BMJ . 2000 18 de maro; 320 (7237): 768-770.

PMCID: PMC1117770

Erro humano: modelos e gerenciamento

James Reason , professor de psicologia
Departamento de Psicologia, Universidade de Manchester, Manchester M13 9PL
reason@psy.man.ac.uk

Copyright 2000, British Medical Journal

Este artigo foi citado por outros artigos no PMC.

O problema de erro humano pode ser visto de duas maneiras: a abordagem da pessoa e a abordagem do
sistema. Cada um tem seu modelo de causalidade de erro e cada modelo d origem a filosofias bastante
diferentes de gerenciamento de erros. Compreender essas diferenas tem implicaes prticas
importantes para lidar com o risco sempre presente de percalos na prtica clnica.

Pontos resumidos

Existem duas abordagens para o problema da falibilidade humana: a pessoa e o sistema se

aproximam
A abordagem da pessoa se concentra nos erros dos indivduos, culpando-os pelo
esquecimento, falta de ateno ou fraqueza moral
A abordagem do sistema concentra-se nas condies em que os indivduos trabalham e tenta
construir defesas para evitar erros ou mitigar seus efeitos
As organizaes de alta confiabilidade - que tm menos do que a justa parcela de acidentes -
reconhecem que a variabilidade humana uma fora para aproveitar a erradicao de erros,
mas eles trabalham arduamente para concentrar essa variabilidade e esto constantemente
preocupados com a possibilidade de falha

Abordagem pessoal Vamos para:

A longa e extensa tradio da abordagem da pessoa se concentra nos atos inseguros - erros e violaes
processuais - das pessoas na ponta: enfermeiros, mdicos, cirurgies, anestesistas, farmacuticos e
outros. Ele v esses atos inseguros como decorrentes principalmente de processos mentais aberrantes,
como esquecimento, falta de ateno, m motivao, descuido, negligncia e imprudncia.
Naturalmente, as contramedidas associadas so direcionadas principalmente para reduzir a
variabilidade indesejada no comportamento humano. Esses mtodos incluem campanhas publicitrias
que apelam para o sentimento de medo das pessoas, escrevendo outro procedimento (ou adicionado a
existentes), medidas disciplinares, ameaa de litgio, reciclagem, nomeao, culpa e vergonha. Os
seguidores dessa abordagem tendem a tratar os erros como questes morais,1

Abordagem sistmica Vamos para:

A premissa bsica na abordagem do sistema que os seres humanos so falveis e erros so esperados,
mesmo nas melhores organizaes. Os erros so vistos como consequncias em vez de causas, tendo
suas origens no tanto na perversidade da natureza humana como nos fatores sistmicos "a montante".
Estes incluem armadilhas de erros recorrentes no local de trabalho e os processos organizacionais que
os originam. As contramedidas baseiam-se na suposio de que, embora no possamos mudar a
condio humana, podemos alterar as condies em que os humanos trabalham. Uma ideia central a
das defesas do sistema. Todas as tecnologias perigosas possuem barreiras e salvaguardas. Quando
ocorre um evento adverso, a questo importante no quem erroneou, mas como e por que as defesas
falharam.

Avaliando a abordagem da pessoa Vamos para:

A abordagem da pessoa continua a ser a tradio dominante na medicina, como em outros lugares. De
algumas perspectivas, ele tem muito a recomendar. Culpar indivduos emocionalmente mais
satisfatrio do que direcionar as instituies. As pessoas so vistas como agentes livres capazes de
escolher entre modos de comportamento seguros e inseguros. Se algo der errado, parece bvio que um
indivduo (ou grupo de indivduos) deve ter sido responsvel. Procurar o mximo possvel para
desvincular os atos inseguros de uma pessoa de qualquer responsabilidade institucional claramente no
interesse dos gerentes. Tambm legalmente mais conveniente, pelo menos na Gr-Bretanha.

No entanto, a abordagem da pessoa tem graves deficincias e apropriada para o domnio mdico. De
fato, a adeso contnua a essa abordagem provavelmente ir impedir o desenvolvimento de instituies
de sade mais seguras.

Embora alguns atos inseguros em qualquer esfera sejam atrozes, a grande maioria no . Na
manuteno da aviao - uma atividade prtica semelhante prtica mdica em muitos aspectos - cerca
de 90% dos lapsos de qualidade foram julgados irrepreensveis. 2 A gesto eficaz do risco depende
fundamentalmente do estabelecimento de uma cultura de relatrio. 3 Sem uma anlise detalhada de
percalos, incidentes, perdas prximas e "lies gratuitas", no temos como descobrir armadilhas de
erro recorrentes ou saber onde a "borda" at cair sobre ela. A completa ausncia de tal cultura de
divulgao dentro da Unio Sovitica contribuiu de forma crucial para o desastre de Chernobyl. 4A
confiana um elemento-chave de uma cultura relatadora e, por sua vez, requer a existncia de uma
cultura justa - uma que possua uma compreenso coletiva de onde a linha deve ser estabelecida entre
aes irrepreensveis e culpadas. 5 Engenharia de uma cultura justa um passo inicial essencial na
criao de uma cultura segura.

Outra fraqueza sria da abordagem da pessoa que, ao se concentrar nas origens individuais do erro,
isola os atos inseguros do contexto do sistema. Como resultado, duas caractersticas importantes do
erro humano tendem a ser ignoradas. Em primeiro lugar, muitas vezes so as melhores pessoas que
cometem os piores erros: o erro no o monoplio de alguns poucos infelizes. Em segundo lugar,
longe de ser aleatrio, os acidentes tendem a cair em padres recorrentes. O mesmo conjunto de
circunstncias pode provocar erros semelhantes, independentemente das pessoas envolvidas. A busca
de maior segurana seriamente impedida por uma abordagem que no procura e remove as
propriedades provocadoras de erros dentro do sistema em geral.

O modelo de queijo suo de acidentes do sistema Vamos para:

Defesas, barreiras e salvaguardas ocupam uma posio-chave na abordagem do sistema. Os sistemas de

alta tecnologia tm muitas camadas defensivas: alguns so projetados (alarmes, barreiras fsicas,
paradas automticas, etc.), outros dependem de pessoas (cirurgies, anestesistas, pilotos, operadores de
salas de controle, etc.), e outros dependem de procedimentos e controles administrativos . A sua funo
proteger as vtimas e os bens potenciais dos riscos locais. Principalmente eles fazem isso de forma
muito eficaz, mas sempre h fraquezas.

Em um mundo ideal, cada camada defensiva ficaria intacta. Na realidade, no entanto, eles so mais
como fatias de queijo suio, tendo muitos buracos - embora, ao contrrio do queijo, esses buracos esto
continuamente abrindo, fechando e deslocando sua localizao. A presena de furos em qualquer
"fatia" normalmente no causa um mau resultado. Geralmente, isso s pode acontecer quando os
buracos em muitas camadas se alinham momentaneamente para permitir uma trajetria de
oportunidade de acidentes, trazendo riscos em contato prejudicial com as vtimas (figura).

Os obstculos nas defesas surgem por dois motivos: falhas ativas e condies latentes. Quase todos os
eventos adversos envolvem uma combinao destes dois conjuntos de fatores.
Falhas ativas so os atos inseguros cometidos por pessoas que esto em contato direto com o paciente
ou sistema. Eles tomam uma variedade de formas: slips, lapses, fumbles, erros e violaes processuais.
6
As falhas ativas tm um impacto direto e geralmente curto na integridade das defesas. Em Chernobyl,
por exemplo, os operadores violaram erroneamente os procedimentos da planta e desligaram sistemas
de segurana sucessivos, criando assim o gatilho imediato para a exploso catastrfica no ncleo. Os
seguidores da abordagem da pessoa muitas vezes no buscam mais as causas de um evento adverso,
uma vez que identificaram esses atos proximais inseguros. Mas, como discutido abaixo, praticamente
todos esses atos tm uma histria causal que se estende de volta no tempo e no alto atravs dos nveis
do sistema.

Condies latentes so os inevitveis "agentes patognicos residentes" dentro do sistema. Eles surgem
de decises feitas por designers, construtores, escritores de procedimentos e gerenciamento de nvel
superior. Tais decises podem estar erradas, mas no precisam ser. Todas essas decises estratgicas
tm potencial para a introduo de agentes patognicos no sistema. As condies latentes tm dois
tipos de efeitos adversos: podem se traduzirem em condies de provocao de erro no local de
trabalho local (por exemplo, presso de tempo, falta de pessoal, equipamento inadequado, fadiga e
inexperincia) e podem criar buracos ou fraquezas longas nas defesas (no confiveis alarmes e
indicadores, procedimentos impraticveis, deficincias de projeto e construo, etc.). As condies
latentes - como o termo sugere - podem ficar dormentes no sistema por muitos anos antes de se
combinarem com falhas ativas e gatilhos locais para criar uma oportunidade de acidente. Ao contrrio
das falhas ativas, cujas formas especficas muitas vezes so difceis de prever, condies latentes
podem ser identificadas e corrigidas antes de ocorrer um evento adverso. Compreender isso leva a um
gerenciamento de riscos pr-ativo e no reativo.

No podemos mudar a condio humana, mas podemos mudar as condies em que os humanos
trabalham

Para usar outra analogia: falhas ativas so como mosquitos. Eles podem ser golpeados um a um, mas
eles ainda continuam chegando. Os melhores remdios so criar defesas mais eficazes e drenar os
pntanos nas quais eles se reproduzem. Os pntanos, neste caso, so as condies latentes sempre
presentes.

Gerenciamento de erros Vamos para:

Ao longo da ltima dcada, os pesquisadores em fatores humanos tm se preocupado cada vez mais
com o desenvolvimento das ferramentas para a gesto de atos inseguros. O gerenciamento de erros tem
dois componentes: limitar a incidncia de erros perigosos e - j que isso nunca ser totalmente efetivo -
criando sistemas que so mais capazes de tolerar a ocorrncia de erros e conter seus efeitos nocivos.
Enquanto os seguidores da pessoa abordam a maioria dos recursos de gerenciamento na tentativa de
tornar os indivduos menos falveis ou rebeldes, os adeptos da abordagem do sistema se esforam para
um programa abrangente de gerenciamento voltado para vrios objetivos diferentes: a pessoa, a equipe,
a tarefa, o local de trabalho , e a instituio como um todo. 3

Organizaes de alta confiabilidade - sistemas que operam em condies perigosas que tm menos do
que sua parcela justa de eventos adversos - oferecem modelos importantes para o que constitui um
sistema resiliente. Esse sistema possui "segurana intrnseca"; capaz de resistir a seus perigos
operacionais e ainda assim atingir seus objetivos.

Alguns paradoxos de alta confiabilidade Vamos para:

Assim como o medicamento entende mais sobre a doena do que a sade, as cincias da segurana
sabem mais sobre o que causa eventos adversos do que sobre como eles podem ser melhor evitados. Ao
longo dos ltimos 15 anos, um grupo de cientistas sociais, com base principalmente em Berkeley e na
Universidade de Michigan, procurou corrigir esse desequilbrio ao estudar os sucessos de segurana em
organizaes, em vez de fracassos infreqentes, porm mais visveis. 7 , 8 Estas histrias de sucesso
envolvem porta-avies nucleares, sistemas de controle de trfego areo e usinas nucleares (caixa).
Embora organizaes de alta confiabilidade possam parecer distantes da prtica clnica, algumas de
suas caractersticas culturais definidoras podem ser importadas para o domnio mdico.

A maioria dos gerentes de sistemas tradicionais atribui a falta de confiana humana variabilidade
indesejada e se esfora para elimin-la na medida do possvel. Em organizaes de alta confiabilidade,
por outro lado, reconhecido que a variabilidade humana na forma de compensaes e adaptaes a
eventos em mudana representa uma das salvaguardas mais importantes do sistema. A confiabilidade
"um no-evento dinmico" .7 dinmico porque a segurana preservada por ajustes humanos
atempados; um no evento porque os resultados bem-sucedidos raramente chamam a ateno para si
mesmos.

Organizaes de alta confiabilidade podem reconfigurar-se para atender s circunstncias locais. Em

seu modo de rotina, eles so controlados de maneira hierrquica convencional. Mas em situaes de
alto tempo ou de emergncia, o controle muda para os especialistas no local - como acontece
frequentemente no domnio mdico. A organizao retorna perfeitamente ao modo de controle rotineiro
uma vez que a crise passou. Paradoxalmente, essa flexibilidade decorre, em parte, de uma tradio
militar - mesmo as organizaes civis de alta confiabilidade possuem uma grande proporo de ex-
militares. As organizaes militares tendem a definir seus objetivos de forma inequvoca e, para que
essas exploses de atividade semiautnica sejam bem sucedidas, essencial que todos os participantes
compreendam e compartilhem essas aspiraes claramente.8

Culpar indivduos emocionalmente mais satisfatrio do que direcionar as instituies.

Talvez a caracterstica distintiva mais importante das organizaes de alta confiabilidade seja a sua
preocupao coletiva com a possibilidade de falha. Eles esperam cometer erros e capacitar sua fora de
trabalho para reconhec-los e recuper-los. Eles ensaiam continuamente cenrios familiares de fracasso
e se esforam para imaginar novelas. Em vez de isolar falhas, elas as generalizam. Em vez de fazer
reparos locais, eles procuram reformas do sistema.

Organizaes de alta confiabilidade

At agora, trs tipos de organizaes de alta confiabilidade foram investigados: porta-avies
nucleares da Marinha dos EUA, usinas de energia nuclear e centros de controle de trfego areo. Os
desafios que enfrentam essas organizaes so duplos:

Gerenciando tecnologias complexas e exigentes, de modo a evitar grandes falhas que possam
prejudicar ou mesmo destruir a organizao em questo
Manter a capacidade de encontrar perodos de demanda de pico muito alta, sempre que isso
ocorra.

As organizaes estudadas 7 , 8 tiveram essas caractersticas definidoras:

Eles eram complexos, internamente dinmicos e, intermitentemente, intensamente interativos

Eles realizaram tarefas precisas sob presso de tempo considervel
Eles realizaram essas atividades exigentes com baixas taxas de incidentes e uma quase total
ausncia de falhas catastrficas ao longo de vrios anos.

Embora, em face disso, essas organizaes esto muito distantes do domnio mdico, elas
compartilham caractersticas importantes com as instituies de sade. As lies a serem
aprendidas com essas organizaes so claramente relevantes para aqueles que gerenciam e operam
instituies de sade.
 MARINHA DOS ESTADOS UNIDOS

Concluses Vamos para:

Organizaes de alta confiabilidade so os principais exemplos da abordagem do sistema. Eles

anteciparam o pior e se equiparam para lidar com isso em todos os nveis da organizao. difcil,
mesmo no natural, que os indivduos permaneam cronicamente desconfortveis, de modo que sua
cultura organizacional assume um significado profundo. Os indivduos podem esquecer de ter medo,
mas a cultura de uma organizao de alta confiabilidade fornece-lhes as lembretes e as ferramentas
para ajud-los a lembrar. Para essas organizaes, a busca da segurana no tanto sobre a preveno
de falhas isoladas, humanas ou tcnicas, quanto a tornar o sistema to robusto quanto possvel em face
de seus riscos humanos e operacionais. As organizaes de alta confiabilidade no so imunes a
eventos adversos,

Figura
O modelo de queijo suo de como as defesas, barreiras e
salvaguardas podem ser penetradas por uma trajetria de acidentes

Notas de rodap Vamos para:

Interesses concorrentes: Nenhum declarado.

Referncias Vamos para:

1. Lerner MJ. O desejo de justia e reaes s vtimas. Em: McCauley J, Berkowitz L, editores.
Altrusmo e comportamento de ajuda. Nova York: Academic Press; 1970.

2. Marx D. Disciplina: o papel das violaes das regras. Efeitos no solo. 1997; 2 : 1-4.

3. Justificao J. Gesto dos riscos de acidentes organizacionais. Aldershot: Ashgate; 1997.

4. Medvedev G. A verdade sobre Chernobyl. Nova York: livros bsicos; 1991.

5. Marx D. Manuteno do erro de manuteno. Washington, DC: Autoridade Federal de Aviao

Office of Aviation Medicine; 1999.

6. Razo J. Erro humano. Nova York: Cambridge University Press; 1990.

7. Wey KE. Cultura organizacional como fonte de alta confiabilidade. Calif Management Rev. 1987; 29
: 112-127.
8. Weick KE, Sutcliffe KM, Obstfeld D. Organizao de alta confiabilidade: processos de ateno
coletiva. Res Organizational Behav. 1999; 21 : 23-81.

Os artigos do BMJ so fornecidos aqui cortesia do BMJ Publishing Group