Risco crítico sem dono: 8 vazios de governança que enfraquecem barreiras
Diagnóstico F1 sobre risco crítico sem dono, com foco em governança, barreiras, autoridade de decisão, rotina executiva e responsabilidade real no PGR.
Principais conclusões
- 01Risco crítico sem dono não é ausência de organograma; é ausência de autoridade clara para decidir, escalar, testar e corrigir barreiras.
- 02O PGR fica frágil quando descreve controles críticos, mas não define quem responde por disponibilidade, qualidade e verificação no turno real.
- 03A governança precisa separar dono do risco, dono da barreira e dono da ação corretiva, porque cada papel decide em tempos diferentes.
- 04O sinal mais perigoso aparece quando todo mundo participa da reunião, mas ninguém tem mandato para interromper a tarefa ou liberar recurso.
- 05O controle começa com matriz de responsabilidade, rotina executiva, evidência de campo e regra de escalada para risco com potencial de SIF.
Risco crítico sem dono raramente aparece como lacuna explícita no PGR. O documento cita trabalho em altura, energia perigosa, carga suspensa, espaço confinado, circulação de veículos e contratadas. Também lista controles, treinamentos, permissões, inspeções e responsáveis por área. No papel, parece que a governança existe. No campo, a pergunta difícil continua sem resposta: quem tem autoridade real para manter a barreira crítica viva quando prazo, produção e custo pressionam ao mesmo tempo?
A tese deste artigo é que risco crítico não fica órfão por falta de gente envolvida. Ele fica órfão quando há participação sem mandato, reunião sem decisão, indicador sem consequência e plano de ação sem dono com alçada. Esse vazio é mais perigoso do que parece, porque a empresa acredita que distribuiu responsabilidade quando, na prática, apenas espalhou tarefas.
Em 25+ anos de EHS executivo, Andreza Araujo observa que organizações maduras no discurso ainda tropeçam nesse ponto. A alta liderança quer governar SIF, o SESMT quer robustez técnica, a operação quer viabilidade e a manutenção quer janela de execução. Sem desenho claro de autoridade, cada área protege uma parte do problema, enquanto a barreira que deveria proteger a pessoa perde integridade. Como discutido em A Ilusão da Conformidade, conformidade documental não prova controle real.
Por que nomear um responsável não basta
Nomear um responsável é só o começo. A pergunta decisiva é o que essa pessoa consegue fazer quando a barreira falha. Se ela não pode interromper tarefa, liberar orçamento, exigir correção, convocar liderança ou recusar exceção, o título vira formalidade. Responsabilidade sem alçada cria uma ficção confortável: todos acreditam que alguém cuida do risco, embora ninguém consiga mudar a condição que o mantém vivo.
James Reason ajuda a sustentar essa leitura ao mostrar que acidentes organizacionais atravessam defesas enfraquecidas muito antes do evento final. A barreira crítica não falha apenas no momento do acidente; ela se desgasta quando teste não é feito, exceção vira rotina, ação corretiva atrasa e decisão difícil fica sempre para a próxima reunião. O dono real da barreira é quem impede esse desgaste, não quem aparece no organograma.
Esse diagnóstico conversa com o artigo sobre verificação de barreiras críticas no PGR. Verificar mostra se a barreira funciona. Governar define quem responde quando ela não funciona. Uma empresa precisa dos dois movimentos, porque evidência sem autoridade vira relatório, e autoridade sem evidência vira aposta.
1. Vazio da autoridade para parar
O primeiro vazio aparece quando todos defendem autoridade de parada em campanha, mas poucos sabem quem sustenta a decisão depois que a tarefa foi interrompida. O supervisor pode parar? A contratada pode recusar? O operador pode chamar o gerente? Quem conversa com produção? Quem protege a pessoa de retaliação informal quando o prazo atrasar?
Risco crítico exige uma regra simples e operacional: quem identifica perda de barreira deve ter caminho curto para interromper a exposição, e a liderança precisa tratar a parada como decisão técnica até prova contrária. Sem essa proteção, a autoridade de parada existe apenas para eventos óbvios. Nos casos ambíguos, que são justamente os mais frequentes, a pessoa hesita.
A armadilha comum é transformar parada em heroísmo individual. A cultura elogia quem teve coragem depois do quase-acidente, mas não cria rotina para que a próxima pessoa não dependa de coragem. Governança forte reduz a necessidade de ato heroico, porque torna previsível o que deve acontecer quando a barreira crítica não está íntegra.
2. Vazio entre dono do risco e dono da barreira
O dono do risco nem sempre é o dono da barreira. Uma diretoria pode ser dona do risco de energia perigosa, enquanto manutenção responde por bloqueio, operação responde por liberação, compras responde por contratada e engenharia responde por projeto. Se essa separação não estiver explícita, cada área assume que a outra está controlando o pedaço decisivo.
Esse vazio fica visível em auditorias depois de incidente. O risco estava no PGR, o procedimento existia, a equipe havia sido treinada e a inspeção estava registrada. Mesmo assim, ninguém sabia quem deveria verificar se o dispositivo de bloqueio continuava disponível no turno noturno, se a contratada usava padrão equivalente ou se a exceção aberta havia perdido validade.
A correção passa por separar três papéis. O dono do risco responde por prioridade e apetite de exposição. O dono da barreira responde por disponibilidade, teste e qualidade do controle. O dono da ação corretiva responde por entrega no prazo. Quando esses papéis se misturam, a empresa pode até trabalhar muito, mas trabalha sem nitidez.
3. Vazio da exceção que ninguém assume
Risco crítico raramente falha em condição ideal. Ele falha na manutenção emergencial, na peça que não chegou, no equipamento provisório, na equipe reduzida, na chuva, na mudança de escopo e na contratada que entrou para resolver um atraso. A exceção revela se a governança é real, porque força a empresa a decidir fora do conforto do procedimento padrão.
Quando a exceção não tem dono, ela vira negociação local. O supervisor tenta acomodar, o técnico de SST alerta, a produção pressiona, a manutenção promete cuidado extra e a tarefa segue com uma barreira compensatória mal definida. O problema não é a existência de exceção; operações reais têm exceções. O problema é aceitar exceção crítica sem autoridade nomeada e sem condição mínima de liberação.
O artigo sobre risco residual e qualidade de barreiras aprofunda essa decisão. Aceitar risco residual por cor de matriz é fraco. Aceitar risco residual sem saber quem responde pela exceção é pior, porque transforma uma concessão técnica em improviso institucional.
4. Vazio do orçamento sem prioridade
Muitas barreiras críticas dependem de dinheiro pequeno em comparação com o potencial de perda, mas grande o suficiente para disputar prioridade com produção, manutenção e projetos. Sensor, guarda, plataforma, trava, sistema de exaustão, isolamento físico, treinamento prático e horas de supervisão entram na fila. Se o risco crítico não tem dono executivo, a fila decide pela empresa.
Esse vazio costuma aparecer com linguagem administrativa. A ação está em aprovação, o fornecedor está em cotação, a área aguarda janela, o orçamento será reavaliado no próximo ciclo. Enquanto isso, a exposição continua. A governança falhou não porque alguém foi negligente de forma isolada, mas porque o sistema não definiu que barreira crítica tem tratamento diferente de melhoria comum.
Em Sorte ou Capacidade?, Andreza Araujo questiona a confiança excessiva em bons resultados quando a capacidade preventiva não foi provada. Esse ponto é central aqui. Passar meses sem acidente enquanto a barreira espera orçamento não demonstra segurança; demonstra apenas que o evento ainda não cobrou a fragilidade.
5. Vazio da verificação que não chega ao comitê
Inspeções de campo encontram desvios que nunca sobem com a força necessária. A proteção estava removida, o isolamento estava incompleto, a permissão foi preenchida sem leitura, o teste de bloqueio foi apressado, a contratada não entendeu a regra local. Cada achado recebe correção pontual, mas o comitê continua vendo indicador limpo.
O vazio está no caminho entre evidência e decisão. Se a informação de campo chega como lista de pendências, a liderança trata como rotina de fechamento. Se chega como perda de barreira em risco crítico, a conversa muda. A diferença não é estética; ela altera prioridade, prazo, recurso e cobrança.
O comparativo sobre auditoria, inspeção e entrevista em controles críticos mostra que evidências diferentes revelam fragilidades diferentes. A governança precisa decidir quais achados sobem, em que prazo e com qual linguagem. Sem isso, a empresa coleta sinais que não viram decisão.
6. Vazio da contratada fora da cadeia de dono
Contratadas ampliam o risco crítico quando a empresa acredita que cláusula contratual substitui governança. O fornecedor assina procedimento, entrega documentos, participa de integração e começa a tarefa. A pergunta que fica é quem, dentro da contratante, responde pela barreira crítica que depende de gente, equipamento ou supervisão da contratada.
Esse vazio aparece em atividades como içamento, trabalho em altura, espaço confinado, elétrica, escavação e limpeza industrial. A contratada executa, mas a contratante continua dona do ambiente, da interface e da decisão de permitir exposição. Quando esse desenho não está claro, a empresa terceiriza execução e, sem perceber, terceiriza também a percepção de risco.
A qualificação inicial ajuda, embora não baste. O dono do risco precisa acompanhar mudança de equipe, troca de ferramenta, pressão de prazo, subcontratação e exceções de campo. Contratada crítica não pode ficar fora da cadeia de dono, porque a barreira que depende dela continua protegendo pessoas dentro da operação da contratante.
7. Vazio do indicador que mede presença, não integridade
Indicador fraco informa que a inspeção foi feita, o treinamento ocorreu, a permissão foi emitida e a ação está em andamento. Tudo isso pode ser verdadeiro sem provar integridade da barreira. Uma trava pode existir e não ser usada. Um bloqueio pode estar no procedimento e não ser testado. Uma APR pode estar assinada e não ter discutido a energia perigosa real.
O indicador de governança precisa perguntar outra coisa: a barreira crítica está disponível, compreendida, testada e protegida contra exceção? Quando a resposta é parcial, o risco não deveria aparecer como verde. Verde, nesse caso, vira anestesia executiva.
Empresas que amadurecem esse ponto criam indicadores de falha de barreira, atraso de ação crítica, reincidência de exceção, tempo de correção e qualidade de verificação. Não é volume de dado que muda a decisão. É a capacidade de mostrar perda de controle antes que o evento grave aconteça.
8. Vazio da rotina executiva sem pergunta crítica
Comitês de SST podem consumir uma hora inteira sem tocar na pergunta que importa. Falam de taxa, campanha, treinamento, auditoria, pendência e calendário. Quando chegam aos riscos críticos, perguntam se há acidente, se há ação aberta e se a área está acompanhando. Poucas vezes perguntam qual barreira está mais frágil, quem é o dono e que decisão precisa ser tomada hoje.
A rotina executiva precisa de perguntas melhores. Qual risco crítico está operando com barreira compensatória? Qual ação crítica passou do prazo? Qual exceção virou normal? Qual dono pediu recurso e não recebeu? Qual unidade reportou verde apesar de evidência contraditória no campo?
A experiência global de Andreza Araujo em 47 países reforça que governança precisa respeitar contexto local sem perder linguagem comum de decisão. O artigo sobre governança de risco crítico em quatro regiões mostra esse desafio em escala. Na unidade local, a lógica é a mesma: pergunta executiva ruim produz silêncio bonito.
Risco atribuído vs risco governado
| Risco atribuído | Risco governado |
|---|---|
| Há um responsável citado no PGR. | Há autoridade clara para parar, corrigir, escalar e liberar recurso. |
| A barreira aparece no procedimento. | A barreira tem dono, frequência de teste e evidência de funcionamento. |
| A ação corretiva está em planilha. | A ação crítica tem prioridade, prazo protegido e cobrança executiva. |
| A contratada assinou os requisitos. | A contratante mantém dono interno para interfaces e exceções críticas. |
| O comitê acompanha indicadores gerais. | O comitê discute perda de barreira, risco residual e decisão pendente. |
A tabela mostra por que governança não é sinônimo de cadastro. Risco atribuído organiza nomes. Risco governado organiza decisões. A diferença aparece no dia em que a tarefa precisa parar, o recurso precisa sair e alguém precisa sustentar uma decisão desconfortável diante da operação.
Conclusão: barreira crítica sem dono vira promessa
Risco crítico sem dono não costuma nascer de descaso explícito. Ele nasce de uma governança que confunde envolvimento com autoridade. Muitas pessoas participam, poucos decidem; muitas áreas opinam, poucas respondem; muitos indicadores circulam, poucas barreiras são defendidas com evidência e recurso.
Andreza Araujo costuma conectar cultura de segurança ao comportamento repetido sob pressão. Se, sob pressão, ninguém sabe quem pode parar a tarefa, aceitar exceção, liberar recurso ou cobrar correção de barreira crítica, a cultura aprendeu a conviver com responsabilidade difusa. O PGR pode estar bem escrito e ainda assim falhar na pergunta principal: quem protege esta barreira quando ela incomoda a operação?
Para organizações que querem sair da conformidade aparente e governar riscos críticos com rigor, a consultoria de Andreza Araujo conecta diagnóstico cultural, decisão executiva e verificação de barreiras para transformar responsabilidade formal em controle real.
Perguntas frequentes
O que significa risco crítico sem dono?
O dono do risco crítico deve ser o SESMT?
Como saber se uma barreira crítica tem dono real?
Esse tema entra no PGR?
Qual livro da Andreza Araujo sustenta essa análise?
Sobre a autora
Andreza Araújo
Especialista em Cultura de Segurança · Executiva Sênior de EHS
Andreza Araújo é especialista em cultura de segurança e executiva sênior de EHS, com mais de 25 anos de experiência em meio ambiente, saúde e segurança. É engenheira civil e engenheira de segurança do trabalho pela Unicamp, mestra em Diplomacia Ambiental pela Universidade de Genebra e concluiu estudos em sustentabilidade no IMD, na Suíça. Atuou como Global Head de EHS em ambientes Fortune 500, liderando programas de transformação cultural em operações multinacionais. Representou o Brasil como palestrante na ONU, em Paris, e discursou na Organização Internacional do Trabalho, em Turim. É autora de mais de 16 livros sobre cultura de segurança em português, espanhol, inglês e alemão. Seu trabalho já recebeu mais de 10 prêmios de EHS, incluindo dois reconhecimentos de Indra Nooyi, ex-CEO da PepsiCo.
- Engenheira Civil e de Segurança (Unicamp)
- Mestra em Diplomacia Ambiental (Universidade de Genebra)
- Certificação em Sustentabilidade (IMD Suíça)
- Gestão de Pessoas e Coaching (Ohio University)
- Palestrante na ONU em Paris, representando o Brasil
- Palestrante na OIT em Turim
- LinkedIn Top Voice
- Reconhecimento de Indra Nooyi, ex-CEO da PepsiCo (2x)
Documentários
Assista aos documentários da Andreza
Três produções sobre cultura de segurança, falhas organizacionais e as lições humanas por trás de grandes desastres.
Podcasts
Ouça os podcasts da Andreza
Ela apresenta três programas sobre liderança em segurança, EHS e cultura organizacional, em inglês e português.
