No universo da segurança — seja em saúde, construção, indústria ou serviços — muitas vezes a narrativa dominante é: “o funcionário errou, portanto o acidente aconteceu”. Porém, esse olhar individualizado deixa de fora um aspecto crucial: as falhas que residem no sistema, nas decisões de gestão, nos processos que aparentemente funcionam, mas que contêm fragilidades invisíveis.

A estrutura conhecida como Modelo do Queijo Suíço, idealizada pelo psicólogo britânico James Reason, surge como um divisor de águas para essa compreensão. Em sua proposta, cada “fatia de queijo” representa uma barreira ou camada de defesa dentro de um sistema — protocolos, treinamentos, verificações, equipamentos, supervisão. Todas essas camadas têm imperfeições — os “buracos” — e, quando esses buracos se alinham em diferentes camadas, abre-se o caminho para o erro, o incidente e, eventualmente, o acidente. Esse modelo já foi aplicado em setores tão diversos como aviação, saúde, petróleo e gás e nuclear.

Mas por que mencionar isso aqui no blog Conectar e Construir? Porque, se atuamos em arquitetura, construção, segurança do trabalho e gestão, precisamos assumir que o erro humano raramente é a causa única. E mais: culpar o agente que está na ponta – o trabalhador no canteiro, o técnico de manutenção, o operador de máquina – não resolve os problemas sistêmicos. A grande pergunta que fica para o leitor refletir é: “Estamos culpando as pessoas erradas?”

Essa pergunta é essencial para mudar o paradigma de segurança. Pois, quando mudamos o foco da punição individual para a melhoria do sistema, abrimos espaço para intervenções mais duradouras — e, de fato, preventivas.

Entendendo as Falhas Ativas

As falhas ativas (também chamadas de “erros ativos”) correspondem aos atos inseguros cometidos por profissionais que atuam na linha de frente — ou seja: aqueles que interagem diretamente com sistemas, máquinas, pacientes ou ambientes de trabalho. Por definição de James Reason, são ações ou omissões de operadores que ocorrem no “sharp end” (a ponta afiada) do sistema e têm impacto imediato.
Por exemplo: pressionar o botão errado, esquecer de fechar uma válvula, administrar o medicamento errado ou interpretar mal uma planta de construção.

Exemplos práticos

• Em um hospital: erro de medicação — um enfermeiro administra um fármaco errado ou pela via incorreta, causando risco imediato ao paciente.

• Em um canteiro de obras ou obra de construção: leitura incorreta da planta ou execução inadequada de uma instalação (por exemplo, fixação de estrutura, instalação elétrica ou tubulação) que pode resultar em falha estrutural, risco de acidente ou parada da obra.
  (Nota: embora os estudos de Reason se concentrem mais em saúde/aviação, a lógica transfere-se à construção: o operador erra, e o erro tem efeito imediato.)

Características principais

• Impacto imediato: as falhas ativas geralmente provocam consequências quase que instantâneas — seja um incidente de segurança, uma falha de equipamento ou um dano ao processo.

• Visibilidade: por estarem na ponta, são mais facilmente identificadas, investigadas e associadas ao agente humano. Exemplo: “o operador errou”.

• Ações ou omissões: podem resultar de lapsos (falha de memória), deslizes (erro involuntário), violações de procedimento ou escolhas erradas de julgamento.

• Consequências diretas: diferentemente das falhas latentes, as ativas têm pouca latência — são o “gatilho imediato” do incidente.

Por que elas chamam mais atenção

É muito comum — e compreensível — que organizações, gestores e até reguladores focalizem a falha ativa como “o responsável pelo erro”. Afinal, é nela que o incidente aparece e é fácil de apontar: um trabalhador fez X, o paciente sofreu Y; uma vigia ignorou Z, o andaime cedeu. Essa clareza tende a levar ao foco na culpabilização individual.

Contudo, segundo Reason, “os operadores tendem a ser herdeiros dos defeitos do sistema … sua parte é geralmente a de acrescentar o toque final a uma mistura letal cujos ingredientes já vinham sendo preparados há muito tempo”.

Em outras palavras: a falha ativa é o sintoma visível — raramente a origem. E quando ignoramos essa premissa, a solução fica superficial: punir o erro humano não corrige os “buracos” anteriores que permitiram que o erro acontecesse.

As Falhas Latentes: os buracos invisíveis

Dentro do modelo de James Reason — da metáfora do queijo suíço — chamamos de falhas latentes aquelas condições sistêmicas, decisões organizacionais ou deficiências de projeto que permanecem ocultas no sistema por bastante tempo, até que, combinadas com uma falha ativa, desencadeiem um incidente.

Essas falhas são os “buracos” que já existiam antes de o erro da linha de frente ocorrer — ou seja, o trabalhador, o técnico, o operador muitas vezes acaba sendo o herdeiro dessas decisões ou condições que ficaram “escondidas”.

Falhas latentes podem ser descritas como “tais decisões ou deficiências em design, organização, treinamento, manutenção, supervisão, ou recursos, cujos efeitos podem estar adormecidos no sistema por longos períodos”. Em termos simples: não é o trabalhador que está na ponta, mas aquilo que o sistema deixou de garantir ou previu de forma insuficiente.

Exemplos práticos

• Protocolos desatualizados: por exemplo, um procedimento de instalação ou manutenção que não acompanha novos materiais ou métodos, o que deixa brechas para que intervenções no canteiro ou no campo sejam feitas de forma insegura.

• Equipamentos mal projetados ou inadequadamente mantidos: máquinas, andaimes, sistemas de ventilação ou estruturas que têm uma fraqueza de projeto ou manutenção — que podem permanecer funcionando “até que” algo falhe.

• Sobrecarga de trabalho ou carga excessiva de turno: quando os profissionais enfrentam fadiga, prazos extremos, multitarefas, o que deteriora a margem de segurança previamente construída. Estudos mostram que essas condições são pré-condições (“pre-conditions”) para erros.

• Treinamento insuficiente ou incorreto: se o operador ou trabalhador não possui capacitação adequada ou não foi atualizado para novos procedimentos ou equipamentos, as chances de erro aumentam.

Como elas se acumulam silenciosamente: a “incubação do erro”

Essas falhas latentes geralmente não geram um incidente imediato — elas são como uma falha elétrica invisível, funcionando até que uma sobrecarga ou evento extra cause o curto-circuito. Em outras palavras: elas “incubam” segurança comprometida. Quando uma falha ativa surge (um operador pressiona botão errado, ignora passo, interpreta mal planta), então as falhas latentes convergem e o caminho se abre.

Por isso, investigar apenas o erro ativo (o que foi feito “na ponta”) é insuficiente. É preciso investigar o que permitiu que aquele erro fosse possível. Como Reason colocou: os operadores são “herdeiros das fragilidades do sistema”.

A Interação entre Falhas Ativas e Latentes

Uma das contribuições mais relevantes de James T. Reason para a análise de segurança organizacional é justamente evidenciar que não basta focar apenas no “erro humano” — ele quase sempre é o sintoma de um sistema que falhou anteriormente. Segundo o modelo do “queijo suíço”, as falhas ativas e latentes formam uma cadeia de causa e efeito que precisa ser compreendida para que possamos atuar de forma eficaz.

A relação de causa e efeito

• As falhas latentes são aquelas condições ou decisões organizacionais que ficam dormindo no sistema: por exemplo, uma manutenção negligenciada, um equipamento desatualizado, um protocolo burocrático mal desenhado.

• As falhas ativas são os atos inseguros, geralmente cometidos por quem está na linha de frente, em contato direto com o processo ou o ambiente.

• Quando uma dessas falhas ativas encontra uma sequência de falhas latentes que “alinhadas” permitem a penetração de risco — ou seja, “os buracos” nas diferentes camadas se conectam — o incidente acontece. Essa é a metáfora das fatias de queijo: nenhum buraco isolado costuma causar dano grave, mas quando vários estão alinhados, surgem as consequências.

Metáfora do queijo suíço revisitada

Imagine várias camadas de defesa empilhadas: projeto, normas, supervisão, execução. Cada camada tem vulnerabilidades (“buracos”). Sozinhos, esses buracos podem estar inofensivos. Mas se num dado momento eles se alinharem — ou seja, todas as defesas falharem simultaneamente — surge o caminho direto para o incidente. Essa visualização ajuda a compreender por que modelos de segurança que apenas “culpam o indivíduo” falham em prevenir acidentes sistêmicos.

Estudo de caso ilustrativo

Vamos a um exemplo adaptado ao ambiente de construção, que facilita a aplicação para o seu público:

• Uma construtora iniciou um cronograma apertado para a entrega de um prédio comercial. O gestor acelerou os prazos sem contratar uma equipe adicional ou rever os turnos (falha latente: sobrecarga de trabalho).

• Ao mesmo tempo, o treinamento de segurança estava desatualizado e não contemplava os novos procedimentos do andaime recentemente instalado (falha latente: treinamento insuficiente).

• Na execução, o montador ignorou o checklist de fixação da guarda-corpo, pressionado pelo cronograma (falha ativa: ato inseguro).

Resultado: a guarda-corpo se desprende parcialmente, gerando risco de queda de trabalhador. Nesse cenário, o erro do montador — a falha ativa — foi o evento visível, mas a causa raiz estava nas falhas latentes que permitiram o risco. Sem essas, é provável que o ato inseguro tivesse sido impedido ou detectado.

Ponto-chave

O erro humano é o sintoma, não a doença. Quando focamos apenas em repreender o indivíduo, deixamos de agir nas camadas anteriores que criaram o cenário de risco. A verdadeira mudança começa no reconhecimento de que segurança eficaz exige olhar para o sistema, para as decisões de gestão, para os processos, para os recursos.

Do Erro Individual ao Sistema: mudança de paradigma

A mudança mais radical no campo da segurança organizacional — seja na saúde, construção, indústria ou gestão — acontece quando deixamos de ver o erro como algo puramente individual e passamos a enxergá-lo como o resultado de um sistema. Focar na “culpa da pessoa” impede o verdadeiro aprendizado e limita a evolução da organização.

O problema de focar na culpa individual

Quando uma organização responde a um incidente com “quem fez isso?”, ela ativa uma cultura de punição. Isso gera medo, reduz o relato de quase-acidentes e encoraja a ocultação de falhas — justamente o oposto do que seria necessário para uma operação segura. Estudos mostram que sem um ambiente de confiança, a informação sobre incidentes não flui e o sistema continua vulnerável.

Se o foco está no trabalhador que “errou” — em vez de investigar por que o erro pôde ocorrer —, a causa raiz permanece oculta e a falha latente (que antecede o erro) não é tratada.

Introdução ao conceito de “Cultura Justa” e sua conexão com as falhas latentes

O conceito de Cultura Justa (Just Culture) emerge como antídoto à cultura de culpa. A Cultura Justa propõe que:

• Erros humanos inevitáveis sejam tratados como oportunidades de aprendizagem, e não apenas como falhas individuais.

• A organização assuma responsabilidade pelas falhas latentes — decisões de gestão, design inadequado, sobrecarga de trabalho — e promova melhoria sistêmica.

• A responsabilização individual ocorra apenas quando se tratar de negligência grave, má conduta intencional ou violação deliberada.

Em outras palavras, a Cultura Justa cria o ambiente para que as falhas latentes sejam identificadas e corrigidas antes de causarem uma falha ativa — ou seja, uma execução errada — e, consequentemente, um incidente.

A importância da transparência e da notificação de incidentes

Para que a Cultura Justa funcione e promova melhoria sistemática, é essencial que os profissionais se sintam seguros para relatar erros, quase-acidentes e condições inseguras. Um aumento nos relatos proporciona dados para que a organização descubra padrões, identifique falhas latentes e fortaleça defesas. Por exemplo, em um estudo no setor de saúde de Al Dhafra Hospitals, em Abu Dhabi, a adoção de visualização e sistema de relato resultou em aumento de 17% na notificação de incidentes e alta participação dos profissionais. Sem esse tipo de transparência, a organização age às cegas, e a mudança sistêmica fica comprometida.

Exemplo de empresas que aprenderam com falhas

• No setor da saúde, como citado acima, Al Dhafra Hospitals usou a Transparência + Relato + Aprendizagem para evoluir.

• Na aviação e indústria, muitas empresas adotaram a Cultura Justa para permitir que pilotos, controladores e técnicos relatassem incidentes sem medo, gerando melhoria contínua.

• No setor da construção ou empresarial, o foco ainda é menos documentado em artigos-públicos, mas muitos gestores de segurança já reconhecem que quando as falhas latentes são tratadas (projeto deficiente, treinamento fraco, supervisão ausente), a probabilidade de erro aumenta exponencialmente.

Estratégias para Identificar e Reduzir Falhas Latentes

1. Análise de Causa Raiz (ACR)
   A ACR é essencial para ir além do erro visível e investigar as causas subjacentes — ou seja, as falhas latentes. Conforme um guia da Agency for Healthcare Research and Quality (AHRQ), a ACR identifica tanto falhas ativas quanto latentes, permitindo que organizações redesenhem sistemas inteiros.
   Exemplos de técnicas: Diagrama de Ishikawa (“espinha de peixe”), cinco-porquês (5 Whys)

2. Reuniões de Lições Aprendidas
   Estabelecer encontros regulares para discutir incidentes, quase-acidentes e condições inseguras, com foco em “o que permitiu isso” em vez de “quem errou”. Esse formato favorece o aprendizado e a identificação de falhas latentes repetitivas.

3. Auditorias de Segurança
   Auditorias sistemáticas (em processo, projeto, treinamento, manutenção) ajudam a detectar “buracos” no sistema antes que se alinhem. Revisões periódicas são uma defesa proativa.

4. Feedback dos Profissionais de Ponta
   Os trabalhadores que operam no canteiro, manutenção ou execução têm visão direta das condições reais. Um sistema de escuta ativa — onde se valoriza e se implementa o feedback deles — permite revelar falhas latentes como carga de trabalho excessiva, equipamentos inadequados ou procedimentos obsoletos.

Indicadores úteis

• Taxa de incidentes e quase acidentes: Embora sejam indicadores de resultado (lagging), ajudam a visibilizar onde as defesas falharam.

• Número de falhas recorrentes: A repetição indica que as causas latentes não foram tratadas. Conforme documento da International Atomic Energy Agency (IAEA), “número de desvios semelhantes e falhas repetidas” é indicador direto da qualidade da ACR e do feedback do sistema.

• Indicadores proativos (leading): Conforme publicação sobre desempenho de segurança, métricas como “número de observações de risco por empregado por mês”, “taxa de reporte de quase-acidentes” e “índice de fechamento de ações corretivas” são cruciais.

Dica de gestão: criar sistemas de escuta ativa e incentivo à comunicação

Implementar uma Cultura de Relato onde os profissionais se sintam seguros para reportar falhas, quase-acidentes e condições inseguras sem medo de punição é fundamental. Isso permite que a organização identifique falhas latentes antes que virem incidentes.
Algumas práticas eficazes:

• Estabelecer canais de comunicação (digitais, físicos) simples e acessíveis para relato.

• Garantir o retorno sobre os relatos — mostrar que o feedback gerou ação.

• Reconhecer e recompensar comportamentos de reporte e melhoria, reforçando que a segurança é responsabilidade de todos.

• Realizar walk-throughs de gestão, ouvir as equipes na linha de frente, observar o que “realmente acontece” (e não só o que está documentado).

Em segurança, o maior perigo raramente está na linha de frente. O verdadeiro inimigo é invisível: ele se esconde nas falhas latentes – aquelas decisões mal planejadas, processos frágeis e lacunas culturais que se acumulam no sistema. É fácil apontar o erro humano (falha ativa) depois do acidente. O desafio é enxergar o sistema que o permitiu acontecer.

Por isso, o caminho mais inteligente para a segurança não é punir o erro visível, mas sim consertar os buracos invisíveis. Prevenir as falhas latentes é a única forma eficaz de neutralizar o risco antes que ele se manifeste em perdas e danos reais.

A segurança não é fruto da sorte — é o resultado de escolhas conscientes, um olhar constante para dentro e uma cultura que valoriza a melhoria contínua, não a culpa.

“Segurança não é a ausência de erro — é a presença de defesas robustas.”