Mejora continua en gestión de riesgos PSM: casos y lecciones de alto impacto

La mejora continua en gestión de riesgos PSM no fracasa por falta de matrices; fracasa porque la organización confunde identificar con controlar. En muchas plantas, el riesgo está evaluado en un sistema, pero las barreras críticas siguen degradadas, los cambios se aprueban por presión de arranque y las lecciones aprendidas se archivan sin modificar la forma real de operar.

Ese es el punto incómodo para los líderes. No alcanza con decir que hubo un HAZOP, un BowTie o una evaluación cuantitativa. Si las recomendaciones no se cierran, si los overides se normalizan y si los indicadores se quedan en el escritorio, el desempeño real termina desconectado del papel. Y cuando eso pasa, el incidente no llega por sorpresa: llega después de meses de señales débiles que nadie logró convertir en decisión.

Este artículo cierra la serie con una mirada de liderazgo. Si querés volver al punto de partida, te conviene revisar cómo diagnosticar el estado real antes de actuar. Y si ya necesitás bajar a herramientas concretas para el terreno, el siguiente paso natural es PSM en práctica: herramientas para gestionar riesgos hoy. Acá vamos un nivel más arriba: cómo sostener la mejora, cómo integrar sistemas y cómo tomar decisiones cuando la complejidad ya no se resuelve con cumplimiento documental.

Un riesgo identificado y mal controlado no deja de existir: solo espera el momento de convertirse en evento.

Mejora continua en gestión de riesgos PSM: del cumplimiento al desempeño

La diferencia entre una organización que cumple y una organización que controla riesgos está en la calidad del sistema de aprendizaje. El cumplimiento te dice si tenés procedimientos, auditorías, análisis y registros. El desempeño te dice si la barrera crítica que debía contener la pérdida sigue disponible, competente y verificada cuando realmente importa.

Para líderes HSE y operaciones, esto cambia la conversación. Ya no se trata de pedir más reportes, sino de preguntarse si el sistema está midiendo lo que importa: salud de barreras, degradación de activos críticos, eficacia de acciones correctivas, tiempos de cierre de MOC y calidad de las decisiones frente a desviaciones repetidas. Ahí se juega la disciplina operativa.

Los estándares son claros. OSHA PSM 1910.119 exige análisis de peligros de proceso, integridad mecánica, procedimientos operativos, gestión del cambio, investigación de incidentes, capacitación y auditorías periódicas. IEC 61511 define el ciclo de vida de los sistemas instrumentados de seguridad y la necesidad de pruebas, verificación y gestión de modificaciones. ISO 45001 aporta la lógica de gestión basada en riesgos, liderazgo y mejora continua. CCPS, por su parte, insiste en que la seguridad de procesos debe ser gestionada como un sistema, no como una suma de acciones aisladas.

Y hay una advertencia importante: un TRIR bajo no prueba control de riesgo de proceso. API RP 754 separa con intención los eventos de seguridad personal de los eventos de seguridad de proceso, porque son realidades distintas. Una planta puede tener baja accidentalidad laboral y, al mismo tiempo, acumular degradación de barreras que antecede una liberación mayor. Si el dashboard mezcla todo, el líder termina viendo una foto maquillada.

La lógica de mejora continua en PSM no es “hacer más”. Es cerrar el ciclo entre detectar, decidir, ejecutar, verificar y aprender. Por eso el análisis de riesgos debe conectarse con la gestión de activos, el mantenimiento, la integridad mecánica, la instrumentación de seguridad y el sistema de auditoría. Si cada disciplina trabaja en un archivo distinto, el riesgo se fragmenta. Si trabajan sobre los mismos escenarios críticos, la organización gana velocidad y precisión.

En organizaciones maduras, la conversación ya no gira alrededor de cuántas recomendaciones hubo, sino de cuántas redujeron efectivamente la exposición. Esa es una diferencia sustantiva. La primera lógica produce actividad. La segunda produce control real.

Marco técnico: barreras, gobernanza y desempeño verificable

Para liderar esta etapa tenés que pensar en capas. La primera capa es el escenario de pérdida: qué puede salir mal, cómo se degrada la contención, qué activa la liberación y cuál sería la consecuencia. La segunda capa son las barreras independientes: ingeniería, instrumentación, procedimientos, competencias, supervisión y respuesta. La tercera capa es la gestión: quién decide, con qué datos, en qué plazo y cómo se verifica que la barrera sigue viva.

Ahí aparece el concepto de barrier health o salud de barreras. No alcanza con decir que una barrera existe; hay que mostrar si está disponible, confiable, mantenida, probada y entendida por el personal que depende de ella. Lo mismo aplica a los sistemas instrumentados de seguridad bajo IEC 61511: su eficacia depende del ciclo de vida completo, no solo de la instalación inicial.

Si mirás esta integración desde la dirección, el valor no está solo en reducir probabilidad de accidente mayor. Está en reducir interrupciones no planificadas, pérdidas por degradación de activos, paradas por auditoría, reclamos regulatorios y consumo de capital por correcciones tardías. En otras palabras: PSM también es gobernanza de negocio.

Para un líder de planta o de unidad, el punto clave es otro: saber dónde poner el límite operativo. Si un instrumento de protección está fuera de prueba, si una desviación de procedimiento quedó normalizada o si una orden de trabajo crítica lleva meses abierta, la pregunta ya no es administrativa. La pregunta es si la operación debe seguir igual.

La disciplina operativa emerge cuando el sistema deja de tolerar la distancia entre “lo que se dijo” y “lo que realmente se hace”. Ese es el espacio donde nacen la mayoría de los incidentes mayores.

Análisis profundo con casos: cuando el riesgo estaba identificado y aun así falló

Caso 1: BP Texas City, el riesgo estaba en el papel pero no en la práctica

En marzo de 2005, el arranque de la unidad de isomerización en Texas City terminó en una explosión devastadora. Murieron 15 personas y 180 resultaron heridas. La investigación de la U.S. Chemical Safety Board mostró un patrón que se repite demasiado: el peligro estaba identificado, pero el sistema de control no era confiable en la práctica. Había recomendaciones pendientes, instrumentos con desempeño cuestionable, procedimientos de arranque desalineados con la realidad y una cultura donde la presión por reanudar producción pesaba más que la integridad de la barrera.

La falla no fue solo técnica. Fue organizacional. El nivel del splitter se leyó mal, el blowdown drum descargó a la atmósfera y la secuencia de arranque se ejecutó con debilidad en la supervisión y en la disciplina de verificación. A eso se sumó un punto incómodo para cualquier comité ejecutivo: la organización tenía información suficiente para reducir la exposición, pero no tenía un mecanismo eficaz para priorizar, asignar y cerrar los hallazgos críticos.

La lección de Texas City no es que los HAZOP no sirven. Sirven mucho. La lección es que un HAZOP no controla nada por sí mismo. Si las recomendaciones se vuelven patrimonio del sistema documental y no del sistema de gestión, el riesgo sobrevive. En términos de liderazgo, esto significa que el cierre de acciones debe medirse por reducción real de exposición, no por fecha de archivo.

También muestra algo que muchas organizaciones aún subestiman: la interfaz entre ingeniería y operación. Un diseño inseguro, una alarma poco confiable y un procedimiento escrito sin práctica en campo crean una falsa sensación de control. El equipo cree que tiene una barrera, pero en realidad tiene una intención.

Caso 2: Deepwater Horizon, cuando la agenda derrota a la barrera

El desastre de Deepwater Horizon en 2010 no fue un accidente aislado. Fue la convergencia de múltiples debilidades: interpretación deficiente de pruebas de presión, decisión apurada, dependencia de barreras mal comprendidas y una cadena de mando donde la presión por avanzar tuvo más peso que el criterio técnico. Murieron 11 trabajadores, se derramaron unos 4.9 millones de barriles de petróleo y el costo total para BP superó ampliamente los US$60 mil millones entre respuesta, multas, reclamos y compensaciones.

Desde el punto de vista de PSM, el caso deja una enseñanza brutal: evaluar riesgos no alcanza si las decisiones operativas se toman con sesgo de confirmación. La prueba negativa del pozo debía haber detenido la secuencia o, como mínimo, disparado una verificación independiente fuerte. En cambio, se aceptó una lectura conveniente. Esto es muy frecuente en plantas terrestres también: un indicador no cuadra, pero se interpreta como ruido porque parar cuesta demasiado.

Deepwater Horizon puso en evidencia otro tema central para líderes senior: la autoridad para detener. Si la organización dice que valoriza el stop work, pero el mensajero recibe castigo informal cada vez que frena una puesta en marcha, el sistema envía una señal contraria. Ahí el error humano deja de ser individual y pasa a ser una producción de contexto. El operador no eligió entre seguridad y producción en abstracto; eligió dentro de un sistema que premiaba llegar al objetivo.

La conclusión es válida para refinerías, químicas, terminales y plantas de energía: la barrera crítica no es solo técnica. También es gerencial. Un supervisor que no recibe respaldo para detener una actividad de riesgo, o un comité que no revisa la integridad de las barreras antes de aprobar una desviación, está creando el escenario para el próximo evento.

Si querés una síntesis incómoda: los eventos mayores casi siempre nacen en una zona donde el riesgo ya fue identificado, pero el aprendizaje no modificó el comportamiento del sistema.

Diagnóstico y autoevaluación: señales de alerta que un líder no debería ignorar

Antes de hablar de soluciones, vale mirar las señales tempranas. En organizaciones maduras, las brechas aparecen mucho antes del incidente. El problema es que suelen estar distribuidas entre áreas y nadie las conecta. Si sos líder HSE, gerente de planta o director de operaciones, estas señales deberían prender una alarma de gobernanza.

• Las recomendaciones de PHA, auditoría o incidentes se cierran tarde o se cierran sin evidencia de reducción de riesgo.
• Hay backlog creciente de mantenimiento crítico, pero no existe priorización por consecuencia sobre barreras de proceso.
• Los bypasses, inhibiciones o overrides de SIS no tienen tendencia visible ni revisión ejecutiva regular.
• Se reportan pocos eventos de seguridad de proceso, pero aparecen muchas desviaciones recurrentes en operación y mantenimiento.
• Los cambios de ingeniería o procedimiento se aprueban por urgencia, con trazabilidad débil de MOC.
• Las auditorías detectan siempre las mismas brechas, pero los hallazgos no cambian el sistema ni el estándar de trabajo.
• La capacitación existe, pero no hay verificación de competencia en campo ni observación de desempeño real.
• El dashboard de seguridad muestra TRIR, pero no muestra API 754, barreras críticas o edad de acciones abiertas.

Ahora, algunas preguntas útiles para autoevaluarte. No las respondas con intuición; respondelas con evidencia.

• ¿Puedo demostrar, con datos, que mis barreras críticas están disponibles y efectivas hoy?
• ¿Sé cuáles son los cinco escenarios de pérdida con mayor exposición económica y humana en mi operación?
• ¿Tengo una revisión periódica de recomendaciones vencidas y bypasses activos a nivel ejecutivo?
• ¿La gerencia exige verificación de eficacia, o solo cierre administrativo de acciones?
• ¿Mi mantenimiento prioriza criticidad de barrera o solo disponibilidad global de planta?
• ¿Mis lecciones aprendidas cambiaron un estándar, un procedimiento o una competencia observable en campo?

Si la respuesta a dos o más de esas preguntas es ambigua, no estás frente a un problema de herramientas. Estás frente a un problema de sistema.

Solución y metodología: cómo cerrar la brecha entre análisis, disciplina y desempeño

La mejora continua en gestión de riesgos PSM necesita una metodología simple de entender y exigente de ejecutar. No es un proyecto de software ni una campaña de compliance. Es una forma distinta de gobernar las decisiones alrededor de escenarios críticos.

El objetivo es pasar de “tenemos un listado de riesgos” a “sabemos qué barreras protegen cada riesgo, cómo se degradan, quién es dueño de su salud y qué hacemos cuando pierden desempeño”. Esa transición tiene seis pasos prácticos.

En ese esquema, los quick wins no son maquillaje. Son acciones que reducen exposición en el corto plazo: eliminar un bypass innecesario, cerrar una prueba vencida de SIS, priorizar un trabajo crítico de corrosión, bloquear un cambio sin MOC completo o reentrenar a un equipo que opera una secuencia de arranque sensible. Pequeños movimientos bien elegidos suelen generar más control real que una campaña masiva sin foco.

Los cambios estructurales, en cambio, son los que sostienen la mejora. Por ejemplo: un comité de barreras críticas con autoridad para frenar operaciones; un estándar de performance para cada barrera; integración entre el sistema de mantenimiento y el registro de riesgos; y una auditoría que mida eficacia de cierre, no solo existencia de evidencia. Eso es lo que convierte la gestión de riesgos en una capacidad organizacional, no en una actividad de soporte.

Acá también hay una oportunidad para digitalizar con criterio. No para reemplazar el juicio, sino para que la información crítica llegue antes y mejor. Un dashboard de barreras, una trazabilidad de MOC y un aging de acciones integrados pueden reducir ceguera organizacional. Pero ojo: si la data es mala, la tecnología solo hace más visible el desorden. Primero calidad de datos, después automatización.

Si tu organización todavía discute si necesita o no un sistema de madurez, probablemente ya lo necesita. Un diagnóstico digital bien diseñado te permite ubicar dónde están las brechas de PSM, disciplina operativa y competencias sin perder meses en percepciones cruzadas. La clave es usarlo como herramienta de decisión, no como certificado decorativo.

Aplicación práctica: cómo llevarlo al día a día de liderazgo

La mejora continua no vive en un PowerPoint. Vive en rutinas de gestión. Para un líder senior, el primer cambio es ritualizar la revisión de riesgos críticos con información útil. No una reunión más larga, sino una reunión mejor enfocada.

En la práctica, eso significa que cada semana deberías poder responder: cuáles son las tres barreras más comprometidas, qué MOC crítico está envejeciendo, qué prueba de integridad o SIS venció, qué desviación se repite en operaciones y cuál es el bloqueo para cerrar una acción de alto riesgo. Si esas respuestas no están disponibles, el sistema no está gobernado.

Para mandos medios, la tarea es llevar esa lógica a campo. Antes de aprobar un arranque, una intervención o una modificación, hay que revisar si la barrera asociada está saludable. En el turno, eso se ve en cosas muy concretas: una alarma inhibida, una válvula pendiente, una orden de trabajo crítica sin fecha, un procedimiento que no coincide con el equipo real. La disciplina operativa empieza ahí, no en el reporte mensual.

Para operadores, el valor está en reconocer la diferencia entre una desviación menor y una pérdida de contención. Si una condición no está dentro del estándar, se escala. No para buscar culpables, sino para evitar que el sistema te pida heroísmo después. La cultura madura no depende de que la gente sea más valiente; depende de que el sistema no castigue hablar a tiempo.

Un esquema útil de rutina puede ser este:

• Diario: revisión de desviaciones de turno, bypasses, alarmas y condiciones de barrera.
• Semanal: seguimiento de acciones críticas, backlog de mantenimiento y cambios en curso.
• Mensual: tablero de API 754, salud de barreras y tendencias de eficacia de acciones.
• Trimestral: revisión gerencial de aprendizaje, MOC envejecido y desempeño de contratistas críticos.
• Anual: revalidación del PHA, auditoría integral y actualización de competencias clave.

Si querés empezar por algo simple, empezá por una sola unidad o línea de proceso y seguí tres preguntas: ¿qué puede matar o liberar energía/contención?, ¿qué barreras lo evitan?, ¿cómo sé hoy que siguen funcionando? Cuando esas tres respuestas son visibles para el equipo, el comportamiento cambia más rápido de lo que parece.

Capacidades que van a definir el futuro del PSM

El futuro de la disciplina no va hacia más formularios. Va hacia líderes que entiendan riesgo como sistema vivo. Eso exige capacidades nuevas. Primero, alfabetización en barreras: saber leer degradación, independencia y desempeño. Segundo, pensamiento sistémico: conectar mantenimiento, operación, ingeniería, logística, contratistas y gobernanza sin aislarlos en silos.

Tercero, criterio de datos. La IA industrial, los tableros predictivos y las analíticas de confiabilidad solo agregan valor si la base de datos es confiable y si el proceso de decisión está bien diseñado. Cuarto, human factors: entender que el error humano no se corrige con sermones, sino con diseño, carga de trabajo razonable, interfaces claras y permiso real para detener. Y quinto, resiliencia: capacidad de operar con márgenes, detectar pérdida de control temprano y responder antes de que la desviación se transforme en evento mayor.

En esa evolución, los líderes HSE van a ser menos guardianes del cumplimiento y más arquitectos del desempeño. Van a tener que conversar con operaciones, mantenimiento, finanzas, ingeniería y auditoría en el mismo idioma: consecuencia, exposición, barrera y verificación. Esa es la transición que separa a las organizaciones que sobreviven de las que aprenden.

Por eso la mejora continua no es un capítulo final. Es la forma de sostener el sistema cuando el negocio cambia, los activos envejecen, las competencias rotan y la presión por producir nunca baja. La pregunta correcta ya no es si tenés una evaluación de riesgos. La pregunta es si tu sistema aprende lo suficiente rápido como para no repetir el mismo error con un nombre nuevo.

Si hoy te toca liderar esa transición, buscá primero claridad. Después, disciplina. Y recién ahí digitalización. Porque en PSM, como en la vida real de planta, el problema casi nunca es falta de información. El problema es qué hace la organización con ella.

Ese es el cierre de la serie: diagnosticar antes de actuar, ejecutar con herramientas concretas y consolidar la mejora continua desde el liderazgo. Si ordenás esos tres niveles, el sistema deja de reaccionar tarde y empieza a gestionar riesgo de verdad.