Veiligheidsmanagement: wat weten we zeker?

Transcriptie

1 Veiligheidsmanagement: wat weten we zeker? Andrew Hale, Sectie Veiligheidskunde, TU Delft. Inleiding Het is ongeveer 20 jaar geleden dat we het tijdperk van veiligheidsmanagement ingingen: het derde grote tijdperk van de ontwikkeling van veiligheidsdenken, na de technologietijd en de menselijke-factor-tijd. Het is wellicht een goed moment om te inventariseren hoe ver we daarin zijn. Wat weten we zeker over veiligheidsmanagement? Wat denken we te weten, maar het is eigenlijk niet zo? Wat weten we dat we niet weten? En zijn er dingen die we aan het negeren zijn, maar toch zouden moeten willen weten? In een Engelstalige publicatie (Hale 2003) heb ik dit onderwerp uitgebreider behandeld. In deze presentatie wil ik dat beeld actualiseren, maar beknopter weergeven. 1. Wat weten we zeker? De meeste zekerheden in onze kennis zijn op het gebied van de structuur van een goed veiligheidsmanagementsysteem (VMS). De normen, auditsystemen en richtlijnen zijn de laatste 20 jaar behoorlijk naar elkaar toe gegroeid. Figuur 1, uit het werk dat voor de chemische industrie in Europees verband is uitgevoerd (Hale & Guldenmund 2004), geeft een overzicht van de elementen die geregeld moeten worden in alle levensfasen van een bedrijf (exploitatie, onderhoud, modificatie en soms ook ontwerp, constructie en sloop) om risico s goed te beheersen. Andere lijsten en modellen verschillen licht, maar niet in essentie. Levenscyclus van barrières Ontwerp Gebruik Onderhoud Verbetering Installatie 1. Risico (scenario) identificatie en barrière selectie Verdelen van taken en verantwoordelijkheden voor barrière- (management) 3. Keuze, aanschaf en constructie van hardware 4. Inspectie en onderhoud van hardware 5. Management van procedures en regels 6. Beschikbaarheid en planning van mankracht 7. Management van competentie 8. Betrokkenheid en motivatie 9. Communicatie en coördinatie 2. Monitoren, terugkoppelen, leren & verandermanagement Figuur 1. Structuur van een veiligheidsmanagementsysteem

2 Wij weten ook veel over hoe deze verschillende elementen ingevuld moeten worden. Dit is een beeld van managementsystemen dat technici aanspreekt. Het lijkt logisch en rationeel en sluit aan bij de opvattingen van de regeltechniek, met performance indicatoren die gecontroleerd worden en een keurige toepassing van de Demingcirkel. Echter is deze kijk op managementsysteem maar een van de vier die door organisatiekundigen zoals Bolman & Deal (1984) gedefinieerd zijn. Zij voegden er nog drie aan toe als manieren om naar het complex geheel van een organisatie te kijken. De anderen zijn: Human resources: organisaties als verzamelingen mensen, elk met eigen doelstellingen en competenties, die zij, soms met maar soms ook tegen de doelstellingen van het bedrijf zelf proberen te bewerkstelligen. Hieronder vallen topics als groepdynamiek, leiderschap, motivatie Cultureel: organisaties als gemeenschappen met veel ambiguïteiten die begrepen moeten worden, met ongeschreven regels, symbolen, helden en waarden Politiek: organisaties als slagvelden voor het uitvechten van incompatibele belangen tussen groepen of individuen, die met onderhandeling, machtsvertoon en conflict sturing hun zin proberen te krijgen en de sturing van het bedrijf(sonderdeel) te kapen. In de latere delen zal ik hierop terugkomen, maar hier kan al gezegd worden dat de literatuur over veiligheidsmanagement voornamelijk over de structurele en HR-kijken gaat. Cultuur is sterk in opkomst. De politieke dimensie is een die we te vaak liever willen negeren. 2. Wat denken we te weten, maar het is niet zo? Wij weten wel wat we als ideaal willen bereiken, of in ieder geval welke elementen we moeten regelen, maar met de hoe-vraag begint het al moeilijker te worden. De wetenschappelijk literatuur over veiligheidsmanagement is nog steeds mager, zeker wat betreft evaluaties van de effectiviteit van verschillende managementaanpakken (Shannon et al 1997, Hale & Hovden 1998). Tripod is een van de weinige meetinstrumenten die een halverwege redelijke validatie heeft (Groeneweg 1998). De meeste auditsystemen zijn gebaseerd op niet veel meer dan gezond verstand en ongevalideerd expertmening. Wij hebben zelfs geen goed bewijs uit vergelijkingen van bedrijven met en zonder ontwikkelde/gecertificeerde VMS en we weten ook niet of een gecertificeerd VMS tot betere veiligheidsprestaties leidt. Er zijn zelfs studies die dat in twijfel trekken (McDonald & Hrymak 2002). Helaas lijkt er geen onderzoeksgeld te zijn voor de longitudinale studies die nodig zijn om een voor- en na-meting te vergelijken, of voor transversale studies van goed en slecht presterende bedrijven in dezelfde technologiesector. Veiligheidsmanagement is daarom meer een kunst en een speelveld voor consultants en goeroes met een vlotte babbel dan het is een wetenschap. Wij gaan daardoor soms de fout in, door te denken dat alles dat door een goed presterend bedrijf gedaan wordt, noodzakelijk bijdraagt aan de goede prestatie en dus overgenomen zou moeten worden. Als we kijken naar de gretigheid waarmee bedrijven soms kritiekloos de laatste veiligheidskundige mode binnenhalen en op het bestaande stapelen, zonder te kijken of ze eerst een andere techniek weg moeten doen, is dat een gevaarlijke ontwikkeling. Ook de goed presterende bedrijven kunnen nog wat leren door het oerwoud aan procedures en veiligheidsinitiatieven wat uit te

3 dunnen. Dit ligt nog even los van de vraag of een succesvolle veiligheidsaanpak of techniek in een de ene branche over te plaatsen is naar een andere branche of naar een ander land. Gebruikers van de Amerikaanse technieken zoals STOP hebben, bijvoorbeeld, gemerkt dat de techniek soms moeilijk in Nederland beklijft. Nog erger is ons geloof dat de VMS-structuur en audit- of certificatiesystemen, die uitgevonden zijn voor de grote, vaak bureaucratisch ingerichte, major hazard bedrijven, ook voor MKB geschikt moeten zijn. Onze normen en audits (ISO, OHSAS, e.d.) zijn te vaak ongedifferentieerd. Een maat moet bij allen passen, terwijl het managen van een ziekenhuis of universiteit, laat staan een aannemerij, een garage of een boerderij heel iets anders is dan het managen van een chemisch fabriek of een kerncentrale. Wij veralgemeniseren op een onverantwoord manier onze kennis en modellen van groot naar klein, van machine bureaucratie naar professionele bureaucratie of adhocratie (Mintzberg 1983). Wij dwingen het MKB om een papierwinkel op te zetten en in stand te houden, omdat we niet weten hoe we anders moeten auditen; terwijl papier die bedrijven vreemd is. Zij werken op basis van informele interacties en kennis en competentie in de hoofden van mensen. Hoe we dat kunnen auditen, zonder te vragen dat het eerst allemaal op papier gezet moet worden, is, zover ik weet, nergens goed onderzocht. Laat ik nog een heilige koe naar de slachterij brengen. Dat is het geloof, waarop menig VMS gebaseerd is, dat, als we de bijna-ongevallen en kleine letsels aanpakken, we automatisch de grote klappen zullen voorkomen. De driehoek van Heinrich is zo ingeburgerd dat het een wet van de veiligheidskunde is geworden (Hale 2001b). Echter, de redenering werkt alleen anders om: bijna ieder grote klap is voorafgegaan door gebeurtenissen die hetzelfde scenario volgen, maar die met minder schade aflopen. Het heeft wel zin om deze mogelijke precursors te definiëren en daarvoor uit te kijken. Scenario-based auditing probeert dit te doen (Hale & Guldenmund 2004). Echter, het heeft geen zin om de performance van een managementsysteem voor BRZO-bedrijven te beoordelen op basis van LTI s (lost-time injuries), die meestal veroorzaakt worden door vallen van trappen en struikelen in de parkeerplaats komen en niets zeggen over de major hazards. Zij kunnen aandacht afleiden, een vals gevoel van veiligheid geven en ons blind maken voor de zwakke signalen van de kwakkelende gezondheid van het systeem dat de zware klappen moet tegenhouden. 3. Wat weten we dat we niet weten? Deze paragraaf overlapt enigszins met de vorige. De onderscheid die ik maak is tussen vraagstukken die actief worden onderzocht (deze paragraaf) en vraagstukken die bijna geen aandacht van onderzoekers krijgen (de vorige). Onder deze kop valt voor mij het onderwerp van cultuur en veiligheid. Er worden nu veel studies uitgevoerd en gepresenteerd, ook op dit congres, maar er is nog steeds weinig duidelijkheid daarover. Cultuur is een mode, die op zijn slechts gebruikt kan worden als een dekmantel voor het weer uit de kast halen van de brokkenmakerstheorie, maar nu onder de mom van slecht groepsgedrag. In de ogen van sommige vakbonden (Howe 2001) moeten de behaviour-based safety programma s, die dicht tegen veiligheidscultuur aan liggen, worden gezien als pogingen de schuld voor ongevallen op de schouders van werknemers te duwen. Dit is onacceptabel als werkgevers onvoldoende hebben gedaan om het ontwerp van de werkplekken en de werkprocedures en de druk van productie zodanig de maken dat veilig gewerkt kan

4 worden. Buiten deze politieke overwegingen, is de literatuur over cultuur en veiligheid nog steeds zeer verwarrend, met heel veel meetinstrumenten, de meeste niet gevalideerd, die elk cultuur in andere dimensies opsplitst. Zelfs als we de meest voorkomende dimensies nemen, zoals commitment van hoger management of overtreding van regels, is het nauwelijks duidelijk na de meting wat moet veranderen en hoe, om de cultuur te verbeteren. Als we de definitie van cultuur als iets relatief stabiel aannemen, is het zelfs niet duidelijk of we de cultuur moeten willen veranderen, of dat we het VMS moeten aanpassen aan de cultuur. Als de top management niet in het belang van veiligheid op zich gelooft, moeten wij hen dat wel doen geloven (hun cultuur veranderen)? Of moeten we ervoor zorgen dat ze toch gemotiveerd worden met hun huidige berekenende cultuur de veiligheid te verbeteren. Dit kunnen we doen door de boetes en de verzekeringspremies zo omhoog te schroeven dat ze toch in beweging komen. Zoals Ron Westrum gezegd heeft, kan een pathologisch bedrijf heel veilig zijn als de baas maar paranoïde genoeg gemaakt wordt en bang is dat hij gepakt wordt als het fout gaat. In ieder geval hebben we veel meer toegepast onderzoek nodig om te weten of een verandering van cultuur nodig is, of een aanpassing van maatregelen aan een bestaande cultuur beter is. Laten we in de tussentijd ons concentreren op het verbeteren van de structuur en processen van VMSen en pas als die (bijna) optimaal worden, ons storten op de veel moeilijker grijpbare cultuur. Een tweede onderwerp, dat wellicht verassend onder deze kop valt, is hoe wij voor managers risico s goed zichtbaar kunnen maken. In de procesindustrie is het begrip risicodenken goed ingeburgerd. Echter, is dat voor de meeste andere bedrijfstakken niet zo. Daarbij doel ik op twee aspecten: het denken in scenario s, waardoor we de samenhang tussen verschillende factoren benadrukken, die nodig is voordat een ongeval gebeurt het denken in prioriteiten van risico s (kans x gevolg) en in de kosteneffectiviteit van maatregelen die de grootste risicoreductie voor de betaalde euro geven. Veel RIE-documenten worden ingedeeld in gevaarscategorieën en managers worden gevraagd af te vinken of zij een bepaalde gevaar in huis hebben. Te weinig wordt gedacht in termen van het proces van onbeheerst raken van het gevaar en hoe dat proces in de hand gehouden wordt, met barrières, die bepaalde acties en taken vereisen om effectief te worden en blijven (afstelling, plaatsing, gebruik, onderhoud, training, bemanning, e.d.). Zelfs in een aantal traditionele major hazard industrietakken zoals de spoorwegen en de luchtvaart zijn pas onlangs projecten begonnen om expliciet scenario s te beschrijven, gebaseerd op goede procesbeschrijvingen, met expliciet genoemde barrières en management daarvan (Hale 2001a, Ale et al 2004, Heijer et al 2004). Hierdoor wordt voor het eerst een expliciet en zo compleet mogelijk risico gecreëerd als basis voor een VMS. Dezelfde redenering ligt ten grondslag aan het WORM-project van SZW (Hale et al 2004), die bij het congres meermalen aan de orde komt. Een aanverwant probleem met het zichtbaar maken van het risicobeeld als basis voor een VMS, is hoe alle (management)acties die daardoor nodig zijn, op een overzichtelijke manier aan managers gepresenteerd kan worden, zonder dat ze verdrinken in de details en de complexiteit. Zelfs een klein bedrijf in een sector als de bouw heeft tientallen mogelijke scenario s die beheerst moeten worden en moet, hoe dan ook, alle functies die in figuur 1 uitgezet zijn regelen. Managers vragen al te vaak

5 om alles op een A4 op te sommen. Dat is een gevaarlijke vraag omdat het leidt tot oversimplificatie. Het is een uitdaging aan de modelleertechniek en de softwaremakers om, met slim gebruik van hiërarchische modellen een dergelijk overzicht te creëren. Tot dan toe moeten we het met vereenvoudigde plaatjes, zoals figuur 1, doen. Het besef, dat ook maar langzaam zijn intrede doet in zowel de theorie als de praktijk van het VMS, is de realisatie dat een VMS in essentie dynamisch moet zijn. Vroeger was het beeld van het VMS dat het één keer goed ontwikkeld moest worden en dan was het af. Regels en procedures konden wel alles in goede banen leiden en hoefden maar af en toe geactualiseerd te worden. Onder de invloed van boeken over de lerende organisatie (bijv. Senge 1990) en de druk van organisatieverandering is dit statische beeld nu veranderd. Verandering wordt steeds meer als uitgangspunt genomen, waardoor de Demingcirkel op z n kop wordt gezet: in plaats van PDCA (plan, do, check, adjust) wordt het nu CAPD (check, adjust/plan, do), of zelfs APDC, waar verandering zonder vooraf bedachte reden gepleegd wordt. De beeldspraak van Rasmussen (1997) met zijn model over drift to danger (op drift zijn naar de klippen figuur 2) ligt nu centraal. Hij ziet de taak van een VMS als het sturen van een bedrijf in gevaarlijke wateren dicht bij de ongeziene (in mist gehulde) gevaren, onder druk van commerciële imperatieven en persoonlijke afwijkingen. Sturen moet op basis van signalen van imminent gevaar en niet van daadwerkelijke ongevallen, en die signalen zijn zwak en moeilijk onderscheidbaar. Maximalisatie van individuele voordelen INDIVIDUELE VOORDELEN Figuur 2. Rasmussen s drift to danger model Vangnetten Gebied van afwijkingen en overtredingen Operationele, zelfbepaalde actieruimte, met betere prestatie, meer individuele voordelen en nog acceptabele veiligheidsniveau Incidenten Resulterende richting van migratie Veiligheidsregels en -procedures Commerciële marktdruk Veilig actieruimte volgens risicoanalyse tijdens ontwerp Ongevallen Individuele behoeften Levenskwaliteit e.d. Migratie tot maximale prestatie

6 Op basis hiervan zijn we op zoek gegaan naar de leading indicators van veiligheid. Echter, deze speurtocht is nog lang niet afgerond. De beschrijvingen van de twee beroemde ongevallen van de NASA Challenger (Vaughan 1996) en Columbia (Gehman 2004) laten zien hoe zelfs een toporganisatie met veiligheid hoog in het vaandel in staat is de signalen van toenemende afwijkingen en onopgeloste risico s weg te rationaliseren. 4. Wat negeren we, dat we zouden moeten willen weten? Hieronder schaar ik de politieke dimensie van Bolman en Deel (op. cit.). Als we de redevoering van topmanagers of consultant beluisteren, horen we te vaak uitspraken dat er geen conflict is tussen productie en veiligheid; dat ze goed te verenigen zijn, als we maar het bijna religieuze geloof, dat veiligheid een eerste prioriteit is, in de hoofden van iedereen indrammen. De werkelijkheid is en zal altijd heel anders zijn. Er is een onontkoombaar conflict tussen de twee. Als er gevaar bestaat, zal een toename in blootstelling daaraan, door sneller te werken of meer vliegtuigen op een luchthaven te laten landen, een toename in risico betekenen, hoe hard men ook probeert de twee te ontkoppelen. Door conflict te negeren, gaat het ondergronds. Een van de kernprincipes van wat steeds vaker resilience van organisaties wordt genoemd hun succes in het omgaan met hoge risico s zonder feitelijke ongevallen te krijgen is dat deze High Reliability Organisations accepteren dat conflict niet te vermijden is, maar dat het expliciet gemanaged moet worden. In auditsystemen zoals die van I-Risk (Hale et al, 1999) en ARAMIS (Hale & Guldenmund 2004) worden bedrijven expliciet gevraagd of en hoe zij deze conflicten voorspellen en welke afgesproken systemen ze hebben om ze op te lossen. Conflict betekent vaak ook tegenovergestelde belangen van groepen. In het poldermodel staat een mechanisme van bespreken van conflicten en bereiken van compromissen centraal. Met het verdwijnen van dit model komen de conflicterende belangen tussen de veroorzakers van risico en de slachtoffers daarvan meer aan de oppervlakte. Wij zien een verruwing in Nederland van de gevechten over contractuele aansprakelijkheid voor schade en rampen. Als dat doorzet in een explosieve groei in schadeclaims voor letsel en ziekte, zullen onze VMS-en noodgedwongen deze conflicten moeten leren managen en zal de rol van de veiligheidskundige daardoor veranderen richting de rollen in Engeland en de VS. Als afsluiter van dit onderdeel en van mijn betoog wil ik één laatste punt noemen. Wij hebben, m.i. een te grote verwachting van veiligheidsmanagementsystemen, alsof zij alles kunnen oplossen. Wij hebben de neiging ons zo sterk te storten op het ontwikkelen en in stand houden daarvan dat wij vergeten dat de techniek en de mens (de twee eerste tijdperken van de veiligheidskunde) er nog steeds zijn. Deze kosten nog net zoveel energie om goed te regelen als altijd. Wij moeten die wortels niet verliezen, door te gaan zweven in mooi op papier beschreven managementsystemen en cultuurkarakteriseringen, die geen relatie hebben met de werkelijkheid. Een goed managementsysteem is een manier om de techniek en het gedrag goed te regelen, het is er geen alternatief voor. Literatuur Ale B.J.M., Bellamy L.J., Cooke R.C., Goossens L.H.J., Hale A.R., Roelen A. & Smith E Development of a causal model for air transport safety. Safety Science Group. Delft University of Technology.

7 Bolman L.G. & Deal T.E Modern approaches to understanding and managing organizations. Jossey-Bass. San Francisco. Gehman H.W Columbia Accident Investigation Board Report.. National Aeronautics and Space Administration, Washington Groeneweg, J Controlling the controllable: the management of safety. DSWO Press. Leiden. 4 th edition. Hale A.R. 2001a. Regulating airport safety: the case of Schiphol. Safety Science (37) 2-3 pp Hale A.R. 2001b. Conditions of occurrence of major and minor accidents. Journal of the Institution of Occupational Safety & Health. 5 (1) Hale. A.R Safety Management in Production. Human Factors & Ergonomics in Manufacturing. 13 (3) Hale, A.R., Goossens, L.H.J., Ale, B.J.M., Bellamy, L.A., Post, J., Oh, J.I.H. & Papazoglou, I. A Managing safety barriers and controls at the workplace. in Probabilistic Safety Assessment & Management. Pp Springer Verlag. Berlin. Hale A.R. & Guldenmund F Aramis Audit Manual version 1.3. Safety Science Group, Delft University of Technology Hale A.R., Guldenmund F, Bellamy L., & Wilson C IRMA: Integrated Risk Management Audit for major hazard sites. In Schueller G.I. & Kafka P (Eds.) Safety & Reliability. Balkema. Rotterdam Hale A.R. & Hovden J Management and culture: the third age of safety. In A-M Feyer & A Williamson (eds.) Occupational Injury: risk, prevention and intervention. Taylor & Francis. London pp Heijer, T., Hale, A.R. & Koornneef, F Veiligheidsregels in het Spoorwegbedrijf. Report to Railned Veiligheid. Safety Science Group. TU Delft. pp17. Howe J Warning! Behavior-based safety can be hazardous to your health and safety program: a union critique of behavior-based safety. Publication 14. Union of Automotive Workers. Health & Safety Department. Detroit. Michigan. McDonald N. & Hrymak V Safety Behaviour in the Construction Sector. Report to the Health and Safety Authority, Dublin & the Health and Safety Executive, Northern Ireland Mintzberg, H., Structures in five: designing effective organisations. Simon & Schuster, Englewood Cliffs, NJ, USA Rasmussen J Risk management in a dynamic society: a modelling problem. Safety Science 27(2/3) Senge P.M The Fifth Discipline: the art and practice of the learning organisation. Doubleday. New York. Shannon H.S., Mayr J & Haines T Overview of the relationship between organisational and workplace factors and injury rates. Safety Science 26 (3) Vaughan D The Challenger launch decision: risk technology, culture and deviance at NASA. University of Chicago Press. Chicago