O documento discute as abordagens sistêmicas para a gestão de riscos em sistemas complexos. Ele apresenta quatro etapas-chave para construir a segurança de um sistema: 1) identificar riscos e estabelecer defesas, 2) confrontar modelos ideais com a realidade, 3) considerar fatores macroeconômicos e políticos, e 4) avaliar a resiliência a circunstâncias excepcionais. Também discute os limites do modelo do queijo suíço e a importância de questionar modelos ideais em vez de apenas

1. Gestão de Segurança
Teorias e práticas sobre as decisões e
soluções de compromisso necessárias
René Amalberti

2. Cap 3. As chaves para uma abordagem
sistêmica bem sucedida da gestão de
riscos

3. • É admitido por todos que uma
abordagem de segurança aplicada a
nossos complexos universos industriais
(nuclear, químico, construção, ramos
mais artesanais) ou aos de serviços
(médico, bancário e financeiro,
transporte público e privado), não deve
se limitar a soluções técnicas locais; ela
deve ser imperativamente sistêmica,
global.
• Mas o que há por trás dessas palavras?

4. Sobre a segurança, a abordagem sistêmica
e sua complexidade

5. Abordagem sistêmica
• A gestão dos riscos dentro da empresa não
está relacionada somente a evitar ou a reduzir
acidentes (do sistema ou de trabalho).
• Engloba tudo que possa comprometer a sua
sobrevivência, seja a ameaça econômica,
política, social, ou a perda da imagem,
especialmente após os acidentes
• Para compreender uma abordagem sistêmica,
é necessário aceitar que a gestão de riscos
cobre todos os riscos que podem "matar" a
empresa, sejam eles sociais, técnicos ou
financeiros

6. • a arte da gestão de riscos consiste em estabelecer
as prioridades, tomar decisões, conduzir as
urgências
– (fazer bem o que se decidiu fazer),
• mas se lembrar também que algumas áreas são
então negligenciadas e tratá-las de uma maneira
particular nos departamentos atingidos
– (conhecer aquilo que foi negligenciado a fim de
desenvolver uma consciência na administração
e nos operadores dessas vulnerabilidades
temporárias, por exemplo reforçando a
detecção e a recuperação enquanto não se
pode investir mais na prevenção).

7. Três pontos chaves para o sucesso da
abordagem sistêmica
1. Dominar as quatro fases de avaliação sempre
presentes na construção da segurança de um
sistema complexo,
2. Fazer bem o que se decidiu fazer e conhecer
bem e controlar o que se decidiu não fazer,
3. Pensar no futuro e não no passado.

8. O modelo do queijo suiço como arquétipo dos
modelos sistêmicos... e os seus limites atuais

9. Três componentes do Modelo do queijo -
suíço
• Não se pode eliminar completamente os erros
(patentes) de pessoas em contato direto com o
trabalho,
• São necessárias defesas em profundidade a
fim de evitar a propagação desses erros até o
acidente, e
• É preciso estar atento aos erros organizacionais
e de gestão (erros latentes) que, embora não
sejam a causa direta dos acidentes, fragilizam
as pessoas e enfraquecem as defesas ligadas
ao trabalho ao não lhes dar meios para serem
completamente eficazes

10. Críticas ao Modelo do queijo suíço
1. Reflete um modelo linear de acidente
baseado na propagação de falhas estruturais
e de componentes do modelo;
– Neste sentido, reporta a ideias já obsoletas
e se inspira no modelo de dominós de
Heinrich (1931) ou no da cadeia de erros,
ainda que seja mais complexo ao
introduzir o papel das organizações e da
concepção

11. Cartesianismo
2. O modelo se mantém cartesiano ao decompor o
universo profissional em partes (estruturas e
componentes, fatias) para, em seguida, buscar as
vulnerabilidades de cada uma delas;
– Explica o acidente através das vulnerabilidades
locais, e faz com que se busque o "erro".
– O modelo oferece uma visão do todo ao
evocar as interações e as mudanças no
alinhamento das fatias e das vulnerabilidades
(não se deve alinhar as falhas), mas ele não
leva em conta os riscos de acidentes sem erros
das partes relacionados a montagens
inadequadas de partes não defeituosas e as
propriedades e riscos emergentes do “todo”
(tipicamente a visão global do sistema)

12. Supressão das causas latentes da exposição ao
risco seria o (único) caminho para a segurança
3. Ao fazê-lo, ele nos orienta em direção a um modelo de
prevenção ou de redução da exposição ao risco para o
aumento da sua segurança, de remoção de todas as
vulnerabilidades,
– Viver com a exposição voluntária ao risco é um
elemento realista (voluntariamente criar furos nas
placas) para a sobrevivência de muitas empresas.
– A segurança deve aceitar esta exposição e não
recusá-la, pois os sistemas sociotécnicos muitas
vezes morrem antes de suas más escolhas
econômicas, organizacionais e políticas.
– O modelo de Reason fornece, portanto, chaves
para ações preciosas centradas numa escolha
simples de segurança, mas insuficientes no mundo
industrial real

13. Supressão total ou quase total dos
acidentes e incidentes
4. Permanece alinhado às ideias clássicas e sustenta
implicitamente a noção de que o melhor (para a
empresa) seria obter cada vez mais segurança até
a supressão total ou quase total dos acidentes e
incidentes.
– Essa visão, aceitável e de bom senso para os
sistemas pouco seguros, encontra um limite
paradoxal para os sistemas tornados muito
seguros.
– Quanto mais um sistema se protege, mais lhe
será difícil sobreviver aos seus últimos
acidentes, e mais estes serão ligados àquilo que
é excepcional, causados pelo próprio sistema
que se tornou seguro demais, rígido demais,
procedimentalizado demais, que perdeu, em
suma, sua resiliência original

14. Controlar a segurança sistêmica: quatro
etapas-chaves para construir a segurança
de um sistema complexo

15. Quatro etapas da abordagem sistêmica de
segurança em sistema complexo
1. Saber onde estão os riscos, priorizar e
construir um sistema ad hoc de defesas
2. Confrontar e ajustar este modelo teórico ao
real, e especialmente às diversas
modificações de práticas,
3. Olhar além da análise e considerar os
entraves macroeconômicos e políticos,
4. Quando as etapas precedentes tiverem sido
realizadas e o sistema estiver sob controle,
resta se perguntar sobre sua resistência
residual a circunstâncias excepcionais
– A questão da resiliência se torna central

16. Estas quatro etapas são sucessivas, mas
com circuitos de retroação

17. Primeira etapa: identificar riscos e
estabelecer modelo ideal de defesa.
• É o campo clássico do mapeamento de riscos,
das matrizes de decisão e, mais globalmente,
da confiabilidade dos sistemas estendida à
confiabilidade humana.
• Uma vez o risco identificado e priorizado, essa
etapa leva à definição das linhas de defesa
(barreiras) para reduzir a ocorrência dos
acidentes.

18. Segunda etapa: confronto dos modelos
ideal e real. 1/2
• Em várias circunstâncias, os operadores não respeitam o
modelo, mas não sofrem sanções particulares, pelo
menos durante um longo período;
– Os desvios são numerosos, por múltiplas razões que
convém compreender.
• Essas migrações de práticas acabam, cedo ou tarde, por
se traduzirem em incidentes e acidentes.
• A saída desta fase, portanto, é feita forçosamente em
com o ajuste do modelo ideal, mas a maneira como se
questiona e se corrige em feedback o modelo ideal está
longe de ser inequívoca.
• Muitas vezes, considera-se que o modelo ideal não deve
ser questionado, e que é basta reforçar suas defesas ou
a autoridade sobre o operador para que ele siga as
instruções e os procedimentos.

19. Segunda etapa: confronto dos modelos
ideal e real. 2/2
• A ideia de reforçar “a cultura da segurança” do
operador para que ele desempenhe melhor a
sua parte do modelo ideal, no qual se acredita,
é um caminho muitas vezes adotado em
paralelo a um enrijecimento puramente
procedimental e regulamentar desse modelo
para obrigar a que ele seja seguido.
• Mas talvez devêssemos questionar com mais
frequência um certo número de embasamentos
desse modelo ideal ao invés de tentar inscrevê-
lo na realidade.

20. Terceira Etapa: sistêmica
• Ninguém imagina garantir totalmente a segurança de um
sistema complexo apostando unicamente na aplicação de
procedimentos e recomendações e conduzindo apenas os
operadores de primeira linha a uma obediência rigorosa
das boas práticas e recomendações.
• Um passo a mais é necessário para consolidar aquilo que
se pode chamar de “sistema”, e este passo decorre de
uma estratégia de “governança segura” deste sistema e de
ação sobre a hierarquia média e alta:
– como imaginar uma estrutura segura desse sistema, as
relações entre entidades, profissões, interesses
particulares de uns e de outros, direções, divisões,
filiais e empresas subcontratadas,
– qual o nível de independência ou, ao contrário, de
dependência dar a cada agente, qual risco assumir e
como, dentro da regulagem do compromisso
economia-rentabilidade garantia-segurança

21. Quarta etapa: a resistência final do
modelo obtido. 1/3
• A segurança é, muitas vezes, um problema
ainda menos controlável quando todas as
etapas precedentes foram concluídas:
– Quando o sistema se tornou seguro ou ultra
seguro, quando os procedimentos, as
instruções de segurança e as proteções são
razoavelmente seguidos e adotados pelos
operadores de base, quando a direção está
pessoalmente envolvida nas escolhas e nos
julgamentos em favor da segurança,
aceitando às vezes sacrificar o lucro,
quando uma cultura de alerta e notificação
é adotada por todos.

22. Quarta etapa: a resistência final do
modelo obtido. 2/3
• Nenhum sistema seguro é imune a desastres,
certamente mais raros, mas infinitamente mais
prejudiciais à imagem de uma empresa ou de uma
atividade considerada segura, a ponto de provocar
mais facilmente a crise e, em alguns casos, a sua
morte.
• O mesmo acidente ocorrido no início da história
dessa empresa, num momento em que ela fosse
menos segura, provavelmente não provocaria as
mesmas consequências.
• A adaptação às circunstâncias excepcionais nunca
está inscrita nos modelos estritamente
procedimentais. O sistema não é mais sólido nos
incidentes raros, ele perde sua “resiliência”.

23. Quarta etapa: a resistência final do
modelo obtido 3/3
• Quanto mais se procedimentaliza mais se ganha em
conformidade e em segurança em relação a um
modelo ideal e, infelizmente, mais se “destreina” os
profissionais e os gerentes.
• Sua exposição a situações difíceis torna-se mais
rarefeita; eles perdem o hábito de fazer sacrifícios
entre dimensões contraditórias (que caracterizam a
sobrevivência a curto prazo nessas condições
difíceis).
• A resiliência é uma propriedade relativamente inata
dos sistemas pouco seguros nos quais os operadores
se expõem a situações muito variadas.
• Ela diminui quando se protege o sistema com as três
etapas anteriores e de tal forma que, ao final do
processo, é preciso reforçá-la através de mecanismos
específicos nos sistemas tornados ultra seguros.

24. Etapa 1: Avaliar o risco
e construir um castelo de defesas

25. • É impossível se lançar num procedimento de
segurança sem avaliar o risco e se proteger
contra o que parece ser uma ameaça.
• As ferramentas de avaliação do risco a priori
(com base numa análise sistemática das
vulnerabilidades do sistema considerado) e a
posteriori (com base na análise de acidentes e
incidentes que realmente ocorreram)
constituem o equipamento dos estatísticos.

26. Principais métodos de análise de risco (p
85 a 88)
• Análise funcional
• Análise do processo
• Hazop (hazard and operability study)
• HACCP (Hazard analysis control critical point)
• APR (preliminary risk analysis)
• AMDEC (Análise dos modos de falhas e
criticidade)
• Dashbord – indicadores sentinela
• Auditorias, Inspeção de riscos
• Análise em profundidade, árvore de falhas

27. Qual espaço de referência para caracterizar
e mensurar o risco?
• A análise do risco, sua caracterização e sua
medida questionam nossa compreensão das
fronteiras da área que se considera pertinente
para explicá-lo.
• A análise científica do risco, que supostamente
nos daria a sua medida através de métodos os
mais formalizados possíveis, depende desde o
início de valores subjetivos
– Exemplo: Banco e mapeamento de riscos
financeiros para a sua diretoria de “produtos
financeiros”.

28. Exemplo: Banco e mapeamento de riscos
financeiros
• A análise clássica incidirá sobre processos envolvidos em
serviços de trading para interagir nos mercados:
– organização do serviço, fluxo de ordens, regras de
contrato, relevância de modelos matemáticos de
risco utilizados, ferramentas informáticas, a
delegação de contrato, monitoramento e controle
• Ou imaginar que o risco real depende mais de
equilíbrios políticos mundiais que de técnicas bancárias
de trading.
– Aumentar o perímetro de análise do risco técnico à
análise do risco político em escala nacional, até
mesmo em escala planetária, altera o modelo do
processo considerado para alimentar o
mapeamento, modifica os resultados dos modelos
HAZOP, ADEC e APR que caracterizam o risco e, em
última análise, muda uma parte da medida
considerada pertinente a esse risco

29. Um passo adiante: Mudar as análises de
risco
• A medicina avalia permanentemente os riscos e a eficácia
de suas estratégias. Exemplo: Estratégias de tratamento
da obesidade infantil.
• Analisemos o risco e os benefícios dos medicamentos
dados e dos tratamentos para esta patologia.
• Sabe-se que os hábitos dos meios sociais desfavorecidos
e a pressão industrial dos fabricantes de refrigerantes e
doces (que se aliam para encorajar uma dieta
desequilibrada nas escolas e em casa) representam uma
fonte potencial de riscos muito maiores para a obesidade
que um tratamento médico inadequado.
• Neste caso, a fronteira a ser levada em conta na
prevenção do risco de obesidade ganha ao considerar
uma área que inclui os riscos associados à ação social em
vez de incluir somente os riscos associados ao domínio
restrito da ação médica.

30. Ir além da análise técnica restrita
• Este exemplo reúne uma das essências da
análise custo-benefício e das análises
econômicas em matéria de segurança:
– Como considerar a segurança dentro de
uma lógica de maior eficiência, produzir
melhor e de forma mais segura pelo mesmo
custo ou, se possível, por um custo inferior?
• Esse tipo de análise não é novo, mas é sempre
difícil de se trazer à tona pois ele força
precisamente a ampliação da fronteira da
análise dos riscos para além do meio técnico
restrito que a utiliza em seu processo para
avaliar o próprio trabalho. (p 89-90)

31. • Discutir: determinantes influenciando a análise
de riscos

32. Ampliar a análise e o foco da intervenção
(p90)
• Deveríamos, na análise de risco, poder considerar
honestamente, a um dado momento, as
modificações nos riscos e o risco em comparação
com outras células que cobrem os mesmos temas
ou áreas, com outras soluções alternativas
– o caso obesidade, o da atividade comercial à
distância via ambientes virtuais etc.
• Cada modelo de risco ‘intracelular” corresponde a
um business model pouco interessado em uma
visão mais global que poderia prejudicar suas
atividades.
– Risco nuclear, risco da exploração de petróleo
em águas profundas exigem discutir catástrofes

33. • Isto também é válido para refletir sobre o
horizonte temporal e a capacidade de
recuperação e de atenuação.
• As análises de risco pouco levam em
consideração as trocas muitas vezes positivas
associadas à escolha de assumir os riscos no
curto prazo a fim de melhor preservar o longo
prazo.

34. Exemplo do vazamento de válvula em uma
fábrica em um contexto difícil
• O risco consentido imediatamente tem um
efeito sobre o risco a longo prazo.
• E mesmo se a intervenção culmina em um
acidente de trabalho no curto prazo, ela pode
como um todo ser de um custo-benefício
considerável a longo prazo ao evitar uma
deterioração maior da instalação e, sem
dúvida, consequências mais graves.
– Seria proibido assumir o risco imediato para
se beneficiar dessa segurança a longo
prazo?
– E onde está o horizonte temporal crítico?

35. • “[...] gerenciar os riscos não é em todas as
circunstâncias reduzi-los, mas frequentemente
é trocá-los entre si e no tempo.”
• “Essas trocas são ao mesmo tempo vencedoras
e perdedoras, segundo a fronteira e o
horizonte temporal examinado.” (p 91)

36. • Para a direção de segurança da indústria, o
acidente de trabalho durante uma intervenção
difícil em que não se respeitou os códigos de
segurança será quase sempre atribuído a pouco
domínio da gestão de riscos, mesmo que ele
garanta segurança no longo prazo.
• A única exceção decorre da interpretação
emocional, se ficar claramente estabelecido que se
trata de uma ação heroica
– (em outros termos, que o benefício é claro e
imediatamente identificável a curto prazo, por
exemplo salvar um empregado ferido em um
ambiente tóxico, quando o salvador não usa
proteção nem respeita as regras).

37. • O desafio é [...] ter um sistema que aceite a
dinâmica e inteligência dessas trocas.
• Em geral, o alargamento das fronteiras torna-se
impossível pois o sistema é, antes de tudo,
incorporado em homens, carreiras, posturas
individuais a justificar, jogos de interesses
financeiros e de poderes, e há que se reconhecer
que o beneficiário final da troca de riscos a longo
prazo raramente é aquele que deverá assumir a
escolha dos riscos a curto prazo.
• A questão da escolha da fronteira pode ser
colocada sob outras formas, passando pelo aspecto
do julgamento social que irá alterar a análise da
matriz de aceitação do risco

38. Qual o lugar do registro voluntário (ou
obrigatório) dos incidentes nesta primeira fase?
• P 92

39. O registro do risco permanece intimamente
ligado à noção de cultura de segurança e
menos à noção de melhoria dos resultados em
termos de segurança

40. Reason e as características essenciais
à construção de uma cultura de segurança
eficaz
• A capacidade de não punir aqueles que
efetuam o registro, exceto violações
voluntárias com graves consequências (just
culture),
• A capacidade de compartilhar esses eventos
relatados (informed culture),
• A capacidade de aprender a partir desses
relatos (learning culture) e
• a capacidade de mudar o modelo
organizacional cada vez que a comunicação
mostra a ineficácia do modelo atual (flexible
culture)

41. Cultura de Segurança e registros de
eventos
• O registro e a medida da cultura de segurança
(muitas vezes centrada neste aspecto de registro)
apresentam um problema fundamental sobre a
ligação real entre a amplitude dos registros e os
benefícios para o nível de segurança.
• Esta ligação é evidente nas indústrias aeronáutica e
nuclear, mas mais questionável em outras
• Existe um viés no caso do modelo da aviação civil e
da nuclear, marcado pelo poder de suas
autoridades de tutela mundiais, regionais e
nacionais (OACI, EASA, National Aviation
Authorities, Nuclear Energy Agency, NISA, IAEA…),
a realidade de um monitoramento externo total e
permanente (controle aéreo e caixas pretas).

42. • Tratam-se de sistemas relativamente singulares
em que denunciar os incidentes não deixa
muita margem aos profissionais, já que, de toda
a forma, eles serão vistos e lidos pelos seus
supervisores se a menor consequência for
produzida.
• O modelo da aviação civil ou da indústria
nuclear é realmente um modelo exemplar de
registro voluntário.
• Com efeito, a densidade da denúncia está
correlacionada à segurança das companhias de
aviação civil, pois ela reflete um funcionamento
absolutamente indispensável neste meio.

43. Registro e cultura de segurança: qual o vínculo
entre cultura de registro e desempenho de
segurança na indústria?
• P 93 e segs.

44. «No blame no shame» e o registro
voluntário
• A falta de proteção dos declarantes frente à
justiça, à sua hierarquia e seus organismos de
controle [...] obsecou a literatura na época em
que a declaração dos agentes era quase que a
única
• A contribuição dos registros de incidentes por
agentes locais se tornará marginal em relação
a outros meios de recuperar a existência de
desvios e incidentes.
• A informática e a supervisão constante dos
sistemas (caixas pretas) começaram a mudar o
registro para procedimentos automatizados
fonte de informação.

45. • O desafio inicial consiste em «extrair,
automaticamente a falha de uma corrente de
dados».
• Mas a verdadeira dificuldade a superar será a
de saber o que fazer com o impressionante
número de desvios constatados pelo sistema
de registro automatizado (sem qualquer
relação com o número hoje declarado
voluntariamente pelos agentes)

46. O rendimento dos métodos detalhados de
mapeamento é evidente para a indústria em
geral mas totalmente relativo nas indústrias
inovadoras (p 96)

47. • P 97
O domínio da segurança em contexto de forte
inovação: o caso da medicina, com um turnover
de conhecimentos de 5,5 anos.

48. A construção de defesas após a obtenção de
resultados do mapeamento permanece
um nó estratégico e difícil de resolver
• O último ponto (qual estratégia de segurança
adotar em função do que se sabe a partir do
mapeamento de riscos) é, evidentemente,
ainda mais estratégico já que ele afeta o plano
de ação.
• É o ponto final dessa fase inicial:
– Selecionamos riscos contra os quais
decidimos nos proteger e, em seguida :
– Construímos barreiras (mecanismos de
defesa) contra eles.
• De prevenção, de recuperação e de
atenuação

49. Selecionar os riscos dos quais nos
protegeremos: as matrizes de decisão em
questão

50. • O mapeamento fornece uma lista de riscos,
mas não as prioridades de ataque;
• É preciso estratégia de decisão que aceite
certos riscos e que se proteja contra outros
– Matriz de decisão: frequência X
consequência
• O processo de decisão consiste em;
– aceitar riscos: muito frequentes, mas sem
consequências, ou absolutamente
excepcionais, mesmo que de consequências
catastróficas, e
– se proteger contra todos os outros riscos.

51. • Esta lógica conduz a dois riscos:
– Proteger-se efetivamente contra os riscos
que identificamos como prioritários e
– Conhecer bem o que decidimos ignorar.
• Este último domínio é evidentemente o mais
difícil e remete ao problema do tratamento da
gestão de sinais fracos

52. Os sinais fracos, um conceito sedutor e, no
entanto, frequentemente ilusório na gestão
• O ponto fraco desta racionalidade reside nos
riscos excluídos, particularmente os sinais
fracos dos quais a literatura e convenções
muitas vezes fazem eco, demandando uma
melhores escuta e consideração
• Analisar os sinais fracos equivaleria
precisamente a analisar as partes da matriz
atual que decidimos não analisar.
• O que parece simples dito assim é, de fato,
bastante complicado por diversas razões:

53. Dificuldades da análise de sinais fracos (p
99)
• A questão da escolha da inclusão
– A parte não abordada da matriz de riscos tem
um número infinito de elementos
– O problema da escolha do que incluímos
remete ao modelo de acidente que
desenvolvemos para tratar esses eventos.
• A questão do modelo de acidente selecionado
– Seria necessário utilizar modelos de seleção ou
de associação de conjunturas em que sinais e
eventos menores se encontrassem associados
em um mesmo contexto; a reunião desses
sinais cria o evento de risco.
• O custo macroeconômico de uma extensão da
vigília dos sinais fracos.

54. • A melhor utilidade dos sinais fracos é existir
socialmente através dos whistle blowers.
• A existência de um contrapoder e de um
ativismo questionador sobre riscos eliminados
ou negligenciados, mesmo que a análise
cartesiana de fundo apoiada nessas declarações
não seja conduzida a fundo, mantém na
sociedade e entre os gestores de risco o
sentimento de que não se controla tudo nos
modelos de risco e de acidentes deduzidos pela
racionalidade, longe disso.

55. Etapa 2: comparar o modelo teórico com
a realidade do campo

56. • Uma vez que o modelo teórico de defesa foi
construído a partir do mapeamento, é
necessário fazê-lo viver e durar no tempo;
• A realidade questiona a teoria e provoca
lacunas que se deve compreender e, em
contrapartida, combater (ou aceitar, fazendo
evoluir o modelo) para que este preserve sua
pertinência.
• O problema mais difícil de lidar é o da migração
progressiva do sistema e do aumento mecânico
das violações com a melhoria da segurança

57. Migração do sistema para o acidente
• A migração das práticas é a norma de todos os
sistemas.
• As condições técnicas e econômicas introduzem
novos entraves ao trabalho: muitas vezes é preciso
fazer mais com menos (pessoal, materiais).
• Condições degradadas, a princípio reservadas a
casos pontuais ou a períodos comerciais críticos,
não são sancionadas de imediato por maus
resultados ou incidentes (em geral, é mesmo o
contrário, com um balanço bastante positivo de
aumento de desempenho);
• As migrações tornam-se um padrão aceito por
todos.

58. • Este padrão «ilegal-normal» é acompanhado de
retorno de benefícios (para os trabalhadores)
que deve responder e compensar o esforço
consentido para produzir:
• a hierarquia, frequentemente, lhes concede
mais autonomia;
– Não contesta certas iniciativas, permite que
planejamentos e substituições se auto
organizem,
– Toleramos mais, premiamos esforços
perigosos e esquecemos progressivamente
esses desvios no “retorno de experiência”.

59. • Essa parte oculta, não conforme ao modelo
prescrito, é tanto maior quanto a margem
calculada para construir as barreiras de segurança
foi importante no papel:
– A violação ou o desvio se definem, de fato,
somente em relação a uma exigência
regulamentar (seja ela interna ou externa à
empresa).
– Se as exigências regulamentares estão em
contradição com uma demanda crescente de
desempenho, então o número de violações
aumenta automaticamente e o sistema entra
em migração.

60. Dois paradoxos sobre violações
• (a) a violação é uma característica dos sistemas
seguros (que têm procedimentos); ela não
existe em atividades sem quadro regulamentar
nem regras ;
• (b) o procedimento mal concebido, muito
exigente, automaticamente produz a violação.

61. Migração típica 1/2
• As práticas profissionais são reguladas e
limitadas desde sua concepção por uma
combinação de regras e de barreiras formais e
informais para evitar que a pressão por
produção resulte em migração rápida em
direção a uma zona de risco
• A pressão sobre a produção é tão forte que o
sistema irá migrar, especialmente e com maior
intensidade se o sistema foi enclausurado em
um uso excessivamente prudente em sua
concepção.
• As práticas vão migrar para mais produtividade
e mais vantagens aos operadores.

62. Migração típica 2/2.
• Essas violações « normais », toleradas por
todos, podem afetar até 50 % dos
procedimentos, e vão continuar a se ampliar
pontualmente e criar riscos reais.
• É este risco das migrações secundárias que é o
alvo principal da intervenção de segurança

63. Migração Para o Acidente
P 101

65. Três caminhos para controlar as migrações
1. Antecipar as migrações aumentando
ilimitadamente as competências dos
profissionais, de maneira que eles pudessem
dominar os picos de demanda de produção
excepcional mas que retornassem ao modo de
conformidade quando esses picos passassem.
– É contrafactual: quanto mais se forma
tecnicamente os operadores para se
tornarem especialistas, mais eles integram
seus sucessos passados, ganham confiança e
continuam a migrar «um pouco além» em
condições normais

66. Três caminhos para controlar as migrações
2/3
2. É tipicamente sistêmica e se apoia na concepção.
– Existem tanto mais violações quanto mais o
modelo de segurança previsto no papel é ideal,
irrealista e não leva em conta o constrangimento
econômico de produção
– Nenhum modelo de segurança pode absorver,
desde a sua concepção, todas as transformações
futuras das conjunturas econômicas.
– É normal que um modelo de práticas migre para se
adaptar a essas novas conjunturas e é também
normal, que seja preciso adaptar regularmente o
modelo de segurança, algumas vezes
enfraquecendo as restrições e não reforçando-as
de maneira sistemática

67. Três caminhos para controlar as migrações
3/3
3. É tipicamente sociodinâmica e se apoia no
monitoramento dos indivíduos particularmente
indisciplinados:
– a migração das práticas dentro do ilegal-normal
abre brechas na tolerância social ao desrespeito
ao procedimento
– Não se controla esses indivíduos pela injunção da
hierarquia, a menos que eles tenham sofrido
acidentes; pior, são frequentemente pessoas
brilhantes, cujos sucessos acumulados e os
desempenhos realizados são muitas vezes citados
como exemplo e fortalecem seu status invejado
no grupo

68. Etapa 3 : Ampliar o ângulo de aproximação.
Abordar a segurança pelas macro-organizações

69. Abordar a segurança pelas macro
organizações
• Tornar seguro o ambiente imediato do
operador não basta para proteger um sistema
inteiro.
• As duas primeiras etapas são quase
exclusivamente apoiadas nos níveis micro
(posto de trabalho e ambiente local) e médio
(empresa local).
• Um sistema é muito mais do que isso.
• As condições da economia geral dos ofícios,
profissões e dos órgãos reguladores
desempenham um papel importante nas
possibilidades de proteger o sistema

70. O papel preponderante dos contextos macro
em relação às ações locais de segurança
• 104

71. Uma diferença de níveis de segurança de 100 a
1.000 entre os sistemas mais e os menos
seguros (p 103)

72. O papel preponderante dos contextos macro
em relação às ações locais de segurança
• Os fatores sistêmicos e a gerência central da
empresa impõem fortes limitações às iniciativas
de segurança que podem ser conduzidas no
nível local
• Os especialistas de segurança devem aprender
a operar nesse contexto paradoxal e
compreender os mecanismos de avaliação
utilizados pela “sua” empresa.

73. Situações a comparar
• A indústria nuclear, a aviação civil tem baixa
tolerância social à exposição aos riscos e,
facilmente decidem a favor de iniciativas de
segurança
• Este não é o caso do sistema financeiro
internacional, da medicina, da pesca ou da
condução de veículos;
• Nestes casos, a direção geral – ou a instituição
no sentido mais amplo – privilegia antes de
tudo sua exposição ao risco;
• As ações de segurança, com frequência, devem
ser tomadas no nível local, admitindo seu valor
circunscrito e limitado

74. • O limite de aceitação do risco atua como uma
viga sobre o nível de segurança, enquanto as
ações locais são apenas palhas, com efeitos de
alavanca muito limitados no tempo e no espaço
• Essas últimas tem menos chance de serem
retransmitidas pela gerência se forem
percebidas como incompatíveis ou incômodas
para a economia global do sistema.

75. Cinco barreiras que explicam as
diferenças entre sistemas pouco seguros e
os sistemas ultra seguros

76. Barreiras e diferenças entre sistemas
pouco seguros e ultra seguros.
1. Ausência de regulação que limite desempenho:
– Pescador de alto mar, alpinista
2. A autonomia dos agentes
3. A «barreira do artesão» resume socialmente os
efeitos precedentes. O poder de escolher o
“artesão” (joalheiro, cirugião, etc)
– Não há segurança artesanal maior que 10-4.
4. A «superproteção»: prerrogativa dos sistemas
seguros
– Aumento de barreiras favorece falhas e
migração de práticas
5. Perda da racionalidade na comunicação de
segurança em sistemas tornados muito seguros

77. Etapa 4 : uma vez todas as etapas
vencidas, ainda se é capaz de resistir ao
excepcional?

78. Segurança em ação e segurança
normatizada (Gael Morel, 2008)
• A segurança de sistemas complexos é a soma
de duas entidades:
– A segurança proporcionada por todas as
proibições, limitações, exigências legais
(dita segurança normatizada) e
– A segurança trazida pela inteligência
adaptativa dos operadores e profissionais
do sistema (segurança em ação)

79. Sistemas artesanais e ultraseguros ( p 107)
Os sistemas muito seguros têm muitas regras e
proibições. Seu nível de segurança é elevado, mas a
competência adaptativa de seus operadores é
paulatinamente reduzida
Sistemas artesanais tem poucos regulamentos; sua
segurança total é modesta e repousa mais nas
qualidades e competências dos operadores com
fortes variações inerentes às qualidades individuais

80. • Não há até o momento solução conhecida que
preserve ao mesmo tempo a competência dos
operadores em situações excepcionais e o
benefício de procedimentos de segurança
máxima dos sistemas pelas vias
procedimentais
• A resiliência ou a arte de se adaptar às
condições excepcionais é uma capacidade
inata dos sistemas humanos confrontados com
sua própria autonomia para sobreviver;
• Ela desaparece automaticamente com as
ferramentas de segurança tradicionais
utilizadas na indústria e nos serviços

81. A escolha de segurança da aeronáutica:
suprimir os heróis e proibir o treinamento para
situações muito excepcionais.
• 1995: dois acidentes e incidentes graves com
aviões A310 sugeriram que os pilotos não tinham
mais treinamento suficiente para manobras
difíceis.
• As duas comissões de investigação insistiram na
falta de treinamento desses pilotos em aviões
modernos, claramente mais bem formados para
serem gerenciadores de computador e usarem o
piloto automático do que pilotarem eles próprios
manualmente. Resposta das autoridades:
– Fora de questão retomar treinamento de
pilotagem manual, ainda mais em situações
excepcionais. (p 108)
– Reabriria a porta aos «heróis» que abandonam
procedimentos com alta frequência.

82. • A solução recomendada foi investir em alertas
para melhor sinalizar que o avião saiu de seu
espaço normal de voo e, além disso, investir
em automatização e no safetynet para
recuperar automaticamente essas situações
incomuns.

83. A resiliência institucional: sobreviver ao
acidente pode se revelar tão importante
quanto evitá-lo
• Especialistas em segurança têm um modelo
simples e único em mente: reduzir o número
de acidentes e de incidentes.
– Esquecer a porção da segurança
tipicamente sistêmica: saber sobreviver aos
acidentes
• Com isso acrescentam eixo crítico aos dois
temas bem conhecidos da gestão de crises
– (saber reagir ao acidente e saber
administrar a comunicação)
• enfatizando o «saber preservar a produção na
sequência do acidente

84. Três modelos de segurança em equilíbrio
e não apenas um
• A ideia de um modelo único de segurança que
se aplicaria a todos os sistemas e consistiria
em ambicionar zero acidentes é ingênua.
• A segurança é uma construção social que se
adapta à demanda
• Três tipos distintos de modelos de segurança
– Resiliente
– HRO – Organizações de alta confiabilidade
– Ultra seguro

85. Três estratégias bem diferentes de
exposição ao risco

86. Três estratégias diferentes de exposição
• Escrever um plano de segurança não é uma
garantia que este seja colocado em prática
• É raro que um plano de segurança mencione o
que não será feito devido às decisões que
foram tomadas
• Esses dois aspectos (fazer bem que se decidiu e
conhecer bem o que se decidiu não fazer) são
estratégias na gestão de risco em campo

87. • Os exercícios obrigatórios de mapear por
escrito e de estabelecer protocolos de
prevenção de riscos desenvolvidos pelas
agências de controle são, sem dúvida,
indispensáveis; entretanto, com frequência são
apenas esforços pontuais (para demonstração)
que precisam ser ancorados à realidade
cotidiana e durante um longo período ... e este
é um outro problema.

88. Plano A: A primeira família de soluções de
segurança consiste em suprimir ou retardar a
exposição ao risco
• Aeronáutica: o controle aéreo pode evitar a
exposição de aviões a condições difíceis.
• Esta supervisão serve, em resposta, a uma
economia de escala durante a formação:
– inútil formar pilotos para voar em
condições de furacão se é possível evitá-los
• Essa estratégia prudente exige também alta
qualidade de supervisão sistêmica, muitas
vezes fora do escopo de atividades industriais
fragmentadas, desreguladas e/ou altamente
competitivas (sistema artesanais)

89. A capacidade de aplicação do plano A
depende da organização do sistema.
• EX: Sistemas de saúde na França e no Reino Unido
para o caso de uma prótese de quadril em um
sujeito com comorbidades
• A prótese não tem caráter de urgência e é melhor
esperar por condições de perfeito controle das
comorbidades antes da intervenção para evitar
complicações
– Vai bem no Reino Unido: acesso aos cuidados é
regulado
– Vai mal na França: oferta privada é grande e
pouco regulamentada; pacientes podem
consultar tantos cirurgiões quanto desejarem,
sendo reembolsados, até obterem uma data
para a intervenção próxima à sua conveniência

90. PLANO B. A segunda família de soluções de
segurança consiste em aceitar a exposição ao
risco respeitando todas as normas e
procedimentos
• A aplicação rigorosa e padronizada de todas as
recomendações profissionais em condições nominais de
trabalho corresponde à taxa mínima de incidentes;
• É claro que sempre ocorrem incidentes e surpresas.
• É necessário, portanto, para tirar o máximo de proveito
dessa abordagem, seja poder determinar uma
interrupção e assegurar rapidamente o bom
funcionamento do sistema (no go), seja dispor de
procedimentos inequívocos para tratar o incidente
(procedimentos específicos para tratar cada caso listado
como evento anormal).
• É necessário, neste caso, que o operador esteja bem
consciente da evolução da situação, saiba identificar os
problemas e aplicar os procedimentos.

91. • Se baseando em trabalhos Bainbridge, Woods ,
aponta o risco de « surpresas » nas situações
padronizadas dos universos ultra seguros nos
quais as mudanças não são frequentes;
• essas surpresas estão relacionadas a uma
concepção e a uma supervisão que não
dominam as regras éticas de estabilidade da
ferramenta de trabalho

92. • «a análise ergonômica comete um erro ao
decompor de forma cartesiana o trabalho para
analisar parte por parte (a análise do
trabalho)»; o envolvimento do operador é
integral no contexto técnico e só pode ser
estudado como um acoplamento dinâmico

93. Surpresa inaceitável relacionada à
concepção: exemplo (1/3)
• Os primeiros Boeing 737 possuiam uma função
ALT HOLD que permitia estabilizar a altitude do
avião sobre um plano vertical (parar de subir
ou descer) ao simplesmente pressionar um
botão específico;
• A pressão sobre este mesmo botão tornava-se
inoperante na fase final antes da aterrissagem,
pois o construtor quis se precaver contra
acionamento involuntário do botão ALT HOLD
pela tripulação, que poderia gravemente
perturbar o procedimento de aterrissagem
automática em condições de baixa vis ibilidade
(procedimento CATegoria 3)

94. Surpresa inaceitável relacionada à
concepção: exemplo (2/3)
• esta proteção foi instalada para atender às
exigências de segurança impostas pelas
agências de controle para a obtenção da
qualificação CAT 3.
• O resultado foi expressivo: nessa fase final,
para estabilizar a altitude, era necessário
adotar uma sequência de ação complexa:
– Primeiro desligar o piloto automático,
– Depois desconectar os dois diretores de
voo, à direita e à esquerda,
– Em seguida religar o piloto automático e,
– Finalmente, pressionar o ALT HOLD.

95. • Vários acidentes e incidentes graves foram
causados por esta ergonomia ingrata antes que
ela fosse corrigida:
• Os pilotos, não tendo percebido que estavam
nessas condições de abordagem de proibição
do uso direto do ALT HOLD, pressionavam o
botão e nada obtinham e a isso se seguia um
momento de surpresa e de ações
inapropriadas na origem de incidentes /
acidentes.

96. Plano C. A terceira família de soluções de
segurança consiste em tolerar a exposição
em condições fora do padrão aceitando
que os operadores improvisem ou saiam
da conduta procedimental.
• Em muitas profissões a vida não é feita somente de
repetições procedimentais, muito pelo contrário.
• Esta qualidade da adaptação fez com que a
pequena comunidade de ciências humanas
debatesse acerca da idéia de resiliência.
• À exceção de algumas indústrias ultra seguras, a
maior parte das atividades humanas profissionais
utilizam intensivamente os planos C.
• Estranhamente, o conjunto da literatura sobre a
qualidade e a segurança de sistemas fornecem
prescrições somente para os planos A e B

97. • As soluções de plano C decorrem melhor dos
modelos resilientes: ser mais especialista, saber
julgar a dificuldade da tarefa em função de suas
capacidades, aprender a aprender, a extrair lições,
a possuir esquemas de conhecimentos genéricos
sobre a adaptação às circunstâncias limites.

98. Três planos para gestão de risco
• A: renunciar a fazer, ou esperar por condições
ideais;
• B: executar o trabalho em condições ideais
segundo os procedimentos recomendados;
• C: aceitar intervir sem ter as condições ideais,
com improvisação e trabalho fora dos
procedimentos
• Em aviação, a porcentagem é de 40% de planos
A, 55% de planos B e de 2 a 5% de planos C.
• Em medicina, a porcentagem é de 5 a 10% de
planos A, 40% de planos B e 55% de planos C.

99. Três autênticos modelos de segurança e
não apenas um
• Considerando as estratégias de exposição ao
risco citadas, é lógico pensar que cada uma
delas deu lugar a uma autêntica organização
da segurança, original, com suas lógicas e suas
possibilidades próprias de melhoria
– O modelo Resiliente
– O modelo das organizações de alta
confiabilidade (HRO)
– O Modelo dos sistemas ultra seguros

100. O modelo Resiliente
• Diz respeito às funções em que a busca pela
exposição ao risco é a própria essência do
modelo econômico da profissão
• Profissões artesanais se vendem pela sua
competência em aceitar enfrentar novos
riscos, até mesmo enfrentar o desconhecido,
inovar, dominar novos contextos, resistir,
ganhar e lucrar onde as outras naufragam ou
temem ir.
– Cultura dos winners e dos losers (p 114)
– Pescadores de alto mar, especialistas em
perfuração petrolífera ...
• Prevalências de acidentes altas

101. Passado de Desempenho Vitorioso
• Esses profissionais não são insensíveis aos seus
riscos e os tratam com uma estratégia de segurança
e de formação bastante pensadas, mas dentro de
outra cultura.
• Nessas profissões, a autonomia e perícia dos
indivíduos precedem uma organização hierárquica
do grupo
• O chefe é reconhecido por qualidades técnicas,
desempenhos passados, carisma, mais do que por
seu status oficial.
• Operador é, [...], convidado a utilizar grande
margem de iniciativa. A boa apreciação de suas
competências, a coragem e seu conhecimento
acumulado são as chaves para ser reconhecido como
«um bom profissional e um vencedor» ;

102. Síntese do Modelo Resiliente
• Os procedimentos são pouco numerosos, a
autonomia é grande e o número de acidentes muito
elevado.
• Pode-se progredir na segurança local através de uma
melhor formação, proporcionada pelo contato com
os melhores mestres, que permite aprender a partir
da experiência deles e aumentar o repertório mental
de possibilidades de adaptação em situações mais
degradadas.
• As diferenças entre os operadores menos e os mais
seguros, em uma mesma atividade artesanal, são da
ordem de fator 10n, o que prova que podemos
progredir na intervenção de segurança mesmo
permanecendo na distribuição «microgaussiana» de
profissionais que praticam essas atividades
perigosas.

103. Para discutir - PB
• Me parece que Amalberti não defende que
esse modelo seja uma estratégia individual,
centrada na pessoa.
• Essa questão precisa ser mais discutida.

104. O modelo das organizações de alta
confiabilidade (HRO)
• Retoma a ideia de resiliência porque exalta a
adaptação, contudo é uma adaptação mais local,
regrada, que tem relação com atividades humanas
nitidamente mais organizadas com menor busca pela
proeza (que caracteriza o modelo resiliente puro).
• O modelo HRO é, inclusive, avesso à proeza individual
sem controle do grupo
• Referem-se às profissões em que gerenciar o risco é
cotidiano, ainda que o objetivo permaneça o de
controlá-lo e não de se expor sem necessidade:
combate a incêndios, marinha mercante e militar,
profissionais do bloco das práticas cirúrgicas,
perfuração petrolífera, exploração de usinas químicas

105. Características de HRO
• Apostam no líder e no grupo profissional que reúnem
diferentes funções e especialidades para assegurar uma
visão permanente e global da progressão em direção ao
objetivo (protegendo-se do risco de focalização local),
com participação de todos os membros do grupo ao
– detectar anomalias de contexto (sense making),
– Informar anomalias a outros membros do grupo,
– adaptar o procedimento a estas mudanças de
contexto, inclusive se desviando dos procedimentos
quando for necessário (fazendo sentido no grupo e
comunicando a todos).
• Todos os membros do grupo são solidários a esse
objetivo de segurança.

106. Melhorar detecção e recuperação de
problemas
• O modelo HRO analisa seus fracassos e tenta
compreender suas razões.
• As lições tiradas de análises de acidente dizem
respeito, à maneira pela qual foi gerada a situação e
de que forma melhor administrá-la no futuro.
• É um modelo que aposta inicialmente na melhoria
das barreiras de detecção e de recuperação e,
secundariamente, nas barreiras de prevenção (que
consiste em não mais se expor a essas situações
difíceis).
• O treinamento coletivo é a base da formação.
• As diferenças entre os melhores e os piores
operadores, de uma mesma profissão, são da ordem
de fator 10.

107. O modelo das organizações ultra seguras
• Não aposta mais prioritariamente na competência
excepcional de seus operadores de linha de frente
para se salvar de situações difíceis;
• Há necessidade de operadores equivalentes,
intercambiáveis cada qual em sua respectiva
função e, neste caso, necessariamente em um nível
padrão.
• Aposta nas qualidades de supervisão externa que
poderão evitar que esses operadores sejam
expostos aos riscos mais excepcionais;
• Ao limitar a exposição dos operadores a uma lista
finita de panes e de situações difíceis, o modelo
pode se tornar totalmente procedimental, tanto
em condução normal como anormal.

108. Eliminar causas de acidentes
• A aviação comercial, a indústria nuclear, a medicina
laboratorial ou a radioterapia são excelentes
exemplos dessa categoria
• Os acidentes são analisados para encontrar suas
causas e eliminá-las, de forma que a exposição a
essas condições de risco seja, futuramente, reduzida
ou suprimida.
• O modelo aposta, a princípio, na prevenção. A
formação dos operadores da linha de frente é
centrada no respeito às funções recíprocas, na
cooperação na aplicação dos procedimentos e na
reação às situações anormais para acionar os
procedimentos ad hoc.
• Diferenças entre os melhores e os piores operadores
de um mesmo setor são da ordem de fator 10.

109. Quatro lições a serem aprendidas
• Os três modelos de segurança são radicalmente
diferentes
– Se inscrevem em uma curva que substitui a flexibilidade e
a adaptabilidade pela segurança
• Os três modelos não são miscíveis.
– Mistura conduz ao fracasso em matéria de progresso, de
segurança e pode ser contraprodutiva.
• As intervenções locais não podem mudar o modelo.
– Deve-se apostar na capacidade de avançar no interior do
modelo desse universo, usar estratégias próprias da área
• A oscilação de um modelo a outro é possível, no
entanto requer um evento de fratura
– Mudança em mecanismos de controle atingindo todo o
segmento e sua economia

110. Diferentes lógicas e convicções ao
interpretar cada modelo?

111. Modelo resiliente
• Dos pescadores marinhos: não é um problema
maior já que seus acidentes não têm grandes
consequências externas a sua profissão. Seria
escolha a respeitar.
• Em medicina: traz complexas questões éticas
entre duas lógicas contraditórias:
– Fornecer acesso, esperança e cuidados a todos
em todas as circunstâncias (o que o modelo
resiliente faz melhor do que o ultra seguro) e,
– Não fazer nada que possa agravar e machucar
o paciente (first do not harm) (o que o modelo
ultra seguro, ou ainda o modelo HRO, fazem
melhor do que o resiliente)

112. O modelo da indústria nuclear
• Considerar que ainda não é suficientemente
seguro e solicitar mais normas e protocolos,
que se aplicam a situações identificadas como
cada vez mais improváveis.
• É o caso após Fukushima;
– depois de testarem todas as centrais do
mundo inteiro para o risco de destruição
voluntária por um avião de linha como nas
Torres Gêmeas, em 11 de setembro de
2001,
– Testarão as mesmas centrais para o seu
risco sísmico e o de inundação, e tomar as
medidas de reforço adequadas

113. Introduzir o possível no imposível
• É introduzir no possível aquilo que era julgado
impossível, e aplicar a esse novo possível
receitas de sistemas ultra seguros.
– O oposto da solução resiliente
– Reforça-se a ideia de que o sistema só pode
se defender bem contra riscos conhecidos
– Ao fazê-lo, rejeita-se a ideia de aprender a
improvisar frente a uma nova surpresa
excepcional que não deixará de acontecer
um dia (amanhã? em cinco, dez, vinte
anos?) em uma das 500 centrais nucleares
em atividade no mundo.

114. Seria realista por parte da indústria
nuclear adotar uma outra estratégia?
• Uma estratégia verdadeiramente resiliente?
– Formar operadores para resiliência maior e
recomendar treinamento para o inesperado?
– Preparar brigadas de operadores para a improvisação e
para a saída dos procedimentos?
• Seria preciso [...] aceitar sistema de duas velocidades:
– uma ultra procedimental como é hoje, reservando o
excepcional nível de segurança atual (1*10-7) obtido
graças a uma estrita obediência aos procedimentos
(um estilo de segurança que se aplicaria a 107 dias
de trabalho, ou seja, durante 27 anos) e
– Outra baseada na formação de alguns operadores
peritos, presentes em cada central dobrando o
efetivo juntamente com os operadores normais,
capazes de improvisar, dos quais nos serviríamos
uma vez a cada duas gerações ... [...] inviável

115. A crise dos subprimes e a da dívida
européia tem as mesmas raízes (1/3)
• Um modelo [...] resiliente, conduzido por minoria
[...], em que o ganho do lucro é maximizado pela
opção de correr riscos insensatos, que mascaram e
tornam complexas, voluntariamente, as manobras
e os produtos financeiros a fim de contornar todos
os processos de supervisão
• Muitos na rua imaginam que esse sistema deve
mudar de lógica e adotar regras de segurança mais
organizadas, mais procedimentais, que, segundo as
convicções políticas destes ou daqueles, o levaria,
no mínimo a adotar regras de sistema HRO e, para
outros, a se tornar um sistema totalmente
supervisionado de tipo ultra seguro, no qual toda a
autonomia de seus agentes seria suprimida

116. Crise de Subprimes (2/3)
• Os fundamentos desse sistema são, precisamente,
sua capacidade de produzir dinheiro de um modo
competitivo (liberal) para refinanciar o mercado;
• Resumindo, condições completamente
contraditórias a um sistema fixo.
• Não de forma surpreendente, as propostas de
moralização da economia mundial de mercado e do
papel dos bancos, de sua regulamentação e de seu
enquadramento rígido, até mesmo de sua
(re)nacionalização para os mais «ultra», embora
regularmente listadas nas conferências do G7, em
seguida do G10, nunca chegam a lugar nenhum,
exceto a discursos de boas intenções.

117. Crise dos subprimes (3/3)
• Por fracassam as propostas de mudanças?
• A razão é simples:
– Os modelos que são necessários recolocar
em causa são, a princípio, modelos de
sociedade, com valores e crenças
construídas sobre os sucessos do passado,
que ninguém está, de fato, pronto para
abandonar em nome de uma hipotética
melhoria da segurança (cujo resultado não
se vê antes de ter realizado todo o ciclo de
transformação e cujos inconvenientes a
assumir se vê imediatamente).

118. É possível Mudar?
• Não se pode introduzir um modelo de segurança
totalmente novo contra a vontade dos agentes
locais e dos valores considerados essenciais para
esse sistema.
• Primeiramente, é necessário modificar esses
valores de base para depois pretender que se
adote um modelo de segurança diferente
• Mudar o modelo de segurança demanda mudar de
sistema.
• Se as condições não estão reunidas - e é preciso,
em alguns casos, aceitar esse fato - é inútil lutar
contra os moinhos ou inventar soluções que não
têm nenhuma chance de funcionar

119. Para discutir:
• Implicações políticas embutidas na opinião do
autor.
• Até que ponto se mostra contraditório com
sua defesa do questionamento das análises de
risco.

120. As propriedades dos 3 modelos de
segurança (quadro p 120 a 121)
• Cada modelo é uma resposta a um tipo de
ambiente, possui suas próprias regras de
otimização e é pouco miscível com outro
modelo.
• Nota-se que cada modelo pode progredir em
segurança com um fator 10; os sistemas
híbridos, ao misturarem os elementos de um
sistema de segurança com os de outro,
geralmente, não fornecem nenhum resultado
de progresso em segurança (inadaptadas, até
mesmo contra produtivas).

121. Algumas regras complementares
para passar à ação

122. Estruturar a segurança não é simples
• É necessário conhecer os riscos, construir defesas
e, sobretudo, ser realista e escolher o modelo certo
de segurança.
• Mas isso não basta. A segurança, assim pensada,
por mais pertinente que seja, precisa ser executada
e mantida no tempo o mais próxima do campo.
• Os gestores têm um papel essencial nesse nível,
tanto para influenciar os comportamentos (e não
simplesmente orientar) quanto para bem
compreender o que não está coberto pelo plano de
segurança.
• É preciso também ganhar a batalha do futuro e não
apenas um sistema que corrige os erros do passado

123. O papel dos gestores: fazer bem o que se
decidiu fazer e saber bem o que se decidiu não
fazer.
• Estratégia de segurança só faz sentido se for
compreendida e retransmitida
• É necessário que a gestão
– Compreenda os objetivos (aquilo que deve
ser alcançado),
– Os impasses voluntários e suas razões
(aquilo a que se renuncia devido a decisões
acerca de outras vantagens comerciais ou
de negócios que se quer preservar).
• A educação e a formação do middle
anagement e da supervisão da linha de frente
nesses dois contextos são o cerne de uma
abordagem bem sucedida.

124. Fazer o que se decidiu fazer: o papel
chave dos gestores intermediários
• Função de gestor é , da melhor forma possível,
planejar ou comandar as atividades.
• Com liderança de gestão:
– Capacidade de influenciar, de guiar ou
orientar inclusive comportamentos para
aumentar segurança.
• Os comportamentos de segurança dos gestores
são mensagens mais fortes que slogans
espalhados pela empresa
– Qual o valor de fato atribuído à segurança

125. QUADRO: Sete princípios para uma
liderança em segurança industrial

126. Sete princípios da liderança em segurança
industrial
1. Criar a visão de segurança – coerentes com
valores e princípios de gestão
2. Dar a segurança o lugar que é seu por direito na
organização e na gestão fazer sua gestão no dia a
dia
3. Fazer com que a visão de segurança seja
partilhada: influenciar, convencer e favorecer a
difusão da informação.
4. Ter credibilidade: ser exemplar e ter coerência
5. Favorecer o espírito de esquipe e a cooperação
transversal
6. Estar presente em campo para observar, escutar,
comunicar eficazmente
7. Reconhecer as boas práticas e aplicar punições
justas

127. Princípio 01

128. Princípio 02

129. Princípio 03

130. Princípio 04

131. Princípio 05

132. Princípio 06

133. Princípio 07

134. Compreender bem os sacrifícios da segurança
aceitos no plano de ação adotado
• Gestores devem compreender bem:
– As medidas deixadas de fora do plano de
segurança
– As razões (estratégicas, financeiras, outras
prioridades) associadas a essas escolhas
• Essas razões devem ser consideradas por
estratégia que visem a:
– Reduzir a exposição aos riscos para os quais
não há procedimentos ou treinamentos
– Capacitar a operadores a detectar e evitar e
essas situações

135. Exemplo: Sistema eletrônico de controle
do estol em aviões
• E se o avião não tem o sistema de controle?
– Equipes não são treinadas para lidar com
ocorrências tão raras
• É necessário que todos estejam conscientes dessa
lacuna de competência e aprendam a minimizar as
exposições a essas circunstâncias excepcionais:
– Por antecipação estratégica para evitar as
condições em que esse tipo de estol possa se
produzir (perdas totais das informações de
velocidade, em especial),
– Por reação imediata quando soa o sinal de
alarme anunciando a proximidade dessas
condições.

136. Erros de estagiários em serviços de saúde
• Unidades de saúde não incluem, em seu
mapeamento de riscos, a administração
errônea de cuidados por estagiários de
plantão, deixados sozinhos no hospital para
atendimentos ou emergências, em especial à
noite, nos dias de festas, nos meses de férias
ou no final de semana.
• Descartam o risco de sua análise, porque
estariam reconhecendo atitude quase ilegal e
inconfessável, uma vez que é impensável nos
protocolos oficiais que os aprendizes sejam
deixados sozinhos

137. Como lidar com essa situação?
• Os gestores devem estar cientes de que esse
risco não está protegido e devem organizar o
trabalho tanto quanto possível para considerar
essa exposição:
– instruções mais claras de convocação,
conversas sobre o tema realmente trocadas
com os novatos, aprendizagem dos
procedimentos genéricos para se certificar
da segurança dos pacientes…
• Exemplo pescadores p 126

138. As quatro razões mais frequentes para
excluir um risco (identificado) do plano de
segurança
1. Muito inconveniente para o business model,
2. Bastante raro,
3. Caro para gerenciar e
4. Incorreto para ser confessado.
• Regra prática:
– É sempre útil no final da construção de um plano de
segurança fazer varredura das áreas que foram
sacrificadas com a ajuda das categorias anteriores
para melhor identificá-las e classificá-las.
– Os riscos identificados, devem dar lugar a um
tratamento particular - o da informação e da
consciência compartilhada de que eles existem, de
que é necessário saber identificá-los e fazer de tudo
para evitar que eles aconteçam

139. Pensar o futuro e não o passado
• As técnicas de gestão de riscos são
essencialmente construídas no retrovisor.
• Elas leem o passado para se precaver contra o
futuro e apostam na estabilidade do mundo para
conservar o valor das lições extraídas dos erros
do passado
• O mundo não é tão linear; evolui por fraturas e
mutações violentas, muitas vezes, após duas ou
três décadas de estabilidade.
• São, com maior frequência, as inovações técnicas
que mudam, de forma repentina, as atividades.
• Em pouquíssimo tempo, um dado sistema
técnico pode se tornar totalmente obsoleto e
suas regras de segurança também

140. Revoluções atingiram grandes sistemas
industriais
• Mudança progressiva da perfuração e exploração de
poços de petróleo para a exploração maciça de
petróleo em xisto betuminoso,
• passagem progressiva de uma regulação do tráfego
aéreo essencialmente humana a uma automatizada
(data-link),
• Novas técnicas e materiais de construção leves que
permitiram estruturas serem construídas duas vezes
mais rápido com qualidades nunca antes alcançadas
em termos de altura e sobre solos frágeis,
• surgimento de novos motores para os automóveis,
• transição da cirurgia invasiva para a percutânea ou
por via natural não invasiva,
• fim anunciado da transfusão sanguínea substituída
pela produção de sangue por meio da cultura de
células-tronco...

141. A técnica nunca muda sozinha
• Ela muda a organização do sistema, seu modelo
de negócio, seus agentes também (os recém-
chegados se beneficiam do salto tecnológico ao
substituírem os antigos)
• Ela muda todo o modelo e, consequentemente,
todo seu mapeamento de riscos e construção de
defesas.
• É preciso, sempre olhar o horizonte e
(re)questionar o modelo de segurança que foi
construído sobre as bases do passado.
• Nesse movimento acelerado das tecnologias, os
métodos prospectivos podem se revelar mais
eficazes para evitar os acidentes de amanhã do
que os retrospectivos.

142. E a cultura de segurança em tudo isso ?

143. Que lugar para a Cultura de Segurança?
• A ideia não é negar nem rejeitar o interesse
pelo conceito, mas reposicioná-lo em seu justo
valor na escala de sua contribuição à
segurança.
• Observa-se, de início, uma variação muito
grande no uso e no conteúdo do conceito de
cultura de segurança na literatura, e fica-se
bastante tentado a concluir que a cultura com
efeito encontra-se profundamente vinculada
ao modelo de segurança, porém raramente é
um conceito sobre o qual se pode agir antes de
tudo e diretamente para melhorá-la.

144. Mudar a Cultura de Segurança é processo
a longo prazo
• A unidade de tempo da mudança é longa,
muito longa, e o processo de melhoria da
cultura requer verdadeira perseverança para
decifrar os benefícios.
• A maior parte dos artigos e dos livros propõe
ferramentas de avaliação da cultura,
notadamente questionários.
• Mas o que realmente se aprende desses
conceitos para melhorar a segurança de um
sistema?
– A resposta é dúbia

145. Culturas e ambientes (de mudança, de
eficiência, de segurança), uma multidão de
ambiguidades e de confusões

146. Sete características na literatura sobre
culturas
1. As culturas remetem a valores (ideias
importantes) e normas (expectativas de
comportamentos)
– morais, partilhadas por todos os
indivíduos de uma dada comunidade
(códigos sociais, relações homens-
mulheres, relações com a verdade),
– éticas (condições inaceitáveis do sucesso
ou do fracasso nessa comunidade), e
– sociais (definição de sucesso, distâncias
hierárquicas, relação com a incerteza,
funções e competência).

147. Sete características ...
2. Inicialmente, a noção de cultura foi aplicada para
caracterizar comunidades nacionais ou empresas.
Cinco dimensões:
– o grau de distância hierárquica,
– a necessidade de redução da incerteza, o grau
de tolerância que uma cultura pode aceitar
frente à inquietação provocada pelos eventos
futuros,
– o individualismo versus o coletivismo,
– a dimensão masculina macho versus fêmea, e
– a orientação para curto ou para longo prazo;
ligação com as tradições quando a orientação é
para o curto prazo, valores como a economia e
perseverança se a orientação é para longo
prazo.

148. Schein e os 3 níveis de cultura em uma
empresa
• Um nível visível (artifacts) que mostra os
comportamentos e os rituais observáveis (é
tipicamente o nível que reflete a noção de ambiente
de uma empresa),
• um nível de valores conscientes (values) que
carregam as crenças partilhadas na empresa, seus
pontos fortes, seus pontos fracos, seus inimigos,
seus amigos, e,
• Um nível (organization’s tacit assumptions) feito de
valores tácitos, inconscientes ou tabus que os
agentes dividem sem poder evocá-los (unspoken
rules), por exemplo, “nesse hospital se pratica a
eutanásia de pacientes em estado terminal para
regular a carga de trabalho da equipe”.

149. Como classificar uma cultura em relação a
outra? 1/2
• O primeiro problema é especificar o resultado
desejado:
• pode-se, com efeito, classificar as nações ou as
empresas segundo seu desempenho comercial,
sua capacidade de mudança, sua segurança e
ainda segundo muitos outros critérios.
• Classificações relativas aos traços de uma “boa
cultura” vão, desse modo, diferir de acordo
com o critério escolhido.
• Pior, uma boa cultura em um registro
particular (capacidade de mudança ou a
eficiência) pode provar ser uma cultura pouco
eficaz em outro registro (a segurança, por
exemplo)

150. Como classificar uma cultura em relação a
outra? 2/2
• Primeiro nível de dificuldade:
– Uma cultura nunca é boa para todos os
benefícios que se poderia esperar em todas
as dimensões.
• Escolher falar de “boa cultura” de segurança
pode, então, conduzir as empresas a adotar
traços culturais contrários, ou até mesmo
devastadores, para outros aspectos chave dos
desafios que elas devem aceitar para
sobreviver.

151. 3. A noção de cultura de segurança não é
homogênea em seus “genes”.

152. Cultura de segurança e teorias
psicossociológicas de pequenos grupos
• Helmreich, Flin, Guldenmund e outros autores
abordaram o tema da cultura de segurança
pelo prisma das teorias psicossociológicas
sobre os pequenos grupos e sobre o papel dos
líderes e supervisores, privilegiando a visão
dos operadores de base sobre seu ambiente de
trabalho
– Desenvolvidos questionários que
popularizaram essas abordagens

153. Os pontos marcam boa cultura de segurança
em avaliações com questionários
• Estilo de liderança democrática,
• respeito aos papéis de cada um (da hierarquia)
e aos procedimentos,
• Ausência de cultura de censura,
• Capacidade para notificar seus erros/eventos/
incidentes sem ser punido,
• Sentimento de escuta por parte da hierarquia,
• Bom nível de solidariedade e de ajuda mútua
no grupo,
• Número pequeno de acidentes de trabalho ...

154. Boa cultura de segurança e tratamento
dado a acidentes e incidentes
• Sequências dadas pela gestão (middle e top
management) ao tratamento dos incidentes e
acidentes (Westrum, Reason), insistindo na
necessidade de uma análise aprofundada;
• Alguns insistiram ainda mais no regime de
punições associado a esses mesmos eventos
indesejáveis, apontando a necessidade
imperativa de preservar uma capacidade do
sistema de escapar da justiça quando se fala
de erros humanos — forçosamente
involuntários — (conceito de juste culture)

155. Culturas de governança e a macro
organização do sistema
• Apoiam-se em quadro teórico muito ampliado
das teorias organizacionais do sistema que, no
fim, estão bastante distantes das abordagens
centradas nos pequenos grupos e operadores.
• Esses trabalhos irrigaram os conhecimentos
sobre as culturas de empresa, relacionando,
por exemplo, o nível de qualidade de
produção, a capacidade de inovação (clima de
criatividade) e diferentes famílias de culturas -
culturas de clã, culturas de mudança, culturas
que apostam na hierarquia e culturas racionais
– e avaliando as especificidades e as margens
de progresso de cada tipo de cultura.

156. Organizações de alta confiabilidade (HRO)
• No quadro das teorias organizacionais
centradas no risco
• Se distingue por qualificar uma boa cultura de
segurança antes de tudo como a capacidade de
adaptação do grupo a situações não padrão,
sublinhando a importância da liderança, da
competência e do papel de cada um e,
sobretudo, da resiliência, até mesmo da
improvisação, duas ideias muito pouco
presentes (e até mesmo contraditórias) em
todas as correntes precedentes.
• Diagnóstico mais por auditorias do que por
questionários

157. • Outras, assimilam maciçamente (exclusivamente?)
a cultura de segurança à cultura de qualidade,
dentro de uma perspectiva de melhor produção e
desempenho do sistema; pensamos no Toyotismo
e no Lean management (produção enxuta).
• Mais uma vez, nos encontramos muito longe das
teorias anteriores, com uma cultura que prioriza as
organizações centradas no fluxo, um papel chave
da supervisão para reduzir os erros geradores de
baixo desempenho e administrar em primeiro lugar
qualidade na linha de produção e, por outro lado,
considerar apenas muito marginalmente a questão
dos acidentes graves

158. Para pensar a noção de cultura de
segurança
• Na maior parte do tempo, [...] não conseguem
conhecer toda esta gama de teorias e se
encontram prisioneiros de um ponto de vista, de
uma lógica, sem compreender as contradições que
poderiam existir quando se misturam, em sua
própria empresa, uma abordagem centrada, por
exemplo, na linha de produção em torno de uma
cultura do tipo Toyotismo ou Lean management e,
ao mesmo tempo, dizer que seu objetivo é ser uma
organização HRO, e, ao mesmo tempo,
constantemente dizer em outros cenáculos que o
objetivo prioritário da empresa é fazer evoluir a
cultura e adotar um ambiente propício à mudança
para suportar as modificações futuras impostas
pelas novas condições socioeconômicas

159. Mudar a cultura de segurança?? (p 132)
• A expressão “mudar de cultura de segurança”
pode, com facilidade, esconder sérias
ambiguidades e grandes decepções, caso seja
efetivamente enunciada sem cuidado aos
operadores.
• Felizmente... ou infelizmente, o emprego da
expressão encontra-se, com frequência, limitado a
um discurso de conveniência para interlocutores
externos, sem grandes consequências para o
público interno e, muitas vezes, sem real utilidade.
• Dito isso, toda empresa tem uma cultura e é,
talvez, mais importante para a intervenção de
segurança conhecê-la em todas as suas
contradições

160. 4. Um vínculo mal compreendido entre
duas produções da cultura de segurança:
a segurança dos trabalhadores e a
segurança do local e do produto

161. Dois cenários dos diagnósticos de cultura de
segurança nas empresas: a segurança do
trabalho e a segurança do local e do produto.
1. As prioridades dadas a esses domínios dependem do
desenvolvimento e das prioridades públicas de
tutela nas diferentes famílias de indústrias e de
serviços públicos. Em atividades:
– Menos desenvolvidas e seguras, (artesanais) a prioridade incide na
segurança da produção
– Indústrias [...] mais desenvolvidas que os artesãos [..], a prioridade
incide na segurança do trabalho
– Indústrias mais seguras prioridade na segurança do processo
2. Além das ideias gerais, não sabemos quais são as
ligações teóricas entre esses dois espaços de
segurança
3. A ambiguidade se mantém no emprego de
ferramentas de mensuração das culturas e dos
ambientes de segurança, em particular os
questionários legitimados para um desses dois
domínios, empregados sem precaução para medir o
outro.

162. As complexas relações entre a segurança
no trabalho e a segurança do processo
P 112

163. As complexas relações entre a segurança
no trabalho e a segurança do processo

164. 5. Podemos mudar rapidamente um ambiente
de segurança, mas não sabemos mudar
rapidamente uma cultura de segurança

165. Ambiente e cultura de Segurança
• A noção de ambiente, inspirado no primeiro nível de
Schein se apoia sobre elementos objetivos (fatos),
enquanto a noção de cultura de segurança incide sobre
elementos subjetivos (valores).
• Pode-se mudar significativamente a cultura ao mudar,
de forma arbitrária, os fundamentos do sistema técnico
e ao introduzir modificações maiores na economia do
sistema, mas, evidentemente, isso ultrapassa as
capacidades de uma intervenção pontual em uma
empresa de um setor industrial ou de serviço (tipo
hospital ou banco).
• A economia de mercado mais prescreve a cultura do que
o inverso.
• Alavancas da mudança são sistêmicas e não
circunscritas.

166. 6. Não há uma cultura ideal, existem
culturas adaptadas a cada caso
• Existem vários modelos de segurança e não
apenas um.
• Logicamente, esses diferentes modelos de
segurança, que refletem arbitragens distintas
entre flexibilidade, competitividade,
adaptabilidade e desempenho de segurança,
remetem a ajustes diferenciados da cultura de
segurança

167. 7. A evolução de valores que caracterizam uma
cultura demanda tempo, muito tempo.
• No balanço, mensurar a cultura de segurança
de uma unidade de produção é útil e parte
integrante de uma abordagem diagnóstica.
• Ela exige conhecimento aprofundado das
teorias por trás das ferramentas de medição
para que não se cometa um contrassenso.
• A mensuração por si só não e suficiente.
• Sua interpretação é sempre relativa pois ela
depende de implicações locais (que é preciso
ter bem analisadas e compreendidas).
• A mensuração permite, sobretudo, situar a
margem de progresso da empresa em termos
de segurança.

168. • Se devemos fazer uma intervenção de
segurança local limitada no tempo em uma
empresa, ao invés de acreditar que vamos
mudar sua cultura, devemos inverter o
raciocínio e deduzir (pela avaliação de sua
cultura) a margem de progresso de fato
alcançável por essa empresa tendo em conta
sua cultura.

169. Identificar o modelo de segurança que
melhor caracteriza o meio
• Esse diagnóstico reforça a necessidade de
identificar o modelo de segurança que melhor
caracteriza o meio (e as necessidades) da
empresa que é avaliada.
• Em suma, não se muda a cultura de uma
empresa por meio de uma intervenção pontual
motivada por uma demanda de segurança.
Nenhuma ação tem esse poder.
• Contudo, podemos compreender e identificar
a cultura em questão a fim de se avaliar quais
margens de progresso, entre os resultados,
serão por ela autorizados (abordagem
reversa).

170. Mudança cultural e ferramentas
sistêmicas
• Se a ambição for maior, com a pretensão de
querer mudar a cultura de uma prática
profissional, é necessário dispor de alavancas
sistêmicas, alterar a demanda do business
model na escala da profissão, agir pelo menos
em nível regional, senão nacional ou
internacional, e persistir em longo prazo
(intervenção longa necessária com dispositivos
regulamentares e controles).

171. • Ildeberto Muniz de Almeida
• ialmeida@fmb.unesp.br