Auditoría de riesgos: ¿debería centrarse en personas o en sistemas?

Seguro que alguna vez has visto a alguien en tu trabajo cometer un error o hacer algo que no es bueno para la empresa. ¿Pensaste entones que esa persona era un mal empleado? ¿O más bien te preguntaste qué fue lo que permitió que pudiera comportarse de aquella manera?

En el artículo de hoy te hablaré de dos tipos de análisis usados en la gestión del riesgo. Si eres auditor o te interesa la prevención y la seguridad corporativa, quédate. El modo en que pensamos sobre los riesgos y sus causas puede cambiar totalmente la forma de auditar y prevenir incidentes en organizaciones

¿Negligencia o naturaleza humana?

En una organización pueden ocurrir incidentes debido a errores humanos o a fallos tecnológicos y de infraestructura. Pero al fin y al cabo los fallos tecnológicos son consecuencia de un error de diseño humano.

Las organizaciones son entidades construidas por personas y por tanto al hacer un plan de prevención de riesgos buscamos formas de reducir los fallos cometidos por personas.

El error es inherente a la naturaleza humana, esto lo sabemos todos. Sin embargo, esto no quiere decir que las personas no puedan decidir comportarse de una forma más segura. Entonces, ¿cómo creamos organizaciones más seguras y eficientes?, ¿Evitamos a las personas irresponsables, o limitamos la posibilidad de conductas irresponsables?

Atento porque dependiendo de la respuesta a estas preguntas una auditoría se decantará por formas distintas de prevenir el riesgo. Aquí veremos dos formas de hacerlo.

Los errores humanos que ocurren dentro de un sistema u organización pueden enfocarse de dos formas: con un enfoque personal o un enfoque sistémico. Ambos tratan de prevenir el error humano pero cada uno explica la causa de los errores de forma distinta.

El enfoque personal

En organizaciones tradicionales como los hospitales, el enfoque personal es el dominante a la hora de gestionar el riesgo. En esencia, con este enfoque culpamos al individuo que yerra.

Los integrantes de la organización, como médicos, enfermeros, conserjes, personal de seguridad, etc. son vistos como agentes libres que elijen entre acciones seguras y acciones arriesgadas.

Es hasta cierto punto esperable que se pretenda culpar al individuo y es emocionalmente más satisfactorio que culpar a la organización. Sin embargo, una gestión del riesgo efectiva necesita una cultura organizacional fuerte basada en una comunicación dinámica.

Una comunicación fluida entre los agentes de una organización puede destapar importantes brechas en la seguridad y prevenir desastres. El factor central de una comunicación dinámica es la confianza.

Sin embargo, dicha cultura basada en la confianza no puede desarrollarse en un sistema que concibe los errores como malas prácticas individuales. Los miembros de estas organizaciones no comunican todo lo que debería por miedo a ser señalados o culpados.

Otra debilidad del enfoque individual es que al poner el centro de atención en los individuos no relaciona sus acciones con el entorno organizacional en el que operan. En consecuencia, se pasan por alto características en el funcionamiento del sistema que de haber sido detectadas podrían prevenir potenciales incidentes.

Los incidentes ocurren en forma de patrones concretos. En este otro artículo te explico, lo importante que es detectar dichos patrones y cómo se desencadenan los incidentes.

El enfoque sistémico

El enfoque sistémico concibe a los humanos como seres propensos a errar y  espera que se equivoquen incluso en las mejores organizaciones.

Lo más importante a tener en cuenta, es que este enfoque ve los errores humanos como consecuencias de fallos sistémicos en lugar de como su causa.

Por tanto las medidas de prevención de riesgos parten de la premisa de que no podemos cambiar la naturaleza humana pero podemos cambiar el entorno en el que operan los humanos.

Así, cuando ocurre un incidente, la pregunta no será quién se equivocó, sino cómo y porqué ocurrió. A partir de la respuesta a esta pregunta se diseñaran nuevas barreras de seguridad que blinden el sistema ante peligros externos.

En esencia, la principal diferencia entre el enfoque individual y el sistémico, es que este último al centrarse en el entorno de trabajo de una organización, también incluye a las personas que operan en él. Con esto me refiero a que el análisis sistémico no exculpa las acciones humanas a toda costa sino que trata de entenderlas en el contexto organizacional donde suceden.

Conclusión

Estos son dos de los principales enfoques utilizados para hacer auditorías del riesgo en organizaciones. Visto lo que más caracteriza a cada uno, ¿Cuál crees que debería aplicarse a tu entorno de trabajo? ¿Podría auditarse cualquier empresa u organización con uno solo, o debería aplicarse cada enfoque según el tipo de empresa u organización?

Personalmente, considero que el enfoque sistémico tiene una aplicación más prometedora para prevenir incidentes a largo plazo. Investigar los eventos que desencadenaron en un error hasta llegar a la su causa primigenia me parece un análisis más completo para el diseño de políticas de gestión del riesgo.

En un próximo artículo hablaré en más de detalle de la aplicación del enfoque sistémico a organizaciones complejas mediante el llamado modelo del queso suizo.

Referencias

Reason, J. (2000). Human error: models and management. BMJ: British Medical Journal, 320(7237), 768.

Unkauf, Á. M. (2013). Gestión sistémica del error: el enfoque del Queso Suizo en las auditorías. INNOTEC Gestión, (4 ene-dic), 12-21.

Imágenes utilizadas

1. imagen por Startup Stock Photos
2. imagen por Burst
3. imagen por Startup Stock Photos