Dono do risco crítico: 8 decisões que não cabem no SESMT
O dono do risco crítico é o líder operacional que decide orçamento, prioridade, parada e correção antes que a barreira falhe e o SIF apareça.
Principais conclusões
- 01Nomeie um dono para cada risco crítico, porque SIF não pode depender apenas de recomendação técnica do SESMT sem poder operacional.
- 02Separe dono do risco, dono da barreira e executor da tarefa para evitar que uma única pessoa assuma decisão, verificação e execução.
- 03Use indicadores leading por barreira, incluindo testes vencidos, recusas aceitas, controles temporários e quase-acidentes com alto potencial.
- 04Escalone risco crítico em até 24 horas quando a barreira estiver ausente, fraca, vencida ou dependente de improviso operacional.
- 05Conecte o roteiro ao Diagnóstico de Cultura de Segurança da Andreza Araujo para medir se a liderança realmente sustenta a decisão segura.
Dono do risco crítico é a liderança que tem autoridade real para decidir sobre exposição com potencial de SIF: parar, financiar, corrigir, priorizar e cobrar a barreira antes que ela falhe. O papel não é título novo para o organograma. É a resposta prática para uma pergunta incômoda: quem decide quando o risco é grave demais para esperar a próxima reunião?
Este artigo F6 foi escrito para gerentes de planta, coordenadores de SSMA, supervisores e diretores industriais que ainda deixam risco crítico cair no colo do SESMT como se análise técnica fosse suficiente. A tese é direta: risco crítico sem dono operacional vira recomendação bem escrita, enquanto a exposição continua viva no turno.
Esse raciocínio se conecta ao mapeamento de interfaces críticas no PGR, porque muitos riscos graves nascem no intervalo entre operação, manutenção, logística, contratadas e SSMA.
A OIT reporta quase 3 milhões de mortes anuais relacionadas ao trabalho, com 2,6 milhões associadas a doenças ocupacionais, 330 mil a acidentes e 395 milhões de lesões ocupacionais não fatais. Esses números explicam por que a governança de risco crítico precisa sair da intenção e entrar na decisão.
O que você precisa antes de nomear o dono
Antes de nomear o dono do risco crítico, a empresa precisa separar risco, barreira, autoridade e prazo. O dono não é quem preenche planilha, mas quem consegue alterar o trabalho quando a barreira não sustenta a exposição. Sem essa distinção, o papel vira apelido elegante para cobrança do SESMT e não muda a rota do SIF.
A HSE define fatores humanos como elementos ambientais, organizacionais, da tarefa e individuais que influenciam comportamento no trabalho. Essa leitura impede uma armadilha comum: imaginar que risco crítico se resolve apenas com atenção do operador. A decisão precisa alcançar desenho da tarefa, recurso, manutenção, supervisão e prioridade de produção.
Como Andreza Araujo defende em Sorte ou Capacidade, não se trata de assumir riscos, e sim de administrá-los. O acervo editorial reforça essa posição ao lembrar que risco identificado se elimina ou controla; não fazer nada não é uma opção. O dono do risco existe para impedir que o risco conhecido permaneça órfão.
1. Defina qual risco pode gerar SIF
A primeira decisão é escolher exposições com potencial de morte, amputação, incapacidade permanente ou evento de alto potencial, em vez de começar por desvios frequentes de baixo dano. Risco crítico não é o que aparece mais no check-list. É o que, quando a barreira falha, muda a vida da pessoa, da família e da empresa.
Use uma lista curta: energia perigosa, trabalho em altura, içamento, espaço confinado, tráfego interno, produtos químicos severos, incêndio, explosão e intervenção em máquina. Em uma planta média, começar com 5 a 12 riscos críticos é mais defensável do que lançar 40 prioridades sem dono capaz de decidir.
O artigo sobre controles críticos antes do SIF ajuda a transformar essa lista em verificação, porque risco crítico só vira gestão quando cada exposição tem barreira testável e indicador leading.
2. Separe dono do risco, dono da barreira e executor
A segunda decisão é separar três papéis que a rotina costuma misturar. O dono do risco responde pela exposição. O dono da barreira responde pela confiabilidade de um controle específico. O executor realiza a tarefa e informa quando o plano não combina com o campo.
Quando a mesma pessoa acumula tudo, a organização perde independência. O supervisor pode executar bem a liberação, mas não deveria ser o único a declarar que a barreira está suficiente se depende de orçamento, manutenção ou engenharia. O gerente de planta precisa aparecer onde a decisão ultrapassa o turno.
A ISO descreve a ISO 45001:2018 como norma para sistema de gestão de SST baseada em liderança, participação dos trabalhadores, identificação de perigos, avaliação de riscos e melhoria contínua, versão confirmada em 2024. Essa arquitetura exige responsabilidade distribuída, não terceirização da decisão para a área técnica.
3. Dê autoridade de parada em até 24 horas
A terceira decisão é estabelecer que barreira crítica ausente, vencida ou improvisada gera parada, correção no turno ou escalada formal em até 24 horas. Sem prazo curto, o risco crítico entra na fila comum de pendências e passa a competir com produção, manutenção atrasada e orçamento do mês.
A regra precisa ser escrita em linguagem simples. Se não há bloqueio efetivo, não há intervenção. Se não há proteção física, não há limpeza em movimento. Se o plano de resgate depende apenas de equipe externa, não há trabalho em altura. O dono do risco sustenta essa fronteira quando ela fica desconfortável.
Esse ponto se conecta ao gatilho de não saída, porque a decisão madura é tomada antes da tarefa começar. A frase “vamos fazer com cuidado” não substitui uma barreira que pode ser vista, testada ou explicada.
4. Meça barreiras, não volume de ações
A quarta decisão é medir a saúde das barreiras críticas, e não o volume de ações fechadas. Plano de ação pode estar 100% concluído e ainda assim deixar risco vivo, especialmente quando a correção foi treinamento genérico, revisão documental ou orientação verbal sem teste de campo.
A OSHA define indicadores leading como medidas proativas e preventivas que revelam problemas potenciais no programa de segurança. Para o dono do risco, bons indicadores incluem testes de barreira vencidos, quase-acidentes de alto potencial, controles temporários abertos, recusas aceitas e desvios reincidentes no mesmo ponto.
Use uma cadência de 30 dias para tendência e 90 dias para reincidência. Se uma barreira crítica falha duas vezes no trimestre, o problema deixou de ser evento isolado e passou a ser governança fraca. Andreza Araujo observa, em mais de 250 projetos de transformação cultural, que a maturidade aparece quando o vermelho gera aprendizagem e decisão, não defesa.
5. Coloque orçamento e manutenção na mesma mesa
A quinta decisão é impedir que risco crítico fique preso em recomendação sem recurso. O dono precisa reunir operação, manutenção, engenharia, compras e SSMA quando a barreira depende de peça, projeto, contrato, parada programada ou mudança de processo. Sem essa mesa, a ação fica correta no papel e inviável no campo.
Em muitas plantas, o SESMT identifica a exposição, mas não compra proteção, não muda layout, não altera meta e não renegocia prazo com cliente. Essa lacuna explica por que risco crítico exige dono com poder de atravessar áreas. A responsabilidade técnica informa; a responsabilidade operacional decide.
Durante a passagem pela PepsiCo LatAm, onde a taxa de acidentes caiu 86%, Andreza Araujo consolidou uma lição aplicável aqui: resultado sustentável nasce quando liderança transforma sinal de risco em rotina de decisão. O dono do risco faz exatamente isso, levando recurso para onde a barreira falha.
6. Teste o dono com uma pergunta de campo
A sexta decisão é testar se o dono do risco consegue explicar, no campo, qual barreira protege a vida, qual falha seria intolerável e qual decisão tomaria se a condição mudasse em 10 minutos. Se ele não consegue responder sem chamar o técnico de segurança, o papel ainda não existe de verdade.
Faça esse teste em uma tarefa crítica real. Peça 3 evidências: uma barreira física, uma verificação documental e uma explicação do executante. Depois pergunte quem para a tarefa se a barreira falhar e quem autoriza a retomada. A diferença entre governança madura e teatro aparece nessa conversa curta.
O artigo sobre treinamento crítico validado no campo ajuda a fechar essa lógica, porque competência operacional também precisa ser demonstrada diante da tarefa, não apenas comprovada por certificado ou lista de presença.
7. Use Bow-Tie apenas se houver dono para cada barreira
A sétima decisão é não aceitar diagrama bonito sem dono nomeado por barreira. Bow-Tie pode organizar causas, evento central, barreiras preventivas e mitigatórias, mas vira decoração quando cada controle aparece sem responsável, teste, frequência, limite de aceitação e regra de escalada.
Para cada barreira, defina 5 campos: dono, evidência, frequência de teste, critério de falha e decisão quando falhar. Uma proteção física pode exigir inspeção semanal. Um LOTO pode exigir auditoria mensal. Um plano de emergência pode exigir simulado trimestral. O número importa menos que a existência de verificação real.
Quando o Bow-Tie revelar barreira fraca, conecte a análise ao roteiro de barreiras críticas. O dono do risco deve sair da reunião com decisão, não com mais uma versão do desenho.
8. Escalone quando o risco virou decisão executiva
A oitava decisão é reconhecer quando o risco crítico ultrapassou a alçada do supervisor e precisa subir. Isso acontece quando exige CAPEX, parada de linha, mudança de contrato, revisão de projeto, troca de fornecedor, redução temporária de produção ou aceitação formal de risco residual.
Escalar não é transferir culpa. É declarar que a exposição exige autoridade maior do que o turno possui. O formato deve caber em 5 linhas: fato observado, consequência provável, barreira ausente ou fraca, prazo máximo e decisão requerida. Essa síntese protege a conversa de opinião e coloca a diretoria diante do risco material.
Use o mesmo raciocínio da escalada de risco operacional. Se o líder direto não consegue obter recurso em 24 horas e a barreira falha pode gerar SIF, a decisão já é executiva, mesmo que o desvio tenha sido encontrado no chão de fábrica.
Tabela: dono real frente a dono simbólico
A comparação abaixo ajuda o comitê de SST a diferenciar responsabilidade viva de nome em matriz. Em 4 semanas, um dono real deve conseguir mostrar risco priorizado, barreiras testadas, decisões tomadas, pendências escaladas e retorno ao campo. Se só apresenta percentual de plano fechado, ainda está administrando tarefa, não risco.
| Dimensão | Dono real | Dono simbólico |
|---|---|---|
| Autoridade | Para, corrige, escala e libera recurso | Encaminha para o SESMT avaliar |
| Indicador | Teste de barreira, recusa, quase-acidente e controle temporário | Percentual de ação concluída |
| Prazo | 24 horas para barreira crítica ausente | Próxima reunião mensal |
| Campo | Explica a barreira com executante e supervisor | Conhece o risco pelo painel |
| Escalada | Leva fato, consequência, barreira e decisão requerida | Leva preocupação genérica |
Uma forma prática de tirar o risco crítico da abstração é exigir uma análise de pior caso com dono de barreira. O exercício mostra quem decide, quem verifica e qual gatilho interrompe a tarefa quando a condição muda.
Conclusão
O dono do risco crítico não existe para substituir o SESMT. Existe para impedir que uma exposição capaz de gerar SIF fique dependente de parecer técnico sem poder de decisão. Quando risco, barreira, autoridade e prazo estão separados, a empresa sabe quem decide, quem verifica, quem executa e quem escala.
Cada risco crítico sem dono ensina a organização a conviver com uma ameaça conhecida, até que a combinação certa de falha, pressa e silêncio transforme pendência em acidente grave.
Para aprofundar, conecte este roteiro ao livro Sorte ou Capacidade e ao método de Diagnóstico de Cultura de Segurança da Andreza Araujo. A pergunta final para a liderança é simples: se a barreira falhar amanhã, quem tem autoridade para mudar o trabalho hoje?
A lógica se completa quando o diagnóstico de risco em 47 países mostra que o PGR só sai do papel quando cada risco crítico ganha dono operacional, barreira testável e decisão de 30, 60 e 90 dias.
Perguntas frequentes
O que é dono do risco crítico em SST?
Qual a diferença entre dono do risco e responsável pela ação?
O SESMT pode ser dono do risco crítico?
Quantos riscos críticos uma planta deve acompanhar?
Como saber se o dono do risco está funcionando?
Sobre o autor
Andreza Araújo
Especialista em Segurança do Trabalho
Andreza Araújo atua em segurança do trabalho, cultura de segurança e comportamento seguro, com foco em liderança, prevenção e melhoria contínua. Engenheira civil e engenheira de segurança do trabalho pela Unicamp, mestre em Diplomacia Ambiental pela Universidade de Genebra.
- Engenharia Civil — Unicamp
- Engenharia de Segurança do Trabalho — Unicamp
- Mestre em Diplomacia Ambiental — Universidade de Genebra
Documentários
Assista aos documentários da Andreza
Três produções sobre cultura de segurança, falhas organizacionais e as lições humanas por trás de grandes desastres.
Podcasts
Ouça os podcasts da Andreza
Ela apresenta três programas sobre liderança em segurança, EHS e cultura organizacional, em inglês e português.
