Narrando a emergência de um consenso confuso

Nesse capítulo Sidney Dekker faz...

... alguns alertas ...

... e dá algumas sugestõessobre como fazer aEngenharia de Resiliência.

Temos que ficar mais espertos para prever os próximos acidentes.

Modelos tradicionais e os métodos de predição hojeutilizados são inadequados para entender quebras emsistemas complexos.

Alguns relatórios apresentam suposições questionáveis que não mais parecem válidas, pois utilizam modelos que privilegiam uma visão linear em detrimento de uma visão sistêmica e ignoram a complexidade do problema.

Fazemos suposições erradas para analisar e prever acidentes.

Damos relevada importância ao que estava errado: problemas, erros e falhas em detrimento do todo.

Acreditamos que todos os ingredientes de um acidente estarão nos próximos.

Utilizamos princípios de decomposição e modelos lineares de falha(dominó, iceberg, queijo suíço) para explicar o incidente.Acreditamos que esses princípios de decomposição devem juntar-se para criar o acidente.

Porém, estudar incidentes não é a obtenção pura e simples de dados do que estava errado.

O foco deve ser a análise, a antecipação e a redução dos riscos...

E o estudo baseado na visão sistêmica do evento. Os fatores e as interações que possam oferecer riscos ao sistema.

A engenharia de resiliência não é feita apenas para o controle dos riscos.

O objetivo é auxiliar a organização a melhor gerir o processo de decisão sobre os riscos que ela está submetida.

Detectar o deslize antes que esse quebre um sistema aparentemente

seguro.

Não é todo deslize que necessariamente provoca o acidente. Porém, alguns podem fazê-lo.

Pressão por escassez derecursos e competição;

Tecnologia incerta;

Conhecimento incompletosobre os limites da resiliência daorganização.

Podem levar a organização parao “Drifting into failure”.

Também não é fácil reconhecer que o sistema está deslizando para uma falha, pois a estrutura de proteção inteira (reguladores, fornecedores, gestores) desliza com ele. Pouca atenção é dada aos riscos após aprovação do regulador.

Exemplo

Andadores para Bebês“Em resposta, o fabricante da marca Chicco diz que já obedece ànorma europeia de segurança, e questionou a metodologia doInmetro”

“A Cosco diz que segue as regras americanas e não as europeias,mas que fará as devidas mudanças.”

“A Burigotto e a Galzerano questionaram os parâmetrosadotados pelo Inmetro, mas disseram que vão seguir as normasbrasileiras assim que elas forem publicadas.”

Cafés Descafeinados com alto teor de cafeína“Já a Coffee Berg alega que seu café descafeinado na verdade écomprado de outro fabricante, dentro das normas, e que apenasembala o produto para venda.”

Tintas“A fabricante da Tonvinil Látex e a indústria e comércio de tintasFerraz Limitada alegou que a amostra analisada é de um produtode quarta linha, conhecido como tinta popular, e, por isso, nãose enquadra às normas aplicadas nos testes do Inmetro. OInmetro esclarece que qualquer tinta imobiliária deve seguir asnormas, independentemente da nomenclatura usada pelofabricante.”

Tradicionalmente, os limites são estabelecidos pelos reguladores (agências, administração, gestores)...

E as organizações medem para verificar a distância que elas ainda estão desse limite

Tudo que está fora dos limites estabelecidos pode serextremamente relevante não estar recebendo a devidaatenção

Sistema

Deslize capaz de quebrar o sistema.

Limites estabelecidos pelo regulador e medidos pela organização.

As pressões fazem com que as organizações abrambrechas nas suas barreiras e fiquem vulneráveis a riscos.

Sistema

Limites estabelecidos pelo regulador e medidos pela organização.

As barreiras não são claras e totalmente conhecidas

Evitar os riscos aos quais o sistema está submetido requerque algumas vezes sejam feitos alguns sacrifícios paramantê-lo operando (objetivos crônicos na frente dosobjetivos agudos).

Requer também a correta avaliação de como o nível micro(atos, performance e deslizes dos indivíduos) pode afetar onível macro (sistema como um todo).

A engenharia de resiliência deve auxiliar a organização aevitar os deslizes que levam à quebra do sistema.

Não é uma tarefa fácil, pois nem sempre é fácil detectaronde esses deslizes ocorrem e até onde eles podem ir.

Algumas vezes sópercebemos o limite daresiliência do sistema, apóstermos passado por eles.

Previsto X Realizado

Existe uma distância entre o que é previsto para ofuncionamento do sistema (Normativo) e o as operaçõesrealizadas pelos indivíduos (Funcionamento Normal)

Existe uma distância natural entre

Supervisão

Execução

&

Autoridade é geralmente difusa e eventualmente ignorada.

As organizações preferemque os indivíduos atuemsegundo a norma...

Porém premiam os melhores pela sua experiência obtida justamente por não atuar dentro das regras.

Empresas gostam de ter colaboradores que tomem decisõesimportantes, sejam dinâmicos, focados, etc. Estão dispostas apremiar quando esse colaborador incorre em um risco eacerta, porém o que elas fazem caso o risco provoque umacatástrofe?

Qual será o comportamento “normal” adotado pelosindivíduos? (Caso da Enron)

É por isso que um bom indicador de resiliência é justamente acapacidade da empresa em manter discussões sobre riscos,mesmo que tudo esteja correndo bem.

Modelos também podem auxiliar a manter o controle desse distanciamento entre o normativo e o normal.

Nancy Leveson propôs o Modelo deControle Hierárquico (2002) para proveralgumas “fotos” (snapshots) de como osistema foi desenhado e como ele estáde fato funcionando.

A comparação dessas “fotos” é capaz de apresentar comoestá ocorrendo a evolução do sistema. Qual odistanciamento do normativo para o normal.

Accidental Risk Assessment Methodology for Industries(ARAMIS) – Gestão de Risco baseada em cenários

Fazer e manter esses modelos requer...

Sacrifício

E quando tudo falhar...

A crise acontece porque....

A organização deslizou para a falha (drift tofailure) e ultrapassou suas barreiras de resiliência

Sempre deve ser feito, mantido e executado o plano de gestão de crises.

A gestão da crise permite...

• Entender o deslize que gerou a falha.

• Proteger o sistema de deslizes

semelhantes.

• Criar um novo limite de resiliência.