Auteurs
Marcel van Marrewijk
Voorzitter/decaan SDO Hogeschool
Berry Tanis
Business development SDO
Referenties artikel
Andere publicaties
Het verhogen van het niveau van veiligheid is niet langer gebaat bij strenger straffen, meer controleren en een keurslijf aan procedures.
Organisaties met een verhoogd risicoprofiel – functionerend in een complexer wordende maatschappij – zijn op zoek naar een andere aanpak en methoden die next level veiligheid tot stand kunnen brengen.In dit eerste artikel uit een reeks van drie – mede gebaseerd op een eerder gepubliceerd prijswinnend essay – bespreken we de beperkingen en tekortkomingen van de huidige veiligheidspraktijken.
In het tweede artikel schetsen we de contouren van een next level veiligheidssysteem, dat voortbouwt op het huidige fundament van beheersmatige veiligheidspraktijken.
In artikel nummer drie zoomen we in op drie domeinen van next level veiligheid, namelijk het organiseren, communiceren en informeren.
Beperkingen en tekortkomingen van de huidige veiligheidspraktijken
De nu gangbare veiligheidspraktijk staat nadrukkelijk onder invloed van het beheersingsparadigma en daarbinnen zijn twee varianten gangbaar: bureaucratisch en rationeel.
Ten eerste is sprake van een bureaucratisch regime onder hiërarchisch toezicht waarin taken, richtlijnen en procedures zo nauwkeurig mogelijk worden opgevolgd. Veiligheid wordt geborgd door gestandaardiseerde en dikwijls sectorbrede werkwijzen. Deze aanpak garandeert echter niet de gewenste veiligheid en de prijs van deze werkwijze is hoog: de ontworpen werkwijzen en te volgen procedures wijken af van de dagelijkse praktijk, de bureaucratische werkwijze is rigide en kostbaar en de betrokkenheid van medewerkers – of van iedere andere stakeholder – is gering of zelfs volkomen afwezig.
De huidige veiligheidspraktijken staan ook onder invloed van een tweede beheersmatige aanpak: een rationele organisatiewijze die de efficiëntie en effectiviteit van het veiligheidsbeleid benadrukt. Door rationalisering van het veiligheidsbeleid worden processen geoptimaliseerd en waar mogelijk wordt op de uitvoering bezuinigd. Gespecialiseerde stafmedewerkers ontwikkelen KPI’s die het veiligheidsbeleid ‘smart’ en eenduidig meetbaar maken. Incidenten worden geteld en gekoppeld aan beloningsafspraken. Er wordt regelmatig geoefend in simulaties en er wordt geleerd van eerder falen, zodat sleutelspelers weten wat van hen wordt verwacht.
Ook deze aanpak heeft nadelen. De gespecialiseerde staf van veiligheidsmedewerkers eigent zich het veiligheidsbeleid toe, maar is tegelijk afhankelijk van de betrokkenheid van de werkvloer. Veel professionals ervaren de aansturing als ‘iets van boven’ en dat statusverschil wordt voortdurend bevestigd doordat er nog steeds weinig inspraakmogelijkheden zijn. Sterker nog, ‘zelf-denken’ wordt nog steeds ontmoedigd en incidenten resulteren steevast in aangescherpte procedures en misgelopen bonussen. Dit wordt ervaren als straf, hetgeen weer leidt tot averechts gedrag zoals het niet (exact) melden van incidenten.
VOMI Veilig
Ook VOMI stelt na praktijkonderzoek in de procesindustrie vast dat het huidige veiligheidssysteem te kort schiet en dat een next level veiligheid nodig is. De ontwikkeling van vakmanschap, de aandacht voor cultuur en de toepassing van technische maatregelen hebben het niveau van veiligheid op een hoog voor Nederland gangbaar peil gebracht, maar betrokken partijen vermoeden dat een nog hoger niveau van veiligheid mogelijk is met meer aandacht voor individueel gedrag en onderlinge afstemming. Zie onder meer onderstaande quotes uit het rapport van VOMI Veilig:
Praktijkcasus: ‘filters vervangen op een boorplatform’
We gaan nu aan de hand van een praktijkvoorbeeld inzichtelijk maken hoe veiligheid wordt georganiseerd.
Werkinstructies voor een filterwissel op een olie- en gasplatform in de Noordzee bestonden uit 23 pagina’s tekst en ongeveer 100 afzonderlijke instructies. Elke taak moest afzonderlijk direct na uitvoering worden ondertekend. De filters moesten meerdere keren per week worden vervangen en gereinigd door ervaren control room operators, die ook bij koud weer en in de regen naar buiten moesten. De auditors geloofden niet dat ze de instructies mee naar buiten namen en iedere taak apart zouden ondertekenen; vooral niet bij slecht weer.
Na wat doorvragen door de auditors werd duidelijk dat het team meestal het hele instructieboek na afloop in de control room aftekende. De taak was voltooid, maar de instructies zijn niet per item doorlopen, wat een duidelijke afwijking is van de instructies.
Het was niet eenvoudig om de operators op hun verantwoordelijkheid te wijzen, omdat ze niet van plan waren hun goede reputatie bij het management in gevaar te brengen. Waarom zouden ze? Het management was tevreden dat alle taken waren afgevinkt, en de operators hun handschoenen konden aanhouden als ze buiten waren. Waarom de boel overhoop halen voor zoiets triviaals?
Gap Work-as-Imagined en Work-as-Done
Dit praktijkvoorbeeld laat een flinke kloof zien tussen “Work-as-Imagined” en “Work-as-Done”. Deze gap tussen “Paper” en “Practice” is het gevolg van de verschillende belevingswerelden van werkvoorbereiding en werkuitvoering.
Er is traditioneel aandacht voor het plannen van werk in de overtuiging dat de uitvoering plaatsvindt conform de voorschriften en instructies. Grote kans dat degene die de voorschriften opstelt niet op een boorplatform is geweest, laat staan met storm en regen zelf een filter heeft moeten vervangen. De beroepsgroep die beleid bepaalt, de procedures opstelt en de projecten plant is een andere dan de groep operators die ter plaatse de werkzaamheden moeten uitvoeren.
De managers zijn loyaal aan beide groepen, maar bevinden zich soms in een onmogelijke situatie. Hun pragmatisme biedt voldoende ruimte voor de uitvoerders om hun handschoenen bij storm en regen te dragen en na afloop de instructies af te tekenen, en de leiding weet zich verzekerd van aangevinkte werklijsten. Bij een eventuele controle heeft iedereen aan de vereisten voldaan.
We gaan nu een bedrijfskundig model gebruiken voor analyse van de tekortkomingen.
Op weg naar een geïntegreerd Veiligheid Performance Systeem
Ken Wilber is een Amerikaanse filosoof en schrijver die bekendstaat om zijn werk op het gebied van integrale theorie en transpersoonlijke psychologie. Hij heeft verschillende boeken geschreven en is een invloedrijk denker in de domeinen van filosofie, psychologie en spiritualiteit. Hij heeft het AQAL-model (All Quadrants, All Levels) ontwikkeld; een raamwerk dat helpt om de complexiteit van menselijke ervaring en ontwikkeling op een holistische manier te begrijpen. Het houdt rekening met zowel subjectieve als objectieve aspecten, evenals individuele en collectieve dimensies. Het helpt bij het benaderen van complexe problemen en situaties met een dieper begrip van de vele factoren die van invloed zijn. Dit speelt bij de huidige complexe veiligheidsvraagstukken en is de reden waarom we dit model hebben gekozen voor onze analyse.
Toelichting AQAL-model
Het model kent twee dimensies: vier basis perspectieven en een aantal ontwikkelniveaus. Zie figuur.
Wilber onderscheidt vier basis perspectieven die de werkelijkheid representeren en elkaar aanvullen gecombineerd met een aantal ontwikkelniveaus. De verschillende ontwikkelniveaus worden beschouwd als belangrijke aspecten van menselijke groei en ontwikkeling. Deze niveaus representeren stadia of fasen waar individuen en samenlevingen doorheen kunnen gaan in hun evolutionaire ontwikkeling. Dit kan ook worden toegepast op werknemers, teams en organisaties.
Voor onze bedrijfskundige analyse onderkennen we drie ontwikkelniveaus: bureaucratisch, rationeel en verbindend. In dit eerste artikel beperken we ons tot bureaucratisch en rationeel. Verbindend wordt in deel twee besproken (is een onderdeel van next level veiligheid).
| 4 basis perspectieven (Wilber) | |
| Intenties | De individuele, subjectieve ik-wereld van intenties, gevoelens en drijfveren. |
| Gedrag | Het objectief waarneembare gedrag van een individu en taken in een specifiek proces. |
| Cultuur | De intersubjectieve cultuur van gedeelde waarden en overtuigingen van een groep; de gemeenschappelijke perceptie van de werkelijkheid vanuit de wij-wereld. |
| Systeem | Het objectief waarneembare technocratisch systeem, inclusief instrumenten, gebruiksvoorwerpen, technologie, architectuur, politieke en economische instituties, organisatievormen. |
| 3 ontwikkelniveaus (Wilber, Graves, Cubrix) | |
| Bureaucratisch | Lineair: de context is stabiel en goed voorspelbaar |
| Rationeel | Meervoudig: de context is competitief, enigszins dynamisch en minder goed voorspelbaar |
| Verbindend | Affiliatief: de context is sociaal constructief ; dynamisch en nauwelijks voorspelbaar |
‘Filters vervangen op een boorplatform’ analyseren met model Ken Wilber
We herschrijven de casus, maar nu in termen van vier perspectieven en twee ontwikkelniveaus: bureaucratisch en rationeel.
De bureaucratische veiligheidsvariant
We beginnen in het (technocratisch) systeem (systeem-rechtsonder).
Beleidsplanning en het ontwerpen en formuleren van gedetailleerde werkinstructies is het werk van een hoger opgeleide beroepsgroep. Vanuit hun waarden en belevingswereld (cultuur – linksonder) gaan zij ervan uit dat de individuele operators gehoorzaam het gewenste gedrag (gedrag-rechtsboven) vertonen, waarin zij ten allen tijde alle werkinstructies conform ontwerp en richtlijnen uitvoeren. Dat individuen hier eigen ideeën op nahouden, en mogelijk ander gedrag vertonen, wordt voorkomen door een leidinggevende (manager) aan te stellen die operators moet wijzen op de strikte naleving van de procedures en instructies. De succesvol uitgevoerde routines worden teruggekoppeld door middel van ingevulde werklijsten. Dit is de bureaucratische “Work-as-Imagined” practice, zoals ervaren door de directie en hun staf.
De operators zitten opgescheept met een document van 23 bladzijden met 100 gedetailleerde werkinstructies hoe een filter te vervangen, én de afspraak dat iedere afgeronde instructie apart moet worden afgetekend op een werklijst. Dit is een ondoenlijke werkpraktijk, zeker als het koud is en het hard regent en uitgevoerd moet worden in de buitenlucht. Niet zo vreemd dat de operators graag hun handschoenen aanhouden en pas weer terug in de kantine hun werklijst alsnog afvinken.
Bovendien, ze zijn geoefend en getraind, voelen zich een vakman, en door het routinematig karakter van de taak kunnen ze de filters bijna blindelings verwisselen. De leidinggevende is vaak een gewezen voorman van de ploeg, en hij schat het risico op een foutief geplaatst filter in als verwaarloosbaar klein. Er zijn toch nooit incidenten geweest met de filters vervangen? Bovendien zitten ze samen 24-7 op het boorplatform, en met stiptheidsacties maakt de leidinggevende geen vrienden. De directie hoeft immers alleen maar de ingevulde werklijsten te ontvangen.
De twee werelden van planning en uitvoering komen in het bureaucratisch model niet bij elkaar. In moeilijke, onverwachte, laat staan extreme omstandigheden is Closing the GAP niet mogelijk in de praktijk van de bureaucratische veiligheidsvariant.
We herschrijven de eerder beschreven casus, maar nu passend bij een rationele veiligheidsvariant. Is hier ook sprake van een kloof tussen planning en praktijk, of spelen andere factoren een rol die het niveau van veiligheid belemmeren?
De rationele veiligheidsvariant
Om een hoger niveau van veiligheid te realiseren is een rationele veiligheidsvariant ontwikkeld. Deze biedt operators meer ruimte en inspraak op de werkvloer en vraagt ook van leidinggevenden een andere invulling. Hoe zou dit verlopen op het boorplatform?
We beginnen opnieuw in het (technocratisch systeem (systeem-rechtsonder) waarin nog steeds standaard werkprocessen gehanteerd worden, maar die zijn nu volgens de beste inzichten ontworpen. Minder gedetailleerd, minder strikt en met minder toezicht. Het veiligheidsplan wordt niet langer op taakniveau vastgelegd, maar op procesniveau, en de activiteiten in de dagelijkse praktijk worden aan de hand van Kritische Veiligheids Indicatoren objectief gemeten. Veiligheid wordt nu uitgedrukt in objectief meetbare prestaties. De consequentie hiervan is dat bedrijven de noodzakelijk kennis bijeenbrengen in gespecialiseerde stafbureaus, zoals SHEQ, en auditors aanstellen om in de praktijk steekproefsgewijs veiligheid te controleren.
De operators krijgen meer training en begeleiding, maar dragen ook meer verantwoordelijkheid én een bonus als later blijkt dat zij effectief hebben bijgedragen aan het beoogde resultaat.
Tot zover de planmatige inrichting, van wederom een kwalitatief indrukwekkend Work-as-Imagined, maar wel van een hoger niveau dan de bureaucratische veiligheidsvariant.
De uitvoering vindt nog steeds plaats in de buitenlucht, en het dragen van handschoenen tijdens kou en regen is nu een eigen keuze, mits het werk effectief wordt uitgevoerd. De directie stelt vanuit doelmatigheidsoverwegingen een kleinere bezetting aan waardoor operators langere werkdagen maken en hogere werkdruk ervaren. Volgens een strak schema komen auditors langs en krijgt de uitvoering van routines (tijdelijk) meer aandacht.
De leidinggevenden staan op een grotere afstand van de praktijk en hebben een grotere span of control.
Operators moeten meerdere doelen tegelijk realiseren terwijl ze gehinderd worden door tijdsdruk. Op papier zijn de doelen allemaal even belangrijk, maar de cultuur en performancestructuur vergroten de kans dat operators minder aandacht geven aan veiligheidsroutines (intentie-linksboven figuur). In de praktijk worden de filters sneller of minder vaak vervangen (gedrag – rechtsboven figuur) waardoor de veiligheid uiteindelijk in het geding komt.
De veiligheidsperformance wordt voortdurend gemeten, maar zolang incidenten uitblijven – en dit is voor iedereen dagelijks zichtbaar voor iedereen – is iedereen tevreden. Dit volhouden is zo belangrijk dat bijna-incidenten zo veel mogelijk worden gebagatelliseerd, en zo mogelijk onder het tapijt verdwijnen. Meldingen van onveiligheid hebben doorgaans nadelige consequenties, zoals bonusverlies, extra audits, verscherpt toezicht van leidinggevenden en mogelijk zelfs ontslag.
Er heerst een prestatiecultuur en geen leercultuur. De operators zijn beter opgeleid, maar naar hun dagelijkse ervaringen en inzichten wordt nauwelijks gevraagd. Tijd en ruimte ontbreken voor collegiaal overleg waarin onveilige situaties worden besproken en duurzaam verbeterd. Operators voelen zich veel gepushed – ‘het moet altijd, beter, sneller en goedkoper’ – en voelen zich niet verantwoordelijk (cultuur – linksonder figuur). De specialisten van SHEQ zijn immers de eigenaren van het veiligheidsbeleid.
Zowel bij de bureaucratische en rationele veiligheidsvariant wordt de gap tussen work-as-imagined en work-as-done niet gedicht. Zolang de kritische veiligheidsindicatoren op groen staan, lijkt de veiligheid perfect geregeld. In de werkelijkheid kunnen factoren de veiligheid ondermijnen zonder dat de veiligheidsindicatoren dit aangeven. In de bedrijfskundige literatuur wordt dit drift genoemd, in de betekenis van drifting into failure, langzaam afdrijven naar een ongewenst niveau van veiligheid. Het is het eroderen van de toepassing en handhaving van normen en richtlijnen, waardoor standaarden vervagen, richtlijnen minder strak worden opgevolgd, en situaties ontstaan waarin – bewust of onbewust – risicovoller gedrag wordt geaccepteerd. Uiteindelijk resulteren dergelijke veiligheidspraktijken in incidenten, intern gedoe, financiële claims en uiteindelijk maatschappelijke kritiek.
Drift als sluipmoordenaar van veiligheid
Drift wordt gevoed door vijf factoren: schaarste en concurrentie, decrementalisme, contextgevoeligheid, weerbarstige technologie en falende supportstructuur. We lopen ze een voor een kort langs.
Schaarste en concurrentie
Alle commerciële organisaties opereren in een omgeving van concurrentie en schaarste aan middelen, met als gevolg dat veiligheid nooit het enige doel van een organisatie kan zijn. Zeker wanneer winstgevendheid en productiviteit dominant zijn of onder druk staan, en investeren in vakmanschap en expertise als een kostenfactor wordt afgedaan, kan veiligheid er bekaaid van afkomen. Als het realiseren van alle doelen als onhaalbaar wordt gezien, kiezen operators hun eigen prioriteiten, zoals we zagen op het boorplatform.
Decrementalisme
Decrementalisme is de neiging om risico’s als acceptabel te beoordelen als het gevaar in kleine stappen wordt geïntroduceerd in plaats van in één grote verandering. Een ploeg moet het werk blijven doen met telkens één man minder. In het begin lukt dat nog aardig, maar uiteindelijk blijf je over met twee man en een stagiaire die de filters moeten vervangen. Mensen in een organisatie raken er langzaam aan gewend dat het altijd met minder resources kan, totdat de wal het schip keert.
Contextgevoeligheid
Het oorspronkelijk ontwerp en de implementatie van een systeem zijn afgestemd op initiële omstandigheden en de vraag is of deze vandaag nog steeds adequaat zijn. Omstandigheden en eisen kunnen in de loop van de tijd veranderen waardoor oude bestaande systemen niet langer voldoen aan onze huidige behoeften aan veiligheid.
Weerbarstige technologie
Als de beschikbare technologie weliswaar voldoet aan de specificaties, maar in de praktijk onverwacht of onlogisch gedrag vertoont of zeer gebruiksonvriendelijk is in de beleving van de operator, dan komt dergelijke technologie onbetrouwbaar over. Dergelijke symptomen van weerbarstige technologie worden vaak niet begrepen, hoeven niet direct noemenswaardige gevolgen te hebben, maar genereren wel een vorm van imperfectie die ondermijnend kan werken.
Falende supportstructuur
Het werk van inspecteurs, toezichthouders en veiligheidsprofessionals is bedoeld om de veiligheid van een systeem onafhankelijk te beoordelen. Bovendien willen zij hun expertise ten dienste stellen van het proces. Zo wordt dit niet op de werkvloer ervaren, en zeker niet als al lange tijd geen ongunstige gebeurtenissen zich hebben voorgedaan. Hun bemoeienis wordt als inbreuk en belemmering ervaren. Het gaat toch goed zo? Juist de specialisten die geacht worden drift tegen te gaan, kunnen onbedoeld het slecht functioneren van een systeem verhullen en ondoorzichtig maken. Bovendien is ‘onafhankelijke behoedzaamheid’ binnen een organisatie lastig te garanderen, mede doordat specialisten die de controlefuncties bemannen rouleren en door sociale relaties, economische banden en interne carrièremogelijkheden afhankelijkheden kunnen ontstaan die de effectiviteit van support ondermijnen.
Bureaucratische en rationele veiligheidsvariant leveren geen optimale veiligheid
We hebben nu gezien dat de veiligheidspraktijken van de bureaucratische en rationele veiligheidsvariant – beide passend in het beheersparadigma – geen optimale en duurzame veiligheid bieden. Er is een nieuw veiligheidssysteem nodig waarin meer onderlinge afstemming en balans plaatsvindt tussen de vier perspectieven, zodat er geen gap meer is tussen planning en werkelijkheid. In deel 2 gaan we dieper in op de contouren van dit veiligheidssysteem
