Disenar sistemas capaces de absorber las equivocaciones antes de que se conviertan en catastrofes.
La ilusión de la infalibilidad humana y el giro copernicano de la seguridad
Durante décadas, la gestión de la seguridad en entornos industriales complejos operó bajo una premisa tan intuitiva como errónea: si un sistema falla, la culpa es del último eslabón de la cadena. El operario que presionó el botón equivocado, el piloto que calculó mal la altitud o el cirujano cuyo bisturí se desvió un milímetro eran señalados de inmediato como los únicos responsables de la tragedia. Esta visión punitiva y simplista no solo dejaba intactas las verdaderas causas del desastre, sino que sembraba un clima de miedo y ocultamiento que garantizaba la repetición del siniestro en el futuro.
A finales del siglo XX, el psicólogo británico James Reason transformó por completo este panorama. Su propuesta teórica no consistió en exculpar al operador, sino en desplazar el foco de atención desde el individuo aislado hacia el sistema en su totalidad. Reason entendió que los seres humanos, por nuestra propia naturaleza cognitiva, somos propensos a cometer errores. Por lo tanto, el verdadero desafío de la ingeniería de seguridad no es diseñar un entorno donde los humanos nunca fallen —lo cual es una utopía biológica—, sino construir sistemas que sean tolerantes al error, capaces de absorber las equivocaciones individuales antes de que se transformen en catástrofes.
El viaje intelectual de James Reason: de los lapsus cotidianos a los desastres organizacionales
Para comprender el alcance de la obra de Reason, es necesario remontarse a sus primeros estudios sobre la psicología del error. En sus inicios, el investigador se interesó por los pequeños fallos de la vida diaria: por qué guardamos las llaves en la nevera, por qué vertemos el café fuera de la taza o por qué nos dirigimos a una habitación y olvidamos por completo qué íbamos a buscar allí. Estos fenómenos, lejos de ser anomalías inexplicables, revelaban el funcionamiento normal de una mente que utiliza heurísticos y atajos cognitivos para procesar un volumen abrumador de información sensorial.
El gran salto conceptual de Reason ocurrió al trasladar estos principios de la psicología cognitiva individual a la dinámica de las grandes organizaciones. Al analizar desastres de gran envergadura como la explosión de la planta química de Bhopal en 1984, el accidente nuclear de Chernóbil en 1986 o la pérdida del transbordador espacial Challenger, Reason identificó un patrón recurrente. Los operarios de turno habían cometido fallos, sí, pero esos fallos solo fueron el detonante final de una serie de vulnerabilidades acumuladas en el diseño, el mantenimiento, la supervisión y la toma de decisiones gerenciales de la organización. Nació así la distinción fundamental entre el enfoque personal y el enfoque sistémico de la seguridad.
Desarmando el modelo del queso suizo: la anatomía de las defensas en profundidad
El modelo del queso suizo es, sin duda, la metáfora visual más célebre y duradera en la historia de la gestión del riesgo. Aunque su aparente simplicidad ha llevado a veces a interpretaciones superficiales, su estructura interna encierra una profunda teoría sobre la resistencia de los sistemas complejos.
En cualquier industria de alto riesgo —como la aviación, la medicina, la energía nuclear o la minería— existen múltiples capas de defensa destinadas a proteger a las personas, los activos y el medio ambiente de cualquier peligro. Estas capas no son únicamente barreras físicas como muros de contención o alarmas sonoras; también incluyen salvaguardas procedimentales (manuales de operación, listas de verificación), controles de ingeniería (sistemas automáticos de apagado) y factores humanos (entrenamiento, comunicación de equipos). En un mundo ideal, cada una de estas barreras sería impenetrable.
Sin embargo, en el mundo real, cada capa de defensa se asemeja a una rebanada de queso suizo, plagada de agujeros que representan debilidades. Estos agujeros no son estáticos; se abren, se cierran y se desplazan constantemente debido a las fluctuaciones del entorno operativo. La presencia de un agujero en una sola capa rara vez causa un accidente, ya que las capas adyacentes actúan como respaldo para contener el peligro. El desastre ocurre únicamente cuando los agujeros de todas las rebanadas se alinean de manera fortuita, permitiendo que una trayectoria de oportunidad de accidente atraviese todas las defensas y alcance a la víctima o al sistema.
Fallas activas versus condiciones latentes: los patógenos de la organización
Para desentrañar la dinámica del modelo, Reason dividió las deficiencias del sistema en dos categorías cruciales: las fallas activas y las condiciones latentes.
Las fallas activas son los actos inseguros cometidos por las personas que están en contacto directo con el sistema. Son los errores, lapsus, equivocaciones y violaciones de procedimientos perpetrados por pilotos, médicos, operarios de sala de control o conductores. Tienen un impacto casi inmediato en la seguridad y suelen ser fáciles de identificar tras un incidente. Sin embargo, tratarlas como la causa raíz del problema es un error metodológico severo.
Por el contrario, las condiciones latentes son los fallos residentes en el sistema que permanecen inactivos durante mucho tiempo antes de manifestarse. Reason las comparó de forma brillante con los patógenos que habitan en el cuerpo humano: virus o bacterias que permanecen latentes en nuestro organismo sin causar síntomas, hasta que un factor desencadenante (como el estrés o una bajada de defensas) activa la enfermedad. Estas condiciones latentes son el resultado de decisiones tomadas por diseñadores, constructores, redactores de procedimientos y, sobre todo, por la alta dirección de la empresa. Ejemplos de ello son el diseño deficiente de una interfaz de usuario, la falta de personal calificado, la presión por cumplir plazos comerciales por encima de la seguridad, o un programa de mantenimiento deficiente debido a recortes presupuestarios.
Los cuatro niveles de fallo en la génesis de un accidente
El análisis de Reason estructura las fallas en cuatro niveles jerárquicos que interactúan de manera descendente, desde las esferas de poder organizacional hasta el punto de impacto operativo:
- Influencias organizacionales: Decisiones estratégicas sobre recursos financieros, políticas de personal, cultura corporativa y prioridades operativas. Cuando la gerencia prioriza sistemáticamente la producción sobre la protección, se sientan las bases de las condiciones latentes más peligrosas.
- Supervisión insegura: Fallos en el liderazgo intermedio. Incluyen la falta de capacitación adecuada para los supervisores, la omisión de auditorías de seguridad, la autorización de operaciones con equipos defectuosos o la tolerancia repetida ante la violación de normas básicas de seguridad.
- Precondiciones para actos unsafe: Factores ambientales, de equipo o psicológicos que predisponen al error humano. Aquí encontramos la fatiga extrema de las tripulaciones debido a turnos mal diseñados, la mala iluminación en un área de trabajo crítica, la falta de herramientas adecuadas o la pérdida de conciencia situacional debido a interfaces de software confusas.
- Actos inseguros: El error de ejecución final. Puede presentarse como un desliz de atención, un error de juicio basado en información incompleta, o una violación deliberada de la norma motivada por la necesidad de terminar un trabajo a tiempo en un sistema que castiga el retraso.
La cultura justa: el delicado equilibrio entre el aprendizaje y la responsabilidad
Uno de los aportes más revolucionarios y complejos de James Reason a la administración moderna de la seguridad es el concepto de Cultura Justa (Just Culture). Reason advirtió que una cultura de seguridad no puede florecer en un entorno de impunidad absoluta, pero tampoco en uno de castigo ciego.
Si una organización castiga de forma sistemática cualquier error, los empleados ocultarán sus fallos por temor a represalias, perdiendo así la oportunidad de detectar y corregir las condiciones latentes antes de que causen un accidente grave. Por otro lado, si no existe ningún tipo de rendición de cuentas, se fomenta la negligencia y el desprecio por las normas básicas de convivencia y seguridad.
La Cultura Justa propone trazar una línea clara y transparente entre el comportamiento no punible y el comportamiento sancionable. El error honesto —aquel que comete un profesional capacitado y bien intencionado debido a un fallo cognitivo o a un diseño deficiente del entorno— debe ser tratado como una oportunidad de aprendizaje organizativo. En cambio, los actos de negligencia temeraria, el sabotaje o la violación deliberada y maliciosa de las reglas deben ser sancionados con severidad. El gran mérito de Reason fue proporcionar un algoritmo de decisión para ayudar a los gestores a discernir de manera objetiva si un acto inseguro cae en una categoría o en otra, basándose en preguntas clave como: ¿Habría cometido el mismo error otro profesional con la misma experiencia en las mismas circunstancias?
Los cinco pilares de una cultura de seguridad resiliente
Para James Reason, la cultura de seguridad de una empresa no es un lema colgado en la pared ni una declaración de intenciones en la memoria anual; es un motor dinámico compuesto por cinco subculturas interconectadas que determinan la resiliencia del sistema:
1. Cultura informada
Aquella en la que quienes dirigen y operan el sistema poseen un conocimiento profundo y actualizado de los riesgos reales de su actividad. No se basan en suposiciones optimistas, sino en datos empíricos y análisis continuos de sus procesos.
2. Cultura de notificación (o reporte)
Un entorno donde el personal se siente seguro y motivado para informar sobre sus propios errores, fallos de equipos o situaciones de cuasi-accidente (near misses). Esto requiere canales de comunicación sencillos, confidenciales y la certeza absoluta de que la información no será utilizada como arma de castigo.
3. Cultura justa
La atmósfera de confianza descrita anteriormente, donde se diferencia con claridad el error humano involuntario de la conducta negligente o temeraria.
4. Cultura flexible
La capacidad de la organización para reconfigurar su estructura jerárquica ante situaciones de crisis o alta exigencia. En momentos críticos, la toma de decisiones debe desplazarse desde las oficinas de la alta gerencia hacia los expertos técnicos que están en el terreno y poseen la información de primera mano, independientemente de su rango formal.
5. Cultura de aprendizaje
La voluntad y la competencia de la organización para extraer conclusiones correctas de sus sistemas de información de seguridad, y el compromiso inquebrantable de implementar reformas profundas cuando los datos revelen la necesidad de hacerlo.
Análisis de un desastre sistémico: el accidente del transbordador espacial Challenger
La utilidad práctica del modelo de Reason se aprecia con nitidez al analizar tragedias históricas. El 28 de enero de 1986, el transbordador espacial Challenger se desintegró 73 segundos después de su lanzamiento, provocando la muerte de sus siete tripulantes. La causa técnica directa fue el fallo de las juntas tóricas de goma del cohete acelerador derecho, que perdieron elasticidad debido a las inusualmente bajas temperaturas de esa mañana en Florida, permitiendo la fuga de gases incandescentes.
Si nos limitáramos al enfoque del error individual, culparíamos a los ingenieros que autorizaron el despegue o a los técnicos que instalaron las juntas. Sin embargo, al aplicar el modelo de Reason, descubrimos un entramado de condiciones latentes e influencias organizacionales que hicieron que el accidente fuera prácticamente inevitable:- Presiones políticas y comerciales (Influencia organizacional): La NASA necesitaba demostrar la viabilidad comercial del programa de transbordadores, lo que generó una presión tremenda para mantener un calendario de lanzamientos sumamente agresivo. Postergar el lanzamiento de nuevo habría sido un fracaso de relaciones públicas.
- Normalización de la desviación (Supervisión insegura): Durante misiones anteriores, se habían observado daños parciales en las juntas tóricas. En lugar de detener los vuelos para rediseñar la pieza, la gerencia de la NASA interpretó que, dado que el transbordador había regresado a salvo, el margen de seguridad del componente era mayor de lo previsto. El peligro se normalizó y se aceptó como un riesgo aceptable de operación.
- Silenciamiento de las advertencias técnicas (Precondiciones): La noche anterior al lanzamiento, los ingenieros de la empresa fabricante de los cohetes advirtieron formalmente que las bajas temperaturas comprometían la seguridad de las juntas. Sus advertencias fueron desestimadas por los administradores del programa, quienes exigieron pruebas concluyentes de fallo en lugar de exigir pruebas concluyentes de seguridad.
El fallo de la junta tórica no fue un evento aislado; fue el último agujero de una serie de barreras organizacionales, de supervisión y de procedimiento que se alinearon perfectamente aquella fría mañana de invierno.
Límites y evolución de la teoría de Reason en el siglo XXI
A pesar de su innegable valor, el modelo del queso suizo no ha estado exento de críticas en la era de los sistemas hipercomplejos y la digitalización masiva. Teóricos de la seguridad moderna, como Erik Hollnagel y los defensores de la Ingeniería de Resiliencia, argumentan que el modelo de Reason es excesivamente lineal y retrospectivo. Sugieren que, en sistemas altamente dinámicos y acoplados, los accidentes no siempre ocurren por el fallo de componentes individuales o barreras, sino por la interacción inesperada de variables que funcionan de manera normal en su día a día.
Hollnagel propone pasar de la «Seguridad I» (enfocada en evitar que las cosas salgan mal analizando los fallos) a la «Seguridad II» (enfocada en comprender por qué la inmensa mayoría de las veces las cosas salen bien, potenciando la capacidad de adaptación de los operadores). No obstante, lejos de anular el trabajo de Reason, estas nuevas corrientes se construyen sobre los cimientos de su obra, reconociendo que la cultura de seguridad y la erradicación del castigo ciego siguen siendo los pilares inamovibles de cualquier organización de alta fiabilidad.
La vigencia de un legado intelectual
El legado de James Reason trasciende las fronteras de la academia y los manuales técnicos. Su enfoque humanista y sistémico ha salvado incontables vidas en quirófanos, cabinas de pilotaje y plantas industriales de todo el planeta. Nos enseñó que errar es humano, pero diseñar sistemas que faciliten el error y luego culpar al operario es un fracaso de la organización.
La adopción de una verdadera cultura de seguridad exige un esfuerzo constante y consciente por parte de los líderes organizacionales. Implica abandonar la comodidad de buscar un chivo expiatorio y asumir la ardua tarea de auditar de manera continua nuestras propias defensas, buscando activamente esos patógenos latentes que aguardan silenciosos en los pliegues de la burocracia, los presupuestos y los hábitos diarios de trabajo.
Preguntas Frecuentes (FAQs)
¿Cuál es la diferencia principal entre una falla activa y una condición latente?
Las fallas activas son los actos inseguros cometidos por el personal de primera línea (como un error de pilotaje o una dosis incorrecta administrada por un enfermero) que tienen un impacto inmediato en el sistema. Las condiciones latentes son deficiencias ocultas en el diseño, los procedimientos, el mantenimiento o la gestión que pueden permanecer inactivas durante años hasta que se combinan con una falla activa para romper las defensas del sistema.
¿Por qué es perjudicial una cultura punitiva en la seguridad industrial?
Porque cuando se castiga sistemáticamente el error humano, los empleados ocultan los fallos, incidentes menores y situaciones de riesgo por temor a perder su empleo o ser sancionados. Esto priva a la organización de la información necesaria para corregir las fallas del sistema antes de que ocurra una catástrofe mayor, creando una falsa sensación de seguridad.
