SIGSSST — NR-01 · GRO e PGRTestar grátis com Google

Documentos, indicadores e governança de SST: evidências, IA e auditoria imutável

Na plataforma SIGSSST (NR-01), a gestão de documentos e evidências de SST, os indicadores e a governança de dados formam a camada que transforma a operação de segurança do trabalho em prova auditável. Os documentos ficam no repositório central (M11), os prazos no cronograma de vencimentos de SST (M09), os números no dashboard de indicadores de SST (M10) e o motor de IA para segurança do trabalho (M25) opera sob governança LGPD — tudo amarrado por uma trilha de auditoria imutável em hash-chain, com selos diários e sem hard delete operacional.

Resumo rápido

  • A informação documentada da NR-01 fica centralizada no M11 (GED): é a fonte única de evidência, referenciada por ID pelos módulos M01 a M28, sem cópias soltas.
  • O cronograma de vencimentos (M09) reúne prazos e validades de forma derivada e automática; os indicadores de SST (M10) declaram fórmula e fontes e são sempre recomputáveis.
  • O motor de IA (M25) é read-first e governado: não altera a fonte de verdade sozinho, e o OCR passa por fila de revisão humana obrigatória antes de virar evidência.
  • A trilha de auditoria é imutável por hash-chain (SHA-256 encadeado), com selos diários assinados por HMAC-SHA256 e sem hard delete operacional.
  • LGPD por desenho: classificação público/pessoal/sensível, cifra AES-256-GCM em campos sensíveis e trilha auditável reforçada para dados sensíveis.

Informação documentada como fonte única de evidência

Na NR-01, a informação documentada é a prova de que o Gerenciamento de Riscos Ocupacionais (GRO) e o PGR realmente funcionam. Na plataforma SIGSSST, toda evidência — foto, laudo, certificado, ata, recibo do eSocial ou termo de ciência — vive em um único módulo, o M11 (Documentos Digitais), e é referenciada pelos demais módulos por ID. Isso elimina cópias soltas e garante que cada registro dos módulos M01 a M28 aponte para a mesma fonte de evidência, sem duplicidade.

Esse desenho sustenta a cadeia integrada do sistema: os riscos do PGR (M02) geram planos de ação (M03), que produzem vencimentos no cronograma (M09), alimentam os indicadores (M10) e depositam evidências no repositório documental (M11). Cada elo referencia o anterior por ID, sem reescrever o dado canônico.

GED de SST: versionamento, assinatura e prazo de guarda (M11)

O que faz o módulo de Documentos Digitais (GED)

O M11 é o repositório central de informação documentada, com versionamento, assinatura, retenção e backup. Ele organiza os tipos de documento de SST — PGR, ordens de serviço, atas, certificados, laudos, PCMSO, recibos do eSocial e evidências fotográficas — e mantém o histórico de alterações de cada um.

  • Versionamento e histórico: cada alteração gera uma nova versão e preserva as anteriores para comparação e auditoria.
  • Assinatura digital ou eletrônica, com ICP-Brasil quando o cliente exigir; a ciência ou o aceite sempre aponta para a versão específica do artefato assinado.
  • Prazo de guarda, alertas e controle de descarte, com data de emissão e data de descarte prevista registradas por documento.
  • Controle de acesso por perfil (ver, editar, assinar, excluir) e disponibilização seletiva para trabalhadores e sindicatos.

Cada documento carrega metadados de origem (origem_modulo e origem_entidade_id) e uma classificação de dado (público, pessoal ou sensível), podendo ser vinculado a múltiplas origens e ao item da NR-01 ou requisito legal correspondente.

Cronograma de vencimentos de SST (M09)

O M09 é o cronograma de vencimentos de SST: centraliza prazos e revisões obrigatórias da NR-01 e de normas correlatas, exibindo os dias restantes e o status (OK, Atenção ou Vencido). Ele é alimentado automaticamente por eventos dos outros módulos — validade de treinamentos, prazos de ações, revisão do PGR, simulados, retenção de documentos e vencimentos de terceiros — em vez de depender de digitação manual em planilha.

  • Itens derivados apontam para a origem (source_module e source_entity_id) e não são editáveis diretamente: o ajuste ocorre no módulo fonte e gera trilha de auditoria.
  • Itens criados manualmente são marcados explicitamente como SSOT do próprio M09, para não colidir com os derivados.
  • Notificações configuráveis por tipo e responsável mantêm cada vencimento com um dono claro.

Indicadores e dashboard de SST (M10)

O M10 consolida indicadores reativos e proativos, metas e relatórios gerenciais em um dashboard de SST. Os KPIs incluem taxa de frequência (TF) e taxa de gravidade (TG) de acidentes, percentual de treinamentos em dia, percentual de ações concluídas, conformidade NR-01, além de indicadores psicossociais, de eSocial e de inspeções.

  • Painéis por período, unidade e setor, com comparativos entre períodos e alertas quando o indicador sai da meta.
  • Exportações em PDF, Excel e CSV, além de conectores para BI quando aplicável.
  • Cada KPI declara sua fórmula e suas fontes; os snapshots são sempre recomputáveis a partir dos dados de origem.

Os números chegam consolidados de M01, M03, M04, M06, M12, M13, M20 e M21. Quando a IA está habilitada, o painel oferece análise de tendência, detecção de anomalias e geração automática de relatório executivo.

Motor de IA para segurança do trabalho (M25)

O M25 é um motor de IA transversal e governado que oferece assistente contextual, preenchimento assistido, recomendações e análise em todos os módulos. Ele sugere riscos, medidas, treinamentos, EPIs/EPCs e ações, e gera rascunhos de PGR, relatórios e atas — sempre como apoio, nunca como decisão automática.

  • Read-first: a IA não escreve na fonte de verdade (SSOT) sem ação explícita do usuário, e toda sugestão registra origem, evidência e auditoria.
  • OCR assistido entra em fila de revisão humana obrigatória antes de materializar qualquer evidência no M11.
  • A automação assistida (por exemplo, criar ação no M03 ou alerta no M09) depende de feature flag por ambiente e de rollout percentual, com execução idempotente por request_key.

Segurança, LGPD e trilha de auditoria hash-chain

Os dados são classificados em público, pessoal e sensível. Dados sensíveis — saúde ocupacional, psicossocial, denúncias e acidentes com detalhes — exigem RBAC estrito, trilha auditável reforçada e minimização de propagação (preferência por sinais agregados). A cifra AES-256-GCM protege campos sensíveis em repouso, somada a TLS em trânsito.

  • Autorização por ACL de grupo e tags, alinhada entre frontend e backend, com escopo por organização.
  • Multi-tenancy com isolamento por organização e proteção contra IDOR nas consultas.
  • Trilha de auditoria imutável: cada entrada recebe um hash SHA-256 que incorpora o hash da entrada anterior, formando uma cadeia encadeada (hash-chain); selos diários com assinatura HMAC-SHA256 e um digest diário do log de acesso tornam qualquer adulteração detectável — a chamada imutabilidade lógica.
  • Sem hard delete operacional: as baixas usam status e data de inativação ou cancelamento, preservando o histórico e as retificações.

Para a LGPD, o sistema mantém fluxos operacionais de consentimento e de solicitações do titular (DSR), também com trilha de auditoria.

Cadeia de dados, SSOT e idempotência

A governança de dados segue o princípio de fonte única de verdade (SSOT): cada entidade tem um dono e os demais módulos apenas a referenciam por ID. Snapshots existem para auditoria e histórico, mas nunca viram a fonte canônica de um cadastro.

  • Os vínculos entre módulos são registrados explicitamente por ID em uma cadeia técnica de referências (module_reference_links), sem duplicar o SSOT do módulo de destino.
  • Os efeitos derivados são idempotentes: uma chave de idempotência única (module_idempotency_effects) garante que reprocessar o mesmo evento não gere duplicidade em M03, M09, M10 ou M11.
  • As derivações de cronograma (M09) e de indicadores (M10) são sempre calculadas a partir das fontes e permanecem recomputáveis.

Como uma evidência de SST vira prova auditável na plataforma

  1. Registrar no GED (M11). Cadastre o documento — laudo, certificado, ata, foto ou recibo do eSocial — no M11 com tipo, versão, classificação LGPD (público, pessoal ou sensível), data de emissão e prazo de guarda.
  2. Vincular por ID à origem. O documento aponta para o módulo de origem (origem_modulo e origem_entidade_id), sem criar cópias: os módulos M01 a M28 referenciam a mesma evidência única.
  3. Gerar o vencimento no cronograma (M09). Prazos de guarda, revisões e validades viram itens derivados no cronograma de vencimentos, com dias restantes e status (OK, Atenção, Vencido) calculados automaticamente.
  4. Recomputar os indicadores (M10). Os KPIs de SST — TF, TG, percentual de treinamentos e de ações — são recalculados a partir das fontes, cada um declarando sua fórmula e sua origem.
  5. Selar na trilha de auditoria. Cada registro entra na hash-chain SHA-256 e é fechado por selos diários com assinatura HMAC-SHA256, tornando qualquer adulteração detectável, sem hard delete.

Perguntas frequentes

Onde ficam as evidências de conformidade da NR-01 no sistema?

Todas as evidências ficam no M11 (Documentos Digitais), o GED central da plataforma. Fotos, laudos, certificados, atas, recibos do eSocial e termos de ciência são registrados como documento único e referenciados por ID pelos módulos M01 a M28, com metadados de tipo, origem, versão, classificação do dado e prazo de guarda. Isso evita cópias duplicadas e garante uma fonte única de evidência.

Como o sistema garante que uma evidência ou registro não foi alterado depois?

Pela trilha de auditoria imutável em hash-chain: cada entrada de auditoria tem um hash SHA-256 que incorpora o hash da entrada anterior, formando uma cadeia encadeada; selos diários com assinatura HMAC-SHA256 e um digest diário do log de acesso reforçam a integridade. Somado à ausência de hard delete (usa-se status e data de inativação), qualquer adulteração passa a ser detectável — a chamada imutabilidade lógica.

De onde vêm os números dos indicadores de SST?

O dashboard de indicadores (M10) é derivado: cada KPI declara sua fórmula e suas fontes, consolidando dados de M01, M03, M04, M06, M12, M13, M20 e M21, e os snapshots são recomputáveis a partir dos dados de origem. Assim, TF, TG, percentual de treinamentos em dia, percentual de ações concluídas e conformidade NR-01 podem ser recalculados e rastreados até o registro que os originou.

O que é o cronograma de vencimentos de SST?

É o módulo M09, que centraliza em um só lugar os prazos e as revisões obrigatórias da NR-01 e de normas correlatas — validade de treinamentos, prazos de ações, revisão do PGR, simulados, retenção de documentos e vencimentos de terceiros. Cada item mostra os dias restantes e o status (OK, Atenção ou Vencido). Os itens derivados são alimentados automaticamente pelos módulos de origem e não são editados no cronograma: o ajuste ocorre na fonte e gera trilha de auditoria.

A IA pode criar ou alterar meus dados sozinha?

Não. O motor de IA (M25) é read-first: não escreve na fonte de verdade sem ação explícita do usuário. O OCR de documentos passa por fila de revisão humana obrigatória antes de virar evidência no M11, e a automação assistida (como abrir ação no M03 ou alerta no M09) só executa sob feature flag e rollout percentual, de forma idempotente. O estado atual declarado é de viabilidade técnica interna, sem go-live externo.

Como funcionam o prazo de guarda e o descarte de documentos?

Cada documento no M11 registra data de emissão, prazo de guarda e data de descarte prevista. O cronograma (M09) emite alertas de vencimento e o descarte é controlado por perfil de acesso. Como não há hard delete operacional, as baixas e as retificações preservam o histórico para fins de auditoria.

O sistema atende à LGPD para dados sensíveis de SST?

Sim, por desenho. Os dados são classificados em público, pessoal e sensível; os sensíveis (saúde ocupacional, psicossocial, denúncias e acidentes com detalhes) exigem RBAC estrito, cifra AES-256-GCM em repouso, trilha auditável reforçada e minimização por sinais agregados. Há também fluxos operacionais de consentimento e de solicitações do titular (DSR) com trilha de auditoria.

SIGSSST — NR-01 · GRO e PGR
Testar grátis com Google