CENTRO DE INVESTIGAÇÃO E PREVENÇÃO DE ACIDENTES AERONÁUTICOS

COMANDO DA AERONÁUTICA

CENTRO DE INVESTIGAÇÃO E PREVANÇÃO DE ACIDENTES AERONÁUTICOS - CENIPA

TEORIAS DA PREVENÇÃO

DOCUMENTOS DE PROPRIEDADE DO CENIPA

Todos os Direitos Reservados
Nos termos da legislação sobre direitos autorais, é proibida a reprodução total
ou parcial deste documento, utilizando-se qualquer forma ou meio eletrônico ou
mecânico, inclusive processos xerográficos de fotocópias e de gravação sem a permissão,
expressa e por escrito do Centro de Investigação e Prevenção de Acidentes Aeronáuticos
1. TEORIAS DE HEINRICH

Em 1931, analisando dados estatísticos sobre acidentes industriais, Herbert Willian

Heinrich, que trabalhava numa companhia americana de seguros, observou os altos custos
que representava para a seguradora a reparação dos danos decorrentes de acidentes e
doenças do trabalho. Ele analisou 75.000 acidentes e identificou que 88% desses acidentes
eram causados por atos inseguros, 10% por condições inseguras e 2% por causas não
previsíveis. É a conhecida relação de Heinrich, 88:10:2.

Relação de Heinrich (pioneiro de segurança industrial americano da década de 1930).

Para demonstrar sua teoria, desenvolveu uma relação de 300:29:1. Para cada grupo
de 330 acidentes do mesmo tipo, 300 resultariam em nenhum ferimento, 29 produziriam
ferimentos leves e 1 resultaria em ferimento grave.
Os acidentes resultam também em custos elevados para as empresas, trabalhadores
e a sociedade em geral. Afetam decisivamente a qualidade de vida e refletem-se na
economia nacional.
O custo dos acidentes também foi estudado por Heinrich que ensaiou um modelo a
partir dos custos e a sinistralidade laboral provocada.

1
 Heinrich demonstrou que o custo dos acidentes é superior ao valor pago pela
seguradora ao sinistrado. Defendeu que os custos indiretos seriam quatro vezes superiores
aos custos diretos, ou seja, a empresa suporta diretamente um custo quatro vezes superior
ao valor pago pela seguradora ao sinistrado.

É importante ressaltar que a base teórica desenvolvida por Heinrich, embora seja
relevante historicamente por lançar as bases para a compreensão da relação entre as falhas
humanas e os acidentes, não deve ser considerada na precisão de suas proporções, uma
vez que o cenário por ele estudado não retratava a indústria da aviação, bem como estudos
posteriores contestaram sua metodologia e resultados.
A partir da teoria que atribuía os acidentes unicamente à falha humana, evoluiu-se
para as teorias sequenciais. A partir deste raciocínio, Heinrich desenvolveu a Teoria do
Dominó: segundo esta teoria, a causa era única, porém procedia como uma sequência de
dominós caindo sucessivamente. Uma falha leva a outra, posteriormente à outra, até ocorrer
o acidente.

2
 Teoria do Dominó de Heinrich

O último dominó à direita representa as perdas - relativas a pessoas (acidentes),

propriedade, processos produtivos e meio ambiente – e é função de uma série de fatores
decorrentes dos dominós anteriores.
O dominó acidente/incidente representa o contato com energia ou substância.
O dominó de causas imediatas representa as condições que podem estar abaixo de
padrões ou procedimentos (por exemplo: utilização de equipamento sem autorização ou por
incompetência; equipamento ou ferramenta defeituosa; uso incorreto de um EPI etc.)
O de causas básicas ou causas fundamentais relaciona-se aos fatores pessoais ou
às condições de trabalho (por exemplo: insuficiência de capacidade física ou psicológica;
falta de treinamento; equipamento ou ferramenta inadequados; normas e procedimentos
inadequados; falta de supervisão etc.).

3
 A falta de controle ou de gerenciamento indica que há falta de um sistema de gestão
ou uma não conformidade a uma norma necessária.
Na visão da Teoria do Dominó, a maioria das falhas é humana: surgiu assim a
expressão “ato inseguro” e “condição insegura”. Segundo Heinrich, 88% dos acidentes eram
decorrentes de atos inseguros. Neste viés, a prevenção de acidentes passa basicamente
pela sensibilização, persuasão, conscientização, e controle hierárquico

2. TEORIA DE FRANK BIRD

A partir do estudo de Heinrich que mostrou que para cada 300 eventos de “quase
acidente”, ocorrem 29 com lesão leve e 1 com lesão incapacitante, Frank Bird Junior
aprimorou essa relação, analisando mais de 90 mil acidentes na siderúrgica Luckens Steel,
no intervalo entre 1959 e 1966. A proporção desenvolvida por Bird em seu estudo era de
500:100:1, ou seja, para cada 500 acidentes com danos à propriedade, ocorrem 100
acidentes com lesão leve e 1 com lesão incapacitante. Bird observou que além dos acidentes
com lesões pessoais da teoria de Heinrich, ocorriam também acidentes sem lesão, mas que
causavam perdas e danos à propriedade ou à empresa. O estudo de Bird foi denominado
“Controle de Perdas”.
Frank Bird realizou um estudo a partir da análise de 1.753.498 ocorrências, obtidas
do levantamento de 297 empresas, dando origem à Pirâmide de Frank Bird.
Nesse novo estudo foi acrescentado um novo dado estatístico denominado os “quase
acidentes”, obtendo uma nova proporção, a qual é possível observar na pirâmide:
600:30:10:1.
O processo pelo qual ocorre uma perda por acidente se dá por uma sequência de
causas e efeitos que levam a danos aos recursos humanos e materiais ou à descontinuidade
operacional. Tal processo é composto por três fases: condição potencial de perdas, acidente
e perda real ou potencial.
A condição potencial de perdas é determinada condição ou grupo de condições que
podem causar a perda. A perda real ou potencial é a consequência do acidente e pode
ocorrer como lesão ou morte de pessoas, danos a materiais, equipamentos, instalações ou
edificações ou descontinuidade do processo e a perda potencial é aquela que, em
circunstâncias um pouco diferentes, poderia ter sido transformada em perda real.

4
 Relação de Frank Bird.

3. MODELO SHELL

Outra teoria muito relevante para a compreensão da produção de acidentes é o

Modelo SHELL. Desenvolvido por Edwards (1972) e modificado posteriormente por Hawkins
(1975), o modelo auxilia na compreensão dos fatores humanos presentes no âmbito da
aviação.
O Modelo SHELL tem esse nome por ser um acrônimo das letras iniciais de cada
um dos componentes que são enfocados nessa abordagem. Desse modo, a proposta desse
modelo enfoca as interações do ser humano com os diferentes componentes, sendo eles:

S (Software): elemento que representa as normas, procedimentos, linguagem e simbologia

que norteiam o desenvolvimento da atividade.
H (Hardware): elemento que representa o componente técnico, as máquinas, equipamentos
e sistemas empregados na atividade.
E (Environment): elemento que representa o ambiente e o contexto operacional.
L (Liveware): elemento que representa o ser humano.

5
 Modelo SHELL.

Observa-se que o diagrama do modelo tem o ser humano como elemento central.
Desse modo, para sua correta aplicação no âmbito da aviação, deve-se considerar que toda
interação tem como ponto de partida o ser humano em sua relação com os demais
componentes, ou seja:

 L – S: A relação do ser humano com o conjunto de normas e procedimentos que

subsidiam o seu desempenho;
 L – H: A relação do ser humano com a máquina;
 L – E: A relação do ser humano com o contexto no qual as demais interações
ocorrem; e
 L – L: A relação do ser humano com os demais indivíduos que atuam no âmbito da
aviação.

No Modelo SHELL Cada interface do sistema representa possibilidades de acerto e

necessidades de ajustes para se evitar o erro humano, que acontece quando há alguma
incompatibilidade nessas interações. Por isso, as características dos componentes e a
qualidade das relações estabelecidas são aspectos fundamentais a serem considerados,
dado que podem ser fontes para o erro humano.

6
 Trata-se, portanto, de um modelo pautado na perspectiva dos fatores humanos, no
qual o indivíduo é o elemento mais importante, sendo ele tanto o fator mais crítico quanto o
mais flexível do sistema. As principais características do Modelo SHELL são:

 Visão interacionista: a adoção de uma visão interacionista, pautada na forma como

as relações são estabelecidas no contexto de trabalho.
 Ser humano como elemento central: a visão do ser humano como elemento central,
por ser tanto um ponto crítico quanto um elemento flexível que permite o adequado
funcionamento do sistema.
 Falhas e erros são decorrentes dos desajustes entre os elementos: a concepção
de que o erro humano decorre de incompatibilidades na interação do ser humano com
os demais elementos presentes no seu contexto de trabalho.

O modelo SHELL consiste em um dos modelos propostos pela International Civil

Aviation Organization (ICAO) para análise de ocorrências aeronáuticas (DOC 9683). Apesar
de ser um modelo linear, sua perspectiva considera o indivíduo em interações contínuas, de
vida e de trabalho, permitindo-nos analisar o trabalho e as condições de segurança, sempre
de um ponto de vista também macro, como resultantes de fatores individuais, psicossociais
e organizacionais.
Embora os modelos lineares possam ser considerados um marco importante para
que a investigação sistematizada de ocorrências aeronáuticas, algumas limitações desses
modelos inviabilizam a compreensão aprofundada de fatores que impactam na segurança

7
operacional e reduz as alternativas possíveis para prevenção de acidentes. Entre essas
limitações, podem ser citados:

 O limitado escopo de análise, cuja ênfase recai nas ações próximas ao evento; e
 A dependência da ocorrência do erro humano para que, posteriormente, possam ser
pensadas medidas corretivas.

Desse modo, quando pautadas nessa perspectiva, as práticas preventivas resultam

nas intervenções tradicionais de treinamento e capacitação e, não raramente, substituição
por meio de nova seleção de profissionais julgados mais aptos e capazes.
Para uma melhor compreensão de como os modelos lineares são utilizados na
análise de ocorrências aeronáuticas e na prevenção de ocorrências futuras...

Embora a tarefa a ser realizada fosse simples, relativamente de baixa complexidade,

e com etapas bem definidas e conhecidas pelos profissionais, ainda assim houve uma
ocorrência de solo.
A decisão do tratorista de deixar sua posição sem adotar as medidas de segurança
necessárias configurou um ato inseguro. Logo, a ocorrência teria sido evitada se o tratorista
não tivesse agido de tal modo.
Na perspectiva da Teoria do Dominó, caso os atos inseguros do motorista do trator
tivessem sido evitados, a ocorrência não teria acontecido. Nesse sentido, bastaria olhar para
os eventos mais próximas à ocorrência para identificar o que houve. Entretanto, essa

8
abordagem não permite identificar os fatores que favoreceram a ação equivocada do
tratorista, o que limita as possibilidades de prevenção.

Análise dos fatos pela Teoria do Dominó

É possível analisar a mesma ocorrência a partir da perspectiva do Modelo SHELL.

Para se compreender adequadamente essa ocorrência, é preciso buscar informações
antecedentes ao evento que permitam entender a interação do tratorista com seu contexto
de trabalho.

 Interação Liveware-Hardware: verifica-se que após a ocorrência o truck esquerdo

apresentava-se ligeiramente empenado. Essa condição do equipamento participou da
sequência de eventos que originaram a ocorrência à medida que, possivelmente,
gerou as dificuldades que o auxiliar encontrou para removê-lo.
 Interação Liveware-Liveware: no ímpeto de ser útil e ajudar o auxiliar, o operador
do trator saiu do seu posto sem adotar procedimentos corriqueiros de segurança na
operação normal da máquina.
 Interação Liveware-Software: a Norma Padrão de Ação (NPA) do tratorista vigente
à época da ocorrência, em seu procedimento para reboque de aeronaves, orientava
a não abandonar a posição do condutor para acoplar ou desacoplar garfo de
reboque/equipamento de apoio ao solo (EAS).

Para os casos em que fosse extremamente necessário, o procedimento previsto

consistia em sair da posição do condutor, aplicar o freio de mão, colocar a alavanca do
câmbio na posição parada (P), desligar o trator e colocar os calços.

9
 Nesse caso, a adoção de procedimento divergente do previsto em NPA reduziu a
margem de segurança da tarefa e contribuiu para a ocorrência, pois os riscos gerados seriam
neutralizados se o câmbio tivesse sido colocado na posição P, conforme o procedimento
previsto.
Apesar do modelo SHELL favorecer uma visão mais completa da ocorrência,
aspectos relevantes também deixam de ser abordados quando olhamos de forma isolada
para as interações entre os componentes. Nesse caso, um importante aspecto
organizacional foi relevante para a produção daquela ocorrência.

A formação e capacitação dos militares que executaram as tarefas

relacionadas ao reboque de aeronaves eram adequadas às exigências da função que
desempenhavam. Contudo, os treinamentos de reciclagem eram realizados
esporadicamente e sem controle rigoroso de presença.

Situações como essa sinalizaram a necessidade de expandir o olhar para os

eventos que antecedem um acidente, o que levou ao desenvolvimento de teorias e
modelos causais com uma ênfase ampliada, voltada para aspectos organizacionais e o
impacto de decisões gerenciais na produção de acidentes.

4. TEORIA DA DERIVA PRÁTICA

A teoria da deriva prática de Scott A. Snook é usada para entender como o

desempenho de qualquer sistema "se afasta" da sua proposta original. Tarefas,
procedimentos e equipamentos geralmente são inicialmente projetados e planejados de em
um ambiente teórico, sob condições ideais, com uma suposição implícita de que quase tudo
pode ser previsto e controlado, e onde tudo funciona como esperado. Isso geralmente é
baseado em três suposições fundamentais de que:

 a tecnologia necessária para atingir as metas de produção do sistema está

disponível;
 o pessoal é treinado, competente e motivado para operar adequadamente a
tecnologia como pretendido; e
 políticas e procedimentos ditarão o sistema e o comportamento humano.

10
 Essas suposições estão subjacentes a linha de base (ou ideal) de desempenho do
sistema, que pode ser apresentado graficamente como um linha reta desde o início do
desenvolvimento operacional.

Conceito da Deriva Prática de Scott A. Snook, professor associado da Harvard Business School, é um dos
principais especialistas em desenvolvimento de liderança. Possui MBA (Alta Distinção) da Harvard Business
School, e Ph.D. da Universidade de Harvard em Comportamento Organizacional. Entre seus livros, estão
Friendly Fire e Practical Intelligence in Everyday Life.

Uma vez implantado operacionalmente, o sistema deve ter o desempenho ideal

conforme projetado, seguindo o desempenho da linha de base (linha laranja) na maioria das
vezes. Na realidade, o desempenho operacional muitas vezes difere do pressuposto
desempenho da linha de base como consequência das operações da vida real em um
ambiente complexo, em constante mudança e geralmente exigente ambiente (linha
vermelha). Como a deriva é uma consequência da prática diária, é chamada de "deriva
prática". O termo "Deriva" é usado neste contexto como um desvio gradual de um curso
pretendido.
Snook afirma que a deriva prática é inevitável em qualquer sistema, não importando
o quanto cuidadoso e bem pensado tenha sido seu projeto. Algumas das razões para a
ocorrência da Deriva Prática são:

 tecnologia que nem sempre opera como previsto;

 procedimentos que não podem ser executados conforme planejado;

11
  regulamentos que não estão atentos às limitações contextuais;
 introdução de mudanças sutis em sistemas após sua concepção, sem a
correspondente reavaliação de seu impacto;
 adição de novos componentes ao sistema sem uma avaliação de segurança
apropriada dos perigos que estes podem apresentar; interações entre sistemas,
dentre outros.

Na realidade, as pessoas geralmente fazem o sistema funcionar diariamente, apesar

das deficiências deste, aplicando adaptações locais (ou soluções alternativas) e estratégias
pessoais. Essas soluções alternativas podem desviar da proteção e dos controles e defesas
de gerenciamento de risco existentes.
Atividades de garantia de segurança, como auditorias, monitoramento de
Indicadores de Desempenho de Segurança e vistorias, podem ajudar a expor atividades que
estão "praticamente à deriva". Logo, analisar as informações para descobrir porque a deriva
está acontecendo, ajuda a atenuar os riscos de segurança. Ao mesmo tempo, quanto mais
próximo do início da implantação operacional for identificado o desvio prático, mais fácil é
intervir.
Ainda na perspectiva do conceito de deriva prática, cabe considerar três métodos de
identificação dos riscos, os quais na analogia da deriva prática podem ser ilustrados como
“auxílios à navegação”, que permitirão um realinhamento à linha base de desempenho do
sistema, quais sejam:

Auxílios reativos à navegação apontam para um evento desencadeador grave, onde

consequências indesejadas já ocorreram. Nesse sentido, os auxílios de navegação reativos
são baseados com o pressuposto de “esperar até que algo quebre para consertar". Eles são
mais apropriados para situações que envolvem falhas em tecnologia e ou eventos incomuns.
Os auxílios de navegação reativos são parte integrante do gerenciamento de segurança. A
qualidade da contribuição dos auxílios reativos à navegação para a gestão da segurança
depende, no entanto, da medida em que as informações que eles geram vão além da(s)
causa(s) desencadeante(s) do evento, bem como abrangendo fatores latentes que
associados ao evento. As Recomendações de Segurança provenientes de investigação de
acidentes e de incidentes graves são exemplos de auxílios reativos.
Auxílios proativos à navegação requerem um evento desencadeador menos sério,
provavelmente com pouco ou nenhum dano ou consequências negativas. Auxílios proativos

12
de navegação são baseados na identificação de riscos de segurança anterior à sua falha,
tomando-se ações necessárias para mitigar esses riscos. Sistemas de relatos obrigatórios e
voluntários e vistorias de segurança são exemplos de auxílios proativos à navegação.
Auxílios preditivos à navegação não exigem que um evento acionador indesejado ocorra
para iniciar o seu processo de captura. Esses, são baseados com a noção de que o
gerenciamento de segurança é melhor realizado tentando-se encontrar os riscos, não
apenas esperando que ele apareça. De uma forma geral, a identificação preditiva tem sido
resultado de um grande volume de dados que, soltos, não indicam riscos, mas quando
analisados e trabalhados juntamente, demonstram tais riscos potencias. Sistemas de
Monitoramento de dados utilizados em companhias aéreas exemplificam tais mecanismos
de auxílios preditivos.

5. O DILEMA DA GESTÃO DE SEGURANÇA

Em qualquer organização envolvida na prestação de serviços, os riscos de produção

/ lucratividade e segurança estão vinculados. Uma organização deve manter a lucratividade
para permanecer no negócio, equilibrando os recursos empregados na produção, bem como
os aplicados na implementação do controle dos riscos envolvidos com a operação aérea.
A implementação de controles de risco tem um preço - dinheiro, tempo, recursos - e
o foco desses controles é melhorar o desempenho da segurança e não o da produção. No
entanto, alguns investimentos em segurança também podem melhorar a produção,
reduzindo acidentes e incidentes e, portanto, seus custos associados.
O espaço de segurança é uma metáfora para a zona em que uma organização
equilibra a desejada produção/ lucratividade, mantendo a necessária segurança por meio de
controles de risco. Por exemplo, um fornecedor de serviço pode querer investir em novos
equipamentos. Os novos equipamentos podem fornecer simultaneamente a necessária
melhoria da eficiência, bem como incrementar a confiabilidade e o desempenho da
segurança. Essa tomada de decisão envolve uma avaliação tanto dos benefícios para a
organização quanto dos custos envolvidos.
A alocação de recursos excessivos à segurança (controles de risco) pode resultar
na atividade da empresa se tornar não lucrativa, portanto comprometendo a viabilidade da
organização. Por outro lado, a alocação excessiva de recursos para produção pode ter um
impacto negativo na segurança do produto ou serviço e, finalmente, levar a um acidente.
As organizações precisam monitorar e gerenciar continuamente seu espaço de segurança,
à medida que os riscos e influências externas mudam com o tempo. A necessidade de

13
equilibrar lucratividade e segurança tornou-se uma premissa importante na perspectiva dos
provedores de serviço.

A figura ilustra a alocação de recursos e os limites do espaço de segurança de uma organização

6. MODELO ORGANIZACIONAL DE REASON

As limitações encontradas nas teorias anteriores fomentaram o desenvolvimento de

novas teorias, as quais adotaram uma perspectiva ampliada da produção de acidentes e,
por conseguinte, das formas de gerenciamento e prevenção desses eventos.
Em contraposição aos modelos lineares e ao seu caráter individualista, James Reason
(1997) apresentou sua proposta focada no acidente organizacional, como:

James Reason: psicólogo britânico, especialista em comportamentos humanos, definiu o Modelo do Queijo
Suíço na década de 90, focando nos riscos atrelados aos processos que podem ocasionar um acidente.

14
 James Reason propôs que a maioria dos acidentes tem origem em um ou mais de
quatro níveis de falha:

 Influência organizacional;
 Supervisão insegura;
 Precondições para atos inseguros; e
 Atos inseguros propriamente ditos.

As defesas contra falhas são estabelecidas como uma série de barreiras com pontos
de fragilidade individuais que mudam, continuamente, de tamanho e posição.
Segundo Reason, em um mundo ideal, as barreiras criadas pelas medidas de
proteção adotadas deveriam estar intactas, não sendo permitida nenhuma penetração por
possíveis acidentes. Porém, no mundo real cada barreira tem brechas e deficiências - os
buracos, que são as falhas ativas e as condições latentes.
Reason comparou esses buracos nas medidas de proteção a um “queijo suíço”. Em
uma organização todas as medidas de proteção são representadas por um conjunto de
camadas ligadas entre si, por ordem de prioridade, impossibilitando a passagem da
“trajetória” que “desenha” o acidente. Porém, numa situação real, estas camadas defensivas
apresentam buracos que se encontram num fluxo contínuo. Essas trajetórias, produzidas
devido às vulnerabilidades existentes no sistema, quando alinhadas, produzem uma janela
de oportunidade (Trajetória da Oportunidade).

15
 As condições latentes existem a qualquer nível organizacional e ficam presentes
durante muito tempo na organização, adormecidas, antes de se combinarem com as
circunstâncias locais e falhas ativas e penetrarem nos “buracos” alinhados das camadas
defensivas existentes no sistema.
A ideia base do modelo de queijo suíço desenvolvido por Reason é de que os erros,
além de poderem ser desencadeados pelos operadores, também ocorrem em diferentes
níveis hierárquicos de uma organização. Identificar as falhas que ocorrem em vários níveis
hierárquicos auxilia na identificação das medidas corretivas adequadas.
De um modo geral, uma premissa comum a diversos modelos de análise na
causalidade de buracos é a distinção entre as falhas humanas, cujos efeitos se manifestam
quase imediatamente – falhas ativas ou humanas - e aquelas cujos efeitos podem
permanecer adormecidos no seio de uma organização, por períodos de tempo mais ou
menos longos – condições latentes.

Condições latentes - São aspectos diretos e observáveis no modo como os sistemas de

trabalho funcionam e cujas consequências adversas não são imediatas, podendo
permanecer ocultas durante certo tempo tornando-se evidentes quando se combinam com
circunstâncias locais e falhas ativas para penetrar nas muitas barreiras de defesa do sistema.
Estão presentes em todos os sistemas, sendo uma inevitável na arte da vida organizacional.
São exemplos de condições latentes: design inadequado dos equipamentos face às
exigências operacionais; falhas na supervisão e manutenção; procedimentos de trabalho
deficientes; estratégias ou tomadas de decisões não adequadas, falta de treino, de
ferramentas e de equipamento; ou simplesmente, serem resultado de erros e violações. O
conceito de falhas latentes é especialmente útil na investigação de acidentes aeronáuticos.
Esse conceito estimula a análise de fatores que em uma organização podiam estar inertes
por longo período, até que alinhados a falhas ativas existentes no sistema acabam por
contribuir na ocorrência do acidente.
Falhas ativas ou humanas - São as falhas que têm efeitos imediatos e as suas
consequências são imediatamente posteriores ao desenrolar do acidente. Manifestam-se
através de erros e violações cometidos por uma parte da organização que é constituída,
geralmente, pelos elementos expostos aos mais severos perigos - os operadores. Estão,
portanto, associadas aos operadores ou em comando ou em contato direto com o sistema
produtivo. Deste modo, o modelo do “queijo suíço” nos auxilia numa melhor compreensão
da gênese do acidente, salientando e descrevendo a importância e a forma de envolvimento

16
dos fatores humanos nas circunstâncias imediatamente anteriores ao acidente, na medida
em que as condições latentes surgem a partir de falhas ao nível de tomada de decisões; das
deficiências ao nível das linhas de gestão; das condições preexistentes ou precursores
psicológicos.

Compreender a condição humana como uma das vulnerabilidades do sistema

resulta no entendimento de que as pessoas irão, eventualmente, apresentar
comportamentos que são incompatíveis com a manutenção de níveis seguros no âmbito da
organização. Segundo Reason, existem dois principais meios pelos quais o ser humano
enfraquece o sistema e fragiliza a segurança. As mudanças na forma de se pensar a
segurança baseadas no modelo Reason, podem ser representadas por meio das seguintes
barreiras:

Trajetória das Condições Latentes

Organização: Barreira referente às decisões gerenciais e processos organizacionais

estabelecidos que afetam o desempenho organizacional e moldam o desenho do trabalho,
incluindo aspectos como cultura organizacional, processos de comunicação e estrutura
hierárquica existente.

17
Tarefa/Ambiente: Relacionada às condições de trabalho que são oferecidas e nas quais o
ser humano executa suas atividades, sendo considerados os aspectos que induzem ao ou
favorecem o cometimento de erros e de violações.
Pessoal: Relativa ao desempenho humano. Logo, inclui tanto a identificação de erros quanto
de violações.
Defesas: São constituídas por regulamentos, treinamentos e recursos tecnológicos que
auxiliam na manutenção de um desempenho seguro e eficiente no contexto operacional.
Nessa perspectiva, as organizações precisam manter um sistema de monitoramento em
diferentes níveis da organização, a fim de evitar as ocorrências aeronáuticas.

O modelo sofreu novas alterações ao longo do tempo e, em sua posterior versão,

apresentada na obra Managing the risks of organizational accidents, Reason elencou alguns
pontos significativos que merecem destaque.
O ambiente físico e técnico de trabalho assumem grande relevância nesse modelo,
pois constituem a base de atuação humana, a prevenção deve ocorrer pautada nas
características presentes no sistema que aumentam a probabilidade de ocorrência de
eventos indesejáveis e favorecem os erros.
As inovações propostas de análise de acidentes destaca que a degradação da
segurança não ocorre de forma inevitável, pois trata-se de um processo que pode ser
retardado ou até mesmo detido por fenômenos de resiliência no interior da organização.
Assume-se como premissa do modelo três conceitos básicos: perigos, defesas e
perdas. Nessa perspectiva, todo contexto operacional possui perigos que precisam ser
devidamente identificados, cujos riscos precisam ser gerenciados ou contidos por meio das
defesas geradas pelas organizações e sistemas de trabalho, visando prevenir perdas.
As barreiras incluem uma variedade de fatores relacionados tanto ao sistema produtivo
quanto ao sistema protetivo promovidos nas organizações. Abarcam tanto as falhas ativas
(erros e violações), quanto as condições latentes que são necessárias para que um ato
inseguro tenha impacto sobre os níveis de segurança.

18
 Nova Proposta de Análise de Acidentes focado na pessoa, local de trabalho e organização.

O bloco retangular representa os principais elementos de um evento, ou seja, os

perigos, as defesas e as perdas e danos. Já a parte triangular representa o sistema que os
produz. Desse modo, na nova proposta apresentada, o modelo passa a ser composto por
três níveis: a pessoa, representada pelos atos inseguros; o local de trabalho, representado
pelas condições que provocam ou favorecem erros e violações; e pela organização.

19
 Para uma melhor compreensão de como os modelos organizacionais são utilizados
na análise e ocorrências aeronáuticas e na prevenção de ocorrências futuras, considere o
seguinte contexto...

Uma aeronave chegava a Rio Branco por volta das 2h15min da madrugada, em
péssimas condições de tempo, e quando aterrissou bateu numa árvore na cabeceira
da pista, perdendo o trem de pouso principal e deslizando de barriga por cerca de 80
metros no gramado ao lado da pista. Não houve registro de feridos.

A aeronave empregada nesse voo era do Modelo B 737-200 foi fabricado pela
BOEING em 1976. Seu Certificado de Matrícula fora expedido em 15 ABR 2002. Seu
Certificado de Aeronavegabilidade, expedido na mesma data, encontrava-se válido. A
manutenção da aeronave apresentava registros atualizados. A tripulação do voo era
composta por 2 pilotos. O comandante do voo possuía mais de 7 mil horas de voo e mais de
5 mil horas naquele modelo de aeronave. O copiloto possuía aproximadamente 1.300 horas
de voo, mas naquele modelo de aeronave, sua experiência era de aproximadamente 300
horas de voo.
De acordo com os requisitos exigidos em legislação, à época do acidente, ambos os
pilotos eram qualificados para o voo, porém, não possuíam suficiente experiência na rota
voada. Desde que havia sido promovido naquele modelo de aeronave, cerca de 5 meses
antes do acidente, o comandante nunca havia voado aquela rota.
O copiloto também não estava familiarizado com aquela rota e tinha uma experiência
bem menor que o comandante naquela aeronave. Durante a sua formação operacional, o
copiloto e fizera a transição para o B-737 a partir de uma aeronave bimotora leve, a pistão.

A tripulação executava uma programação de voo com várias etapas. A etapa começou
no dia anterior ao acidente, quando a tripulação decolou de Guarulhos, com destino a
Manaus e com escalas em Goiânia, Brasília, Porto Velho e Rio Branco.

Naquela programação, os pilotos haviam enfrentados vários problemas:

 Atrasos sucessivos e desencontros entre chegadas de aeronaves para

continuar o voo;
 Longa permanência de passageiros no aeroporto de Manaus;

20
  Reclamações decorrentes de falta de informações aos passageiros
embarcados no dia anterior e que tinham por destino Rio Branco;
 Passageiro embarcado por engano;
 Atendimento deficiente do pessoal de terra feito por pessoa inexperiente no
despacho (estagiário); e
 Falta de transporte para os tripulantes que assumiriam o voo.

A aeronave decolou de Porto Velho, a seguir, com destino a Rio Branco, pilotada pelo
comandante. Durante os procedimentos para pouso naquela localidade (SBRB), foram
realizados dois procedimentos de descida por instrumentos (IFR), sem sucesso.
A tripulação permaneceu orbitando sobre Rio Branco por aproximadamente uma hora,
aguardando melhoria das condições. Diante dessa impossibilidade, prosseguiram
para a alternativa, o Aeroporto Internacional Eduardo Gomes (SBEG), em Manaus.

 Os tripulantes estavam cientes das condições meteorológicas cambiantes no

destino, tal como ocorrera no dia anterior.
 Houve pressão dos passageiros sobre a empresa aérea para a execução
daquela etapa, uma vez que alguns deles não haviam desembarcado em Rio
Branco no dia anterior, bem como vários outros aguardavam o embarque
naquela localidade.
 Essa pressão também foi repassada à tripulação.

Um funcionário do despacho da Empresa, na chegada em Rio Branco, em contato,

via rádio, afirmou: - “tem que pousar aqui porque estou com setenta passageiros (para
embarcar) ...”.
Na tentativa de realizar o pouso, apesar das condições desfavoráveis, a tripulação
realizou alguns desvios operacionais e deixou de cumprir procedimentos previstos.

O acidente ocorreu no segmento final de aproximação para a cabeceira 06. A aeronave

colidiu com uma árvore, a uma altura de 57 pés e aproximadamente 360 metros da
cabeceira.

21
 Vamos analisar a ocorrência a partir das barreiras propostas

Análise do Acidente

Organização: englobando as decisões gerenciais e os processos organizacionais, podem

ser citadas decisões temporalmente distantes do evento, mas que concorreram para a
sequência de eventos, como a redução do número de pilotos, ocorrida dois anos antes do
acidente, e que veio a comprometer a qualidade do treinamento do copiloto, devido ao
aumento da demanda.
Tarefa/ambiente: a qual aborda as condições oferecidas para que as pessoas possam
executar suas tarefas, podem ser citadas como falhas que vulnerabilizaram a segurança:

 A existência de pressão sobre a tripulação;

 As condições cambiantes da meteorologia, que em alguns momentos se tornou
impeditiva para a operação aérea;
 A pouca familiarização da tripulação com aquela rota.

Pessoal: podem ser citados os erros e violações cometidos pelos tripulantes. Nessa
ocorrência, o desempenho operacional havia sido comprometido por desvios operacionais
efetuados pela tripulação, na tentativa de realizar o pouso, apesar das condições existentes.
Defesas: as barreiras existentes em termos de tecnologia, regulamentos e treinamento
foram insuficientes para evitar a ocorrência.

22
 Embora a análise da ocorrência não esgote os fatores que contribuíram para o
acidente, é possível identificar como a combinação entre condições latentes e falhas ativas
contribuiu para a ocorrência.
O acidente não resultou apenas da ação humana. Os erros e violações cometidos
pela tripulação não foram motivados por questões psicológicas individuais, como redução
no nível de atenção ou percepção prejudicada. De fato, foi um acidente organizacional,
sendo o desempenho humano apenas uma das barreiras que falhou em evitar o acidente.
Desta forma, a ampliação gerada pela perspectiva organizacional sinalizou a
relevância de uma visão integradora para a análise de acidentes em sistemas sociotécnicos
complexos como a aviação.

7. PROCESSOS E CICLO DE PREVENÇÃO DE ACIDENTES

De acordo com o dicionário Houaiss, os termos prevenir e prevenção podem ser

definidos da seguinte forma:

Prevenir: [...] dispor com antecipação (algo) de modo que se evite mal ou dano; tomar
medidas que evitem (algo), com antecipação.

Prevenção: Conjunto de medidas ou preparação antecipada de (algo) que visa prevenir (um
mal).

Nesse sentido, a prevenção de acidentes aeronáuticos apresenta a seguinte

definição:

“Atividade que envolve todas as tarefas realizadas com o objetivo de evitar a perda de
vidas e de bens materiais em decorrência de acidentes aeronáuticos. A prevenção de
acidentes é realizada mediante a aplicação de mecanismos de gestão da segurança
de voo. ”

Na atividade militar, a prevenção também deve considerar como meta a preservação

da capacidade de combate.
A prevenção de acidentes aeronáuticos é, classicamente, desenvolvida por dois
processos diferentes. São eles:

23
  Processo de vigilância da segurança operacional:

Baseada na regulação de todas as atividades aeronáuticas, na certificação dos

equipamentos e seus operadores, e na fiscalização da operação quanto ao fiel cumprimento
das normas estabelecidas. Naturalmente, o descumprimento de tais normas pode levar a
processos punitivos, como a aplicação de multas ou a cassação de concessões para a
prestação de serviços. Trata-se de uma função tipicamente atribuída aos órgãos reguladores
das atividades aeronáuticas no País, como ANAC e DECEA.

 Processo de prevenção de acidentes:

Baseada na coleta de informações a respeito dos padrões de segurança com que a

atividade aeronáutica se desenvolve. Visa permitir a implementação de ações corretivas,
preferencialmente, antes da ocorrência do acidente. Essas informações podem ser
fornecidas, voluntariamente, pelos próprios operadores, ou colhidas por especialistas.

Essas linhas de ação se mostram, necessariamente, complementares. A obtenção

da informação é de grande importância para o desenvolvimento da filosofia SIPAER e nesse
sentido, a total confiança de que a informação jamais será utilizada para a aplicação de
qualquer tipo de sanção é fundamental. Seu destino deve ser exclusivamente, o
desenvolvimento de ações corretivas para a prevenção de acidentes, caso contrário, há o
risco de inviabilização total do processo.
Garantir que as informações coletadas pela sistemática conhecida como filosofia
SIPAER sejam usadas, exclusivamente, para o desenvolvimento de ações corretivas é uma
necessidade. Por isso, essa coleta, geralmente, é desenvolvida por outra organização e não
pelo órgão regulador da atividade. Deste modo torna-se possível evitar eventuais conflitos
de interesse, uma vez que as deficiências reportadas podem estar no próprio órgão
regulador.
A sistemática de trabalho empregada pelo CENIPA permite decompor o processo
de prevenção de acidentes em cinco etapas que configuram o Ciclo da Prevenção.

24
 Coleta de dados (informações)
Obtenção de informações relativas às condições em que as atividades aeronáuticas
são desenvolvidas. As informações podem ser obtidas por meio da comunicação voluntária
do próprio operador, nas seguintes condições:

• Mediante o emprego de formulários padronizados e sistemas de envio

disponibilizados para esse fim (ex.: Relato de Prevenção e Relato ao CENIPA
para a Segurança de Voo); e
• Mediante coleta realizada por especialistas por meio de vistorias de segurança
de voo, da leitura de equipamentos de gravação de dados de voo, ou da
investigação de ocorrências aeronáuticas.

Embora geralmente tratada como uma atividade distinta, a investigação de acidentes

nada mais é que uma das ferramentas empregadas na busca de informações destinadas ao
desenvolvimento de ações corretivas para a sua prevenção. Em outras palavras, a
investigação é apenas uma das ferramentas da prevenção de acidentes. Assim, as duas
principais metodologias para identificação de perigos são:

a) Reativa. Essa metodologia envolve a análise de resultados ou eventos passados. Os

perigos são identificados através da investigação de ocorrências de segurança. Incidentes
e acidentes são uma indicação de deficiências do sistema e, portanto, podem ser usados
para determinar quais perigos contribuíram para o evento.

25
b) Proativa. Essa metodologia envolve a coleta de dados de segurança de eventos de menor
consequência ou desempenho do processo e a análise das informações de segurança ou
frequência de ocorrência para determinar se um perigo poderia levar a um acidente ou
incidente. As informações de segurança para identificação proativa de perigos vêm,
principalmente, de programas de análise de dados de voo (Flight Data Analisys - FDA),
sistemas de relatos de segurança.

Cabe ressaltar, que os perigos também podem ser identificados através da análise
de dados de segurança, que identificam tendências adversas e fazem previsões sobre
perigos emergentes.

 Análise
Estudo, por parte do especialista, de todas as informações obtidas,
independentemente do método empregado, seguida de sua classificação por áreas de
afinidade para que sejam estabelecidas suas origens comuns.

 Medidas de Prevenção
Destinadas a corrigir distorções nas origens causais dos problemas identificados, as
medidas corretivas também podem ser chamadas de medidas mitigadoras. Uma medida
mitigadora deve ser fruto do trabalho de um elemento credenciado em prevenção, que
considerará sua adequabilidade, praticabilidade e aceitabilidade com a amplitude adequada
para alcançar todos os alvos necessários. Seu objetivo é garantir eficiência e eficácia
máximas.

 Implementação de Medidas de Prevenção

A implementação das medidas de prevenção deve ser a mais imediata possível, sob
o risco da ocorrência do fato indesejado que ela visa evitar – o acidente. Para tanto, deve
fazer uso de um meio ágil e confiável de comunicação. Por parte de seus destinatários, deve
ser motivo da mais imediata resposta, sendo encarada com profissionalismo e
responsabilidade.

 Controle
É fundamental realizar uma verificação contínua da efetividade da medida de
mitigação na correção da condição desejada. Por ser contínuo, o controle pode confundir-
se com a primeira etapa do processo, que é a coleta de dados. Dessa forma, o conceito de

26
ciclo é estabelecido. Evidentemente, caso seja detectada a não efetividade da medida
mitigadora implementada, essa etapa do processo pode indicar a necessidade do
desenvolvimento de novas medidas. Isso levaria ao retorno à terceira etapa do ciclo.

8. GERENCIAMENTO DE RISCOS

O Gerenciamento de Risco aqui apresentado, tem como referência o DOC 9859 da

OACI – Safety Management Manual e o MCA 3-3 – Manual de Prevenção do SIPAER.
Segundo o DOC 9859, segurança é o estado no qual a possibilidade de prejuízo às
pessoas ou dano à propriedade é reduzido ou mantido em um nível aceitável, por meio de
um processo contínuo de identificação de perigos e gerenciamento de riscos.
A segurança da aviação é dinâmica. Isso quer dizer que novos perigos e riscos à
segurança emergem continuamente e devem ser mitigados. Diante deste fato, podemos
afirmar que enquanto os riscos à segurança são mantidos sob um nível de controle
adequado, um sistema aberto e dinâmico como a aviação ainda pode ser mantido seguro.

Identificação dos Perigos

Avaliação dos Riscos

Avaliação da Severidade Avaliação da Probabilidade

dos Riscos dos Riscos

Análise dos Riscos

Mitigação e Proposição de
Ações

Documentação do Processo

Metodologia para análise preliminar de riscos

27
• IDENTIFICAÇÃO DOS PERIGOS

O Gerenciamento de Riscos de Segurança (Safety Risk Management - SRM ou

apenas Gerenciamento de Risco - GR) é um componente essencial do gerenciamento de
segurança e inclui identificação de perigos, avaliação de riscos, mitigação de riscos e
aceitação de riscos. GR é uma atividade contínua porque o sistema de aviação está
constantemente mudando, novos perigos podem ser introduzidos e alguns perigos e os seus
associados riscos podem mudar com o tempo. Além disso, a eficácia das estratégias de
mitigação de riscos implementadas deve ser monitoradas para determinar se uma ação
adicional é necessária.
Segundo a MCA 3-3 Perigo é definido como:

“...condição, objeto ou atividade que potencialmente pode causar lesões às pessoas,

danos ao equipamento ou estruturas, perda de material, ou redução da habilidade de
desempenhar uma função determinada”.

Esse potencial de dano pode aparecer de diferentes formas, por exemplo: ambiente
de trabalho com ruído elevado, falta de sinalização adequada, eventos meteorológicos, aves
próximas às áreas de pouso e decolagem etc.
Os perigos são uma parte inevitável das atividades da aviação, no entanto, suas
manifestações e possíveis consequências adversas podem e devem ser tratadas por meio
de estratégias de mitigação. A aviação pode coexistir com perigos, desde que sejam
controlados.

A identificação de perigos é a primeira etapa no processo de gerenciamento

do risco. Ela precede uma avaliação de risco à segurança e requer uma compreensão
clara das suas consequências.

A identificação de perigos concentra-se em condições ou objetos que podem causar

ou contribuir para a operação insegura de equipamentos, produtos e serviços relacionados
à segurança da aeronave ou da aviação como um todo.
Na identificação de um perigo deve-se ter atenção de não confundir o perigo com
suas consequências. Uma consequência é um resultado que pode ser desencadeado pelo
perigo. Definindo-se claramente o perigo primeiro, pode-se mais facilmente identificar as
possíveis consequências.

28
 De maneira a explicitar o descrito acima, tomemos como exemplo um vento de trinta
nós. O vento com tal intensidade não é necessariamente uma condição de perigo. Na
verdade, o vento soprando na direção da pista aumenta a performance de decolagem e
pouso de uma aeronave. Entretanto, se um vento de mesma intensidade estiver soprando
em direção cruzada com a pista, essa condição pode ser perigosa para as operações. Como
consequências deste perigo poderemos ter uma desestabilização da aeronave na pista, uma
saída lateral da pista ou ainda, um dano ao trem de pouso.
Os perigos existem em todos os níveis da organização e são detectáveis por várias
fontes, incluindo reportes voluntários, relatórios de sistemas, inspeções, vistorias, sessões
de brainstorming, opinião de especialistas, etc. O objetivo é identificar proativamente os
perigos antes que causem acidentes, incidentes ou outras ocorrências relacionadas à
segurança. Um mecanismo importante para proatividade na identificação de perigos é um
sistema voluntário de reportes de segurança, sobre o qual falaremos no capítulo seguinte,
quando abordaremos o Relato de Prevenção (RELPREV) e o Relato ao CENIPA para
segurança de Voo (RCSV). As informações coletadas por meio desses sistemas de relatos
podem ser complementadas por observações, por registros de inspeções de rotina, ou por
auditorias organizacionais.
A identificação de perigos também pode considerar aqueles gerados fora da
governança da organização. Perigos relacionados a riscos emergentes também são uma
maneira importante de as organizações se prepararem para situações que possam
eventualmente ocorrer.
Veja alguns exemplos de processos que devem ser analisados ao se identificar os
perigos:
 fatores de design, incluindo equipamentos e tarefas;
 procedimentos e práticas operacionais, incluindo sua documentação e listas
de verificação, e sua validação sob condições operacionais reais;
 comunicações, incluindo meios, terminologia e linguagem;
 fatores de pessoal, como políticas da empresa para recrutamento,
treinamento, remuneração e alocação de recursos;
 fatores organizacionais, como compatibilidade das metas de produção e
segurança, alocação de recursos, pressões operacionais e cultura de
segurança corporativa;
 fatores do ambiente de trabalho, como ruído e vibração, temperatura,
iluminação e disponibilidade de equipamentos e roupas de proteção;

29
  fatores de supervisão regulatória, incluindo a aplicabilidade e aplicabilidade
dos regulamentos; a certificação de equipamentos, pessoal e procedimentos;
e a adequação da supervisão;
 defesas, incluindo fatores como o fornecimento de sistemas adequados de
detecção e alerta, a tolerância a erros do equipamento e a resiliência do
equipamento a erros e falhas; e
 desempenho humano, restrito a condições médicas e limitações físicas.

• AVALIAÇÃO DOS RISCOS

Conforme o MCA 3-3, risco é:

"...o potencial avaliado das consequências prejudiciais que podem resultar de um

perigo, expressa em termos de Probabilidade e Severidade, tomando como referência
a pior condição possível. ”

Da definição de risco surge a necessidade de descrever dois novos termos, a

probabilidade e a severidade do risco, para que, assim, possamos partir para a quantificação
da insegurança atrelada aos perigos que serão identificados em nossas organizações.

• AVALIAÇÃO DA PROBABILIDADE DO RISCO

A probabilidade do risco é: “a probabilidade de que uma consequência ou um

resultado do perigo ocorra”. É importante vislumbrar uma variedade de cenários para que
todas as consequências potenciais possam ser consideradas.
Algumas perguntas podem auxiliar na determinação da probabilidade:

• Existe um histórico de ocorrências semelhante ao que está em consideração, ou é

uma ocorrência isolada?
• Que outros equipamentos ou componentes do mesmo tipo podem ter problemas
semelhantes?
• Qual é o número de pessoas seguindo ou sujeitas aos procedimentos em questão?
• Qual é a exposição ao perigo em consideração? Por exemplo, durante que
percentagem de tempo a equipe/pessoal ou o equipamento está exposta ao perigo?

30
 Levar em consideração quaisquer fatores que possam estar por trás dessas
questões ajudará na avaliação da probabilidade das consequências do perigo em qualquer
cenário previsível.
Os prestadores de serviços devem exercer a devida diligência ao identificar perigos
significativos e razoavelmente previsíveis relacionados ao seu produto ou serviço.
A tabela abaixo apresenta uma típica classificação de probabilidade de risco. Ela
inclui cinco categorias para denotar a probabilidade relacionada a um evento ou condição
insegura, a descrição de cada categoria e a atribuição de seu valor. Este exemplo usa termos
qualitativos. Termos quantitativos poderiam ser definidos para fornecer uma avaliação mais
precisa, dependendo da disponibilidade de dados de segurança adequados e da sofisticação
da organização e operação.

Tabela para avaliação da probabilidade do risco. O nível de detalhamento das tabelas e matrizes devem ser
adaptados às necessidades e complexidades particulares de cada organização. Deve-se notar também que
as organizações podem incluir critérios qualitativos e quantitativos.

• AVALIAÇÃO DA SEVERIDADE DO RISCO

Uma vez concluída a avaliação da probabilidade, o próximo passo é avaliar a

severidade. Para isso devemos levar em conta as consequências potenciais relacionadas
ao perigo. A severidade do risco é:

“...definida como a extensão do dano que poderia razoavelmente ser esperado para
ocorrer como consequência ou resultado do perigo identificado.”

A classificação de severidade deve considerar:

 Fatalidades ou ferimentos graves que ocorreriam como resultado de:

31
  estar na aeronave;
 ter contato direto com qualquer parte da aeronave, incluindo peças que dela
se desprenderam; ou
 ter exposição direta à descarga dos gases da combustão dos motores (jet
blast).
 Danos:
 dano ou falha estrutural sofrido pela aeronave que:
• afeta negativamente a resistência estrutural, o desempenho ou as
características de voo da aeronave;
• normalmente exigiria grande reparo ou substituição do componente
afetado;
 danos sofridos pelo ATS ou equipamento de aeródromo que:
• afeta negativamente o gerenciamento de separação das aeronaves; ou
• afeta negativamente a capacidade de pouso.

A avaliação da severidade deve considerar todas as possíveis consequências

relacionadas a um perigo levando em conta a pior situação previsível.
A tabela abaixo apresenta uma tabela típica de severidade do risco de segurança.
Inclui cinco categorias para denotar o nível de severidade, a descrição de cada categoria e
a atribuição de um valor para cada categoria. Como na tabela de probabilidade de risco, a
tabela a seguir é apenas um exemplo.

Tabela para avaliação da severidade do risco.

32
• ANÁLISE DOS RISCOS

O índice de avaliação de risco é criado combinando os resultados dos valores de

probabilidade e severidade das tabelas anteriores e designado por um código alfanumérico.
As respectivas combinações de severidade/probabilidade são apresentadas numa matriz
denominada matriz de avaliação de risco. A matriz de avaliação de riscos é usada para
determinar a tolerância ao risco de segurança. Para exemplificar, considere, uma situação
em que a probabilidade e a severidade do risco tenha sido avaliada como ocasional (4) e
como perigosa (B), respectivamente, resultando em um índice de (4B). A seguir o
detalhamento da matriz de avaliação do risco.

Matriz de Riscos.

O índice obtido da matriz de avaliação de riscos deve ser exportado para uma tabela
de tolerância, que descreva os critérios de aceitabilidade do risco em análise. Os riscos são
conceitualmente avaliados como aceitáveis, toleráveis ou intoleráveis.

 ACEITÁVEL - significa que não é necessário adotar medidas mitigadoras, a menos

que se possa reduzir mais o risco com pouco custo ou esforço.
 TOLERÁVEL - significa que as organizações afetadas estão preparadas para
suportar o risco. Entretanto, é recomendável que sejam adotadas ações mitigadoras
para reduzir o risco.
 INTOLERÁVEL - significa que as operações nas condições atuais devem cessar até
que o risco se reduza pelo menos ao nível tolerável.

33
 O critério para o risco avaliado como 4B se enquadra na categoria "intolerável".
Nesse caso, a avaliação de risco da consequência é inaceitável. A organização deve,
portanto, interromper a operação ou agir imediatamente para mitigar o risco até um nível
tolerável.

Tabela de tolerância do risco. Para determinação da tolerância ao risco, deve-se levar em consideração a
qualidade e a confiabilidade dos dados utilizados para a identificação dos riscos e sua probabilidade.

O critério para o risco avaliado como 4B se enquadra na categoria "intolerável".

Nesse caso, a avaliação de risco da consequência é inaceitável. A organização deve,
portanto, interromper a operação ou agir imediatamente para mitigar o risco até um nível
tolerável. Outra forma de representar a tolerabilidade do risco, pode ser observada na figura
abaixo:

No que diz respeito aos riscos, não existe uma segurança de voo absoluta. Os riscos têm de ser mantidos no
nível mais baixo possível.

34
• MITIGAÇÃO E PROPOSIÇÃO DE AÇÕES

A mitigação de risco é frequentemente referida como um controle de risco. Os riscos

de segurança devem ser conduzidos para um nível aceitável por meio da aplicação de
adequado controle de risco. Isso deve ser equilibrado com o tempo, o custo e a dificuldade
de tomar medidas para reduzir ou eliminar o risco.
O nível do risco pode ser baixado pela redução da severidade das potenciais
consequências, reduzindo a probabilidade de ocorrência ou a exposição ao risco.
As mitigações de riscos são ações que frequentemente resultam em alterações em
procedimentos operacionais, equipamentos ou infraestrutura. As estratégias de mitigação
de risco se enquadram em três categorias. São elas:

 Eliminação: a operação ou atividade é cancelada ou evitada porque o risco de

excede os benefícios da continuidade da atividade, assim eliminando completamente
o risco à segurança.
 Redução: a frequência da operação ou atividade é reduzida, ou são tomadas ações
para reduzir a magnitude das consequências do risco à segurança.
 Segregação: são tomadas medidas para isolar os efeitos das consequências do risco
à segurança ou incorporadas redundâncias para se proteger contra eles.

Uma estratégia de mitigação de risco pode envolver uma das abordagens descritas
anteriormente ou pode incluir múltiplas abordagens. É importante considerar toda a gama
de possíveis medidas de controle para encontrar uma solução ideal. A eficácia de cada
estratégia alternativa deve ser avaliada antes que uma decisão seja tomada. Cada proposta
alternativa de mitigação do risco deve ser examinada conforme as seguintes perspectivas:

Eficácia: Até que ponto as alternativas reduzem ou eliminam os riscos à segurança. Eficácia
pode ser determinada em termos de defesas técnicas, de treinamento e regulamentares que
podem reduzir ou eliminar os riscos.
Custo / benefício: Até que ponto os benefícios percebidos da mitigação superam os custos.
Praticabilidade: Até que ponto a mitigação pode ser implementada e quão apropriada é em
termos de tecnologia disponível, recursos financeiros e administrativos, legislação, vontade
política, realidades operacionais, etc.
Aceitabilidade: Até que ponto a alternativa é aceitável para as pessoas que se espera que
a apliquem.

35
Capacidade de acompanhamento: Até que ponto a conformidade com novas regras,
regulamentos ou procedimentos operacionais podem ser monitorados.
Durabilidade: Até que ponto a mitigação será sustentável e eficaz.
Riscos residuais: O grau de risco que permanece após a implementação da mitigação
inicial e que podem exigir medidas adicionais de controle de risco.
Consequências não intencionais: A introdução de novos perigos e dos riscos relacionados
associados à implementação de qualquer alternativa de mitigação.
Tempo. Tempo necessário para a implementação da alternativa de mitigação de riscos.

• DOCUMENTAÇÃO DO PROCESSO

Como última fase do gerenciamento do risco temos que realizar a documentação do

processo. As atividades de gerenciamento de riscos devem ser documentadas, incluindo as
considerações analisadas durante a avaliação de probabilidade e severidade e quaisquer
ações de mitigação de riscos adotadas. Isso pode ser feito usando uma planilha ou tabela.
Algumas organizações podem usar um banco de dados ou outro software em que grandes
quantidades de dados e informações de segurança podem ser armazenados e analisados.
Manter um registro dos perigos identificados minimiza a probabilidade da
organização perder de vista os perigos já conhecidos. Quando são identificados novos
perigos, estes podem ser comparados com os já registrados, para verificar se o mesmo já
foi registrado e que ações foram tomadas para sua mitigação.
Os registros de perigo geralmente estão em um formato de tabela e normalmente
incluem: o perigo, possíveis consequências, avaliação dos riscos associados, identificação
da data, categoria do perigo, breve descrição, quando ou onde se aplica, quem o identificou
e que medida foi adotada para mitigar os risco.
Ferramentas e processos de tomada de decisão de risco podem ser usados para
aperfeiçoar análises recorrentes, bem como a justificação de decisões tomadas.

36
 Exemplo de auxílio à decisão de riscos à segurança.

Ferramentas e processos de tomada de decisão de risco podem ser usados para

aperfeiçoar análises recorrentes, bem como a justificação de decisões tomadas.

37