Lo que su sistema de aseguramiento no le está diciendo
El Bayesian, visto desde el consejo
Los propietarios cumplían. Aun así, siete personas murieron en una condición que ningún documento describía.
El velero Bayesian estaba clasificado, certificado y en conformidad cuando volcó frente a Sicilia en menos de 15 segundos, matando a siete de las 22 personas a bordo. El MAIB británico determinó que la falla no fue una regla incumplida, sino una condición que su documento de estabilidad aprobado nunca describió — el ángulo en que el buque perdería estabilidad en su estado operativo real, nunca calculado, nunca en el cuadernillo. Para un consejo, la lección no es náutica. Es que la aprobación no es aseguramiento, y que la metodología de investigación que usted impone decide las conclusiones que tiene derecho a escuchar. De ahí surgen dos preguntas de gobernanza — y la mayoría de los consejos no ha respondido ninguna.
Quite el superyate y los titulares, y el Bayesian se vuelve un caso de gobernanza. He aquí un activo que había superado todas las barreras en las que un consejo se apoya: clasificado por una sociedad reconocida, certificado conforme al código aplicable, operando con un documento de estabilidad aprobado. Según cada elemento que un consejero invocaría, era seguro. Siete personas murieron de todos modos — no porque se incumpliera una regla, sino porque la falla ocurrió en una condición que ningún documento había descrito.
«Cumplíamos» era precisamente la posición de los propietarios. Es también, en casi todo incidente grave, la del consejo. Por eso el Bayesian no es una historia sobre un barco. Es una historia sobre la distancia entre lo que su aseguramiento le dice y lo que es realmente cierto.
Aprobado no es asegurado
Un consejo no ve los peligros directamente. Ve aseguramiento: expedientes de seguridad, informes de auditoría, declaraciones de verificación, certificados de conformidad. Cada uno es una promesa de que los controles están en su lugar y son eficaces. Pero cada uno también está acotado — válido solo para las condiciones que realmente examinó. La confianza del consejo, por tanto, nunca es más amplia que las condiciones que evaluó su aseguramiento.
En el Bayesian, el documento de estabilidad aprobado llevaba la salvaguarda correcta — límites para impedir que una ráfaga súbita inundara el buque — pero solo para sus condiciones a vela. Para la condición en que realmente estaba esa noche, fondeado a motor, el documento guardaba silencio. El límite de estabilidad allí se calculó después en 70,6°, frente a los 84,3° a 92,3° que el documento había certificado para otros estados. La aprobación era enteramente real. El aseguramiento era parcial. Y nadie sabía qué parte faltaba hasta que siete personas estaban muertas.
Cada elemento de aseguramiento que posee su organización fue validado para un conjunto definido de condiciones. Las condiciones que nunca evaluó no aparecen como riesgos en ningún tablero — no aparecen en absoluto. A escala empresarial, estos son los estados silenciosos que un consejo carga sin saberlo. La ausencia de una alerta no es la presencia de seguridad.
Por qué sus investigaciones le dicen siempre «error humano»
Si sus investigaciones internas llegan una y otra vez al «error del operador», el consejo está siendo sistemáticamente mal informado — y no porque alguien mienta. Está mal informado por el método. Un proceso de investigación construido para identificar quién actuó producirá de forma fiable una persona. Un proceso construido para identificar qué condiciones hicieron inevitable el acto producirá de forma fiable un sistema. El mismo evento da una u otra respuesta según el proceso que usted encargó.
Eso es un hecho de gobernanza, no técnico. El consejo, o su delegado, impone la norma de investigación que la organización utiliza. Así que el consejo es dueño del punto ciego que crea su método. No se puede delegar la metodología y desconocer las conclusiones que fue construida para alcanzar.
"El único objetivo de una investigación de seguridad es la prevención de accidentes futuros. No tiene por finalidad determinar la responsabilidad ni atribuir culpa."
El Bayesian lo muestra en público. Su investigación de seguridad, a la que la ley prohíbe atribuir culpa, alcanzó una condición latente — una vulnerabilidad no documentada en el estado operativo. La investigación penal paralela, construida para asignar responsabilidad, habría mirado a la tripulación. Un consejo que discretamente ejecuta un proceso interno orientado a la culpa toma la misma decisión que el fiscal: elige ver actos, y por tanto elige no ver sus propias condiciones latentes.
La metodología que usted impone decide las conclusiones que tiene derecho a escuchar. Encargue un proceso que termine en una persona, y le hablarán de personas — nunca de las condiciones que producirán el siguiente evento.
El costo de una investigación que termina en una persona
Cuando una investigación se cierra sobre un individuo, la condición latente que produjo el evento permanece exactamente donde estaba. El control es «recapacitación» o «un recordatorio»; la vulnerabilidad queda intacta. Así que el evento se repite — y la segunda vez lleva el nombre del consejo, porque el registro ahora muestra que la organización sabía y solo actuó contra la persona. Esa es la secuencia que convierte una falla operativa en una falla de gobernanza y responsabilidad.
Las actuaciones paralelas del Bayesian hacen concreta la exposición: «error del operador» y «causa sistémica» compiten ahora en público, en la prensa y en los tribunales, por las mismas siete muertes. Un consejo al que solo se le ha entregado la versión «error del operador» de sus propios incidentes no tiene defensa preparada para el día en que aflore la versión sistémica — porque nunca encargó a nadie encontrarla.
Tres preguntas que un consejo debería hacer
No hace falta profundidad técnica para gobernar esto. Hacen falta tres preguntas — utilizables en cualquier revisión de aseguramiento y obligatorias tras cualquier incidente grave.
- ¿Qué condiciones operativas ha evaluado realmente nuestro aseguramiento — y cuáles están en silencio? — Exija la lista de estados operativos reales del activo, contrastada con lo que evaluó el expediente de seguridad. Señal de alerta: la dirección describe los controles pero no puede producir la lista de condiciones no evaluadas.
- ¿Qué fue construida para encontrar nuestra última investigación grave — condiciones del sistema o actos individuales? — Audite el método, no solo el informe. Señal de alerta: las recomendaciones están dominadas por recapacitación, disciplina y recordatorios, y no se nombra ninguna condición organizativa latente.
- Por cada conclusión de «error humano» de los últimos 12 meses, ¿qué condición latente permanece en su lugar? — Reabra las que terminaron en una persona. Señal de alerta: nadie puede responder, porque la condición nunca se buscó — lo que significa que sigue activa y aún es capaz de producir el siguiente evento.
Estas tres preguntas convierten el aseguramiento de un ejercicio de confort — recibir la confirmación de que todo está bien — en uno de supervisión: sondear activamente las condiciones que nadie evaluó. Ese giro es toda la función de seguridad del consejo.
Punto a retener
El deber de seguridad de un consejo no es recibir aseguramiento. Es poner a prueba lo que el aseguramiento no cubre, y exigir un método que alcance el sistema en lugar de un nombre. «Aprobado» es una afirmación sobre un conjunto de condiciones, no sobre la realidad. Las conclusiones que está dispuesto a escuchar son las que ha construido la capacidad de atender — y la condición latente sobre la que nunca preguntó es la que llegará con su nombre.
"Un consejo que solo recibe aseguramiento gobierna las condiciones que alguien eligió evaluar — no las que realmente fallarán."
Glosario
- Aseguramiento de la seguridad
- — Los dispositivos — expedientes de seguridad, auditorías, verificación, certificados — que dan al consejo la confianza de que los controles están en su lugar y son eficaces.
- Expediente de seguridad
- — Argumento estructurado, respaldado por evidencia, de que los peligros mayores de un activo están controlados — válido solo para las condiciones evaluadas.
- Condición latente
- — Decisión, documento o defecto incorporado a un sistema mucho antes de un incidente, latente hasta combinarse con un desencadenante (Reason, 1997).
- Falla activa
- — Acto inseguro en el punto del incidente; la capa visible en la que se detiene un método orientado a la culpa.
- Investigación sin atribución de culpa
- — Investigación cuyo único fin es la prevención, explícitamente separada de la responsabilidad — diseñada para sacar a la luz las condiciones del sistema.
- Estado silencioso
- — Condición operativa que existe en la práctica pero nunca fue evaluada por el documento aplicable; un peligro no evaluado, no uno bajo.
- Alcance de condiciones validadas
- — Conjunto de condiciones para las que un elemento de aseguramiento fue realmente evaluado; las condiciones fuera de él son estados silenciosos.
- Gestión del cambio (MOC)
- — Proceso formal para evaluar los peligros introducidos por cualquier modificación, recalificación o nuevo modo operativo.
Recursos
- UK Marine Accident Investigation Branch (2025). Interim report: foundering of the yacht Bayesian. https://www.gov.uk/maib-reports
- US Chemical Safety Board (2025–2026). Incident Reports, Volumes 1–4. https://www.csb.gov/investigations/
- Reason, J. (1997). Managing the Risks of Organizational Accidents. Ashgate.
Preguntas frecuentes
Este artículo es publicado por HSESKILLS Ltd con fines únicamente educativos e informativos. No constituye asesoramiento jurídico. Los escenarios compuestos ilustran patrones comunes y no hacen referencia a ninguna organización específica salvo mención explícita.