safety & risk solutions Tailoring Safer Systems Das Magazin von safety & risk solutions The magazine of safety & risk solutions

Schlagwort: HOP

  • Was zwischen den Audits passiert

    Was zwischen den Audits passiert

    Ein Audit ist eine Momentaufnahme. Es prüft an einem festgelegten Datum, ob die Dokumentation den Anforderungen entspricht und die Verfahren so beschrieben sind, wie sie beschrieben sein müssen. Was es nicht prüft, ist, ob die Organisation ihre eigenen schwachen Signale sieht und aus Beinahevorfällen lernt. Diese Distinktion klingt akademisch, ist aber operativ folgenreich: Sie entscheidet darüber, ob eine Organisation ihre Sicherheit am Audit-Datum aufbaut oder dazwischen.

    Eine Polemik gegen Audits braucht es dafür nicht. Audits leisten, was sie sollen. Die ernsthafte Frage ist, was sie strukturell nicht leisten können. Und was an dieser Stelle daneben stehen muss, damit das, was zwischen den Audits passiert, nicht ein blinder Fleck der Organisation wird.

    Was Audits eigentlich messen

    Audits messen Konformität in einem definierten Beobachtungsfenster. Sie prüfen, ob die Dokumentation zum Zeitpunkt der Begehung das zeigt, was sie zeigen muss, und ob die Verfahren beschrieben sind, wie sie beschrieben sein müssen. Das ist eine berechtigte und nicht-triviale Aufgabe. Sie hat ihren Platz in der Vertrauenslandschaft, die komplexe Gesellschaften brauchen. Niemand würde in ein Flugzeug einer Airline ohne Zertifizierung steigen, kein Spital arbeitet ohne Akkreditierung, kein industrieller Betreiber operiert ohne regulatorischen Rahmen. Audits leisten diese Vertrauensproduktion über ein soziales Verfahren, dessen Funktion Michael Power in The Audit Society schon Ende der Neunziger präzise beschrieben hat: sie sind «rituals of verification», nicht Messinstrumente für die Eigenschaft, die sie zu prüfen vorgeben. Sie produzieren ein nachvollziehbares Bild von Ordnung, und dieses Bild ist anschlussfähig an Versicherung, Recht und Konzernreporting.

    Powers Pointe ist nicht, dass Audits nutzlos seien. Sie ist, dass das, was sie produzieren, nicht mit dem identisch ist, was sie zu produzieren scheinen. Ein bestandenes Audit sagt, dass das, was zum Zeitpunkt der Begehung dokumentiert war, den Anforderungen entsprach. Es sagt nichts darüber, ob die Organisation die schwachen Signale ihrer eigenen Praxis sieht, ob sie aus Beinahevorfällen lernt, ob ihre Anpassungsfähigkeit unter realem Druck reicht. Diese Eigenschaften sind nicht dokumentierbar in der Form, in der ein Audit dokumentierbare Befunde verlangt. Sie sind Prozesse, keine Zustände, und ein Audit ist konstruiert, um Zustände zu prüfen.

    Wer diese Distinktion nicht macht, baut sich eine Sicherheitsvorstellung, in der Compliance und Sicherheit dasselbe sind. BP hatte vor der Explosion in Texas City 2005 eine «lost time injury»-Rate, die unter dem Branchendurchschnitt lag, und ein Audit-Resultat, das diese Zahl bestätigte. Was sich gleichzeitig im selben Werk verschlechterte, war die Prozesssicherheit: ein Bereich, der von den geltenden KPIs nicht erfasst war. Andrew Hopkins hat das in Failure to Learn mit einer Klarheit beschrieben, die immer noch wehtut: die Organisation steuerte das, was sie messen konnte, und blendete das aus, was sich der Messung entzog. Das Audit bestätigte die Messung.

    Audits prüfen, ob das dokumentiert ist, was dokumentiert sein soll. Sie prüfen nicht, ob die Organisation sieht, was sie sehen müsste.

    Audit-Vorbereitung wird zur Daueraufgabe

    Aus dieser strukturellen Eigenschaft folgt eine zweite, die in vielen Organisationen sichtbar wird, sobald man auf die Aufwandverteilung über das Jahr schaut. Audit-Vorbereitung ist zu einer Daueraufgabe geworden, mit eigenen Ressourcen, eigenen Rollen, eigenen Quartalsrhythmen. Eine interne Compliance-Funktion, die das ganze Jahr darauf hin arbeitet, dass die externe Begehung gut verläuft. Pre-Audits, Mock-Audits, Action-Listen, «Gap-Analysen», die das Ergebnis vorwegnehmen sollen. Das ist nicht dumme Bürokratie, sondern die nachvollziehbare Reaktion auf einen Audit-Modus, der über die letzten zwanzig Jahre dichter, formalisierter und folgenreicher geworden ist.

    Schwierig wird diese Rationalität dort, wo sie Aufmerksamkeit verdrängt. Aufmerksamkeit ist endlich, Linienzeit ist endlich, und das, was sich in einem Audit auszahlt, konkurriert um genau diese Ressourcen mit dem, was sich in einem Audit nicht zeigen lässt. Erik Hollnagel beschreibt diesen Effekt in Safety-II in Practice als systematische Verstärkung des Work-as-Imagined: je dichter die Vorgabe, desto stärker arbeitet die Organisation an der Pflege der Vorgabenwelt. Was sie an Aufmerksamkeit dort einsetzt, fehlt der Beobachtung des Work-as-Done. Die Lücke zwischen den beiden wächst gerade dort am stärksten, wo am meisten dokumentiert wird, weil die Dokumentation eine eigene Realität schafft, die Pflege braucht.

    Die Verdrängung geschieht ohne böse Absicht. Sie folgt der Mechanik der Priorisierung unter Termindruck: ein operatives Signal, das nicht audit-relevant ist, wandert nach hinten, und «nach hinten» heisst im Jahresrhythmus bis zum nächsten Quartal, in dem dieselbe Logik wieder greifen wird. Im Moment der Priorisierung ist die Verschiebung sachlich korrekt. Über die Zeit ist sie ein Muster: was sich der Audit-Form entzieht, kommt selten zurück auf den Tisch.

    Konkret: Im November meldet eine Schichtführerin eine Anomalie an einer Mess-Stelle, die in keiner Audit-Checkliste auftaucht. Die Vorgesetzte ordnet es ein als «an Q1 weiterleiten». Das Q4-Audit läuft sauber. Im Q1 läuft die Vorbereitung des nächsten Audit-Sets, die Anomalie steht auf einer Liste, die niemand mehr öffnet. Im April hat ein anderer Schichtdienst auf derselben Mess-Stelle einen Beinahevorfall, der mit der ursprünglichen Meldung zusammenhängt. Die Verbindung sieht niemand mehr.

    Wer dieses Muster sehen will, muss aus der Audit-Logik heraustreten. Innerhalb ihrer Sortierung sieht jede einzelne Verschiebung nach sauberer Arbeit aus.

    Was daneben stehen muss

    Audits abzuschaffen ist weder möglich noch sinnvoll. Sie haben ihre Funktion, sie sind in Versicherungs- und Regulierungslogiken eingebaut, sie produzieren das Vertrauen, das eine arbeitsteilige Wirtschaft braucht. Was sie nicht leisten, muss daneben geleistet werden. Daneben, nicht statt.

    Das ist keine elegante Antwort. Sie verlangt eine zweite Schicht, die in den Normalbetrieb gehört und eine andere Logik hat als die Audit-Schicht. Diese zweite Schicht hat in der Resilience- und HOP-Literatur einen Namen: Operational Learning. Sie ist nicht die Sammlung von Lessons Learned aus Vorfallberichten. Sie ist der laufende Abgleich des Bildes der Arbeit mit dem, was im Betrieb tatsächlich passiert, bevor es zu einem Ereignis wird.

    Todd Conklin entwickelt in Pre-Accident Investigations zwei Werkzeuge, die für genau diese zweite Schicht konstruiert sind. Das erste sind Learning Teams: kleine, zeitlich begrenzte Gruppen aus Operating-Personal und einer Moderation, die sich nach einem Beinahevorfall oder einer Routineaufgabe für eine bis zwei Stunden hinsetzen. Ihre Aufgabe ist nicht, eine Lösung zu finden. Sie ist, zu rekonstruieren, was tatsächlich getan wurde, und es mit dem zu vergleichen, was hätte getan werden sollen. Der Output ist eine Beobachtung, keine Massnahme. Genau dieser Verzicht auf das Massnahmenformat ist die Bedingung, unter der die Beobachtung scharf wird. Wer sofort Lösungen sucht, sieht nichts mehr.

    Das zweite sind Pre-Job Briefs. Damit gemeint sind nicht die formellen Sicherheitsinstruktionen, die jeder kennt, sondern kurze strukturierte Gespräche am Beginn einer nicht-routinierten Tätigkeit: Was könnte schiefgehen. Welcher Trigger heisst, dass wir abbrechen. Wer hat in welcher Situation das Sagen. Der Output ist ein geteiltes mentales Modell, keine Liste. Eine gut gemachte Pre-Job-Brief-Praxis ist in einem Audit schwer zu zeigen, weil sie kein Papier hinterlässt. Sie ist in der täglichen Sicherheit wirksam, weil sie das, was schiefgehen kann, vor dem Tun zur Sprache bringt.

    Beide Werkzeuge teilen ein Prinzip. Sie sind auf das Sehen ausgerichtet, nicht auf das Steuern. Die Audit-Schicht steuert, was sichtbar dokumentiert ist. Die Lernschicht macht sichtbar, was in der Steuerung nicht ankommt. Steven Shorrock und Claire Williams nennen das in ihrer Arbeit über Human Factors in der Praxis die «professional curiosity» der lernfähigen Organisation: die Bereitschaft, das eigene Bild der Arbeit immer wieder mit der tatsächlichen Arbeit abzugleichen. Das ist kein einmaliges Projekt. Es ist eine laufende Praxis.

    Wichtig ist die Abgrenzung zu dem, was viele Organisationen unter «Lessons Learned» rapportieren. Lessons Learned sind ein Output-Format: was wir aus einem abgeschlossenen Vorfall mitnehmen, formuliert als Massnahme oder Erkenntnis, ablegbar in einem System, zitierbar im nächsten Audit. Operational Learning im Sinn von Conklin ist kein Output, sondern ein laufender Modus, in dem die Organisation ihr Bild der Arbeit fortwährend nachschärft. Das eine schliesst etwas ab, das andere hält etwas offen.

    Ein Beispiel zeigt den Unterschied am schärfsten. Ein Beinahevorfall in einem Kontrollraum: ein Operator stuft einen Alarm anders ein, als die Designer es vorgesehen hatten. Im Lessons-Learned-Format wird daraus eine Massnahme. «Alarm-Beschriftung präzisieren, Operator nachschulen.» Erledigt, abgehakt, im System ablegbar. Im Operational-Learning-Format wird daraus eine Beobachtung. «Operator unter Belastung X liest den Alarm im Kontext anderer Signale anders als der Designer annahm. Das Muster wiederholt sich unter Bedingungen Y. Was wir nicht wissen, ist, welche kontextuellen Cues die Interpretation mitsteuern.» Eine Frage statt eines Ergebnisses. Statt die Untersuchung abzuschliessen, hält sie sie offen.

    Wer Operational Learning in das Lessons-Learned-Format presst, hat das Konzept gerade verloren.

    Warum das schwerer ist als es klingt

    Die Audit-Logik und die Lernlogik konkurrieren um dieselbe Ressource: die Aufmerksamkeit der Linie. Die Audit-Logik gewinnt diesen Wettbewerb fast immer, weil ihre Konsequenzen kurzfristig und sichtbar sind. Ein verfehltes Audit zieht Nachfragen, Berichte, Rechtfertigungen nach oben. Eine ausgelassene Learning-Team-Sitzung zieht nichts. Sie wird einfach nicht gemacht, und niemand merkt es, bis ein Ereignis passiert, dessen Zusammenhang mit der unterlassenen Lernarbeit sich nicht mehr eindeutig zeigen lässt.

    Dazu kommt: Operational Learning hat keinen schönen KPI. Eine Organisation kann die Anzahl der durchgeführten Learning Teams zählen, aber sobald sie das tut, beginnt sie, das Format zu erfüllen statt es zu nutzen. Charles Goodhart hat diesen Effekt 1975 für die ökonomische Steuerung beschrieben: Sobald eine Kennzahl zum Steuerungsziel wird, verliert sie die Eigenschaft, die sie zur guten Kennzahl machte. Das macht die Lernschicht im Reporting nach oben sperrig, und Sperrigkeit ist in Organisationen unter Effizienzdruck eine knappe Eigenschaft.

    Wer diese zweite Schicht aufbauen will, akzeptiert, dass sie nicht in derselben Sprache rapportierbar ist wie die Audit-Schicht. Sie verlangt eine Geschäftsleitung, die Zeit und geschützte Räume freigibt, ohne sofort eine Wirkungsmessung zu verlangen. Sie verlangt eine Linie, die Beobachtung als legitime Tätigkeit anerkennt, nicht nur als Mittel zum Massnahmenzweck. Das ist die anspruchsvollere Form von Sicherheitsarbeit, und sie ist genau die, die zwischen den Audits passiert oder eben nicht passiert.

    Wo das Audit hingehört

    Audits werden bleiben, weil sie funktional sind. Was neben ihnen fehlt, ist die zweite Schicht: eine laufende Lernpraxis, die das Audit nicht ersetzt, aber die Sicherheitsarbeit übernimmt, die das Audit strukturell nicht leisten kann. Erst mit dieser zweiten Schicht wird das Audit zu dem, was es sein sollte: eine Bestätigung des Zustands, den die Organisation kennt. Nicht die Hauptquelle ihrer Sicherheitserkenntnis.

    Quellen

    • Michael Power – The Audit Society: Rituals of Verification, Oxford University Press 1997
    • Todd Conklin – Pre-Accident Investigations: An Introduction to Organizational Safety, Ashgate 2012
    • Erik Hollnagel – Safety-II in Practice: Developing the Resilience Potentials, Routledge 2018
    • Andrew Hopkins – Failure to Learn: The BP Texas City Refinery Disaster, CCH Australia 2008
    • Steven Shorrock & Claire Williams – Human Factors and Ergonomics in Practice, CRC Press 2017
  • Wenn du nur ein Buch über menschliche Fehler liest – Sidney Dekkers Field Guide

    Wenn du nur ein Buch über menschliche Fehler liest – Sidney Dekkers Field Guide

    Sidney Dekkers Field Guide to Understanding Human Error steht in Reichweite meines Schreibtischs, dritte Auflage 2014. Es ist nicht das Buch, das ich am häufigsten zitiere, aber das, zu dem ich am häufigsten zurückkomme. Bei jedem Wiederlesen fällt mir auf, was an ihm so merkwürdig ist: geschrieben als Anleitung (Untertitel, klares Inhaltsverzeichnis, einfache Sprache) und im Kern doch ein systematischer Angriff auf die gewohnte Art, Vorfälle zu lesen.

    Dekkers Kernoperation lässt sich in einem Satz fassen: er verschiebt die Urteilsposition – weg von oben und mit Ausgangswissen, hin zur Sicht derer, die im Moment der Handlung standen. Old View, in seinem Vokabular, fragt von aussen: wer hat falsch gehandelt, wer hat versagt, wer hat den Standard nicht eingehalten? New View fragt von innen: was war für die handelnde Person in dem Moment sichtbar, plausibel, vernünftig, gegeben das, was sie sah, wusste, kombinieren konnte? Der Wechsel ist nicht ein Werkzeugtausch. Er ist ein Wechsel der Position, von der aus überhaupt geurteilt wird.

    Lokale Rationalität. Warum «lokal» das entscheidende Adjektiv ist und nicht «rational» allein: rational würden alle Akteurinnen und Akteure sein, jede Untersuchung schliesst das ohnehin stillschweigend ein. Das Wort «lokal» zeichnet etwas anderes ein: die Bindung an einen konkreten Horizont. Lokal heisst: das, was die Person in dem Moment sehen, wissen, kombinieren konnte, mit den Anzeigen vor Augen, dem Druck im Nacken, dem Training im Hinterkopf. Dekkers Standardbewegung im Field Guide ist, jede «falsche» Entscheidung erst aus diesem lokalen Horizont zu rekonstruieren. Und das Buch zeigt diese Rekonstruktion handwerklich, anhand konkreter Vorfälle, oft mit transkribierten Funkprotokollen oder Zeugenaussagen. Wenig Theorie, viel Werkstatt. Im hinteren Teil des Buchs findet sich ein strukturierter Frage-Apparat, der bei jeder Untersuchung zur Rekonstruktion der lokalen Rationalität helfen soll: was hatte die Person vor sich, was nicht, welche Anzeigen sprachen welche Sprache, welche kennt sie aus dem Training, welche Ressourcen waren in dem Moment verfügbar. Das macht aus einem theoretischen Konzept eine handhabbare Untersuchungsdisziplin.

    Sharp End / Blunt End. Das Begriffspaar stammt von James Reason, Dekker arbeitet konsistent damit. Sharp End ist, wer im Vorfall stand: die Pflegende am Bett, der Operator an der Konsole, die Pilotin im Cockpit. Blunt End ist, was die Bedingungen geschaffen hat, unter denen das Sharp End arbeitet: Design-Entscheidungen, Regelwerke, Ressourcen-Allokationen, Trade-Offs zwischen Sicherheit und Tempo. Dekkers Pointe ist nicht, dass das Sharp End unschuldig wäre. Sie ist, dass die meisten Sharp-End-Handlungen Antworten auf Blunt-End-Bedingungen sind. Wer nur am Sharp End sucht, sieht die Hand am Hebel. Und übersieht den Druck, der die Hand dorthin gebracht hat. Damit auch die einzige Stelle, an der eine Korrektur überhaupt anfassbar wäre.

    «Causes don’t exist, you construct them.» Dekkers schärfste Provokation und am häufigsten missverstandene These. Sie heisst nicht: alles ist gleich, alles ist relativ. Sie heisst: was wir am Ende einer Untersuchung als «die Ursache» identifizieren, ist immer eine Auswahl aus vielen beitragenden Bedingungen. Und die Auswahl sagt etwas über die analytische Brille, durch die wir schauen. Welcher Faktor zur «Ursache» wird und welcher zum «Kontext» bleibt, ist eine Entscheidung der Untersuchung. Eine bewusste oft, eine unbewusste meistens. Dekkers Einladung ist nicht zur Beliebigkeit. Sie ist zur Selbstreflexion: Was tun wir, wenn wir eine Ursache identifizieren? Welche Wahl treffen wir, ohne sie als Wahl zu markieren?

    Causes don’t exist, you construct them.
    – Sidney Dekker

    Was ich heute anders lese

    Was das Buch geprägt hat, lässt sich nach Jahren Praxis ziemlich genau benennen: bessere Untersuchungen, mehr Kontextinterview vor Schuldfrage, weniger Reflex zur «Mitarbeitersensibilisierung» als Empfehlung. Dekker hat das Vokabular mitgeliefert, mit dem ich heute Aufträge ablehne, in denen die Antwort schon vorgeschrieben ist. Die Einschränkung, die mir beim Wiederlesen jedes Mal stärker auffällt: das Buch ist exzellent in der Diagnose, wie man Vorfälle anders liest, wie man Untersuchungen offener führt, wie man Lesereflexe der Old View dekonstruiert. Es ist deutlich weniger explizit in der operativen Umbaufrage: wie man eine Organisation tatsächlich anders baut, sodass die New-View-Lesart nicht nur in Untersuchungen, sondern im täglichen Betrieb stattfindet. Wer nach dem Field Guide den nächsten Schritt sucht, landet typischerweise bei Conklin (HOP, Pre-Accident Investigations, Operating Principles), operativer, näher am Werkstattboden. Dekker und Conklin gemeinsam ergeben das Set: erst die Brille, dann das Werkzeug.

    Für wen sich das Buch lohnt

    Pflichtlektüre für alle, die Vorfälle untersuchen oder mitverantworten: Sicherheitsbeauftragte, Auditierende, Linienführungen in HRO-nahen Branchen, Untersuchungskommissionen aller Art. Speziell für die, die merken, dass ihre Untersuchungen zu schnell zu Ende waren, ohne genau benennen zu können, woran das lag. Das Buch gibt der Beobachtung das Vokabular. Wenn du nur ein Buch über menschliche Fehler liest, dann dieses, nicht weil es die meisten Antworten gibt, sondern weil es die Art ändert, wie du Fragen stellst.

    Quellen

    • Sidney Dekker – The Field Guide to Understanding Human Error, 3. Aufl., CRC Press 2014 (Hauptquelle)
    • Sidney Dekker – Drift into Failure, CRC Press 2011
    • Erik Hollnagel – Safety-II in Practice, Routledge 2018
    • Todd Conklin – Pre-Accident Investigations, Ashgate 2012
    • James Reason – Managing the Risks of Organizational Accidents, Ashgate 1997 (für Sharp End / Blunt End)