Matriz de risco 5×5: 4 distorções que escondem o risco real

Em projetos de transformação cultural conduzidos pela Andreza Araujo, em mais de duzentas e cinquenta operações industriais, agrícolas e de mineração, 60% das células de uma matriz de risco 5×5 acabam classificadas como "moderada" ou "baixa". Esse padrão aparece mesmo em plantas onde o histórico de quase-acidentes em altura, espaço confinado e energia perigosa é semanal. A matriz, que deveria ser barreira analítica preventiva exigida pela NR-01, opera como peça gráfica de tranquilização do gestor e do auditor. Este guia mostra quatro distorções estruturais que transformam a 5×5 em gestão de percepção, e propõe um protocolo curto para o gerente de SST auditar a própria matriz em trinta minutos.

Por que matriz colorida não impede SIF

A matriz 5×5 entrou no PGR brasileiro como artefato simples para hierarquizar inventário de riscos exigido pela NR-01 atualizada em 2020. A premissa é que probabilidade e severidade, multiplicadas, ordenam o que merece controle imediato e o que pode esperar pelo próximo ciclo de auditoria. A premissa funciona enquanto duas condições estão presentes: distribuição estatística estável dos cenários e calibração honesta de quem preenche. Em planta industrial real, ambas falham, e Andreza Araujo argumenta em A Ilusão da Conformidade que cumprir o requisito formal da NR-01 e gerenciar risco operacional são coisas que coincidem por sorte, e não por desenho. O mesmo padrão aparece quando auditoria que pontua 100% convive com SIF na operação: a documentação acerta porque copia a documentação anterior, e a barreira analítica não é testada contra o evento real.

O modelo do queijo suíço de James Reason ajuda a entender a falha: a matriz é uma camada de barreira, e como toda barreira tem buracos. O problema não é existir matriz, mas tratá-la como camada única, quando ela mal cumpre o papel de uma camada incompleta.

1. Probabilidade × severidade colapsa cenários incomensuráveis

Uma queda de telhado durante manutenção predial e um corte superficial em laminação caem na mesma célula da 5×5 quando o método multiplica probabilidade por severidade e arredonda. Severidade 5 com probabilidade 1 dá 5; severidade 1 com probabilidade 5 dá 5. A matriz colore as duas células do mesmo amarelo, e a apresentação para o C-level mostra dois riscos "toleráveis".

Como Andreza Araujo defende em diagnóstico de cultura de segurança, instrumento de avaliação só serve quando preserva a diferença qualitativa do que está sendo medido. A multiplicação cega trata fatalidade rara e laceração frequente como equivalentes, ainda que toda decisão de capital, de seguro e de comunicação executiva pós-evento separe radicalmente os dois.

O recorte que resolve não é abandonar a matriz, e sim adotar uma regra de prioridade fora da multiplicação: severidade 5 nunca cai abaixo da zona vermelha, ainda que a probabilidade declarada seja improvável. A operação que segue essa regra trata catastrófico raro como inegociável, porque a tolerância estatística para morte por queda no canteiro é zero, ainda que a frequência histórica seja anual.

2. Quem preenche define o resultado — viés do menos exposto

Matriz 5×5 raramente é preenchida pelo operador que executa a tarefa. O fluxo padrão é o engenheiro de segurança puxar a APR de tarefa anterior, ajustar pontuação ao ouvir o supervisor por dez minutos, e submeter ao gerente para validação na reunião mensal de PGR. O operador que conhece a vibração do andaime, o atrito do cabo de aço enferrujado e o reflexo da chuva no piso da plataforma não aparece na sala onde a nota é atribuída.

Em 25+ anos liderando EHS em multinacionais de bens de consumo, Andreza Araujo identifica que o gap entre nota declarada e nota real costuma chegar a dois pontos na escala de probabilidade. Em 80 Maneiras de Ampliar a Percepção de Risco, o argumento central é que percepção de risco é função do tempo de exposição direta à tarefa, e não do nível hierárquico de quem preenche a planilha. A matriz que documenta a percepção do menos exposto trata o canteiro como o gerente imagina que ele é.

O ajuste necessário é simples e tipicamente recusado: incluir o operador da tarefa na atribuição da pontuação, com poder de veto sobre o número final. A recusa do gerente em aceitar esse veto é em si um indicador de cultura calculativa no modelo de Hudson, e os modelos Bradley e Hudson ajudam a localizar a operação nesse espectro.

3. "Moderado" é zona de fuga — onde 60% das células acabam

Toda matriz tem uma zona neutra (amarela, laranja, "3"), que existe pela boa razão de evitar dicotomia binária. O problema é que essa zona vira aterro de cenário difícil. Quando o engenheiro de segurança não tem dado histórico (porque a operação não reporta near-miss), e o supervisor não quer atribuir nota alta (porque atrai gerência cobrando plano de ação), o resultado para a célula é "moderado" por exclusão dos extremos.

O efeito agregado é a curva concentrada na zona neutra: 60% das células em "moderado" em matrizes auditadas em projetos da Andreza Araujo, contra distribuição esperada de 30% caso a calibração fosse honesta. A leitura executiva da curva é otimista — "a operação tem riscos sob controle, predominantemente moderados". A leitura técnica é o oposto — "a operação não sabe onde estão os riscos altos, e por precaução os classifica como moderados".

O sinal de uma matriz funcional é a distribuição em U: muitos riscos baixos (porque foram efetivamente controlados), poucos riscos moderados (porque a zona neutra é de exceção, não de regra), e poucos riscos altos visíveis (porque a operação tem coragem de declarar). A matriz com 60% no centro precisa de recalibração, não de plano de ação por célula.

4. ALARP virou ALARP-de-papel — a barreira nunca é testada

O conceito de ALARP (As Low As Reasonably Practicable) chega ao PGR brasileiro como apêndice silencioso da matriz: depois de classificar o risco, escreve-se que ele foi reduzido ao mais baixo razoavelmente praticável e considera-se a tarefa cumprida. O teste empírico do ALARP raramente acontece — não há ensaio de barreira, não há simulação de cenário pior, não há revisão pós-incidente que recompute a célula.

Em A Ilusão da Conformidade, Andreza Araujo descreve esse padrão como o ciclo de matriz que se autovalida: o documento de hoje cita o documento de ontem, que cita o de anteontem, e a barreira nunca é testada contra o cenário real. O modelo do queijo suíço prevê esse modo de falha. Cada camada que não é testada acumula buracos invisíveis, e a operação descobre os buracos quando a sequência alinhada produz o evento catastrófico.

A correção exige um movimento que poucas operações fazem por iniciativa própria, porque ele expõe a fragilidade do PGR atual: ensaiar duas barreiras críticas por mês contra o cenário pior plausível, e recomputar a célula da matriz com base no resultado do ensaio. Quando o ensaio mostra que a barreira não segura, a célula sobe na escala, e o plano de ação ganha urgência real.

Como auditar sua matriz em 30 minutos

O protocolo curto cabe num único turno do gerente de SST, dispensa software de gestão de risco e devolve um diagnóstico defensável para a próxima reunião de comitê:

• Pegue a matriz consolidada do último PGR e conte a proporção de células classificadas como moderadas. Se passar de 40%, a operação está calibrada na zona de fuga.
• Liste todos os cenários de severidade 5 (potencial fatal) e verifique se algum aparece classificado abaixo da zona vermelha. Cada cenário fatal em zona amarela é um buraco declarado na primeira camada de barreira.
• Identifique quem preencheu cada célula. Se mais de 70% das células foram preenchidas pelo engenheiro de segurança ou pelo gerente, a percepção do operador está sub-representada.
• Cheque se há registro de ensaio empírico de barreira (simulado ou real) nos últimos doze meses para os cinco riscos de maior severidade. Ausência de ensaio é ALARP-de-papel.
• Compare a distribuição declarada na matriz com o histórico de near-miss reportado nos últimos seis meses. Distribuições incompatíveis indicam subnotificação ou matriz desconectada da operação.

O resultado da auditoria é uma página: distribuição das células, número de fatais em zona não-vermelha, percentual preenchido pelo operador, número de barreiras não ensaiadas e gap entre matriz e near-miss. Essa página fala mais ao C-level do que o painel colorido do PGR completo.

Comparação: matriz como gestão de percepção × matriz como gestão de risco

O papel do C-level: cobrar a curva, não a matriz

O comitê executivo que recebe o PGR consolidado costuma olhar o painel colorido por dez segundos, identificar a inexistência de células vermelhas e dar o aval. Esse ritual é parte do problema, porque ele recompensa a matriz que minimiza a percepção e pune a matriz que declara fragilidade. Em mais de duzentos e cinquenta projetos de transformação cultural, Andreza Araujo observa que o ponto de virada acontece quando o C-level passa a cobrar a curva de distribuição em vez da quantidade absoluta de células vermelhas.

O argumento se estende ao painel executivo: os indicadores leading que o C-level deveria ver mensalmente incluem a distribuição da matriz, o gap entre matriz e near-miss e o número de barreiras críticas ensaiadas no mês. O painel que mostra apenas TRIR e LTIFR repete o erro da matriz na camada superior, classificando como "sob controle" uma operação cuja distribuição estatística esconde o catastrófico raro.

O recorte que muda na prática

A matriz 5×5 não desaparece, porque a NR-01 não a dispensa, e porque a hierarquização é útil quando feita honestamente. O ajuste necessário é tratá-la como uma camada incompleta de barreira analítica, calibrada por quem executa a tarefa, ensaiada empiricamente nos cenários piores e cruzada mensalmente com near-miss reportado. Quando isso acontece, a matriz deixa de ser peça gráfica de tranquilização do auditor e volta a ser o que sempre foi proposta a ser, que é a primeira leitura do risco da operação.

Cada matriz com 60% das células em "moderado" é uma operação que não sabe onde estão seus riscos altos e os classifica por exclusão dos extremos. O próximo SIF nessa operação não será surpresa estatística, será confirmação do que a matriz já dizia em silêncio.

Conclusão

A 5×5 funciona quando a regra de severidade fixa o catastrófico raro em zona vermelha, quando o operador participa do preenchimento, quando a zona moderada é exceção e quando a barreira é testada. Cada uma dessas quatro correções custa pouco em hora de equipe e exige coragem de gestão. Para um diagnóstico estruturado da matriz e da cultura que a sustenta, a consultoria da Andreza Araujo conduz a apuração ponta a ponta, com a metodologia descrita em Diagnóstico de Cultura de Segurança e 80 Maneiras de Ampliar a Percepção de Risco.