Gestão de Riscos

Como separar dono, aprovador e executor no PGR em 8 decisões

Separe dono, aprovador e executor no PGR em 8 decisões e evite controle sem fronteira, recusa sem alçada e escalada sem dono.

Por 9 min de leitura atualizado

Principais conclusões

  1. 01Mapeie 3 pré-requisitos antes de nomear o responsável final, porque risco sem fronteira, critério de parada e alçada vira rótulo administrativo.
  2. 02Escolha a pessoa que tem competência técnica, presença no campo e autoridade para recusar o controle fraco, em vez de subir a decisão para quem só assina no final.
  3. 03Formalize o PGR com dono, substituto, prazo de revisão e gatilho de escalada, já que a ISO 31000 trata risco como processo contínuo, não como assinatura isolada.
  4. 04Meça 5 sinais em 30 dias, incluindo tempo de resposta, revalidação em 24 horas, 7 dias e 30 dias, para separar dono nominal de dono real.
  5. 05Solicite o Diagnóstico de Cultura de Segurança da Andreza Araujo quando mais de 60% das liberações dependem da mesma pessoa e o controle continua centralizado demais.

Separar dono, aprovador e executor no PGR não é adicionar burocracia. É localizar quem pode parar, quem valida e quem executa quando a condição do campo muda. A HSE orienta que a gestão do risco comece com identificação do perigo, avaliação da exposição, controle e revisão, enquanto a ISO 31000 descreve o processo como identificar, analisar, avaliar, tratar e monitorar riscos. Quando a decisão fica difusa, o PGR vira documento, não sistema.

Como Andreza Araujo defende em Sorte ou Capacidade, risco não se assume por bravata, ele se administra com método. Em 25+ anos de EHS em multinacionais, ela viu que um controle sem dono costuma falhar no primeiro turno cansado. Este guia mostra como sair do nome simbólico e chegar à responsabilidade executável em 8 decisões.

O que é o responsável final no PGR?

O responsável final no PGR é a pessoa que tem alçada para interromper, ajustar e revalidar o controle quando a exposição muda. Em operação madura, esse responsável não é o cargo mais alto, mas o ponto onde a decisão deixa de ser abstrata e vira responsabilidade executável. A HSE descreve a gestão do risco como um processo de etapas sucessivas, e isso pressupõe 1 responsável que acompanhe o ciclo inteiro, não só a assinatura inicial.

Quando Andreza Araujo fala de risco em Sorte ou Capacidade, ela insiste em uma tese simples: risco bem gerido é calculado e mitigado com método, não com bravata. Isso vale para a frente de trabalho, para o inventário e para o PGR. Se a empresa não consegue nomear quem interrompe a tarefa, ela ainda não nomeou o responsável final. O que existe, nesse caso, é apenas uma expectativa difusa de que alguém vai perceber o problema a tempo.

Quais 3 pré-requisitos precisam existir antes de nomeá-lo?

Antes de nomear o responsável final, você precisa de 3 pré-requisitos: 1 risco descrito com precisão, 1 fronteira operacional clara e 1 critério objetivo de parada. Sem isso, o responsável vira apenas um rótulo administrativo, porque ninguém sabe exatamente o que ele responde, onde a responsabilidade começa ou quando a escalada deve acontecer. A ISO 45001 especifica que o sistema de SST precisa estruturar risco e oportunidade em processo contínuo, e não em ato isolado.

Em uma operação com 2 turnos, 3 frentes e 5 contratadas, esses pré-requisitos evitam que a mesma exposição receba nomes diferentes conforme o horário. O primeiro erro do mercado é começar pelo organograma, quando o correto é começar pelo risco. O segundo é tratar tudo como urgente e, assim, diluir a urgência real. O terceiro é nomear um dono sem entregar o poder de dizer não. Se ele não pode parar o trabalho, ele não é dono, é mensageiro.

Essa etapa conversa diretamente com o artigo sobre como revisar o inventário de riscos após mudança operacional, porque a mudança de processo quase sempre cria 1 novo dono ou revela 1 dono inexistente. Andreza Araujo observa que a cultura de conformidade engana justamente por parecer organizada quando o campo já mudou.

Como mapear o risco antes de distribuir a responsabilidade?

Mapear o risco antes de distribuir a responsabilidade significa enxergar a exposição, as barreiras e os pontos de falha antes de escolher a pessoa. A OSHA define a hierarquia de controles como eliminação, substituição, engenharia, administrativos e EPI, e a ILO publica diretrizes que ligam política, participação e melhoria contínua. Isso mostra que risco não é opinião, é estrutura.

Na prática, responda 5 perguntas antes de nomear o dono: o que pode falhar, onde a falha nasce, qual barreira impede a escalada, qual barreira mitiga o dano e quem vê primeiro a mudança de condição. Esse mapa evita que a responsabilidade seja colocada no final da cadeia, exatamente onde a pessoa tem menos alçada e mais pressão. A lógica do Bow-Tie ajuda muito aqui, por isso vale cruzar a leitura com 7 controles do Bow-Tie para revisar barreiras críticas.

A Andreza costuma insistir em um ponto que o mercado tenta suavizar: 1 risco sem barreira clara não pode ganhar dono como se estivesse pronto. Primeiro se define a fronteira técnica, depois se atribui a responsabilidade. Se inverter a ordem, a empresa coloca um nome sobre um buraco e chama isso de gestão.

Como escolher a pessoa certa para assumir o risco?

A pessoa certa é a que conhece o risco, está perto do campo e tem autoridade para parar a exposição quando algo muda. Em 25+ anos liderando EHS, Andreza Araujo observa que dono nominal sem presença vira gargalo, enquanto dono com presença vira barreira. Durante a PepsiCo LatAm, onde a taxa de acidentes caiu 86%, a decisão forte não foi multiplicar formulários, e sim reforçar quem podia recusar o controle fraco.

Escolha com 3 critérios: competência técnica, presença operacional e alçada de decisão. Se faltar 1 deles, a escolha fica frágil. Se faltarem 2, o risco fica sem dono real. Esse recorte conversa com a lógica de eliminação de risco, porque a melhor pessoa para “assumir” um risco é, muitas vezes, aquela que consegue reduzir a necessidade de assumi-lo. Por isso, vale cruzar a leitura com como 4 decisões de eliminação reduziram 86% dos acidentes.

Em operações com 3 ou mais níveis hierárquicos, o erro clássico é subir o dono para a diretoria sem levar a decisão para o chão. O resultado é previsível: o nome sobe, a exposição fica. Andreza Araujo trata isso em A Ilusão da Conformidade como a distância entre cumprir a forma e controlar o risco. A pessoa certa é a que resolve no ponto de decisão, não a que só assina no final.

Como formalizar a alçada no PGR?

Formalizar a alçada no PGR significa escrever quem decide, o que decide, em que condição decide e para quem escala quando o limite é atingido. A ISO 31000 descreve o gerenciamento de risco como integração entre contexto, análise, tratamento e monitoramento, e isso pede uma linha clara de responsabilidade. Sem essa linha, o PGR registra risco, mas não registra decisão.

Na prática, a formalização mínima precisa ter 4 campos: dono, substituto, prazo de revisão e gatilho de escalada. Em 1 frente crítica, isso vale mais do que 10 comentários soltos em e-mail. Se a operação muda por turno, chuva, parada, terceiro ou desvio, o PGR precisa refletir essa dinâmica com a mesma velocidade. A leitura se conecta com como tratar barreira degradada no PGR, porque a alçada só funciona quando a barreira está viva.

O erro comum é transformar o PGR em inventário bonito, sem dono. O controle real aparece quando a pessoa consegue apontar o que faz, em que prazo reavalia e qual é a sua autoridade para interromper. Andreza Araujo defende em Sorte ou Capacidade que não se trata de assumir riscos, e sim de administrá-los. A diferença entre as duas coisas está justamente em quem tem alçada para dizer “isso muda, então a decisão muda também”.

Como medir se o dono está funcionando?

Se o dono funciona, 5 sinais aparecem em 30 dias: tempo de resposta, número de revalidações, volume de ações vencidas, taxa de escalada e quantidade de controles confirmados em campo. A pergunta prática é simples: a decisão foi revalidada em 24 horas quando mudou o turno, em 7 dias quando mudou a frente e em 30 dias quando a operação entrou em rotina? Se a resposta é não, o dono existe no papel, mas não existe na operação.

Use 1 tabela interna com 5 colunas: exposição, responsável, prazo, evidência de campo e status. Se mais de 60% das liberações dependem da mesma pessoa, a estrutura continua centralizada demais. Se 1 risco crítico acumula ação sem fechamento por mais de 7 dias, a alçada está travada. Se o dono nunca revalida, a empresa está medindo aprovação, não gestão. Esse ponto se conecta com como destravar ações vencidas de SST, porque risco sem ação fechada é risco sem dono efetivo.

DimensãoDono nominalDono real
Presença no campo1 reunião por mês1 verificação por turno
Resposta a mudançareage em diasreage em horas
Escaladasó por e-mailpor gatilho definido
Revisão da barreiraquando alguém lembraem 24 horas, 7 dias e 30 dias
Critério de sucessodocumento aprovadoexposição reduzida

Quais 5 armadilhas sabotam essa escolha?

As 5 armadilhas mais comuns são: dono nominal sem alçada, dono remoto que só aparece por e-mail, dono múltiplo sem fronteira, dono sem indicador e dono sem direito de recusa. O sintoma mais perigoso é o controle existir no papel, mas depender de lembrança humana para sobreviver no turno. Quando isso acontece, o PGR parece organizado, mas opera como improviso com assinatura.

Essa seção é onde a maioria das empresas escorrega. A primeira armadilha é achar que a cadeia hierárquica resolve o problema. A segunda é nomear 2 ou 3 responsáveis e, com isso, diluir a decisão. A terceira é deixar o dono sem critério de parada. A quarta é não medir nada além de conformidade. A quinta é tratar a recusa como desvio disciplinar, não como proteção. Quando isso ocorre, a mesma fragilidade aparece também nos controles críticos, então vale reler barreira degradada no PGR e ações vencidas de SST.

Andreza Araujo escreve em A Ilusão da Conformidade que a verdadeira medida de um sistema aparece quando ninguém está olhando. Essa frase resume a armadilha mais cara: se ninguém está olhando e o controle cai, então não havia dono, havia apenas rotina. O artigo sobre inventário de riscos após mudança operacional ajuda a enxergar como a mudança revela esse tipo de falha.

Conclusão

O responsável final no PGR é a ponte entre diagnóstico e interrupção, não um título decorativo. A HSE trata o risco como processo contínuo, a OSHA reforça a hierarquia de controles, a ILO liga gestão e melhoria contínua, e a Fundacentro mantém materiais públicos que ajudam a ler esse problema no contexto brasileiro. Quando a empresa identifica quem decide, quem para e quem revalida, o PGR deixa de depender de sorte e passa a operar com capacidade.

Em Sorte ou Capacidade, Andreza Araujo sustenta que risco se administra com método. Em A Ilusão da Conformidade, ela mostra por que o papel não prova segurança. Juntas, as duas teses explicam o ponto central deste artigo: controle sem dono é só aparência de controle, e alçada sem campo é só aparência de gestão.

Tópicos gestao-de-riscos pgr governanca-operacional decisao-operacional papel-e-responsabilidade controle-operacional responsavel-final-no-pgr

Perguntas frequentes

Qual a diferença entre responsável final no PGR e dono do processo?

O dono do processo cuida da rotina completa; o responsável final no PGR responde pela exposição que pode causar dano grave se a condição mudar. Em muitos casos, a mesma pessoa acumula os dois papéis, mas isso não é obrigatório. O ponto principal é que o responsável final tenha alçada para interromper, reavaliar e escalar quando a barreira perder força.

Uma mesma pessoa pode ser responsável por mais de um risco crítico?

Pode, desde que exista capacidade real de acompanhar a exposição, presença no campo e tempo para revalidar as barreiras. Se a lista cresce além da capacidade de supervisão, o nome vira organograma e perde função operacional. Em operações com várias frentes, é melhor dividir por fronteira de risco do que concentrar tudo em uma pessoa só.

Como saber se o dono realmente tem alçada?

A alçada aparece quando a pessoa consegue parar a tarefa, pedir reavaliação e acionar a escalada sem depender de aprovação posterior para se proteger. Se ela precisa pedir permissão para recusar um controle fraco, a alçada é nominal. O teste prático é simples: em uma mudança de turno ou de condição, essa pessoa consegue mudar a decisão em minutos?

O PGR precisa registrar o nome do responsável final?

Precisa registrar a responsabilidade de forma inequívoca, com dono, substituto, prazo e gatilho de escalada. O nome ajuda, mas o mais importante é a rastreabilidade da decisão. Quando o PGR não mostra quem responde e quando revalida, o documento descreve risco, mas não demonstra gestão.

Por onde começar se o risco já existe há anos?

Comece pela fronteira operacional mais crítica, não pelo mapa inteiro. Nomeie 1 dono, defina 1 critério de parada e faça 1 revalidação em 24 horas, 7 dias e 30 dias. Depois, expanda para os demais riscos. Andreza Araujo defende em Sorte ou Capacidade que método pequeno e consistente vale mais do que iniciativa grande e difusa.

Sobre o autor

Andreza Araújo

Especialista em Segurança do Trabalho

Andreza Araújo atua em segurança do trabalho, cultura de segurança e comportamento seguro, com foco em liderança, prevenção e melhoria contínua. Engenheira civil e engenheira de segurança do trabalho pela Unicamp, mestre em Diplomacia Ambiental pela Universidade de Genebra.

  • Engenharia Civil — Unicamp
  • Engenharia de Segurança do Trabalho — Unicamp
  • Mestre em Diplomacia Ambiental — Universidade de Genebra

Documentários

Assista aos documentários da Andreza

Três produções sobre cultura de segurança, falhas organizacionais e as lições humanas por trás de grandes desastres.

Podcasts

Ouça os podcasts da Andreza

Ela apresenta três programas sobre liderança em segurança, EHS e cultura organizacional, em inglês e português.

Resumir com IA