Narrando a emergência de um consenso confuso
Nesse capítulo Sidney Dekker faz...
... alguns alertas ...
... e dá algumas sugestões
sobre
como
fazer
a
Engenharia de Resiliência.
Temos que ficar mais espertos para
prever os próximos acidentes.
Modelos tradicionais e os métodos de predição hoje
utilizados são inadequados para entender quebras em
sistemas complexos.
Alguns relatórios
apresentam suposições
questionáveis que não mais
parecem válidas, pois
utilizam modelos que
privilegiam ...
Fazemos suposições
erradas para analisar e
prever acidentes.
Damos relevada
importância ao que
estava errado:
problemas, erros e
falhas em detrimento
do todo.
Acreditamos que todos os ingredientes de um
acidente estarão nos próximos.
Utilizamos princípios de decomposição e modelos lineares de falha
(dominó, iceberg, queijo suíço) para explicar o incident...
Porém, estudar incidentes
não é a obtenção pura e
simples de dados do que
estava errado.
O foco deve ser a análise, a
antecipação e a redução
dos riscos...
E o estudo baseado na
visão sistêmica do evento.
Os fatores e as interações
que possam oferecer riscos
ao sistema.
A engenharia de resiliência não é feita apenas para o
controle dos riscos.
O objetivo é auxiliar a organização a melhor gerir o processo
de decisão sobre os riscos que ela está submetida.
Detectar o deslize antes que esse
quebre um sistema aparentemente
seguro.
Não é todo deslize que necessariamente provoca o acidente.
Porém, alguns podem fazê-lo.
Pressão por escassez
recursos e competição;

de

Tecnologia incerta;
Conhecimento
incompleto
sobre os limites da resiliênc...
Podem levar a organização para
o “Drifting into failure”.
Também não é fácil reconhecer que o sistema está deslizando
para uma falha, pois a estrutura de proteção inteira
(regulado...
Exemplo
Andadores para Bebês
“Em resposta, o fabricante da marca Chicco diz que já obedece à
norma europeia de segurança, e questi...
Tintas
“A fabricante da Tonvinil Látex e a indústria e comércio de tintas
Ferraz Limitada alegou que a amostra analisada é...
Tradicionalmente, os limites
são estabelecidos pelos
reguladores (agências,
administração, gestores)...
E as organizações medem para verificar a distância que elas ainda
estão desse limite
Tudo que está fora dos limites estabelecidos pode ser
extremamente relevante não estar recebendo a devida
atenção
Limites ...
As pressões fazem com que as organizações abram
brechas nas suas barreiras e fiquem vulneráveis a riscos.

Limites estabel...
As barreiras não são claras e
totalmente conhecidas
Evitar os riscos aos quais o sistema está submetido requer
que algumas vezes sejam feitos alguns sacrifícios para
mantê-lo...
Requer também a correta avaliação de como o nível micro
(atos, performance e deslizes dos indivíduos) pode afetar o
nível ...
A engenharia de resiliência deve auxiliar a organização a
evitar os deslizes que levam à quebra do sistema.
Não é uma tarefa fácil, pois nem sempre é fácil detectar
onde esses deslizes ocorrem e até onde eles podem ir.
Algumas
vezes
só
percebemos o limite da
resiliência do sistema, após
termos passado por eles.
Previsto X Realizado
Existe uma distância entre o que é previsto para o
funcionamento do sistema (Normativo) e o as operações
realizadas pelos ...
Existe uma distância natural entre

Supervisão

&

Execução
Autoridade é geralmente difusa
e eventualmente ignorada.
As organizações preferem
que os indivíduos atuem
segundo a norma...
Porém premiam os
melhores pela sua
experiência obtida
justamente por não atuar
dentro das regras.
Empresas gostam de ter colaboradores que tomem decisões
importantes, sejam dinâmicos, focados, etc. Estão dispostas a
prem...
Qual será o comportamento “normal” adotado pelos
indivíduos? (Caso da Enron)
É por isso que um bom indicador de resiliência é justamente a
capacidade da empresa em manter discussões sobre riscos,
mes...
Modelos também podem
auxiliar a manter o
controle desse
distanciamento entre o
normativo e o normal.
Nancy Leveson propôs o Modelo de
Controle Hierárquico (2002) para prover
algumas “fotos” (snapshots) de como o
sistema foi...
A comparação dessas “fotos” é capaz de apresentar como
está ocorrendo a evolução do sistema. Qual o
distanciamento do norm...
Accidental Risk Assessment Methodology for Industries
(ARAMIS) – Gestão de Risco baseada em cenários
Fazer e manter esses modelos requer...

Sacrifício
E quando tudo falhar...
A crise acontece porque....

A organização deslizou
para a falha (drift to
failure) e ultrapassou suas
barreiras de resili...
Sempre deve ser feito,
mantido e executado
o plano de gestão de
crises.
A gestão da crise permite...
• Entender o deslize que gerou a falha.
• Proteger o sistema de deslizes

semelhantes.
• Cria...
Engenharia de Resiliência - Narrando a emergência de um consenso confuso.
Engenharia de Resiliência - Narrando a emergência de um consenso confuso.
Próximos SlideShares
Carregando em…5
×

Engenharia de Resiliência - Narrando a emergência de um consenso confuso.

331 visualizações

Publicada em

Em coautoria com Julio Cezar Rodrigues dos Santos.
Narrando a emergência de um consenso confuso
Alertas e recomendações sobre resiliência em sistemas complexos.

Publicada em: Tecnologia
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
331
No SlideShare
0
A partir de incorporações
0
Número de incorporações
1
Ações
Compartilhamentos
0
Downloads
10
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Engenharia de Resiliência - Narrando a emergência de um consenso confuso.

  1. 1. Narrando a emergência de um consenso confuso
  2. 2. Nesse capítulo Sidney Dekker faz...
  3. 3. ... alguns alertas ...
  4. 4. ... e dá algumas sugestões sobre como fazer a Engenharia de Resiliência.
  5. 5. Temos que ficar mais espertos para prever os próximos acidentes.
  6. 6. Modelos tradicionais e os métodos de predição hoje utilizados são inadequados para entender quebras em sistemas complexos.
  7. 7. Alguns relatórios apresentam suposições questionáveis que não mais parecem válidas, pois utilizam modelos que privilegiam uma visão linear em detrimento de uma visão sistêmica e ignoram a complexidade do problema.
  8. 8. Fazemos suposições erradas para analisar e prever acidentes.
  9. 9. Damos relevada importância ao que estava errado: problemas, erros e falhas em detrimento do todo.
  10. 10. Acreditamos que todos os ingredientes de um acidente estarão nos próximos.
  11. 11. Utilizamos princípios de decomposição e modelos lineares de falha (dominó, iceberg, queijo suíço) para explicar o incidente. Acreditamos que esses princípios de decomposição devem juntarse para criar o acidente.
  12. 12. Porém, estudar incidentes não é a obtenção pura e simples de dados do que estava errado.
  13. 13. O foco deve ser a análise, a antecipação e a redução dos riscos...
  14. 14. E o estudo baseado na visão sistêmica do evento. Os fatores e as interações que possam oferecer riscos ao sistema.
  15. 15. A engenharia de resiliência não é feita apenas para o controle dos riscos.
  16. 16. O objetivo é auxiliar a organização a melhor gerir o processo de decisão sobre os riscos que ela está submetida.
  17. 17. Detectar o deslize antes que esse quebre um sistema aparentemente seguro.
  18. 18. Não é todo deslize que necessariamente provoca o acidente. Porém, alguns podem fazê-lo.
  19. 19. Pressão por escassez recursos e competição; de Tecnologia incerta; Conhecimento incompleto sobre os limites da resiliência da organização.
  20. 20. Podem levar a organização para o “Drifting into failure”.
  21. 21. Também não é fácil reconhecer que o sistema está deslizando para uma falha, pois a estrutura de proteção inteira (reguladores, fornecedores, gestores) desliza com ele. Pouca atenção é dada aos riscos após aprovação do regulador.
  22. 22. Exemplo
  23. 23. Andadores para Bebês “Em resposta, o fabricante da marca Chicco diz que já obedece à norma europeia de segurança, e questionou a metodologia do Inmetro” “A Cosco diz que segue as regras americanas e não as europeias, mas que fará as devidas mudanças.” “A Burigotto e a Galzerano questionaram os parâmetros adotados pelo Inmetro, mas disseram que vão seguir as normas brasileiras assim que elas forem publicadas.” Cafés Descafeinados com alto teor de cafeína “Já a Coffee Berg alega que seu café descafeinado na verdade é comprado de outro fabricante, dentro das normas, e que apenas embala o produto para venda.”
  24. 24. Tintas “A fabricante da Tonvinil Látex e a indústria e comércio de tintas Ferraz Limitada alegou que a amostra analisada é de um produto de quarta linha, conhecido como tinta popular, e, por isso, não se enquadra às normas aplicadas nos testes do Inmetro. O Inmetro esclarece que qualquer tinta imobiliária deve seguir as normas, independentemente da nomenclatura usada pelo fabricante.”
  25. 25. Tradicionalmente, os limites são estabelecidos pelos reguladores (agências, administração, gestores)...
  26. 26. E as organizações medem para verificar a distância que elas ainda estão desse limite
  27. 27. Tudo que está fora dos limites estabelecidos pode ser extremamente relevante não estar recebendo a devida atenção Limites estabelecidos pelo regulador e medidos pela organização. Sistema Deslize capaz de quebrar o sistema.
  28. 28. As pressões fazem com que as organizações abram brechas nas suas barreiras e fiquem vulneráveis a riscos. Limites estabelecidos pelo regulador e medidos pela organização. Sistema
  29. 29. As barreiras não são claras e totalmente conhecidas
  30. 30. Evitar os riscos aos quais o sistema está submetido requer que algumas vezes sejam feitos alguns sacrifícios para mantê-lo operando (objetivos crônicos na frente dos objetivos agudos).
  31. 31. Requer também a correta avaliação de como o nível micro (atos, performance e deslizes dos indivíduos) pode afetar o nível macro (sistema como um todo).
  32. 32. A engenharia de resiliência deve auxiliar a organização a evitar os deslizes que levam à quebra do sistema.
  33. 33. Não é uma tarefa fácil, pois nem sempre é fácil detectar onde esses deslizes ocorrem e até onde eles podem ir.
  34. 34. Algumas vezes só percebemos o limite da resiliência do sistema, após termos passado por eles.
  35. 35. Previsto X Realizado
  36. 36. Existe uma distância entre o que é previsto para o funcionamento do sistema (Normativo) e o as operações realizadas pelos indivíduos (Funcionamento Normal)
  37. 37. Existe uma distância natural entre Supervisão & Execução
  38. 38. Autoridade é geralmente difusa e eventualmente ignorada.
  39. 39. As organizações preferem que os indivíduos atuem segundo a norma...
  40. 40. Porém premiam os melhores pela sua experiência obtida justamente por não atuar dentro das regras.
  41. 41. Empresas gostam de ter colaboradores que tomem decisões importantes, sejam dinâmicos, focados, etc. Estão dispostas a premiar quando esse colaborador incorre em um risco e acerta, porém o que elas fazem caso o risco provoque uma catástrofe?
  42. 42. Qual será o comportamento “normal” adotado pelos indivíduos? (Caso da Enron)
  43. 43. É por isso que um bom indicador de resiliência é justamente a capacidade da empresa em manter discussões sobre riscos, mesmo que tudo esteja correndo bem.
  44. 44. Modelos também podem auxiliar a manter o controle desse distanciamento entre o normativo e o normal.
  45. 45. Nancy Leveson propôs o Modelo de Controle Hierárquico (2002) para prover algumas “fotos” (snapshots) de como o sistema foi desenhado e como ele está de fato funcionando.
  46. 46. A comparação dessas “fotos” é capaz de apresentar como está ocorrendo a evolução do sistema. Qual o distanciamento do normativo para o normal.
  47. 47. Accidental Risk Assessment Methodology for Industries (ARAMIS) – Gestão de Risco baseada em cenários
  48. 48. Fazer e manter esses modelos requer... Sacrifício
  49. 49. E quando tudo falhar...
  50. 50. A crise acontece porque.... A organização deslizou para a falha (drift to failure) e ultrapassou suas barreiras de resiliência
  51. 51. Sempre deve ser feito, mantido e executado o plano de gestão de crises.
  52. 52. A gestão da crise permite... • Entender o deslize que gerou a falha. • Proteger o sistema de deslizes semelhantes. • Criar um novo limite de resiliência.

×