Matriz de risco no PGR: 7 erros que escondem SIF

14 de maio de 2026 9 min de leitura Gestão de Riscos Atualizado em 22 de maio de 2026

A matriz de risco no PGR pode parecer técnica e ainda assim esconder SIF quando pontuação, severidade e barreiras viram ritual de planilha.

Principais conclusões

01Audite a probabilidade da matriz separando histórico registrado de plausibilidade operacional, porque subnotificação transforma silêncio em falsa evidência de risco baixo.
02Classifique a severidade pelo pior resultado crível, não pela lesão mais comum, sempre que a tarefa envolver energia perigosa, altura, carga suspensa ou exposição química.
03Limite o abatimento por EPI e procedimento, já que barreiras dependentes de comportamento perfeito não têm a mesma força preventiva de controles de engenharia.
04Revise a matriz fora do ciclo anual do PGR sempre que houver mudança de processo, quase-acidente relevante, fornecedor crítico novo ou ação corretiva vencida.
05Contrate um diagnóstico de cultura de segurança quando a matriz parece completa, mas não muda orçamento, rotina de supervisão nem prioridade de barreiras contra SIF.

Em auditorias de PGR, a matriz de risco costuma aparecer colorida, aprovada e arquivada, embora o acidente grave quase sempre atravesse justamente os quadrantes que pareciam controlados. Este artigo mostra sete erros que fazem a matriz esconder SIF, e não revelar risco material, para que o técnico de SST e o gerente de planta auditem a ferramenta antes da próxima revisão da NR-01.

Por que a matriz engana quando vira pontuação

A matriz de risco deveria ajudar a decidir prioridade, recurso e barreira de controle, mas ela perde essa função quando a operação passa a discutir nota em vez de discutir exposição real. O erro aparece quando probabilidade e severidade são tratadas como números neutros, embora dependam de julgamento, histórico de reporte, qualidade da observação e maturidade cultural.

Como Andreza Araujo defende em A Ilusão da Conformidade, cumprir a forma documental não prova que a empresa enxergou o risco. A matriz é um caso típico dessa distância, porque o PGR pode estar completo na pasta e, ainda assim, manter uma atividade crítica classificada como aceitável apenas porque ninguém quis sustentar a conversa difícil sobre parada, investimento ou mudança de método.

O teste prático é simples: se a matriz não muda nenhuma decisão de engenharia, contratação, manutenção, jornada ou supervisão, ela não está gerenciando risco. Está registrando uma opinião colorida.

1. Usar histórico baixo como prova de probabilidade baixa

A probabilidade baixa é frequentemente atribuída porque a empresa teve poucos acidentes registrados nos últimos anos, ainda que esse histórico seja frágil quando o reporte de quase-acidente é baixo. Uma matriz alimentada por subnotificação transforma silêncio em evidência, e esse é um dos caminhos mais rápidos para classificar SIF como risco tolerável.

Em 25+ anos liderando EHS em multinacionais, Andreza Araujo identifica que operações com poucos registros e muitos desvios observáveis tendem a superestimar maturidade. O número bonito não nasce de segurança, mas de um sistema que desestimula relato. O artigo sobre inspeções sem desvio como sinal de subnotificação aprofunda esse padrão quando o painel parece limpo demais.

A correção é separar probabilidade estatística de plausibilidade operacional. Mesmo que não exista acidente recente, a matriz deve subir a criticidade quando há energia perigosa, trabalho em altura, espaço confinado, movimentação de carga, trânsito interno ou exposição química com potencial de fatalidade. SIF não espera série histórica para se materializar.

2. Misturar severidade de lesão com severidade de evento

A severidade da matriz precisa olhar o pior resultado crível, e não a lesão mais comum registrada naquela tarefa. Quando a empresa usa cortes, torções e afastamentos leves como referência, uma atividade que pode gerar amputação, queda fatal ou intoxicação aguda cai para quadrante médio e recebe controle administrativo fraco.

O que a maioria dos PGRs não explicita é a diferença entre evento frequente e evento de alta consequência. Uma empilhadeira pode gerar dezenas de quase-acidentes sem lesão antes de atropelar alguém no pátio. Uma válvula de produto químico pode vazar sem afastamento por meses antes de expor uma equipe inteira. O risco sério vive nessa assimetria.

A pergunta de auditoria deve ser: qual é o pior desfecho fisicamente plausível se as barreiras atuais falharem no mesmo turno? Quando a resposta inclui morte, amputação, queimadura grave ou incapacidade permanente, a severidade não pode ficar abaixo do nível máximo, mesmo que o histórico local pareça tranquilo.

3. Pontuar EPI como se fosse barreira equivalente a projeto

EPI reduz dano em cenários específicos, embora raramente tenha a mesma força preventiva de eliminação, substituição ou controle de engenharia. A matriz erra quando dá a mesma redução de risco para luva, procedimento e enclausuramento, porque transforma controles de naturezas diferentes em pontos equivalentes.

Esse erro contraria a própria lógica da hierarquia de controles. Em Cultura de Segurança, Andreza Araujo argumenta que cultura madura aparece quando a liderança aceita mexer na fonte do risco, mesmo que a solução seja mais cara e menos conveniente no curto prazo. O artigo sobre falhas na escolha de EPI pela NR-06 mostra como o equipamento vira desculpa quando substitui engenharia.

A regra prática é limitar o abatimento por EPI na matriz. Se a tarefa depende de comportamento perfeito do trabalhador, troca disciplinada do equipamento e fiscalização contínua do supervisor, o risco residual continua alto. Matriz séria não premia controle frágil com pontuação de barreira robusta.

4. Não exigir evidência da barreira declarada

A matriz fica defensável apenas quando cada barreira declarada tem evidência verificável, porque controle que existe só no procedimento não reduz exposição real. Um campo escrito como “bloqueio aplicado” precisa apontar para inspeção, teste de energia zero, etiqueta, cadeado, responsável e rotina de auditoria.

Em mais de 250 projetos de transformação cultural, Andreza Araujo observa que a palavra “implantado” costuma esconder estágios muito diferentes. Pode significar que a placa foi comprada, que o procedimento foi assinado, que o treinamento foi dado ou que a prática é auditada no turno. Só a última condição sustenta abatimento de risco.

Antes de aceitar a redução de probabilidade, peça evidência de campo. Vale fotografia datada, registro de inspeção, amostra de Permissão de Trabalho recusada, manutenção preventiva executada, simulado, medição ocupacional ou entrevista com operador. Sem evidência, a barreira volta para o status de intenção.

5. Tratar risco residual como autorização automática

Risco residual não é carimbo de liberação; é a parte do risco que continua existindo depois dos controles adotados. A matriz falha quando transforma “residual médio” em permissão automática para executar, sem definir quem aceita, por quanto tempo e com qual plano de redução.

O artigo sobre risco residual no PGR aprofunda essa armadilha, mas a matriz revela o problema em uma linha. Se a organização não sabe dizer quem assinou a aceitação, qual alternativa foi recusada e quando o controle definitivo será implantado, o residual virou conveniência gerencial.

O recorte que muda na prática é colocar validade na aceitação de risco. Atividade crítica com residual alto precisa de dono, prazo, orçamento e revisão mensal. Sem esses quatro elementos, a matriz está apenas normalizando exposição.

6. Não testar a matriz com cenário invertido

O cenário invertido parte do acidente grave e pergunta quais barreiras teriam de falhar para ele acontecer. A matriz tradicional pergunta “qual a chance disso ocorrer”, enquanto o teste invertido pergunta “o que teria de estar ausente para essa chance deixar de ser remota”. A segunda formulação é mais útil para SIF.

James Reason mostrou, pelo modelo do queijo suíço, que eventos graves atravessam camadas sucessivas de defesa. Quando a matriz não testa essas camadas uma a uma, ela se limita a estimar uma probabilidade agregada, cujo número pode parecer preciso mesmo quando nenhuma barreira foi examinada. O uso de What If em SST ajuda a transformar essa estimativa em pergunta operacional.

Faça o exercício em vinte minutos com uma tarefa crítica. Escolha o evento extremo, liste cinco barreiras, pergunte como cada uma falharia no mesmo turno e revise a matriz se duas ou mais respostas dependerem de memória, pressa, atenção ou supervisão informal. Onde a barreira depende de heroísmo, a pontuação deve subir.

7. Atualizar a matriz só no ciclo anual do PGR

A NR-01 exige gestão viva, e a matriz perde valor quando a empresa espera a revisão anual para registrar mudança de processo, desvio recorrente ou quase-acidente relevante. O risco muda antes do documento, porque muda com fornecedor novo, troca de turno, manutenção atrasada, pressão de produção e alteração de layout.

30 dias sem atualização após mudança operacional já bastam para criar distância entre o PGR e o trabalho real em áreas de manutenção, logística e produção contínua. Diagnóstico de Cultura de Segurança descreve essa defasagem como sintoma de sistema calculativo. O documento existe, mas não governa a decisão diária.

A matriz precisa de gatilhos de revisão fora do calendário. Inclua evento de alto potencial, quase-acidente com energia perigosa, alteração de fornecedor crítico, mudança de equipamento, retrabalho repetido, aumento de jornada e ação corretiva vencida. A cada gatilho, revise no mínimo severidade, barreiras existentes e responsável pela aceitação do residual.

Comparação: matriz documental frente à matriz decisória

Dimensão	Matriz documental	Matriz decisória
Base de probabilidade	Histórico de acidentes registrados	Histórico, quase-acidentes, desvios e plausibilidade operacional
Severidade	Lesão mais comum	Pior resultado crível, com foco em SIF
Barreiras	Procedimento, treinamento e EPI pontuam alto	Engenharia e controles verificáveis pesam mais que intenção
Risco residual	Liberação automática quando fica amarelo ou verde	Aceitação com dono, prazo, orçamento e revisão
Atualização	Ciclo anual do PGR	Gatilhos de mudança, quase-acidente e ação corretiva vencida

Como auditar sua matriz em 40 minutos

A auditoria curta começa por cinco atividades críticas do PGR, escolhidas pela energia envolvida e pelo pior resultado crível. Não escolha as tarefas mais documentadas; escolha as que podem matar, mutilar ou gerar incapacidade permanente caso duas barreiras falhem no mesmo turno.

Para cada atividade, compare a nota da matriz com quatro evidências: qualidade do inventário de riscos, robustez das barreiras, aceitação formal do residual e data da última revisão. O artigo sobre inventário de riscos no PGR ajuda nessa primeira camada, porque a matriz não corrige um inventário mal descrito.

5 atividades críticas auditadas em 40 minutos costumam revelar mais que uma revisão documental completa feita em sala, desde que a conversa aconteça com operador, supervisor e técnico de SST no local da tarefa. Cada divergência entre quadrante e realidade deve virar ação corretiva com prazo, e não comentário de auditoria.

Cada mês em que a matriz permanece bonita e inofensiva aumenta a chance de a organização descobrir o SIF pelo acidente, e não pela análise que deveria antecipá-lo.

Em tarefas críticas como içamento de cargas com potencial de SIF, a matriz precisa preservar severidade alta mesmo quando a frequência histórica de acidente parece baixa.

Conclusão

A matriz de risco no PGR só tem valor quando muda decisão, orçamento e barreira, porque pontuação sem consequência apenas organiza a ilusão de controle. O risco sério aparece quando a empresa confunde registro com gestão, severidade comum com pior cenário crível e EPI com barreira estrutural.

Para revisar a matriz com profundidade cultural, a consultoria de Andreza Araujo combina diagnóstico de cultura, leitura de PGR, entrevistas de campo e priorização de SIF. O objetivo não é trocar a cor da célula, mas impedir que o próximo quadrante verde vire investigação de fatalidade.

Antes de pontuar probabilidade e severidade, a granularidade do inventário de riscos precisa separar cenários em que tarefa, barreira e consequência mudam a decisão.

#matriz-de-risco#pgr#nr-01#gestao-de-riscos#sif#barreiras-de-risco

Perguntas frequentes

Como fazer matriz de risco no PGR sem esconder SIF?

Comece pela severidade máxima plausível da tarefa, e não pelo histórico de lesões leves. Depois valide a probabilidade com quase-acidentes, desvios, inspeções e exposição real, porque o registro formal pode estar contaminado por subnotificação. A matriz deve separar controles de engenharia, administrativos e EPI, atribuindo maior peso às barreiras verificáveis. Se a avaliação não muda orçamento, prioridade ou rotina de supervisão, ela está documentando risco, mas não gerenciando risco.

Qual a diferença entre risco inerente e risco residual?

Risco inerente é o nível de risco antes dos controles, enquanto risco residual é o que permanece depois que barreiras foram implantadas e verificadas. O erro comum é chamar de residual aquilo que ainda depende de treinamento, atenção ou promessa de procedimento. Para ser residual de verdade, o controle precisa existir no campo, ter responsável, evidência e rotina de verificação. Andreza Araujo trata essa diferença em A Ilusão da Conformidade, ao separar documento cumprido de risco efetivamente reduzido.

EPI pode reduzir a nota da matriz de risco?

Pode, mas com limite conservador. EPI reduz dano em cenários específicos, embora dependa de seleção correta, uso constante, manutenção, troca e fiscalização. Por isso, não deve receber o mesmo peso de eliminação, substituição, proteção coletiva ou controle de engenharia. Quando a redução da nota depende quase toda de EPI, a matriz precisa manter o risco em nível elevado ou registrar um plano de redução mais robusto, com prazo e dono definidos.

Quando atualizar a matriz de risco do PGR?

A revisão anual é insuficiente para operações dinâmicas. Atualize a matriz sempre que houver mudança de processo, layout, equipamento, fornecedor crítico, jornada, produto químico, quase-acidente de alto potencial ou ação corretiva vencida. Esses gatilhos indicam que a exposição real já mudou, mesmo que o documento ainda pareça atual. Em áreas de manutenção, logística e produção contínua, esperar o ciclo anual pode deixar o PGR meses atrás do trabalho real.

Como auditar uma matriz de risco rapidamente?

Escolha cinco tarefas críticas pelo pior resultado crível e compare a nota da matriz com quatro evidências: inventário de riscos, barreiras verificáveis, aceitação formal do residual e data da última revisão. A auditoria deve acontecer no local da tarefa, com operador, supervisor e técnico de SST. Se a matriz classifica como baixo um risco que depende de memória, pressa ou supervisão informal, a nota precisa subir e gerar ação corretiva.

Sobre o autor

Andreza Araújo

Especialista em Segurança do Trabalho

Andreza Araújo é referência internacional em EHS, cultura de segurança e comportamento seguro, com 25+ anos liderando programas de transformação cultural em multinacionais e impactando funcionários em mais de 30 países. Reconhecida como LinkedIn Top Voice, contribui para a conversa pública sobre liderança, cultura de segurança e prevenção. Engenheira civil e engenheira de segurança do trabalho pela Unicamp, mestre em Diplomacia Ambiental pela Universidade de Genebra. Autora de 16 livros sobre cultura de segurança, liderança e prevenção de SIF.

Engenharia Civil — Unicamp
Engenharia de Segurança do Trabalho — Unicamp
Mestre em Diplomacia Ambiental — Universidade de Genebra
Forbes Business Council Member
Harvard Business Review Advisory Council
LinkedIn Top Voice

Seguir Andreza

Continuar lendo

Inspeção de segurança em campo: 7 sinais de checklist teatral
Inspeção de segurança em campo só reduz risco quando muda barreira, dono e decisão no turno, porque checklist preenchido sem consequência vira conformidade decorativa.
FMEA em empilhadeiras: 7 falhas antes do atropelamento
FMEA em empilhadeiras só reduz atropelamento quando transforma modo de falha em barreira testada no pátio, não em RPN confortável.
PSSR em SST: 7 decisões antes da partida
PSSR em SST só reduz risco quando trava a partida até que mudança, barreira e evidência estejam verificadas em campo.
Granularidade do inventário de riscos: 7 decisões no PGR
A granularidade do inventário de riscos decide se o PGR enxerga exposição real ou esconde SIF dentro de categorias amplas demais.
LOPA em SST: 7 decisões antes de aceitar barreira
LOPA em SST separa barreira real de promessa de controle, embora só funcione quando a liderança testa independência, evidência e autoridade de decisão.