In funzione dei risultati scaturiti dall’analisi di rischio, che devono analizzare qualunque organizzazione in tutti in suoi aspetti, si mettono in campo tutti gli strumenti tecnologici, fisici, procedurali, di formazione e addestramento per mitigare il rischio.
La riduzione della probabilita’, di incidenza di rischio o di gravita’, spesso non porta all’eliminazione del rischio; il piu’ delle volte si dovra’ considerare il rischio residuo.
Per capire meglio l’importanza della valutazione dei rischi residui puo’ tornare molto utile, il modello introdotto da M. Reason sull’approccio sistemico allo studio degli errori con la teoria delle lacune latenti.
Secondo tale teoria, il verificarsi di un incidente è il risultato di una concatenazione di eventi accaduti nonostante le barriere che erano state messe in atto per prevenirlo.
Per chiarire tale concetto si utilizza l’immagine del formaggio svizzero, considerando ogni fetta di formaggio una misura difensiva dell’organizzazione. Tali misure nelle organizzazioni complesse sono diverse: alcune si riferiscono all’affidabilità dei sistemi ingegnerizzati, altre all’affidabilità umana, altre dipendono da controlli e procedure. Ogni barriera dovrebbe idealmente essere priva di criticità, ma in realtà non è così. Come appunto si osserva in una fetta di formaggio svizzero, vi sono una serie di buchi che sono in grado di aprirsi, chiudersi, spostarsi, al variare delle prospettive adottate in quella determinata parte del sistema.
La presenza dei buchi di per sé non è condizione sufficiente per il verificarsi di un incidente, che accade solo in quelle particolari situazioni in cui questi si trovano allineati e permettono la cosiddetta traiettoria delle opportunità. Se questi fossero sempre allineati ci si troverebbe di fronte ad un sistema completamente cieco, che non ha saputo, fin dalle prime fasi di progettazione, far fronte ai problemi ed è quindi particolarmente vulnerabile e soggetto ad incidenti.
I buchi sono invece disposti in modo casuale, segno che ad ogni livello organizzativo corrispondono delle criticità specifiche. I buchi sono causati sia da errori attivi, cioè commessi da persone, plausibilmente errori d’esecuzione (slips e lapses), sia da errori latenti, cioè remoti nel tempo e riferibili a decisioni di progettazione del sistema, errori di pianificazione (mistakes).
Giunti dunque alla conclusione che qualsiasi barriera puo’ essere destrutturata, come agire in maniera tale predisporre “framework”piu’ “resistenti?
Purtroppo gli errori attivi non potranno mai essere eliminati in modo definitivo, per aumentare la Sicurezza di un sistema è necessario influire sulle criticità latenti sulle quali gli errori attivi s’innescano.
Autore
Valerio Gambino