Estruturar Risco em Método

Em 2025, o Brasil registrou 806.011 acidentes de trabalho. Recorde histórico. Quarta alta consecutiva desde 2021. Os números são do Ministério do Trabalho e Emprego, produzidos por auditores-fiscais a partir de registros oficiais do INSS e do eSocial — não são estimativas, não são projeções. São ocorrências formalizadas.

E ainda assim representam uma fração do que realmente acontece.

Estudos indicam que até 85% dos acidentes de trabalho não são oficialmente notificados no Brasil. O Ministério Público do Trabalho apurou que, em 2022, cerca de 19% dos acidentes com afastamento sequer geraram Comunicação de Acidente de Trabalho. O que os dados oficiais mostram já é grave. O que eles não mostram é estruturalmente maior.

Esse é o primeiro problema. O segundo é mais sutil — e mais determinante.

O que os números medem — e o que eles não alcançam

Indicadores de acidentalidade medem eventos. Registram o que aconteceu, quando aconteceu, em qual setor, com qual parte do corpo, com qual afastamento resultante. São dados reais, com valor diagnóstico real. Mas carregam um limite que raramente é explicitado: eles descrevem a fase visível da falha — não a condição que a produziu.

A ISO 31000:2018 define risco como “o efeito da incerteza sobre os objetivos”. Não como evento. Não como acidente. Como condição — dinâmica, presente, operando antes que qualquer registro seja feito. A revisão de 2018 da norma reforçou justamente esse ponto: gestão de risco eficaz exige integração com a tomada de decisão e com a estrutura de governança da organização, não apenas com o registro de ocorrências.

A distância entre esses dois entendimentos — risco como evento e risco como condição estrutural — é onde a maioria dos sistemas de SSMA opera com déficit silencioso.

A lógica que organizou o campo — e seus limites

A gestão de risco em SSMA foi construída, em grande parte, sobre uma premissa nascida nos anos 1930: controle o volume de ocorrências menores e você reduz a probabilidade do acidente grave. Herbert William Heinrich analisou 550 mil acidentes industriais e estabeleceu proporções que moldaram décadas de prática. A contribuição foi legítima — trouxe racionalidade estatística para um campo que operava predominantemente pelo acaso e pelo improviso.

O problema não é o dado original. É o modelo mental que se cristalizou a partir dele: a ideia de que o risco se manifesta de forma previsível, linear, progressiva — e que uma gestão suficientemente atenta às ocorrências menores estará, por consequência, protegida das maiores.

Essa lógica tem uma falha estrutural. Ela assume que o sistema de registro captura os sinais relevantes antes que eles se tornem eventos graves. Pesquisa publicada no British Medical Journal em 2000, por James Reason — o mesmo pesquisador que desenvolveu o Modelo do Queijo Suíço —, já apontava que incidentes graves frequentemente têm causas distintas das ocorrências cotidianas. Não são simplesmente “mais do mesmo em maior escala”. São produtos de falhas latentes que residem na organização por meses ou anos, invisíveis ao sistema de monitoramento convencional, até que as condições certas se alinhem.

O acidente não começa no evento. Começa na estrutura que o permitiu.

Falhas ativas e falhas latentes — a distinção que muda o diagnóstico

Reason distinguiu dois tipos de falha em sistemas complexos. As falhas ativas são imediatas, visíveis, geralmente atribuídas a pessoas: o operador que não seguiu o procedimento, o motorista que ultrapassou o limite de velocidade, o técnico que pulou uma etapa da inspeção. São as falhas que os relatórios de acidente documentam, que os treinamentos tentam corrigir, que os indicadores registram.

As falhas latentes são outra categoria. Residem nas decisões organizacionais, nos processos mal desenhados, nas pressões sistêmicas, nas lacunas de governança. Não produzem consequência imediata — ficam dormentes, às vezes por anos, até que uma combinação de circunstâncias as ative. Quando o acidente finalmente ocorre, a análise causal encontra o operador, o motorista, o técnico. Raramente encontra a decisão tomada doze meses antes que criou a condição para a falha.

Essa distinção não é abstrata. Ela tem implicação direta sobre onde um sistema de gestão de SSMA precisa colocar sua atenção.

Uma organização que concentra seus recursos em monitoramento de falhas ativas está, em grande medida, gerenciando o passado. Está respondendo ao que já aconteceu — ou ao que quase aconteceu e foi registrado. A falha latente não aparece nesse campo de visão. Ela opera abaixo da superfície operacional, silenciosa, acumulando pressão em estruturas que parecem estáveis.

O dado que revela o padrão

Os números do MTE de 2025 trazem uma informação que merece leitura além do título. Entre 2021 e os anos seguintes, os dias de trabalho perdidos por acidentes saltaram de 7,5 milhões para mais de 17 milhões — um crescimento que supera em proporção o próprio aumento no volume de acidentes registrados. O que isso indica não é apenas que houve mais acidentes. É que os acidentes ficaram mais graves.

Gravidade crescente com volume crescente é o padrão de um sistema que não está antecipando — está acumulando. As fraturas silenciosas chegam antes da ruptura em escala. O dado de dias perdidos é um sinal tardio de um processo que começou muito antes do evento registrado.

Outro dado relevante: apenas 1% das notificações de acidentes de trabalho no Brasil são classificadas como doenças ocupacionais. O próprio Ministério do Trabalho reconhece que esse índice revela “a grande dificuldade em reconhecer as doenças relacionadas ao trabalho” — frequentemente subnotificadas ou confundidas com condições clínicas comuns. Doenças ocupacionais são, por definição, o produto de exposição acumulada. São a categoria de ocorrência mais estrutural, mais latente, mais dependente de leitura sistêmica. E são exatamente as que o sistema convencional menos captura.

O sistema mede o que explode. O que corrói fica fora do campo.

Entre dado e decisão — existe arquitetura

A gestão de risco não é um problema de volume de informação. Organizações de SSMA têm mais dados do que nunca — CAT, eSocial, ASO, PGR, PCMSO, registros de near miss, indicadores de absenteísmo. O problema raramente é ausência de dado. É ausência de método para transformar dado disperso em leitura estruturada.

A ISO 31000:2018 é clara nesse ponto: a gestão de risco deve ser integrada — não como função paralela ao negócio, mas como parte da estrutura de tomada de decisão em todos os níveis da organização. Isso exige que os sinais captados pelo sistema de monitoramento sejam interpretados dentro de uma arquitetura que conecte eventos visíveis, padrões emergentes, condições organizacionais e variabilidades operacionais.

Sem essa arquitetura, o dado permanece dado. Não vira inteligência. Não sustenta decisão preventiva. Não antecipa — registra.

A diferença entre uma operação exposta e uma operação protegida raramente é tecnológica. Não é o sistema mais caro, o software mais sofisticado, o maior volume de indicadores monitorados. É metodológica. É a capacidade de ler o sistema — não apenas os seus eventos.

O que isso muda na prática

Gestão de risco orientada a eventos produz sistemas que reagem bem. Investigam acidentes com rigor, classificam causas, emitem recomendações, fecham ações corretivas. O ciclo funciona — dentro do seu próprio escopo.

O problema é que esse escopo não cobre o campo onde a maioria das exposições críticas se forma. Falhas latentes não geram CAT. Microdesvios acumulados não aparecem no painel de indicadores. Pressão operacional crônica não tem código CID. Variabilidade não registrada não entra na análise de risco.

Antecipar exige método diferente. Exige leitura entre camadas — não apenas monitoramento da superfície. Exige correlação entre sinais que, isolados, parecem irrelevantes e, conectados, revelam padrões. Exige estrutura de governança que alcance a condição antes do evento.

Método começa onde reação termina. Não porque reação seja inútil — ela é necessária e será sempre necessária. Mas porque a organização que opera apenas com reação está, sistematicamente, chegando tarde.

Risco não é apenas o que acontece. É o que a estrutura permite.

O próximo artigo desta série examina por que o indicador, por definição, mede o passado — e o que noventa anos de ciência da segurança passaram a exigir além do monitoramento de eventos.

Referências e Leituras Complementares

Dados e fontes institucionais

  • Ministério do Trabalho e Emprego (MTE) / CANPAT 2025 — Acidentes de trabalho crescem no Brasil e atingem recorde em 2025. gov.br/trabalho-e-emprego
  • Observatório de Saúde e Segurança no Trabalho — SmartLab / MTE-OIT. smartlabbr.org
  • INSS — Anuário Estatístico de Acidentes do Trabalho (AEAT)
  • Ministério Público do Trabalho — dados de subnotificação de CAT, 2022

Normas técnicas

  • ABNT/ISO 31000:2018 — Gestão de riscos: diretrizes
  • NR-1 (atualização 2024) — Disposições Gerais e Gerenciamento de Riscos Ocupacionais (GRO)

Referências científicas e técnicas

  • Reason, J. (1990). Human Error. Cambridge University Press
  • Reason, J. (2000). Human error: models and management. British Medical Journal, 320, 768–770
  • Dekker, S. (2014). Safety Differently: Human Factors for a New Era. CRC Press
  • Hollnagel, E., Wears, R.L., Braithwaite, J. (2015). From Safety-I to Safety-II: A White Paper. University of Southern Denmark

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *