Engenharia de Resiliência - Narrando a emergência de um consenso confuso.

293 visualizações

Publicada em

Em coautoria com Julio Cezar Rodrigues dos Santos.
Narrando a emergência de um consenso confuso
Alertas e recomendações sobre resiliência em sistemas complexos.

Publicada em: Tecnologia
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
293
No SlideShare
0
A partir de incorporações
0
Número de incorporações
1
Ações
Compartilhamentos
0
Downloads
9
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Engenharia de Resiliência - Narrando a emergência de um consenso confuso.

  1. 1. Narrando a emergência de um consenso confuso
  2. 2. Nesse capítulo Sidney Dekker faz...
  3. 3. ... alguns alertas ...
  4. 4. ... e dá algumas sugestões sobre como fazer a Engenharia de Resiliência.
  5. 5. Temos que ficar mais espertos para prever os próximos acidentes.
  6. 6. Modelos tradicionais e os métodos de predição hoje utilizados são inadequados para entender quebras em sistemas complexos.
  7. 7. Alguns relatórios apresentam suposições questionáveis que não mais parecem válidas, pois utilizam modelos que privilegiam uma visão linear em detrimento de uma visão sistêmica e ignoram a complexidade do problema.
  8. 8. Fazemos suposições erradas para analisar e prever acidentes.
  9. 9. Damos relevada importância ao que estava errado: problemas, erros e falhas em detrimento do todo.
  10. 10. Acreditamos que todos os ingredientes de um acidente estarão nos próximos.
  11. 11. Utilizamos princípios de decomposição e modelos lineares de falha (dominó, iceberg, queijo suíço) para explicar o incidente. Acreditamos que esses princípios de decomposição devem juntarse para criar o acidente.
  12. 12. Porém, estudar incidentes não é a obtenção pura e simples de dados do que estava errado.
  13. 13. O foco deve ser a análise, a antecipação e a redução dos riscos...
  14. 14. E o estudo baseado na visão sistêmica do evento. Os fatores e as interações que possam oferecer riscos ao sistema.
  15. 15. A engenharia de resiliência não é feita apenas para o controle dos riscos.
  16. 16. O objetivo é auxiliar a organização a melhor gerir o processo de decisão sobre os riscos que ela está submetida.
  17. 17. Detectar o deslize antes que esse quebre um sistema aparentemente seguro.
  18. 18. Não é todo deslize que necessariamente provoca o acidente. Porém, alguns podem fazê-lo.
  19. 19. Pressão por escassez recursos e competição; de Tecnologia incerta; Conhecimento incompleto sobre os limites da resiliência da organização.
  20. 20. Podem levar a organização para o “Drifting into failure”.
  21. 21. Também não é fácil reconhecer que o sistema está deslizando para uma falha, pois a estrutura de proteção inteira (reguladores, fornecedores, gestores) desliza com ele. Pouca atenção é dada aos riscos após aprovação do regulador.
  22. 22. Exemplo
  23. 23. Andadores para Bebês “Em resposta, o fabricante da marca Chicco diz que já obedece à norma europeia de segurança, e questionou a metodologia do Inmetro” “A Cosco diz que segue as regras americanas e não as europeias, mas que fará as devidas mudanças.” “A Burigotto e a Galzerano questionaram os parâmetros adotados pelo Inmetro, mas disseram que vão seguir as normas brasileiras assim que elas forem publicadas.” Cafés Descafeinados com alto teor de cafeína “Já a Coffee Berg alega que seu café descafeinado na verdade é comprado de outro fabricante, dentro das normas, e que apenas embala o produto para venda.”
  24. 24. Tintas “A fabricante da Tonvinil Látex e a indústria e comércio de tintas Ferraz Limitada alegou que a amostra analisada é de um produto de quarta linha, conhecido como tinta popular, e, por isso, não se enquadra às normas aplicadas nos testes do Inmetro. O Inmetro esclarece que qualquer tinta imobiliária deve seguir as normas, independentemente da nomenclatura usada pelo fabricante.”
  25. 25. Tradicionalmente, os limites são estabelecidos pelos reguladores (agências, administração, gestores)...
  26. 26. E as organizações medem para verificar a distância que elas ainda estão desse limite
  27. 27. Tudo que está fora dos limites estabelecidos pode ser extremamente relevante não estar recebendo a devida atenção Limites estabelecidos pelo regulador e medidos pela organização. Sistema Deslize capaz de quebrar o sistema.
  28. 28. As pressões fazem com que as organizações abram brechas nas suas barreiras e fiquem vulneráveis a riscos. Limites estabelecidos pelo regulador e medidos pela organização. Sistema
  29. 29. As barreiras não são claras e totalmente conhecidas
  30. 30. Evitar os riscos aos quais o sistema está submetido requer que algumas vezes sejam feitos alguns sacrifícios para mantê-lo operando (objetivos crônicos na frente dos objetivos agudos).
  31. 31. Requer também a correta avaliação de como o nível micro (atos, performance e deslizes dos indivíduos) pode afetar o nível macro (sistema como um todo).
  32. 32. A engenharia de resiliência deve auxiliar a organização a evitar os deslizes que levam à quebra do sistema.
  33. 33. Não é uma tarefa fácil, pois nem sempre é fácil detectar onde esses deslizes ocorrem e até onde eles podem ir.
  34. 34. Algumas vezes só percebemos o limite da resiliência do sistema, após termos passado por eles.
  35. 35. Previsto X Realizado
  36. 36. Existe uma distância entre o que é previsto para o funcionamento do sistema (Normativo) e o as operações realizadas pelos indivíduos (Funcionamento Normal)
  37. 37. Existe uma distância natural entre Supervisão & Execução
  38. 38. Autoridade é geralmente difusa e eventualmente ignorada.
  39. 39. As organizações preferem que os indivíduos atuem segundo a norma...
  40. 40. Porém premiam os melhores pela sua experiência obtida justamente por não atuar dentro das regras.
  41. 41. Empresas gostam de ter colaboradores que tomem decisões importantes, sejam dinâmicos, focados, etc. Estão dispostas a premiar quando esse colaborador incorre em um risco e acerta, porém o que elas fazem caso o risco provoque uma catástrofe?
  42. 42. Qual será o comportamento “normal” adotado pelos indivíduos? (Caso da Enron)
  43. 43. É por isso que um bom indicador de resiliência é justamente a capacidade da empresa em manter discussões sobre riscos, mesmo que tudo esteja correndo bem.
  44. 44. Modelos também podem auxiliar a manter o controle desse distanciamento entre o normativo e o normal.
  45. 45. Nancy Leveson propôs o Modelo de Controle Hierárquico (2002) para prover algumas “fotos” (snapshots) de como o sistema foi desenhado e como ele está de fato funcionando.
  46. 46. A comparação dessas “fotos” é capaz de apresentar como está ocorrendo a evolução do sistema. Qual o distanciamento do normativo para o normal.
  47. 47. Accidental Risk Assessment Methodology for Industries (ARAMIS) – Gestão de Risco baseada em cenários
  48. 48. Fazer e manter esses modelos requer... Sacrifício
  49. 49. E quando tudo falhar...
  50. 50. A crise acontece porque.... A organização deslizou para a falha (drift to failure) e ultrapassou suas barreiras de resiliência
  51. 51. Sempre deve ser feito, mantido e executado o plano de gestão de crises.
  52. 52. A gestão da crise permite... • Entender o deslize que gerou a falha. • Proteger o sistema de deslizes semelhantes. • Criar um novo limite de resiliência.

×