Relatório de investigação de acidente: 6 campos que evitam culpar o operador
O relatório de investigação de acidente só previne recorrência quando separa ato final, falha latente, barreira ausente e evidência verificável, em vez de encerrar o caso no comportamento do operador.
Principais conclusões
- 01Separe descrição do evento, evidência e interpretação no relatório de investigação, porque misturar esses três blocos antecipa a culpa antes de entender as barreiras.
- 02Inclua um campo obrigatório de falhas latentes, ancorado no modelo do queijo suíço de James Reason, para impedir que o plano de ação termine apenas em treinamento do acidentado.
- 03Registre barreiras ausentes, frágeis ou bypassadas com prova de campo, foto, entrevista ou documento, já que ação sem evidência vira opinião com linguagem técnica.
- 04Exija responsável, prazo, verificação de eficácia e indicador leading em cada ação corretiva, pois plano encerrado por data não prova redução de risco.
- 05Acione diagnóstico cultural quando três relatórios consecutivos concluírem comportamento inseguro como causa principal, sinal de que a investigação está protegendo o sistema e expondo a ponta.
O relatório de investigação de acidente costuma nascer com uma promessa alta e terminar como arquivo defensivo. Ele descreve o evento, lista entrevistas, anexa fotos e fecha com treinamento, reciclagem de procedimento ou advertência informal. A operação respira aliviada porque o caso foi encerrado, embora a barreira que falhou continue disponível para repetir o dano no próximo turno. Este artigo é dirigido ao gerente de SSMA, ao técnico de segurança e ao líder operacional que precisam transformar investigação em prevenção real, não em narrativa juridicamente confortável.
A tese é direta: relatório que começa procurando culpado termina protegendo o sistema que produziu o acidente. Como Andreza Araujo defende em Sorte ou Capacidade, acidente raramente é azar isolado; ele emerge de camadas técnicas, culturais e gerenciais que já davam sinais antes do evento. O relatório bom não suaviza a responsabilidade individual quando há violação deliberada, mas também não permite que a organização use o ato final como cortina para esconder falhas latentes.
Por que o relatório comum falha antes da primeira página
A falha começa quando o formulário pede “causa imediata” e “causa raiz” antes de pedir evidência para cada causa. Essa ordem mental empurra a equipe para uma conclusão rápida, quase sempre centrada no trabalhador que se feriu ou executou a última ação visível. O modelo do queijo suíço de James Reason mostra que eventos graves atravessam várias barreiras, e por isso a pergunta correta não é quem errou, mas quais camadas permitiram que o erro, a variabilidade ou a condição anormal chegassem ao dano.
Em mais de 250 projetos de transformação cultural acompanhados pela Andreza Araujo, relatórios com conclusão padronizada em “ato inseguro” quase sempre conviviam com baixo reporte de quase-acidente, pouca recusa de tarefa e supervisão pressionada por prazo. A investigação, nesse cenário, não está descobrindo a verdade; está reproduzindo a cultura. O guia sobre viés de confirmação em RCA aprofunda esse mecanismo, porque a equipe seleciona evidências que confirmam a culpa já intuída e descarta sinais que apontariam para desenho de sistema.
Campo 1: descrição factual separada de interpretação
O primeiro campo do relatório deve descrever o que aconteceu em linguagem observável. Horário, local, tarefa, energia envolvida, pessoas presentes, condição do equipamento, sequência de movimentos, clima, turno, pressão operacional e mudança recente entram aqui. Expressões como “desatenção”, “imprudência” ou “falha de percepção” não pertencem a esse campo, porque já são interpretação.
A separação parece burocrática, mas muda o rumo da investigação. Quando o relatório diz que o operador “não percebeu o risco”, a equipe pula a pergunta mais importante: por que o risco estava perceptível para o investigador depois do acidente e invisível para quem executava a tarefa antes dele? Em A Ilusão da Conformidade, Andreza Araujo argumenta que cumprir procedimento não prova que a barreira estava viva na operação. A descrição factual precisa revelar essa distância sem enfeitar o texto.
Campo 2: linha do tempo com decisões e mudanças
A linha do tempo não deve registrar apenas o minuto do acidente. Ela precisa voltar até a última mudança relevante na tarefa, no turno, na escala, no equipamento, no material, no procedimento ou na liderança. Muitas investigações ficam cegas porque começam no momento do dano, quando a sequência já estava armada havia dias.
O campo deve responder quatro perguntas: o que mudou nas últimas vinte e quatro horas, o que mudou nas últimas quatro semanas, quem aprovou essa mudança e qual análise de risco foi refeita. Quando a resposta é “nada mudou”, o investigador precisa desconfiar. Em operações reais, muda quase tudo: equipe, meta de produção, condição climática, manutenção pendente, fornecedor, ferramenta, rota, iluminação e fadiga. O artigo sobre tarefas não rotineiras no GRO mostra como pequenas variações criam risco novo quando o sistema continua tratando a tarefa como rotina.
Campo 3: barreiras que deveriam ter funcionado
Todo relatório precisa listar barreiras esperadas antes de discutir causa. Barreiras técnicas incluem proteção física, bloqueio, intertravamento, EPC, projeto, ventilação, segregação e ferramenta adequada. Barreiras administrativas incluem APR, AST, PT, checklist, inspeção, supervisão e treinamento. Barreiras culturais incluem recusa de tarefa, reporte de quase-acidente, autoridade do supervisor para parar e hábito de questionar mudança.
A pergunta central é simples: qual barreira deveria ter impedido a energia de alcançar a pessoa? Se a resposta for apenas “atenção do operador”, a empresa já confessou fragilidade sistêmica. Como Andreza Araujo sustenta em Diagnóstico de Cultura de Segurança, indicador documental mede existência do processo, enquanto indicador cultural mede o modo como a barreira é usada, recusada e corrigida no campo. O relatório precisa comparar essas duas camadas.
Campo 4: falhas latentes fora da cena do acidente
Falha latente é a condição criada antes do evento e fora da cena imediata, cuja presença aumenta a chance de acidente. Pode estar em compras, engenharia, manutenção, planejamento, treinamento, metas, contratação de terceiros, dimensionamento de equipe ou política de reconhecimento. A investigação fraca não olha para esses lugares porque eles incomodam mais do que a cena do acidente.
Durante a passagem pela PepsiCo LatAm, onde a taxa de acidentes caiu 86%, Andreza Araujo aprendeu que a virada cultural dependia de tirar a investigação da sala de segurança e levá-la para a mesa de decisão operacional. A falha latente quase nunca mora no EPI usado no minuto final; ela mora na decisão de manter ferramenta inadequada, aceitar backlog de manutenção, premiar velocidade sem checar risco ou tratar recusa de tarefa como atraso. A leitura da pirâmide de Heinrich em SIF ajuda a enxergar sinais precursores, desde que a empresa não use a pirâmide como desculpa para investigar só evento leve.
Campo 5: evidência mínima para cada hipótese
Hipótese sem evidência vira opinião com vocabulário técnico. Cada causa proposta no relatório deve apontar sua prova: foto, registro de manutenção, entrevista, medição, documento, histórico de quase-acidente, amostra de treinamento, checklist, inspeção em campo ou dado de produção. Se a equipe não consegue provar, a hipótese pode permanecer como hipótese, mas não deve virar causa.
Esse campo reduz o viés de confirmação porque força a equipe a procurar prova contrária. Se a hipótese é “o trabalhador não seguiu o procedimento”, a investigação deve verificar se o procedimento era executável, conhecido, treinado na prática, compatível com a meta de produção e observado pela liderança antes do acidente. O texto sobre 5 Porquês em SIF detalha essa armadilha: cada porquê precisa abrir evidência, não estreitar o funil até a pessoa mais fraca da cadeia.
Campo 6: plano de ação com verificação de eficácia
O plano de ação não termina quando a atividade é concluída. Ele termina quando a empresa prova que o risco diminuiu. Trocar procedimento, ministrar treinamento ou instalar proteção são ações; verificar se a tarefa ficou mais segura é outro trabalho. Essa diferença separa relatório preventivo de relatório defensivo.
Cada ação precisa ter responsável, prazo, barreira afetada, forma de verificação e indicador leading associado. Quando a ação é treinamento, a verificação não pode ser lista de presença; deve ser observação em campo, teste prático, qualidade da AST, taxa de recusa de tarefa ou redução de desvio crítico. Quando a ação é proteção física, a verificação deve testar uso real, manutenção, bypass previsível e inspeção periódica. Em Efetividade para Profissionais de SSMA, Andreza Araujo descreve o profissional de segurança eficaz como alguém que transforma requisito em mudança operacional, não em pendência encerrada.
Comparação entre relatório defensivo e relatório preventivo
| Dimensão | Relatório defensivo | Relatório preventivo |
|---|---|---|
| Ponto de partida | Busca causa imediata | Reconstrói sequência e barreiras |
| Linguagem | Desatenção, imprudência, descumprimento | Fato, evidência, hipótese e falha latente |
| Barreiras | Foca comportamento final | Lista barreiras técnicas, administrativas e culturais |
| Evidência | Aceita relato dominante da chefia | Exige prova para cada hipótese |
| Ação | Treinamento e reciclagem | Controle de risco com verificação de eficácia |
| Indicador | Data de fechamento | Redução demonstrável do risco |
Como auditar cinco relatórios em uma manhã
Escolha cinco relatórios dos últimos doze meses, preferencialmente com potencial SIF ou recorrência. A auditoria deve contar quantas causas terminam em comportamento individual, quantas ações são treinamento, quantas hipóteses têm evidência direta e quantas verificações de eficácia foram feitas em campo depois do prazo. O resultado costuma ser desconfortável, porque revela a maturidade real da investigação.
Use um corte objetivo. Se mais de metade das causas apontam para ato inseguro e menos de metade das ações têm verificação de eficácia, a empresa não tem processo de investigação; tem processo de encerramento. A queda de quase-acidente reportado após uma investigação punitiva reforça o diagnóstico, como mostra o artigo sobre subnotificação em SST. O silêncio do time é dado, não ruído.
Quando o relatório exige decisão executiva
Alguns achados não pertencem apenas ao SESMT. Falta de capital para controle de engenharia, pressão de produção incompatível com procedimento, terceirização sem governança, backlog crônico de manutenção e meta que premia velocidade acima de segurança exigem decisão executiva. Se o relatório deixa esses temas fora do plano de ação, ele empurra para o técnico de segurança uma responsabilidade que pertence à liderança.
O painel executivo de SST precisa receber achados de investigação em linguagem de risco material. Não basta mostrar quantidade de acidentes investigados; é preciso mostrar barreiras recorrentes, ações vencidas, eficácia verificada, reincidência por área e decisões pendentes de capital. O painel SST para C-level funciona melhor quando transforma investigação em pauta de governança, e não em anexo técnico que ninguém lê.
Quando o relatório alcança familiares, a linguagem precisa mudar de peça técnica para devolutiva compreensível, ponto aprofundado no guia de comunicação com famílias após fatalidade.
Conclusão
Relatório de investigação de acidente é instrumento de cultura. Quando ele culpa rápido, a operação aprende a esconder. Quando ele prova barreiras, falhas latentes e eficácia de ação, a operação aprende a reportar antes do dano. A diferença aparece no próximo quase-acidente, porque o trabalhador decide se vale a pena falar conforme a empresa tratou o último evento.
Cada relatório encerrado com treinamento do acidentado e sem verificação de eficácia é uma oportunidade perdida de retirar energia perigosa do sistema antes que ela reapareça em evento mais grave.
Para revisar a qualidade das investigações e fortalecer a cultura de aprendizado sem cair no atalho de culpar a ponta, a consultoria de Andreza Araujo conduz diagnóstico, capacitação e redesenho do processo de investigação, com base na metodologia descrita em Sorte ou Capacidade e Diagnóstico de Cultura de Segurança.
O mesmo cuidado vale para o registro oficial do evento, porque a CAT no S-2210 deve refletir a narrativa técnica do relatório, sem antecipar culpa do operador antes do RCA.
Perguntas frequentes
O que um relatório de investigação de acidente precisa conter?
Como evitar que a investigação culpe o operador?
Relatório de investigação deve usar 5 Porquês?
Qual é a diferença entre ação corretiva e verificação de eficácia?
Quando a empresa deve contratar apoio externo para investigar?
Sobre o autor
Especialista em EHS e Cultura de Segurança
Referência em EHS e Cultura de Segurança no Brasil e na América Latina, com 24+ anos liderando segurança em multinacionais como Votorantim Cimentos, Unilever e PepsiCo. Reduziu 86% da taxa de acidentes na PepsiCo LatAm e impactou mais de 100 mil pessoas em 47 países. Engenheira civil e de segurança do trabalho pela Unicamp, mestre em Diplomacia Ambiental pela Universidade de Genebra. Autora de mais de 15 livros sobre cultura de segurança, liderança e percepção de risco.
- 24+ anos liderando EHS em multinacionais (Votorantim Cimentos, Unilever, PepsiCo)
- Engenheira de Segurança do Trabalho — Unicamp; Mestre em Diplomacia Ambiental — Universidade de Genebra
- Autora de 15+ livros sobre cultura de segurança e liderança
- Premiada 2× pela CEO da PepsiCo; 10+ prêmios na área de EHS
andrezaaraujo.com LinkedIn YouTube YouTube open.spotify.com Instagram