Título original: Self evaluation tool: Key lessons from the Columbia Shuttle disaster (adapted to the process industries)
Traducción: Jessica Milena Cortázar Godoy.Resumen
«En nuestra opinión, la cultura organizativa de la NASA tuvo tanto que ver con este accidente como la espuma». Informe CAIB, vol. 1, pág. 97
El 1 de febrero de 2003, el transbordador espacial Columbia se desintegró durante el reingreso a la atmósfera de la Tierra, matando a los siete miembros de la tripulación a bordo. La cadena de eventos que condujeron al desastre había comenzado 16 días antes cuando se lanzó el transbordador. Durante el ascenso, 81 segundos después del despegue, un gran trozo de espuma aislante se desprendió del tanque de combustible externo, golpeó el transbordador y dañó las placas de protección térmica críticas. Posteriormente, los paneles fallaron cuando se expusieron al intenso calor que se encontró cuando el transbordador volvió a entrar en la atmósfera durante su regreso a la Tierra.
Aunque el impacto se descubrió durante la revisión de los videos de lanzamiento en el segundo día de la misión, la gerencia del programa de Transbordadores no pudo estar convencida de que el evento representara un peligro para la misión, la nave espacial o la tripulación. En consecuencia, no se realizó ningún esfuerzo formal para confirmar la integridad del transbordador Columbia antes de su nefasto regreso a la Tierra. Tras la tragedia, se formó la Junta de Investigación de Accidentes de Columbia (CAIB, por sus siglas en inglés). Después de determinar que los escombros de espuma aislante golpeando el ala era la causa física más probable, la junta centró su atención en los factores de la cultura organizacional detrás de la falla. Para propósito de su investigación, la junta ofreció la siguiente definición de cultura organizacional:
«La cultura organizacional se refiere a los valores, normas, creencias y prácticas básicos que caracterizan el funcionamiento de una institución en particular. En el nivel más básico, la cultura organizacional define los supuestos que hacen los empleados mientras realizan su trabajo; define «la forma en la que hacemos las cosas aquí». La cultura de una organización es una fuerza poderosa que persiste a través de reorganizaciones y la salida del personal clave». Informe CAIB, vol. 1, pág. 101
Al llevar la investigación más allá de los causales inmediatos, la CAIB estaba tratando de comprender dos cuestiones en particular:
- ¿Por qué no se tomaron medidas en las dos semanas disponibles entre el lanzamiento y el regreso a las serias preocupaciones sobre la integridad del Columbia, planteadas dentro de un día de lanzamiento? Con poca evidencia que lo corroborara, la gerencia se había convencido de que un golpe de espuma no era, ni podía ser una preocupación.
- ¿Cuáles de los patrones culturales que emergieron del accidente de Columbia fueron los mismos que los identificados por primera vez después de la tragedia del Challenger (casi exactamente 17 años antes) y por qué todavía estaban presentes?
A través de su informe, la CAIB ha brindado un servicio a todas las organizaciones en cuyas instalaciones se manejan materiales peligrosos o que se dedican a realizar actividades peligrosas. Aunque la NASA es una organización única, con una misión enfocada, las fallas culturales organizacionales que llevaron al desastre del Columbia tienen contrapartes en cualquier operación con potencial de incidentes significativos. Los temas culturales organizacionales clave que surgen del informe CAIB incluyen:
- Mantener un sentido de vulnerabilidad: Los incidentes catastróficos que involucran materiales o actividades altamente peligrosos ocurren con tan poca frecuencia que la mayoría de las organizaciones nunca tienen la desafortunada (pero educativa) oportunidad de experimentar uno. La diligencia operacional y la efectividad de la gestión pueden verse fácilmente empañada por una sensación de falsa seguridad, lo que conduce a fallos en los sistemas de prevención críticos. Eliminar incidentes graves requiere recordatorios constantes de las vulnerabilidades inherentes a las actividades peligrosas.
- Combatir la normalización de la desviación: Cuando se violan conscientemente limitaciones preestablecidas ingenieriles u operativas sin consecuencias negativas resultantes, se fomenta una mentalidad organizativa que sancione más fácilmente futuras violaciones. Esto puede ocurrir a pesar de la evidencia técnica bien establecida, o el conocimiento del historial operativo, que sugiere que es más probable que tales violaciones conduzcan a un incidente grave.
- Establecimiento de un imperativo de seguridad: Una organización que se concentra en lograr sus objetivos principales puede desarrollar una homogeneidad de pensamiento que a menudo desalienta los aportes críticos. En el caso de que se ignoren preocupaciones de seguridad válidas, el éxito de la empresa puede verse en peligro. El informe del CAIB presenta un argumento convincente para garantizar controles de «juicio» sólidos e independientes sobre la integridad de seguridad fundamental de una operación.
- Realización de evaluaciones de riesgo válidas y oportunas: Sin una comprensión completa de los riesgos y las opciones disponibles para mitigarlos, la administración se ve obstaculizada para tomar decisiones efectivas. Las organizaciones que no participan activamente en los ejercicios cualitativos y cuantitativos del «¿qué podría salir mal?», o que no actúan sobre las recomendaciones generadas por las evaluaciones de riesgos que se realizan, pierden la oportunidad de identificar y gestionar sus riesgos.
- Garantizar comunicaciones abiertas y francas: Una cultura organizacional disfuncional puede desalentar las comunicaciones honestas, a pesar de las apariencias formales de lo contrario. Esto se hace a través de protocolos, procedimientos y normas establecidos que dictan la manera en que los subordinados se comunican con la administración y la manera en que la administración recibe y responde a la información. Las barreras a las comunicaciones laterales (por ejemplo, entre grupos de trabajo) también pueden impedir el libre flujo de información crítica para la seguridad.
- Aprender la cultura y promoverla: Las organizaciones que no interiorizan y aplican las lecciones aprendidas de sus errores se relegan a niveles de desempeño estáticos o incluso en declive. La excelencia en seguridad requiere la curiosidad y la determinación necesarias para ser una cultura de aprendizaje y avance.
A continuación, se ofrecen breves resúmenes de los temas anteriores, extraídos del informe del Columbia. Además, se incluyen «conjuntos de preguntas para el autoexamen» como orientación inicial de alto nivel en caso de que las organizaciones deseen, como parte de sus esfuerzos de integración de excelencia operacional, comenzar a identificar y corregir los paralelos culturales organizacionales, si los hubiera, que puedan existir entre la NASA y sus propias operaciones.
Mantener un sentido de vulnerabilidad
«Permítanme asegurarles que, a partir de ayer por la tarde, el Transbordador estaba en excelente estado, los objetivos de la misión se estaban cumpliendo y que no se identificaron problemas importantes en el sistema de escombros…» Hablado por un funcionario de la NASA luego del lanzamiento de Columbia y después de que se identificara un importante impacto de escombros. Informe CAIB, vol. 1, pág. 101
«El transbordador se ha convertido en un sistema maduro y confiable … casi tan seguro como la tecnología actual ofrece». Panel Asesor «Informe Kraft», marzo de 1995. Informe CAIB, vol. 1, pág. 108
En los 17 años transcurridos desde el incidente del Challenger, la percepción de que podrían ocurrir eventos catastróficos similares había sido disminuida por la cultura organizacional de la NASA. Los gerentes de los transbordadores confiaban en gran medida en el éxito pasado reciente como justificación de sus acciones. Específicamente, los problemas nuevos e imprevistos no fueron objeto de un análisis técnico exhaustivo. Por ejemplo, la creencia de que los golpes de espuma aislante no pusieron en peligro al transbordador surgió de una observación limitada de que no se habían producido desastres como resultado de impactos de espuma anteriores; por lo tanto, no iban a ocurrir desastres en el futuro. El éxito pasado y el funcionamiento sin incidentes no garantizan el éxito futuro. Solo un enfoque continuo en los fundamentos de la gestión de la seguridad mantendrá los riesgos al mínimo.
Mantener un sentido de vulnerabilidad – Conjunto de preguntas para el autoexamen
- ¿Podría ocurrir un incidente grave hoy en una de nuestras instalaciones, dada la efectividad de nuestras prácticas operativas actuales? ¿Cuándo fue la última llamada seria o casi perdida? ¿Creemos que la gestión de seguridad de procesos (PSM, por sus siglas en inglés) u otras actividades de cumplimiento están garantizadas para prevenir incidentes importantes?
- ¿Se discuten de forma rutinaria las lecciones de los desastres relacionados con la industria en todos los niveles de la organización, y se toman medidas cuando se han identificado deficiencias similares en nuestras operaciones?
- ¿Los análisis de riesgo incluyen una evaluación de eventos importantes creíbles? ¿Se determina siempre que las frecuencias de tales eventos son «improbables»? ¿Se han rechazado las mejoras de seguridad propuestas como innecesarias porque «nunca ha sucedido nada como esto»? ¿Los análisis de riesgo eliminan las salvaguardas propuestas bajo el lema de «doble incriminación»? («Doble peligro» se refiere a una mentalidad, demasiado común en los equipos de análisis de peligros de procesos, de que los escenarios que requieren dos errores o fallas independientes no necesitan ser considerados ya que es «muy poco probable que ocurran»).
- ¿Se tratan las alarmas críticas como indicadores operativos o como eventos de cuasi accidente cuando se activan? ¿Creemos que los sistemas de seguridad existentes evitarán todos los incidentes?
- ¿Se reconoce la importancia del mantenimiento preventivo de los equipos críticos para la seguridad, o se permite que dicho trabajo se acumule? ¿Todos reconocen y comprenden las consecuencias de la falla de dicho equipo?
- ¿Existen situaciones en las que se percibe que los beneficios de asumir un riesgo superan las posibles consecuencias negativas? ¿Hay ocasiones en las que los procedimientos se desvían de la creencia de que no se producirán resultados importantes? ¿Qué son estos? ¿Se recompensa tácitamente a quienes asumen riesgos por asumir riesgos «con éxito»?
Combatir la normalización de la desviación
«… El sistema del transbordador espacial, incluidos los sistemas terrestres, estará diseñado para evitar el desprendimiento de hielo u otros desechos de los elementos del transbordador durante las operaciones previas al lanzamiento y de vuelo que podrían poner en peligro a la tripulación de vuelo, el vehículo, el éxito de la misión o impactará negativamente en las operaciones de respuesta».
«… No deberán emanar escombros de la zona crítica del tanque externo en la plataforma de lanzamiento o durante el ascenso, excepto por el material que pueda resultar de la recesión normal del sistema de protección térmica debido al calentamiento del ascenso». Libro de especificaciones del sistema terrestre: requisitos de diseño del transbordador Informe CAIB, vol. 1, pág. 122.
«El impacto de escombros en el borde del ala de babor parece haberse originado en el bípode delantero del tanque externo, ¿espuma? – si es así, no debería ser un problema». Tomado de las notas de traspaso de los gerentes del transbordador el 17 de enero de 2003. Informe CAIB, vol. 1, pág. 142
–Ham: «¿Sería solo un problema de recuperación?»
– McCormack: «Correcto». Acta de la reunión de la administración del transbordador Columbia, 24 de enero de 2003. Informe CAIB vol. 1, pág. 161
Habiendo perdido el sentido de vulnerabilidad, la organización sucumbió a aceptar eventos que estaban excluidos en la base del diseño original del transbordador. Durante las 113 misiones de transbordadores que volaron, el desprendimiento de espuma y los impactos de escombros se habían aceptado como preocupaciones de rutina y de mantenimiento únicamente. Se realizaron análisis técnicos limitados o no se realizaron para determinar los riesgos reales asociados con esta desviación fundamental del diseño previsto. Cada aterrizaje exitoso reforzó la creencia de la organización hasta el punto en que el desprendimiento de espuma se «normalizó». A medida que surgieron nuevas pruebas que sugerían que el impacto de espuma aislante del Columbia fue más grande, y posiblemente más amenazante que los impactos de espuma anteriores, la dirección descartó rápidamente esta información. El «entendimiento» de que los golpes de espuma eran insignificantes estaba tan arraigado en la cultura organizacional que incluso después del incidente, el Gerente del Programa del Transbordador Espacial rechazó la espuma como una causa probable, afirmando que los gerentes del Transbordador se sentían cómodos con sus «evaluaciones de riesgo anteriores».
Es significativo que una «normalización de la desviación» similar haya jugado un papel clave en el desastre del Challenger diecisiete años antes. Si bien el concepto de «normalización de la desviación» se había debatido mucho después del incidente del Challenger, la cultura de la NASA no se había «salvado» de esta debilidad crucial.
Combatir la normalización de la desviación – Conjunto de preguntas para el autoexamen
- ¿Hay sistemas en funcionamiento en los que las bases documentadas de diseño operativo o de ingeniería se superen a sabiendas, ya sea de forma episódica o de forma «rutinaria»? Los ejemplos pueden incluir teas con entradas agregadas más allá de la capacidad de diseño, tuberías de proceso o equipos que operan en o por encima de los límites de diseño, o sistemas operados de una manera significativamente diferente a la inicialmente prevista.
- ¿Se han sometido los sistemas que cumplen los criterios anteriores a evaluaciones de riesgos exhaustivas? ¿Surgieron problemas de preocupación de las evaluaciones de riesgos? ¿Se abordaron de manera adecuada?
- ¿Ha habido situaciones operativas en el pasado en las que los problemas se resolvieron al no seguir los procedimientos establecidos o al exceder las condiciones de diseño? ¿La cultura organizacional fomenta o desalienta las soluciones «creativas» a los problemas operativos que implican eludir procedimientos?
- ¿Está claro quién es responsable de autorizar las exenciones de los procedimientos, políticas o estándares de diseño establecidos? ¿Están claramente definidas las líneas de autoridad para desviarse de los procedimientos? ¿Existe un procedimiento formalizado para autorizar tales desviaciones?
- ¿Qué acción se toma, y en qué nivel, cuando ocurre una violación intencional y consciente de un procedimiento establecido? ¿Existe un sistema para monitorear las desviaciones de los procedimientos en lo que respecta a seguridad? ¿Se puede contar con que el personal seguirá estrictamente los procedimientos cuando no haya supervisión para monitorear el cumplimiento?
- ¿Tenemos sistemas de gestión que sean lo suficientemente exigentes y robustos para detectar patrones de condiciones o prácticas anormales antes de que puedan ser aceptadas como la norma?
- ¿Estamos aceptando a sabiendas prácticas o condiciones que hubiéramos considerado inaceptables hace 12 meses? ¿Hace 24 meses?
Establecer un imperativo de seguridad
«Cuando pido que se reduzca el presupuesto, me dicen que afectará la seguridad del transbordador espacial … creo que es un montón de basura». Daniel S. Goldin, administrador de la NASA 1994. Informe CAIB, vol. 1, pág. 106
«…El personal de seguridad estuvo presente, pero fue pasivo y no sirvió como canal para expresar inquietudes u opiniones disidentes. Los representantes de seguridad … fueron simplemente parte del proceso de análisis y las conclusiones en lugar de una fuente independiente de preguntas y desafíos. Los contratistas de seguridad … estaban al tanto de los análisis de impacto de escombros. Un contratista preguntó al representante de seguridad del Equipo de Evaluación de Escombros sobre el análisis y le dijeron que era adecuado. No se realizaron consultas adicionales. El representante de seguridad de más alto rango en la sede de la NASA se remitió a los administradores del programa cuando se le pidió una opinión sobre las imágenes de Columbia. El gerente de seguridad con el que habló tampoco hizo un seguimiento». Informe CAIB, vol. 1, pág. 170
Es irrelevante si los recortes presupuestarios a los que se refería el señor Goldin en la cita anterior habrían afectado realmente la seguridad. El impacto de tal declaración en la cultura organizacional es significativo, especialmente cuando proviene de un alto funcionario. Personas en todos los niveles se sientes menos obligadas a plantear cuestiones de seguridad si sienten que la alta dirección no está interesada. Otros, en niveles inferiores, comienzan a imitar las actitudes y opiniones que escuchan desde arriba.
A lo largo de los años en la NASA, la organización de seguridad se había degradado y, en última instancia, había sido relegada a tomar decisiones críticas relacionadas con la seguridad, en lugar de proporcionar una evaluación independiente y una voz fuerte que ayudarían a garantizar la gestión de riesgos. Lo más importante es que cuando el personal de seguridad expresó su preocupación por la seguridad de una operación, a menudo se les puso en la posición insostenible de tener que demostrar que la operación no era segura. Esto revirtió la carga probatoria tradicional, en la que tanto ingenieros como gerentes deben defender la seguridad de la operación.
Durante el vuelo de Columbia, esta inversión funcional (probar que el incidente ocurrirá en lugar de probar que no) se extendió a la organización de ingeniería, que tenía preocupaciones sobre la magnitud del daño causado por el impacto de la espuma. Existían aptitudes de imágenes dentro del gobierno de EE. UU. que podrían haber proporcionado evidencia fotográfica de si el ala del transbordador había sido dañada. A los ingenieros se les prohibió obtener evidencia tan crítica que corroborara el daño real porque no pudieron probar que existió el daño… Y no pudieron probar que existió el daño porque no pudieron obtener la evidencia fotográfica.
Establecimiento de un imperativo de seguridad– Conjunto de preguntas para el autoexamen
- ¿Existe un sistema que garantice una revisión independiente de las principales decisiones relacionadas con la seguridad? ¿Son las relaciones informativas tales que se puedan emitir opiniones imparciales? ¿Existe una mentalidad de «disparar al mensajero» respecto a las opiniones disidentes?
- ¿Quiénes son las personas que supervisan de forma independiente las decisiones importantes relacionadas con la seguridad? ¿Están técnicamente calificados para emitir juicios sobre diseños y operaciones de sistemas de procesos complejos? ¿Son capaces de defender de forma creíble sus juicios frente a un interrogatorio informado? ¿El personal de seguridad encuentra intimidante contradecir la estrategia del gerente / líder?
- ¿Se ha relegado el papel de la seguridad a aprobar decisiones importantes como hechos consumados? ¿La producción y la protección compiten en pie de igualdad cuando surgen diferencias de opinión sobre la seguridad de las operaciones?
- ¿Se ha cambiado la dotación de personal de los puestos clave de prevención de incidentes catastróficos (gestión de seguridad de procesos), a lo largo de los años, de los niveles superiores a los puestos más abajo de la organización? ¿Hay puestos clave vacantes actualmente?
- ¿La dirección fomenta el desarrollo de evaluaciones de seguridad y riesgos? ¿Son bienvenidas las recomendaciones para mejorar la seguridad? ¿Se consideran las recomendaciones costosas, o las que afectan el cronograma, como «una amenaza para la carrera», si la persona que hace las recomendaciones elige defenderlas persistentemente?
- ¿Se considera la auditoría como una empresa negativa o punitiva? ¿Las auditorías las realizan personas técnicamente competentes? ¿Con qué frecuencia las auditorías arrojan solo unos pocos hallazgos menores? ¿Se prevé generalmente que habrá un «retroceso» durante las reuniones de cierre de la auditoría?
Realización de evaluaciones de riesgo válidas y oportunas
«Un elemento fundamental de la seguridad del sistema es gestionar y controlar los peligros. La única guía de la NASA sobre análisis de riesgos se describe en la metodología para la realización del análisis de riesgos del programa del transbordador espacial, que simplemente enumera las herramientas disponibles. Por lo tanto, no es sorprendente que los procesos de análisis de riesgos se apliquen de manera inconsistente entre sistemas, subsistemas, ensamblajes y componentes». Informe CAIB, vol. 1, pág. 188
«¿Hay más actividad hoy en el daño de las baldosas o la gente simplemente se ve relegada a cruzar los dedos y esperar lo mejor?» “No he escuchado nada nuevo. Te avisaré si lo hago». Intercambio de correo electrónico entre ingenieros, 28 de enero de 2002. Informe CAIB, vol. 1, pág. 165
El CAIB concluyó que la falta de enfoques estructurados y consistentes para identificar peligros y evaluar riesgos contribuyó al proceso de toma de decisiones defectuoso en la NASA. Muchos de los análisis que se realizaron contenían juicios subjetivos y cualitativos, utilizando palabras como «creído» y «basado en la experiencia de vuelos anteriores, este peligro es un riesgo aceptado». Además, muchos de los elementos de acción que surgieron de estos estudios no se abordaron. Por ejemplo, 1000 elementos de infraestructura identificados en 2000 como «deplorables» y que requerían atención nunca fueron reparados debido a la falta de financiamiento.
Las auditorías habían identificado repetidamente deficiencias en los sistemas de seguimiento de exenciones y problemas de la NASA. Los estudios de seguridad anteriores habían identificado 5396 peligros que podrían afectar la integridad de la misión. De estos, 4222 se clasificaron como «Criticidad 1 / 1R», lo que significa que plantean el potencial de pérdida de tripulación y orbitador. Sin embargo, los requisitos de seguridad asociados se habían eximido para 3233 de estos peligros 1 / 1R y, en el momento de la investigación de Columbia, más del 36% de esas exenciones no se habían revisado en el período de 10 años anterior.
El fracaso del proceso de evaluación de riesgos se manifiesta finalmente en el incidente de Columbia. Para el momento en que se lanzó el transbordador, todavía no había una comprensión técnica clara basada en el riesgo de impactos de desechos de espuma en la nave espacial. La gerencia no tenía información sólida sobre la cual basar sus decisiones. En lugar de evaluaciones de riesgo adecuadas, la mayoría de las preocupaciones identificadas fueron simplemente etiquetado como «aceptable».
Realización de evaluaciones de riesgo válidas y oportunas – Conjunto de preguntas para el autoexamen
- ¿Se realizan evaluaciones de riesgos de manera consistente para cambios de ingenieriles u operativos que potencialmente introducen riesgos adicionales? ¿Quién decide si se debe realizar una evaluación de riesgos? ¿Cuál es la base para no realizar una evaluación de riesgos?
- ¿Cómo se juzgan los riesgos de eventos de baja frecuencia y alta consecuencia? ¿Existe una fuerte confianza en la observación de que los incidentes graves no han ocurrido anteriormente, por lo que es poco probable que ocurran en el futuro? ¿Cuál es la base para considerar aceptables los riesgos, en particular los asociados con eventos de consecuencias graves?
- ¿Se aplican los recursos adecuados al proceso de evaluación de riesgos? ¿Se alista personal de nivel superior, con la experiencia técnica adecuada, para la evaluación de riesgos? ¿Son significativas las recomendaciones que surgen de las evaluaciones de riesgos?
- ¿Cuáles son las bases para rechazar las recomendaciones de evaluación de riesgos?
- ¿Juicio subjetivo, basado en experiencias y observaciones previas?
- ¿Evaluación objetiva, basada en análisis técnico?
- ¿Son las herramientas de evaluación de riesgos apropiadas para los riesgos que se evalúan? ¿Se utilizan herramientas cualitativas o cuantitativas para evaluar los riesgos asociados con eventos de baja frecuencia y alta consecuencia? ¿Las herramientas son consideradas apropiadas por profesionales reconocidos en evaluación de riesgos?
- ¿Tenemos un sistema, con responsabilidades efectivas, para asegurar que las recomendaciones de las evaluaciones de riesgo se implementen de manera oportuna y que las acciones tomadas logren la intención de la recomendación original?
Garantizar comunicaciones abiertas y francas
«En mi humilde opinión técnica, esta es la mala (y rozando, irresponsable) respuesta… no solicitar ayuda adicional de imágenes de cualquier fuente externa. Debo enfatizar (una vez más) que un daño lo suficientemente grave… combinado con el calentamiento y el daño resultante a la estructura subyacente en el lugar más crítico… podría presentar riesgos potencialmente graves. El equipo de ingeniería admitirá que es posible que no logre respuestas definitivas de alta confianza sin imágenes adicionales, pero, sin una acción para solicitar ayuda para aclarar el daño visualmente, le garantizamos que no lo hará… Recuerde los carteles de seguridad de la NASA por todas partes que dicen: «Si no es seguro, dilo”. Sí, es así de serio». Memorando a Archivo – Ingeniero de traslado, 22 de enero de 2003. Informe CAIB, vol. 1, pág. 157
El memorando anterior nunca se envió. Expresa preocupación por el hecho de que la dirección de la NASA haya denegado una solicitud para obtener imágenes del daño del ala del transbordador. Las imágenes probablemente hubieran mostrado que se habían producido daños potencialmente catastróficos. El informe de la CAIB sugiere una serie de razones por las que las verdaderas preocupaciones técnicas de los ingenieros nunca se consideraron seriamente y por qué preocupaciones precisas y veraces, como las expresadas en el memorando anterior, nunca abandonaron el sistema de archivo.
La gerencia ya se había establecido en una mentalidad uniforme de que los golpes de espuma no eran una preocupación. Cualquier comunicación en sentido contrario fue desalentada directa o sutilmente.
Se había establecido una cultura organizacional que no fomentaba las «malas noticias». Esto se combinó con una cultura de la NASA que enfatizaba las comunicaciones de «cadena de mando». El efecto general fue sofocar las comunicaciones por completo o, cuando se comunicaron cuestiones importantes, suavizar el contenido y el mensaje a medida que los informes y presentaciones se elevaban a lo largo de la cadena de gestión.
El análisis de ingeniería se requería continuamente para «probar que el sistema no es seguro» en lugar de «probar que el sistema es seguro», sin ningún dato sólido disponible para respaldar ninguna de las posiciones.
La cultura organizacional fomentó el 100% de consenso. (La CAIB observó que una organización de seguridad sana es sospechosa si no hay opiniones disidentes). En este entorno, se desalentó tácitamente la disensión general. Los participantes se sintieron intimidados.
A pesar de estos obstáculos, y sin estímulo (de hecho, frente al desánimo directo), los ingenieros continuaron trabajando por las noches y los fines de semana para obtener una comprensión técnica del daño de la espuma. La cultura organizacional nunca permitió que las preocupaciones fuertes, sinceras y precisas del personal de ingeniería surgieran en el proceso de toma de decisiones gerenciales.
Garantizar comunicaciones abiertas y francas – Conjunto de preguntas para el autoexamen
- ¿Cómo fomenta la administración las comunicaciones que contradicen pensamientos o direcciones predeterminados? ¿Cómo se desalientan las comunicaciones contradictorias? ¿El portador de «malas noticias» es visto como un héroe o «no es un jugador de equipo»?
- ¿La cultura organizacional requiere comunicaciones de «cadena de mando»? ¿O existe un proceso formalizado para comunicar preocupaciones serias directamente a la alta dirección? ¿Son bienvenidas las noticias críticas relacionadas con la seguridad que eluden los canales oficiales?
- ¿Se alteran las comunicaciones, con el mensaje suavizado, a medida que ascienden en la cadena de gestión? ¿Por qué pasó esto? ¿Existe un «filtro de malas noticias» a lo largo de la cadena de comunicaciones?
- ¿Se modifican los mensajes de gestión sobre la importancia de la seguridad a medida que avanzan en la cadena de gestión? ¿Se reinterpretan los ideales de gestión en el contexto de la producción diaria y las realidades del cronograma?
- ¿Aquellos que llevan noticias negativas relacionadas con la seguridad deben «demostrar que no es seguro»?
- ¿Se ha eliminado el factor de «intimidación» en las comunicaciones? ¿Alguien puede hablar libremente, con cualquier otra persona, sobre sus preocupaciones honestas sobre seguridad, sin temor a represalias profesionales?
- ¿Impulsa la cultura una actitud de «puedo hacerlo» o «no podemos fallar» que anula la conciencia de sentido común de lo que es realmente alcanzable y reprime las opiniones en sentido contrario?
Aprender la cultura y promoverla
«… la Junta cree firmemente que, si estas fallas sistémicas y persistentes no se resuelven, el escenario está preparado para otro accidente». CAIB comentando su conclusión de que las deficiencias organizativas que provocó el Challenger se habían quedado en el Columbia. Informe CAIB, vol. 1, pág. 195Aprender la cultura y promoverla – Conjunto de preguntas para el autoexamen
Intención y limitaciones de los conjuntos de preguntas
Los conjuntos de pregunta presentados arriba resumen las lecciones del incidente de Columbia únicamente, y no deben ser aplicadas automáticamente a otras organizaciones. La experiencia de la NASA puede ser o no ser completa o directamente aplicable a los rasgos únicos de cada cultura organizacional. Los conjuntos de preguntas pretenden servir solo como un punto de inicio en la determinación de la relevancia de la experiencia Columbia. Más importante, al abrir un diálogo en esta importante temática, las organizaciones pueden ser capaces de mejorar aún más los esfuerzos de progreso y mejoría cultural en curso.
Si el proceso resulta valioso, se prevé que conjuntos adicionales de preguntas surgirán, como un medio para facilitar que diferentes grupos de trabajo dentro de la compañía exploren sus propias debilidades culturales organizacionales.
Copyright © 2005 American Institute of Chemical Engineers – Center for Chemical Process Safety