O documento discute a engenharia de resiliência para evitar acidentes em sistemas complexos. Aponta que os modelos tradicionais de análise linear são inadequados e que deve-se adotar uma visão sistêmica, considerando fatores e interações. Também alerta que as organizações podem "deslizar para a falha" quando pressões levam ao enfraquecimento de barreiras de proteção.
4. ... e dá algumas sugestões
sobre
como
fazer
a
Engenharia de Resiliência.
5. Temos que ficar mais espertos para
prever os próximos acidentes.
6. Modelos tradicionais e os métodos de predição hoje
utilizados são inadequados para entender quebras em
sistemas complexos.
7. Alguns relatórios
apresentam suposições
questionáveis que não mais
parecem válidas, pois
utilizam modelos que
privilegiam uma visão linear
em detrimento de uma
visão sistêmica e ignoram a
complexidade do problema.
11. Utilizamos princípios de decomposição e modelos lineares de falha
(dominó, iceberg, queijo suíço) para explicar o incidente.
Acreditamos que esses princípios de decomposição devem juntarse para criar o acidente.
13. O foco deve ser a análise, a
antecipação e a redução
dos riscos...
14. E o estudo baseado na
visão sistêmica do evento.
Os fatores e as interações
que possam oferecer riscos
ao sistema.
15. A engenharia de resiliência não é feita apenas para o
controle dos riscos.
16. O objetivo é auxiliar a organização a melhor gerir o processo
de decisão sobre os riscos que ela está submetida.
17. Detectar o deslize antes que esse
quebre um sistema aparentemente
seguro.
18. Não é todo deslize que necessariamente provoca o acidente.
Porém, alguns podem fazê-lo.
19. Pressão por escassez
recursos e competição;
de
Tecnologia incerta;
Conhecimento
incompleto
sobre os limites da resiliência da
organização.
20. Podem levar a organização para
o “Drifting into failure”.
21. Também não é fácil reconhecer que o sistema está deslizando
para uma falha, pois a estrutura de proteção inteira
(reguladores, fornecedores, gestores) desliza com ele. Pouca
atenção é dada aos riscos após aprovação do regulador.
23. Andadores para Bebês
“Em resposta, o fabricante da marca Chicco diz que já obedece à
norma europeia de segurança, e questionou a metodologia do
Inmetro”
“A Cosco diz que segue as regras americanas e não as europeias,
mas que fará as devidas mudanças.”
“A Burigotto e a Galzerano questionaram os parâmetros
adotados pelo Inmetro, mas disseram que vão seguir as normas
brasileiras assim que elas forem publicadas.”
Cafés Descafeinados com alto teor de cafeína
“Já a Coffee Berg alega que seu café descafeinado na verdade é
comprado de outro fabricante, dentro das normas, e que apenas
embala o produto para venda.”
24. Tintas
“A fabricante da Tonvinil Látex e a indústria e comércio de tintas
Ferraz Limitada alegou que a amostra analisada é de um produto
de quarta linha, conhecido como tinta popular, e, por isso, não
se enquadra às normas aplicadas nos testes do Inmetro. O
Inmetro esclarece que qualquer tinta imobiliária deve seguir as
normas, independentemente da nomenclatura usada pelo
fabricante.”
26. E as organizações medem para verificar a distância que elas ainda
estão desse limite
27. Tudo que está fora dos limites estabelecidos pode ser
extremamente relevante não estar recebendo a devida
atenção
Limites estabelecidos
pelo regulador e medidos
pela organização.
Sistema
Deslize capaz de quebrar
o sistema.
28. As pressões fazem com que as organizações abram
brechas nas suas barreiras e fiquem vulneráveis a riscos.
Limites estabelecidos
pelo regulador e medidos
pela organização.
Sistema
30. Evitar os riscos aos quais o sistema está submetido requer
que algumas vezes sejam feitos alguns sacrifícios para
mantê-lo operando (objetivos crônicos na frente dos
objetivos agudos).
31. Requer também a correta avaliação de como o nível micro
(atos, performance e deslizes dos indivíduos) pode afetar o
nível macro (sistema como um todo).
32. A engenharia de resiliência deve auxiliar a organização a
evitar os deslizes que levam à quebra do sistema.
33. Não é uma tarefa fácil, pois nem sempre é fácil detectar
onde esses deslizes ocorrem e até onde eles podem ir.
36. Existe uma distância entre o que é previsto para o
funcionamento do sistema (Normativo) e o as operações
realizadas pelos indivíduos (Funcionamento Normal)
41. Empresas gostam de ter colaboradores que tomem decisões
importantes, sejam dinâmicos, focados, etc. Estão dispostas a
premiar quando esse colaborador incorre em um risco e
acerta, porém o que elas fazem caso o risco provoque uma
catástrofe?
42. Qual será o comportamento “normal” adotado pelos
indivíduos? (Caso da Enron)
43. É por isso que um bom indicador de resiliência é justamente a
capacidade da empresa em manter discussões sobre riscos,
mesmo que tudo esteja correndo bem.
45. Nancy Leveson propôs o Modelo de
Controle Hierárquico (2002) para prover
algumas “fotos” (snapshots) de como o
sistema foi desenhado e como ele está
de fato funcionando.
46. A comparação dessas “fotos” é capaz de apresentar como
está ocorrendo a evolução do sistema. Qual o
distanciamento do normativo para o normal.
52. A crise acontece porque....
A organização deslizou
para a falha (drift to
failure) e ultrapassou suas
barreiras de resiliência
53. Sempre deve ser feito,
mantido e executado
o plano de gestão de
crises.
54. A gestão da crise permite...
• Entender o deslize que gerou a falha.
• Proteger o sistema de deslizes
semelhantes.
• Criar um novo limite de resiliência.