Existe uma suposição implícita que organiza a maior parte das ferramentas de gestão de risco em SSMA: a ideia de que o risco pode ser decomposto. Identificar o perigo, avaliar a probabilidade, estimar a severidade, definir a medida de controle. O risco é tratado como soma de partes isoláveis — um perigo, uma causa, uma barreira.
Esse modelo funciona bem para riscos simples, em sistemas previsíveis, onde as variáveis são poucas e as relações entre elas são lineares. O problema é que operações reais raramente têm essa estrutura.
Sistemas operacionais complexos — com múltiplas equipes, interfaces entre processos, variabilidade de condições, pressões simultâneas de prazo, custo e segurança — não produzem risco pela soma de fatores isolados. Produzem risco pela interação entre eles. E interação não é capturada por análise de fator único.
O que torna um sistema complexo
Em 1984, o sociólogo Charles Perrow publicou Normal Accidents: Living with High-Risk Technologies. A tese central era provocadora: em sistemas com alta complexidade e forte acoplamento entre componentes, acidentes não são desvios de um estado normal — são propriedades emergentes do próprio sistema. Não acontecem apesar do design. Acontecem por causa dele.
Perrow distinguiu dois eixos. O primeiro é a complexidade interativa: quanto mais conexões não lineares e não antecipadas existem entre os componentes de um sistema, maior a probabilidade de interações inesperadas produzirem resultados que nenhuma análise isolada previu. O segundo é o acoplamento rígido: quanto menor a folga entre processos interdependentes — quanto menos tempo e espaço existe para absorver uma perturbação antes que ela se propague — maior a velocidade com que uma falha localizada escala para falha sistêmica.
Operações com equipes pulverizadas, múltiplos turnos, terceirização de atividades críticas, pressão de entrega contínua e interfaces informais entre setores têm, por definição, alta complexidade interativa. Quando adicionam-se jornadas estendidas, rotatividade de pessoal e variabilidade de condições operacionais, o acoplamento aumenta. O sistema fica mais susceptível a falhas emergentes — aquelas que nenhum checklist antecipou porque nenhum checklist foi desenhado para ler interações entre camadas.
O que a NR-1 passou a reconhecer
A atualização da NR-1 pela Portaria MTE nº 1.419/2024, com vigência plena a partir de maio de 2026, introduziu algo que o modelo de análise por fator isolado não alcançava: a obrigatoriedade de incluir fatores de risco organizacionais e psicossociais no GRO. A norma reconhece que risco não é apenas físico, químico ou mecânico. É também o produto da forma como o trabalho é organizado, gerenciado e executado — e de como essas dimensões interagem.
Esse reconhecimento normativo alinha o Brasil a uma tendência que organismos internacionais como a OIT e a ISO já haviam incorporado. A ISO 45001:2018 — norma internacional de sistemas de gestão de saúde e segurança ocupacional — adota explicitamente uma abordagem sistêmica: riscos e oportunidades devem ser avaliados considerando o contexto organizacional completo, incluindo fatores internos e externos que influenciam a operação.
A abordagem sistêmica não é filosofia. É instrução metodológica: a análise de risco que não considera como os fatores interagem produz diagnóstico incompleto. E diagnóstico incompleto produz barreiras que protegem contra o que foi previsto, não contra o que realmente vai acontecer.
O dado que evidencia a escala do problema
Os dados do MTE de 2025 trazem um número que ilustra com precisão o que acontece quando a complexidade não é lida: motoristas de caminhão concentraram o maior número de mortes por acidente de trabalho no Brasil nos últimos dez anos — 4.249 óbitos em uma década, média superior a uma morte por dia.
Esses óbitos não são produto de um fator isolado. São o resultado da interação entre jornada de trabalho, condição da via, pressão comercial de entrega, estado físico do condutor, manutenção do veículo, condições climáticas e uma série de variáveis que raramente são analisadas em conjunto. Cada fator, isoladamente, pode estar dentro dos parâmetros aceitos. A interação entre eles pode não estar — e raramente é medida dessa forma.
O mesmo padrão aparece nos dados de afastamentos por saúde mental: mais de 472 mil afastamentos em 2024, crescimento de 68% em relação ao ano anterior. Transtornos mentais não têm causa única. São produto da interação entre demanda de trabalho, suporte organizacional, condições de gestão, contexto de vida e capacidade individual de adaptação. Tratá-los como fator isolado — “o trabalhador tem ansiedade” — é ignorar o sistema que produziu a condição.
Leitura entre camadas — o que isso significa na prática
Leitura entre camadas não é ter mais indicadores. É ter método para conectar indicadores que habitualmente vivem em sistemas separados.
O dado de absenteísmo está no RH. O dado de near miss está no SSMA. O dado de produtividade está na operação. O dado de saúde ocupacional está no SESMT. Cada um desses sistemas captura uma camada da realidade operacional. Nenhum deles, isolado, revela o padrão. A inteligência emerge quando são cruzados — quando o pico de absenteísmo é correlacionado com o período de maior pressão de entrega, quando o aumento de near misses coincide com a rotatividade de equipe, quando o dado de saúde ocupacional é lido em relação à exposição documentada no PGR.
Essa leitura cruzada é o que a ISO 31000:2018 chama de abordagem integrada: gestão de risco não como função paralela, mas como estrutura de interpretação que atravessa as camadas da organização e conecta sinais que, em silos, não dizem nada.
A NR-1 atualizada aponta na mesma direção ao instruir que a gestão dos fatores psicossociais seja feita em conjunto com a NR-17 — ergonomia — e a partir da análise integrada das condições de trabalho. A norma não diz “adicione mais um campo ao PGR”. Diz: leia o sistema de forma diferente.
O limite da análise por fator único
Uma análise de risco que decompõe o sistema em fatores isolados e avalia cada um independentemente produz um resultado que é tecnicamente correto e operacionalmente insuficiente. É correto porque cada fator foi avaliado. É insuficiente porque o risco real frequentemente emerge da combinação — da sequência específica de condições que alinha os furos do queijo suíço de Reason.
Sidney Dekker nomeia esse fenômeno como o problema da decomposição: sistemas complexos não se comportam como a soma de suas partes. Propriedades emergentes — características do sistema que não existem em nenhum componente isolado — aparecem somente quando os componentes interagem. Analisar os componentes separadamente não revela as propriedades emergentes.
Gestão de risco que não lê entre camadas está, sistematicamente, gerenciando um sistema que não é o sistema real. Está gerenciando o modelo simplificado que o formulário de análise de risco permite capturar — não a operação com toda a sua complexidade, variabilidade e interdependência.
Entre dado e decisão existem camadas. Ignorá-las não as elimina — apenas as torna invisíveis ao gestor que precisaria vê-las.
O próximo artigo desta série examina a anatomia da falha silenciosa — como sistemas complexos acumulam pressão antes de romper em escala, e por que o evento crítico é sempre o último sinal, não o primeiro.
Referências e Leituras Complementares
Dados e fontes institucionais
- Ministério do Trabalho e Emprego / CANPAT 2025 — dados de mortalidade por ocupação (motoristas de caminhão)
- INSS — afastamentos por transtornos mentais, 2024
- Ministério do Trabalho e Emprego — Portaria MTE nº 1.419/2024
Normas técnicas
- ABNT/ISO 31000:2018 — Gestão de riscos: diretrizes (abordagem integrada)
- ABNT/ISO 45001:2018 — Sistemas de gestão de saúde e segurança ocupacional
- NR-1 (atualização 2024) — Gerenciamento de Riscos Ocupacionais
- NR-17 — Ergonomia
Referências científicas e técnicas
- Perrow, C. (1984). Normal Accidents: Living with High-Risk Technologies. Basic Books
- Reason, J. (1990). Human Error. Cambridge University Press
- Hollnagel, E. (2014). Safety-I and Safety-II: The Past and Future of Safety Management. Ashgate
- Dekker, S. (2014). Safety Differently: Human Factors for a New Era. CRC Press
- ABNT/ISO 45001:2018 — requisito 6.1: ações para abordar riscos e oportunidades