Los programas de reporte de incidentes fallan en la mayoría de las organizaciones. No por falta de tecnología ni de procedimientos, sino por una razón que los manuales de calidad raramente mencionan: el miedo.
Existe una paradoja que se repite con sorprendente regularidad en organizaciones de aviación, salud e industrias de alto riesgo de todo el mundo. La organización invierte recursos considerables en diseñar e implementar un sistema de reporte de incidentes. Contrata consultores, desarrolla plataformas, redacta procedimientos, capacita al personal. Y al cabo de unos meses, o incluso años, el sistema recibe pocos reportes. La dirección interpreta ese silencio de dos maneras posibles: o todo está bien, o el personal no comprende la importancia del reporte.
Las dos interpretaciones son incorrectas. Lo que el silencio del sistema de reporte comunica, casi invariablemente, es que las personas no confían en él.
Cuando un programa de reporte no funciona, la tendencia organizacional es buscar la solución en el mismo plano donde se percibe el problema: el técnico o el procedimental. Se simplifica el formulario, se digitaliza la plataforma, se agrega un módulo de capacitación. En algunos casos, se recurre a la presión jerárquica, estableciendo cuotas mínimas de reportes por área o período.
Ninguna de estas intervenciones aborda la causa real. El problema no es que el formulario sea complicado ni que el personal desconozca la importancia del reporte. El problema es que el sistema, tal como opera en la práctica, enseña a las personas que reportar tiene consecuencias negativas.
Esa enseñanza raramente es explícita. No aparece en ningún manual. Se transmite a través de lo que la organización hace, no de lo que dice. Aparece cuando alguien reporta un incidente y semanas después es llamado a explicar su conducta ante la gerencia. Cuando el reporte se convierte en el insumo de un sumario administrativo. Cuando el nombre del reportante aparece en una investigación que debía ser confidencial. Cuando la dirección responde a un reporte con silencio, sin retroalimentación, sin cambio visible en las condiciones que generaron el incidente.
"Las organizaciones que mejor gestionan sus riesgos son las que más beneficios obtienen, mientras que aquellas que no lo hacen son percibidas como peligrosas o se ven obligadas a reducir sus operaciones para alcanzar niveles de seguridad aceptables."
Hudson, P. (2001). Aviation safety culture. Safeskies, Australia.
La proporción de eventos que se produce en cualquier sistema operacional de cierta complejidad es razonablemente predecible. Por cada accidente o evento grave, existe una cantidad mucho mayor de incidentes sin consecuencias visibles, y por debajo de ellos, una base extensa de condiciones inseguras, desviaciones normalizadas y situaciones que rozaron el límite sin cruzarlo. Esta estructura, conocida como triángulo o pirámide de seguridad, no es una metáfora. Es una realidad estadística documentada en múltiples industrias.
Cuando una organización recibe pocos reportes, casi nunca es porque opera en condiciones de seguridad excepcionales. Es porque la base de esa pirámide existe, pero permanece oculta. Las personas ven las condiciones inseguras, identifican las desviaciones, perciben los riesgos latentes. Y, por razones que el sistema les enseñó, eligen no reportarlos.
La OACI, en su Doc. 9859 sobre gestión de la seguridad operacional, establece con claridad que los sistemas de reporte voluntario son el principal mecanismo mediante el cual las organizaciones capturan información sobre peligros que de otro modo permanecerían invisibles. Sin ese flujo de información, el sistema de gestión de riesgos opera con datos parciales, incompletos, sesgados hacia los eventos que ya generaron consecuencias. En otras palabras, opera siempre un paso atrás de la realidad.
Existe una tendencia profundamente arraigada en las organizaciones que consiste en responder a los eventos adversos buscando al responsable. Esta lógica tiene una larga historia y una aparente racionalidad: si identificamos quién cometió el error y lo sancionamos, disuadimos futuros errores. Es un enfoque que proviene del derecho penal y que fue trasplantado, con escaso espíritu crítico, a la gestión de organizaciones complejas.
El problema es que los accidentes e incidentes en sistemas sociotécnicos complejos no ocurren porque una persona tomó una decisión incorrecta en el momento equivocado. Ocurren porque el sistema organizacional generó, durante meses o años, las condiciones que hacían probable ese error. James Reason lo formuló con precisión en 1990: los errores activos de los operadores de primera línea son siempre el resultado de condiciones latentes que el propio sistema creó y toleró. Sancionar al operador no elimina esas condiciones. Las deja intactas para el próximo evento.
La cultura de la culpa no solo es ineficaz como mecanismo de prevención. Es activamente contraproducente en lo que respecta al reporte. Cuando las personas aprenden que reportar un incidente activa un proceso orientado a identificar responsables, dejan de reportar. La información deja de fluir. Y el sistema pierde la única oportunidad de aprender antes de que ocurra el próximo accidente.
La cultura justa no es una política de tolerancia indiscriminada. Es un marco de trabajo que distingue entre el error de buena fe cometido dentro de un sistema con fallas, y la negligencia grave o la conducta deliberadamente insegura. El primero requiere análisis sistémico y mejora de las condiciones. El segundo requiere consecuencias. La distinción no es trivial y tampoco es sencilla, pero es absolutamente necesaria.
En términos prácticos, una cultura justa garantiza que quien reporta un incidente no sufrirá consecuencias negativas por el solo hecho de haberlo reportado, siempre que su conducta no haya implicado negligencia grave o intención de causar daño. Esa garantía debe ser real, no enunciativa. No basta con escribirla en la política de seguridad. Debe demostrarse consistentemente a través de lo que la organización hace cuando recibe un reporte.
La OACI incorporó la cultura justa como componente explícito del SMS (Sistema de Gestión de la Seguridad, Anexo 19) porque reconoció lo que la experiencia de décadas en aviación comercial confirmó: sin ese ambiente de confianza, el reporte voluntario no existe, y sin reporte voluntario, el SMS opera con información insuficiente para cumplir su función.
Un programa de reporte que funciona requiere al menos cinco condiciones que deben sostenerse en la práctica, no solo en el papel.
La primera es la confidencialidad real. El reportante debe saber que su identidad y la de las personas involucradas no serán reveladas sin su consentimiento. Esta confidencialidad no es negociable ni puede tener excepciones para casos de menor gravedad y excepciones para los demás. Cuando las personas perciben que la confidencialidad es condicional, el sistema se vacía.
La segunda es la retroalimentación visible. Cada reporte que ingresa debe generar una respuesta comunicada al personal: qué se analizó, qué se encontró, qué se modificó o por qué no se modificó. El silencio organizacional ante un reporte comunica que el esfuerzo de reportar no valió la pena. Y esa percepción se generaliza rápidamente.
La tercera es la separación clara entre el sistema de reporte de seguridad y el sistema disciplinario. Los datos del sistema de reporte no pueden utilizarse como insumo para procesos sancionatorios. Esta separación debe estar establecida formalmente y debe respetarse en todos los casos, sin excepciones que erosionen la confianza.
La cuarta es el análisis sistémico de los reportes. El propósito del sistema no es registrar eventos sino aprender de ellos. Un reporte que ingresa al sistema y es archivado sin análisis no contribuye en nada a la mejora de la seguridad. El análisis debe identificar las condiciones del sistema que generaron el incidente, no buscar al operador responsable.
La quinta, y probablemente la más difícil de sostener, es el compromiso visible de la conducción. Las personas observan con mucha atención lo que hacen los líderes de la organización cuando reciben malas noticias. Si el liderazgo responde a los reportes con análisis y mejora, el sistema crece. Si responde con búsqueda de responsables o con silencio, el sistema muere, aunque nadie lo declare formalmente.
Antes de intervenir sobre el sistema de reporte, es útil hacerse algunas preguntas que la organización raramente se formula de manera explícita. ¿Los reportes que ingresan generan retroalimentación visible? ¿Alguna vez un reporte derivó en un proceso disciplinario? ¿Qué pasó con las personas que reportaron ese caso? ¿El personal sabe qué se hizo con los últimos reportes ingresados? ¿Los mandos medios alientan activamente el reporte o simplemente no lo obstaculizan?
Las respuestas a esas preguntas revelan con bastante precisión por qué el sistema recibe pocos reportes. Y lo que revelan casi siempre no apunta a una falla tecnológica ni procedimental, sino a una falla cultural que tiene su origen en los niveles más altos de la organización.
El sistema de reporte es, en esencia, un termómetro de la cultura organizacional. Si no funciona, lo que el termómetro está midiendo es que la cultura necesita cambiar antes que el formulario.
Los programas de reporte fallan principalmente porque los operadores temen consecuencias al reportar. Cuando el sistema utiliza el reporte como insumo para sancionar, las personas dejan de reportar. Sin datos reales, el sistema opera a ciegas. La raíz del problema es cultural, no tecnológica ni procedimental.
La cultura del reporte es la disposición colectiva de los miembros de una organización a notificar condiciones inseguras, incidentes y errores sin temor a represalias. Su condición de existencia es la cultura justa: un ambiente donde el error de buena fe no se sanciona, pero la negligencia deliberada sí.
No existe un número universal, pero la estructura conocida como triángulo de seguridad sugiere que por cada accidente grave existen múltiples incidentes menores y una base extensa de condiciones inseguras. Si una organización recibe muy pocos reportes, casi nunca es señal de que todo está bien. Es señal de que el sistema de reporte no funciona.