Aprendizaje organizativo en entornos complejos: Lecciones extraídas de la seguridad aérea (Publicado en Harvard-Deusto Business Review)

Aprendizaje organizativo en entornos complejos: Lecciones extraídas de la seguridad aéreaAprendizaje organizativo en entornos complejos: Lecciones extraídas de la seguridad aéreaJosé Sánchez-AlarcosElena Revilla

Introducción

En una situación de competitividad extrema en la mayor parte de los mercados, la necesidad de mejorar constantemente -y, por tanto, de aprender- no es un mero complemento sino que se convierte en una de las bases de la supervivencia para cualquier organización. Sin embargo, la capacidad de las organizaciones para aprender no es homogénea. Mientras unas organizaciones parecen especialmente dotadas para generar nuevas soluciones y adaptarse mejor a su entorno, otras han ido languideciendo.Esta diferencia de comportamiento ha sido objeto de diversos análisis encaminados a buscar y reproducir la receta del éxito. En esta línea, este artículo representa un análisis de una actividad que, con toda justicia puede considerarse excelente y es la seguridad en vuelo en aviación comercial. Intuitivamente es fácil comprender que el movimiento de aviones implica la existencia de riesgos físicos de una elevada magnitud y, a pesar de ese riesgo intrínseco, la baja siniestralidad ostentada por el transporte aéreo ha convertido a éste en algo rutinario donde la noción misma de  riesgo no suele estar entre las consideraciones del pasajero medio.  Esta discrepancia entre el riesgo intrínseco de volar y la escasa siniestralidad en aviación comercial no se ha producido siempre sino que la siniestralidad ha disminuido a lo largo del tiempo y ello autorizaría a afirmar que ha existido un proceso de aprendizaje organizativo en lo que a seguridad se refiere.Estos hechos representan una invitación al análisis de los elementos en que se ha basado ese aprendizaje y a la búsqueda de enseñanzas susceptibles de extrapolarse al ámbito de la gestión empresarial. No obstante, este estudio también conducirá a plantear una pregunta más que, en los análisis encaminados a buscar modelos de excelencia no parece haberse tenido en cuenta.  Se han estudiado organizaciones que mejoraban y han buscado un motor de aprendizaje que -se supone- permanece constante en el tiempo y es el que lleva a la organización a la excelencia. Sin embargo, la crisis que afectó a la mayoría de las empresas consideradas en su momento excelentes por Peters y Waterman en su best-seller “En busca de la excelencia” invita a preguntarse si realmente funciona así el proceso de aprendizaje.

La evolución seguida por la seguridad aérea

Como se ha señalado en la introducción, la seguridad aérea ha mostrado una excepcional capacidad de mejora. Éste es un hecho que fácilmente se pone de manifiesto con una mera revisión literaria, con autores como Saint-Exupery y, por supuesto, con una revisión de la historia de la aviación. Ambas muestran el espectacular avance que se ha producido a lo largo del pasado siglo XX que, además, puede corroborarse con los datos estadísticos aportados por Boeing en el gráfico sobre la evolución de la siniestralidad entre los años 1959 y 2005:

http://www.boeing.com/news/techissues/pdf/statsum.pdf

La evolución de la siniestralidad mostrada por el gráfico prueba, en primer lugar, la mejora que se ha producido en el ámbito de la seguridad y, por tanto, la existencia de una capacidad específica encaminada a lograr dicha mejora. Por otra parte,  también puede observarse que desde la mitad de la década de los 70 la curva de mejora se ha aplanado extraordinariamente y que, por tanto, el nivel de mejora ha disminuido con relación a etapas anteriores.

Para un lector experto en el ámbito de la calidad, esta curva no le diría nada nuevo y podría explicarla recurriendo al coste creciente de las mejoras marginales. Una vez alcanzada una elevada perfección en un sistema, la introducción de una pequeña mejora es cada vez más costosa. Por ello,  asumiendo que es prácticamente imposible lograr la perfección absoluta, el gestor se limita a aceptar un porcentaje insignificante de operaciones fallidas.No obstante, esta sencilla explicación queda rápidamente descartada en cuanto se profundiza un poco más en el análisis. Aunque la afirmación de que el avión es el medio de transporte más seguro que existe forma ya parte de los lugares comunes en cualquier conversación, el aumento previsto de tráfico aéreo ha llevado a Boeing a pronosticar un grave accidente semanal en 2015 manteniendo los actuales niveles de seguridad. La inaceptabilidad de este escenario conduce a una elevada presión hacia la mejora en seguridad cuantificada en la necesidad de mejorar los niveles actuales en un factor de cinco (Informe de la Comisión de la Casa Blanca, 1997). Además de los elementos de presión, es importante también tener en cuenta la existencia de oportunidades de aprendizaje excepcionales. Una primera oportunidad proviene del ámbito de la aviación militar donde, casi por definición, las exigencias operativas son mayores. A título de ilustración, la capacidad de volar a velocidad supersónica –llevada en fechas recientes hasta los 8.000 kms./h.- , el control de los aviones mediante sistemas de información, el uso de sistemas de navegación como el GPS y otros provienen directamente de la tecnología militar.  Parece, por tanto, que las presiones y las oportunidades que han espoleado la mejora en seguridad aérea siguen vigentes pero no se mejora en el mismo grado que se hacía antes.  Para explicar esta paradoja, este articulo se dedicará a estudiar los limites del sistema de aprendizaje actual utilizado en seguridad aérea, cómo superarlos y, qué lecciones podemos extraer de su existencia y si éstas son aplicables a la gestión de organizaciones empresariales complejas.

Modelo de aprendizaje utilizado en seguridad aérea.

El modelo de aprendizaje vigente en seguridad aérea podría definirse como event-driven (guiado por el evento). La presión que produce cualquier accidente grave sobre el sector da a los accidentes y las consecuencias obtenidas de éstos un papel central en el aprendizaje. Un accidente inexplicado es una fuente de inquietud que debe eliminarse lo antes posible y, por ello, la búsqueda de explicaciones para los accidentes y las acciones llevadas a cabo para evitar que volvieran a suceder han representado una pieza fundamental para lograr la mejora.  Sin embargo, aparece un problema obvio para conseguir este objetivo: El potencial de destrucción de un gran accidente de aviación lleva consigo que tanto los materiales como las personas directamente implicadas y que podrían aportar información hayan desaparecido a causa del propio accidente. Esto implica la necesidad de instalar a bordo de los aviones dispositivos diseñados específicamente para registrar información -y mantenerla a salvo incluso en la eventualidad de desastres con grave nivel de destrucción- y de canales organizativos que permitan que esa información llegue hasta los lugares en que ésta sea necesaria.De esta forma, se ha alcanzado en seguridad aérea un grado de trazabilidad muy superior al existente en muchas otras actividades puesto que virtualmente todos los acontecimientos van quedando registrados. Adicionalmente, se ha realizado un importante esfuerzo para disminuir la ocultación de información mediante garantías de anonimato y de ausencia de sanciones en casos de comisión de errores denunciados por la propia persona que los ha cometido y que pudieran haber causado algún accidente. Con ello se pretende prevenir situaciones de riesgo potencial.

Una vez que la recogida y difusión de la información con propuestas de actuación ha quedado garantizada, todavía quedaría por determinar cómo esa información es integrada en la operativa de forma que sea utilizable y, por tanto, pueda contribuir a aumentar la seguridad. Una base de datos, por amplia, accesible y bien estructurada que sea, no proporciona las claves de actuación necesarias si de sus contenidos no se derivan unas consecuencias operativas claras.

La transformación operativa

Una forma de transformar la información en operativa es su conversión en normas y la vigilancia sobre su cumplimiento. La existencia de normativa suele implicar también la existencia de un dispositivo sancionador que, aunque ha sido y es utilizado, ha sido limitado en su aplicación cuando se ha entendido que la evitación de sanciones podía  dar lugar a ocultación y a consecuencias negativas para la seguridad.

La normativa, aunque no evita por completo la existencia de errores, contribuye a su disminución transformando en rutinas prefijadas actividades que inducen a  error, bien por su complejidad o bien por exigir una respuesta demasiado rápida para permitir una deliberación detallada sobre el curso de acción a seguir.

Una parada de motor, por ejemplo, da lugar a una secuencia predefinida de operaciones que es objeto de entrenamiento para evitar que sea preciso reflexionar acerca de la solución. Sin embargo, incluso actuando de esa forma, siguen dándose casos –uno muy reciente en España- en que la tensión generada por un incendio de motor lleva al piloto a equivocarse y aplicar los extintores sobre el motor que funcionaba correctamente.

Esta limitación  de la normativa en su capacidad para evitar errores ha dado lugar, cuando la tecnología lo ha permitido, a una utilización creciente de la ingeniería como forma de impedir físicamente que se produzca la oportunidad para el error. En un primer momento, la mejora de la tecnología mecánica contribuyó a reducir el número de situaciones graves que podían desembocar en un accidente. Retomando el ejemplo anterior, un aumento en la fiabilidad de los motores que reduzca la posibilidad de que se paren puede ser una solución más deseable que un procedimiento encaminado a reducir la posibilidad de un accidente grave una vez que la parada de motor se ha producido.

Dentro de la tecnología, merece un capítulo especial la tecnología de la información; ésta  implica un salto cualitativo sobre la tecnología mecánica ya que se introduce una dimensión nueva: El avance de la tecnología mecánica ha ido introduciendo mejoras en fiabilidad y prestaciones mientras que la tecnología de la información ha “congelado” situaciones posibles y sus respuestas. El avance en la tecnología de la información, por tanto, no se mide ya en términos de fiabilidad y prestaciones sino en la cantidad de situaciones y respuestas que puede almacenar un sistema de información.

Un sistema con elevada carga tecnológica, por tanto, puede  integrar en su diseño buena parte de la normativa necesaria además de soluciones específicas a problemas conocidos. Al hacerlo así, la persona que lo opera va siendo progresivamente marginada ya que su contribución va perdiendo importancia dentro del sistema global. Esto que, desde el punto de vista de la persona que ejerce como operador, puede ser grave ya que devalúa su contribución suele ser bien acogido desde el punto de vista del diseñador del sistema y convertirse en una estrategia válida para evitar la comisión de errores.

Por ello, cuando las situaciones no previstas son escasas –y en un sistema evolucionado han de serlo por definición- la posibilidad de cometer errores es un precio que se comienza a considerar muy alto. La alternativa que provee la tecnología implica  perder parcialmente las capacidades específicamente humanas y, a cambio, enfatizar el seguimiento de la norma o la utilización de tecnología que lleve ya dicha norma incluida en su diseño. De este modo, a partir de cierto momento del desarrollo, las personas importantes para el avance del sistema no se encuentran operándolo sino en los gabinetes de diseño del fabricante. En resumen, la tecnología y, más específicamente, los sistemas de información han ido capturando una cuota creciente de la confianza de los gestores a expensas de sus operadores humanos. Al hacerlo así, y puesto que cada tipo de recurso tiene capacidades que le son propias, la capacidad global de mejora queda limitada por las capacidades del recurso que predomine, en este caso el tecnológico.

Los límites del modelo de aprendizaje

Paradójicamente, la revolución de los sistemas de información que comenzaron a invadir las cabinas de vuelo en la década de los 80 ha coincidido en el tiempo con el momento en que los índices de seguridad han disminuido su ritmo de mejora. El nivel de seguridad aérea actual se parece mucho al existente a principios de la década de los 80. Si, como parece, la seguridad aérea no ha evolucionado al ritmo de los recursos en que se apoya -tecnología y normativa fundamentalmente- puede pensarse que el modelo de aprendizaje utilizado lleva consigo efectos secundarios que introducen una limitación a su capacidad de mejora. Los límites de este modelo de aprendizaje es lo que pasamos a analizar a continuación.La evolución de la seguridad ha conducido a que los accidentes de causa única y sencilla virtualmente hayan desaparecido. Cada accidente muestra una compleja trama de interacciones entre factores donde un problema, incluso grave, no habría tenido mayor trascendencia si no hubieran concurrido otros factores que, aún siendo menores, pueden provocar un efecto multiplicativo. La mejora de la seguridad ha llevado a que cualquier avión de pasajeros pueda sobreponerse a un fallo grave incluso aunque éste ocurra en un momento crítico. Sin embargo, lo que podríamos denominar interacciones creativas entre fallos son más difíciles de prevenir, incluso en situaciones donde el factor iniciador tenga poca trascendencia. La interacción, además, puede producirse entre sistemas no funcionalmente relacionados debido a la mera proximidad física; así, un sistema de presurización y un sistema hidráulico tienen escasa relación pero un fallo grave en el primero puede provocar una explosión que inutilice el segundo (Boeing 747 de JAL el 12-8-1985). En suma, el evento simple está previsto incluso en los casos en que este evento simple revista gravedad. Esta previsión se ha realizado integrando en el sistema un número creciente de situaciones que podríamos definir como If…Then, es decir, si ocurre esto, entonces realizar la acción predeterminada. Estas soluciones If…Then pueden adquirir la forma de norma para ser ejecutada por una persona o pueden ser materializadas bajo la forma de tecnología. Como los hechos han mostrado, ésta es una solución válida para un evento simple; sin embargo, los sucesivos If…Then pueden interactuar y provocar eventos autogenerados con independencia de la realidad exterior.Es materialmente imposible introducir en el sistema todas las combinaciones posibles de If…and…or…and…Then y, cuando lo intentamos, estamos también aumentando las posibilidades de interacción entre las distintas condiciones que introducimos en el sistema. Esta vía de desarrollo, por ello, conduce hasta el estadio que Luhmann[1]  denomina hipercomplejidad y que se define como la situación en que el sistema deja de comportarse como un todo integrado y los distintos subsistemas –las soluciones If…Then- tratan de  optimizar los resultados desde sus perspectivas individuales. La complejidad introducida a través de la acumulación de soluciones específicas puede llegar a ejercer, a través de las interacciones creativas que genera, de elemento multiplicador de fallos intrascendentes y convertirse en la causa real de algunos grandes accidentes. Así, es en estos grandes accidentes donde queda en evidencia la existencia de interacciones cuya posibilidad no había sido imaginada hasta ese momento. Como ejemplo, en los aviones DC-10 la pérdida total de sistemas hidráulicos estaba cuantificada en menos de una posibilidad en mil millones. Esta posibilidad se calculó atendiendo a que el avión llevaba tres sistemas hidráulicos independientes. El caso United-232 en 1989 tuvo la oportunidad de demostrar la falsedad de este cálculo; la explosión del motor de cola del avión afectó a una zona por donde pasaban conductos de los tres sistemas hidráulicos inutilizándolos todos y provocando un accidente.

Pérdida de significado.

El aumento de complejidad tiene un efecto secundario de la mayor importancia para la evolución del sistema: A medida que el sistema se hace más complejo, se hace más difícil de entender y, por tanto, más opaco para su operador humano. Un ejemplo servirá para ilustrar esta idea: La aparición de sistemas de información ha dado lugar a un nuevo tipo de fallo potencial y es aquél que se produce sin la existencia de fallo físico, es decir, el fallo de software. El fallo de software tiene una característica propia que lo hace distinto del mero fallo mecánico y consiste en que la mera redundancia no basta para prevenirlo. Así, cuando hablamos de fallos mecánicos, la redundancia suele ser suficiente y, como ejemplo, es difícil que falle más de un motor al mismo tiempo en un avión; cuando así ocurre, puede producirse por situaciones muy claramente identificadas: Combustible insuficiente o contaminado y contaminación exterior como cenizas volcánicas o residuos de grandes incendios. Un fallo de software es distinto; varios sistemas trabajando en paralelo fallarán al mismo tiempo si se ven sometidos a una situación susceptible de provocar un fallo lógico[2]. El constructor es consciente de este problema y ha dotado al avión de sistemas de información redundantes pero añadiendo una condición específica: Los distintos sistemas tienen que tener una entrada y salida de datos idéntica pero su funcionamiento interno ha de ser distinto, de forma que un fallo de software no pueda afectar a todos los sistemas a la vez ya que éstos son distintos.La capacidad de previsión del fabricante es digna de elogio pero ello no debe llevarnos a ignorar efectos secundarios producidos como consecuencia de esta forma de actuar: Si un operador trabaja con varios sistemas complejos que son distintos internamente pero iguales en su operativa, cabe esperar que el operador humano no conozca la lógica de funcionamiento de ninguno de ellos. En su lugar, recibe un modelo operativo válido para cualquiera de ellos; sin embargo, si se produce un fallo, la falta de conocimiento de la lógica interna implica no disponer de claves para identificar el origen del fallo y tratar de solucionarlo. La redundancia en sistemas de información se consigue, por tanto, a expensas de introducir opacidad y, con ello, se dificulta la actuación ante situaciones no previstas en el diseño inicial. El problema generado por esta situación lo expresa adecuadamente un viejo chiste de pilotos según el cual la frase más oída en un avión moderno es “Y ahora ¿qué hace éste?” refiriéndose al propio avión.Sobre el papel, esto no debería ocurrir y una división ideal de funciones consistiría en utilizar la capacidad de la tecnología para atender las situaciones previstas y mantener a las personas para atender las situaciones no previstas. Sin embargo, la capacidad de respuesta de las personas ante situaciones no previstas solamente aparece cuando la persona conoce el diseño lógico del sistema que opera y éste no le ha sido ocultado presentando metáforas en lugar de explicaciones del funcionamiento real. La utilización de metáforas simplificadoras facilita la operativa en condiciones normales sin necesidad de incurrir en elevados costes de formación pero, al mismo tiempo, incapacita cuando la metáfora no basta para explicar una situación anormalA este respecto, James Reason[3] hace una interesante clasificación sobre los posibles tipos de capacidad que una persona puede exhibir sintetizando éstas en las siglas SRK. En estas siglas, la S corresponde a Skills, la R corresponde a Rules y la K corresponde a Knowledge, es decir, habilidades, reglas y conocimiento. El nivel K, siendo el más elevado,  origina más fallos que una actividad mecanizada y, por ello, la sustitución de la confianza en las personas por una supremacía instrumental sobre éstas parece una solución adecuada para la disminución de estos fallos. La adopción de esta solución implica que la mayor parte de las personas son desplazadas desde el nivel K hacia los niveles S y R y que el conocimiento clave ha quedado desplazado hacia otros recursos que, sobre el papel,  permiten mantener la supremacía instrumental por parte de aquellos que dirigen el sistema o diseñan sus soluciones tecnológicas. Sin embargo, como ya se indicó, la acumulación de mejoras parciales aumenta la complejidad global y acaban por no ser útiles para el sistema en su conjunto. Cuando se aprovecha al máximo las capacidades de la tecnología y normativa, el sistema global mejora su capacidad frente a todo aquello que entra dentro del ámbito de lo conocido mediante la preparación de respuestas prefabricadas. Sin embargo, en ese proceso se va perdiendo capacidad para afrontar situaciones desconocidas ya que éstas requieren un nivel de conocimiento -nivel K de Reason- que implica la familiarización con la lógica del sistema, no sólo con su operativa, y que habitualmente, no posee la persona que trabaja en un entorno que ha alcanzado el nivel de hipercomplejidad . Si no se considera valiosa la comprensión del funcionamiento de un sistema, la conducta esperable por parte de su diseñador consiste en intentar recoger mayor número de situaciones posibles, reduciendo así el número de situaciones no planificadas en lugar de tratar de hacer sus diseños comprensibles. Al actuar así, le ha arrebatado al recurso alternativo –el operador humano- la posibilidad de actuar bajo el nivel K de Reason, es decir, conservando el conocimiento causal. El no considerar esta situación aceptable  establece como criterio básico en las organizaciones que el operador ha de ser capaz de ejecutar cognitivamente el programa que está utilizando. Ésta condición deja de ser cumplida a medida que aumenta la complejidad organizativa, y el sistema comienza a operar con total ceguera del significado de las situaciones  que maneja. Un ejemplo puede mostrar la trascendencia que puede alcanzar una situación de perdida de significado: Un piloto automático puede ser un actor extremadamente diestro en el manejo de un avión y sin embargo es totalmente ciego al significado ya que no sabe que va volando y ni siquiera sabe qué es volar. La consecuencia es que su comportamiento en situaciones normales es mucho más favorable tanto por exactitud como por ausencia de fatiga que el del piloto humano. Esa ventaja se transforma en inconveniente ante un evento no previsto que requiera una solución nueva. De hecho, ya se ha producido la situación en que, tras un fallo de presurización, el piloto automático ha mantenido al avión en vuelo estable a una altitud donde sus ocupantes no podían sobrevivir sin oxígeno con las consecuencias imaginables. En suma, la pérdida de significado para la persona  puede degradar su actuación, especialmente en situaciones no previstas y, si no se quiere que el sistema global pierda una parte de su capacidad actual, las capacidades que esta persona utilizaba deben estar en otro recurso. En otros términos, la introducción de tecnología y el aprovechamiento de sus capacidades no representan una ganancia neta si, al mismo tiempo, se están perdiendo definitivamente capacidades que antes aportaban las personas. Este resultado que, sin duda, permite explicar la disminución del ritmo de mejora en seguridad aérea, se convierte  en principal la objeción al desarrollo de los sistemas de aprendizaje organizativos con base en la tecnología. No obstante, el lector no debe olvidar que, este desarrollo se ha producido como una forma de evitar errores producidos por personas.

Del ensayo y error a la evitación.

El operador humano es falible y, a medida que la tecnología ha ido evolucionando, la  tentación de pasar parte de sus capacidades a una tecnología con un grado de sofisticación creciente se ha hecho más difícil de resistir. Desde el punto de vista del gestor de una organización, si puede impedirse físicamente la ejecución de una acción inadecuada y puede materializarse el conocimiento necesario bajo la forma de procedimientos, mecanismos o sistemas de información, la confianza en las personas habrá dejado de ser un mal necesario ya que, en su lugar, podrá mantenerse el control sobre la situación.Por añadidura, la evolución tecnológica, además de permitir almacenar respuestas prefabricadas a situaciones ya ocurridas, también permite incluir en su diseño respuestas a situaciones que, sin haber ocurrido nunca, hayan sido evaluadas como factibles por parte de los diseñadores del sistema. En este caso, no se trataría solamente de aprender de los eventos para que no vuelvan a ocurrir sino de evitar la ocurrencia de eventos que el diseñador del sistema piense que podrían ocurrir.Es difícilmente criticable este tipo de actuación cuando los eventos pueden tener  consecuencias graves. Por ello, en los sistemas se integran respuestas a situaciones que no han ocurrido nunca pero que, en la imaginación de sus diseñadores, podrían llegar a ocurrir. En este sentido, ha sido muy divulgado el hecho de que, después de los atentados del 11 de septiembre de 2001, fueron llamados algunos guionistas de Hollywood para que pusieran su imaginación a trabajar en la búsqueda de posibles objetivos terroristas para, a continuación, proteger dichos objetivos. Este cambio de énfasis desde aprender de lo ocurrido hacia la anticipación del evento representa un paso más hacia la supremacía instrumental que no es, en absoluto, gratuito. La supremacía instrumental se logra mediante sistemas que van introduciendo una mayor complejidad en la organización y, por ello, la empiezan a hacer sensible a nuevos eventos. Cada nuevo arreglo, por otra parte, aumenta la complejidad y el riesgo de aparición de nuevos eventos al mismo tiempo que desaparecen otros ya conocidos.Desde el punto de vista más habitual de los tecnólogos,  el sistema habrá mejorado sólo si los errores humanos evitados son más que los errores tecnológicos introducidos por aumento de complejidad.  Sin embargo, en esta transacción se pierde fácilmente de vista qué ocurre con los errores derivados del aumento de complejidad. Como ejemplo, una mejora que permita aumentar de un 90 a un 95% el número de situaciones atendidas es, en principio, positiva; sin embargo, hay que valorar también si al mismo tiempo está introduciéndose una total impotencia para gestionar el 5% de las situaciones restantes.En resumen, los procedimientos y la tecnología restringen la capacidad de acción para evitar la repetición de accidentes ya ocurridos . Sin embargo, a medida que esa restricción crece, va dejando fuera del ámbito de lo factible acciones que podrían ser necesarias para solucionar un problema desconocido.

La dimensión económica y la paradoja de la automatización.

Una dimensión de la automatización que no puede ignorarse es la económica ya que justifica la operación con sistemas ciegos al significado. La ceguera al valor del significado puede implicar consecuencias negativas pero trae como contrapartida una mayor eficiencia en el tratamiento de situaciones previstas; en consecuencia, el coste de las operaciones disminuye. El desarrollo basado en la tecnología y la marginación del operador humano ha dado lugar en aviación a la emergencia de un fenómeno conocido con el nombre de paradoja de la automatización. En estadios menos desarrollados, este fenómeno puede encontrarse ya en grandes organizaciones empresariales: La automatización contribuye a mejorar la eficiencia operativa ya que permite que operadores con menores destrezas puedan gestionar situaciones que, en etapas anteriores, requerían unas destrezas más elevadas. Sin embargo, el sistema -en nuestro caso, un avión- automatizado es internamente más complejo y, por tanto, más difícil de comprender que uno no automatizado aunque su manejo en condiciones normales pueda ser notablemente más sencillo. Al mismo tiempo, cuando las condiciones dejan de ser normales, sería preciso un profundo conocimiento de la lógica interna del sistema ya que, de otro modo, éste puede  comportarse anormalmente sin que, por añadidura, su operador tenga ninguna clave acerca de los parámetros a que obedece dicho comportamiento anormal. Adicionalmente, es necesario señalar el hecho de que el sistema no tiene una captación directa de la realidad sino un modelo de ésta que le permite operar en ella con un nivel de competencia suficiente en condiciones normales. La consecuencia es que un comportamiento anormal de un sistema no se guía por las mismas reglas que un comportamiento anormal de una persona sino por las particularidades del modelo de la realidad con que opera. Un ejemplo de situación absurda generada por un modelo de realidad incorrecto se produjo en un aterrizaje donde el sistema de información del avión interpretó la situación como entrada en pérdida[4] y trató de recuperar la situación bajando el morro y estrellándolo contra el suelo…desobedeciendo la orden que el piloto estaba dando a través de los mandos. El desconocimiento de estos entresijos del sistema puede dejar a la persona que lo utiliza sin ninguna opción de anticipar su actuación, incluso si físicamente le es posible hacerlo.Hillis[5] utilizaba precisamente la idea de un sistema de información pilotando un avión para señalar que, en los nuevos modelos de inteligencia artificial distribuida, el programador literalmente no sabe cómo opera el sistema que ha iniciado pero que, después de todo, tampoco sabemos cómo funciona una persona y, por tanto, éste no debería ser un elemento de diferenciación. Aunque eso es cierto, respecto de las personas asumimos por defecto dos posiciones que pueden sernos suficientes:1.        A efectos operativos las personas tienen una captación directa de la realidad.2.        Además de esa captación de la realidad, asumimos que la persona que se encuentra a cargo de un avión tiene el deseo de continuar haciéndolo por mucho tiempo y que no ha seleccionado ese día y ese vuelo precisos para suicidarse acompañado de los pasajeros.Estas dos posiciones asumidas por defecto nos dan ciertas garantías de que la actuación de la persona va a ser correcta si, además, asumimos que tiene la competencia necesaria. En ningún caso podrían asumirse estas mismas posiciones respecto de un sistema de información cuyo funcionamiento interno ignoramos. En suma, la automatización representa un ámbito de estudio complejo y la paradoja de la automatización citada podría establecerse en los siguientes términos: Si el operador recibe sólo la formación necesaria para gestionar las situaciones consideradas como normales, se obtiene un conjunto de ventajas económicas ya enunciadas pero, al mismo tiempo, la capacidad de dicho operador para atender a una situación anormal quedaría reducida.Paralelamente, si se opta por dotar al operador de una formación más amplia y que abarque el conocimiento de la lógica interna del sistema, se perdería buena parte de las ventajas económicas que justifican la automatización. A cambio, se dispondría de capacidad para atender situaciones anormales pero esa capacidad, costosamente adquirida, podría ser utilizada pocas o ninguna vez a lo largo de la vida profesional del operador y sólo es la magnitud potencial de un evento lo que justificaría dotar al operador de una formación que se desea no tenga que utilizar nunca. Puede objetarse que estos problemas son exclusivos de la seguridad aérea  y, por extensión, de algunas otras actividades que impliquen como elemento diferenciador propio la existencia de riesgo y que esto limitaría las conclusiones a los ámbitos que compartiesen dicho elemento. Sin embargo, hay que señalar que el concepto de riesgo es mucho más amplio que el riesgo puramente físico ya que, precisamente gracias a la evolución de las organizaciones hacia una mayor complejidad, pueden producirse fallos que adquieran carácter multiplicativo y puedan afectar gravemente a organizaciones completamente ajenas al riesgo físico.

La empresa de alto riesgo: Extrapolación del modelo de aprendizaje de la seguridad aérea.

El concepto de organización de alto riesgo es, por lo expuesto en el apartado anterior, más amplio desde el punto de vista sociológico que el concepto de riesgo físico y algunos acontecimientos recientes, especialmente en el ámbito financiero (Baring Brothers, Enron, WorldComm, Andersen, etc.), justifican que este concepto pueda legítimamente aplicarse a muchas organizaciones grandes y complejas con independencia de cuál sea la actividad a que éstas se dediquen.Todavía no ha transcurrido demasiado tiempo desde que el llamado “efecto 2000” representó una amenaza virtualmente para todas las organizaciones y lo mismo puede decirse de todas las facetas de la e-delincuencia. Sin embargo, la informatización no es el único origen de riesgo y son numerosos los casos donde una acción inadecuada ha puesto en serio riesgo la existencia de las empresas (Exxon, Union Carbide y otras) donde esa acción se llevó a cabo.En rigor, puede legítimamente considerarse de alto riesgo a cualquier organización donde un acontecimiento local, dado un conjunto de circunstancias amplificadoras, pueda llegar a afectar significativamente al conjunto de la organización o, en otros términos, donde exista riesgo sistémico.A este respecto, es oportuna también la distinción entre organizaciones rígida y flexiblemente acopladas. Las organizaciones flexiblemente acopladas tienen menos posibilidades de que un evento se extienda como un reguero de pólvora y produzca efectos por toda la organización de forma incontrolada. Por el contrario, las organizaciones rígidamente acopladas ganan en eficiencia pero ésta, como ya se señaló, crea también los canales para una propagación rápida de las consecuencias de un fallo y, por tanto, estas organizaciones están sujetas a riesgo sistémico. De acuerdo con esta idea de organización de alto riesgo, podemos fácilmente concluir que el modelo de aprendizaje organizativo que se ha expuesto, incluidos sus problemas, se encuentra muy extendido y no representa, por ello, un elemento de diferenciación entre el modelo de aprendizaje propio de la seguridad aérea y el que puede encontrarse en otras organizaciones grandes y complejas. Si cabe una diferencia, ésta podría estar relacionada con el hecho de  que en el ámbito de la seguridad aérea las consecuencias potenciales de un fallo obligan a que el nivel de competencia exigido a los distintos actores sea superior al que se podría exigir a otra organización donde las consecuencias de un fallo sean menos graves o más fácilmente reversibles. En otras palabras, en seguridad aérea existe un mayor grado de presión hacia la mejora; como consecuencia, su evolución ha sido más rápida de la que puede observarse en otros ámbitos.Los efectos de ambos factores, modelo evolutivo similar y mayor grado de presión, conforman un escenario especialmente interesante: Si la  evolución en seguridad aérea es equiparable a la de otras organizaciones complejas pero, debido a una mayor presión hacia la mejora, se encuentra en un estadio más avanzado, la ralentización del ritmo de mejora puede representar un indicador válido de alarma para organizaciones que estén siguiendo una evolución similar, aunque no tengan ninguna relación con la aviación.Los problemas que hoy tiene la seguridad aérea para mejorar, especialmente la dificultad creciente para atender a situaciones no previstas, están ya apareciendo en grandes empresas que han seguido idénticas pautas de evolución. En consecuencia, la búsqueda de una vía de desarrollo alternativa podría ser utilizada con ventaja tanto con el objetivo de mejorar la seguridad aérea como con el de mejorar la operativa empresarial.

Discusión e implicaciones para la dirección de la empresa

La evolución seguida por la seguridad aérea, extrapolable a toda organización de alto riesgo,  puede resumirse de la siguiente forma: 1.        Una evolución basada en tecnología y normativa tiene unos límites impuestos por el aumento de complejidad que dichas tecnología y normativa introducen.2.        El aumento de complejidad de las organizaciones lleva a sus personas a una comprensión decreciente del significado de sus propias acciones y limita o anula a estas personas como recurso alternativo ante un comportamiento no previsto de un sistema que operan pero no entienden en profundidad.3.        Las organizaciones han aumentado su destreza para todo aquello que previamente sabían hacer y, al mismo tiempo, han limitado la capacidad de las personas como recursos alternativos para atender a las situaciones no previstas.4.        Por encima de un determinado nivel de complejidad, que podría definirse como el umbral de la hipercomplejidad, todo lo anterior da lugar a una disminución del ritmo de aprendizaje.Parece claro entonces que, si la organización precisa niveles de mejora más elevados de los que su actual sistema de aprendizaje es capaz de proporcionar, es necesario introducir cambios en ese sistema y que estos cambios no pueden consistir en “más de lo mismo”. Puede sernos útil una bonita metáfora del campo de la minería: Los ingenieros de minas explican por qué no puede llegarse a los pozos más profundos en un único ascensor: La explicación es que, a partir de determinado momento, el peso del cable es suficiente para romper el cable y ese problema no se puede solucionar aumentando el grosor del cable y, por tanto, su peso. Sin embargo, el efecto negativo, que es muy visible e inmediato en el campo de la minería, es menos visible en el campo organizativo y, por ello, se insiste en arreglar   problemas producidos por la complejidad introducida por la tecnología mediante  más tecnología. Un corolario práctico es la conclusión de que el techo a la utilización tecnológica no debe estar en la  propia capacidad tecnológica sino en la capacidad de comprensión por sus operadores de la lógica interna de los sistemas que operan.  Esto no significa convertir a los operadores en ingenieros informáticos sino diseñar sistemas transparentes[6] al usuario y que, por serlo, permitan a dicho usuario diagnosticar un fallo y evitar eventos generados por la propia complejidad. Éste es un ámbito donde los expertos en tecnología tienen mucho por hacer aunque, hoy por hoy, las actuaciones de los diseñadores de sistemas parecen ir en sentido contrario del propuesto.A modo de ejemplo, merece la pena señalar como la implantación en una empresa de un sistema de información complejo suele implicar la existencia de un socio externo que guarda para sí información clave sobre la estructura y el funcionamiento interno de dicho sistema y, por extensión, del funcionamiento de la organización en que se implanta. En estas situaciones, una mayoría de las personas queda reducida al papel de operador, papel del que no podrá salir mediante la experiencia adquirida ya que la opacidad del sistema mismo impide acceder a un grado superior de conocimiento.Como resultado, la distribución del conocimiento queda completamente alterada respecto de la situación anterior y, al mismo tiempo que la organización adquiere una elevada dependencia de su proveedor tecnológico, puede adquirir, junto con las capacidades propias del sistema implantado, incapacidades sobrevenidas para atender a lo no previsto. Este cambio en el depositario de la confianza de la organización  (persona versus tecnología) implica un cambio radical en el modelo de aprendizaje de la organización. Cuando se decide controlar a las personas que realizan la actividad de la organización en lugar de buscar personas confiables o convertirlas en confiables a través de un proceso de socialización, los límites al desarrollo de la organización están impuestos por la capacidad de control que tengan los instrumentos utilizados con ese objeto. Si el control es considerado como un objetivo en lugar de un medio, cuando la capacidad de control desaparezca, desaparecerá también la posibilidad de mejorar y evolucionar.Durante años se ha producido el espejismo de que la capacidad de control ejercida por latecnología no tenía límite, espejismo que sigue gozando de buena salud en multitud de actividades. No obstante, algunos ámbitos avanzados –como el de la seguridad aérea- están mostrado que el desarrollo centrado en tecnología y normativa sí puede tener un límite y que éste viene impuesto por la complejidad que introducen en el sistema.Es cierto que, si bien la tecnología es una herramienta muy poderosa, imprescindible incluso, pero convertirla en algo parecido a una ideología también representa graves riesgos y parece aconsejable ser más crítico en cuanto a su utilización e imponer algunas limitaciones a su actuación, especialmente en lo que a su opacidad se refiere.Suele haber un acuerdo generalizado en que el aprendizaje se produce a través de las personas aunque el conocimiento resultante pueda ser materializado en distintos tipos de sistemas;  sin embargo, la opacidad de los sistemas de información ha producido un efecto que invalida la capacidad de producción de nuevo aprendizaje: En un entorno muy tecnificado, la experiencia puede ser insuficiente para garantizar que se genera el aprendizaje; los sistemas representan “cajas negras” para sus usuarios y su actuación normal puede no dar claves suficientes de su funcionamiento para avanzar en el aprendizaje.Esto tiene una implicación muy clara: Si las personas tienen que generar aprendizaje y, en un entorno de sistemas complejos, no pueden superar un nivel meramente operativo a través de la experiencia, sólo quedan dos soluciones posibles para conseguir que ese papel generador siga siendo desempeñado:1.        La existencia de una instrucción formal que se aleje de la hiperespecialización y que ayude a las personas a situarse en un entorno donde no sólo sepan cómo hacer las cosas (niveles S y R de Reason) sino también por qué se hacen así (nivel K ).2.        Recuperar una situación que permita aprender de la experiencia y ello significaría exigir transparencia a la tecnología en favor de la capacidad de generación de nuevo aprendizaje.Evidentemente, las opciones anteriores no son excluyentes entre sí y pueden señalar un futuro necesario una vez que desaparezca el deslumbramiento tecnológico.  


[1] Luhmann, N.(1996): Confianza. Anthropos,
Barcelona.
 

[2] Sirvan como ejemplo los virus informáticos.

[3] Reason, J.(1997): Managing the Risks of Organizational Accidents.
Ashgate, Vermont.

[4] La entrada en pérdida es una situación donde el avión pierde su capacidad para volar y se comporta como un objeto cualquiera sometido a la gravedad y a la inercia. Puesto que es una situación grave, se trata de evitar su ocurrencia; sin embargo, en casos como el expuesto, es más grave la actuación del sistema que una entrada en pérdida a centímetros del suelo donde, en el peor de los casos, se habría producido un aterrizaje algo duro.

[5] Hillis, W.D. (1998): The Pattern on the Stone. Basic Books.
New York.
 

[6] Resulta paradójico que en la jerga informática el concepto de “transparencia al usuario” se utilice exactamente en el sentido opuesto del que cabría suponer. Por “transparencia al usuario” suele entenderse que un sistema lleva un programa complejo en su interior pero el usuario no va a apreciar este hecho en su funcionamiento o, en la jerga usual, dicho programa es “transparente”.

Anuncios

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s