Question:
Existe-t-il un moyen d'encourager efficacement la préparation, la prévention et l'atténuation des risques plutôt que l'action héroïque par la suite?
pandemicincentives
2020-03-26 10:06:53 UTC
view on stackexchange narkive permalink

C'est certes une question essentiellement hypothétique car je ne suis pas encore un manager, simplement un responsable technique, donc si vous ne voulez pas perdre de temps sur une question théorique, ceci est votre avertissement.

Qu'il s'agisse d'informatique ou de pandémies, les incitations dans la vie sont fortement orientées vers la mort de dragons plutôt que de les éloigner.

Le responsable informatique qui fait tourner le système pour toujours est oublié par la direction. Les gens se demandent pourquoi ils l'ont là car "il ne fait pas grand-chose". Le technicien informatique qui laisse le système échouer et travaille 18 heures d'affilée pour le réparer est considéré comme un héros et récompensé.

En Chine, les responsables ont pris de nombreuses mesures pour minimiser le virus et espéraient qu'il disparaîtrait de peur qu'il n'affecte leurs indicateurs de performance.

Certes, dans ma propre carrière il y a quelques années, j'ai identifié un bogue un soir dans une version et l'ai laissé échouer en production du jour au lendemain au lieu de le réparer immédiatement car je n'allais pas rester tard et n'avoir personne connaître. Nous n'avons pas de rotation sur appel car nous avons supposé que les choses n'échoueraient pas en prod. Je l'ai remarqué et je suis entré tôt pour le réparer. Le directeur du département m'a donné une prime de 2000 $ pour être venu si tôt pour régler le problème. Si j'étais resté tard pour le réparer, l'entreprise aurait économisé plusieurs milliers de dollars, mais je n'aurais rien obtenu.

La direction de mon entreprise actuelle ne pouvait pas se donner la peine de mettre sur pied un plan de travail à domicile jusqu'à la semaine dernière, lorsque la ville a ordonné paniqué de fermer les bureaux. Maintenant, nous utilisons tous nos ordinateurs portables personnels pour accéder à distance et accéder à des données sensibles, car personne n'a jamais pensé que nous devrions être préparés à cette éventualité. J'ai obtenu des points de héros pour montrer aux gens comment utiliser le bureau à distance à partir de leurs machines personnelles. Si j'avais fait cela avant la pandémie (je n'avais aucune raison de le faire, car nous ne devions pas accéder aux données médicales sur des machines personnelles), je n'aurais pas obtenu de crédit pour cela malgré potentiellement une économie de deux jours de travail.

Je suis quelqu'un qui aspire à la gestion, mais je ne peux pas penser à une structure d'incitation qui encourage la préparation plutôt que l'héroïsme de sauver la journée. J'ai moi-même un curriculum vitae rempli d'héroïques sauve la journée.

Je pourrais voir la microgestion comme une option, où vous exigez un plan d'urgence pour tout, mais cela semble très inefficace.

Comment pourrait-on récompenser la prévention du préjudice plutôt que l’atténuation du préjudice existant?

Les commentaires ne sont pas destinés à une discussion approfondie;cette conversation a été [déplacée vers le chat] (https://chat.stackexchange.com/rooms/105985/discussion-on-question-by-pandemicincentives-is-there-a-way-to-effectively-incen).
Huit réponses:
O. Jones
2020-03-26 16:31:27 UTC
view on stackexchange narkive permalink

Mon employeur a récemment obtenu notre première certification de sécurité des informations ISO-27001. Pour réussir, nous avons dû réfléchir à différents modes de défaillance et ajouter des procédures pour les contourner. Nous devions tester ces procédures.

Les modes de défaillance étaient des choses comme

  • un immeuble de bureaux devient inaccessible en raison d'un sinistre (incendie, inondation)
  • employé devient hostile et tente de faire des dégâts
  • ordinateur portable de direction volé dans une voiture
  • cybercreep s'introduit dans le centre de données de production. etc etc

Dans le désastre actuel, notre immeuble de bureaux est devenu presque inaccessible. Ainsi, notre procédure inspirée de l'ISO pour la poursuite à distance s'est avérée très utile. Je suis heureux que nous puissions le suivre sur un disque Google.

Maintenant, voici la chose. Nos clients adorent aimer aimer que nous ayons cette certification ISO. Il sera rentabilisé par une augmentation des ventes dans environ un an. Donc, même si c'est une douleur bureaucratique dans le ... cou, ça vaut le coup.

Pour répondre à votre question : Si vous voulez que les gens soient proactifs plutôt que réactifs, la conformité aux normes est un excellent outil. Vous pouvez pointer vers le standard au lieu de dire «parce que je l'ai dit». Et vous pouvez faire des héros des personnes qui y travaillent grâce à la reconnaissance publique, aux bonus, etc.

Lorsque je me disputais la conformité ISO, j'ai eu beaucoup de conversations comme celle-ci:

Employé : C'est une perte de temps et d'argent, nous n'en aurons jamais besoin.

Moi : Peut-être pas. Mais la certification ISO insiste pour que nous y travaillions.

Vice-président des ventes : Hé, nous avons besoin de ce truc ISO.

PDG : Obtenir l'ISO d'ici la fin de l'année est notre priorité.

Employé : OK, je vais y travailler.

Moi : Comment puis-je aider?

Nous l'avons fait, toutes les personnes impliquées ont reçu un bonus et nous avons organisé une fête de Noël à fêter.

C'est pourquoi certains organismes de certification ont du sens.Ils sont «sans valeur» jusqu'à ce qu'ils soient utilisés.Les protocoles d'urgence sont également techniquement sans valeur jusqu'à ce que ladite urgence se produise, alors personne ne meurt au lieu de tout le monde meurt.
Le problème avec les certifications est qu'elles ne prendront en compte que les problèmes attendus.Bien que des bureaux inutilisables et du matériel détruit en raison d'un incendie soient attendus (et, espérons-le, atténués par des sauvegardes hors site), l'envoi de toute l'entreprise au bureau à domicile pourrait ne pas l'être.Pour être honnête, il y a 2 semaines vendredi, le scénario était "peut-être qu'une personne doit travailler de chez elle pour se mettre en quarantaine", lundi, c'était toute l'entreprise qui partait complètement à distance.C'est une infrastructure totalement différente dont vous avez besoin.
@Manziel La raison d'aller au bureau à domicile peut être inattendue, mais votre registre des risques doit simplement indiquer "le bureau est fermé de façon inattendue pour une raison quelconque".Cela peut être un incendie, une inondation, un meurtre ou une invasion extraterrestre - cela n'a pas d'importance, tant que les serveurs sont toujours en cours d'exécution et que les connexions sont en place.
Mon employeur a obtenu la certification ISO-27001 il y a quelques années, et depuis lors, nous avons connu: un ouragan qui a déversé plus de 50 pouces de pluie et a paralysé la ville, rendant notre siège social inaccessible pendant des jours;une rupture dans une conduite d'eau en béton de 2,5 m qui dessert 1 million de personnes, qui a fermé la ville pendant un jour ou deux;un problème de plomberie local à notre immeuble qui a fermé le bâtiment pendant un jour et demi;et maintenant l'ordre de séjour à la maison du coronavirus.Nous avons maintenu la continuité des activités pendant tout cela parce que nous nous sommes préparés et nous nous sommes entraînés.Tout le monde utilise des ordinateurs portables et un VPN fournis par l'entreprise.
Également des évaluations des risques.Quel est le risque de fermeture du bureau?Quel est l'impact commercial s'il ferme (et vous ne vous y êtes pas préparé)?Certes, la crise actuelle est d'une ampleur et d'une durée sans précédent, mais il y a quelques semaines, on m'a demandé quelle était la probabilité de fermeture du bureau, et ma réponse était que d'après mon expérience au cours des quatre dernières années, il était arrivé cinq fois àdifférents bureaux de l'entreprise (incidents terroristes à proximité, incident industriel à proximité, tremblement de terre, perte de puissance totale).Bien sûr, la probabilité augmente à mesure que le nombre de bureaux augmente ...
Rappel: la question est de savoir comment persuader les gens d'être proactifs.Ma réponse est "voici un moyen qui a fonctionné pour moi".Désormais, dans de nombreuses entreprises, la conformité aux normes n'est que du bâton et non de la carotte: un cauchemar bureaucratique composé de martinets sans imagination.Ma réponse ne s'applique pas dans ces cas.
gnasher729
2020-03-26 13:55:08 UTC
view on stackexchange narkive permalink

C'est difficile.

Peut-être huit heures de travail à temps vous auraient fait économiser 18 heures de travail plus tard. Mais il existe de nombreux problèmes potentiels qui prendront huit heures pour être résolus à temps et peuvent coûter 18 heures plus tard. Si vous avez dix problèmes potentiels de ce type, mais qu'un seul un cause réellement des problèmes, vous avez échangé 80 heures de travail contre 18 heures supplémentaires héroïques plus tard.

Je pense que notre service informatique a reçu des commandes pour préparer tout le monde travaillant à domicile, avec la plus haute priorité, huit jours ouvrables avant la fermeture du bureau. Et les quatre derniers jours, tout le monde a transporté son ordinateur portable du travail à la maison et de retour tous les jours, afin que tout le monde puisse rester à la maison sur un appel téléphonique sans avoir à aller au travail une seule fois pour prendre des choses. Donc, dans ce cas, alors que l’ensemble de la pandémie Covid n’était pas prévisible il y a des années, le travail à domicile était prévisible il y a deux semaines.

Peut-être que ma direction est simplement mal informée, car elle n'a pas préparé de plan même lorsque les écoles ont fermé.
J'ai travaillé dans de nombreux endroits qui n'utilisent pas d'ordinateurs portables, mais plutôt des ordinateurs de bureau.Commander suffisamment d'ordinateurs portables pour toute l'entreprise, les configurer et transférer des fichiers, les déployer et amener les gens à les utiliser réellement ne fonctionnera pas pour une entreprise.La plupart des entreprises ne peuvent pas se permettre autant de dépenses à la fois, aucune entreprise n'a autant d'informatique pour gérer ce type de charge de travail, et si tout le monde commande des ordinateurs portables en même temps, la chaîne d'approvisionnement ne peut pas gérer ce type de charge.Vous devez vous préparer à cela longtemps avant que les problèmes ne surviennent, pas seulement réagir et espérer être préparé accidentellement.
@computercarguy Ce n'est pas une situation où les employés distants doivent être flexibles et mobiles.Ils peuvent ramener leurs ordinateurs de bureau à la maison et les y laisser pendant les six mois à un an à venir.
@StackOverthrow, mais vous supposez toujours que les employés ont la place pour ce genre de configuration.J'ai dû réorganiser mon propre logement pour même gérer un ordinateur portable et des accessoires.Vous oubliez également l'accès VPN, que la plupart des endroits n'ont pas la capacité de gérer ou même de configurer rapidement.Même cela prend du matériel qui n'est pas instantanément disponible pour tout le monde, et qui n'est pas exactement abordable dans les faibles marges de certaines entreprises.Vous ignorez également le stress des services informatiques en essayant d'obtenir toute cette configuration en 24-72 heures dans certains cas.Vous avez besoin de plans, pas seulement de réactions.
@computercarguy essentiellement mon entreprise.Tout le monde est maintenant sur des appareils personnels car nous avons principalement des ordinateurs de bureau.
@MatthewGaiser, à droite, et combien de problèmes cela pose-t-il à votre service informatique en matière de sécurité?Dans quelle mesure cela pose-t-il un problème avec votre service juridique de la propriété intellectuelle?À quel point la configuration de tous ces appareils différents a-t-elle posé problème pour accéder à tous les logiciels dont vous avez besoin pour votre travail, ou s'agit-il simplement d'un bureau à distance?Quelle est la lenteur de votre accès au réseau de l'entreprise?Vous n'êtes pas obligé de répondre (et ne devriez probablement pas), mais ce sont certaines des choses qui doivent être prises en compte avant une urgence.Trop de gens pensent que tout peut être fait facilement, car ils ne le savent pas tant que ce n'est pas une urgence.
@computercarguy Je n'ose pas poser ces questions ... Je sais qu'il y avait de nombreux défis.
morsor
2020-03-26 11:53:39 UTC
view on stackexchange narkive permalink

Il semble être dans la nature humaine de récompenser les héros plus que les planificateurs - donc tout changement culturel nécessite un changement assez massif.

Récompenser les héros doit cesser. À tout le moins, ne donnez pas de bonus pour éteindre un incendie que leur négligence a essentiellement causé.

Au lieu de cela, avoir des enquêtes post-mortem après chaque incident pourrait peut-être lentement changer la culture en une culture plus proactive. Après un certain temps, vous réaliserez qui sont les gens proactifs - car ce seront eux qui seront invités à plusieurs reprises aux post-mortems, d'où les héros seront absents.

Je pense que votre dernière phrase est dans le mauvais sens, c'est-à-dire que les "héros" seront ceux qui assisteront à des autopsies, à plusieurs reprises.
D'accord - certains d'entre eux se présenteront, mais ils n'ont le plus souvent rien ou très peu à contribuer, de sorte que la direction devra intervenir et laisser les adultes gérer les choses et ne pas laisser les héros faire dérailler le processus.
Je ne pense pas qu'il y ait quelque chose de mal à récompenser l'héroïsme, et des post-mortems appropriés sont importants (IME ils indiquent toujours une mauvaise évaluation des risques) mais le moyen d'éviter les problèmes est de faire une analyse des risques régulière et d'agir en conséquence.Les héros ont tendance à être exécutés par des individus, mais une bonne planification nécessite une bonne gestion.
@JoeStevens Les "héros" peuvent assister aux post-mortem en tant que * témoins *, mais ils ne seront pas (ou ne devraient pas) contrôler l'enquête dans son ensemble.Si un avion s'écrase mais qu'un «pilote héros» parvient à sauver de nombreuses vies, cela ne signifie pas que vous demandez au pilote comment résoudre le problème qui a causé l'accident.Vous demandez aux ingénieurs qui l'ont conçu à l'origine.
@alephzero, qui pourrait fonctionner dans de nombreux cas, mais il y a encore des pilotes héros comme Chesley Sullenberger, qui avait les côtelettes pour garder son avion intact lorsqu'il a atterri dans la rivière Hudson.«Sully», dans ce cas, en savait plus sur la façon de prévenir les catastrophes que les ingénieurs, car les ingénieurs n'ont pas les connaissances pratiques que le pilote avait.Certes, c'est un cas particulier, mais vous ne pouvez pas appliquer de règles en noir et blanc à tout, même à une catastrophe.Et tout comme avec "Sully", vous pourriez demander à un programmeur senior de résoudre un problème en 2 minutes et de savoir comment l'éviter à l'avenir.
Lorsque des entreprises comme Google publient des ordures remplies de bogues et mettent des années à mettre en œuvre des correctifs de cinq minutes pour les bogues critiques, il est difficile de se défendre de pointer du doigt un collègue et de qualifier leur comportement «héroïque» de négligent.C'est une industrie qui ne suit presque jamais ses propres meilleures pratiques reconnues, les gestionnaires privilégient les solutions rapides et sales aux solutions légèrement plus chères qui ont un TCO inférieur sur des échelles de temps aussi courtes que des mois, et 5% de la main-d'œuvre porte le poids mort deles 95% restants.
Solar Mike
2020-03-26 10:30:45 UTC
view on stackexchange narkive permalink

Cela s'améliore souvent en fonction de l'expérience.

A vu un cas où l'équipe informatique a demandé UPS sur 3 sites pour les serveurs en fonction de la sécurité des données - a fait un rapport montrant les conséquences, etc. La direction a répondu NON. ..

2 mois plus tard, l'un des 3 sites a été touché par la foudre ... perte de données, temps perdu lors de la reconstruction, etc.

Dans les 2 semaines, les 3 sites avaient UPS pour les serveurs ... un cas réel de fermeture de la porte de l'écurie après que le cheval s'est verrouillé.

Ou «c'est un risque si minime que cela n'arrivera jamais», c'est pourquoi de nombreuses entreprises n'ont pas payé le risque de pandémie assurance ...

Il s'agissait de fermer trois portes d'étable après qu'un cheval se soit verrouillé, donc ça aurait pu être pire.
nexus_2006
2020-03-26 21:00:33 UTC
view on stackexchange narkive permalink

Faites des recherches sur les industries critiques pour la sécurité comme l'aviation. Planifier à l'avance et atténuer les menaces est très récompensé, et les héros peuvent avoir des ennuis (jusqu'à être renvoyés ou perdre leur certification) pour ne pas avoir réussi à anticiper les problèmes ou à suivre les procédures - même s'ils "sauvent la mise". C'est une culture acquise que j'ai trouvée très différente de celle de nombreuses autres industries.

Les principales caractéristiques de cette culture sont des lignes de communication ouvertes entre les niveaux de la hiérarchie, une culture de conformité avec les procédures, mais aussi le don d'expérience les membres de l'équipe suffisamment de liberté pour prendre des décisions sans interférence de la haute direction. L'outil le plus important est un briefing avant et après chaque événement (appelez cela une réunion d'équipe si vous le souhaitez). Le compte rendu, en particulier, se concentre sur 1) ce qui a été bien fait, 2) ce qui a été mal fait, 3) comment y remédier à l'avenir. Pour que cela fonctionne, vous avez besoin de professionnels matures qui peuvent signaler les problèmes, même les leurs, et qui peuvent donner et accepter les critiques sans les prendre personnellement. Vous avez besoin de dirigeants qui peuvent accepter les critiques aussi bien qu’elles les donnent. Une culture qui consiste à la fois à ne pas attribuer de blâme (y compris à ne pas donner de punition punitive sauf pour des erreurs flagrantes / imprudentes) et à accepter la responsabilité du résultat en équipe est essentielle pour que cela fonctionne.

L'éducation joue un grand rôle dans ces cultures.La plupart des cultures (et sous-cultures) sont trop près du précipice pour avoir le temps d'être éduquées pour rester à l'écart du précipice ... Et la communication a besoin de communauté, plutôt que d'individualisme.
Torben
2020-03-26 21:37:21 UTC
view on stackexchange narkive permalink

Je propose une solution monétaire. Il existe un projet en Allemagne pour payer le médecin pour sa santé. Les gens souscrivent à un médecin et l'assurance le paie pour chaque personne en bonne santé. Si une personne tombe malade, le paiement est réduit. L'intention est de réparer la santé des gens à long terme, au lieu d'inciter le médecin à améliorer sa santé à court terme, de sorte que les gens doivent revenir pour un autre traitement.

Pour être honnête , Je n'ai aucune expérience de la mise en œuvre de cela. Mon idée est de payer un bonus pour la maintenance informatique qui est réduit pour les erreurs de production ou les temps d'arrêt. Cela devrait inciter l'équipe de maintenance à disposer de systèmes hautement disponibles, à tirer des leçons des erreurs et à mettre en œuvre des mesures de prévention.

Les incitations sont presque toujours perverses.Il ne peut jamais y avoir d '«équité» complète parce que les symptômes et la cause ne sont pas parfaitement alignés.Il est toujours possible de jouer avec un tel système.La mort a une manière de rendre les systèmes non linéaires.
-1
Mais que faites-vous des personnes qui essaient de choisir des patients déjà en bonne santé?
@MatthewGaiser peut-être que vous les appelez des avocats.Les médecins ne s'entraînent pas à traiter les problèmes des personnes en bonne santé.
Robin Bennett
2020-03-26 21:02:36 UTC
view on stackexchange narkive permalink

Je pense que vous confondez le travail des travailleurs individuels et le travail de la direction. Les travailleurs trouvent ou corrigent les bogues, tandis que les responsables créent des processus et des plans pour s'assurer que les bogues sont détectés et corrigés. Certes, cela peut devenir flou lorsque vous êtes un développeur senior traitant avec des cadres non techniques, ou un informaticien en solo qui est toujours considéré comme un simple concierge électronique mais qui est en fait vital pour l'entreprise.

La direction décider de l'équilibre entre le risque et la récompense. Ils décident de tenir des réunions d’évaluation des risques, des risques à atténuer et de quelle manière.

Il est normal que la direction récompense les employés pour leurs actes héroïques qui les sauvent d’une mauvaise planification de la gestion, car cela ne cache pas le fait que le gestionnaire n'a pas planifié correctement. Les gestionnaires sont récompensés lorsque leur service fonctionne correctement et atteint leurs objectifs.

La distinction travailleur-direction n'aide pas non plus si elle finit par être utilisée pour renforcer la mauvaise gestion (implicite) (cercle visqueux vs cercle vertueux).
Les managers sont coincés dans ce problème comme tout le monde.Le manager qui empêche complètement une catastrophe n'est pas récompensé comme le manager dont l'équipe corrige la catastrophe.Ce problème est beaucoup plus profond qu'une simple bonne planification, il touche à des choses vraiment basiques sur la psychologie humaine.
o.m.
2020-03-26 22:56:32 UTC
view on stackexchange narkive permalink

Offrez aux managers et aux employés une incitation (financière) basée sur la disponibilité du système. Peut-être un bonus ou des perspectives de promotion. À un niveau inférieur, faites connaître la disponibilité de vos systèmes en interne.

Lors des réunions hebdomadaires ou mensuelles, mentionnez les équipes ou les systèmes sans interruption depuis la dernière réunion.

Ou célébrez chaque fois qu'un système atteint un an sans temps d'arrêt imprévus , et avec tous les temps d'arrêt planifiés se terminant en douceur. (Cela ne servirait pas à encourager la maintenance différée.)

Loi de Goodhart: une fois que vous faites de la disponibilité une cible, elle cesse d'être une bonne métrique.Les gens sont phénoménaux dans les paramètres de jeu.De plus, vous avez découragé de prendre des risques et de faire des innovations, car cela pourrait entraîner des temps d'arrêt.


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 4.0 sous laquelle il est distribué.
Loading...