Aula 10

SEGURANÇA CORPORATIVA PARA TRIBUNAIS
PROFESSOR: MARCOS GIRÃO
AULA – 10
Olá caros combatentes!!
Iniciaremos mais uma importante aula nessa nossa jornada!! Nesta Aula,
você aprenderá sobre o que atualmente tem sido aplicado nas grandes
corporações e em boa parte dos órgãos públicos, assim como o que tem sido
cobrado em provas a respeito dos temas: Gestão de Riscos Corporativos e
Gestão de Continuidade do Negócio.
Na verdade, essa é nossa penúltima aula. Atendendo aos pedidos de

vários alunos, substitui a aula sobre o Cerimonial Público por duas aulas sobre
a LEGISLAÇÃO DE TRÂNSITO. A nossa última aula tratará de Qualidade no
Atendimento e Relações Públicas. Devo concordar que a troca foi excelente!!
Nesta aula você terá as respostas adequadas para as seguintes

perguntas:
O que se entende por RISCO? Posso entendê-lo como sinônimo de

AMEAÇA? Porque tornou-se tão relevante estudar sobre RISCOS aos quais
estão submetidas as empresas no mundo atual? Será que todo risco causa
consequências NEGATIVAS para as corporações?
E o que de fato podemos entende por CONTINUIDADE DO NEGÓCIO? O

que se deve fazer para que a empresa não tenha prejuízos em face de um
evento negativo que causa a descontinuidade de seus serviços?
Ufa!! Tantas perguntas, não é? Calma!! Vamos pouco a pouco, nesta

aula, buscar tais respostas e, assim, dar-lhe plenas condições não só para o
melhor entendimento de tais temas, como também para o sucesso em suas
PROVAS.
Vamos a eles!!
www.pontodosconcursos.com.br
I – GESTÃO DE RISCOS CORPORATIVOS
1. RISCOS, AMEAÇAS, DANOS E PERDAS
1.1. Riscos e Ameaças
Primeira diferença básica a ser entendida: RISCO x AMEAÇA
Riscos e ameaças são variáveis com manifesta probabilidade de

ocorrência e com potencialidade para causar dano. Quanto maior a
probabilidade, maior o grau de risco ou de ameaça que, de certa forma,
sempre se farão presentes. Todo risco ou ameaça tem origem e grau de
probabilidade determináveis, e devem ser combatidos reduzindo-se a
possibilidade de sua ocorrência.
Ambos podem decorrer da ação do homem (humanos), ter origem em

falhas de materiais ou equipamentos (técnicos) ou serem provocados pela
própria natureza (incontroláveis). Somente análises profundas, com avaliação
metodológica e técnica, previnem as perdas que podem causar.
Embora sejam semelhantes, risco e ameaça não se confundem um com

o outro, pois implicam níveis de POTENCIALIDADE DE DANOS diferentes:
No RISCO o dano é REAL, ou seja, se acontecer o evento, haverá

NECESSARIAMENTE perda.
Ex: Se considerarmos o alto grau de sensibilidade dos bancos de dados

de uma empresa, não podemos correr o RISCO de ficar sem acesso às
informações. Sem tal acesso, certamente a empresa terá perdas que podem
ser irreparáveis.
Na AMEAÇA o dano é POTENCIAL, isto é, se acontecer o evento, PODERÁ

haver perda ou não.
Ex: Caso seu sistema de banco de dados não esteja devidamente

protegido, uma empresa sobre AMEAÇA de ser invadida por hackers e ter
possível danos a depender da complexidade da atuação.
1.2. Danos e Perdas
Do mesmo modo, dano e perda também não se confundem, pois dano é

gênero do qual são espécies o dano potencial (como o dano moral, por
exemplo) e o dano real (como um prejuízo financeiro), os quais podem ou não
gerar perda. Ou seja:
DANO = RESULTADO
PERDA = CONSEQUÊNCIA.
Ex¹: Como consequência dos DANOS (resultados) causados pelo incêndio

na sala de no-breaks, uma empresa teve o RISCO de ficar sem acesso ao
banco de dados caso houvesse queda da energia elétrica; se isso ocorresse, a
empresa sofreria PERDAS (conseqüências) terríveis.
Ex²: As PERDAS (conseqüências) resultantes da invasão de nosso banco

de dados por hackers são incalculáveis até o momento.
É bom que se diga que a PERDA pode ser entendida como uma perda de
ativos de qualquer natureza como consequência de dano real ou potencial,
cujos efeitos, uma vez medidos e quantificados, expressem prejuízo
pecuniário de qualquer monta.
Nesse universo, encontram-se as perdas decorrentes de riscos ou

ameaças não empresariais (por desvios de conduta ou prática de ilícitos).
Enquadram-se nesse tipo as perdas que têm origem nos processos internos e
nos recursos humanos.
Num primeiro grupo, estão as PERDAS decorrentes de processos e fluxos

impróprios, causadas por ineficiência ou alterações não autorizadas,
introduzidas por empregados e afastadas do processo original. São próprias do
não acompanhamento dos processos, do próprio desconhecimento que as
empresas têm de si mesmas e da falta de indicadores.
Em um segundo grupo estão as PERDAS decorrentes de ilícitos,

introduzidas nos processos por ações isoladas ou de grupos, associados ou não
com pessoas de fora. Têm origem nos diversos atos criminosos envolvendo
empregados, ex-empregados, clientes, fornecedores e concorrentes. Incluem
subornos, falsificações, comércio paralelo, fraudes, desvios, roubos, furtos,
transferências ilegais de fundos, fraudes em computadores, enfim, atos ilícitos
de qualquer natureza.
A PERDA também pode ser entendida como a medida da distância entre

o que se decidiu fazer e o que realmente se faz, o que dificulta a
competitividade dos processos e impede a plena eficácia empresarial. Aqui se
enquadram as perdas por "riscos ou ameaças empresariais" (do próprio
negócio), como as decorrentes de erros estratégicos, enganos no enfoque do
mercado, investimentos equivocados em produtos ou em marketing. Incluem
igualmente as oportunidades perdidas por falta de informações, dificuldades de
entendimento de problemas complexos (tributos, tecnologias, formação de
preços) e inexatidão ou incorreção de dados.
Consideram-se perdas, ainda, as omissões e/ou falta de cuidado nas

ações, a negligência, imperícia, imprudência ou dificuldades em perceber e
avaliar variáveis e suas tendências, para construir cenários.
Pronto!! Já podemos até começar a esquentar os tamborins resolvendo

nossa primeira questão:
[CESPE – ANALISTA DE TECNOLOGIA DA INFORMAÇÃO – PREVIC –

2011] Uma ameaça pode causar impacto em vários ativos ou apenas
em parte de um deles, podendo ter efeitos imediatos (operacionais) ou
futuros (negócios).
Gabarito: ERRADO
Veja que o conceito de AMEAÇA está relacionado à POTENCIALIDADE

DOS DANOS. Quando existe ameaça a algum ativo, isso não quer dizer que,
em acontecendo algum evento, necessariamente haverá alguma perda, ou
seja, algum efeito, mesmo que seja imediato ou futuro.
2. A ANÁLISE DE RISCOS – FASES INICIAIS
2.1 O Diagnóstico
Podemos conceituar a SEGURANÇA como uma estado, qualidade ou

condição daquilo que está seguro, isento de perigo, acautelado. Em nível
empresarial podemos entender a SEGURANÇA como a condição na qual os
riscos existentes encontram-se em patamares aceitáveis.
Para que isso aconteça, faz-se necessário um planejamento de

segurança que seja "um processo contínuo, dinâmico, flexível e permanente".
Mesmo assim, é possível estabelecer o perfil das condições de segurança de
uma empresa em um determinado momento.
Trata-se de uma visão circunstancial, comparável a uma "fotografia" dos

riscos ou ameaças e das perdas reais e potenciais a que uma empresa se
encontra sujeita, bem como das possibilidades e vulnerabilidades do sistema
integrado de segurança vigente.
A formalização dessa "avaliação instantânea" constitui o

DIAGNÓSTICO, cujo nível de detalhamento dependerá da profundidade e
minúcia da análise de dados e informações pertinentes disponíveis, e da
extensão e profundidade do trabalho de campo realizado.
2.1.1. Trabalho de Campo
O trabalho de campo é, decerto, a parte mais árdua e laboriosa

do diagnóstico. Inclui reuniões, visitas, inspeções, questionários,
entrevistas e listagens, entre outros, tudo para determinar as variáveis
internas e externas potencialmente capazes de provocar dano e evidentemente
passíveis de produzir perdas.
Exige um elenco de listagens de verificações (check lists), prévias e

apropriadamente preparadas, e a confecção de relatórios parciais
padronizados, para facilitar a consolidação, análise e conclusão.
2.1.2. Formalização do Diagnóstico
Feito o trabalho de campo, o diagnóstico consistirá num relatório, que

avalia e expressa fidedignamente a situação real de todo o espectro da
segurança empresarial em um momento considerado. Seu conteúdo deve
observar a forma, utilizar linguagem simples e evitar tecnicismos que
dificultem sua compreensão. Pode contemplar, também, a proposição de
medidas e procedimentos de segurança.
Apenas como exemplo, apresentamos a seguir uma formatação

que poderá ser utilizada:
- FINALIDADE
- OBJETIVOS
- ORGANIZAÇÃO OU INSTALAÇÃO:
Localização, natureza, acessos, descrição, vizinhança.
- MEDIDAS E PROCEDIMENTOS DE SEGURANÇA EXISTENTES:
Passivas, ativas: coordenação e controle.
- ADMINISTRAÇÃO:
Sistema organizacional, protocolo e rotina administrativa.
- CONSERVAÇÃO E MANUTENÇAO:
Limpeza e manutenção em locais com ou sem restrição, de

equipamentos, de serviços de concessionárias e de terceiros.
- PREVENÇÃO E COMBATE A INCÊNDIO:
Plano de Prevenção e Combate A Incêndio, equipamentos

necessários, plano de evacuação e controle de salvados.
- LIXO COMUM E CLASSIFICADO
Rotinas de recolhimento, responsabilidades, destino e destruição.
- PONTOS SENSÍVEIS E SEGREDOS DA EMPRESA:
Portarias, instalações de gás, energia ou água, centrais telefônicas e
de ar e outros;
CPD, backup, documentos, plantas, projetos, planejamentos, senhas e

outros.
- PONTOS DE RISCO:
Áreas, instalações, materiais perigosos (depósitos de combustíveis,

estações de força etc.).
- PECULIARIDADES:
Instalações ou atividades peculiares (postos de serviço, bancos etc.)
- VULNERABILIDADES E DEFICIÊNCIAS:
Elencar vulnerabilidades e deficiências identificadas nos segmentos

institucionais (RH, documentação e material, áreas e instalações,
conhecimento, planejamento e operações).
- MEDIDAS E PROCEDIMENTOS DE SEGURANÇA PROPOSTCJ5.
Elencar as ações de segurança ativa e passiva mais convenientes e

adequadas ao perfil das vulnerabilidades levantadas.
3. A ANÁLISE DE RISCOS PRORPIAMENTE DITA
3.1. A Identificação e a Avaliação de Riscos
Como acabamos de ver, o diagnóstico, a grosso modo (pois

aprofundaremos nas aulas seguintes) trata-se, de fato, de um levantamento e
da identificação de riscos e ameaças reais ou potenciais a que uma instituição
está sujeita. Nesse levantamento inclui-se uma avaliação, ou seja, a
determinação do grau de probabilidade de ocorrência dos eventos e a projeção
de seus efeitos sobre a atividade institucional.
Diagnosticar, portanto, significa também analisar a melhor maneira de

prevenir danos e evitar desperdícios de recursos com a adoção de medidas
inadequadas.
Em face do exposto, uma metodologia de avaliação e análise

pode ser definida, em linhas bem gerais, pelas seqüências de ações
apresentadas a seguir:
Identificação: de áreas vulneráveis, problemas potenciais, causas

prováveis, ações preventivas e contingentes. São ações que constituem a
essência da análise de risco e estão particularmente relacionadas com o seu
viés preventivo:
Identificação de áreas vulneráveis: significa estabelecer uma escala de

prioridades, uma vez que não existem áreas que possam ser
consideradas invulneráveis;
Identificação de problemas potenciais: significa determinar o que, onde,

quando, como e a extensão dos eventos que possam causar qualquer
tipo de dano à instituição;
Identificação das causas prováveis: significa elencar todos os riscos e/ou

ameaças cuja ocorrência seja passível de acontecer, independentemente
do grau de probabilidade;
Identificação das ações preventivas e contingentes: significa antecipar

as ações preventivas, consideradas necessárias para impedir ou diminuir
riscos e ameaças, e mitigadoras, necessárias nas situações
contingentes.
Definição: de riscos e ameaças, da probabilidade de ocorrência e impacto

institucional. São ações particularmente importantes para estabelecer uma
relação custo versus benefício e sensibilizar a alta gestão quanto à coerência
dos investimentos em face da extensão dos possíveis prejuízos:
Definição de riscos e ameaças: significa estabelecer uma "matriz de

riscos", elencando todos os eventos com potencial para causar danos e
efetivamente passíveis de acontecer;
Definição de probabilidades: significa estabelecer a chance de a ameaça

ou risco acontecer, o que pode ser obtido matematicamente (ou via
emprego de artifícios) caso existam dados históricos sobre a ocorrência
considerada, ou subjetivamente, caso contrário, como se mostrará
adiante;
Definição do impacto institucional da ameaça ou risco: significa quantificar
os danos que podem ser causados, projetando-se todo o prejuízo

financeiro passível de ter que ser suportado. Delineá-lo, da forma mais
científica, clara e precisa, robustece a avaliação e evita o descrédito, que
nega recursos e inviabiliza um sistema minimamente eficaz.
Estabelecimento: de graus de criticidade, ou seja, níveis de interferência

sobre a atividade institucional. Classificamos, também a grosso modo como:
"GRAVÍSSIMOS" os riscos e ameaças que causam interrupção das

atividades institucionais;
“GRAVES" os que causam redução das atividades;
"MEDIATOS" os que não têm efeito imediato sobre tais atividades e;
"LEVES" os que não causam efeito direto sobre elas.
Assim, estabelece-se uma escala de eventos segundo seu grau de

criticidade.
3.1.1. Definição de probabilidades
Para avaliar as ameaças, torna-se imperativo estabelecer a chance de

determinado evento vir a acontecer, fazendo-o, preferencialmente, de forma
científica e não empírica, para conferir maior credibilidade à avaliação. Nesse
caso, a Estatística revela-se ferramenta de trabalho indispensável para
possibilitar definição probabilística, seja ela matemática ou subjetiva.
A "probabilidade" consiste no número de vezes que um evento

específico pode ocorrer em um determinado universo de eventos. Traduz-se
pelo quociente:
P=n/T
onde P é a probabilidade do evento, n é o número de vezes que o evento se

repete e T, o numero total de eventos. O resultado é normalmente expresso
sob forma de percentuais e indica a chance de um determinado risco ou
ameaça acontecer e, por conseguinte, o

grau de possibilidade de se ter que suportar os danos decorrentes.
O cálculo da probabilidade, entretanto, exige um banco de dados sobre

o histórico da problemática analisada, minimamente organizado. A
diversidade e a profundidade dos registros existentes influenciarão
sobremaneira na tabulação exeqüível e, portanto, na precisão dos resultados
passíveis de serem alcançados.
A probabilidade admite uma espécie de graduação de resultados, entre

outras, conforme se segue:
Probabilidade virtualmente certa: o evento irá ocorrer, salvo

mudanças no sistema vigente;
Probabilidade altamente certa: é provável que o evento aconteça;
Probabilidade relativamente certa: é possível que o evento

aconteça;
Probabilidade incerta: evento de ocorrência duvidosa;
Probabilidade desconhecida: a ocorrência do evento não pode ser

avaliada por insuficiência de dados disponíveis.
Sobre a importância da definição de probabilidades na análise de riscos,

vamos ver como o CESPE cobrou na recente prova do concurso MPU;
[CESPE – ANALISTA DE INFORMÁTICA SUP. TECNICO – MPU – 2010] A

probabilidade de ocorrências de risco e suas consequências são
avaliadas pelo processo de realizar a análise qualitativa de riscos, com
o uso da atribuição de probabilidades numéricas.
Gabarito: CERTO
Não tem nem o que explicar!! Está bem simples a definição na assertiva.
Já com o simples conceito visto até agora você já estaria apto a

respondê-la!!
Em síntese, podemos então dizer que a ANÁLISE DE RISCO utiliza
metodologias, técnicas e artifícios que se ocupam da descrição, análise e

interpretação de dados estatísticos, históricos e registros. Atua de forma a
possibilitar a construção e a utilização de dispositivos que permitam
prospectar, inferir, organizar e formalizar julgamentos probabilísticos sobre a
segurança institucional.
Esses métodos permitem, ademais, quantificar a relação "custo versus

benefício" que se estabelece entre o investimento em medidas e
procedimentos e o incremento de segurança obtido contra eventos com
potencial para causar danos. No próximo tópico você vai aprender sobre o
métodos mais utilizados em análise de riscos.
3.1.1. Métodos para a Análise De Riscos
O Método de Mosler
O Método de Mosler é uma técnica para acompanhamento da

evolução dos riscos e ameaças de uma maneira geral. É subjetivo e,
portanto, só deve ser utilizado quando não se dispuser de dados
históricos que possam ser utilizados matematicamente.
Deve ser empregado individualmente para cada tipo de risco ou

ameaça, e sua análise refere-se à interferência que os eventos considerados
exercem sobre a atividade em avaliação.
Compreende quatro fases distintas de uma metodologia científica. Uma

fase depende da outra para que se possa ter uma visão global do grau de risco
do evento:
1ª Fase - Definição do risco ou ameaça
Tem por objetivo levantar e identificar o risco ou ameaça a ser analisado,

integrado com determinada atividade da empresa.
2ª Fase - Análise do risco ou ameaça
É realizada com base em seis critérios, voltados para avaliar a influência

direta do evento sobre uma determinada atividade crucial da empresa. Como
parâmetro, cada função ou critério considerado pode ser pontuado em urna
escala de 1 a 5, em função de sua gravidade.
Os critérios são: Função, Substituição, Profundidade, Extensão, Agressão

e Vulnerabilidade.
3ª Fase - Evolução do risco (ER)
Tem por objetivo quantificar o grau do risco analisado. Calcula-se a

"magnitude do risco" (C) e quantifica-se a "probabilidade de ocorrência" (Pb),
projetando-se a potencialidade do evento.
4ª Fase - Comparação e classificação
Simplesmente compara-se o resultado da quantificação obtida para a

Evolução do Risco (ER) com uma tabela pré-determinada, para se chegar a
uma classe de risco.
Método de William T. Fine
Esse método tem por objetivo integrar grau de risco e limitação

econômica, para permitir o estabelecimento de prioridades. Projeta o
tempo de implantação, o esforço e a previsão de investimento, tudo
de acordo com o nível de criticidade estabelecido para cada risco.
O método baseia-se no cálculo do perigo de cada situação,

estabelecendo seu Grau de Criticidade (GC), o qual determina a urgência da
tomada de decisão em ralação à oportunidade do tratamento do risco.
Estabelece parâmetros para a realização e a justificação do investimento na
segurança considerada necessária.
Tal qual Mosler, utiliza grades de probabilidade em seu processamento e,

caso não se disponha de registros históricos, baseia seu cálculo em avaliações
e dados subjetivos. Emprega duas fórmulas, uma para estimar um grau de
criticidade e outra para justificar um investimento.
Grau de Criticidade (GC)
O grau de criticidade é calculado com base em três fatores:
Conseqüência - C: são os impactos financeiros e pessoais mais passíveis de

ocorrerem caso o evento venha a se concretizar.
Exposição ao risco - E: é a freqüência com que determinado evento

costuma ocorrer em uma determinada empresa ou em empresas similares.
Probabilidade - P: é a chance real de o evento vir a acontecer,

num determinado período de tempo.
Para que possam ser mensurados e projetados, os três fatores

possuem uma escala de valores numéricos, baseada na experiência
e no juízo de T. Fine.
Assim:
Grau de Criticidade = Conseqüência x Exposição x Probabilidade
GC = C x E x P
GC, o produto da multiplicação dos três fatores, constitui uma escala de

valores compreendida entre 0,05 e 10 mil. Tais valores resultam de uma
classificação intermediaria dos fatores de risco, que
decresce de forma linear, assegurando, dessa forma, uma correção
no incremento do GC. Além disso, a fixação desses valores utiliza
estatísticas e referências históricas e mundiais.
Diagrama de Causa e Efeito
Foi desenvolvido em 1943, pelo professor Kaoru Ishikawa, presidente do

Musashi Institute of Technology, em Tóquio, Japão para
representar a relação entre um "efeito" e todas as possibilidades de
"causa" que podem contribuir para ele.
O efeito ou problema é colocado na direita de um gráfico e as "causas" à

esquerda. O método ilustra, claramente, as várias causas que afetam um
processo.
Para cada efeito existem, seguramente, inúmeras categorias de causas.

As principais podem ser normalmente agrupadas em categorias, como a dos
seis M, por exemplo:
Material, Mão-de-obra, Método, Máquinas, Meio ambiente e Medição
O agrupamento também poderá ser empregado com apenas

quatro M, a critério do segmento de segurança responsável.
Nas áreas administrativas tem se revelado apropriado empregar um

agrupamento de quatro P:
Políticas, Procedimentos, Pessoal e Planta (layout).
Tais categorias, entretanto, são apenas sugestões – outras serão

necessárias para solucionar as problemáticas que surgirão.
Etapas para a Construção do Diagrama
1ª) Inicie o processo estabelecendo, de comum acordo, uma definição que

descreva o problema selecionado, em termos claros: em que consiste,
onde ocorre, quando ocorre e qual a sua extensão.
2ª) Para construção do diagrama, empregar um dos métodos já
SEGURANÇA CORPORATIVA PARA O TSE E DEMAIS TRIBUNAIS
estudados para pesquisa de causas (brainstorminq, brainswritinq,

outros). Incentive os membros de sua equipe a despender algum tempo
em reunião para detectar causas.
3') Construa um diagrama de causa e efeito para a problemática:
Colocando o problema já definido no quadro à direita;
Estabelecendo as categorias de causas aplicáveis (método, material,

mão-de-obra e máquina, por exemplo);
Aplicando o resultado do método utilizado para geração das categorias

de causas prováveis (brainstorming, brainswriting etc.);
Questionando para cada causa: "por que isto acontece?".
4ª) Realize a interpretação dos resultados alcançados buscando

estabelecer relação entre cada efeito e todas as causas que podem levar a
ele, observando que é necessário:
Pesquisar as causas básicas do problema;
Atentar para as causas que aparecem repetidamente;
Obter consenso da equipe;
Determinar a freqüência relativa das diferentes causas.
15
Um "diagrama de causa e efeito" bem detalhado assemelha-se à forma

de uma espinha-de-peixe, daí seu nome alternativo:
Diagrama Espinha-de-Peixe
A partir de uma lista bem definida de causas possíveis, as mais

prováveis são identificadas e selecionadas para uma melhor análise. Ao se
examinar cada causa, deve-se observar os fatos que muda-
ram, como, por exemplo, desvios de normas ou padrões.
Convém lembrar que se deve investigar, em profundidade. a

causa e o que contribui para ela, objetivando eliminá-la, e não ao
sintoma que a faz manifestar-se.
16
5.4. Diagrama de Árvore
Trata-se de um desdobramento gráfico dos caminhos que conduzem às

causas fundamentais de um determinado evento a partir do qual pergunta-se
"por que isto está acontecendo?", para cada causa aventada. Implica três
tempos de desenvolvimento: identificação das causas relevantes, identificação
de soluções e priorização destas conforme critérios pré-estabelecidos.
5.5. Técnica de Brainstorming
Também conhecido como "Tempestade (ou Tormenta) de Idéias",

consiste em uma reunião cujos participantes tenham conhecimento sobre
determinado evento, para geração espontânea e ilimitada de idéias. Obedece a
uma rotina que não admite críticas ou avaliações durante o processo, o qual
está voltado evidentemente para a quantidade e não para a qualidade das
idéias geradas. Emprega como tema para discussão o objetivo que se deseja
alcançar.
17
5.6. Brainstorming Inverso (ou Invertido)
É indicado para problemas de difícil definição ou solução por

outros métodos. Deve ser utilizado quando o processo anterior não
se revelar eficiente. Fundamenta-se no fato de que, por vezes, é
mais fácil definir aquilo que não se quer. A inversão se dá, exatamente, na
discussão do objetivo que não se deseja alcançar. O processo funciona da
mesma forma como o da "Tempestade de Idéias".
5.7. Brainswriting
É normalmente utilizado para solucionar problemas mais complexos, que

exijam a participação de uma equipe multidisciplinar ou cuja formação inclua
componentes com níveis (intelectual, cultural, funciona, hierárquico, técnico
etc.) expressivamente diferentes. Previne o desconforto, a inibição e o medo
de manifestação por parte dos componentes menos graduados, evitando que o
processo de geração de idéias seja prejudicado. Emprega como tema para
discussão o objetivo que se deseja alcançar.
5.8. Brainswriting Inverso (ou Invertido)
O processo funciona nos mesmos casos e da mesma forma que o

Brainswriting. Apresenta, porém, a mesma diferença básica entre o
Brainstorming e o seu invertido, ou seja, a inversão do objeto da discussão,
empregando-se aquele que não se deseja alcançar.
5.9. Mapa Mental
É geralmente utilizado quando se dispões de pouco tempo para

elaborar idéias de forma organizada, para uma possível apresentação em curto
prazo. O processo consiste em resumir o tema ou problema a uma única
palavra central, proposta para discussão por um pequeno grupo de debate, no
intuito de se levantarem, de forma aleatória, outras idéias que se
correlacionem com a idéia central.
18
5.10. Diagrama de Pareto
É utilizado para representar graficamente os problemas que ocorrem em

um determinado sistema. É estabelecido por dois eixos
cartesianos (um para eventos e outro para incidência) e exige um
"histograma", com a quantificação dos problemas mais comuns. Permite
vislumbrar o comportamento dos eventos no sistema considerado e previne
atribuição de prioridades inadequadas ao revelar os eventos mais críticos.
5.11. Matriz de Prioridades
Trata-se de um método para avaliação de opções em relação a

determinados critérios previamente definidos. Consiste numa tabela
bidimensional onde as opções são listadas nas colunas e os critérios nas linhas.
Do cruzamento opção versus critério resulta uma avaliação a ser considerada.
Uma matriz bastante empregada na segurança empresarial, para avaliar a
prioridade de problemas, é a que se utiliza dos clássicos critérios
representados pela sigla GUT-
Gravidade, Urgência e Tendência. Outra, para avaliar soluções eventuais, é
representada pela sigla PARE - Prazo, Aceitação, Recursos e Efetividade.
19
5.12. Técnicas de Painel e de Delfos
A técnica de painel consiste em selecionar e reunir experientes

especialistas para debates sobre determinado assunto, no intuito de se obter
uma opinião coletiva que represente o ponto de vista dominante.
Já a técnica de Delfos obtém e combina, em seqüências, as opiniões de

especialistas experientes, tendo em vista alcançar consenso em relação a
determinado assunto. Nesse caso, após tabulação de um questionário,
discutem-se as questões em que não houve consenso, seguidamente e em
consecutivas consultas, até que se evidencie uma opinião convergente. Ao
contrário da técnica de painel não prevê a realização de debates entre os
participantes.
5.13. Técnicas de Análise Associativa e de Cenários
A técnica de análise associativa consiste na preparação de matrizes de

associação por intermédio das quais são aplicadas as relações entre os
principais aspectos de determinado assunto.
Já na técnica de cenários é feita uma previsão, que consiste na

descrição de alternativas futuras plausíveis para a evolução de determinado
assunto. Efetiva-se mediante análises prospectivas
multiangulares e globalizantes, envolvendo variáveis das mais diversas
naturezas.
5.14. Técnica de Análise da Propaganda
Trata-se de um instrumento auxiliar da segurança para produzir

conhecimentos sobre a identificação de ações adversas de natureza
psicológica. Consiste em identificar os elementos que fundamentam
o ciclo da propaganda:
origem (quem diz);conteúdo (o que diz);
audiência-alvo ou público-alvo (para quem diz);
veículo (como diz);

20
efeito (com que resposta).
Permite emprego de uma reação chamada contrapropaganda, que exige

profissional habilitado.
5.15. Análise SWOT
Segundo a Wikipédia, a Análise SWOT é uma ferramenta utilizada para

fazer análise de cenário (ou análise de ambiente), sendo usada como base
para gestão e planejamento estratégico de uma corporacão ou empresa, mas
podendo, devido sua simplicidade, ser utilizada para qualquer tipo de análise.
O termo SWOT é uma sigla oriunda do idioma inglês, Força (Strengths),

Fraqueza (Weaknesses), Oportunidades (Opportunities) e Ameaças (Threats)
ou também denominada FFOA ou FOFA.
Faça uma matriz para cada um dos seguintes recursos.
• Recursos humanos
• Barreiras físicas
• Recursos animais
• Recursos tecnológicos
• Recursos organizacionais
A partir do mapeamento dos processos da empresa é possível se elucidar

os riscos, precisamos tomar cuidado para não analisar o efeito do risco e sim a
sua real causa.
3.2. Tratamento e Gerenciamento De Riscos
Após as fases de análise (definição de probabilidades e consequências) e

avaliação dos riscos (definição dos graus de riscos), é hora de decidir o que
fazer com os riscos avaliados. Como tratá-los a fim de que ou possam ser
mitigados para que não afetem a empresa ou aceitos, a fim de que sirvam de
oportunidades.
21
Os riscos ou ameaças podem ser prevenidos ou assumidos.
A prevenção, que constitui exatamente a essência da atividade de

segurança, busca evitar ou, pelo menos, minimizar os eventos com
manifesta probabilidade de ocorrência e com potencialidade para causar
danos.
Já a assunção admite tais eventos, cujas conseqüências e efeitos não

são evitados, mas minimizados, por intermédio da cobertura de apólices
de seguros.
Como uma atitude não exclui logicamente a outra e, em alguns

segmentos ou atividades institucionais, as empresas não raro utilizam
os dois recursos para se precaverem contra as causas e/ou minimizarem seus
efeitos, surgiu, daí, a necessidade de se administrar o emprego de uma, de
outra ou de ambas as atitudes, estabelecendo-se, assim, um modelo de
gestão.
É exatamente de tal modelo de gestão que se incumbe o Gerenciamento

de Riscos, que é, hoje, uma nova atribuição dos profissionais de segurança nas
instituições.
Gerenciar risco é, portanto, decidir quando empregar ações de

segurança, adotar a cobertura de seguro ou lançar mão de ambos os recursos,
visando estabelecer a melhor relação custo versus benefício para administrar
as variáveis:
Investimento versus Riscos
Ameaças versus Danos versus Perdas
É necessário, portanto, que se estabeleça o nível de criticidade de cada

atividade, área ou instalação, atribuindo-se àqueles que possam interromper
ou prejudicar seriamente as operações o grau mais crítico e, portanto, a maior
prioridade de segurança. Cabe ressaltar, entretanto, que, por maior que seja o
prêmio da apólice, jamais se poderá "garantir", apenas com cobertura de
seguros, a continuidade das operações da instituição.
Apurados os riscos, outras ações alternativas de tratamento podem ser

tomadas avaliando-se o impacto dos mesmos conforme a relação custo-
benefício. São elas: Aceitar, Eliminar, Mitigar ou Transferir o risco.
22
Aceitar: Aceitar o risco, não fazer nada;
Eliminar: Eliminar a ameaça ou a fonte de risco;
Mitigar: reduzir o risco a níveis aceitáveis;
Transferir: Transferir o risco para outra organização – (EX: Companhias

de seguros, provedores de sistemas).
Conforme a decisão tomada os controles para mitigação do risco serão

mais ou menos custosos, complexos, sistematizados etc.
Cabe ressaltar que, devido a uma série de fatores – como disponibilidade

de recursos e esforços, imprevisibilidade de eventos, viabilidade das medidas
de controle –, os riscos operacionais são dificilmente eliminados, portanto a
decisão normalmente fica entre transferir, mitigar ou aceitar o risco.
Ainda assim, a organização continua exposta a uma parcela ou

mesmo à totalidade do risco, podendo-se dizer que a organização
continua exposta ao chamado Risco Residual.
Sobre o risco residual, temos uma questão bem recente:
[CESPE – ANALISTA DE TECNOLOGIA DA INFORMAÇÃO – PREVIC –

2011] A respeito de planejamento, identificação e análise de riscos,
julgue o item.
Riscos residuais referem-se aos riscos para os quais ainda não foram
estabelecidos controles dentro do tratamento de riscos.
Gabarito: ERRADO
Muito simples a assertiva, não é? Risco residual, como acabamos de ver,

não é um risco não tratado. Pelo contrário, é um risco cujo tratamento
escolhido foi de ACEITÁ-LO.
Para isso, o referido risco foi devidamente analisado e avaliado e, como

resultado deste processo, decidiu-se estabelecer a ACEITAÇÃO do mesmo
como o melhor controle para ele.
Diante da possibilidade da materialização dos riscos residuais a

organização deve desenvolver o Plano de Continuidade de Negócios, composto
23
basicamente pelos Planos de Emergência, de Contingência e de Recuperação,

de forma a garantir que os processos críticos sejam mantidos e/ou restaurados
diante de uma de interrupção das atividades. Para elaboração desses planos a
etapa de Análise de Impacto no Negócio é capital.
A seguir, faremos também um overview sobre o tema de Continuidade

do Negócio, tema bastante atual e que adentraremos com mais profundidade
em aula futura.
III - CONTINUIDADE DE NEGÓCIOS
3.1. CONTEXTO
As operações das organizações sempre foram (e serão) vulneráveis a

uma vasta gama de riscos e impactos que podem ser ocasionados tanto por
desastres (inundações, terremotos, furacões, atentados terroristas etc) como
por pequenos incidentes (quedas de energia, falhas de sistema, vírus de
computador etc). Tais eventos podem acarretar temporária ou definitivamente
a interrupção parcial ou total das atividades da organização1.
Nos últimos anos, diante dos ataques terroristas como os ocorridos em

Nova York em 2001, Londres, Istambul, Madri e outros; da irrupção de
epidemias como a Síndrome Respiratória Aguda Grave (SARS) e a gripe
aviária; e de desastres naturais de ampla magnitude, as organizações,
reconhecendo o aumento da exposição aos riscos de interrupção das
atividades, vêm procurando desenvolver planos para enfrentar esses eventos
com o menor impacto possível nos negócios.
Segundo estatísticas grande parte das organizações que sofrem uma

interrupção de suas atividades por períodos de até cinco dias dificilmente
consegue retornar ao patamar em que se encontravam antes. Outro estudo
revela que 40% das organizações que passaram pela experiência de serem
impactadas por um desastre encerraram as atividades num prazo de até 5
anos. Por outro lado, apesar de todos esses indicadores, ainda há organizações
que não dão a devida atenção ao assunto, o que pode ser temerário.
No caso particular das instituições governamentais ou prestadoras de

serviços públicos os impactos de uma interrupção das atividades podem afetar
severamente grande parcela da sociedade assim como a economia do país.
Considerando-se a dimensão de tais impactos, as instituições públicas não
podem se furtar a se preparar para responder às possíveis interrupções das
atividades de forma eficiente e eficaz, ou seja, minimizando as eventuais
conseqüências.
24
3.2. GESTÃO DE CONTINUIDADE DE NEGÓCIOS
As conseqüências dos eventos de interrupção das atividades podem ser

evitadas ou minimizadas através de uma Gestão de Continuidade de Negócios
(Business Continuity Management - BCM) que estabeleça políticas,
procedimentos e planos com o propósito de manter e recuperar as atividades
da organização atingidas por um evento de interrupção.
Para melhor compreensão do conceito de BCM apresentam-se a seguir

algumas definições, segundo as referências internacionais no assunto:
Para o Business Continuity Institute (BCI), BCM é o ato de antecipar

incidentes que possam afetar os processos críticos e garantir que a
organização responda a qualquer incidente de maneira planejada e ensaiada.
BCM também pode ser definida como os processos de gestão holística

que buscam identificar os riscos potenciais de interrupção das atividades e os
possíveis impactos da materialização desses riscos. O objetivo, então, é o
desenvolvimento de uma estrutura capaz de responder efetivamente à
interrupção das atividades, resguardando os interesses dos principais
stakeholders (colaboradores), a reputação/imagem da organização e os
processos/atividades que geram valor.
IMPORTANTE
O propósito da BCM é a minimização das consequências

operacionais, financeiras, legais, de reputação/imagem oriundas
da interrupção das atividades.
Para o estudo da Continuidade do Negócio e o planejamento de

Contingência, faz-se mister a definição de alguns conceitos e termos
fundamentais:
3.2.1. Processos Críticos
Entende-se por processos críticos aqueles que, quando interrompidos,

acarretam perdas consideráveis que podem afetar a continuidade das
operações. A interrupção desses processos tende a impedir a organização de
25
cumprir a sua missão. É importante salientar que alguns processos críticos

podem ser interligados a processos que, à primeira vista, seriam de suporte.
Nesses casos, conforme a interdependência entre eles, os “processos de
suporte” devem ser considerados como críticos.
Diante da complexidade das organizações e principalmente considerando

que os recursos (tempo, capital e trabalho) para investimentos em BCM são
escassos, os processos críticos devem ser o foco da abordagem efetiva
de continuidade de negócios. Na hipótese de uma interrupção das
atividades a organização deve ao menos conseguir disponibilizar, o mais breve
possível, os produtos/serviços essenciais.
3.2.2. Análise de Impacto no Negócio - Business Impact Analysis

(BIA)
É importante que você saiba que a análise de riscos e prevenção de

incidentes é um estágio fundamental da BCM. Já estudamos que o objetivo
desta etapa é identificação das ameaças, vulnerabilidades, probabilidades e
expectativas de perdas que, ponderadas, definem a mensuração do risco.
Já a ANÁLISE DE IMPACTO NO NEGÓCIO – Business Impact Analysis

(BIA) trata-se de um processo dinâmico que subsidia a decisão quanto às
estratégias e requisitos de recuperação a serem adotados. Para tanto,
identificam-se áreas, serviços e processos críticos, as respectivas
interdependências internas e externas desses processos, e analisam-se os
impactos operacionais da interrupção dessas atividades. O cruzamento dessas
informações determina a criticidade dos processos e orienta a elaboração e
definição das estratégias e requisitos de recuperação.
Vamos ver se a CESPE concorda com nossa explanação?
[CESPE – ADMINISTADOR DE REDES – HEMOBRAS – 2008] Uma das

medidas de continuidade de negócios utiliza uma análise de impacto
nos mesmos, caso o serviço de TI deixe de funcionar.
Concorda sim!!! É isso mesmo!! A análise de impacto de negócios é

EXTREMAMAMENTE ESSENCIAL para as decisões na gestão de continuidade de
negócios, inclusive e, principalmente, para você profissional da área de TI.
NÃO ESQUEÇA DISSO!!
Gabarito: CERTO
26
3.2.3. Estratégias de Recuperação
As estratégias de recuperação definem os objetivos a serem alcançados e

o nível de serviço que a organização pretende entregar e buscar no caso de um
evento de interrupção das atividades. Através das informações fornecidas pela
BIA definem-se os tempos e níveis de recuperação dos processos, que por sua
vez determinarão a estrutura de contingência necessária para atingir as metas
traçadas.
4. PLANEJAMENTO DE CONTINGÊNCIAS
4.1. NECESSIDADE
Na economia globalizada as empresas mantêm, necessariamente,

compromissos tácitos com seus empregados, fornecedores, clientes,
acionistas, com a sociedade e com o meio ambiente. Exige-se que, ao menos
busquem protegê-los contra riscos previsíveis, como desastres naturais,
desastres provocados pelo homem, problemas de mercado ou de câmbio,
entre tantos outros, que podem, decerto, comprometer o negócio.
Daí cresce a importância do gerenciamento de crises como indispensável

instrumento minimizador, não só de comprometimentos, como também e
principalmente, das perdas a que os danos quase sempre dão causa.
Estudos revelam que os gastos das empresas aumentam

substancialmente após uma contingência e diminuem, paulatinamente, de
acordo com a implementação do processo de recuperação, e 50% das
empresas que não se recuperam em dez dias jamais se recuperam
financeiramente.
4.2. PLANEJAMENTO
Um planejamento de contingência consiste no preestabelecimento de um

elenco de providências destinadas a prevenir ou minimizar os possíveis
27
impactos que a ocorrência de determinados eventos possa causar à produção

ou prestação de serviço de uma empresa. Estabelece políticas de manejo
gerenciais e operacionais que garantam a continuidade do processo
institucional em face das situações de emergência contempladas.
Comporta programas de prevenção e treinamento e exige

comprometimento da alta administração com as ações previstas, as quais têm
de ser integralmente avalizadas.
O planejamento pode adotar, entre outras, a seguinte metodologia:
FIXAR OBJETIVOS
• Preparar a empresa para manter a continuidade do negócio, operando

pronta resposta e rápida recuperação;
• Planejar a recuperação do negócio, buscando a menor interferência e a

mínima interrupção das atividades institucionais.
FIXAR POLÍTICAS E ALCANCE:
• Estabelecer políticas de apoio e continuidade gerencial e operativa;
• Estabelecer políticas para manejo emergencial;
• Determinar por quem, onde, como e a partir de quando o plano será

ativado;
• Determinar a estratégia para a continuidade do negócio;
• Determinar o tempo para reiniciar ou normalizar as operações;
• Estabelecer uma linha de comando emergencial.
• Prever linhas de crédito emergenciais.
ANALISAR RISCOS E AMEAÇAS POTENCIAIS E/OU REAIS:
• Levantar e identificar riscos e ameaças reais ou potenciais;
• Estabelecer uma matriz de riscos e ameaças;
• Determinar graus de criticidade;
• Levantar e avaliar as medidas preventivas existentes;

28
• Identificar as vulnerabilidades e deficiências;
• Determinar níveis de impacto sobre as atividades institucionais.
FIXAR TAREFAS E DEFINIR RESPONSABILIDADES:
• Estabelecer medidas e procedimentos preventivos e emergenciais;
• Determinar tarefas e fixar responsabilidades;
• Organizar e designar equipes;
• Selecionar e designar coordenadores;
• Prever e organizar alternativas para centros de operações (comunicações,

manejo gerencial e operacional etc.).
PROMOVER CAPACITAÇÃO E MANUTENÇÃO:
• Implementar programas de capacitação de RH, inclusive da alta gestão;
• Implementar programas de reciclagem e/ou atualização de RH;
• Implementar um programa sistemático de treinamento de contingências;
• Manter plano atualizado, viável e útil:
• Manter banco de dados e informações em dia;
• Praticar ao menos uma vez por ano (avaliar resultados);
• Praticar no caso de fusões, incorporações ou separações;-
• Manter um programa de controle de qualidade;
• Estabelecer um programa de reuniões periódicas para controle de

qualidade;
• Capacitar todos os empregados, particularmente os novos, inclusive a alta

gestão.
TREINAMENTOS:
• Desenvolver hipóteses de emergências (credibilidade, realismo, viabilidade);
• Estabelecer objetivos e padrões de desempenho para respostas e manejos;

29
• Estabelecer alcance, rotinas, participantes, coordenadores, avaliadores e

controladores de exercícios;
• Fixar tempos (real e reduzido), bem como critérios de medição específicos e

objetivos;
• Realizar briefing, debriefing e feedback;
• Promover atualizações e modificações decorrentes;
• Transmitir os resultados à alta gestão.
PLANEJAMENTO:
• Escrito, porém não volumoso;
• Evitar linguagem muito técnica (tabelas, diagramas etc.):
• Utilizar linguagem clara, precisa e concisa;
• Distribuir a todos os segmentos institucionais de interesse;
• Atualizar permanentemente e praticar periodicamente;
• Disponibilizá-lo a toda a empresa.
4.3. COMPONENTES DO PLANEJAMENTO
São quatro os grandes grupos de ações, conhecidos como:
IMPORTANTE - "Os 4R"
Resposta: é a reação imediata. É o componente mais importante

pois engloba todos os demais.
Reassunção: consiste em manter ou fazer operar as funções mais

críticas, para evitar maiores danos.
Recuperação: trata-se de fazer operar as funções menos críticas,

buscando a normalidade de operação para desativar as alternativas.
Restauração: é o retorno ao processo normal por meio da

desativação das equipes emergenciais e volta à produção plena e/ou
restabelecimento total dos serviços.
30
4.4. MANEJO DE EMERGÊNCIA
Inclui a reassunção, a recuperação e a restauração. Requer coordenação,

direção e cuidadoso planejamento. Abrange:
Política de recursos humanos: visa à segurança e ao bem-estar das

pessoas em todas as instalações. Busca manter salário, e preservar
benefícios. Pressupõe autorização antecipada para gastos com
assistência aos RH e seus familiares. Inclui a proteção dos registros mais
importantes.
Política de relações públicas: contemplam o controle das informações,

as condições para relacionamento com a mídia e a seleção de porta-
vozes. Estabelece estratégias para comunicados e coletivas.
Política de serviços para os clientes: prevê manejo de clientes,

manutenção da produção e distribuição de produtos ou prestação de
serviços, relação com fornecedores e/ou prestadores de serviço.
Política de notificação de emergências: exige rapidez, clareza e

sinceridade. Inclui lista de telefones (de coordenadores, porta-vozes,
SAC - Serviço de Atendimento ao Cliente, alta administração etc.),
informações sobre manejos e alternativas.
4.4. PLANO DE CONTINUIDADE DE NEGÓCIOS
O Plano de Continuidade de Negócios (PCN) deve ser um guia detalhado

que atribui responsabilidade e papéis, define ações e procedimentos e
estabelece as estruturas e sistemas necessários para manter ou recuperar as
operações em caso de um evento de interrupção.
Os planos de cada área devem ser integrados e sinérgicos de forma a

cobrirem toda a organização. O PCN pode ser dividido em Planos de
Emergência, Planos de Contingência e Planos de Recuperação de acordo com o
momento.
31
Planos de Emergência: Abrangem as ações que devem se

desencadeadas logo após o incidente, ou seja, das respostas imediatas
ao incidente. Ex.: incêndio, invasão de manifestantes etc.
Planos de Contingência: Detalham as ações e procedimentos que

deverão ser realizados quando a organização estiver operando em
contingência, ou seja, os procedimentos adotados logo após a situação
de emergência que trazem ou mantém as atividades operacionais dentro
de níveis mínimos preestabelecidos até o momento do início dos planos
de recuperação.
Planos de Recuperação: Têm o objetivo de restabelecer o nível de

operação de antes do evento de interrupção.
Sobre a RECUPERAÇÃO vamos procedamos à análise da seguinte

questão:
[CESPE – GESTOR DE SEGURANÇA – BANCO BRASIL – 2009] Acerca

das estratégias que viabilizam a gestão de segurança, julgue o item a
seguir.
A recuperação tem por objetivo corrigir erros e falhas, de forma a

evitar a ocorrência de incidentes em uma empresa.
A recuperação já é o estágio final de um bom Plano de Continuidade. Na

recuperação temos as atividades executadas com o intuito de reestabelecer o
funcionamento dos serviços a níveis mais próximo possíveis de antes do
evento de interrupção.
Os Planos de Contingência são os que têm a função de corrigir erros e

falhas buscando, assim, evitar futuros problemas.
Gabarito: ERRADO
32
4.5. GERENCIAMENTO DE CRISES
Não se deve confundir Planejamento de Contingências com

Gerenciamento de Crises. O primeiro abrange o segundo, ou seja, o
planejamento inclui a previsão do gerenciamento, que, por sua vez, trata da
"administração propriamente dita" da contingência ocorrida. Assim, o
gerenciamento implica a atuação das equipes designadas e o exercício das
atividades e responsabilidades fixadas no planejamento. É quando entram em
operação os Comitês de Crises, isto é, o grupo especial e especificamente
preparado para administrar o "desastre" em questão, que inclui, além do
pessoal técnico, administrativo e operacional necessários, a assistência social e
os porta-vozes para tratar com imprensa, funcionários, comunidade, órgãos
estatais, governos etc.
O gerenciamento de crises pressupõe a clareza de informações, a ética e

a transparência nas ações, sempre que possível tornadas públicas pelo(s)
porta-voz(es), preferencialmente apenas um ou no menor número possível,
para evitar contradições.
Deve-se evitar o "abafamento" ou ocultação dos problemas e procurar

esgotar o assunto o mais rapidamente possível. Durante a emergência,
embora se deva suspender a publicidade da empresa atingida (evita-se assim
o descrédito), é conveniente aproveitar os espaços disponíveis na mídia para
divulgar esclarecimentos sobre o assunto.
A agilidade e eficiência da ação diante das contingências podem ser

expressivamente auxiliada pela manutenção de uma equipe de RH
permanentemente mobilizada para prever, projetar e administrar possíveis
crises. Mesmo que não se passa antever o futuro, obtêm-se as vantagens da
simulação e do enfrentamento de situações emergenciais. Nesse sentido,
alguns questionamentos auxiliam na avaliação da capacidade de ação contra
crises:
A empresa tem prevista estrutura organizacional específica e adequada

para agir em contingências?
Os integrantes de tal estrutura têm funções ti responsabilidades claramente

definidas?
Há metodologia hábil para análise e avaliação permanentes dos fatores

adversos internos e externos?
O timing das ações previstas permite evitar, ou pelo menos minimizar, os

efeitos negativos dos eventos possíveis?
33
A produção ou prestação de serviço está preparada para responder a

eventuais manobras de processos?
O processo garante a manutenção da qualidade do produto ou serviço ante

eventuais manobras operacionais?
A produção ou prestação de serviços admite inovações, adaptações ou

modificações diante de crises?
O marketing está habilitado e dispõe de planos alternativos para agir em

emergências?
A força de vendas domina técnicas de negociação que contemplem

situações de crises?
Há planejamento para substituir insumos, transferir ou modificar linhas de

produção ou para manobra de estoques?
Existe um fundo de reserva ou linha de crédito aberta, rápida e de baixo

custo, para atender situações de crise?
O planejamento garante a demanda e mantém a qualidade do produto ou

serviço em casos de crise?
Existe um plano de substituição de RH - funcionário importantíssimo ou

membro da alta gestão - para o caso de contingências pessoais (morte ou
seqüestro, por exemplo)?
É importante salientar que a melhor forma de enfrentar as

contingências ainda é o constante exame dos processos, o cerrado
monitoramento do segmento do negócio, a atualização de cenários e a
manutenção, permanente, de RH mobilizado contra eventuais crises. Em
conjunto, essas ações facilitam sobremaneira a intervenção em situações
críticas e, quase sempre, minimizam expressivamente as interrupções ou as
anormalidades nas atividades corporativas.
4.6. PROCEDIMENTOS EMERGENCIAIS
Até aqui, tratamos das "contingências" e da importância das ações

planejadas para preveni-las ou enfrentá-las oportuna e eficientemente.
Agora, trataremos de procedimentos especialmente direcionados para

minimizar os impactos passíveis de serem causados pelo caráter
eminentemente repentino e abrupto das condições de ocorrência das
34
emergências.
Corno se viu, há eventos bastante imprevisíveis, como os imponderáveis

da natureza – calor ou frio intenso, ventanias, raios, enchentes,
desmoronamentos, ressacas, maremotos, poeira etc -, ou mais previsíveis,
como os provocados pelo homem – invasão, depredação, incêndio, destruição,
fumaça, poluição, inundação, sabotagem, terrorismo etc.
Em face da forma repentina, abrupta e mais ou menos imprevisível

com que normalmente se manifestam, da natureza urgente das providências
que requerem e da alta criticidade de alguns de seus efeitos, as situações
emergenciais exigem pronta reação por parte de todos os segmentos
corporativos.
Assim sendo, em geral, as ações diante ele uma emergência devem ser
norteadas por dois parâmetros:
Presteza na execução das tarefas
Precisão das ações a serem desencadeadas
A presteza na execução significa rapidez de reação, pronta resposta à

emergência configurada. Implica rápido desencadeamento dos procedimentos
previstos, pelo pessoal designado. Visa a atender ao caráter de urgência das
providências a serem tomadas e se contrapor à criticidade da emergência em
curso.
A precisão das ações se refere à exata execução do que estiver

previsto para cada emergência considerada. Organiza a reação, otimiza a
pronta resposta e evita o desperdício de tempo com procedimentos inúteis que
podem comprometer as metas a serem atingidas.
Os procedimentos emergenciais devem, de fato, integrar o Plano de

Contingência para cada evento considerado. Mas, por serem ações cuja
oportunidade de desencadeamento influencia determinantemente os
resultados que com elas se busca alcançar, independem da instalação do
Comitê de Crises.Mutatis mutandis, o perfil das ações no mais das vezes
aproxima os procedimentos emergenciais muito mais das "condutas" que dos
procedimentos de segurança propriamente ditos.
Entretanto, tendo em vista que as ações emergenciais devem ser

organizadas e previstas em planejamento próprio, seu viés de conduta se
deve muito mais à gravidade da situação enfrentada (nível de criticidade) e à
urgência de seu desencadeamento por qualquer RH. Ou seja, os
procedimentos emergenciais independem do segmento corporativo a que
35
pertença o RH que os desencadeia (por exemplo, se um veículo da empresa,

caso nenhuma providência seja tomada, esteja prestes a ser inundado, não se
deve esperar a chegada de seu motorista para conduzi-lo a um local seguro:
qualquer um que possa, deve fazê-lo).
Por isso mesmo, exigem parâmetros claramente definidos (caracterizar

perfeitamente o que pode ser considerado "situação de emergência), uma vez
que podem e devem ser adorados por qualquer integrante dos diversos
segmentos corporativos, ainda que com prejuízo da técnica mais adequada e
conveniente (no caso de um incêndio, é melhor desconectar um servidor e
perder parte dos dados que estão sendo recebidos do que perder todo o banco
de dados contido no HD).
Cada segmento corporativo tem de ter, portanto, seu próprio

elenco de emergências e procedimentos a serem adotados.
Embora todos numa empresa, de certa forma, lidem com dados ou

informações de interesse e tenham responsabilidade solidária para com sua
preservação, cabe à Segurança da Tecnologia da Informação, por lidar
fundamentalmente com a "memória corporativa" da instituição, a maior
responsabilidade com a salvaguarda dos suportes mais relevantes.
Dessa forma, cada segmento poderá envidar esforços para salvaguardar

os itens que entender mais importantes para a manutenção do negócio da
empresa.
Do exposto, resulta evidente a necessidade, sempre presente, de se

estabelecer:
Parâmetros que determinem clara e precisamente que eventos exigem

desencadeamento de ações imediatas, independentemente da presença de
RH do segmento responsável;
A partir de quando (nível de gravidade) e quais as ações necessitam ser

desencadeadas;
Claro entendimento de que todo e qualquer RH pode e deve tomar as

medidas previstas.
No caso das emergências, cabe à Segurança Corporativa a principal

responsabilidade pela oportunidade do desencadeamento e precisão da
execução das ações imediatas previstas.
***
36
Finalizamos aqui nossa penúltima aula!! Espero sinceramente que nosso

material esteja contribuindo com eficácia para a consolidação de seus
estudos!!
Um grande abraço e até a nossa próxima e última aula!!
Bons estudos!!
***
QUESTÕES DE REVISÃO
01. [FCC – TECNICO SEGUR. E TRANSPORTE – TRT/2 – 2008] Em

segurança, na esfera da análise de riscos, o diagnóstico formal deve
apontar, dentre outros aspectos,
I. as medidas e procedimentos de segurança existentes.
II. as vulnerabilidades e deficiências identificadas nos diversos

segmentos institucionais.
III. o plano de prevenção e combate a incêndio, incluindo

equipamentos necessários e plano de evacuação.
É correto o que consta em
(A) I e II, apenas.
(B) I, apenas.
(C) II, apenas.
(D) III, apenas.
(E) I, II, III.
37
02. [FCC – TECNICO SEGUR. E TRANSPORTE – TRT/2ª– 2008] Analise:
A figura representa um dos métodos, dentre outros, utilizado para a

aplicação dos métodos de análise de riscos em segurança. Trata-se de
(A) Método de William T. Fine.
(B) Método de Mosler.
(C) Diagrama de Causa e Efeito.
(D) Diagrama de Árvore.
(E) Matriz de Classificação de Prioridades e Proteção.
03. [FCC – TECNICO SEGUR. E TRANSPORTE – TRT/2ª– 2008] Os “4R”

dos componentes do planejamento de contingências são:
I. Resposta: é a reação imediata, sendo o componente mais

importante, pois engloba todos os demais.
II. Reassunção: consiste em manter ou fazer operar as funções mais

críticas, para evitar maiores danos.
III. Recuperação: trata-se de fazer operar as funções menos críticas,

buscando a normalidade de operação para desativar as alternativas.
IV. Restauração: é o retorno ao processo normal por meio da

desativação das equipes emergenciais e volta à produção plena e ou
restabelecimento total dos serviços.
É correto o que consta em
(A) I, II, III e IV.
38
(B) I e III, apenas.
(C) II e III, apenas.
(D) I e IV, apenas.
(E) III e IV, apenas.
04. [FCC – ENG. JUNIOR SEG. TRABALHO – METRO/SP – 2010] Sobre

gerência de riscos, considere:
I. Gerenciamento dos Riscos é um processo que garante que situações

causadoras de danos nunca ocorrerão.
II. O objetivo do Gerenciamento dos Riscos é gerenciar os riscos

envolvidos em todas as atividades, para maximizar as oportunidades e
minimizar os efeitos adversos.
III. O Gerenciamento dos Riscos, em uma organização, é um processo

formal de negócios usado para identificar os riscos e oportunidades,
estimar o impacto potencial desses eventos e fornecer um método
para tratar esses impactos, a fim de reduzir as ameaças até um nível
aceitável ou alcançar as oportunidades.
Está correto o que consta em
(A) II e III, apenas.
(B) I e II, apenas.
(C) II, apenas.
(D) III, apenas.
(E) I, II e III.
05. [FCC – TECNICO SEGUR. E TRANSPORTE – TRT/9ª – 2010] No que

diz respeito ao planejamento de segurança, considere:
I. Tem como propósito prevenir e minimizar os impactos que a

ocorrência de determinados eventos indesejados possam causar à
empresa.
II. Tem como propósito minimizar os impactos que determinados

eventos repentinos possam causar à empresa.
39
III. Tem como propósito determinar a probabilidade de ocorrência de

eventos indesejados e suas consequências para a empresa.
Os itens I, II e III correspondem, respectivamente, a:
06. [FCC – TECNICO SEGUR. E TRANSPORTE – TRT/9ª – 2010] Com

relação ao Planejamento de Contingências, analise:
I. Possui como características ações planejadas com caráter

preventivo, uma vez que também destina-se a prevenir impactos de
uma ocorrência indesejada, bem como possui caráter reativo, ao
buscar a minimização dos impactos desses eventos.
II. Tem como premissa que certos eventos, com potencial de causar
danos, apesar de imprevisíveis, podem ser prevenidos.
III. Deve apresentar, diante de um evento indesejado, um plano de

reação imediata, um plano de continuidade dos negócios e um plano
de recuperação, sendo este último o mais importante deles.
IV. Compõe, paralelamente com a Análise de Riscos, Gerenciamento de

Crises e Procedimentos Emergenciais, planos independentes, porém,
de uso comum para a Gestão da Segurança Física e Patrimonial de uma
empresa.
É correto o que consta APENAS em
(A) II e IV.
(B) II e III.
(C) I e II.
(D) I e III.
(E) III e IV.
40

concerne aos Procedimentos Emergenciais, considere:
I. Tratam-se de ações direcionadas à prevenção e à solução de eventos

indesejados específicos, caracterizados como de emergência pela
empresa.
II. Tratam-se de ações direcionadas e planejadas, dotadas de

imediatismo na execução das tarefas e precisão nas ações
desencadeadas.
III. De acordo com o grau de sucesso alcançado, tais procedimentos

influenciarão diretamente na gravidade dos danos e perdas que
poderão ser provocados pela emergência.
IV. Uma vez que se tratam de eventos emergenciais, não devem fazer
parte do Plano de Contingências, devido às características preventivas
que este possui.
V. Faz-se necessário que existam parâmetros na empresa que possam

caracterizar perfeitamente uma situação de emergência, devendo
haver mais de um responsável, em uma escala hierárquica, que possa
autorizar o desencadeamento do plano, caso seja necessário.
VI. Mesmo se a emergência também for uma crise, independe da

instalação de um Comitê de Crises para ser desencadeada.
(A) I, II e V.
(B) II, III e IV.
(C) I, IV e V.
(D) III, IV e VI.
(E) II, III e VI.
08. [FCC – TECNICO SEGUR. E TRANSPORTE – TRT/9ª – 2010] NÃO é

inerente à Análise de Risco
(A) a identificação de ações preventivas.
(B) o cálculo das probabilidades de um acontecimento.
(C) a projeção dos efeitos dos riscos.
41
(D) a classificação dos riscos em graus de criticidade.
(E) a busca pela eliminação dos riscos.
09. [FCC – TECNICO SEGUR. E TRANSPORTE – TRF/4ª – 2010] Sob a

ótica da segurança física e patrimonial, são exemplos de ponto crítico
e de ponto de risco existentes em uma edificação, respectivamente:
(A) arquivos de processos judiciais e reservatório de incêndio.
(B) servidor de rede de computadores e reservatório de água potável.
(C) guarita de entrada e tanque de GLP (gás liquefeito de petróleo).
(D) caldeira e central de circuito interno de TV.
(E) central de processamento de dados e cabine primária de energia elétrica.
10. [FCC – TECNICO SEGUR. E TRANSPORTE – TRF/4ª – 2010]

Considere:
1. Compreende todas as atividades, medidas e procedimentos dos

quais resultem na limitação de circulação de veículos, visitantes,
material, documentos e até informações.
2. Compreende atividades de minimização de riscos e/ou ameaças

contra pessoas físicas, jurídicas ou contra o patrimônio.
3. Compreende uma probabilidade de acontecimento de uma

ocorrência com potencialidade para causar um dano.
4. Compreende a produção de conhecimentos de interesse e

proporciona a salvaguarda da segurança dos “segredos” da empresa.
As definições acima correspondem, correta e respectivamente, a:
(A) 1. Atividades de Segurança; 2. Gerenciamento de Riscos; 3. Risco; 4.

Atividades de Espionagem.
(B) 1. Controle de Acesso; 2. Atividades de Segurança; 3. Risco; 4. Atividades

de Inteligência.
(C) 1. Gerenciamento de Riscos; 2. Controle de Perdas; 3. Ameaça; 4.

Atividades de Inteligência.
42
(D) 1. Controle de Acesso; 2. Gerenciamento de Riscos; 3. Risco; 4. Atividades

de Contra-Inteligência.
(E) 1. Atividades de Segurança; 2. Controle de Acesso; 3. Ameaça; 4.

Atividades de Inteligência.
11. [FCC – TECNICO SEGUR. E TRANSPORTE – TRF/4ª – 2010] Riscos,

ameaças, danos, perdas, sensibilidade, periculosidade, vizinhança e
arredores são termos técnicos que devem fazer parte do cotidiano de
todo e qualquer técnico da área de Segurança e Transporte. Sendo
assim, analise o emprego dos termos grifados nas situações
hipotéticas abaixo:
I. Como consequência dos danos causados pelo incêndio na sala de no-

breaks, tivemos o risco de ficar sem acesso ao banco de dados caso
houvesse queda da energia elétrica; se isso ocorresse, a empresa
poderia sofrer perdas terríveis.
II. Considerando o alto grau de sensibilidade dos bancos de dados da

empresa, não podemos correr o risco de ficar sem acesso às
informações.
III. Os danos resultantes da invasão de nosso banco de dados por

hackers são incalculáveis até o momento. Com o sistema desprotegido,
ainda sofremos a ameaça de novas invasões.
IV. Existe um alto nível de periculosidade envolvida no transporte dos

diretores da empresa, haja vista o alto grau de sensibilidade que
acomete a tais cargos e o trajeto escolhido.
V. Embora a empresa esteja localizada em um bairro considerado de

vizinhança tranquila, especificamente nos arredores da empresa,
fazemos divisa com um banco no lado direito, uma joalheria no lado
esquerdo e um terreno baldio no fundo.
Está correto o emprego dos termos técnicos grifados, relativos à

segurança física e patrimonial, APENAS nos itens
(A) I, II e V.
(B) III, IV e V.
(C) I, II e IV.
(D) I, III e V.
(E) II, III e IV.
43
12. [FCC – TECNICO SEGUR. E TRANSPORTE – TRT/9ª – 2010] Com

relação à análise de riscos e suas consequências, é INCORRETO
afirmar:
(A) Um risco diagnosticado e controlado pode resultar em um dano, bem como

este pode ter como consequência uma perda.
(B) Matriz de Prioridades, Mapa Mental e Diagrama de Pareto são metodologias

de análise que podem ser utilizadas em Análise de Riscos.
(C) As consequências e projeções dos eventos indesejados advindos dos riscos

não são objeto da Análise de Riscos, havendo instrumentos específicos para o
gerenciamento desses eventos, como Planejamento de Contingências,
Gerenciamento de Crises e Procedimentos Emergenciais.
(D) Após a ocorrência de um evento indesejado, o manejo de emergência

inclui medidas como manter ou operar funções da empresa, buscar a
normalidade e o retorno ao processo normal de trabalho.
(E) Não há como tratar de análise de riscos ou ameaças se não forem

utilizadas ferramentas probabilísticas para a avaliação e determinação da
ocorrência de eventos.
13. [FCC – TECNICO SEGUR. E TRANSPORTE – TRF/4ª – 2010] Com

relação ao planejamento de contingência, tão importante na gestão da
segurança física e patrimonial de uma empresa, analise as
proposições:
I. Engloba, dentre outras, ações de cunho reativo após o

acontecimento de determinados eventos indesejáveis, como os
chamados 4-R: resposta, reassunção, recuperação e restauração.
II. É um dos programas do gerenciamento de crises, fazendo parte

dele, uma vez que o planejamento de contingência é mais prático, mais
concreto, tratando da administração da contingência ocorrida, como
por exemplo, as diretrizes de atuação de uma equipe.
III. Engloba, dentre outras, ações de cunho preventivo, como

programas de prevenção e de treinamento, visando prevenir e
minimizar impactos que possam ser causados por eventos
indesejados.
IV. Não deve englobar ações e procedimentos emergenciais que, por

sua característica de ocorrências eminentemente repentinas e
abruptas, devem integrar o plano de emergências.
44
V. Como regra geral, deve ser apresentado na forma escrita, em

linguagem simples e clara (evitando linguagens muito técnicas), sendo
permanentemente atualizado e disponível a toda a empresa.
(A) I, III e V.
(B) I, IV e V.
(C) II, IV e V.
(D) II, III e IV.
(E) I, II e III.

diz respeito ao Gerenciamento de Crises, analise:
I. “Crise” pode ser definida como um evento previsível ou não, que

potencialmente pode impactar de maneira a causar prejuízo a uma
organização.
II. O gerenciamento de uma crise, quando instalada, deve primar pela

clareza de informações dentro da empresa, tornando públicas apenas
informações básicas e genéricas, a fim de não aumentar a exposição
da empresa.
III. Cabe às organizações a previsão de um Comitê de Crises que se

reúna e entre em operação exclusivamente durante a ocorrência de
uma crise, desde o seu desencadeamento até o seu término.
IV. O gerenciamento de crises deve se utilizar da Análise de Riscos

como ferramenta, mesmo sendo uma ferramenta “preventiva”. Porém,
o gerenciamento de crises é que se torna ferramenta quando se trata
do Planejamento de Contingências.
V. O gerenciamento de crises, considerando as próprias características

de desencadeamento das crises, é uma atividade essencialmente
reativa e corretiva.
(A) I e IV.
(B) I, III e V.
(C) II, III e V.

45
(D) I, III e IV.
(E) II e V.
15. [FCC – TECNICO JUDIC. ESPEC. SEGURANÇA – TRT/1ª– 2011] Ao

efetuar uma análise de risco em uma empresa, poderão ser
encontradas variáveis como riscos e ameaças, as quais não se
confundem uma vez que possuem diferentes níveis de potencialidade
em causar danos quando concretizadas.
Assim, dentre os eventos possíveis em uma empresa fictícia, com diversos

níveis de segurança implantados, os que correspondem a um risco e a uma
ameaça são, respectivamente,
(A) greve com paralisação dos funcionários/atividades e incêndio de grandes

proporções.
(B) vazamento de informações sigilosas e incêndio de grandes proporções.
(C) incêndio de grandes proporções e entrada não controlada em portaria de

pessoa estranha à empresa.
(D) entrada não controlada em portaria de pessoa estranha à empresa e greve

com paralisação dos funcionários/ atividades.
(E) vazamento de informações sigilosas e greve com paralisação dos

funcionários/atividades.
16. [FCC – TECNICO JUDIC. ESPEC. SEGURANÇA – TRT/1ª– 2011] Na

gestão da segurança de áreas, instalações e patrimônio existentes
assumem vital importância eventos indesejados de cunho humano
como sabotagem, acidentes e falhas, bem como eventos de origem
adversa como fenômenos da natureza. Um programa essencial para tal
gestão, a fim de que, com base nele sejam planejadas as ações de
segurança fundamentadas nas variáveis citadas, deverá ser o de
(A) seleção e gestão de pessoas.
(B) análise de riscos.
(C) procedimentos emergenciais.
(D) gestão de emergências.
(E) controle e gestão patrimonial.
46
17. [FCC – TECNICO JUDIC. ESPEC. SEGURANÇA – TRF/1ª– 2011] A

cidade A, conhecida pelo trânsito intenso de veículos, possui
estatística anual de 1 000 acidentes de trânsito, com gravidade de uma
morte para cada acidente. Longe dali, em uma região com muitos
terremotos, está a cidade B, cuja estatística registrada desse tipo de
evento é de 0,1 acidentes/ano com respectiva gravidade em 10 000
mortes/acidente.
Após análise de risco, com base nos dados acima, analise:
I. O risco de acidentes na cidade A é 100 vezes maior do que na cidade

B.
II. O risco de mortes na cidade B é 10.000 vezes maior do que na

cidade A.
III. O risco de morte é igual em ambas as cidades.
IV. Seguindo tais projeções, em 10 anos, o total de mortos será igual

em ambas as cidades.
Está correto o que consta SOMENTE em:
(A) I, II e IV.
(B) I e III.
(C) III e IV.
(D) I e II.
(E) II e IV.
18. [FCC – TECNICO JUDIC. ESPEC. SEGURANÇA – TRT/1ª– 2011] Com

relação ao Planejamento de Contingências, é correto afirmar que
(A) deve estar materializado na forma escrita, utilizando-se de linguagem

estritamente técnica, enriquecido de plantas, mapas, tabelas e diagramas,
porém sem ser demasiadamente volumoso, e estar disponível apenas aos
órgãos de segurança da empresa.
(B) é estritamente reativo, em função das próprias contingências em si,

compondo apenas programas como o gerenciamento de crise, manejo de
emergência (resposta, reassunção, recuperação e restauração) e
procedimentos emergenciais.
47
(C) é estritamente preventivo, pois busca a identificação e tratamento de

riscos e ameaças; caso falhe em seus objetivos, entram em ação programas
distintos que visam minimizar resultados indesejados como o gerenciamento
de crise, manejo de emergência e procedimentos emergenciais.
(D) estabelece políticas de manejo estritamente operacionais, as quais são

executadas para garantir a continuidade dos processos da empresa após
ocorridas as emergências, a fim de que seja retomada a normalidade.
(E) comporta não só programas de prevenção, como treinamento, identificação

e tratamento de riscos e ameaças, bem como programas reativos, a exemplo
do manejo de emergência e procedimentos emergenciais, a fim de minimizar
resultados indesejados ocorridos.
19. [FCC – TECNICO JUDIC. ESPEC. SEGURANÇA – TRF/1ª– 2011] Com

relação à Análise de Riscos, é correto afirmar:
(A) Se ocorreu um evento não desejado, diagnosticado em análise de riscos,

então tal análise de riscos apresentou falha em um ou mais de seus processos.
(B) Riscos são variáveis que podem ser reduzidas ou eliminadas, com certa
probabilidade de ocorrência e potencialidade para causar ou não danos; sendo
assim, o objetivo da análise de riscos é a eliminação dos riscos.
(C) Risco difere conceitualmente de ameaça pelo fato de, em ocorrendo o

evento não desejado, no caso do risco poderá ou não haver uma perda; já com
relação à ameaça, a perda é real e ocorrerá em função do evento não
desejado.
(D) Engloba métodos de avaliação, como o diagrama de espinha de peixe e o

diagrama de árvore, que são métodos gráficos para a análise de causa e efeito
e análise de causas, respectivamente.
(E) O prognóstico é uma das ferramentas a ser executada na análise de riscos,

fornecendo a avaliação da situação pregressa da área a ser avaliada de uma
empresa.
20. [FCC – TECNICO JUDIC. ESPEC. SEGURANÇA – TRF/1ª– 2011] Com

relação ao Planejamento de Contingências, é INCORRETO afirmar:
(A) É um programa que comporta ações reativas às contingências, como a

reação imediata, a reassunção das funções mais críticas e a recuperação de
funções, até a restauração do processo normal pré-contingência.
48
(B) Porque possui linhas técnicas e inclui a identificação de pontos críticos e

ações estratégicas de retomada da normalidade após uma crise, deve ser um
documento restrito e sigiloso, cujo acesso deve ser reservado aos órgãos de
segurança e à alta administração de uma empresa.
(C) É um programa amplo, que inclui ações preventivas, como levantamento e

identificação de riscos ou ameaças, treinamentos e simulações de
emergências, visando à analise das vulnerabilidades existentes em uma
empresa.
(D) Uma vez ocorrido um evento não desejado (ou crise), este passa a ser
administrado através do programa de Gerenciamento de Crises, que deve ter
como características: ações ágeis e eficientes e ao mesmo tempo
transparentes, principalmente no que tange aos veículos de comunicação.
(E) Os Procedimentos Emergenciais visam principalmente minimizar os

impactos causados pelo caráter repentino que alguns eventos indesejados
possam ter, caracterizados como emergenciais; para tanto devem conter ações
ágeis e precisas, desencadeadas após a ocorrência desses eventos.
21. [FCC – TECNICO JUDIC. ESPEC. SEGURANÇA – TRF/1ª– 2011] A

empresa ZZZ descreveu, genericamente, um programa de segurança
da seguinte maneira: “Engloba providências destinadas a prevenir ou
minimizar os impactos de uma ocorrência ou evento não desejado.” Tal
programa NÃO corresponde
(A) aos procedimentos emergenciais.
(B) à análise de risco.
(C) ao gerenciamento de crises.
(D) ao gerenciamento de riscos.
(E) ao planejamento de contingências.
22. [FCC – TECNICO JUDIC. ESPEC. SEGURANÇA – TRT/4ª– 2011] 31.

O exame de determinadas situações de risco, por meio dos métodos de
análise de riscos, pode fornecer subsídios para a tomada de muitas
decisões. Assinale a alternativa INCORRETA de acordo com princípios e
doutrinas que regem essa técnica.
(A) Se uma situação de risco avaliada foi considerada como indesejável, então
deve-se colocar em prática meios de prevenção e proteção que permitam
chegar a uma situação aceitável, tornado o risco gerenciado.
49
(B) Ainda que um risco analisado tenha pequena probabilidade de

acontecimento, poderá ser considerado indesejável, justificando medidas de
prevenção e proteção.
(C) Nenhuma situação de risco, desde que avaliada, pode ser considerada e
classificada como aceitável, o risco tem que ser eliminado, para isso devem ser
estudadas medidas de prevenção e proteção contra os riscos diagnosticados.
(D) Existem diferenças entre risco percebido (percepção empírica das pessoas)
e risco avaliado (avaliação técnica de um risco); geralmente o risco percebido
é divergente do risco avaliado.
(E) Se uma situação de risco avaliada foi considerada como aceitável, sendo
assim assumida, então esse risco passa a ser considerado como gerenciado.
23. [FCC – TECNICO JUDIC. ESPEC. SEGURANÇA – TRT/4ª– 2011] O

Planejamento de Contingências, deve
I. abranger soluções para os principais pontos de vulnerabilidade,

possuindo como um de seus objetivos, normalizar as atividades o mais
rapidamente possível após a ocorrência de uma crise.
II. possuir, entre outros, um plano preventivo, facilitado por uma

ferramenta de análise de riscos e por medidas de prevenção a fim de
antever possíveis cenários indesejados.
III. possuir um plano corretivo e de administração, com instruções e

procedimentos que entram em ação após um sinistro ou ocorrência de
evento não desejado, tais como, um plano de gerenciamento de crises
e procedimentos de emergência, entre outros.
Está correto o que consta em
(A) III, somente.
(B) II, somente.
(C) I e III, somente.
(D) I, II e III.
(E) I e II, somente.
50
24. [FCC – TECNICO JUDIC. ESPEC. SEGURANÇA – TRT/4ª– 2011] 35.

Considere as medidas e técnicas de segurança abaixo, em suas
diversas modalidades em empresas, bem como as normas
regulamentadoras em vigência.
Os conceitos apresentados estão relacionados corretamente em
(A) I-e; II-a; III-d; IV-c e V-b.
(B) I-d; II-e; III-a; IV-c e V-b.
(C) I-d; II-a; III-b; IV-e e V-c.
(D) I-a; II-e; III-d; IV-b e V-c.
(E) I-a; II-e; III-c; IV-b e V-d.
GABARITO
1 2 3 4 5 6 7 8
E C A A D C E E
9 10 11 12 13 14 15 16
E D C C A D C B
17 18 19 20 21 22 23 24
C E D B A A D B
51

Aula 10

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Aula 10

Uploaded by

Copyright:

Available Formats

SEGURANÇA CORPORATIVA PARA TRIBUNAIS

PROFESSOR: MARCOS GIRÃO

Olá caros combatentes!!

Na verdade, essa é nossa penúltima aula. Atendendo aos pedidos de

Nesta aula você terá as respostas adequadas para as seguintes

O que se entende por RISCO? Posso entendê-lo como sinônimo de

E o que de fato podemos entende por CONTINUIDADE DO NEGÓCIO? O

Ufa!! Tantas perguntas, não é? Calma!! Vamos pouco a pouco, nesta

I – GESTÃO DE RISCOS CORPORATIVOS

1. RISCOS, AMEAÇAS, DANOS E PERDAS

1.1. Riscos e Ameaças

Primeira diferença básica a ser entendida: RISCO x AMEAÇA

Riscos e ameaças são variáveis com manifesta probabilidade de

Ambos podem decorrer da ação do homem (humanos), ter origem em

Embora sejam semelhantes, risco e ameaça não se confundem um com

No RISCO o dano é REAL, ou seja, se acontecer o evento, haverá

Ex: Se considerarmos o alto grau de sensibilidade dos bancos de dados

Na AMEAÇA o dano é POTENCIAL, isto é, se acontecer o evento, PODERÁ

Ex: Caso seu sistema de banco de dados não esteja devidamente

1.2. Danos e Perdas

Do mesmo modo, dano e perda também não se confundem, pois dano é

Ex¹: Como consequência dos DANOS (resultados) causados pelo incêndio

Ex²: As PERDAS (conseqüências) resultantes da invasão de nosso banco

Nesse universo, encontram-se as perdas decorrentes de riscos ou

Num primeiro grupo, estão as PERDAS decorrentes de processos e fluxos

Em um segundo grupo estão as PERDAS decorrentes de ilícitos,

A PERDA também pode ser entendida como a medida da distância entre

Consideram-se perdas, ainda, as omissões e/ou falta de cuidado nas

Pronto!! Já podemos até começar a esquentar os tamborins resolvendo

[CESPE – ANALISTA DE TECNOLOGIA DA INFORMAÇÃO – PREVIC –

Veja que o conceito de AMEAÇA está relacionado à POTENCIALIDADE

2. A ANÁLISE DE RISCOS – FASES INICIAIS

Podemos conceituar a SEGURANÇA como uma estado, qualidade ou

Para que isso aconteça, faz-se necessário um planejamento de

Trata-se de uma visão circunstancial, comparável a uma "fotografia" dos

A formalização dessa "avaliação instantânea" constitui o

2.1.1. Trabalho de Campo

O trabalho de campo é, decerto, a parte mais árdua e laboriosa

Exige um elenco de listagens de verificações (check lists), prévias e

2.1.2. Formalização do Diagnóstico

Feito o trabalho de campo, o diagnóstico consistirá num relatório, que

Apenas como exemplo, apresentamos a seguir uma formatação

Localização, natureza, acessos, descrição, vizinhança.

- MEDIDAS E PROCEDIMENTOS DE SEGURANÇA EXISTENTES:

Passivas, ativas: coordenação e controle.

Sistema organizacional, protocolo e rotina administrativa.

Limpeza e manutenção em locais com ou sem restrição, de

- PREVENÇÃO E COMBATE A INCÊNDIO:

Plano de Prevenção e Combate A Incêndio, equipamentos

- LIXO COMUM E CLASSIFICADO

Rotinas de recolhimento, responsabilidades, destino e destruição.

- PONTOS SENSÍVEIS E SEGREDOS DA EMPRESA:

Portarias, instalações de gás, energia ou água, centrais telefônicas e

CPD, backup, documentos, plantas, projetos, planejamentos, senhas e

Áreas, instalações, materiais perigosos (depósitos de combustíveis,

Instalações ou atividades peculiares (postos de serviço, bancos etc.)

Elencar vulnerabilidades e deficiências identificadas nos segmentos

- MEDIDAS E PROCEDIMENTOS DE SEGURANÇA PROPOSTCJ5.

Elencar as ações de segurança ativa e passiva mais convenientes e

3. A ANÁLISE DE RISCOS PRORPIAMENTE DITA

3.1. A Identificação e a Avaliação de Riscos

Como acabamos de ver, o diagnóstico, a grosso modo (pois

Diagnosticar, portanto, significa também analisar a melhor maneira de

Em face do exposto, uma metodologia de avaliação e análise