safety & risk solutions Tailoring Safer Systems Das Magazin von safety & risk solutions The magazine of safety & risk solutions

Schlagwort: Risikomanagement

  • Sicherheit messen

    Sicherheit messen

    Es wird viel über die Messung der Sicherheit gesprochen. Das ist etwas, was leichter gesagt als getan ist. In diesem Blog werden dazu einige Überlegungen angestellt.

     

    Was messen?

    Bevor man mit dem Messen beginnt, muss man wissen, was man misst. Wie Sie Sicherheit definieren, hängt davon ab, was Sie messen und wie Sie messen. Lassen Sie uns das Problem mit drei weitverbreiteten Ansichten über Sicherheit veranschaulichen. Wie Sie sehen werden, deckt keine von ihnen das Thema vollständig ab und alle haben Vor- und Nachteile.

    Sicherheit als das Einhalten von Regeln

    Eine sehr grundlegende Denkweise: Sicherheit ist das Befolgen der Sicherheitsregeln. Diese Regeln zu befolgen, bedeutet, sicher zu sein. Dies entspricht der beinahne automatischen Reaktion, die viele Menschen nach einem Unfall haben: Hätten sie nur die Regeln befolgt, wäre dies nicht passiert. Viele Untersuchungen konzentrieren sich deshalb auf Protokollverletzungen und Abweichungen. Auch in «normalen» Situationen liegt der Schwerpunkt auf der Einhaltung von Regeln. Tragen Sie die vorgeschriebene Sicherheitsausrüstung. Halten Sie sich am Handlauf fest. Das Streben nach Einhaltung appelliert auch an die menschliche Neigung zur Konformität. Wir sind schließlich soziale Geschöpfe.

    Sicherheitsregeln sind wichtig. Sie sind eine grundlegende Form, wie wir Sicherheit lehren: «Fass die Herdplatte nicht an, sie ist heiß!», «Vor dem Überqueren der Straße links, rechts, links schauen.» Diese Dinge bringen wir unseren Kindern, unseren Arbeitern usw. bei. Sicherheit als das Einhalten von Regeln funktioniert recht gut in eher einfachen, geordneten und vorhersehbaren Systemen. In solchen Situationen haben Sie eine angemessene Chance, vorauszusehen, was passieren kann, und Maßnahmen zu konzipieren, um mit Abweichungen umzugehen. Wenn Sie sich auf bekanntem Territorium befinden, können Sie mit den Dingen, die geschehen, umgehen, indem Sie vorgeschriebene Routinen anwenden. Die Befolgung «bewährter Praktiken» (Best Practice) bedeutet sicheres Handeln, während das Handeln abseits dieser Praktiken als unsicher gilt.

    Sicherheitsregeln sind jedoch nicht perfekt. Wir leben und arbeiten in einer Welt, die sehr variabel ist, und wir haben nur eine begrenzte Voraussicht. Das bedeutet, dass wir nicht für jede Eventualität Regeln definieren können. Wenn wir es könnten, dann wären die Regeln aufgrund ihres schieren Umfangs unmöglich zu handhaben. Außerdem hängen Regeln vom Kontext ab. In London ist es klüger, vor dem Überqueren nach rechts, links, rechts zu schauen, während dies in Zürich nicht die beste Strategie ist.

    Regeln sind Kompromisse und können manchmal nicht ausreichen, um sich zu schützen. Selbst wenn Sie sich an alle Verkehrsregeln halten, können Sie einen Unfall haben. Zum Beispiel, wenn andere sich nicht an die Regeln halten. In manchen Situationen ist das Befolgen von Regeln sogar die unsichere Option. Ein berühmtes Beispiel ist die Piper-Alpha-Katastrophe, bei der die Menschen, die die Notfallverfahren befolgten, starben, während diejenigen, die die Verfahren ignorierten und einfach über Bord sprangen, überlebten.

    Sicherheit als Abwesenheit von Unfällen

    Gehen Sie auf die Straße und fragen Sie hundert zufällig ausgewählte Personen: «Was ist Sicherheit? Die Chancen stehen gut, dass viele die Frage mit «Keine Unfälle» beantworten. Diese Denkweise macht für die meisten Menschen intuitiv Sinn. Es fühlt sich richtig an, weil in unseren Köpfen Sicherheit und Unfälle sehr eng miteinander verbunden sind. Wenn wir keine Unfälle haben, sind wir sicher. Oder doch nicht? Nicht notwendigerweise… Dass nichts passiert ist, bedeutet nicht, dass alles sicher war. In vielen Fällen bedeutet es nur, dass noch nichts passiert ist. Wenn auch es sehr wohl sein kann, dass nie etwas passiert.

    Ein einfacher Test besteht darin, die Definition umzukehren und zu prüfen, ob sie noch funktioniert. Stimmt «Die Abwesenheit von Unfällen ist Sicherheit»? Das Nichtvorhandensein von Unfällen kann auf andere Weise erreicht werden. Zufall oder Glück sind mögliche Faktoren. Ihre persönliche Definition von Unfall ist ein weiterer Faktor. Ob jemand sich dafür entscheidet, einen Unfall zu melden, noch einer. Unfälle geben jedoch einen Hinweis auf Sicherheit oder eher auf Unsicherheit. Ein Unfall kann als eine Manifestation des Risikos betrachtet werden, womit wir zur nächsten Definition kommen.

    Sicherheit als akzeptables Risiko

    Was immer Sie tun, ist mit einem gewissen Risiko verbunden. Das lässt sich nicht vermeiden. Wir wollen sogar ein gewisses Risiko eingehen, aber nicht zu viel. Wir müssen Kompromisse eingehen zwischen verschiedenen Zielen (Finanzen, Sicherheit, Produktion, Qualität usw.), zwischen Unsicherheit und Kontrolle. Wir haben nur begrenzte Ressourcen (Geld, Zeit, Fachwissen usw.). Deshalb müssen wir Kompromisse eingehen und nach einer guten Balance suchen.

    Diese Sichtweise der Sicherheit appelliert an rationale Geschöpfe. Sie schlägt Überlegungen und Entscheidungen auf der Grundlage von «Fakten» vor. Wir werden immer mit Risiken konfrontiert sein; wir müssen nur sicherstellen, dass sie akzeptabel niedrig sind. Die Frage ist daher, welches Niveau das richtige Risikoniveau ist. Wir sollten natürlich versuchen, so viel «Distanz» wie möglich zwischen uns und der Gefahr und den möglichen negativen Zukunftsaussichten, zu denen die Gefahr führen könnte, herzustellen. Aber wir wollen auch nicht zu viel Distanz. Es muss praktikabel und erschwinglich sein. Außerdem wünschen wir uns tatsächlich einige Gefahren. Denken Sie nur an das Kaffeetrinken. Wir wollen unseren Kaffee heiß, aber wir wollen uns nicht verbrennen. Deshalb neigen wir dazu, am Anfang vorsichtig an unserem Kaffee zu nippen oder vielleicht ein bisschen darauf zu pusten, anstatt ihn sofort zu schlucken.

    Die Sichtweise der Sicherheit als akzeptables Risiko ist nützlich, birgt aber auch einige Nachteile. Einer davon ist die Abhängigkeit vom Wissen, ein anderer ist, dass sie zu quantitativen Risikoansätzen führen kann, die objektiver aussehen, als sie sind. Weiter kann diese Sichtweise zu einer statischen Betrachtung der Sicherheit führen. Dann ist da das Problem der Überwachung des Risikoniveaus. Und schliesslich gibt es natürlich das Problem, wer entscheidet, was «akzeptabel» ist und auf welcher Grundlage. Wer bestimmt, was in die Bewertung einfließt und welche Faktoren (und wie viel) wie gewichtet werden? Wer darf sich am Prozess beteiligen und wie kann er sich am Prozess beteiligen? Welche Sprache wird während des Prozesses und bei der Kommunikation der Ergebnisse verwendet?

    Ein Beispiel für Letzteres ist die Art und Weise, wie die Konsequenzen ausgewählt und ausgedrückt werden. Bestimmte Risikobeurteilungen konzentrieren sich auf Todesfälle, aber das sind oft nicht die einzigen körperlichen Folgen. Was ist also mit Verletzungen zu tun? Sollte man eine Anzahl schwerer Verletzungen wählen, die einem Todesfall gleichkommt? Oder sollte man, wie man oft sieht, Todesfälle und Verletzungen in Geldeinheiten übersetzen? Ist das wirklich ein gutes und faires Mass? Kann man den Wert eines Menschenlebens beziffern? Und wenn ja, mit welcher Summe? Sicher, man kann den wirtschaftlichen Beitrag eines Menschen für die Gesellschaft und seine Familie schätzen, aber ein Mensch ist so viel mehr als sein wirtschaftlicher Beitrag.

    Herausforderungen

    Die oben genannten Auffassungen von Sicherheit bringen alle ihre eigenen Möglichkeiten mit sich, Sicherheit zu messen. Betrachten Sie Sicherheit als Einhaltung von Regeln, messen Sie möglicherweise die Eimhaltung Vorgaben der Aufsichtsbehörde und zählen unsichere Handlungen (z.B. das Nichttragen von Schutzausrüstung). Wenn Sicherheit als Abwesenheit von Unfällen betrachtet wird, werden Sie natürlich Unfallberichte weiterverfolgen. Diejenigen, die eine Risikoeinschätzung der Sicherheit vorgenommen haben, verfügen möglicherweise über eine Art Risikoregister, stellen die wichtigsten Risiken in einer Risikomatrix oder Heatmap dar und verfolgen Maßnahmen zur Risikokontrolle.

    Wie Sie Sicherheit definieren, wird die Wahl der Dinge, die Sie messen, beeinflussen – und umgekehrt! Was Sie messen, kann sehr wohl zu Ihrer Definition von Sicherheit werden, bewusst oder unbewusst. Wenn die Unternehmenspolitik, eine ISO-Norm oder die Aufsichtsbehörde von Ihnen verlangt, Unfälle und Beinahe-Unfälle als Teil Ihrer Überwachung aufzuzeichnen, wird es sehr natürlich sein, über diese Metriken zu sprechen, wenn jemand fragt: «Wie steht es um die Sicherheit?

    Eine weitere Herausforderung besteht darin, dass Management-Dashboards und Scorecards nur begrenzten Raum für die Darstellung der aktuellen Situation lassen. Manager sind vielbeschäftigte Menschen, und möchten sehr gerne klare, knappe, eindeutige und kurze Antworten erhalten. Sicherheit ist jedoch ein komplexes Phänomen. Deshalb brauchen wir eine Vielzahl von Maßnahmen, um eine vernünftige Beschreibung zu geben. Niemand fasst alles auf einen Blick zusammen. Jede Ansicht zeigt einige Elemente der Sicherheit, aber nie das Gesamtbild. Eine gute Antwort braucht daher reichhaltige Informationen und Nuancen. Hier besteht ein Spannungsfeld zwischen verfügbarem Raum und Aufmerksamkeit und dem, was für eine qualitativ hochwertige Antwort erforderlich ist.

    Sicherheit auf ein einfaches Maß zu reduzieren, egal wie intuitiv, wird dem Thema nicht gerecht. Ein auf der Zahl der Todesopfer/Verletzten basierendes Maß erfasst nur einen winzigen Teil eines sehr komplexen Phänomens. Es wäre so, als würde man einen Fluss ausschließlich durch seine Temperatur beschreiben – die übrigens eher von seiner Umgebung, seiner Lage und der Jahreszeit abhängt als von «sich selbst», so wie die Verletzungsraten stärker mit dem Kontext korrelieren können als mit den von der Organisation eingeleiteten Sicherheitsbemühungen. Ein Kompromiss zwischen Gründlichkeit und Effizienz ist unvermeidlich, und eine sorgfältige Berücksichtigung dieses Aspekts im Managementsystem ist unerlässlich.

    Dieser Artikel ist ein angepasstes und gekürztes Kapitel aus dem Buch If You Can’t Measure It… Maybe You Shouldn’t. Reflections on Measuring Safety, Indicators, and Goals.

    Erhältlich bei https://www.amazon.com/dp/8269037729

  • Die Eigenschaften hochzuverlässiger Organisationen

    Die Eigenschaften hochzuverlässiger Organisationen

    Unternehmen sind heute mit einer immerzu ansteigenden Komplexität konfrontiert. Einerseits handelt es sich bei Unternehmen selbst um komplexe, sozio-technische Systeme, und andererseits sind sie in ein komplexes Umfeld mit zahlreichen bekannten und unbekannten Wirkungsfaktoren eingebettet. Wie kann eine Organisation mit diesen stetig steigenden Anforderungen erfolgreich mithalten?

    In diesem Artikel widme ich mich hochzuverlässigen Organisationen – oder auf englisch High Reliability Organizations (HRO) – und der damit verbundenen High Reliability Theory (HRT). Die Idee der High Reliability Organization kommt ursprünglich aus dem Bereich von Organisationen, welche erfolgreich in hoch-riskanten Bereichen tätig sind. Beispiele dafür sind Flugsicherungen, Kernkraftwerke, Flugzeugträger, Hochspannungsnetz-Betreiber und ähnliche Tätigkeitsfelder. Doch bin ich der Überzeugung, dass sich die Erkenntnisse aus den HROs und die damit verbundenen Handlungsprinzipien auf jede Organisation übertragen lassen und diese – wie die klassischen HROs – erfolgreicher machen können.

    Die Entstehung der High-Reliability-Theory

    1984 veröffentlichte der Soziologe Charles Perrow sein Buch “Normal Accidents: Living with High-Risk Technologies”, in welchem er mittels einer Analyse zum Reaktorunfall im Kernkraftwerk Three Miles Island in den USA im Jahr 1979 seine Normal Accident Theory (NAT) erläutert. Seine Argumentation war, dass es in komplexen, engverbundenen1 Systemen früher oder später zu einem katastrophalen Unfall kommen müsse, und es darum unverantwortlich sei, solche Systeme – eben zum Beispiel Kernkraftwerke – zu betreiben. Diese Theorie erscheint zwar einleuchtend, doch birgt sie ein Problem: Sie ist nicht falsifizierbar. Denn – so auch mehrfach Perrows Reaktion auf Kritik an der NAT – auch wenn es noch nie zu einem Unfall gekommen ist, sei es nur eine Frage der Zeit, bis dieser geschehe. Wer kann eine in die Zukunft gerichtete Aussage widerlegt werden?

    Die NAT hat in der Sicherheitsforschung durchaus zurecht eine hohe Aufmerksamkeit erhalten und wurde schon tausende Male zitiert. Doch stellte sich die Frage, warum es trotzdem Organisationen gibt, welche komplexe, engverbundene Systeme erfolgreich quasi ohne Zwischenfälle betreiben können. Diese Frage hat die Berkley Wissenschaftler Gene I. Rochlin, Todd R. La Porte und Karlene H. Roberts dazu angetrieben, solche Organisationen genauer zu studieren und 1987 als Antwort auf die NAT einen Artikel zu High Reliability Organizations zu publizieren. Mittels Best Practice Ansatz wurde untersucht, warum es zum Beispiel beim Betrieb auf einem Flugzeugträger, wo Flugzeuge sich mit hohen Geschwindigkeiten auf engstem Raum und in Gegenwart diverser Gefahrenstoffe wie Kerosin und Waffen bewegen, (noch) nicht zu einer Katastrophe gekommen ist.

    Auch die High Reliability Theory (HRT) stiess auf grossen Anklang. In der Folge gab es zahlreiche Publikationen und auch heute wird noch über diese Theorie publiziert. Natürlich blieb auch Perrows Antwort nicht aus. Während die Berkley Scholars die HRT nicht als Konkurrenz, sondern als Ergänzung zur NAT sahen, war Perrow mit dieser Beurteilung alles andere als einverstanden und widersprach direkt. 1987 und danach wurden zahlreiche Studien in verschiedenen Bereichen wie Kernkraftwerken, auf Flugzeugträgern (in Friedenszeiten), bei der Stromversorgung, bei der Flugsicherung, etc. durchgeführt, welche zur Weiterentwicklung der HRT beigetragen haben. 2001 haben Karl E. Weick und Kathleen M. Sutcliffe die erste Ausgabe von «Managing the Unexpected» («Das Unerwartete managen» in der deutschen Ausgabe) die Erkenntnisse auf die fünf HRO-Prinzipien heruntergebrochen, welche im Anschluss in aller Kürze erläutert werden sollen. «Managing the Unexpected» ist 2007 in der zweiten und 2015 in der dritten Ausgabe erschienen.

    Die fünf HRO-Prinzipien

    Die ersten drei der fünf HRO-Prinzipien sind vor allem aus einer Präventionsperspektive zu verstehen. Der Fokus liegt auf dem Verhindern von schweren Zwischenfällen und Unfällen.

    Preoccupation with failure – Sich mit Scheitern auseinandersetzen: Sich mit möglichem Scheitern auseinandersetzen heisst, sich Gedanken dazu zu machen, was schiefgehen könnte und nach schwachen Signalen im System Ausschau zu halten. Dies sind Aktivitäten, die gut durch ein effektives Risikomanagement übernommen werden können, aber auch fest im Berufsalltag aller Mitarbeitenden verankert sein sollten. Bei der Analyse von Risiken ist es in der Folge wichtig zu verstehen, was passieren könnte. Noch wichtiger ist es allerding der Frage, warum etwas passieren könnte, auf den Grund zu gehen.

    Reluctance to simplify – Abneigung gegen vereinfachende Interpretationen: Wir haben die Neigung, etwas so zu betrachten, dass es in unser persönliches Weltbild passt. Dies gilt sowohl für Individuen wie auch für ganze Organisationen. Mit der Abneigung gegen vereinfachende Interpretationen wird das bestehend Weltbild hinterfragt und Situationen werden aus verschiedenen Blickwinkeln betrachtet.

    Sensitivity to operations – Sensibilität für betriebliche Abläufe: In einer HRO geben betriebliche Abläufe den Takt der Organisation vor. Die Organisation hat ein hohes Bewusstsein für Details und identifiziert bereits schwache Signale. Die Qualität von Beziehungen ist stark ausgeprägt. Es herrscht eine Vertrauenskultur, welche es den Mitarbeitenden ermöglicht, offen über Unregelmässigkeiten und Sorgen im Zusammenhang mit betrieblichen Abläufen zu sprechen.

    Doch einer HRO ist auch bewusst, dass trotz aller Bemühungen Fehler nicht restlos vermieden werden können. Die letzten beiden der fünf HRO-Prinzipen richten sich vor allem auf die Bewältigung von Fehlern, damit diese nicht zu einer Krise entwickeln.

    Commitment to resilience – Streben nach Flexibilität: Auch in HROs passieren Fehler. HROs versuchen nicht, fehlerfrei zu werden, doch über Fähigkeit zu verfügen, sich rasch von Fehlern zu erholen, ohne dass sich eine Krise entwickelt oder – sollte es dennoch zu einer Krise kommen – rasch aus dieser Krise herauszufinden.

    Deference to expertise – Respekt vor fachlichem Wissen und Können2: Befindet sich eine HRO in einer kritischen Situation oder gar einer Krise, werden die Entscheidungen zur Bewältigung dieser Situation «an der Front» von den entsprechenden Fachexperten und nicht zwangsläufig durch das Management getroffen. Bildlich gesprochen dreht sich Hierarchie-Pyramide auf den Kopf. Ist die Krise bewältigt, normalisiert dich auch die Hierarchie-Pyramide wieder.

    Warum zu einer High Reliability Organization werden?

    Die fünf HRO-Prinzipien unterstützen ein Unternehmen zu einer aufmerksamen («mindful») Organisation zu werden, die in der Lage ist, den Fokus auf betriebliche Abläufe zu setzen, schwache Signale zu detektieren, aus Unregelmässigkeiten zu lernen und potenziell gefährliche Situationen zu bewältigen, bevor diese zu einer ausgewachsenen Krise werden. Der Nutzen, welcher sich daraus ergibt, ist vielfältig. So können beispielsweise Verluste im Zusammenhang mit einer Krise – sei dies ein Produktionsstillstand oder auch ein weitreichender Skandal – vermieden oder beschränkt werden, oder durch die Optimierung von betrieblichen Abläufen kann ein signifikanter Wettbewerbsvorteil erzielt werden. Wird ein Unternehmen auch von aussen als eine HRO wahrgenommen, kann dies die öffentliche Wahrnehmung positiv beeinflussen und auch im Kampf um Talente eine entscheidende Rolle spielen.

    Abschliessend kann gesagt werden, dass das Konzept der High Reliability Organization nicht nur Unternehmen in Hochrisiko-Bereichen sondern grundsätzlich alle Unternehmen dabei unterstützt, sich in ihrem zunehmend komplexen Umfeld erfolgreich zu behaupten und sich von der Konkurrenz abzuheben.

    ——————————————————————————————————————————————————

    1 Unter dem Begriff «engverbundene Systeme» (oder Systemen mit einem «tight coupling») sind Systeme zu verstehen, in welchen starre Abläufe vorhanden sind, die nicht unterbrochen werden können und präzise ausgeführt werden müssen.

    2 Aus meiner Erfahrung kann ich sagen, dass dieses fünfte Prinzip auch Gefahren birgt. So wird häufig missverstanden, dass dieses Prinzip in der Krise zur Anwendung kommt und nicht im Normalbetrieb. «Deference to expertise» heisst explizit nicht, dass alle Entscheidungen in einer HRO durch die betrieblichen Experten getroffen werden müssen.