Como separar dono, aprovador e executor no PGR em 8 decisões
Separe dono, aprovador e executor no PGR em 8 decisões e evite controle sem fronteira, recusa sem alçada e escalada sem dono.
Principais conclusões
- 01Mapeie 3 pré-requisitos antes de nomear o responsável final, porque risco sem fronteira, critério de parada e alçada vira rótulo administrativo.
- 02Escolha a pessoa que tem competência técnica, presença no campo e autoridade para recusar o controle fraco, em vez de subir a decisão para quem só assina no final.
- 03Formalize o PGR com dono, substituto, prazo de revisão e gatilho de escalada, já que a ISO 31000 trata risco como processo contínuo, não como assinatura isolada.
- 04Meça 5 sinais em 30 dias, incluindo tempo de resposta, revalidação em 24 horas, 7 dias e 30 dias, para separar dono nominal de dono real.
- 05Solicite o Diagnóstico de Cultura de Segurança da Andreza Araujo quando mais de 60% das liberações dependem da mesma pessoa e o controle continua centralizado demais.
Separar dono, aprovador e executor no PGR não é adicionar burocracia. É localizar quem pode parar, quem valida e quem executa quando a condição do campo muda. A HSE orienta que a gestão do risco comece com identificação do perigo, avaliação da exposição, controle e revisão, enquanto a ISO 31000 descreve o processo como identificar, analisar, avaliar, tratar e monitorar riscos. Quando a decisão fica difusa, o PGR vira documento, não sistema.
Como Andreza Araujo defende em Sorte ou Capacidade, risco não se assume por bravata, ele se administra com método. Em 25+ anos de EHS em multinacionais, ela viu que um controle sem dono costuma falhar no primeiro turno cansado. Este guia mostra como sair do nome simbólico e chegar à responsabilidade executável em 8 decisões.
O que é o responsável final no PGR?
O responsável final no PGR é a pessoa que tem alçada para interromper, ajustar e revalidar o controle quando a exposição muda. Em operação madura, esse responsável não é o cargo mais alto, mas o ponto onde a decisão deixa de ser abstrata e vira responsabilidade executável. A HSE descreve a gestão do risco como um processo de etapas sucessivas, e isso pressupõe 1 responsável que acompanhe o ciclo inteiro, não só a assinatura inicial.
Quando Andreza Araujo fala de risco em Sorte ou Capacidade, ela insiste em uma tese simples: risco bem gerido é calculado e mitigado com método, não com bravata. Isso vale para a frente de trabalho, para o inventário e para o PGR. Se a empresa não consegue nomear quem interrompe a tarefa, ela ainda não nomeou o responsável final. O que existe, nesse caso, é apenas uma expectativa difusa de que alguém vai perceber o problema a tempo.
Quais 3 pré-requisitos precisam existir antes de nomeá-lo?
Antes de nomear o responsável final, você precisa de 3 pré-requisitos: 1 risco descrito com precisão, 1 fronteira operacional clara e 1 critério objetivo de parada. Sem isso, o responsável vira apenas um rótulo administrativo, porque ninguém sabe exatamente o que ele responde, onde a responsabilidade começa ou quando a escalada deve acontecer. A ISO 45001 especifica que o sistema de SST precisa estruturar risco e oportunidade em processo contínuo, e não em ato isolado.
Em uma operação com 2 turnos, 3 frentes e 5 contratadas, esses pré-requisitos evitam que a mesma exposição receba nomes diferentes conforme o horário. O primeiro erro do mercado é começar pelo organograma, quando o correto é começar pelo risco. O segundo é tratar tudo como urgente e, assim, diluir a urgência real. O terceiro é nomear um dono sem entregar o poder de dizer não. Se ele não pode parar o trabalho, ele não é dono, é mensageiro.
Essa etapa conversa diretamente com o artigo sobre como revisar o inventário de riscos após mudança operacional, porque a mudança de processo quase sempre cria 1 novo dono ou revela 1 dono inexistente. Andreza Araujo observa que a cultura de conformidade engana justamente por parecer organizada quando o campo já mudou.
Como mapear o risco antes de distribuir a responsabilidade?
Mapear o risco antes de distribuir a responsabilidade significa enxergar a exposição, as barreiras e os pontos de falha antes de escolher a pessoa. A OSHA define a hierarquia de controles como eliminação, substituição, engenharia, administrativos e EPI, e a ILO publica diretrizes que ligam política, participação e melhoria contínua. Isso mostra que risco não é opinião, é estrutura.
Na prática, responda 5 perguntas antes de nomear o dono: o que pode falhar, onde a falha nasce, qual barreira impede a escalada, qual barreira mitiga o dano e quem vê primeiro a mudança de condição. Esse mapa evita que a responsabilidade seja colocada no final da cadeia, exatamente onde a pessoa tem menos alçada e mais pressão. A lógica do Bow-Tie ajuda muito aqui, por isso vale cruzar a leitura com 7 controles do Bow-Tie para revisar barreiras críticas.
A Andreza costuma insistir em um ponto que o mercado tenta suavizar: 1 risco sem barreira clara não pode ganhar dono como se estivesse pronto. Primeiro se define a fronteira técnica, depois se atribui a responsabilidade. Se inverter a ordem, a empresa coloca um nome sobre um buraco e chama isso de gestão.
Como escolher a pessoa certa para assumir o risco?
A pessoa certa é a que conhece o risco, está perto do campo e tem autoridade para parar a exposição quando algo muda. Em 25+ anos liderando EHS, Andreza Araujo observa que dono nominal sem presença vira gargalo, enquanto dono com presença vira barreira. Durante a PepsiCo LatAm, onde a taxa de acidentes caiu 86%, a decisão forte não foi multiplicar formulários, e sim reforçar quem podia recusar o controle fraco.
Escolha com 3 critérios: competência técnica, presença operacional e alçada de decisão. Se faltar 1 deles, a escolha fica frágil. Se faltarem 2, o risco fica sem dono real. Esse recorte conversa com a lógica de eliminação de risco, porque a melhor pessoa para “assumir” um risco é, muitas vezes, aquela que consegue reduzir a necessidade de assumi-lo. Por isso, vale cruzar a leitura com como 4 decisões de eliminação reduziram 86% dos acidentes.
Em operações com 3 ou mais níveis hierárquicos, o erro clássico é subir o dono para a diretoria sem levar a decisão para o chão. O resultado é previsível: o nome sobe, a exposição fica. Andreza Araujo trata isso em A Ilusão da Conformidade como a distância entre cumprir a forma e controlar o risco. A pessoa certa é a que resolve no ponto de decisão, não a que só assina no final.
Como formalizar a alçada no PGR?
Formalizar a alçada no PGR significa escrever quem decide, o que decide, em que condição decide e para quem escala quando o limite é atingido. A ISO 31000 descreve o gerenciamento de risco como integração entre contexto, análise, tratamento e monitoramento, e isso pede uma linha clara de responsabilidade. Sem essa linha, o PGR registra risco, mas não registra decisão.
Na prática, a formalização mínima precisa ter 4 campos: dono, substituto, prazo de revisão e gatilho de escalada. Em 1 frente crítica, isso vale mais do que 10 comentários soltos em e-mail. Se a operação muda por turno, chuva, parada, terceiro ou desvio, o PGR precisa refletir essa dinâmica com a mesma velocidade. A leitura se conecta com como tratar barreira degradada no PGR, porque a alçada só funciona quando a barreira está viva.
O erro comum é transformar o PGR em inventário bonito, sem dono. O controle real aparece quando a pessoa consegue apontar o que faz, em que prazo reavalia e qual é a sua autoridade para interromper. Andreza Araujo defende em Sorte ou Capacidade que não se trata de assumir riscos, e sim de administrá-los. A diferença entre as duas coisas está justamente em quem tem alçada para dizer “isso muda, então a decisão muda também”.
Como medir se o dono está funcionando?
Se o dono funciona, 5 sinais aparecem em 30 dias: tempo de resposta, número de revalidações, volume de ações vencidas, taxa de escalada e quantidade de controles confirmados em campo. A pergunta prática é simples: a decisão foi revalidada em 24 horas quando mudou o turno, em 7 dias quando mudou a frente e em 30 dias quando a operação entrou em rotina? Se a resposta é não, o dono existe no papel, mas não existe na operação.
Use 1 tabela interna com 5 colunas: exposição, responsável, prazo, evidência de campo e status. Se mais de 60% das liberações dependem da mesma pessoa, a estrutura continua centralizada demais. Se 1 risco crítico acumula ação sem fechamento por mais de 7 dias, a alçada está travada. Se o dono nunca revalida, a empresa está medindo aprovação, não gestão. Esse ponto se conecta com como destravar ações vencidas de SST, porque risco sem ação fechada é risco sem dono efetivo.
| Dimensão | Dono nominal | Dono real |
|---|---|---|
| Presença no campo | 1 reunião por mês | 1 verificação por turno |
| Resposta a mudança | reage em dias | reage em horas |
| Escalada | só por e-mail | por gatilho definido |
| Revisão da barreira | quando alguém lembra | em 24 horas, 7 dias e 30 dias |
| Critério de sucesso | documento aprovado | exposição reduzida |
Quais 5 armadilhas sabotam essa escolha?
As 5 armadilhas mais comuns são: dono nominal sem alçada, dono remoto que só aparece por e-mail, dono múltiplo sem fronteira, dono sem indicador e dono sem direito de recusa. O sintoma mais perigoso é o controle existir no papel, mas depender de lembrança humana para sobreviver no turno. Quando isso acontece, o PGR parece organizado, mas opera como improviso com assinatura.
Essa seção é onde a maioria das empresas escorrega. A primeira armadilha é achar que a cadeia hierárquica resolve o problema. A segunda é nomear 2 ou 3 responsáveis e, com isso, diluir a decisão. A terceira é deixar o dono sem critério de parada. A quarta é não medir nada além de conformidade. A quinta é tratar a recusa como desvio disciplinar, não como proteção. Quando isso ocorre, a mesma fragilidade aparece também nos controles críticos, então vale reler barreira degradada no PGR e ações vencidas de SST.
Andreza Araujo escreve em A Ilusão da Conformidade que a verdadeira medida de um sistema aparece quando ninguém está olhando. Essa frase resume a armadilha mais cara: se ninguém está olhando e o controle cai, então não havia dono, havia apenas rotina. O artigo sobre inventário de riscos após mudança operacional ajuda a enxergar como a mudança revela esse tipo de falha.
Conclusão
O responsável final no PGR é a ponte entre diagnóstico e interrupção, não um título decorativo. A HSE trata o risco como processo contínuo, a OSHA reforça a hierarquia de controles, a ILO liga gestão e melhoria contínua, e a Fundacentro mantém materiais públicos que ajudam a ler esse problema no contexto brasileiro. Quando a empresa identifica quem decide, quem para e quem revalida, o PGR deixa de depender de sorte e passa a operar com capacidade.
Em Sorte ou Capacidade, Andreza Araujo sustenta que risco se administra com método. Em A Ilusão da Conformidade, ela mostra por que o papel não prova segurança. Juntas, as duas teses explicam o ponto central deste artigo: controle sem dono é só aparência de controle, e alçada sem campo é só aparência de gestão.
Perguntas frequentes
Qual a diferença entre responsável final no PGR e dono do processo?
Uma mesma pessoa pode ser responsável por mais de um risco crítico?
Como saber se o dono realmente tem alçada?
O PGR precisa registrar o nome do responsável final?
Por onde começar se o risco já existe há anos?
Sobre o autor
Documentários
Assista aos documentários da Andreza
Três produções sobre cultura de segurança, falhas organizacionais e as lições humanas por trás de grandes desastres.
Podcasts
Ouça os podcasts da Andreza
Ela apresenta três programas sobre liderança em segurança, EHS e cultura organizacional, em inglês e português.