas de lazos instrumentados, alarmas en bypass, repetición de leaks, backlog de mantenimiento crítico, hallazgos de auditoría repetidos, desvíos de procedimiento en tareas críticas y cambios sin MOC completo. API 754 ordena esta lógica con indicadores Tier 1, 2, 3 y 4, pero la lectura correcta no es contable: es de salud del sistema.

Casos reales: cuando evaluar no fue suficiente

Los incidentes mayores rara vez surgen por una sola falla. Nacen de capas que se deterioran en paralelo, de señales débiles ignoradas y de una organización que creyó controlar un proceso porque tenía documentos, reuniones y planes. Veamos dos casos que muestran con claridad por qué el diagnóstico importa más de lo que parece.

Caso 1: Texas City, 2005

Situación. Durante el arranque de una unidad de isomerización en la refinería de BP Texas City, una torre de fraccionamiento se sobrellenó y liberó hidrocarburos por el sistema de alivio hacia un blowdown drum y una torre de venteo. El evento ocurrió después de una parada mayor, en un contexto de arranque y con personal confiando en procedimientos y lecturas que no reflejaban bien la realidad del proceso.

Problema. No fue sólo un fallo de nivel o de instrumentación. Hubo debilidades en análisis de peligros, en gestión del cambio, en capacitación, en diseño de la protección contra sobrellenado, en verificación de alarmas y en la forma en que la organización aceptó desviaciones como si fueran normales. El sistema tenía conocimiento del peligro, pero no un control robusto de las barreras.

Consecuencia. Murieron 15 personas y más de 180 resultaron heridas. El impacto económico superó ampliamente los 1.000 millones de dólares, sin contar la pérdida reputacional y el costo de rediseñar prácticas, estructuras y controles. La investigación mostró que el problema no era un evento aislado: era una expresión de fallas sistémicas acumuladas.

Lección. Un PHA no evita un accidente si el MOC, la integridad mecánica, la competencia operativa y la supervisión no sostienen las condiciones reales de operación. Texas City enseña que la gestión de riesgos PSM falla cuando la organización confunde cumplimiento documental con confiabilidad operativa.

Caso 2: Buncefield, 2005

Situación. En el terminal de almacenamiento de Buncefield, Reino Unido, un tanque de gasolina se sobrellenó durante la transferencia de producto. El sistema de medición falló, la protección independiente de alto nivel no cumplió su función y el escape de vapores formó una nube inflamable que luego explotó. Fue uno de los mayores incendios industriales en Europa.

Problema. El terminal dependía de múltiples supuestos débiles: que la medición sería suficiente, que las alarmas serían atendidas y que el sistema de protección funcionaría como se esperaba. Sin embargo, la cadena de seguridad estaba rota por mantenimiento insuficiente, pruebas inadecuadas y una falsa confianza en un solo punto de control. En otras palabras, había riesgo identificado, pero el control real era frágil.

Consecuencia. Hubo más de 40 personas heridas, se evacuaron miles de residentes y el costo total se estimó en alrededor de 1.000 millones de libras esterlinas. El evento no dejó muertos por pura fortuna y por condiciones circunstanciales, no por excelencia del sistema. Esa diferencia importa mucho en PSM: un incidente evitado por azar no es un sistema seguro.

Lección. Cuando una organización no mide el estado de sus barreras, empieza a administrar supuestos, no riesgos. Buncefield muestra que el sobrellenado no es sólo un problema de operación; es una falla de diseño, verificación, mantenimiento, entrenamiento y gobierno de barreras.

Estos casos reflejan un patrón común: el peligro era conocido, pero la capacidad real de contenerlo no estaba suficientemente verificada. Ese es el corazón del diagnóstico en PSM. Si querés profundizar después en cómo traducir este diagnóstico en instrumentos concretos, el siguiente paso lógico está en PSM en práctica: herramientas para gestionar riesgos hoy.

Qué tienen en común estos incidentes

En ambos casos hubo señales antes del evento. Hubo desvíos aceptados, pruebas postergadas, decisiones de producción por encima de la prudencia, y una lectura excesivamente optimista de la confiabilidad del sistema. Eso demuestra que el accidente no apareció de un día para el otro. Se fue construyendo cuando la organización dejó de preguntar si sus barreras seguían vivas.

Por eso la gestión de riesgos PSM no puede descansar sólo en un comité mensual o en una matriz semaforizada. Necesita evidencias de campo, indicadores de desempeño y una gobernanza que detecte degradación antes de que aparezca la liberación de energía o sustancia peligrosa.

Cómo diagnosticar el estado actual de control

Antes de comprar software, automatizar dashboards o desplegar inteligencia artificial, hay que responder una pregunta incómoda: ¿la organización sabe realmente qué controla hoy y qué controla sólo en teoría? El diagnóstico debe mirar cultura, disciplina operativa, barreras críticas y gobernanza, porque esas cuatro dimensiones suelen explicar por qué un riesgo evaluado sigue activo.

En términos prácticos, el estado de control se reconoce por señales observables. Si un área tiene alta criticidad, pero los hallazgos se cierran rápido sin verificación en campo, si los cambios se aprueban con urgencia y documentación incompleta, o si los supervisores dependen de la memoria individual para tareas críticas, la organización no está controlando de forma consistente. Está improvisando con buena intención.

Señales de alerta que no deberías ignorar

• Backlog creciente en mantenimiento de equipos críticos, especialmente en instrumentación, válvulas de alivio, SIS y detección de gas.
• Alarmas en bypass, inhibidas o repetitivas sin análisis de causa ni plazo de recuperación claro.
• Acciones de auditoría que se cierran por evidencia administrativa, pero sin observar el cambio en campo.
• Procedimientos críticos que existen, pero que los operadores modifican para poder producir o recuperar tiempo.
• Cambios pequeños acumulados sin MOC completo, sobre todo en set points, repuestos, software, lógica o layout.
• Indicadores Tier 1 bajos, pero aumento de Tier 2 y Tier 3, como si la planta estuviera mejor cuando en realidad sólo está notificando menos.
• Reuniones de seguridad centradas en comportamientos individuales y no en condiciones del sistema.

Preguntas que deben responder HSE y líderes antes de automatizar

Antes de implementar herramientas o automatizaciones, conviene responder al menos estas preguntas: ¿los datos de base son confiables?, ¿las definiciones de incidente, desvío y barrera crítica son comunes para toda la planta?, ¿hay una taxonomía clara de riesgos significativos?, ¿las personas en campo entienden para qué sirve el sistema?, ¿quién duele cuando el dato está mal?, y ¿qué decisión concreta va a cambiar con ese dato?

Si no podés responder eso, automatizar sólo acelera la confusión. Primero hay que estabilizar el sistema de gestión; después, sí, la tecnología suma. Más adelante, en PSM avanzado: integrar riesgos y mejora continua hoy, vamos a conectar este diagnóstico con un esquema de mejora continua más robusto y escalable.

Metodología para pasar del diagnóstico a la acción

La buena noticia es que diagnosticar no requiere reinventar la rueda. Requiere disciplina, foco y método. Si la organización logra ver el estado real de control, puede priorizar con más inteligencia y evitar inversiones que sólo maquillan el problema. La mala noticia es que este trabajo no se resuelve con una presentación. Hay que ir a campo, cruzar datos y confrontar supuestos.

Un método simple pero potente consiste en cinco pasos. No necesita ser perfecto para empezar. Necesita ser consistente, trazable y útil para tomar decisiones. Eso sí: cada paso debe terminar en una evidencia observable, no en una opinión.

Qué cambios estructurales suelen dar resultado

• Crear un registro de barreras críticas con dueño, evidencia de verificación y frecuencia de prueba.
• Integrar MOC, mantenimiento, operación y HSE para que no existan versiones distintas del riesgo.
• Adoptar un tablero de indicadores que combine lagging y leading, con foco en API 754 y en desempeño de barreras.
• Fortalecer la verificación en campo: Gemba, observación de tareas, recorridas con supervisión y escucha activa.
• Definir criterios de escalamiento cuando una barrera crítica se degrada o cuando una desviación se repite.

Los quick wins importan porque muestran que el sistema puede reaccionar. Pero no son suficientes. Si la planta no corrige la estructura de decisión, los mismos desvíos reaparecen. El objetivo no es apagar incendios administrativos; es reducir la probabilidad de eventos mayores al restaurar control confiable.

Qué hacer si hoy estás empezando

Si tu organización todavía está en un nivel básico, no intentes resolver todo al mismo tiempo. Empezá por una unidad o un proceso de alto riesgo. Escogé tres escenarios mayores, identificá sus barreras críticas y revisá si esas barreras están realmente operativas. Con eso ya podés mostrar una brecha real y empezar a generar lenguaje común entre HSE, operaciones y mantenimiento.

Si tu organización ya tiene matrices, dashboards y auditorías, el paso siguiente no es agregar más indicadores. Es validar si los actuales reflejan la realidad del proceso. El exceso de datos sin criterio de decisión suele ocultar la falta de control. Menos ruido, más evidencia.

Aplicación práctica en el día a día

La gestión de riesgos PSM no se consolida sólo en la oficina. Se define en el cambio de turno, en el permiso de trabajo, en el mantenimiento de una alarma, en la interpretación de un desvío y en la decisión de parar o seguir. Por eso conviene traducir el diagnóstico a acciones concretas según el rol.

Para directores y gerentes

• Pedí un reporte mensual de estado de barreras críticas, no sólo de incidentes.
• Revisá el backlog de mantenimiento crítico y los desvíos repetitivos como temas de negocio, no como simples asuntos operativos.
• Exigí que cada decisión de producción que introduzca riesgo tenga justificación técnica y seguimiento.
• Usá indicadores que muestren tendencia de degradación y no sólo resultados finales.

Para mandos medios y supervisores

• Verificá en campo si el procedimiento se puede ejecutar tal como está escrito.
• Hacé preguntas abiertas al operador sobre condiciones anormales, no sólo sobre cumplimiento.
• Revisá alarmas, bypass y pendientes de mantenimiento en cada reunión de turno.
• Escalá con rapidez cualquier condición que afecte una barrera crítica.

Para operadores

• Reconocé cuándo una condición normal se está volviendo anormal.
• No conviertas un atajo en rutina si afecta un control crítico.
• Usá la comunicación de turno para dejar trazabilidad de desvíos y limitaciones.
• Si una alarma, un instrumento o una protección no se comporta como debería, avisá de inmediato.

Hay una idea importante acá: el error humano no se entiende desde la culpa, sino desde el sistema que lo hace probable. Si un operador omite un paso, primero preguntá qué condiciones del trabajo, del procedimiento o de la supervisión facilitaron esa omisión. Esa mirada sistémica es la única que produce mejora sostenible.

Si querés profundizar en herramientas y rutinas concretas para bajar estos conceptos a la operación, el siguiente paso de la serie está pensado justamente para eso. Y si además buscás una ruta más madura de integración y escalamiento, el tercer artículo completa la lógica con mejora continua y gestión avanzada.

Qué debe quedar claro antes de invertir en nuevas herramientas

La tecnología ayuda, pero no corrige por sí sola una arquitectura débil. Antes de comprar software, sensores o dashboards, asegurate de que la organización pueda responder estas preguntas: ¿cuáles son nuestras barreras críticas?, ¿cómo sabemos que siguen funcionando?, ¿quién toma decisiones cuando se degradan?, ¿qué indicadores prueban que el riesgo bajó?, y ¿cómo aprendimos del último desvío significativo?

Cuando esas preguntas tienen respuesta, la automatización multiplica valor. Cuando no, sólo acelera el sesgo. Por eso la fase de fundamentos y diagnóstico es tan importante: ordena el problema antes de invertir en soluciones que podrían terminar decorando el síntoma.

En este punto, herramientas como diagnósticos de madurez, revisión de barreras, análisis de cultura y rutinas de campo dejan de ser actividades aisladas y se convierten en parte de una estrategia de gobernanza. Si necesitás ubicar tu organización sin perder meses en hipótesis, los Diagnósticos Digitales pueden ser un punto de partida muy útil para comparar percepciones con evidencia.

Cierre: diagnosticar es el comienzo, no el final

La gestión de riesgos PSM no se mide por la cantidad de matrices llenas, sino por la capacidad de sostener control confiable frente a cambios, desvíos y presiones operativas. Identificar y evaluar son necesarios, pero insuficientes. Lo que separa a una organización madura de una reactiva es su capacidad de leer el estado real del sistema y actuar antes de que el riesgo se convierta en evento.

Si este artículo te ayudó a mirar más allá de la identificación, el próximo paso es aterrizar la teoría en rutinas, formatos y decisiones concretas. Ahí es donde entra PSM en práctica: herramientas para gestionar riesgos hoy. Y cuando ya tengas la base instalada, PSM avanzado: integrar riesgos y mejora continua hoy te va a mostrar cómo escalar con criterio, integración y aprendizaje continuo.