Las organizaciones que repiten sus accidentes no lo hacen por falta de voluntad ni de recursos. Lo hacen porque responden a cada evento con las mismas herramientas que lo produjeron.
Existe un patrón que se repite con llamativa regularidad en organizaciones de distintos sectores e industrias. Ocurre un accidente o evento adverso grave. La organización reacciona con intensidad: forma una comisión investigadora, convoca reuniones de emergencia, anuncia medidas correctivas, refuerza controles, actualiza procedimientos. Durante semanas o meses, la seguridad es el tema dominante. Y luego, gradualmente, la urgencia se disipa, las medidas se implementan a medias o se abandonan, y las condiciones que produjeron el evento vuelven a instalarse. Hasta el próximo.
Este patrón tiene nombre: es la cultura reactiva. Y su característica definitoria no es que la organización ignore la seguridad, sino que solo la gestiona cuando un evento la obliga a hacerlo. Entre eventos, el sistema funciona bajo la suposición implícita de que si no hay accidentes visibles, no hay problemas de seguridad. Es una suposición que los datos contradicen sistemáticamente.
La respuesta reactiva ante un accidente produce dos tipos de intervenciones. Las técnicas, orientadas a eliminar la causa inmediata del evento: se cambia el componente que falló, se modifica el procedimiento que no fue seguido, se actualiza la capacitación sobre el tema en cuestión. Y las organizacionales superficiales, orientadas a demostrar que la organización tomó el problema en serio: comunicados internos, reuniones de concientización, carteles recordatorios.
Ninguna de las dos aborda lo que James Reason identificó como las condiciones latentes del sistema: las decisiones gerenciales, las presiones de producción, las deficiencias de diseño, los recursos insuficientes, las comunicaciones fallidas, los valores organizacionales que durante meses o años crearon el contexto en el que el accidente fue posible. Esas condiciones no aparecen en el análisis de causa raíz estándar porque el análisis de causa raíz, tal como se aplica en la mayoría de las organizaciones, busca la causa del evento, no las condiciones del sistema que lo hicieron inevitable.
El resultado es que la intervención elimina la causa visible sin modificar las condiciones latentes. El sistema parece haber aprendido. Pero los mismos factores que produjeron el primer evento siguen activos, reconfigurándose bajo nuevas formas hasta que convergen en el próximo.
Uno de los fenómenos más peligrosos que se desarrollan en las culturas reactivas es lo que puede denominarse normalización del desvío. Se trata de un proceso gradual y silencioso en el que las desviaciones de los procedimientos estándar se toleran, primero como excepciones, luego como variantes aceptables, finalmente como la forma habitual de operar. Cada desvío que no genera consecuencias inmediatas visibles se incorpora al repertorio informal de prácticas de la organización.
El peligro de este proceso no reside en cada desvío individual sino en la acumulación. Amalberti y Vincent (2016) describieron este fenómeno como migración de las fronteras de seguridad: el sistema va ampliando gradualmente los márgenes de lo aceptable hasta que opera en una zona de riesgo que ninguna decisión explícita autorizó, pero que nadie detuvo. Cuando el accidente finalmente ocurre, la organización queda desconcertada porque nadie tomó una decisión riesgosa obvia. Nadie lo hizo. El riesgo fue la suma de muchas decisiones normales en un sistema que había migrado imperceptiblemente hacia el límite.
La normalización del desvío es de muy difícil captura una vez que comienza su progreso. El sistema de reporte, cuando funciona, puede identificarla tempranamente. Las auditorías de cultura de seguridad también. Pero ninguna de estas herramientas funciona en una cultura reactiva, porque en esa cultura el sistema de reporte está vacío y las auditorías se preparan en lugar de auditarse.
Patrick Hudson, psicólogo de la Universidad Tecnológica de Delft, propuso en 2007 un modelo que describe el proceso evolutivo que deben atravesar las organizaciones para alcanzar una cultura de seguridad genuina. Su modelo de oleadas establece tres etapas que son necesarias y consecutivas: tecnológica, de gestión y cultural.
La oleada tecnológica establece los fundamentos: equipamiento adecuado, procedimientos normalizados, requisitos regulatorios cumplidos, habilitaciones del personal al día. Es el piso mínimo. Sin él, no se puede construir nada. Pero muchas organizaciones se detienen aquí, confundiendo el cumplimiento normativo con la gestión de la seguridad. Son dos cosas distintas. El cumplimiento normativo establece estándares mínimos para un contexto promedio. La gestión de la seguridad aborda los riesgos específicos del sistema real que opera la organización, que nunca es exactamente el contexto promedio que contemplaron las normas.
La oleada de gestión integra la actividad operativa con la gestión de riesgos. Aquí los sistemas de reporte deben funcionar genuinamente, los indicadores deben permitir acción predictiva, y las auditorías deben ser instancias de aprendizaje y no de validación de imagen. En este punto, las organizaciones enfrentan frecuentemente lo que Hudson describió como la trampa de la auditoría: las mejoras se implementan para superar la evaluación, no por compromiso genuino con la seguridad. Una vez superada la auditoría, el ciclo se reinicia hasta la próxima.
La oleada cultural es la más compleja y la que distingue a las organizaciones que aprenden de las que repiten. Requiere que la seguridad deje de ser un conjunto de requisitos externos que cumplir y se convierta en un valor interno que guía las decisiones. Ese cambio no se produce por decreto ni por capacitación. Se produce cuando la conducción lo demuestra consistentemente con sus propias decisiones, cuando los mandos medios tienen el espacio y la autoridad para detener operaciones por razones de seguridad sin consecuencias negativas, y cuando las personas de primera línea confían en que reportar un problema genera mejoras y no represalias.
La cultura de seguridad de una organización no se construye desde las bases operativas hacia arriba. Se construye desde la conducción hacia abajo. No porque los operadores de primera línea no sean importantes, sino porque los valores que la organización realmente practica, a diferencia de los que enuncia, siempre emanan de las decisiones que toman quienes tienen poder.
Cuando la conducción de una organización responde a un accidente buscando un responsable en lugar de condiciones sistémicas, comunica a toda la organización cuál es la lógica que opera. Cuando aprueba operaciones bajo condiciones de riesgo documentadas porque la presión de producción es más urgente que la gestión del riesgo, comunica cuál es la jerarquía real de valores. Cuando no responde a los reportes del sistema de notificación, comunica que reportar no sirve para nada.
Ninguna de estas comunicaciones es intencional. Ninguna aparece en el manual de cultura de seguridad. Pero son perfectamente legibles para las personas que componen la organización, que aprenden con mucha rapidez y precisión cuáles son las reglas reales que gobiernan su entorno de trabajo.
El cambio cultural comienza entonces cuando la conducción adopta conductas que son coherentes con el discurso de la seguridad. No basta con enunciar el compromiso con la seguridad en la política corporativa. Es necesario que ese compromiso sea visible en las decisiones: en cómo se responde a los eventos adversos, en qué se hace con los reportes, en cómo se gestiona la tensión entre eficiencia y seguridad, en qué pasa cuando un operador de primera línea detiene una operación por razones de seguridad.
Una de las respuestas más comunes ante los problemas de cultura de seguridad es la capacitación y la concientización. Se organizan jornadas, se desarrollan módulos e-learning, se distribuyen materiales comunicacionales sobre la importancia de la seguridad. Son intervenciones que tienen su valor cuando forman parte de un proceso más amplio, pero que son insuficientes, y en algunos casos contraproducentes, cuando se las trata como el núcleo de la estrategia.
La concientización trabaja sobre las actitudes individuales. La transformación cultural trabaja sobre las condiciones organizacionales que hacen posibles o imposibles determinadas actitudes y comportamientos. Una persona bien concientizada sobre la importancia del reporte de incidentes no va a reportar si percibe que hacerlo tiene consecuencias negativas. Una persona con escasa formación teórica sobre cultura de seguridad va a reportar sistemáticamente si opera en un ambiente donde el reporte es valorado, protegido y retroalimentado.
La diferencia entre ambas intervenciones es la diferencia entre trabajar sobre las personas y trabajar sobre el sistema. La primera es más cómoda para la organización porque no cuestiona sus propias estructuras. La segunda es más efectiva porque aborda las condiciones reales que producen los comportamientos que se quieren modificar.
Una organización que verdaderamente está transitando de la cultura reactiva hacia el aprendizaje sistémico exhibe algunos indicadores que son observables y medibles. El volumen de reportes de incidentes aumenta, no disminuye. Este es uno de los contra-indicadores más frecuentes: las organizaciones tienden a percibir más reportes como una mala noticia, cuando en realidad es señal de que el sistema de reporte está funcionando y la información latente está saliendo a la superficie.
Las investigaciones de eventos adversos identifican condiciones sistémicas, no solo causas inmediatas. Las recomendaciones se dirigen a la organización y sus procesos, no a los individuos que estuvieron involucrados. La retroalimentación de las mejoras implementadas llega al personal que reportó. Los mandos medios hablan abiertamente de los problemas de seguridad de su área, en lugar de ocultarlos por temor a consecuencias. Y la conducción responde a esas conversaciones con análisis, no con búsqueda de responsables.
Estos indicadores no aparecen todos a la vez ni de manera inmediata. El proceso lleva tiempo y tiene retrocesos. Pero su presencia, aunque sea parcial e incipiente, señala que la transformación está ocurriendo. Su ausencia, sostenida en el tiempo, señala que los esfuerzos de mejora están actuando sobre la superficie sin modificar las condiciones profundas del sistema.
Una cultura reactiva es aquella en la que la organización gestiona la seguridad solo cuando un accidente o evento adverso la obliga a hacerlo. Entre eventos, opera bajo la suposición implícita de que la ausencia de accidentes visibles equivale a ausencia de problemas de seguridad. Es el modelo predominante en la mayoría de las industrias y es insuficiente para prevenir accidentes en sistemas complejos.
La normalización del desvío es el proceso gradual por el cual las desviaciones de los procedimientos estándar se toleran, primero como excepciones y luego como la forma habitual de operar. Cada desvío que no genera consecuencias inmediatas visibles se incorpora al repertorio informal de prácticas de la organización, hasta que la acumulación de desvíos converge en un accidente que nadie anticipó porque nadie tomó una decisión riesgosa obvia.
No existe un plazo universal. La experiencia de la aviación, la industria nuclear y otras industrias ultraseguras sugiere que la transformación cultural real requiere años de trabajo sostenido y consistente. Lo que sí puede cambiar más rápidamente son las condiciones inmediatas que facilitan o dificultan el reporte, el análisis sistémico y la retroalimentación. Esos cambios de condiciones producen resultados observables en plazos más cortos y crean las bases para la transformación cultural de largo plazo.