El modelo del queso suizo

El “Modelo de queso suizo” fue originalmente propuesto originalmente

por Dante Orlandella y James Reason, y se le suele llamar también
“modelo del efecto acumulativo”, y es de gran utilidad para la gestión de
riesgos y prevención de problemas en el sector aeronáutico.

Entre la aviación comercial y el comercio internacional hay factores que

evidencian varias similitudes, especialmente en su operatoria diaria, más
allá de la radical diferencia de la seguridad de las vidas humanas que
caracteriza la primera de estas dos actividades económicas y
profesionales.

Una primera relación se deriva de la naturaleza de ambos sectores: el

turismo, los viajes de negocios y el transporte internacional de bienes
necesitan –no siempre de manera exclusiva– de la actividad aeronáutica
para poder desarrollarse.

Ahora bien, en lo particular –operaciones de exportación e importación, y

operaciones aéreas con pasajeros y carga– las semejanzas se
multiplican: actores intervinientes en al menos dos países distintos (con
regulaciones y culturas distintas); multiplicidad y heterogeneidad de
sujetos participantes (empresas, medios de transporte, intermediarios,
funcionarios públicos, etc); marcos regulatorios supranacionales, y una
actividad diaria sujeta a contingencias operativas y decisiones urgentes
de impacto inmediato.

Modelo de queso suizo

Estos denominadores comunes dan lugar a que una herramienta
frecuentemente empleada en la aviación comercial –el “Modelo del queso
suizo”– pueda ser de mucha utilidad en el mundo del comercio
internacional; especialmente en lo que concierne a sus aspectos técnicos
y operativos.

Este modelo es una herramienta de análisis y gestión de riesgos,

representada gráficamente mediante una secuencia lineal de fetas de
queso (que referencian a ciertos dominios o defensas de un sistema
organizacional) y sus respectivos agujeros (a modo de fallas o quiebres
de dichas defensas). El modelo consta de:

 Cuatro dominios: influencias de la organización; supervisión;

condiciones previas; actos específicos.
 Dos tipos de fallas: latentes (agujeros de las primeras 3
rebanadas de queso) y activas (los de la última).
 Vector de problemas: atraviesa todas las rebanadas hasta que
un escenario adverso se materializa.

Si bien este modelo suele tener adaptaciones, es posible esbozar

algunas consideraciones generales:
 Los problemas suceden por una combinación de fallas activas y
latentes.
 Cada falla es por sí misma necesaria, pero no suficiente, para
quebrar todas las defensas del sistema.
 Los agujeros (fallas) están siempre mutando: pueden abrirse y
cerrarse, y variar en tamaño y posición.
 Un problema surge si el vector atraviesa todas las fetas, y esto
sucede porque cada una tien al menos un agujero en la misma
posición y al mismo tiempo, es decir, si se alinean
momentáneamente varias fallas.

Fallas latentes
Los quiebres sobre los primeros tres dominios del conjunto nacen de
errores estructurales en el diseño de procesos y sistemas, por decisiones
de la dirección y/o de los mandos medios (y avaladas por la dirección).
Es decir, son producidos por personas que a menudo están lejos, en
tiempo y en espacio, del inconveniente.

Dichas decisiones son factores contributivos cuyas consecuencias

(tardías) pueden permanecer latentes o inactivas durante cierto tiempo
(días, semanas, e incluso meses) sin efectos negativos. Se hacen
evidentes cuando quiebran todas las defensas tras haberse combinado
con fallas activas y/o con circunstancias de activación externos.

La falla latente –en contraposición con una falla activa, cuya anticipación
a veces es difícil de lograr– puede ser identificada y subsanada antes de
que desencadene una situación desfavorable. Sin embargo, al principio
no se la percibe como amenazante por sí sola, dado que no es
interpretada como una condición potencialmente adversa.

Así, las condiciones latentes pueden agruparse de la siguiente manera:

 Inadecuada gestión de riesgos (éstos no se controlan sino que

permanecen latentes hasta activarse por medio de factores
desencadenantes).
 Sistematización de incumplimientos o desvíos (contexto de
trabajo donde la excepción pasa a ser la regla).

Fallas activas según el modelo de queso suizo

A partir de las fallas latentes se van configurando factores que pueden

afectar el desempeño del personal. Diseño deficiente de equipos de
trabajo, objetivos incompatibles, comunicación deficiente, postergación
de mantenimientos y capacitaciones, son sólo algunos ejemplos.

Las fallas activas –también consideradas en este modelo como actos

inseguros– son acciones u omisiones que de manera inmediata generan
consecuencias negativas. Son cometidas por el personal que están en
contacto diario con clientes internos y externos, proveedores, etc; y
pueden ser de dos tipos:

 Errores comunes: aquellos que, aún con intención de cumplir las

reglas y procedimientos prescritos, suceden de manera
involuntaria, a raíz de olvidos, deslices o desconocimiento.
 Violaciones: desviaciones conscientes y/o deliberadas; ya sea
por falta de compromiso, por prácticas poco éticas y/o por la
necesidad cumplir objetivos en un marco de urgencia permanente
o sobrecarga de trabajo.

Las fallas activas no son la causa de los problemas de manera exclusiva,

sino más bien sus síntomas. Cuando se combinan con condiciones no
óptimas de trabajo (fallas latentes), el vector atraviesa la última
“rebanada de queso” y el escenario adverso se hace realidad.

Influencias de la organización según el modelo de

queso suizo
La primera rebanada se refiere al nivel de la alta dirección, en el cual se
toman decisiones gerenciales (de índole financiera, comercial, industrial,
etc.) que impactan sobre la asignación de recursos y el diseño de
políticas y reglamentos generales. En este nivel, influyen también
aspectos políticos internos dentro del equipo directivo de la organización.

Correctamente decididas y materializadas, las acciones en este dominio

representan la primera defensa para evitar situaciones adversas; pero
cuando no es así, posibilitan el surgimiento de fallas latentes. Pueden
estar relacionadas al presupuesto en materia de recursos humanos, al
capital de trabajo, desarrollo de proveedores y de nuevos productos, etc.

Es por lo tanto esperable que tengan lugar decisiones que –si bien puede
que persigan un objetivo legítimo y positivo– den origen a fallas latentes
si se toman en las circunstancias equivocadas y/o en base a información
insuficiente. A modo de ejemplo:

 Capital de trabajo: reducir en cierto porcentaje el stock de

seguridad de insumos, procurando un impacto positivo sobre el
capital de trabajo.
 Costos logísticos: desarrollar nuevos proveedores de servicios
logísticos, con miras a la contratación de alternativas al menor
costo posible.
 Recursos humanos: no contratar una persona adicional ante la
renuncia del coordinador del área de comercio exterior, la cual
pasa de tener tres funcionarios a tener dos.

Supervisión según el modelo de queso suizo

La segunda feta se refiere al nivel de mandos medios. En este dominio

se toman decisiones de tipo táctico y ejecutivo en materia de
comunicación interna, diseño de equipos de trabajo, establecimiento de
objetivos, capacitaciones y entrenamientos, diseño de procedimientos e
indicadores de control, etc.

En condiciones óptimas, en este nivel se podría frenar el vector de

problemas que atravesó la defensa anterior. Pero cuando por un control
inseguro o insuficiente se toman decisiones de baja calidad, el vector
cruza y además se van cimentando condiciones para que ocurran
perforaciones en las “rebanadas de queso” subsiguientes.

Comunicación insuficiente, indicadores no confiables, deficiencias en el

diseño de equipos de trabajo (falta de experiencia, personal insuficiente,
perfiles inadecuados, etc), procedimientos impracticables, y carencias en
formación y capacitación, entre otros, son algunas de las fallas latentes
en este caso.

Continuando con el ejemplo anterior, se pueden plantear las siguientes

decisiones y escenarios:

 Stock de seguridad: un control deficiente impide alertar

intermitencias en el cumplimiento, por parte de un proveedor del
exterior, en las fechas de entrega de uno de los insumos que
importa la empresa.
 Nuevos proveedores de logística: por malas experiencias al
contratar nuevos proveedores de logística nacional e internacional
buscando mejores costos, se decide proceder con cautela en este
punto.
 Área de comercio exterior: a la decisión tomada en el dominio
anterior, le siguen las siguientes:
 Se deja a cargo del departamento de comercio exterior a uno de
los colaboradores del funcionario saliente.
 No se analiza la carga de trabajo que estaba teniendo el área, ni
la aptitud de su nuevo responsable para asumir la coordinación de
la misma.

En este punto, se puede plasmar lo desarrollado hasta aquí

representando los escenarios descritos mediante los citados vectores.

 La decisión respecto a los servicios logísticos se refleja en la

flecha que atraviesa la primera rebanada y rebota en la segunda
(dominio que el vector de problema no pudo quebrar).
 Las acciones sobre recursos humanos y stocks están
representadas por la flecha que atraviesa también la segunda
 defensa. A efectos de simplificación gráfica, se emplea aquí sólo
un vector para ambas decisiones.

Condiciones previas
La tercera rebanada representa la consolidación de fallas latentes
previas y desatendidas, dando lugar a contextos de trabajo propicios
para que tengan lugar los errores y violaciones. Se trata de
circunstancias donde la excepción ya se ha convertido en la regla y/o se
ha generado cierta sistematización de irregularidades.

Largas jornadas de trabajo, personal fatigado, presión de tiempos

permanente, prácticas de comunicación inadecuadas, falta de hábitos y
disciplina, carga de trabajo excesiva, insuficiente idoneidad para las
funciones a desempeñar, y capacitación insuficiente, entre otras
circunstancias poco favorables, son algunos casos de “condiciones
previas”.

En línea con los ejemplos expuestos, el escenario sería el siguiente:

 Stock de insumos importados: la supervisión deficiente del

dominio anterior dio lugar a que:
 Se sistematizan las entregas tardías del proveedor, sin tomar
acción el respecto.
 Las existencias de seguridad del insumo son utilizadas con
mayor frecuencia, reduciendo el margen de acción ante
contingencias operativas y/o picos de producción.
 Servicios de freight forwarding: la decisión de la instancia previa
impide la contratación de proveedores de dudoso desempeño o
referencias inexistentes. Por lo que no se contrata cualquier
alternativa de servicio (por más económica que sea) en cualquier
circunstancia.
 Coordinador de comercio exterior: asume su nueva función bajo
las siguientes circunstancias:
 Tiene menos formación y experiencia que el funcionario
saliente, por lo que su perfil técnico y actitudinal aún no es apto
para asumir sus nuevas responsabilidades.
 Enfrenta una sobrecarga de trabajo junto a su colaborador, dado
que el área tiene una persona menos e igual cantidad de
operaciones que antes.

Actos específicos
Aquí suceden las “fallas activas” por parte del personal más operativo de
la organización, es decir, los errores comunes o violaciones a
procedimientos y reglas, tal como se explicó anteriormente.

Estas fallas activas (pueden ser resultado de la consolidación de las

fallas latentes de “dominios” anteriores) representan el eslabón final para
que la situación adversa se haga realidad. En este proceso, también
pueden haberse combinado con factores externos desencadenantes.

Entonces:

 Demora en entrega de insumos: el proveedor falla en el plazo

de entrega por segunda vez en forma consecutiva. Esta situación
se da en el marco de un menor stock de seguridad, y de una
comunicación deficiente entre las áreas de comercio exterior y
producción respecto a posible faltante del insumo.
 Operaciones de importación: la coordinación de la importación
adolece de las siguientes fallas:
 Decisión de embarcar vía marítima en lugar de aérea (como
alternativa para acortar el plazo de arribo).
 Selección de un servicio con transbordo, y consecuentemente
con mayor tiempo de tránsito.         

Escenario adverso
La concatenación de fallas latentes y activas provoca el faltante del
insumo. Según las acciones que, de manera reactiva, pudieran ponerse
en marcha, los efectos podrían ser, entre otros:

 Parada de la línea de producción, con las consecuentes

demoras y entrega tardía al cliente (y las esperables tensiones
comerciales con éste último).
 Compra de insumos a proveedores alternativos de mayor costo,
menor calidad u otros aspectos no deseados.

La representación visual, una vez materializado el problema, quedaría

como la muestra la imagen a continuación.
Si bien se ha desarrollado este ejemplo desde la perspectiva de la
empresa importadora, el “Modelo del queso suizo” podía ser aplicado
también a los otros actores de la operación (proveedor del insumo, freight
forwarder, despachante de aduana, etc).

A priori se podrían señalar, por caso, las demoras en las entregas por
parte del proveedor en origen. Una serie de fallas activas y latentes en
sus procesos internos podría haber dado lugar a estos incumplimientos
reiterados. Por diversas razones, durante cierto tiempo no despertaron
reclamos de su cliente en destino.

Sin embargo, en combinación con un factor externo desencadenante –las

fallas propias del cliente–, resultaron en el faltante de insumos de éste
último. A partir de aquí podrían tener lugar ciertas tensiones comerciales
entre ambas empresas.
Conclusiones
La gestión de riesgos y problemas bajo el “Modelo del queso suizo” se
basa en el análisis de causas y síntomas, es decir, desde un enfoque
proactivo (preventivo), y no simplemente reactivo (correctivo).

Busca centrarse no sólo en las fallas activas de los individuos, sino

también en identificar y mitigar condiciones latentes en todos los niveles
del sistema.

De esta manera se irá consolidando de manera implícita en la

organización una cierta resistencia a la aceptación de escenarios
adversos y/o riesgos innecesarios. Para ello es necesaria una especial
atención a los siguientes aspectos:

 Definición de políticas.
 Planificación de actividades y procesos (con especial énfasis en
la comunicación).
 Asignación de recursos.
 Realización de procesos y actividades.

Fuente Trade News

Error humano: modelos y gestión

James Reason , profesor de psicología
Información del autor Información sobre derechos de autor y licencia Renuncia de responsabilidad
Este artículo ha sido citado por otros artículos en PMC.
El problema del error humano se puede ver de dos maneras: el enfoque de la persona y el
enfoque del sistema. Cada uno tiene su modelo de causalidad de errores y cada modelo da
lugar a filosofías de gestión de errores bastante diferentes. Comprender estas diferencias
tiene importantes implicaciones prácticas para hacer frente al riesgo siempre presente de
contratiempos en la práctica clínica.
Puntos resumen
 Existen dos enfoques del problema de la falibilidad humana: los enfoques de la
persona y el sistema
  El enfoque de la persona se centra en los errores de los individuos, culpándolos por
el olvido, la falta de atención o la debilidad moral.
 El enfoque del sistema se concentra en las condiciones en las que trabajan los
individuos y trata de construir defensas para evitar errores o mitigar sus efectos.
 Las organizaciones de alta confiabilidad, que tienen menos accidentes de los que les
corresponden, reconocen que la variabilidad humana es una fuerza que se debe
aprovechar para evitar errores, pero trabajan duro para enfocar esa variabilidad y
están constantemente preocupados por la posibilidad de fallas.
Ir:

Enfoque de persona
La larga y extendida tradición del enfoque de la persona se centra en los actos inseguros
(errores y violaciones de procedimiento) de las personas que se encuentran en el extremo
agudo: enfermeras, médicos, cirujanos, anestesistas, farmacéuticos y similares. Considera
que estos actos inseguros surgen principalmente de procesos mentales aberrantes como el
olvido, la falta de atención, la falta de motivación, el descuido, la negligencia y la
imprudencia. Naturalmente, las contramedidas asociadas están dirigidas principalmente a
reducir la variabilidad no deseada en el comportamiento humano. Estos métodos incluyen
campañas de carteles que apelan a la sensación de miedo de las personas, redactar otro
procedimiento (o agregar a los existentes), medidas disciplinarias, amenaza de litigio,
reentrenamiento, nombrar, culpar y avergonzar. Los seguidores de este enfoque tienden a
tratar los errores como cuestiones morales,1
Ir:

Aproximación del sistema

La premisa básica en el enfoque del sistema es que los humanos son falibles y se esperan
errores, incluso en las mejores organizaciones. Los errores se ven como consecuencias más
que como causas, y tienen su origen no tanto en la perversidad de la naturaleza humana
como en factores sistémicos "aguas arriba". Estos incluyen trampas de errores recurrentes
en el lugar de trabajo y los procesos organizacionales que las originan. Las contramedidas
se basan en la suposición de que, aunque no podemos cambiar la condición humana,
podemos cambiar las condiciones en las que trabajan los seres humanos. Una idea central
es la de las defensas del sistema. Todas las tecnologías peligrosas poseen barreras y
salvaguardias. Cuando ocurre un evento adverso, lo importante no es quién cometió el
error, sino cómo y por qué fallaron las defensas.
Ir:

Evaluar el enfoque de la persona

El enfoque de la persona sigue siendo la tradición dominante en la medicina, como en otros
lugares. Desde algunas perspectivas tiene mucho que elogiarlo. Culpar a las personas es
emocionalmente más satisfactorio que apuntar a las instituciones. Las personas son vistas
como agentes libres capaces de elegir entre modos de comportamiento seguros e
inseguros. Si algo sale mal, parece obvio que un individuo (o grupo de individuos) debe
haber sido responsable. Buscar en la medida de lo posible desvincular los actos inseguros
de una persona de cualquier responsabilidad institucional es claramente de interés para los
gerentes. También es legalmente más conveniente, al menos en Gran Bretaña.
Sin embargo, el enfoque de la persona tiene serias deficiencias y no se adapta al dominio
médico. De hecho, es probable que la adherencia continua a este enfoque obstaculice el
desarrollo de instituciones sanitarias más seguras.
Aunque algunos actos inseguros en cualquier esfera son atroces, la gran mayoría no lo
son. En el mantenimiento de la aviación, una actividad práctica similar a la práctica médica
en muchos aspectos, alrededor del 90% de las fallas de calidad se consideraron
inocentes. 2 La gestión eficaz de riesgos depende fundamentalmente del establecimiento de
una cultura de presentación de informes. 3 Sin un análisis detallado de contratiempos,
incidentes, cuasi accidentes y "lecciones gratuitas", no tenemos forma de descubrir trampas
de errores recurrentes o de saber dónde está el "borde" hasta que caemos sobre él. La
ausencia total de una cultura informativa de este tipo dentro de la Unión Soviética
contribuyó de manera crucial al desastre de Chernobyl. 4La confianza es un elemento clave
de una cultura de presentación de informes y esto, a su vez, requiere la existencia de una
cultura justa, una que posea un entendimiento colectivo de dónde se debe trazar la línea
divisoria entre acciones inocentes y culpables. 5 Diseñar una cultura justa es un paso inicial
esencial para crear una cultura segura.
Otra seria debilidad del enfoque de la persona es que al enfocarse en los orígenes
individuales del error, aísla los actos inseguros del contexto de su sistema. Como resultado,
se tiende a pasar por alto dos características importantes del error humano. En primer lugar,
a menudo son las mejores personas las que cometen los peores errores; el error no es el
monopolio de unos pocos desafortunados. En segundo lugar, lejos de ser aleatorios, los
percances tienden a caer en patrones recurrentes. El mismo conjunto de circunstancias
puede provocar errores similares, independientemente de las personas involucradas. La
búsqueda de una mayor seguridad se ve seriamente obstaculizada por un enfoque que no
busca y elimina las propiedades que provocan errores dentro del sistema en general.
Ir:

El modelo de queso suizo de accidentes del sistema

Las defensas, barreras y salvaguardas ocupan un lugar clave en el enfoque del sistema. Los
sistemas de alta tecnología tienen muchas capas defensivas: algunos están diseñados
(alarmas, barreras físicas, paradas automáticas, etc.), otros dependen de las personas
(cirujanos, anestesistas, pilotos, operadores de salas de control, etc.) y otros dependen de
procedimientos y controles administrativos. . Su función es proteger a las víctimas
potenciales y los activos de los peligros locales. En su mayoría, lo hacen de manera muy
eficaz, pero siempre hay debilidades.
En un mundo ideal, cada capa defensiva estaría intacta. En realidad, sin embargo, son más
como rebanadas de queso suizo, con muchos agujeros, aunque a diferencia del queso, estos
agujeros se abren, cierran y cambian continuamente de ubicación. La presencia de agujeros
en cualquier "rebanada" normalmente no causa un mal resultado. Por lo general, esto puede
suceder solo cuando los agujeros en muchas capas se alinean momentáneamente para
permitir una trayectoria de oportunidad de accidente, lo que hace que los peligros entren en
contacto dañino con las víctimas (figura).
Los agujeros en las defensas surgen por dos motivos: fallos activos y condiciones
latentes. Casi todos los eventos adversos involucran una combinación de estos dos
conjuntos de factores.
Las fallas activas son los actos inseguros cometidos por personas que están en contacto
directo con el paciente o el sistema. Toman una variedad de formas: deslices, lapsos,
torpezas, errores y violaciones de procedimiento. 6 Las fallas activas tienen un impacto
directo y generalmente de corta duración sobre la integridad de las defensas. En Chernobyl,
por ejemplo, los operadores violaron erróneamente los procedimientos de la planta y
apagaron sucesivos sistemas de seguridad, creando así el detonante inmediato de la
catastrófica explosión en el núcleo. Los seguidores del enfoque de la persona a menudo no
buscan más las causas de un evento adverso una vez que han identificado estos actos
inseguros próximos. Pero, como se analiza a continuación, prácticamente todos estos actos
tienen una historia causal que se remonta en el tiempo y asciende por los niveles del
sistema.
Condiciones latentes son los inevitables "patógenos residentes" dentro del sistema. Surgen
de decisiones tomadas por diseñadores, constructores, redactores de procedimientos y la
gerencia de alto nivel. Tales decisiones pueden estar equivocadas, pero no es
necesario. Todas estas decisiones estratégicas tienen el potencial de introducir patógenos en
el sistema. Las condiciones latentes tienen dos tipos de efectos adversos: pueden traducirse
en condiciones que provocan errores dentro del lugar de trabajo local (por ejemplo, presión
de tiempo, falta de personal, equipo inadecuado, fatiga e inexperiencia) y pueden crear
agujeros duraderos o debilidades en las defensas (no confiables alarmas e indicadores,
procedimientos impracticables, deficiencias de diseño y construcción, etc.). Las
condiciones latentes, como sugiere el término, pueden permanecer inactivas dentro del
sistema durante muchos años antes de que se combinen con fallas activas y
desencadenantes locales para crear una oportunidad de accidente. A diferencia de las fallas
activas, cuyas formas específicas a menudo son difíciles de prever, las condiciones latentes
se pueden identificar y remediar antes de que ocurra un evento adverso. Comprender esto
conduce a una gestión de riesgos proactiva en lugar de reactiva.
No podemos cambiar la condición humana, pero podemos cambiar las condiciones en las
que trabajan los humanos.
Para usar otra analogía: los fracasos activos son como mosquitos. Pueden ser aplastados
uno por uno, pero siguen llegando. Los mejores remedios son crear defensas más eficaces y
drenar los pantanos en los que se reproducen. Los pantanos, en este caso, son las
condiciones latentes siempre presentes.
Ir:

Gestión de errores
Durante la última década, los investigadores de factores humanos se han preocupado cada
vez más por desarrollar las herramientas para gestionar actos inseguros. La gestión de
errores tiene dos componentes: limitar la incidencia de errores peligrosos y, dado que esto
nunca será completamente efectivo, crear sistemas que sean más capaces de tolerar la
aparición de errores y contener sus efectos dañinos. Mientras que los seguidores del
enfoque de la persona dirigen la mayoría de sus recursos de gestión para tratar de hacer que
los individuos sean menos falibles o descarriados, los seguidores del enfoque del sistema se
esfuerzan por un programa de gestión integral dirigido a varios objetivos diferentes: la
persona, el equipo, la tarea, el lugar de trabajo , y la institución en su conjunto. 3
Las organizaciones de alta confiabilidad (sistemas que operan en condiciones peligrosas
que tienen menos eventos adversos de los que les corresponde) ofrecen modelos
importantes de lo que constituye un sistema resistente. Un sistema de este tipo tiene una
"salud de seguridad" intrínseca; es capaz de resistir sus peligros operativos y aun así lograr
sus objetivos.
Ir:

Algunas paradojas de alta fiabilidad

Así como la medicina comprende más las enfermedades que la salud, las ciencias de la
seguridad saben más sobre las causas de los eventos adversos que sobre la mejor manera de
evitarlos. Durante los últimos 15 años aproximadamente, un grupo de científicos sociales
con sede principalmente en Berkeley y la Universidad de Michigan ha tratado de corregir
este desequilibrio mediante el estudio de los éxitos de seguridad en las organizaciones en
lugar de sus fracasos poco frecuentes pero más notorios. 7 , 8 Estas historias de éxito
involucraron a portaaviones nucleares, sistemas de control de tráfico aéreo y plantas de
energía nuclear (recuadro). Aunque tales organizaciones de alta confiabilidad pueden
parecer alejadas de la práctica clínica, algunas de sus características culturales definitorias
podrían importarse al dominio médico.
La mayoría de los administradores de sistemas tradicionales atribuyen la falta de fiabilidad
humana a una variabilidad no deseada y se esfuerzan por eliminarla en la medida de lo
posible. En organizaciones de alta confiabilidad, por otro lado, se reconoce que la
variabilidad humana en la forma de compensaciones y adaptaciones a eventos cambiantes
representa una de las salvaguardas más importantes del sistema. La confiabilidad es "un no
evento dinámico". 7 Es dinámico porque la seguridad se preserva mediante ajustes humanos
oportunos; no es un evento porque los resultados exitosos rara vez llaman la atención sobre
sí mismos.
Las organizaciones de alta confiabilidad pueden reconfigurarse para adaptarse a las
circunstancias locales. En su modo de rutina, se controlan de la manera jerárquica
convencional. Pero en situaciones de emergencia o de alto ritmo, el control se traslada a los
expertos en el lugar, como suele ocurrir en el ámbito médico. La organización vuelve sin
problemas al modo de control de rutina una vez que ha pasado la crisis. Paradójicamente,
esta flexibilidad surge en parte de una tradición militar: incluso las organizaciones civiles
de alta confiabilidad tienen una gran proporción de ex personal militar. Las organizaciones
militares tienden a definir sus objetivos de manera inequívoca y, para que estas ráfagas de
actividad semiautónoma tengan éxito, es fundamental que todos los participantes
comprendan y compartan claramente estas aspiraciones.8
Culpar a las personas es emocionalmente más satisfactorio que apuntar a las instituciones.
Quizás la característica distintiva más importante de las organizaciones de alta
confiabilidad es su preocupación colectiva por la posibilidad de fallas. Esperan cometer
errores y capacitar a su fuerza laboral para reconocerlos y recuperarlos. Ensayan
continuamente escenarios familiares de fracaso y se esfuerzan por imaginar otros
nuevos. En lugar de aislar las fallas, las generalizan. En lugar de hacer reparaciones locales,
buscan reformas del sistema.
Organizaciones de alta confiabilidad
Hasta ahora, se han investigado tres tipos de organizaciones de alta confiabilidad:
portaaviones nucleares de la Marina de los Estados Unidos, plantas de energía nuclear y
centros de control de tráfico aéreo. Los desafíos a los que se enfrentan estas organizaciones
son dobles:
 Gestionar tecnologías complejas y exigentes para evitar fallas importantes que
podrían paralizar o incluso destruir la organización en cuestión.
 Mantener la capacidad para atender periodos de alta demanda pico, siempre que se
produzcan.
Las organizaciones estudiadas 7 , 8 tenían estas características definitorias:
 Eran complejos, internamente dinámicos y, de forma intermitente, intensamente
interactivos.
 Realizaron tareas exigentes bajo una considerable presión de tiempo.
 Habían llevado a cabo estas exigentes actividades con bajas tasas de incidentes y
una ausencia casi total de fallas catastróficas durante varios años.
Aunque, a primera vista, estas organizaciones están muy alejadas del dominio médico,
comparten características importantes con las instituciones de salud. Las lecciones que se
pueden aprender de estas organizaciones son claramente relevantes para quienes
administran y operan instituciones de salud.

NOSOTROS MARINA DE GUERRA

Ir:

Conclusiones
Las organizaciones de alta confiabilidad son los principales ejemplos del enfoque del
sistema. Se anticipan a lo peor y se preparan para afrontarlo en todos los niveles de la
organización. Es difícil, incluso antinatural, que las personas permanezcan crónicamente
inquietas, por lo que su cultura organizacional adquiere un significado profundo. Es posible
que las personas se olviden de tener miedo, pero la cultura de una organización de alta
confiabilidad les proporciona tanto los recordatorios como las herramientas para ayudarlos
a recordar. Para estas organizaciones, la búsqueda de la seguridad no se trata tanto de
prevenir fallas aisladas, ya sean humanas o técnicas, como de hacer que el sistema sea lo
más robusto posible frente a sus peligros humanos y operativos. Las organizaciones de alta
confiabilidad no son inmunes a los eventos adversos,

Modelo de queso suizo para el análisis de

riesgos y fallas

 
Monise Carla
03 Sep, 2019 - 11:49
 
 
3.61KL e c t u r a s

 
0Comentarios
La gestió n de riesgos es un tema candente aquí en el Blog de
calidad desde antes de la publicació n de ISO 9001: 2015. Hoy
voy a hablar sobre un tema que puede ayudar a desarrollar
aún más su conciencia del riesgo  El Método Swiss Cheese es
un enfoque para comprender có mo ocurren las fallas de su
organizació n. Esto le permite mejorar el aná lisis de riesgos y el
aprendizaje en su negocio.

Antes de continuar con el texto, me gustaría aclarar que este

no es un método prescriptivo, está má s cerca de un modelo
mental que de un método. Por lo tanto, no tendrá un tutorial o
un diagrama. Se trata má s de principios y formas de pensar
sobre posibles eventos de la empresa.

¿Qué es el modelo de queso suizo?

Después de estudiar las causas de varios desastres, James T.
Reason propuso el modelo en 1990. Swiss Cheese es una
forma de explicar por qué ocurren fallas, accidentes, desastres
y fallas en sistemas complejos. Por lo tanto, es un modelo que
funciona muy bien para el aná lisis, gestió n y prevención de
riesgos

En la estructura representativa de Reason, el modelo explica

que cualquier componente de una organización puede
considerarse un segmento (de queso). La administració n es
un segmento, la asignació n de recursos es otro segmento,
infraestructura, programa de seguridad, controles de calidad,
programas de calificació n y competencia, soporte operativo,
cultura, liderazgo, todos los elementos de un sistema.

Sin embargo, estos elementos no son perfectos. Por

supuesto, contienen defectos y debilidades. Por lo tanto,
cada uno de estos componentes se representa como lonchas
de queso suizo porque los agujeros de queso representan
estas deficiencias.

Si estas debilidades se alinean en cada segmento, es decir, un

“agujero” comú n en cada capa, tendrá un desastre.

¿Cuáles son los conceptos principales

del modelo?
En este modelo, asumimos que pequeñ as fallas pueden
llevarnos a grandes eventos. Si has visto la serie de HBO
Chernóbil  en el ú ltimo episodio, será má s fá cil de entender.
Cuando Valery Legasov explica por qué explotó el nú cleo de la
planta, el modelo de queso suizo se hace evidente. Tener la
alineació n de los agujeros de queso y disparar el gatillo
correcto, realmente puede tener una catá strofe.

NOTA: sugiero ver la serie con esta mentalidad de riesgo y

disfrutar aprendiendo de por vida. Pero les prevengo que
contiene escenas fuertes, je je.

James Reason aportó algunas ideas que condujeron a la

construcció n de esta teoría integrada llamada queso suizo:

 Los accidentes generalmente son causados por la

coincidencia o convergencia de mú ltiples factores.
 Los factores pueden variar desde actos individuales hasta
errores organizativos o sistémicos.
 Las fallas que pueden contribuir a un evento catastró fico
no tienen un impacto significativo cuando ocurren de
forma aislada.
 Los seres humanos son propensos a errores operativos y,
por lo tanto, requieren sistemas que estén diseñ ados
adecuadamente para mitigar estos riesgos.
 Muchos factores que contribuyen a un accidente está n
latentes, es decir, a veces está n alineados pero inactivos,
esperando el desencadenante que los desencadenará en
cualquier momento.
Segú n el modelo, casi todos los eventos adversos ocurren
debido a la combinación de dos factores: fallas activas y
latentes.

La falla activa es cuando alguien en algú n momento decide,

por ejemplo, no usar equipo de seguridad, no seguir el
procedimiento está ndar o cualquier otra actividad que
eventualmente se requiera.

Una falla latente es una falla incrustada en el proceso,

procedimiento, má quinas o cualquier otra cosa. Estas son
fallas que esperan ser activadas por una falla activa.

Por ejemplo, supongamos que tiene una má quina en su

empresa donde necesita limpiar perió dicamente los desechos
inflamables. Por alguna razó n, esta limpieza no ocurrió . Es
decir, una falla activa. Al mismo tiempo, los sistemas de alarma
contra incendios está n caídos o defectuosos. Eso sería un
defecto latente.

Si esta situació n fuera real, estaríamos a punto de presenciar

un accidente de incendio.

Aplicando el modelo de queso suizo a

mi sistema de gestión
Aunque no es un método prescriptivo como FMEA o incluso
una herramienta como la Matriz de riesgos , este modelo nos
ayuda a reflexionar sobre los problemas que ocurren en
nuestra empresa y mejorar nuestro aná lisis de riesgos.
¿Alguna vez se ha detenido a pensar que las no conformidades
son la materializació n de los riesgos identificados?

Si comenzamos utilizando el enfoque del queso suizo para

hacer un aná lisis de causa sistémico y luego actualizar los
riesgos identificados, o registrar nuevos riesgos, ya estamos
cumpliendo con la norma ISO 9001: 2015, requisito 10.2.1,
letra e: “si fuera necesario, actualizar los riesgos y
oportunidades determinados durante la planificació n”.
Y, por supuesto, no se trata de ISO 9001 o ISO 45001, por
ejemplo. En todos los está ndares de gestió n o excelencia, este
pensamiento puede ser ú til, porque estamos hablando de
mejorar el sistema de gestió n y no de los está ndares. Pero si el
enfoque de alimentació n de riesgos no es suficiente, podemos
usar este modelo de conciencia para identificar posibles
errores y fallas en el sistema de gestió n. Esto nos ayudaría a
comprender los factores críticos que pueden contribuir a la
insatisfacció n del cliente, por ejemplo.

Así como una serie de éxitos también puede contribuir al éxito

de un proyecto o proceso. Podría utilizar el enfoque del queso
suizo para comprender có mo se alinearon estos
factores. Todas estas fortalezas se pueden incorporar en
los procesos para que sean má s propensas a realizar mejores
entregas.

Vea bien, todavía estamos hablando de disminuir la

probabilidad o mitigar el impacto de un riesgo pero ahora
podemos estructurar las causas de esos riesgos al pensar en el
modelo de queso suizo. Esto puede contribuir a que nuestras
acciones de mitigació n sean má s efectivas y sistémicas.

Recibe las mejores noticias del día por W