O documento discute a engenharia de resiliência para evitar acidentes em sistemas complexos. Aponta que os modelos tradicionais de análise linear são inadequados e que deve-se adotar uma visão sistêmica, considerando fatores e interações. Também alerta que as organizações podem "deslizar para a falha" quando pressões levam ao enfraquecimento de barreiras de proteção.

1. Narrando a emergência de um consenso confuso

2. Nesse capítulo Sidney Dekker faz...

3. ... alguns alertas ...

4. ... e dá algumas sugestões
sobre
como
fazer
a
Engenharia de Resiliência.

5. Temos que ficar mais espertos para
prever os próximos acidentes.

6. Modelos tradicionais e os métodos de predição hoje
utilizados são inadequados para entender quebras em
sistemas complexos.

7. Alguns relatórios
apresentam suposições
questionáveis que não mais
parecem válidas, pois
utilizam modelos que
privilegiam uma visão linear
em detrimento de uma
visão sistêmica e ignoram a
complexidade do problema.

8. Fazemos suposições
erradas para analisar e
prever acidentes.

9. Damos relevada
importância ao que
estava errado:
problemas, erros e
falhas em detrimento
do todo.

10. Acreditamos que todos os ingredientes de um
acidente estarão nos próximos.

11. Utilizamos princípios de decomposição e modelos lineares de falha
(dominó, iceberg, queijo suíço) para explicar o incidente.
Acreditamos que esses princípios de decomposição devem juntarse para criar o acidente.

12. Porém, estudar incidentes
não é a obtenção pura e
simples de dados do que
estava errado.

13. O foco deve ser a análise, a
antecipação e a redução
dos riscos...

14. E o estudo baseado na
visão sistêmica do evento.
Os fatores e as interações
que possam oferecer riscos
ao sistema.

15. A engenharia de resiliência não é feita apenas para o
controle dos riscos.

16. O objetivo é auxiliar a organização a melhor gerir o processo
de decisão sobre os riscos que ela está submetida.

17. Detectar o deslize antes que esse
quebre um sistema aparentemente
seguro.

18. Não é todo deslize que necessariamente provoca o acidente.
Porém, alguns podem fazê-lo.

19. Pressão por escassez
recursos e competição;
de
Tecnologia incerta;
Conhecimento
incompleto
sobre os limites da resiliência da
organização.

20. Podem levar a organização para
o “Drifting into failure”.

21. Também não é fácil reconhecer que o sistema está deslizando
para uma falha, pois a estrutura de proteção inteira
(reguladores, fornecedores, gestores) desliza com ele. Pouca
atenção é dada aos riscos após aprovação do regulador.

22. Exemplo

23. Andadores para Bebês
“Em resposta, o fabricante da marca Chicco diz que já obedece à
norma europeia de segurança, e questionou a metodologia do
Inmetro”
“A Cosco diz que segue as regras americanas e não as europeias,
mas que fará as devidas mudanças.”
“A Burigotto e a Galzerano questionaram os parâmetros
adotados pelo Inmetro, mas disseram que vão seguir as normas
brasileiras assim que elas forem publicadas.”
Cafés Descafeinados com alto teor de cafeína
“Já a Coffee Berg alega que seu café descafeinado na verdade é
comprado de outro fabricante, dentro das normas, e que apenas
embala o produto para venda.”

24. Tintas
“A fabricante da Tonvinil Látex e a indústria e comércio de tintas
Ferraz Limitada alegou que a amostra analisada é de um produto
de quarta linha, conhecido como tinta popular, e, por isso, não
se enquadra às normas aplicadas nos testes do Inmetro. O
Inmetro esclarece que qualquer tinta imobiliária deve seguir as
normas, independentemente da nomenclatura usada pelo
fabricante.”

25. Tradicionalmente, os limites
são estabelecidos pelos
reguladores (agências,
administração, gestores)...

26. E as organizações medem para verificar a distância que elas ainda
estão desse limite

27. Tudo que está fora dos limites estabelecidos pode ser
extremamente relevante não estar recebendo a devida
atenção
Limites estabelecidos
pelo regulador e medidos
pela organização.
Sistema
Deslize capaz de quebrar
o sistema.

28. As pressões fazem com que as organizações abram
brechas nas suas barreiras e fiquem vulneráveis a riscos.
Limites estabelecidos
pelo regulador e medidos
pela organização.
Sistema

29. As barreiras não são claras e
totalmente conhecidas

30. Evitar os riscos aos quais o sistema está submetido requer
que algumas vezes sejam feitos alguns sacrifícios para
mantê-lo operando (objetivos crônicos na frente dos
objetivos agudos).

31. Requer também a correta avaliação de como o nível micro
(atos, performance e deslizes dos indivíduos) pode afetar o
nível macro (sistema como um todo).

32. A engenharia de resiliência deve auxiliar a organização a
evitar os deslizes que levam à quebra do sistema.

33. Não é uma tarefa fácil, pois nem sempre é fácil detectar
onde esses deslizes ocorrem e até onde eles podem ir.

34. Algumas
vezes
só
percebemos o limite da
resiliência do sistema, após
termos passado por eles.

35. Previsto X Realizado

36. Existe uma distância entre o que é previsto para o
funcionamento do sistema (Normativo) e o as operações
realizadas pelos indivíduos (Funcionamento Normal)

37. Existe uma distância natural entre
Supervisão
&
Execução

38. Autoridade é geralmente difusa
e eventualmente ignorada.

39. As organizações preferem
que os indivíduos atuem
segundo a norma...

40. Porém premiam os
melhores pela sua
experiência obtida
justamente por não atuar
dentro das regras.

41. Empresas gostam de ter colaboradores que tomem decisões
importantes, sejam dinâmicos, focados, etc. Estão dispostas a
premiar quando esse colaborador incorre em um risco e
acerta, porém o que elas fazem caso o risco provoque uma
catástrofe?

42. Qual será o comportamento “normal” adotado pelos
indivíduos? (Caso da Enron)

43. É por isso que um bom indicador de resiliência é justamente a
capacidade da empresa em manter discussões sobre riscos,
mesmo que tudo esteja correndo bem.

44. Modelos também podem
auxiliar a manter o
controle desse
distanciamento entre o
normativo e o normal.

45. Nancy Leveson propôs o Modelo de
Controle Hierárquico (2002) para prover
algumas “fotos” (snapshots) de como o
sistema foi desenhado e como ele está
de fato funcionando.

46. A comparação dessas “fotos” é capaz de apresentar como
está ocorrendo a evolução do sistema. Qual o
distanciamento do normativo para o normal.

49. Accidental Risk Assessment Methodology for Industries
(ARAMIS) – Gestão de Risco baseada em cenários

50. Fazer e manter esses modelos requer...
Sacrifício

51. E quando tudo falhar...

52. A crise acontece porque....
A organização deslizou
para a falha (drift to
failure) e ultrapassou suas
barreiras de resiliência

53. Sempre deve ser feito,
mantido e executado
o plano de gestão de
crises.

54. A gestão da crise permite...
• Entender o deslize que gerou a falha.
• Proteger o sistema de deslizes
semelhantes.
• Criar um novo limite de resiliência.