Blog Loja Andreza Araujo
Gestão de Riscos

Matriz de risco em SST: 5 distorções que viram teatro

A matriz de risco implantada na maioria das operações brasileiras não decide nada porque pinta de verde aquilo que já estava aprovado, e falha justo onde o SIF mora.

Por Publicado em 8 min de leitura Atualizado em
cena de gestão de riscos sobre matriz de risco em sst 5 distorcoes que viram teatro — Matriz de risco em SST: 5 distorções qu

Principais conclusões

  1. 01Audite quantos cenários severidade-5 da sua matriz têm Bow-Tie individual arquivado, porque razão abaixo de 80% indica matriz qualitativa que aprova risco crítico sem nomear barreira concreta.
  2. 02Reclassifique para vermelho toda célula severidade-5 que cair em amarelo apenas porque a probabilidade calculada é baixa: SIF não obedece à régua 5x5 e James Reason demonstrou por que a aritmética qualitativa falha.
  3. 03Instale gatilho de revisão obrigatória em até 30 dias após qualquer near-miss em cenário severidade-4 ou 5, já que ausência total de revisão pós-evento no último ano confirma matriz fóssil.
  4. 04Recuse matriz que aceite EPI como controle primário em risco crítico, porque a hierarquia da NR-01 exige eliminação ou substituição antes de proteção individual, e validar EPI como barreira final transfere a fatalidade para o trabalhador.
  5. 05Contrate diagnóstico de cultura de risco quando a matriz da operação aprovou 100% dos cenários e o triênio anterior registra fatalidade ou near-miss grave, configuração descrita em A Ilusão da Conformidade (Araujo).

Em projetos de transformação cultural acompanhados por Andreza Araujo na América Latina, é raro encontrar uma operação industrial cuja matriz de risco em SST não esteja preenchida e validada por comitê interno. Mesmo assim, em 8 de cada 10 dessas operações o triênio anterior registra ao menos um SIF (Serious Injury or Fatality), conforme observação de auditorias técnicas conduzidas pela autora em mineração, alimentos e construção pesada. Este artigo descreve cinco distorções recorrentes que transformam a ferramenta em teatro de decisão e mostra como o gerente SST e o diretor industrial podem auditar a própria matriz antes que ela vire defesa formal pós-fatalidade.

Por que matriz implantada não significa risco gerenciado

A matriz de risco cumpre função real quando força a operação a interromper o ritmo da execução para reabrir três perguntas: o que pode acontecer de pior, com que frequência, e qual barreira sustenta hoje a contenção desse cenário. Vira um quadro decorativo no instante em que o time de SST a preenche apenas para fechar requisito de PGR ou auditoria externa, na medida em que a planilha passa a ser produzida depois da aprovação do projeto, e não antes da decisão de capital. Como Andreza Araujo argumenta em A Ilusão da Conformidade, cumprir a norma e estar seguro são posições distintas, e a matriz de risco talvez seja o exemplo mais didático dessa distância no domínio brasileiro de SST.

1. Probabilidade x severidade que rejeita SIF

O SIF é, por definição, evento de severidade-5 com probabilidade matematicamente baixa, porque amputar membro ou matar trabalhador é raro em qualquer linha de produção bem operada. Quando a matriz 5x5 padrão multiplica severidade-5 por probabilidade-1, o produto cai na zona amarela e a célula fica eternamente classificada como tolerável, embora o cenário continue capaz de matar. O modelo do queijo suíço de James Reason mostra por que essa aritmética falha: o SIF não decorre de probabilidade alta, mas do alinhamento ocasional de buracos em barreiras independentes, e nenhum produto de duas escalas qualitativas captura esse alinhamento.

Em operações que aprovam 100% das auditorias e ainda assim convivem com SIF, a falha quase sempre começa nessa célula amarela tratada como aceitável.

2. Aprovação retroativa: matriz pintada após o projeto

A segunda distorção é cultural e nasce do fluxo orçamentário. O projeto vai para FEL-3, o capital é liberado, a planta começa a obra, e a matriz de risco aparece três semanas depois para ratificar o que o engenheiro de processo já decidiu. Visto que mover um equipamento de posição na fase de construção custa cerca de quinze vezes o que custaria em FEL-2, ninguém na cadeia tem incentivo para identificar risco crítico tarde, ainda que a evidência técnica esteja gritando. A matriz, cuja função declarada é orientar a decisão de projeto, reduz-se a um documento de cobertura juridica.

Andreza Araujo defende em 80 Maneiras de Ampliar a Percepção de Risco que percepção sem janela decisória é entretenimento técnico, e a matriz aplicada após o capital aprovado se enquadra exatamente nessa categoria.

3. Sem critério de revisão pós-evento

A terceira distorção é silenciosa e mais grave do que parece. Em mais de duzentos e cinquenta projetos de transformação cultural acompanhados por Andreza Araujo, raramente a matriz de risco trazia coluna explícita com a data da última revisão, ou gatilho automático que reclassificasse a célula após quase-acidente reportado no mesmo cenário. Sem esse gatilho, a matriz fossiliza, ao passo que a operação muda turno, equipe, fornecedor de manutenção e ritmo de produção a cada semestre.

A regra prática é direta: toda célula da matriz cuja categoria envolva severidade-4 ou 5 precisa de revisão obrigatória dentro de trinta dias após qualquer near-miss reportado naquele cenário, mesmo que o near-miss tenha sido classificado como leve. Em auditorias de projetos industriais conduzidas pela autora, menos de 15% das matrizes em operação registram qualquer revisão pós quase-acidente nos últimos 12 meses. Quando o registro de revisão simplesmente não existe, a matriz é peça de arquivo, não barreira ativa, embora continue assinada por comitê e arquivada em pasta corporativa.

4. Hierarquia de controles invertida

A NR-01 atualizada estabelece hierarquia explícita de controles, na qual eliminação e substituição precedem proteção coletiva, controle administrativo e EPI nesta ordem. A quarta distorção aparece quando a matriz aceita EPI como controle primário em cenário severidade-5, ainda que a literatura técnica internacional desde Frank Bird tenha demonstrado que EPI raramente é o que falha em SIF, porque o que falha mora em camadas anteriores: projeto, manutenção preditiva, supervisão, permissão de trabalho.

Quando o time de SST aprova matriz cuja célula crítica registra exclusivamente proteção individual, a operação está dizendo, sem perceber, que aceita o trabalhador como última barreira contra fatalidade. Esse é o desenho de risco que Andreza Araujo critica em indicadores executivos baseados apenas em TRIR, porque tanto o KPI quanto a matriz, vistos isolados, autorizam a empresa a olhar para o lado errado.

5. Matriz que não conversa com Bow-Tie

A quinta distorção é metodológica. A matriz qualitativa 5x5 entrega uma cor por cenário e nada além disso. O Bow-Tie, por sua vez, exige que a operação nomeie cada barreira preventiva, cada barreira mitigatória, e cada fator de degradação que pode neutralizar uma barreira existente. Quando a matriz aprova o cenário severidade-5 sem Bow-Tie correspondente, a empresa está afirmando que conhece o risco, embora não tenha desenhado quais elementos físicos, processuais e humanos sustentam a contenção.

A combinação prática que funciona em operação madura mantém a matriz como mapa de prioridade e o Bow-Tie como prova de barreira. Toda célula vermelha ou amarela com severidade-4 ou 5 deveria ter um Bow-Tie individual arquivado, cuja revisão acompanhe o ciclo de manutenção preditiva e o histórico de quase-acidente do cenário. Esse desenho integrado é parte da resposta para o cenário descrito em empresas onde o problema declarado é treinamento e o problema real é cultura de risco, embora o diagnóstico cultural sustente a leitura.

Comparação: matriz declarada x matriz estrutural

DimensãoMatriz declaradaMatriz estrutural
Momento de elaboraçãoapós aprovação de capitalantes de FEL-2 fechar
Tratamento de SIFseveridade-5 x prob-1 = amarelo tolerávelcenário SIF tem trilha própria, fora da régua 5x5
Revisão pós quase-acidentenenhum gatilho registradoobrigatória em 30 dias para sev-4 e sev-5
Controle primário em risco críticoEPI aceito como barreira finaleliminação ou substituição obrigatórias
Relação com Bow-Tieinexistentecada cenário sev-4 ou 5 tem Bow-Tie próprio arquivado
Indicador de saúdepercentual de células preenchidaspercentual de células revisadas no último ano

Como auditar sua matriz em trinta minutos

Pegue uma planta da operação e rode esta auditoria curta, que cabe na agenda de uma terça-feira do gerente SST e dispensa software de gestão de risco. A leitura conjunta dos cinco itens revela com precisão se a matriz é barreira viva ou objeto de arquivo.

  • Conte os cenários classificados como severidade-5 e verifique quantos têm Bow-Tie individual arquivado. Quando a razão for inferior a oitenta por cento, a matriz já reprovou no item primeiro.
  • Liste os cenários severidade-4 e 5 cuja última revisão tem mais de doze meses. Acima de cinco linhas nessa condição, a matriz fossilizou.
  • Identifique quantos riscos críticos declaram EPI como controle primário, sem registro de tentativa de eliminação ou substituição. Acima de zero, a hierarquia da NR-01 foi violada por escrito.
  • Procure no histórico do último triênio a coluna de revisão pós quase-acidente. Ausência total de revisão pós-evento confirma que o gatilho cultural nunca foi instalado.
  • Cruze a matriz com os relatórios de investigação de SIF próprios ou setoriais conhecidos. Cenário que matou em planta vizinha e está como amarelo tolerável na sua matriz é a definição clássica de cultura conformista.

O que muda quando a matriz vira barreira

Em operações onde Andreza Araujo conduziu transformação cultural a partir do redesenho da matriz de risco, o ganho mais visível raramente foi a redução imediata da TRIR, embora ela viesse depois. O ganho imediato foi a redescoberta do cenário severidade-5 estagnado em amarelo durante anos, cuja revisão obrigatória forçou o engenheiro de projeto e o gerente de manutenção a sentar com o time de SST e revisar premissa de barreira pela primeira vez. Em investigações de SIF que culpam o operador, é frequente encontrar exatamente esse cenário esquecido na matriz, e é a célula amarela que precisaria ter virado vermelha dois quase-acidentes antes da fatalidade.

Cada trimestre em que a matriz da sua operação opera sem revisão pós quase-acidente é um SIF aguardando o alinhamento certo de buracos nas barreiras existentes, e não a média estatística confortável que a célula amarela sugere.

Conclusão

Auditar a própria matriz de risco custa pouco em horas de gestor frente ao custo direto de investigar fatalidade. Trinta minutos sobre uma amostra de cenários severidade-5 pesam menos do que dezoito meses de processo trabalhista, indenização e dano reputacional, ao passo que a clareza obtida orienta o investimento em barreira concreta no lugar certo. Para diagnóstico estruturado da gestão de risco que sustenta as decisões de capital da operação, a consultoria de Andreza Araujo conduz a apuração ponta a ponta, com a metodologia descrita em Diagnóstico de Cultura de Segurança e em A Ilusão da Conformidade. Quem prefere começar pelo material de base encontra os títulos completos na loja oficial da autora, e o gestor que precisa cruzar matriz com indicador executivo deveria revisitar antes por que zero acidentes destrói a cultura de segurança.

#matriz-de-risco #gestao-de-riscos #sif #bow-tie #nr-01 #c-level

Perguntas frequentes

A matriz de risco 5x5 substitui o PGR?
Não. A matriz é um instrumento de classificação dentro do PGR (Programa de Gerenciamento de Riscos da NR-01), embora seja apenas uma das peças. O PGR exige inventário de riscos, plano de ação, controles, responsáveis, prazos e revisão periódica documentada. A matriz, isolada, dá apenas uma cor por cenário e não atende ao requisito de gestão. Operação que apresenta matriz preenchida como prova de PGR está confundindo classificação com programa, e o auditor do MTE costuma identificar o gap na primeira amostragem documental.
Como tratar SIF na matriz quando a probabilidade calculada é baixa?
Cenários SIF não devem ser tratados pela régua 5x5 padrão. A prática recomendada em operações maduras é manter trilha separada, na qual qualquer cenário severidade-5 entra automaticamente em zona vermelha ou crítica, com obrigação de Bow-Tie individual e revisão pós quase-acidente. Multiplicar severidade-5 por probabilidade-1 e classificar como amarelo tolerável é exatamente o erro descrito na quarta distorção do artigo, e o modelo do queijo suíço de James Reason mostra por que a probabilidade qualitativa falha ao prever SIF.
Qual a diferença entre matriz qualitativa e quantitativa em SST?
A matriz qualitativa usa escalas verbais (raro, possível, provável, frequente para probabilidade; insignificante a catastrófico para severidade) e entrega uma cor por cenário. A quantitativa usa frequência numérica esperada (eventos por ano, por exemplo) e severidade monetizada ou em dias perdidos, e permite cálculo de risco residual após cada barreira. A maioria das operações industriais brasileiras usa qualitativa porque é mais simples, embora a quantitativa, quando aplicada a riscos críticos, seja a única que sobrevive à arbitrariedade descrita na primeira distorção.
Quando trocar matriz por Bow-Tie?
A pergunta certa não é trocar e sim combinar. A matriz funciona como mapa de prioridade da operação inteira, ao passo que o Bow-Tie funciona como prova de barreira por cenário crítico. Operação madura mantém os dois: matriz consolidada para visão executiva e priorização de capital, Bow-Tie individual obrigatório para toda célula severidade-4 e severidade-5. Trocar um pelo outro perde o lado cuja função o outro não cumpre, e o Bow-Tie isolado não dá visão consolidada para o C-level.
Como apresentar matriz de risco para o C-level sem perder o foco em SIF?
Apresentação executiva eficaz mostra três camadas em uma página: a quantidade de cenários severidade-4 e 5 ativos na operação, o percentual desses cenários cuja revisão tem mais de doze meses, e a lista nominal das barreiras críticas cuja falha levaria diretamente a SIF. Andreza Araujo descreve esse formato em Cultura de Segurança e em Diagnóstico de Cultura de Segurança, em que o painel evita a armadilha de exibir o percentual de células preenchidas como sinal de saúde, indicador que o livro Muito Além do Zero demonstra ser enganoso.

Sobre o autor

Especialista em EHS e Cultura de Segurança

Referência em EHS e Cultura de Segurança no Brasil e na América Latina, com 24+ anos liderando segurança em multinacionais como Votorantim Cimentos, Unilever e PepsiCo. Reduziu 86% da taxa de acidentes na PepsiCo LatAm e impactou mais de 100 mil pessoas em 47 países. Engenheira civil e de segurança do trabalho pela Unicamp, mestre em Diplomacia Ambiental pela Universidade de Genebra. Autora de mais de 15 livros sobre cultura de segurança, liderança e percepção de risco.

  • 24+ anos liderando EHS em multinacionais (Votorantim Cimentos, Unilever, PepsiCo)
  • Engenheira de Segurança do Trabalho — Unicamp; Mestre em Diplomacia Ambiental — Universidade de Genebra
  • Autora de 15+ livros sobre cultura de segurança e liderança
  • Premiada 2× pela CEO da PepsiCo; 10+ prêmios na área de EHS

andrezaaraujo.com LinkedIn YouTube YouTube open.spotify.com Instagram

Seguir