Você está na página 1de 119

ESCOLA DE COMANDO E ESTADO-MAIOR DO EXÉRCITO

ESCOLA MARECHAL CASTELLO BRANCO

Maj Cav PAULO Roberto da Silva Gomes FILHO

A análise de risco nas OM operacionais do Exército


Brasileiro e suas contribuições para a Segurança
Orgânica

Rio de Janeiro
2008
Maj Cav PAULO ROBERTO DA SILVA GOMES FILHO

A Análise de Risco nas OM Operacionais do Exército


Brasileiro e suas contribuições para a Segurança Orgânica

Dissertação apresentada à Escola de


Comando e Estado-Maior do Exército,
como requisito parcial à obtenção do título
de Mestre em Ciências Militares.

Orientador: TC Inf Fernando Civolani Lopes

Rio de Janeiro
2008
Maj Cav PAULO ROBERTO DA SILVA GOMES FILHO

A Análise de Risco nas OM Operacionais do Exército


Brasileiro e suas contribuições para a Segurança Orgânica

Dissertação apresentada à Escola de Comando e


Estado-Maior do Exército, como requisito parcial
para a obtenção do título de Mestre em Ciências
Militares.

Aprovada em __ de ______ de 2008.

BANCA EXAMINADORA

______________________________________________________
Fernando Civolani Lopes – TC Inf – Dr. Presidente
Escola de Comando e Estado-Maior do Exército

______________________________________________________
Sérgio Luiz Rechia – Cel Com – Dr. Membro
Escola Superior de Guerra

___________________________________________________
Eduardo Tavares Martins – Maj Cav – Dr. Membro
Escola de Comando e Estado-Maior do Exército
Ao meu pai, exemplo inspirador da
minha escolha pela carreira das armas.

À minha mãe, inesgotável fonte de


carinho.

Aos meus irmãos, pela amizade.

À Angelita, João Pedro e Maria Eduarda,


por tanto e por tudo, sempre
AGRADECIMENTO

Ao Tenente-Coronel Fernando Civolani Lopes, pela orientação e incentivo em todos


os momentos.

Aos cento e quinze comandantes de Organizações Militares do Exército Brasileiro


que responderam às pesquisas de campo, fundamentais para a conclusão do
trabalho.
“Uma pessoa inteligente resolve um
problema, um sábio o previne.” (Albert
Einstein)

"Há três métodos para ganhar sabedoria:


primeiro, por reflexão, que é o mais
nobre; segundo, por imitação, que é o
mais fácil; e terceiro, por experiência,
que é o mais amargo." (Confúcio)
RESUMO

O risco está presente em todos os ramos da atividade humana. As organizações,


inseridas nos mais variados campos de atividade, preparam-se para enfrentar os
riscos de diversas formas. Assim, os setores responsáveis pela segurança das
organizações ganham destaque no contexto institucional. No Exército Brasileiro não
é diferente. A atividade militar, intrinsecamente uma atividade de risco, é regulada,
no seu dia a dia, por normas de segurança que objetivam mitigar ao máximo os
riscos envolvidos nas atividades. O objetivo deste trabalho foi, estudando os
processos de análise e gerenciamento de riscos no meio civil e no exército norte-
americano, bem como as servidões e necessidades das Organizações Militares
operacionais do Exército Brasileiro, verificar a aplicabilidade das técnicas de análise
e gerenciamento de riscos no que concerne à Segurança Orgânica das citadas
organizações. No decorrer do trabalho, foram analisados o processo de
gerenciamento de riscos das normas australiana/neozelandeza (AS/NZS 4360),
comparando-se seus procedimentos a diversas outras metodologias. Foi analisada a
norma em vigor no exército norte-americano, baseada na metodologia denominada
Gerenciamento do Risco Composto (CRM). Foram estudadas ainda as normas em
vigor no Exército Brasileiro, em especial a preconizada pelo Caderno de Instrução de
Gerenciamento do Risco Aplicado às Atividades Militares (CI 32/2). Finalmente,
foram apresentados os resultados de uma pesquisa de campo, com um
levantamento sobre as servidões e necessidades das organizações militares
operacionais do Exército Brasileiro, no tocante à análise e gerenciamento dos riscos,
concluindo-se sobre a aplicabilidade das técnicas de análise e gerenciamento de
riscos para as citadas OM.
Palavras-chave: Gerenciamento de riscos, Segurança Orgânica, Exército Brasileiro.
ABSTRACT

Risk is present in all human activities. The organizations, inserted in all the various
camps of activities, prepare themselves to face the risks in several ways. Therefore,
the sectors responsible for the safety of the organizations gain emphasis in their
institutional context. The Brazilian Army is no different. Risk is inherent to military
activities. The Brazilian Army controls the risk level with safety rules, which have the
aim of mitigate this risk. The purpose of this research, that was based on the Civilian
Risk Management Process, the United States Army Risk Management Method and
the Brazilian Army Unit’s needs, was to verify the applicability of the Risk
Management Process in order to improve institutional safety. In the course of the
research, the Risk Management Process, prepared by the Joint Standards
Australia/Standards New Zealand Committee (AS/NZS 4360) has been analyzed.
Their procedures have been compared to many methodologies. The US Army’s
Composite Risk Management has also been analyzed. The Brazilian Army’s safety
rules, especially those contained in the Field Manual 32/2 (Risk Management Applied
to Military Activities), have been considered as well. The field research results have
been presented with the Brazilian Army Unit’s needs and their tasks concerning risk
management. At last, the conclusions about the applicability of the risk management
process in the Brazilian Army have been demonstrated.
Key words: Risk management, Brazilian Army
LISTA DE FIGURAS

Figura 1 - Fluxograma de Gerenciamento de Risco ..................................44


Figura 2 - Quadro de probabilidades .........................................................49
Figura 3 - Matriz de avaliação do risco (Sêmola).......................................50
Figura 4 - Matriz de avaliação do risco (Orange Book)..............................51
Figura 5 - Matriz de avaliação do risco (FM 5-19) .....................................61
Figura 6 - Formulário de Gerenciamento de Risco – frente .......................75
Figura 7 - Formulário de Gerenciamento de Risco – verso .......................76
Figura 8 - Fluxograma de análise de riscos ...............................................83
Figura 9 - Tabela de estimativa de chances de concretização de riscos ...85
Figura 10 - Tabela de análise dos impactos ................................................86
Figura 11 - Matriz de valores de risco de referência ....................................87
Figura 12 - OM que receberam pesquisa - Região Norte ............................92
Figura 13 - OM que receberam pesquisa - Região Sul................................93
Figura 14 - OM que receberam pesquisa - Região Sudeste........................95
Figura 15 - OM que receberam pesquisa - Região Centro-oeste ................96
Figura 16 - OM que receberam pesquisa - Região Nordeste ......................97
LISTA DE GRÁFICOS

Gráfico 1 – Questão Nr 1 – Respostas em números totais .......................99


Gráfico 2 – Questão Nr 1 – Respostas termos percentuais ......................99
Gráfico 3 – Questão Nr 2– Respostas em números totais ........................101
Gráfico 4 – Questão Nr 2 – Respostas termos percentuais ......................102
Gráfico 5 – Questão Nr 3– Respostas em números totais ........................103
Gráfico 6 – Questão Nr 3– Respostas em termos percentuais .................104
Gráfico 7 – Questão Nr 4– Respostas em números totais ........................105
Gráfico 8 – Questão Nr 4– Respostas em termos percentuais .................105
Gráfico 9– Questão Nr 5– Respostas em números totais ........................106
Gráfico 10 – Questão Nr 5– Respostas em termos percentuais .................107
LISTA DE ABREVIATURAS E SIGLAS

ABNT Associação Brasileira de Normas Técnicas

AS/NZS 4360 Norma Australiana/Neozelandesa de Gerenciamento de Riscos

APA Análise Pós-ação

B Com Batalhão de Comunicações

B Es Com Batalhão Escola de Comunicações

B Es Eng Batalhão Escola de Engenharia

B Fron Batalhão de Fronteira

B Log Batalhão Logístico

B Log L Batalhão Logístico Leve

B Log Pqdt Batalhão Logístico Pára-quedista

B Log Sl Batalhão Logístico de Selva

B Mnt Sup Av Ex Batalhão de Manutenção e Suprimentos de Aviação do Exército

BAC Batalhão de Ações de Comandos

BAVEx Batalhão de Aviação do Exército

BC Batalhão de Caçadores

BE Cmb Bld Batalhão de Engenharia de Combate Blindado

BE Cnst Batalhão de Engenharia de Construção

BFE Batalhão de Forças Especiais

BGP Batalhão da Guarda Presidencial

BI Batalhão de Infantaria

BI Mtz Batalhão de Infantaria Motorizado

BI Pqdt Batalhão de Infantaria Pára-quedista

BIB Batalhão de Infantaria Blindado

BIL Batalhão de Infantaria Leve


BIS Batalhão de Infantaria de Selva

BPE Batalhão de Polícia do Exército

BPEB Batalhaõ de Polícia do Exército de Brasília

CI Contra-inteligência

CI 32/2 Caderno de Instrução de Gerenciamento do Risco Aplicado às


Atividades Militares

COTER Comando de Operações Terrestres

CRC U.S. Army Combat Readiness Center

CRM Gerenciamento do Risco Composto

EB Exército Brasileiro

EsIMEx Escola de Inteligência Militar do Exército

EsNI Escola Nacional de Informações

FM 5-19 Field Manual - Composite Risk Management

GAAAe Grupo de Artilharia Anti-aérea

GAC Grupo de Artilharia de Campanha

GAC AP Grupo de Artilharia de Campanha Auto-propulsado

GAC L Grupo de Artilharia de Campanha Leve

GAC Pqdt Grupo de Artilharia ce Campanha Pára-quedista

GAC Sl Grupo de Artilharia de Campanha de Selva

GLMF Grupo de Lançadores Múltiplos de Foguetes

IP 30-1 Instruções Provisórias de Inteligência - Conceitos Básicos

IP 30-3 Instruções Provisórias de Contra-inteligência

IPB Intelligence preparation of the battlefield

IRRISC (IR 13- Instruções Reguladoras Sobre Análise de Riscos para ambientes
10) de Tecnologia da Informação do Exército Brasileiro.
MITEMI Fatores missão, inimigo, terreno e meios

Nr Número

OM Organização(ões) Militar(es)

PDCI Programa de Desenvolvimento de Contra-inteligência

RC Mec Regimento de Cavalaria Mecanizado

RCGd Regimento de Cavalaria de Guarda

SNI Serviço Nacional de Informações

SO Segurança Orgânica
SUMÁRIO

1 INTRODUÇÃO .....................................................................................17
1.1 O PROBLEMA......................................................................................19
1.1.1 A formulação da situação-problema ................................................19
1.1.2 Delimitação da pesquisa ...................................................................20
1.1.3 Justificativa da investigação.............................................................21
1.2 OBJETIVOS .........................................................................................22
1.3 AS HIPÓTESES ...................................................................................22
1.4 AS VARIÁVEIS.....................................................................................22
1.5 A METODOLOGIA DA PESQUISA ......................................................23
1.5.1 Pesquisa Qualitativa ..........................................................................23
1.5.2 Pesquisa de Campo ...........................................................................23

2 CONCEITOS BÁSICOS ......................................................................25


2.1 CONCEITOS BÁSICOS DE GERENCIAMENTO DE RISCOS............25
2.1.1 Ameaça ...............................................................................................25
2.1.2 Vulnerabilidade...................................................................................25
2.1.3 Impacto ...............................................................................................26
2.1.4 Incidente .............................................................................................26
2.1.5 Dano ....................................................................................................26
2.1.6 Risco ...................................................................................................26
2.1.7 Risco tolerável....................................................................................28
2.1.8 Risco residual.....................................................................................29
2.1.9 Medidas de proteção..........................................................................29
2.1.10 Evento .................................................................................................29
2.1.11 Análise e avaliação de riscos............................................................29
2.1.12 Tratamento do risco...........................................................................29
2.1.13 Controle do risco................................................................................30
2.1.14 Gestão (gerenciamento) do risco .....................................................30
2.2 CONCEITOS RELACIONADOS AO EXÉRCITO BRASILEIRO...........30
2.2.1 Orgnizações militares operacionais .................................................30
2.2.2 Inteligência militar..............................................................................30
2.2.3 Ramo Contra-inteligência ..................................................................31
2.2.4 Segurança Orgânica ..........................................................................31

3 SEGURANÇA ORGÂNICA NAS OM OPERACIONAIS DO EB..........32


3.1 CONSIDERAÇÕES INICIAIS...............................................................32
3.2 CONTRA-INTELIGÊNCIA ....................................................................33
3.3 SEGURANÇA ORGÂNICA ..................................................................36
3.3.1 Segurança dos Recursos Humanos .................................................36
3.3.2 Segurança da Informação .................................................................37
3.3.3 Segurança do material.......................................................................38
3.3.4 Segurança das Áreas e Instalações .................................................39
3.4 SEGURANÇA ATIVA ...........................................................................39
3.5 CONCLUSÃO PARCIAL ......................................................................40

4 ANÁLISE E GERENCIAMENTO DE RISCOS.....................................41


4.1 CONCEITOS GERAIS SOBRE A ANÁLISE E
O GERENCIAMENTO DE RISCOS .....................................................41
4.2 PROCESSO DE GERENCIAMENTO DE RISCOS..............................43
4.3 PROCESSO AUSTRALIANO / NEOZELANDÊS .................................43
4.3.1 Estabelecimento do contexto ...........................................................44
4.3.2 Identificação dos riscos ....................................................................46
4.3.3 Análise dos riscos..............................................................................47
4.3.4 Avaliação dos riscos..........................................................................51
4.3.5 Tratamento dos riscos.......................................................................52
4.3.6 Comunicando os riscos.....................................................................53
4.3.7 Monitorização e revisão do processo ..............................................55
4.4 CONCLUSÃO PARCIAL ......................................................................56

5 ASPECTOS DA ANÁLISE DE RISCO E DA SEGURANÇA


ORGÂNICA NO EXÉRCITO NORTE-AMERICANO ...........................57
5.1 PROCESSO DO EXÉRCITO NORTE-AMERICANO –
GERENCIAMENTO DO RISCO COMPOSTO (CRM)..........................57
5.1.1 Identificação das ameaças ................................................................58
5.1.1.1 Missão..................................................................................................58
5.1.1.2 Inimigo..................................................................................................59
5.1.1.3 Terreno e condições meteorológicas ...................................................59
5.1.1.4 Meios....................................................................................................59
5.1.1.5 Tempo ..................................................................................................60
5.1.1.6 Considerações civis .............................................................................60
5.1.2 Avaliação das ameaças .....................................................................60
5.1.3 Desenvolvimento de controles e tomada de decisões ...................64
5.1.4 Implementação dos controles...........................................................65
5.1.5 Supervisão e avaliação......................................................................66
5.2 RESPONSABILIDADES.......................................................................68
5.2.1 Responsabilidades do Comandante.................................................68
5.2.2 Responsabilidades do Oficial de Operações...................................69
5.2.3 Responsabilidades dos Oficiais do Estado-Maior da Unidade ......69
5.2.4 Responsabilidades dos Comandantes de Subunidades e de
Frações ...............................................................................................70
5.2.5 Responsabilidades dos Indivíduos ..................................................70
5.3 COMPARAÇÃO DO PROCESSO CRM COM O PROCESSO
PROPOSTO PELAS NORMAS AS/NZS 4360:2004 ............................70
5.4 CONCLUSÃO PARCIAL ......................................................................71

6 A ANÁLISE DE RISCO E A SEGURANÇA ORGÂNICA NO


EXÉRCITO BRASILEIRO – PANORAMA ATUAL..............................73
6.1 O GERENCIAMENTO DE RISCOS APLICADO ÀS ATIVIDADES
MILITARES – CADERNO DE INSTRUÇÃO (CI) 32/2..........................73
6.1.1 Determinação do risco.......................................................................77
6.1.2 Qualificação dos riscos .....................................................................77
6.1.3 Cálculo das probabilidades...............................................................77
6.1.4 Cálculo da gravidade do evento .......................................................78
6.1.5 Cálculo do risco propriamente dito ..................................................78
6.1.6 Aplicação de ações de controle........................................................78
6.2 ANÁLISE COMPARATIVA ENTRE O MÉTODO PREVISTO NO CI
32/2 E OS ANTERIORMENTE APRESENTADOS ..............................79
6.3 OUTRA METODOLOGIA EM USO PELO EXÉRCITO
BRASILEIRO – IR 13-10 ......................................................................82
6.3.1 Instruções Reguladoras Sobre Análise de Riscos para
ambientes de Tecnologia da Informação do Exército Brasileiro
(IRRISC) – IR 13-10 – Uma visão geral.............................................84
6.4 ANÁLISE COMPARATIVA ENTRE O MÉTODO PREVISTO NA IR
13-10 E OS ANTERIORMENTE APRESENTADOS ............................89
6.5 CONCLUSÃO PARCIAL ......................................................................90

7 APRESENTAÇÃO E ANÁLISE DOS RESULTADOS DA


PESQUISA DE CAMPO ......................................................................92
7.1 METODOLOGIA...................................................................................92
7.2 APRESENTAÇÃO DOS RESULTADOS..............................................98
7.3 CONCLUSÃO PARCIAL - ANÁLISE DOS RESULTADOS ..................108

8 CONCLUSÃO ......................................................................................110

REFERÊNCIAS....................................................................................114
APÊNDICE A – QUESTIONÁRIO DA PESQUISA DE CAMPO..........117
17

1 INTRODUÇÃO

A sociedade mundial, nos dias atuais, está submetida a profundas


transformações e à acelerada introdução de novas técnicas advindas das
tecnologias da informação, das comunicações e, mesmo, da inteligência artificial.
O ambiente no qual as pessoas, instituições e organizações inserem-se é,
portanto, cada vez mais complexo. Termos como “Aldeia Global”, “Era do
Conhecimento” e “Sociedade da Informação”, foram criados para designar a
intensidade destas mudanças.
Mudanças geram tensões, pois a tendência predominante é a das pessoas,
instituições e organizações procederem, em face de uma situação, da mesma
forma como procederam em situações análogas anteriormente vividas. Novas
atitudes são normalmente absorvidas lentamente e em estágios.
O conhecimento de algumas horas antes já foi feito obsoleto por algo novo.
Isto exige, dos tomadores de decisão, novos comportamentos frente a novos
desafios. Edna Cassiano1 (2008), assim esclarece esta situação:
Trabalhar em uma realidade assim é um desafio para qualquer
profissional. Embora a sabedoria conquistada por anos de experiência
continue tendo seu valor, é a capacidade de continuar aprendendo que
gera o diferencial que as empresas procuram. Elas estão descobrindo que
é pelo trabalho e pelo conhecimento, que o profissional dá a empresa:
lucro, cultura de trabalho e prestígio da marca. Estão descobrindo que sua
capacidade de sucesso está diretamente relacionada ao capital intelectual
que possuem as pessoas e o que elas sabem. Por isso, aprender sempre
é característica essencial ao profissional desta nova economia. Depois das
eras da comunicação, da informação e do conhecimento, entramos na era
do aprendizado continuado.

Neste contexto de mudanças, em que novos riscos se apresentam todos os


dias, as pessoas, as instituições e as organizações deparam-se com a questão da
segurança. Segundo Zamith (2007,27) a segurança nas organizações, hoje, é uma
das áreas de extrema relevância no contexto organizacional, tanto pelos gastos
que as organizações vêm empenhando, quanto também pelas possibilidades de
gestão que apresentam.

______________
1
Disponível em http://www.ednacassiano.com/index.php?option=com_content&task=view&id=80&Itemid=28),
acesso em 20 Fev 08
18

As Organizações Militares operacionais do Exército Brasileiro, inseridas que


estão na sociedade, estão submetidas diariamente a inúmeros riscos. Estes
advêm da própria natureza da atividade militar, intrinsecamente sujeita a
acontecimentos que podem redundar em perdas humanas e materiais, e, ainda,
de outros tipos variáveis de ameaças.
Para fazer face a estas ameaças e riscos, o Exército dispõe do Ramo Contra-
inteligência, da atividade de Inteligência. A Segurança Orgânica é um dos
segmentos da Contra-inteligência.
A Segurança Orgânica contrapõe-se a ameaças de qualquer natureza, que
venham a se constituir em algum perigo contra os recursos humanos, os dados,
as informações, os materiais e as áreas e instalações do Exército Brasileiro (IP 30-
3, 1996,1-1).
Modernamente, o mundo corporativo passou a estudar metodologias de
gerenciamento e análise de riscos, com o objetivo de reduzir vulnerabilidades,
impedir que ameaças explorem vulnerabilidades ainda existentes, limitar impactos
de eventos adversos e minimizar riscos.
O gerenciamento dos riscos é bastante estudado, nas mais diversas áreas do
conhecimento humano. São exemplos as áreas Econômicas, Administrativas, das
Ciências Médicas, da Tecnologia da informação, dentre outras. Trata-se, portanto,
de uma ferramenta multidisciplinar, com um variado e vasto campo de atuação.
Como curiosidade, pode-se dizer que a utilização do gerenciamento do risco
para auxiliar a tomada da decisão não é uma novidade. Segundo GOLDIM (2001),
a mais antiga citação conhecida sobre a utilização de risco para a tomada de
decisão está contida no Talmud, livro sagrado escrito pelos rabinos judeus entre
os anos 200 e 500 DC.
Naquele livro havia um raciocínio sobre a legitimidade ou não de um homem
separar-se de sua mulher, pela suspeição de que ela poderia ter tido relações
sexuais antes do casamento. Os rabinos elaboraram a sua resposta baseando-se
no conjunto das alternativas possíveis (ter tido ou não relações e ter sido com o
próprio marido ou com outro homem). Com base nestas possibilidades
19

estabeleceram que o marido não poderia se separar de sua esposa, pois as


chances a seu favor eram menores que as da esposa.
Entretanto, no Exército Brasileiro, a análise de riscos é um assunto incipiente.
O Comando de Operações Terrestres (COTER) aprovou, em Portaria de 18 de
março de 2005, o Caderno de Instrução CI 32-3 (Gerenciamento de Risco
Aplicado às Atividades Militares). O Caderno em questão apresenta o assunto de
forma superficial, dedicando apenas três páginas às considerações gerais e
descrição do método de Análise de Risco.
Ainda, o Exército Brasileiro, agora voltado para as atividades de ciência e
tecnologia, em Portaria de 31 de janeiro de 2007, aprovou as Instruções
Reguladoras Sobre Análise de Riscos para ambientes de Tecnologia da
Informação do Exército Brasileiro – IRRISC (IR 13-10).
Exércitos de outros países dedicam maior atenção à análise e ao
gerenciamento dos riscos. O exército norte-americano, por exemplo, possui um
centro, denominado “U.S. Army Combat Readiness Center” (CRC), no qual os
riscos são analisados e lições aprendidas são difundidas, tudo com o objetivo de
reduzir as perdas de pessoal. O processo de análise e gerenciamento de risco no
Exército norte-americano é difundido pelo manual “Composite Risk Management”
(FM 5-19).
A pesquisa ora proposta pretende analisar profundamente a aplicabilidade da
análise e do gerenciamento do risco nas OM operacionais do Exército,
relacionando-a com a Segurança Orgânica.

1.1 O PROBLEMA
O presente trabalho é iniciado com o estudo detalhado do problema a ser
investigado, o que proporcionará condições mais adequadas para a compreensão
dos esforços na elucidação dos diversos aspectos da pesquisa.

1.1.1 Formulação da Situação-problema


A Contra-inteligência é o ramo da atividade de inteligência militar responsável
pela salvaguarda do Sistema Exército. É implementada pela adoção de medidas
20

voltadas para a prevenção, obstrução, detecção e neutralização de operações de


inteligência, sabotagem, terrorismo, propaganda e outras ações adversas.2
A Segurança Orgânica, ainda segundo a IP 30-1, é um segmento da Contra-
inteligência, voltado principalmente (mas não exclusivamente) para medidas de
caráter passivo, objetivando prevenir e obstruir as ameaças possíveis, dirigidas
contra pessoas, informações, materiais, áreas e instalações do Sistema Exército.
Como se vê, o campo de atuação da Segurança Orgânica é bastante amplo.
Já a metodologia de análise e gerenciamento dos riscos, nada mais é do que um
processo de identificação e análise dos riscos, de forma a atuar preventivamente,
com o objetivo de reduzir ao máximo o impacto negativo que estes possam a vir
ocasionar sobre as organizações.
Desta forma, surgem questionamentos sobre a viabilidade do processo de
análise e gerenciamento de riscos:
1) contribui para a tomada de decisão do comandante das
Organizações Militares operacionais do Exército nas questões referentes à
Segurança Orgânica ?
2) é adequado para aplicação nas OM operacionais do Exército?
3) auxilia no desenvolvimento de uma mentalidade de contra-
inteligência?
Os questionamentos acima podem ser consubstanciados na seguinte
situação-problema:
“A análise e o gerenciamento dos riscos pode contribuir para o planejamento,
processo de tomada de decisão e implementação de medidas de segurança
orgânica nas Organizações Militares operacionais do Exército Brasileiro?”.

1.1.2 Delimitação da pesquisa


O assunto é bastante extenso e multidisciplinar. Assim, pretende-se aborda-
lo de forma a elucidar as questões referentes ao gerenciamento de risco, no que
concerne às necessidades e peculiaridades das Organizações Militares
operacionais do Exército Brasileiro.

______________
2
IP 30-1, Par 2-25
21

A investigação proposta buscará abranger o estudo da análise e do


gerenciamento de riscos, da forma como estas ferramentas são utilizadas por
exércitos de outros países e por instituições civis, buscando-se sempre os
aspectos aproveitáveis aos objetivos deste estudo.
As necessidades de Segurança Orgânica das OM operacionais do Exército
serão analisadas, por intermédio de pesquisas de campo, com a finalidade de
delimitar cientificamente os tipos de riscos e as necessidades gerenciais das
referidas organizações.

1.1.3 Justificativa da investigação


A Segurança Orgânica é uma das maiores preocupações dos comandantes
das Organizações Militares do Exército. Isto ocorre porque, nos dias de hoje, em
que se vive na plenitude a chamada “sociedade do conhecimento”, as ameaças às
OM são de natureza difusa. Às tradicionais preocupações relacionadas à
segurança do material e das instalações, somam-se os cuidados crescentes com
a segurança dos recursos humanos e da informação.
Os modernos meios de tecnologia da informação são, ao mesmo tempo,
soluções e ameaças. Por exemplo: uma fotografia de um documento sigiloso, ou
mesmo de uma nota de punição ou de um livro de partes, feita por um telefone
celular, pode ser mandada instantaneamente para fora dos limites do
aquartelamento. Imagens de uma instrução, da mesma forma podem ser
disponibilizadas em páginas eletrônicas da rede mundial de computadores.
As questões relacionadas à Segurança Orgânica tornam-se a cada dia mais
complexas. Assim, os comandantes das OM debatem-se constantemente com
questionamentos: Como fazer frente às ameaças? O que priorizar? Como avaliar
quais são as vulnerabilidades da OM?
Desta forma, o trabalho científico proposto verificou se a metodologia de
análise de riscos é aplicável para auxiliar o comandante das OM operacionais a
resolverem os dilemas que enfrentam no dia a dia de seus comandos relacionados
à Segurança Orgânica de suas OM.
22

1.2 OBJETIVOS
O objetivo geral será o de estudar os aspectos da Análise de Riscos,
levantado e analisando suas possíveis contribuições para a Segurança Orgânica
das OM operacionais do Exército Brasileiro.
Tal objetivo geral será alcançado pelo cumprimento dos objetivos específicos
abaixo propostos:
- estudar os processos de análise e gerenciamento de riscos em uso no
meio civil;
- estudar os processos de análise e gerenciamento de riscos utilizados
pelo Exército norte-americano;
- estudar as necessidades e servidões relativas à segurança orgânica das
OM operacionais do Exército Brasileiro; e
- verificar a aplicabilidade das técnicas de análise e gerenciamento de
riscos no que concerne à Segurança Orgânica das OM operacionais do Exército
Brasileiro.

1.3 AS HIPÓTESES
Procurou-se, na pesquisa, comprovar as seguintes hipóteses:
- atualmente, os riscos aos quais as OM operacionais do Exército estão
submetidas são de natureza difusa, diversa e complexa;
- as OM operacionais do Exército necessitam de uma metodologia
científica para a análise e o gerenciamento dos riscos a que estão submetidas; e
- o processo de análise de risco contribui para o aprimoramento da
Segurança Orgânica das OM operacionais do Exército Brasileiro.

1.4 AS VARIÁVEIS
Considerando o título “A análise de risco nas OM operacionais do Exército
Brasileiro e suas contribuições para a Segurança Orgânica”, têm-se as seguintes
variáveis:
- Variável I (variável independente) – a análise de riscos
23

- Variável II (variável dependente) – a segurança orgânica nas OM


operacionais do Exército Brasileiro.

1.5 A METODOLOGIA DA PESQUISA


A presente pesquisa foi feita em duas partes, concomitantemente: uma
pesquisa bibliográfica qualitativa e uma pesquisa de campo, as quais serão
particularizadas a seguir.

1.5.1 Pesquisa Qualitativa


Foi realizada uma investigação descritiva, com pesquisa bibliográfica e
documental sobre cada uma das variáveis. Tal investigação seguiu os seguintes
passos:
- levantamento da bibliografia e dos documentos pertinentes;
- seleção da bibliografia e documentos;
- leitura e fichamento da bibliografia e documentos selecionados;
A coleta dos dados referentes à pesquisa documental foi feita por intermédio
da rede mundial de computadores nas bases de dados que disponibilizam
conhecimentos científicos e em bibliotecas da cidade do Rio de Janeiro.
Os resultados desta pesquisa estão documentados nos capítulos 2, 3, 4 5 e 6
deste relatório.

1.5.2 Pesquisa de Campo


Fez-se uma pesquisa de campo, com a finalidade de coletar dados acerca da
opinião de militares com responsabilidades na Segurança Orgânica de OM
operacionais do Exército.
Foram enviados questionários para comandantes de OM operacionais do
Exército Brasileiro. Tais questionários foram previamente testados e foram
elaborados de forma a se obter o maior grau de certeza possível acerca de seus
resultados. Para isto, escolheu-se realizar uma amostragem na qual se optou por
uma amostra probabilística estratificada, na qual os Comandos Militares de Área
configuraram os estratos da amostra. A margem de erro estabelecida foi de 6%.
24

O tamanho da amostra foi definido utilizando-se as seguintes fórmulas:

1 N .n0
n0 = n=
E02 N + n0

onde:
N = tamanho da população
E0 = erro amostral tolerável
n0= primeira aproximação do tamanho da amostra
n = tamanho da amostra
Existem, no Exército Brasileiro, 183 (cento e oitenta e três) OM operacionais
de valor Unidade, logo, utilizando-se as fórmulas acima, chegou-se ao tamanho da
amostra necessário para se aferir, com uma margem de erro de 6%, a opinião dos
comandantes de OM operacionais do Exército Brasileiro.

N0 = 1/0,062  1/0,0036  278


N = 183 x 278 / 183 + 278  50.874/461 = 110,3
N = 110

Desta forma, concluiu-se que o tamanho da amostra a ser pesquisada seria


de 110 (cento e dez) OM.
Os militares que responderam aos questionários não foram identificados, com
a finalidade de se buscar uma maior autenticidade nas respostas.
Os questionários foram elaborados de forma que o pesquisador pudesse
conhecer:
- os riscos mais comuns a que as OM operacionais do Exército Brasileiro
estão submetidas;
- quais os instrumentos utilizados pelo comando da OM para fazer face a
tais riscos; e
- a efetiva ocorrência de eventos de risco nas OM operacionais do
Exército
Assim, após a revisão bibliográfica e de posse dos resultados da pesquisa de
campo, pôde-se concluir, conforme se pode verificar no último capítulo do
presente relatório.
25

2 CONCEITOS BÁSICOS

Este capítulo tem por finalidade apresentar ao leitor os conceitos básicos


acerca do assunto em questão, com a finalidade de familiarizá-lo com os termos
que serão empregados.

2.1 CONCEITOS BÁSICOS DO GERENCIAMENTO DE RISCOS


A terminologia relacionada ao gerenciamento de riscos, por sua
especificidade, pode ser de difícil compreensão. Por outro lado, duas pessoas
diferentes podem possuir um entendimento distinto acerca do significado de
determinado termo.
Em razão disto e para um perfeito entendimento dos assuntos que serão
tratados no presente trabalho, alguns conceitos importantes serão descritos a
seguir.

2.1.1 Ameaça
As normas ISO 13335-1 caracterizam ameaça como uma causa potencial de
um impacto indesejado em um sistema ou organização. Sêmola (2003,47), por
sua vez, define ameaça como sendo agentes ou condições que causam incidentes
que comprometam as informações e/ou os ativos, por meio de exploração de
vulnerabilidades e, conseqüentemente, causando impacto aos negócios de uma
organização.

2.1.2 Vulnerabilidade
Novamente segundo Sêmola (2003,48), vulnerabilidade é uma fragilidade
presente ou associada a ativos que, ao ser explorada por uma ameaça permite a
ocorrência de um incidente de segurança. A vulnerabilidade, por si só, não
provoca incidentes, visto que é um elemento passivo, necessitando do agente
causador, a ameaça.
São exemplos de vulnerabilidades:
26

- físicas – instalações prediais que não atendam aos padrões de


segurança, falta de extintores de incêndio e de detectores de
fumaça, etc;
- naturais – desastres como incêndios, enchentes, terremotos,
tempestades, etc;
- equipamentos – desgastes, obsolescência, má utilização de
equipamentos, etc;
- comunicações – acessos não autorizados a dados e informações,
perdas de dados, etc;
- humanas – falta de treinamento, omissão, imperícia, imprudência,
erros, roubo, sabotagem, vandalismo, invasões, etc.

2.1.3 Impacto
Para a empresa Microsoft, em seu Guia de Gerenciamento de Riscos em
Segurança (2004,16), impacto seria a perda geral nos negócios prevista quando
uma ameaça explora uma vulnerabilidade e prejudica um ativo. Sêmola, por sua
vez, define impacto como a abrangência dos danos causados por um incidente de
segurança sobre um ou mais processos de um negócio.

2.1.4 Incidente
Segundo a ABNT (2005;8), o incidente ocorre quando uma situação de
perigo resulta em dano.

2.1.5 Dano
Ainda conforme a ABNT (2005;8), dano inclui tanto a lesão ou dano à saúde
de pessoas como à propriedade ou ao meio ambiente.

2.1.6 Risco
Diversas definições podem ser atribuídas ao termo “risco”.
De acordo com Holanda (1986,1512), risco pode ser definido como “perigo
ou possibilidade de perigo”.
27

Houaiss (2001) define risco como sendo “probabilidade de perigo, geralmente


com ameaça física para o homem e/ou para o meio ambiente”.
Para a Associação Brasileira de Normas Técnicas (ABNT) (2005,2), risco é “a
probabilidade de ocorrência de um evento e de suas conseqüências”.
Sêmola (2003,55) define que:
“risco é a probabilidade de que agentes, que são ameaças, explorem
vulnerabilidades, expondo ativos a perdas de confidencialidade,
integridade e disponibilidade, e causando impactos ao negócios. Estes
impactos são limitados por medidas de segurança que protegem os ativos,
impedindo que as ameaças explorem as vulnerabilidades,
diminiuindo,assim, o risco.”

O mesmo autor apresenta uma “fórmula” chamada de “equação do risco”:

R risco = V VULNERABILIDADES X A ameaças X I impactos


M medidas de segurança

A equação acima demonstra que quanto maiores forem as ameaças, as


vulnerabilidades e os impactos causados, maiores terão que ser as medidas de
segurança para se manter os riscos em níveis aceitáveis.
O Caderno de Instrução do Exército Brasileiro CI 32/2 – GERENCIAMENTO
DE RISCO APLICADO ÀS ATIVIDADES MILITARES (2005,01) afirma que “risco
também pode ser entendido como uma situação em que há probabilidades mais
ou menos previsíveis de perda ou ganho”.
Para o International Labour Office, (2001), risco, do original em inglês risk,
pode ser definido como “a combinação da probabilidade e conseqüência da
ocorrência de um evento perigoso e da severidade da lesão ou dano à saúde das
pessoas causada por esse evento”.
Para Taylor (1994,41), o termo risco é definido como a possibilidade de perda
e expressa o fato de que não é possível prever as conseqüências de um evento
(podendo essas serem boas e desejáveis, ou ruins e indesejáveis). É a
conseqüência indesejável que, geralmente, está associada ao risco.
A Norma Européia para Gestão de Riscos (ISO/IEC Guide 73) (2003,3)
define risco como a combinação da probabilidade de um acontecimento e das
suas conseqüências.
28

Da reflexão acerca das várias definições acima listadas, chegaremos ao


conceito de risco adotado para este trabalho científico: risco é a possibilidade de
ocorrência de um evento que trará conseqüências, normalmente indesejáveis,
para determinada instituição. O grau de risco é função direta das ameaças,
impactos e vulnerabilidades sobre as medidas de segurança adotadas.
Mas o risco pode ser eliminado da atividade humana? De acordo com Duque
(2005), não: “a única forma de eliminar os riscos seria eliminar a atividade a qual
está associado”.
No mesmo sentido, Sêmola (2003,56) aponta que “é fundamental que todos
tenhamos consciência de que não existe segurança total...”.
Na atividade militar, intrinsecamente relacionada a atividades de risco, isto é
tanto mais verdadeiro. Nas atividades de instrução, nas lides diárias relacionadas
ao serviço, no manejo de viaturas de combate e administrativas, no trato com
assuntos sigilosos, nas diversas oportunidade de interação com a comunidade e o
meio ambiente, nos deslocamentos e em outras tantas atividades, pode-se
claramente notar a probabilidade de ocorrência de eventos que trarão
conseqüências para as Organizações Militares e, em última análise, para a
operacionalidade da tropa.
Entretanto, embora o risco não possa ser eliminado, as vulnerabilidades, as
ameaças e os impactos podem ser reduzidos e/ou controlados. É com este
objetivo que se analisa e gerencia o risco.

2.1.7 Risco tolerável


Segundo a ABNT (2005;8), é aquele risco que é aceito em um determinado
contexto, segundo os valores admissíveis pela sociedade. Em outras palavras, as
conseqüências de um determinado evento, levando-se em consideração suas
probabilidades de ocorrência, são aceitáveis, sob o ponto de vista de parcela
significativa da sociedade.
29

2.1.8 Risco Residual


Ainda seguindo a formulação conceitual da Associação Brasileira de Normas
Técnicas (2005;9), riscos residuais são os riscos remanescentes após a adoção
de medidas de proteção.

2.1.9 Medidas de proteção (Medidas de segurança ou de controle)


Segundo a ABNT (2005;9), são os meios utilizados para a redução de riscos.
Incluem a redução de riscos por meio de projetos de controle de riscos,
dispositivos de proteção, equipamentos de proteção individual, informações para
uso e proteção e treinamento. Neste trabalho, portanto, medidas de proteção
serão entendidas como sendo aquelas ações tomadas para se evitar um risco
subjacente.

2.1.10 Evento
Evento é a ocorrência de um conjunto específico de circunstâncias, podendo
ser uma única ocorrência ou uma série destas (ABNT 2005;2).

2.1.11 Análise e avaliação de riscos


A ABNT (2005;9), conceitua análise de riscos como sendo o uso sistemático
de informações disponíveis para identificar perigos e estimar riscos. Já a avaliação
destes riscos implica nos procedimentos usados na análise de riscos para
determinar o grau de impacto de determinado risco. Ou seja, é por intermédio do
processo de análise e avaliação dos riscos que estes são identificados e seus
impactos, determinados.

2.1.12 Tratamento do risco


Segundo a ABNT (2005;8), é o processo de seleção e implementação de
medidas para se modificar o risco. Trata-se de, após a organização ter identificado
as ameaças, selecionar e implementar as medidas de proteção que irão de fato
ser implementadas, objetivando-se a mitigação dos riscos.
30

2.1.13 Controle do risco


Ações que implementam as decisões da gestão dos riscos. São as medidas
tomadas com o objetivo de mitigar os riscos levantados no processo de análise de
riscos.

2.1.14 Gestão (gerenciamento) dos riscos


O gerenciamento de risco é uma atividade contínua, que não se extingue
com a adoção de medidas de segurança. Por intermédio de uma monitoração
contínua, pode-se identificar as áreas onde os objetivos de segurança estão sendo
alcançados e onde há oportunidades de melhoria.
Estas atividades coordenadas com a finalidade de dirigir e controlar uma
organização no que se refere a riscos, que incluem a análise dos riscos, sua
avaliação, tratamento e controle, é denominada Gerenciamento de Riscos.

2.2 CONCEITOS RELACIONADOS AO EXÉRCITO BRASILEIRO


Após a conceituação dos termos relacionados à variável independente do
presente trabalho, realizada na seção 2.1 acima, passar-se-á a uma breve
conceituação dos termos relacionados à variável dependente, relacionados ao
Exército Brasileiro e fundamentais para o entendimento dos capítulos subjacentes.

2.2.1 Organizações militares operacionais


Para esta pesquisa, foram consideradas OM operacionais aquelas de nível
Unidade das armas de Infantaria, Cavalaria, Artilharia, Engenharia e
Comunicações, além dos Batalhões Logísticos do Exército Brasileiro.

2.2.2 Inteligência militar


De acordo com a IP 30-1 (1995;2-3), é a atividade técnica-militar
especializada, permanentemente exercida, com o objetivo de produzir
conhecimentos de interesse do comandante de qualquer nível hierárquico, e
proteger conhecimentos sensíveis, instalações e pessoal.
31

2.2.3 Ramo Contra-inteligência


Ainda de acordo com a IP 30-1 (1995;2-3), são as ações especializadas,
permanentemente executadas, com o objetivo de proteger conhecimentos
sensíveis, instalações e pessoal.

2.2.4 Segurança Orgânica


A segurança orgânica, como variável dependente do presente trabalho,
merecerá um estudo aprofundado e específico no próximo capítulo.
32

3 SEGURANÇA ORGÂNICA NAS OM OPERACIONAIS DO EXÉRCITO


BRASILEIRO

Este capítulo tem por objetivo estudar a variável dependente da presente


pesquisa científica, a fim de embasar as conclusões que serão expostas ao
término do trabalho, confirmando ou não as hipóteses levantadas.

3.1 CONSIDERAÇÕES INICIAIS


A segurança está entre as mais importantes preocupações do homem
moderno. Nas atividades profissionais ou mesmo nas relacionadas à vida diária,
as pessoas preocupam-se e adotam medidas que lhes proporcionam uma maior
sensação de segurança, mitigando os riscos aos quais elas acreditam estar
expostas.
Assim, gestores dos mais diversos tipos de organizações deparam–se com
questões relativas a como proteger seus ativos dos riscos a que estão
submetidos. Governos, instituições públicas e privadas, organizações não
governamentais, empresas e sindicatos organizam-se na busca desta proteção.
Nos exércitos, não é diferente. O principal ativo de uma força armada é o seu
pessoal. O General Enzo Martins Peri, Comandante do Exército Brasileiro, em sua
Diretriz Geral, datada de 9 de maio de 2007, destaca:
A nossa gente, composta de civis e militares da ativa e da reserva,
identifica-se com a sociedade e empresta credibilidade à Força, em
função do profissionalismo e dos valores que cultua. Essa nossa gente é
e continuará a ser o nosso maior patrimônio.

Embora o homem seja inegavelmente o maior patrimônio de uma


organização, a abrangência e o enfoque da segurança não podem se restringir ao
pessoal. Esclarece Zamith (2007,18):
Não se trata de zelar apenas pelas pessoas e pelo patrimônio. Há que
se cuidar de gastos desnecessários, segredos de Estado e comerciais,
responsabilidades sobre o ambiente e outras situações que acarretam
muito mais problemas, do que apenas contabilizar prejuízos.

Portanto, não se trata apenas da proteção dos recursos humanos, mas de


todos os ativos das instituições. Equipamentos, suprimentos, técnicas,
33

informações, conhecimentos sensíveis, documentos sigilosos. Sêmola (2003,53)


aprofunda a questão:
Por melhor que estejam protegidos os ativos, novas tecnologias,
mudanças organizacionais e novos processos de negócios podem criar
vulnerabilidades ou identificar e chamar atenção para as já existentes.
Além disso, novas ameaças podem surgir e aumentar significativamente
a possibilidade de impacto no negócio. Sendo assim, medidas de
segurança precisam ser consideradas, pois sempre haverá a
possibilidade de um incidente ocorrer, por mais que tenhamos tomado
todas as medidas preventivas adequadas

Atento a esta problemática, o exército norte-americano criou, em 31 Jan


2005, o “U.S. Army Combat Readiness Center”. Tal organização foi criada a partir
da transformação do antigo U.S. Safety Center. O então Chefe do Estado-Maior
do Exército dos Estados Unidos da América, General Peter J. Schoomaker, no
memorando de criação da referida Unidade, datado de 31 Jan 2005, afirma:
Personnel and equipment losses adversely affect the combat readiness
of our Army. The loss of even one member of the Army Team – soldier,
3
civilian or supporting contractor – is unacceptable.

Ainda no citado memorando, o Chefe do Estado-Maior daquele exército


ressalta que a nova unidade militar teria por finalidade, empregando a sistemática
do Composite Risk Management (CRC), gerenciar todos os riscos que pudessem
advir do inimigo, meio ambiente, sistemas e materiais ou erros humanos.
Verifica-se, portanto, a importância da segurança e a preocupação presente
nos exércitos brasileiro e norte-americano acerca do assunto. A seguir, no
presente capítulo, ver-se-á os aspectos mais importantes da segurança e os
aspectos que a envolvem, segundo a doutrina em vigor no Exército Brasileiro.

3.2 CONTRA-INTELIGÊNCIA
Inicialmente, cumpre esclarecer que a doutrina de contra-inteligência do
Exército Brasileiro passa por um momento de atualização, em razão da
apresentação ao Estado-Maior do Exército de um anteprojeto para uma nova
Instrução Provisória 30-3 – Contra-inteligência (IP 30-3).

______________
3
“Perdas em pessoal e equipamentos afetam de forma adversa a prontidão para o combate de nossa Força. A
perda de um único membro de nosso Exército – soldado, civil ou contratado – é inaceitável” – tradução do
autor.
34

O referido anteprojeto, fruto de trabalho realizado pela Escola de Inteligência


Militar do Exército (EsIMEx) e da Divisão de Contra-inteligência do Centro de
Inteligência do Exército (DCI/CIE) apresenta novos conceitos, muitos dos quais já
estão em prática em algumas Organizações Militares do Exército, como o
Programa de Desenvolvimento de Contra-inteligência (PDCI).
Assim, este trabalho citará a IP 30-3 em vigor e o anteprojeto, deixando claro,
quando for o caso, tratar-se de uma ou de outra.
Assim, verifique-se como o anteprojeto da IP 30-3 define Contra-Inteligência:
Entende-se como Contra-Inteligência (CI) o Ramo da Atividade de
Inteligência Militar responsável pela salvaguarda do Sistema Exército, em
face da ação antagônica de atores de qualquer natureza. O Ramo CI
objetiva detectar, identificar, prevenir, obstruir, avaliar, explorar e
neutralizar a Inteligência adversa e as ações de qualquer natureza que
constituam ameaças à salvaguarda de dados, conhecimentos, áreas,
instalações, pessoas e meios que ao Exército Brasileiro interesse
preservar.

Na definição acima se atribui ao Ramo Contra-inteligência os encargos de


proteção do sistema Exército. Em outras palavras, poder-se-ia dizer que cabe à
Contra-inteligência a segurança do Sistema Exército.
É interessante notar que, segundo Zamith (2007,27), o serviço de segurança
nas organizações começou a ter atuação destacada dentro do contexto brasileiro
a partir da criação e do fortalecimento do antigo Serviço Nacional de Informações
(SNI), em 1964.
O mesmo autor ressalta que a criação da hoje também extinta Escola
Nacional de Informações, em 1972, difundiu um conceito de segurança “pautado
na doutrina militar e ligado à atividade de inteligência que perdura até hoje nas
organizações”.
Com o fim do regime militar e a extinção do SNI e da EsNI, nota-se, em
diversos autores, dentre os quais o anteriormente citado, uma preocupação em
tentar desvincular a atividade de segurança da atividade militar.
Tal tentativa, fica patente no Projeto de Lei 1.887, de 1991, do ainda
Deputado Federal José Dirceu, que tinha por intuito regular as atividades de
inteligência. A preocupação do referido projeto era que “os programas de
segurança pessoal, de instalações, de documentos ou de comunicações não
35

fariam parte das atividades de contra-inteligência” (Antunes, 2002:123, citado por


Zamith, 2007:31). Tal projeto de lei não foi aprovado.
Mas a segurança não pode se afastar da inteligência. Verifique-se o que a
Agência Brasileira de Inteligência diz a respeito, em texto extraído de sua página
eletrônica oficial4::
A atividade de Inteligência está voltada para o estabelecimento de um
conjunto de normas, mecanismos e procedimentos que visam à proteção
de dados, conhecimentos, áreas e pessoas e meios de interesse da
sociedade e do Estado, para se contrapor ou reduzir riscos de ameaças
adversas.

No caso do Exército Brasileiro, como já se viu, o relacionamento da


segurança com a inteligência ocorre por imposição doutrinária e estrutural.
Segundo se depreende do texto abaixo transcrito, de Antunes (2002:26), tal
imposição foi muito bem atribuída:
A relação entre a atividade de inteligência e a segurança é estreita. O
aparato de segurança precisa se basear na avaliação de inteligência para
definir as medidas de segurança defensivas a serem tomadas, pois é ela
quem faz a avaliação das ameaças existentes.

O anteprojeto da IP 30-3 (2005,1-3), assim resume os objetivos da contra-


inteligência:
1) Impedir que ações hostis de qualquer natureza permitam o vazamento
ou o comprometimento de qualquer informação e/ou a perda, mesmo
temporária, de qualquer material ou outro bem, e/ou provoquem danos à
integridade física e aos valores de integrantes do Sistema Exército, bem
como às áreas, instalações e meios que retenham ou em que transitem o
pessoal, a informação e/ou o material; e/ou, ainda, que tenham o potencial
de atentar contra qualquer segmento do Sistema Exército, de forma direta
ou indireta.
2) Impedir a realização de atividades de espionagem, subversão,
sabotagem, propaganda adversa, terrorismo e/ou desinformação contra o
Sistema Exército;
3) Induzir o centro de decisão do adversário à posicionar-se de forma
equivocada.

Para racionalização dos trabalhos de Contra-Inteligência, as ações a serem


executadas agrupam-se, segundo o caráter preventivo e preditivo que os
caracterizam, em dois segmentos distintos, a Segurança Orgânica; e a Segurança
Ativa.
______________
4
Disponível em http://www.abin.gov.br/modules/mastop_publish/?tac=Programa. Acesso em 03
Mar 08
36

3.3 SEGURANÇA ORGÂNICA


Novamente, busque-se a definição contida no anteprojeto da IP 30-3 (2005;1-
8):
a. A Segurança Orgânica (Seg Org) é um grau de segurança ideal obtido
pela adoção eficaz de um conjunto de medidas destinadas a prevenir e
obstruir as ameaças dirigidas contra qualquer segmento do Sistema
Exército, sendo estabelecido mediante criterioso e constante estudo de
situação, a ser adotado por todos os integrantes do Exército Brasileiro.
b. É o segmento da Contra-Inteligência que preconiza a adoção de um
conjunto de medidas, destinado a prevenir e obstruir possíveis ameaças,
de qualquer natureza, dirigidas contra pessoas, dados, informações,
materiais, áreas e instalações.

A Segurança orgânica, portanto, tem por finalidade prevenir e obstruir as


ameaças dirigidas contra o Sistema Exército.
Para o desempenho destas atribuições, o referido anteprojeto prevê que a
Segurança Orgânica deve desdobrar-se nos seguintes grupos de medidas:
- Segurança dos Recursos Humanos;
- Segurança da informação;
- Segurança do material; e
- Segurança das áreas e instalações.

3.3.1 Segurança dos Recursos Humanos


Veja-se como o anteprojeto da IP 30-3 (2005;1-9) aborda as atribuições
relativas à Segurança dos Recursos Humanos:
A Segurança dos Recursos Humanos está voltada para: preservar a
integridade física de qualquer integrante do Sistema Exército; evitar que
sejam utilizados como meio para a consecução de fins favoráveis a ações
adversas; e a preservar os princípios éticos e morais individuais e os
valores institucionais; ou seja, atua sobre o homem.

A segurança dos recursos humanos está, segundo a citação acima,


perfeitamente alinhada com a grande importância concedida aos recursos
humanos pela diretriz do Comandante do Exército, transcrita no início do presente
capítulo.
Saliente-se que este grupo de medidas abrange um espectro bastante amplo
de ações, que vão desde a proteção devida, por exemplo, a autoridades que
37

podem ser alvos de ações terroristas ou criminosas, passando pela proteção


contra ações de desinformação ou propaganda adversa que visem afetar o estado
moral ou a capacidade de tomar decisões dos chefes de todos os níveis.
Comportam ainda ações que previnam a ocorrência de acidentes de qualquer
natureza que possam afetar a operacionalidade da Força.

3.3.2 Segurança da informação


O segundo grupo de medidas abordado pelo anteprojeto da IP 30-3 é o da
Segurança da Informação. Refere o anteprojeto da IP 30-3 (2005,1-9):
O grupo da Segurança da Informação dedica-se à proteção direta dos
dados e de conhecimentos sigilosos ou sensíveis cujo acesso irrestrito, ou
divulgação não-autorizada, pode acarretar prejuízos ao Sistema Exército.
Atua objetivamente sobre os seus suportes: pessoas, documentos,
materiais, os meios de tecnologia da informação, áreas e instalações

A segurança da informação, no seu sentido mais amplo, refere-se à


salvaguarda dos dados e informações existentes sobre uma pessoa, uma
organização, uma empresa ou uma instituição.
A informação é um ativo cada vez mais valorizado pelas organizações. É
considerado crítico, no mundo corporativo, para a continuidade operacional e a
saúde de qualquer empresa.
Sêmola (2003;6) refere-se à importância da informação nos seguintes
termos:
O sangue da empresa é a informação. Distribuída por todos os processos
do negócio, alimentando-se e circulando por diversos ativos, ambientes e
tecnologias, a informação cumpre o importante papel de fornecer
instrumentos para a gestão do negócio. Apesar de ter um grande volume
momentaneamente armazenado e processado de forma centralizada nos
grandes computadores e servidores, toda a informação está disponível dos
pontos mais distantes através da tecnologia de rede internet, intranet,
extranet, acessos remotos, culminando com as novas tecnologias WAP e
wireless.

Nota-se que estas novas tecnologias de gerenciamento da informação


elevam o risco no que se refere às ameaças aos dados e conhecimentos
sensíveis ou sigilosos. A própria previsão do grupo de medidas da segurança da
informação no anteprojeto da IP 30-3 é uma resposta a estas necessidades
38

suplementares de proteção, uma vez que a IP 30-3 antiga (e ainda em vigor) não
faz a previsão deste grupo de medidas.
A segurança da informação tem como objetivo básico a preservação das três
características da informação: confidencialidade, integridade e disponibilidade
(Sêmola, 2003,45).
- Confidencialidade – toda a informação deve ser protegida de acordo
com o grau de sigilo de seu conteúdo, visando a limitação de acesso e uso
apenas às pessoas para quem elas são destinadas.
- Integridade – toda a informação deve ser mantida na mesma condição
em que foi disponibilizada pelo seu proprietário, visando protege-la contra
alterações indevidas, intencionais ou acidentais.
- Disponibilidade – toda informação gerada ou adquirida por um indivíduo
ou instituição deve estar disponível ao seus usuários no momento em que
os mesmos dela necessitem para qualquer finalidade.

A estas três características apresentadas por Sêmola, o anteprojeto


acrescenta outras três (IP 30-3,2005;3-7):
- Autenticidade - é a certificação de que o conteúdo da informação possui
integridade, como também a fonte geradora possui sua origem
comprovada.
- Não-repúdio (irretratabilidade) - é a garantia de que, num processo de
envio e recebimento de informações, qualquer participante originador ou
destinatário de informação não possa, em um momento posterior, negar a
respectiva atuação.
- Atualidade - é a garantia de que um documento em utilização seja
realmente o que está em vigor.

3.3.3 Segurança do Material


O terceiro grupo de medidas tratado no anteprojeto da IP 30-3 é o da
segurança do material. É a segurança física, patrimonial e tradicional, à qual todas
as pessoas estão acostumadas.
Abaixo, transcreve-se tal definição(2005,1-10):
A Segurança do Material compreende um conjunto de medidas voltado
para a salvaguarda de recursos materiais que, mesmo não contendo
informações (dados ou conhecimentos) sensíveis, interessem ao Sistema
Exército preservar, como, por exemplo, armamento, explosivos e
munições.

Aqui cabe uma explicação. O novo enfoque dado pelo anteprojeto diferencia
a segurança da informação da segurança do material no seguinte aspecto. A
segurança física de um armamento é dada pela segurança do material. A
39

segurança do conhecimento contido intrinsecamente num armamento moderno,


que utilize tecnologias sensíveis, é do escopo da segurança da informação.
Estes dois grupos de medidas não podem ser isolados, visto que se trata, no
exemplo acima, de um único armamento. A divisão serve, entretanto, para lembrar
ao responsável pela segurança que não se trata apenas de manter a integridade
patrimonial. Há que se velar pela integridade do conhecimento contido naquele
material.

3.3.4 Segurança das Áreas e instalações


É a segurança das áreas e instalações que dá suporte aos demais grupos de
medidas, já apresentados, pois para o desenvolvimento de suas ações, o
elemento adverso ou oponente tentará fazer uso de subterfúgios que lhe permitam
penetrar na organização para ter acesso às informações e materiais sensíveis ou
não, podendo inclusive inutilizá-los ou causar baixas no pessoal.
Segundo o anteprojeto da IP 30-3 (2005,3-67) trata-se de:
um conjunto de medidas voltadas para os locais em que devam existir
atividades do homem, ou ainda, onde são elaborados, tratados,
manuseados ou guardadas as informações e os materiais, com a
finalidade de salvaguardá-los.

A segurança das instalações também é de fácil entendimento, pois é a mais


comum de ser verificada. Está presente nos controles de portaria das
organizações e nas guardas dos aquartelamentos, nos controles de acesso a
locais restritos, nas medidas preventivas de combate a incêndio, dentre outras.

3.4 SEGURANÇA ATIVA


A Segurança Ativa está intimamente ligada à Segurança Orgânica,
complementando- a e sendo por ela auxiliada. Enquanto a Segurança Orgânica,
em última análise, procura criar obstáculos, obstruções e barreiras entre atores
hostis e a Força Terrestre, a Seg Ativa busca detectar, identificar, avaliar, explorar
e neutralizar as ameaças adversas.
O estudo da Segurança ativa está fora do escopo do presente trabalho
científico, sendo abordada somente quando imprescindível ao entendimento.
40

3.5 CONCLUSÃO PARCIAL


Vistos os principais aspectos relacionados à Segurança Orgânica no Exército
Brasileiro, verifica-se que este ramo da atividade de contra-inteligência é o
responsável por prevenir e obstruir as ameaças de qualquer natureza dirigidas
contra o sistema Exército.
Tal ramo de atividades abrange variadas áreas, denominadas
doutrinariamente pelo Exército Brasileiro como grupos de medidas de segurança
orgânica. Estas áreas abarcam desde a segurança dos recursos humanos,
passando pela segurança da informação, do material e das áreas e instalações.
Pode-se concluir parcialmente, portanto, que o Exército Brasileiro possui uma
base doutrinária que objetiva definir procedimentos com vistas a regular atitudes
de proteção e segurança.
41

4 ANÁLISE E GERENCIAMENTO DE RISCOS

Este capítulo destina-se a analisar o processo de análise e gerenciamento de


riscos. Em um primeiro momento, serão estudados os processos de análise e
gerenciamento de riscos, de modo a tornar clara a distinção entre estes dois
conceitos. Em seguida, o processo de gerenciamento de riscos propriamente dito
será analisado.

4.1 CONCEITOS GERAIS SOBRE A ANÁLISE E O GERENCIAMENTO DOS


RISCOS
Ao se tratar da possibilidade de ocorrência de um determinado evento, estar-
se-á entrando no terreno das probabilidades. As diversas áreas do conhecimento
humano tratam dos riscos inerentes às suas atividades de acordo com suas
peculiaridades e baseadas nas teorias das probabilidades.
Segundo Heinrich (2004), cada área do conhecimento humano procura
desenvolver seus conceitos e técnicas para o tratamento do risco, usando para
isso o conceito de probabilidade desenvolvido por duas escolas: a escola dos
Objetivistas (ou Freqüencialistas) e a dos Subjetivistas (ou escola Bayesiana).
Ainda segundo o mesmo autor, os objetivistas definem a probabilidade de
ocorrência de um evento como a freqüência com a qual ocorre o evento em uma
longa seqüência de tentativas ou experimentos similares.
Já na escola Bayesiana, a probabilidade de ocorrer um evento é um grau de
crença, ou confiança, de que o evento ocorrerá, dado um nível de conhecimento
disponível no momento.
Para o Comitê Técnico Conjunto de Análise de Riscos da Austrália e Nova
Zelândia em sua norma AS/NZS 4360:2004 (2004,04) análise de riscos é “um
processo sistemático para se compreender a natureza do risco e deduzir o seu
nível.”
Ainda para o mesmo comitê (2004,05), gerenciamento de riscos é “a
aplicação sistemática de políticas, práticas e procedimentos para as tarefas de
comunicação, estabelecimento de um contexto, identificação, análise, avaliação e
tratamento dos riscos.”
42

Gerenciamento do risco, portanto, compreende todas as providências


levadas a efeito por uma organização, com o objetivo de direcionar e controlar
suas atividades no que concerne aos riscos a que está submetida.
Estas providências envolvem uma metodologia que normalmente envolve a
análise/avaliação dos riscos, o tratamento dos riscos, a aceitação dos riscos e a
comunicação dos riscos. (ABNT ISO/IEC 73:2005, 2005,3)
Da análise das definições adotadas pelas normas AS/NZS 4360:2004 e
ISSO/IEC 73:2005, percebe-se que a análise de riscos pode ser considerada uma
primeira fase do gerenciamento dos riscos, quando se estabelecem quais são as
ameaças e os riscos que elas podem oferecer. A partir desta identificação, o
processo continua com os procedimentos de gerenciamento dos riscos
propriamente dito.
Também é assim que entende Heinrich (2004,21), que considera a análise de
risco uma fase inicial do processo de gerenciamento de riscos.
É importante notar que a gestão de riscos deve ser um processo contínuo e
em constante desenvolvimento. A Norma Européia para Gestão de Riscos -
ISO/IEC Guide 73 (2003,3) assim esclarece este ponto:
A Gestão de riscos deve analisar metodicamente todos os riscos
inerentes às atividades passadas, presentes e, em especial, futuras
de uma organização. Deve ser integrada na cultura da organização
com uma política eficaz e um programa conduzido pela alta
administração da organização.

Ainda de acordo com a Norma Européia, o gerenciamento dos riscos protege


e agrega valor à organização, pois apóia os objetivos das organizações da
seguinte forma:
- criando uma estrutura na organização que permita que a atividade
futura se desenvolva de forma consistente e controlada;
- melhorando a tomada de decisões, o planejamento e a definição de
prioridades, através de uma interpretação abrangente e estruturada da atividade
do negócio e das ameaças/oportunidades dos projetos;
- contribuindo para uma utilização mais eficiente dos recursos da
organização;
43

- proteção e melhoria dos ativos da imagem da organização e;


- otimizando a eficiência operacional, dentre outros aspectos.

4.2 PROCESSO DE GERENCIAMENTO DE RISCOS


A seguir, será apresentado o processo de gerenciamento de riscos. Em
linhas gerais, a seqüência analisada será a prevista pelas Normas
Australiana/neozelandesa. Tal norma foi escolhida por ser a primeira norma do
mundo sobre gestão de riscos. Em razão deste fato, foi utilizada como modelo por
todas as outras que surgiram, inclusive para a que está em vigor na União
Européia.
As normas Australiana/neozelandesa são genéricas e podem ser utilizadas
por organizações de qualquer tipo, tamanho e setor de atividade.
Pereira e colaboradores (2006), assim se referem às referidas normas
O AS/NZS 4360 (2004) – Australian and New Zealand Standard for Risk
Management – é um padrão internacional para o gerenciamento de
riscos [o destaque é nosso], que fornece diretrizes para a estruturação e
implementação de uma estratégia efetiva para o gerenciamento de
riscos. Esse padrão enfatiza que esta estruturação varia de acordo com
as necessidades da organização, seus objetivos específicos, seus
produtos e serviços, bem como as práticas e os processos por ela
utilizados. Sua finalidade é estabelecer um framework genérico para o
estabelecimento do contexto da gerência de riscos e para a
identificação, a análise, a avaliação, o tratamento, a monitoração e a
comunicação dos riscos na organização.

A descrição de tal processo tem por intuito aprofundar o conhecimento


acerca de tal metodologia. Em vários momentos, para facilitar o entendimento,
serão inseridos conceitos advindos de outros autores e/ou metodologias que,
entretanto, não divergem do escopo e do cerne da metodologia estudada.

4.3 PROCESSO AUSTRALIANO/NEOZELANDÊS (NORMAS AS/NZS 4360:2004)


As normas australianas e neozelandesas, elaboradas pelos Standards
Australia/Standards New Zealand, prevêem um processo com cinco fases:
estabelecimento do contexto, identificação dos riscos, análise dos riscos,
avaliação e finalmente o tratamento dos mesmos.
44

O processo prevê, em todas as suas fases, um metódico sistema de


comunicação com os membros da organização e um permanente monitoramento
e revisão das práticas adotadas, conforme a figura Nr 01 a seguir:

Figura 01 - Fluxograma de Gerenciamento de Risco


Fonte: Normas AS/NZS 4360:2004

4.3.1 – Estabelecimento do contexto


Inicialmente, o processo em tela prevê o estabelecimento do contexto em
que se vai executar o gerenciamento dos riscos. Como se vê abaixo (Norma
AS/NZS 4360:2004, 12) considera-se importante que os ambientes internos e
45

externos à instituição sejam analisados, bem como a interface existente entre


estes ambientes.
Establishing the context defines the basic parameters within which risks
must be managed and sets the scope for the rest of the risk management
process. The context includes the organization’s external and internal
5
environment and the purpose of the risk management activity.

Primeiramente, o método prevê o estudo do ambiente externo no qual a


organização está inserida.
Tal análise define o inter-relacionamento entre a citada organização e os
diversos atores externos. Busca-se levantar os aspectos sociais, políticos e
culturais, quais são os pontos fortes e quais são os pontos fracos de tal inter-
relacionamento. É especialmente importante que a organização compreenda os
valores do ambiente externo na qual se insere e estabeleça políticas de
comunicação com este ambiente.
O conhecimento aprofundado do ambiente externo vai assegurar que a
organização reconheça quais são as ameaças que se apresentam e as levem em
consideração no processo de gerenciamento dos riscos.
Estabelecido o contexto externo, o segundo passo consiste no
aprofundamento do conhecimento da própria organização.
Os valores, a cultura organizacional, a estrutura, as capacidades em termos
de recursos humanos, materiais e financeiros, são levantados. Deve-se saber
quais são os objetivos da organização e quais são as suas estratégias para se
alcançar estes objetivos.
O terceiro passo consiste no estabelecimento do contexto do gerenciamento
de riscos como um processo, propriamente dito.
As metas, os objetivos, as estratégias, a extensão e os parâmetros das
atividades que serão executadas no processo de gerenciamento de riscos são
estabelecidos. Em outras palavras, deve-se definir a extensão e os limites da
aplicação da metodologia na administração da organização.

______________
5
O estabelecimento do contexto define os parâmetros básicos dentro dos quais os riscos devem ser
administrados, fixando os parâmetros para o resto do processo de gerenciamento de riscos. O contexto inclui
os ambientes internos e externos à organização e o propósito para a atividade de gerenciamento de riscos. –
tradução do autor.
46

A seguir, ainda na 1ª fase da metodologia – estabelecimento do contexto –


deve-se desenvolver os critérios de avaliação do risco, segundo os quais serão
definidos os processos ou atividades que terão seus riscos avaliados. Tais
critérios dependem de diversos fatores. Baseiam-se em aspectos técnicos,
operacionais, financeiros, ambientais, humanos ou outros, estabelecidos pela
administração da organização.
Finalmente, a última etapa do estabelecimento do contexto prevê a definição
da estrutura de funcionamento dos próximos passos da metodologia. Isto é, deve-
se subdividir os processos ou atividades que terão seus riscos analisados de uma
maneira lógica, no intuito de se certificar que nenhuma etapa das referidas
atividades deixará de ser analisada.

4.3.2 Identificação dos riscos


Estabelecido o contexto, a metodologia prevê como próxima etapa a
identificação dos riscos. Tal fase é fundamental, pois como se vê a seguir, um
risco não identificado não será incluído nas fases subseqüentes do processo.
(Norma AS/NZS 4360:2004, 16)
This step seeks to identify the risks to be managed. Comprehensive
identification using a well-structured systematic process is critical, because
6
a risk not identified at this stage may be excluded from further analysis.

Neste ponto do método, alguns questionamentos se impõem:


- O que pode acontecer, aonde e quando?
O objetivo ao se responder aos questionamentos acima é gerar uma lista
que inclua os riscos e eventos que poderiam ter impacto sobre o sistema a ser
protegido.
- Por que e como isto pode acontecer?
Após identificar as ameaças, é necessário compreender por quais motivos
elas se apresentam e quais os cenários podem ser previstos no caso da sua
ocorrência.

______________
6
Este passo busca identificar os riscos a serem administrados. É importante que a identificação
seja inclusiva e use um processo sistemático e bem-estruturado, porque um risco não identificado
nesta fase pode ser excluído de análise posterior. – tradução do autor.
47

As ferramentas e técnicas que devem ser utilizadas para responder às


questões acima incluem listas de verificação, julgamentos baseados na
experiência e relatórios anteriores, brainstorming, dentre outros.

4.3.3 Análise dos riscos


Nesta fase o que se busca, basicamente, é entender os riscos. Ao final desta
análise, o decisor saberá quais os riscos que devem ser prioritariamente tratados
e as relações custo-benefício das estratégias de tratamento de riscos.
A análise de riscos envolve considerações sobre os tipos de riscos, sobre
suas conseqüências negativas ou mesmo, positivas e quais as possibilidades
destas conseqüências ocorrerem.
Em primeiro lugar, deve-se avaliar os controles existentes. Verificar os
processos que os envolvem, seus pontos fortes e pontos fracos. Os
procedimentos e/ou processos de controle existentes podem vir a ser a origem
dos processos de tratamento de riscos que serão implementados.
Em seguida deve-se fazer a previsão da magnitude das conseqüências de
um evento, caso ele ocorra. Um evento pode ter múltiplas conseqüência e afetar
vários objetivos diferentes.
Para se estimar o grau de impacto e a probabilidade de ocorrência, existem
diversas ferramentas gerenciais.
As Normas Européias para Gestão de Riscos (2003,15) apresentam as
seguintes técnicas:
- brainstorming;
- questionários;
- estudos que analisem cada processo da atividade e descrevam os
fatores internos e externos que possam influenciar os referidos processos;
- análises comparativas do setor;
- análises de cenários;
- oficinas de avaliação de riscos (workshops);
- investigação de incidentes; e
- auditorias e inspeções.
48

Na mesma direção, as Normas Australianas e Neozelandesas (2004,17)


prevêem as seguintes técnicas:
- utilização de experiências do passado;
- utilização da experiência do analista de riscos;
- literatura relevante;
- investigação de mercado;
- resultados de pesquisas;
- experimentações e utilização de protótipos;
- utilização de modelos;
- opiniões de experts e especialistas colhidas por intermédio de
pesquisas estruturadas, questionários ou pela formação de grupos
multidisciplinares.
O resultado dos processos acima descritos podem ser estimados, segundo
Sêmola (2003,109), de forma qualitativa ou quantitativa:
Existem, fundamentalmente, duas linhas metodológicas para orientar uma
análise de riscos. A quantitativa é orientada a mensurar os impactos
financeiros provocados por uma situação de quebra de segurança a partir
da valoração dos próprios ativos. A qualitativa é orientada por critérios que
permitem estimar os impactos ao negócio provocados pela exploração de
uma vulnerabilidade por parte de uma ameaça. Ambas possuem pontos
positivos e negativos; porém, com o grande grau de subjetividade no
processo de valoração dos ativos e, ainda, dos impactos em cascata,
diretos e indiretos, potencialmente provocados por uma quebra de
segurança, a metodologia de análise qualitativa tem demonstrado
eficiência superior.

A análise qualitativa, considerada mais eficiente por Sêmola é aquela que


utiliza palavras para descrever o grau de risco.
As Normas Européias de Análise de Riscos (2003,8) propõem o quadro
constante na figura Nr 2 para fazer tal descrição:
49

Figura 02 - Quadro de probabilidades


Fonte: Norma Européia de análise de Riscos (2003,8)

A análise quantitativa, mais comum nas áreas contábeis e financeiras, é feita


atribuindo-se um valor para o grau de certeza (ou de incerteza) de que um
determinado evento ocorrerá de uma determinada maneira. A isto, Andrade
(2004,130) chama “atribuir probabilidades subjetivas”. Tal atribuição segue,
segundo este autor, os seguintes passos:
- analisar o problema de modo a identificar os fatores que mais
contribuem para a incerteza do resultado final;
- para cada fator importante, estimar os valores que têm maior
probabilidade de ocorrência;
- atribuir, por meio de números, graus de certeza de ocorrência a esses
valores;
- procurar conferir os resultados atribuídos com outras pessoas que
conhecem o problema, de modo a tentar obter um consenso sobre os graus de
certeza.
50

Neste ponto da análise, já existem condições de, combinando-se as


conseqüências e as possibilidades, chegar-se à conclusões acerca dos níveis de
risco.
Sêmola (2003,112) clareia o relacionamento entre conseqüências ou
impactos e probabilidades com o chamado “quadrante de risco medido pela
relação de probabilidade e impacto”, como na figura 03 a seguir.

2 3
Baixo Alto
Impacto

1 2
Probabilidade

Figura 03 - Matriz de avaliação do Risco


Fonte: Sêmola (2003,112)

No quadro proposto, o autor identifica nos quadrantes do gráfico o grau de


risco, relacionando a probabilidade de ocorrência de determinado evento com o
seu correspondente impacto (conseqüência).
O quadrante de número 1, com baixo impacto e baixa probabilidade de
ocorrência determina o menor grau de risco. Por outro lado, no quadrante de
número 3, onde o grau de impacto é alto e a probabilidade também, o risco é mais
elevado.
O Tesouro Britânico, em seu Orange Book (2004,19), apresenta uma tabela
semelhante à anteriormente descrita, vista na figura 04 a seguir.
51

Figura 04 - Matriz de avaliação do risco


Fonte: Orange Book

Neste gráfico, as cores representam o grau de tolerância ao risco. A cor


verde, onde o impacto (impact) e a probabilidade de ocorrência (likelihood) são
baixos, delimita a área na qual o risco é insignificante e pode ser tolerado. Em
amarelo, a área onde o risco é moderado. A linha de tolerabilidade delimita a
fronteira entre a área amarela e vermelha, onde o alto impacto conjugado à alta
probabilidade classificam o risco como inaceitável.
Terminada a análise de riscos, já é possível avaliar os mesmos, para se
aproximar da tomada de decisão.

4.3.4 Avaliação dos Riscos


De acordo com as Normas Australianas e Neozelandesas (2004,19), avaliar
os riscos é tomar decisões baseadas no resultado da análise de riscos, decidindo
quais os riscos serão tratados e com quais prioridades.
Esta avaliação envolve a comparação dos graus de riscos encontrados
durante a análise de riscos com os critérios de risco que foram definidos quando o
contexto foi estabelecido.
Segundo a Norma Européia (2003,10) “Os critérios de riscos podem
englobar os custos e receitas associadas, exigências legais, fatores
socioeconômicos e ambientais, preocupações dos intervenientes, etc”
52

Desta forma, a estimativa dos riscos e conseqüente comparação apóia a


tomada de decisões sobre a importância de cada risco para a organização e a
possibilidade de cada risco ser aceito ou corrigido.

4.3.5 Tratamento dos Riscos


O tratamento dos riscos é o processo de se selecionar e implementar
medidas para se modificar o risco (Norma Européia 2003,10). Envolve, portanto,
identificar todo o leque de opções disponível para o tratamento do risco, a escolha
de uma destas opções e o planejamento, execução e controle dos planos de
tratamento de risco.
Dentre as opções disponíveis para o tratamento do risco, pode-se citar,
baseado nas normas Australiana/Neozelandesa (2004,21):
- afastar o risco, decidindo não executar, ou imediatamente cessar, a
atividade que está gerando o risco (quando isto for possível);
- diminuir a probabilidade de ocorrência do risco, para reduzir a
probabilidade de conseqüências negativas;
- transferir ou compartilhar o risco, por intermédio de parcerias com
outras organizações, seguros, etc;
- aceitar o risco.
No tocante ao tratamento do risco, Sêmola (2003,112), afirma:
O resultado obtido (da análise de riscos) nos permite organizar as
prioridades e dimensionar um plano de ação de curto, médio e longo
prazos...Dessa forma, tem-se a orientação necessária para apoiar as
decisões e modelar contramedidas específicas para cada perímetro da
empresa, como eliminar o risco, reduzir o risco, transferir o risco ou aceitar
o risco. Em qualquer destas situações, limitações orçamentárias,
dificuldades técnicas ou fatores externos tendem a impedir a
implementação total das contramedidas especificadas, levando qualquer
empresa a buscar o nível de risco controlado e de acordo com a natureza
de seu negócio (posicionamento consciente).

Levantadas as opções, deve-se escolher qual delas será adotada. Tal


decisão deve levar em consideração a comparação entre os custos de
implementação e os benefícios que tal implementação trará para a organização.
Evidentemente, a opção adotada obrigatoriamente deverá proporcionar o
funcionamento eficiente e eficaz do sistema que tem seus riscos tratados. Para
53

isto, os gerentes do processo deverão levar em consideração que as medidas


propostas serão tão mais eficientes quanto for o maior grau de redução de risco
que elas originarem.
As propostas de medidas de tratamentos de riscos devem ser planejadas e
documentadas. De acordo com as Normas Australiana/Neozelandesa (2004,22),
tais planejamentos devem conter:
- as ações propostas;
- a previsão de recursos necessários;
- a quem cabe as responsabilidades pela implementações das ações;
- prazos;
- medidas para controle dos resultados e;
- medidas para comunicação e monitoramento dos resultados

4.3.6 Comunicando os riscos


A organização que tem os seus riscos gerenciados necessita, conforme já foi
tratado aqui, manter os seus membros informados sobre todas as etapas do
processo de gerenciamento de riscos.
Os vários níveis decisórios devem ser informados dos aspectos que lhe são
concernentes.
De acordo com as Normas Européias (2003,11), o conselho de
administração, ou seja a alta administração da organização deve, dentre outros
aspectos:
- conhecer os riscos mais importantes que a organização enfrenta;
- garantir níveis adequados de sensibilização ao risco em todos os
níveis da organização;
- saber de que forma a organização gerenciará uma crise;
- ter certeza de que o processo de gestão de riscos é eficaz;
- publicar uma política de gestão de riscos clara e que abranja a
abordagem geral e as responsabilidades de gestão de riscos.
Ainda de acordo com as citadas normas, as unidades de negócios, ou seja,
os decisores em nível operacional devem:
54

- estar conscientes dos riscos inerentes às respectivas áreas de


responsabilidade, dos possíveis impactos que estes podem ter noutras unidades e
das conseqüências que eventos ocorridos em outras unidades podem lhes
provocar;
- dispor de indicadores de desempenho que lhes permitam monitorizar
nas atividades chave, quer financeiras quer operacionais e os progressos para o
cumprimento dos objetivos;
- identificar intervenções necessárias à correção de desvios (por
exemplo, previsões e orçamentos);
- dispor de sistemas que informem sobre variações orçamentárias,
que permitam reações apropriadas; e
- comunicar, sistemática e imediatamente, à alta administração, todos
os riscos novos ou falhas constatadas nas medidas de controle existentes.
Finalmente, é mister que cada indivíduo componente da organização:
- compreenda o seu nível de responsabilização relativamente a riscos
individuais;
- compreenda de que forma pode contribuir para a melhoria contínua
da gestão de riscos;
- compreenda que a gestão de riscos e a sensibilização para a
existência de riscos são elementos chave da cultura da organização; e
- comunique, sistemática e imediatamente, à administração, todos os
riscos novos ou falhas constatadas nas medidas de controle existentes.
Além de manter os membros da própria organização informados, é
importante que o público externo à esta mesma organização seja regularmente
informado sobre a política de gestão de riscos e dos objetivos alcançados por tal
política (Norma Européia, 2003,11).
Este aspecto ganha ainda mais importância no mundo atual, onde assuntos
como meio-ambiente, direitos humanos, legislação trabalhista, dentre outros
diversificados aspectos impões a todas as instituições uma permanente
preocupação com a imagem da organização perante a sociedade na qual está
inserida.
55

4.3.7 Monitorização e revisão do processo


A gestão de riscos eficaz necessita de uma estrutura de comunicação e
revisão que assegure que os riscos são identificados e avaliados de forma eficaz e
que os controles e respostas adequados são implementados (Norma Européia,
2003,14).
Ainda de acordo com aquelas normas, devem ser executadas auditorias
regulares para se verificar o cumprimento dos planos e das medidas de tratamento
de riscos adotadas, identificando-se as oportunidades de melhorias.
As organizações são dinâmicas e funcionam em ambientes dinâmicos. As
alterações sofridas pela organização e as ocorridas no ambiente na qual a
instituição está inserida devem ser identificadas, para que sejam efetuadas as
modificações adequadas aos procedimentos de tratamento de risco em curso.
O processo de monitorização deve garantir que estão implementados os
controles adequados para as atividades da organização e que os procedimentos
são compreendidos e seguidos.
Qualquer processo de monitorização e revisão deve determinar se:
- as medidas adotadas alcançaram os resultados pretendidos;
- os procedimentos adotados e as informações recolhidas para a
realização da avaliação foram os adequados; e
- um melhor nível de conhecimento teria ajudado a tomar melhores
decisões.
Neste ponto, é importante salientar que uma das dificuldades básicas da
análise e gerenciamento de riscos é que, muitas vezes, por falta de dados
estatísticos de uma série histórica, as conclusões da análise dos riscos são
baseadas fortemente em especulações.
Isto certamente enseja margem para o cometimento de erros de avaliação
que irão se refletir na avaliação e no posterior tratamento dos riscos, acarretando
em atribuições equivocadas de prioridades, ou, mesmo, na super-avaliação ou na
subestimação dos riscos.
56

Então, poder-se-ía perguntar: Se os analistas de risco estão tão expostos ao


cometimento de erros, para que pode servir uma análise de riscos para um
tomador de decisões?
Bertotto (2001,56) esclarece:
(A) las evaluaciones de riesgo no deben interpretarse necesaria y
forzosamente como predicciones de lo que sucederá sino como
previsiones acerca de lo que puede suceder con un determinado grado de
probabilidad; y
(B) las evaluaciones deben ser hechas, no como un ejercicio académico
de malabarismos analíticos, sino teniendo presente el empleo práctico y
7
concreto que les habrá de dar la persona que debe tomar las decisiones.

Ou seja, nem os analistas de riscos podem pretender-se estar de posse de


métodos mágicos que os possibilitem antever o futuro, nem os tomadores de
decisão podem esperar que decisões possam ser tomadas sem que exista um
determinado grau de risco.

4.4 CONCLUSÃO PARCIAL


O gerenciamento de riscos, como se verificou no presente capítulo, é um
processo gerencial que objetiva fornecer ao tomador de decisões o máximo de
ferramentas para se mitigar os riscos envolvidos em qualquer atividade.
Tal técnica segue uma metodologia consagrada, regulada internacionalmente
e praticada em diversas nações do mundo. O método apresentado neste trabalho
prevê o gerenciamento de riscos em cinco fases, que vão desde o
estabelecimento do contexto, passando pela posterior identificação, análise,
avaliação e finalmente o tratamento dos riscos. A comunicação dos riscos e a
monitorização do processo permeiam todas as fases citadas.
Portanto, há disponível para que seja colocada em prática por qualquer tipo
de organização, incluindo-se neste rol as organizações militares operacionais do
Exército Brasileiro, uma metodologia completa, regulamentada, adotada e
comprovada de análise e gerenciamento de riscos.
______________
7
(A) As avaliações de risco não devem ser interpretadas necessária e forçosamente como predições do que
aconteerá e sim como previsões do que poderá acontecer, com um determinado grau de probabilidade.
(B) as avaliações devem ser feitas, não como um exercício acadêmico de malabarismo analítico e sim se
tendo em vista o emprego prático e concreto que o tomador de decisões deverá dar a tais avaliações –
tradução do autor.
57

5 ASPECTOS DA ANÁLISE DE RISCO E DA SEGURANÇA ORGÂNICA NO


EXÉRCITO NORTE-AMERICANO

O Exército norte-americano confere uma grande ênfase ao gerenciamento do


risco. Em 31 de janeiro de 2005, aquele exército criou o “United States Army
Combat Readiness Center (CRC)”.
Esta Unidade, que surgiu da transformação do antigo “United States Safety
Center”, tem, de acordo com memorando assinado pelo então Chefe do Estado-
maior do Exército dos EUA, Gen Peter J. Schoomaker (2005,1), as seguintes
características e finalidades, como se vê a seguir.
The CRC will be the Army’s focal point for analyzing accident, serious
incident, and combat loss reports, identifying lessons learned and tactics,
thecniques and procedures (TTPs) to mitigate and prevent future losses.
The Combat Readiness Center employs Composite Risk Management
8
(CRM) to try to prevent losses.

O Exército dos EUA utiliza, portanto, um processo de gerenciamento de


riscos denominado CRM, que neste trabalho será denominado “Gerenciamento do
Risco Composto”.

5.1 PROCESSO DO EXÉRCITO NORTE-AMERICANO – GERENCIAMENTO DO


RISCO COMPOSTO (CRM)
De acordo com o manual FM 5-19, o CRM é um processo de tomada de
decisão que tem por finalidade mitigar os riscos associados a todas as ameaças
que têm o potencial de ferir ou matar pessoal, danificar ou destruir equipamentos
ou causar impacto de qualquer outra forma no cumprimento da missão.
Doutrinariamente, existem cinco etapas no CRM:
- identificar as ameaças
- avaliar as ameaças
- desenvolver controles e tomar decisões
______________
8
O CRC será o ponto focal do Exército para análise de acidentes, de incidentes sérios, e de relatórios de
perdas em combate, identificando lições aprendidas e técnicas, táticas e procedimentos que mitiguem e
previnam perdas futuras. O CRC emprega o processo de Gerenciamento do Risco Composto para tentar
prevenir as perdas. – Tradução do autor.
58

- implementar controles
- supervisionar e avaliar

5.1.1 Identificação das ameaças


De acordo com o FM 5-19, as ameaças podem advir de várias áreas
diferentes: podem estar associadas às atividades do inimigo, às condições
meteorológicas e do meio ambiente, estado dos equipamentos, condições
sanitárias, acidentes, etc.
Entretanto, a metodologia do CRM não diferencia a origem da ameaças pois
considera que a perda de pessoal, equipamento ou material vai influenciar
negativamente o cumprimento da missão, indiferentemente da natureza do evento
que tenha ocasionado tal perda.
Para os norte-americanos, portanto, tanto as ameaças relacionadas às
atividades de serviço quanto àquelas relacionadas às atividades civis dos
membros do Exército devem ser identificadas, pois as perdas resultantes de
ambos os tipos de atividades redundarão numa diminuição do poder de combate
da Força Terrestre daquele país.
O exército norte-americano considera como fatores da decisão: missão,
inimigo, terreno, meios, tempo, condições climáticas e considerações civis. Por
estes serem fatores institucionalizados no Exército, são também utilizados para a
identificação das ameaças.

5.1.1.1 Missão
A natureza operacional da missão poderá implicar em ameaças específicas.
Algumas missões são, por natureza, mais perigosas que outras. Os decisores
devem estar atentos às ameaças inerentes a determinados tipos de missões.
Ainda no que se refere ao fator missão, de acordo com o FM 5-19, os
comandantes devem estar atentos às ameaças causadas por ordens de
operações e esquemas de manobra muito complexos ou simples demais, que
acabem causando dúvidas que resultem em perdas.
59

5.1.1.2 Inimigo
Os comandantes devem estar atentos à presença do inimigo e à sua
capacidade de atuar de modo a impedir ou atrapalhar o cumprimento da missão.
O IPB (Intelligence Preparation of the Battlefield)9 é o processo dinâmico utilizado
para a identificação das ameaças inimigas.

5.1.1.3 Terreno e condições meteorológicas


Os fatores observação e campos de tiro, cobertas e abrigos, obstáculos,
acidentes capitais e vias de acesso10 são consagrados no estudo de situação e
servem para a identificação de ameaças relacionadas às atividades de combate.
Para as atividades de não-combate, o analista pode preparar check-lists com
aspectos do terreno relacionados com a atividade que será desenvolvida. Num
deslocamento rodoviário, por exemplo, o grau de inclinação de curvas de uma
rodovia, o tipo de revestimento, intensidade de tráfego, dentre outros, serão
fatores a ser considerados.
Em relação às condições meteorológicas, as ameaças mais comuns são as
relacionadas ao frio, chuva, vento, neve, gelo, nebulosidade e visibilidade.

5.1.1.4 Meios
Neste item, o FM 5-19 prevê uma análise tanto da situação dos recursos
humanos quanto da situação dos recursos materiais.
O nível de adestramento da tropa e dos estados-maiores e as condições de
manutenção do equipamento devem ser analisados para se verificar as ameaças
que se relacionam à estas condições. Neste item também se verifica o estado
moral da tropa e as disponibilidades logísticas que podem influenciar no seu grau
de operacionalidade.
Aspectos relacionados às atividades da vida civil de militares e seus
dependentes, além do chamado “público interno”, devem ser analisados pelo
decisor quando do levantamento das ameaças neste item. São exemplos a

______________
9
O PITCI na doutrina brasileira – nota do autor.
10
Os fatores OCOAV – nota do autor.
60

utilização de tóxicos, casos de violência doméstica, doenças sexualmente


transmissíveis, endemias, etc

5.1.1.5 Tempo
Insuficiência de tempo para um adequado planejamento e/ou preparação de
planos e ordens ou aprestamento da tropa podem se caracterizar numa grande
ameaça.
Nas atividades relacionadas à vida civil, o risco está associado, normalmente,
à pressa para se concluir determinada atividade. Licenciamentos, por exemplo,
podem levar militares a planejarem viagens sem margens para atrasos, o que
acarreta num aumento do risco para os viajantes.

5.1.1.6 Considerações civis


Neste item são analisadas as ameaças que as operações podem causar na
população civil e não-combatente da área de operações. O objetivo será sempre o
de diminuir os efeitos colaterais das operações sobre estas pessoas.
Ainda neste item, principalmente em tempo de paz, devem ser considerados
os aspectos legais que podem atuar sobre os decisores, diminuindo sua liberdade
de ação.
Além destes fatores, outros como a experiência do decisor e de peritos,
prescrições regulamentares e doutrinárias, matrizes de risco, jogos de guerra e
cenários prospectivos, além de ferramentas gerenciais podem e devem ser
utilizadas para uma ampla identificação das ameaças.

5.1.2 Avaliação das ameaças


Na metodologia empregada pelo CRM, a avaliação das ameaças é feita com
base em tabelas que, através de números e códigos, indicarão a probabilidade de
ocorrência e a gravidade dos danos causados por um determinado evento,
determinando assim um nível de risco.
Neste ponto, é interessante transcrever uma ressalva feita pelo manual norte-
americano:
61

Technical competency, operational experience, and lessons-learned


weigh higher than any set of alpha-numeric codes. Mathematics and
11
matrixes are not a substitute for sound judgment.

Apesar da ressalva acima, o FM 5-19 considera que o método de avaliação


de riscos que a seguir será apresentado é muito útil para auxiliar o decisor em sua
tomada de decisão.
As ameaças são avaliadas e os riscos são assinalados de acordo com a
probabilidade de ocorrência e a gravidade dos impactos de um determinado
evento.
Trata-se de tentar responder a seguinte questão: “Qual a probabilidade de
ocorrer alguma coisa errada e quais seriam os efeitos de tal incidente?”
O resultado final da avaliação do risco será uma estimativa inicial do grau de
risco oferecido por cada uma das ameaças: extremamente alto, alto, moderado ou
baixo.
Para se alcançar o resultado acima, três etapas deverão ser seguidas:
- avaliar a probabilidade de ocorrência de determinado evento;
- estimar a gravidade desta ocorrência; e
- determinar o nível de risco

Figura 05 - Matriz de avaliação do risco


Fonte: FM 5-19

______________
11
Competência técnica, experiência operacional e lições aprendidas são mais valiosas que qualquer conjunto
de códigos alfa-numéricos. Matemática e matrizes não são substitutos para um julgamento sóbrio. Tradução
do autor.
62

A probabilidade de ocorrência de um determinado evento é estimada pelo


analista, levando-se em consideração todas as informações de que ele dispõe,
além da experiência própria e/ou de outros. O CRM utiliza cinco gradações para a
probabilidade de ocorrência de um evento12: freqüente, possível, ocasional, pouco
provável ou improvável.
Um evento é considerado freqüente quando se pode afirmar que ele ocorre
muitas vezes. Tem-se conhecimento de vários casos. Podem ser citados como
exemplos: acidentes automobilísticos, contusões em saltos de pára-quedas,etc.
Diz-se que um evento é possível quando é um evento comum, ocorre
algumas vezes. Pode-se citar como exemplo, disparos acidentais de armas de
fogo, acidentes com explosivos improvisados, etc.
Considera-se ocasional um evento que ocorre esporadicamente, mas não é
incomum. Fratricídio seria um bom exemplo de um risco ocasional.
Pouco provável é aquele risco remotamente provável, mas que pode vir a
acontecer. Normalmente só ocorrem quando há algo muito errado. Um morte por
choque elétrico, por exemplo.
Improvável é aquele risco que se assume que não irá ocorrer, embora seja
possível. A explosão de munição encapsulada, durante o transporte, seria um
exemplo.
Após a estimativa da probabilidade de ocorrência de um evento, deve-se
passar para a estimativa da gravidade de tal ocorrência.
O manual FM 5-19 expressa a gravidade de um determinado evento de forma
gradual, utilizando as seguintes expressões: catastrófico, crítico, marginal e
desprezível13
Um evento é “catastrófico” quando impede o cumprimento da missão,
redunda em morte ou invalidez permanente, quando ocorre perda de equipamento
vital para o cumprimento da missão, quando provoca um severo dano ao meio-
ambiente ou efeitos colaterais intoleráveis.

______________
12
Os termos em inglês (frequent, likely, occasional, seldom e unlikely) foram traduzidos pelo autor,
buscando-se um entendimento o mais fiel possível.
13
Em inglês – Catastrophic, Critical, Marginal, Negligible. Tradução do autor.
63

Diz-se que é “crítico”, quando provoca uma severa diminuição do poder de


combate, quando pode provocar uma baixa que afaste o militar de suas funções
por um período de tempo superior a três meses, perdas significativas de
equipamentos, danos ao meio-ambiente ou significativos efeitos colaterais.
“Marginal” é a gravidade de um evento que degrade o poder de combate e a
prontidão da tropa de maneira não significativa, cause pequenas perdas do
equipamento, cause baixas não superiores a alguns dias, não chegando a três
meses e não provoque danos relevantes ao meio-ambiente ou efeitos colaterais
significativos.
Por fim, “desprezível” é a gravidade de um evento que não cause impacto na
capacidade de cumprimento da missão ou na prontidão para o combate, que
cause baixas tratáveis apenas com primeiros socorros, que não afete a
capacidade operativa de equipamentos e não cause danos ao meio-ambiente ou
efeitos colaterais.
Após a avaliação da probabilidade de ocorrência de determinado evento e da
estimativa da gravidade de suas conseqüências, poder-se-á passar para a terceira
fase da avaliação das ameaças que é a determinação do nível de risco.
Utilizando-se a matriz já apresentada (figura Nr 05) , poder-se-á chegar
facilmente ao nível de risco.
A interpolação entre a coluna de probabilidade de ocorrência com a linha que
apresenta os níveis de gravidade mostrará o nível de risco. O nível de risco varia.
Um evento “freqüente” de gravidade “catastrófica” obviamente apresentará um
nível de risco extremamente alto. Já o nível de risco de uma ameaça “improvável”
e de gravidade “desprezível” será baixo.
O FM 5-19 lista quatro níveis de risco: Extremamente alto; Muito alto,
Moderado, e Baixo
Um risco extremamente alto causará a perda da capacidade de cumprimento
da missão se a ameaça se concretizar (a gravidade do evento é “catastrófica” ou
“crítica”). Por outro lado, há uma possibilidade real de ocorrer a ameaça, porque
esta foi considerada “freqüente” ou “possível”. Isto quer dizer que o risco
associado a esta operação ou atividade pode redundar em pesadas
64

conseqüências. A decisão de se manter tal atividade ou operação deve ser


cuidadosamente estudada. Deve-se analisar se os benefícios do prosseguimento
compensam os riscos extremamente altos.
Um risco muito alto ocorre quando a gravidade do evento é “catastrófica”,
“crítica” ou “marginal” e a possibilidade de ocorrência é “freqüente”, “possível” ou
“ocasional”. Conforme tais níveis se complementem na tabela, haverá uma severa
diminuição no poder de combate da tropa. Ainda neste nível de risco há que se
analisar com bastante cuidado a decisão de manter a atividade.
O risco é moderado quando a interpolação entre as colunas da tabela
reúnem altos riscos com baixas probabilidades e vice-versa.
Avalia-se como de baixo risco as atividades em que a gravidade do dano é
baixa, bem como a probabilidade de sua ocorrência.

5.1.3 Desenvolvimento de controles e tomada de decisões


Na etapa anterior do CRM, o nível de risco foi avaliado. Nesta etapa, serão
desenvolvidos os controles destes riscos e decisões serão tomadas.
Após a avaliação do risco proveniente de cada uma das ameaças
levantadas, comandantes e/ou decisores deverão tomar atitudes de controle que
eliminem a ameaça ou que reduzam o grau de risco (pela redução de sua
probabilidade de ocorrência ou de sua gravidade).
Atitudes de controle podem ser de inúmeros tipos. As mais comuns,
entretanto, são as seguintes:
- Educacionais – os controles educacionais são implementados por
intermédio de treinamentos e instruções individuais e coletivas. Baseiam-se nos
conhecimentos organizacionais e individuais acerca das ameaças, com o objetivo
de estabelecer normas, padrões de comportamento e atitudes que reduzam a
probabilidade de ocorrência ou o grau de gravidade de cada ameaça.
- Físicos – os controles físicos tomam a forma de guardas, barreiras,
cartazes, placas e sinais para impedir a ocorrência ou alertar sobre a possibilidade
de ocorrência de determinado evento. Neste tipo de controle também se incluem
65

medidas especiais para evitar os eventos causados por omissões não intencionais
ou falhas de atenção.
- Pró-ativos – controles que tem por finalidade a eliminação da
ameaça, por intermédio de uma ação efetiva.

Para serem efetivos, os controles utilizados devem ser adequados, ou seja,


devem efetivamente reduzir o grau de risco. Devem também ser factíveis, ou seja,
há que se possuir a capacidade de implementação de tais controles. Além disto,
os controles implementados devem ser aceitáveis, ou seja, os custos em recursos
humanos e materiais para a sua implementação devem compensar o grau de risco
a que eles irão se interpor.
Os controles que serão implementados dependem e originam-se da
experiência pessoal, de análises pós-ação, de bancos de dados de acidentes
ocorridos, de Procedimentos Operacionais Padrão (POP), Regulamentos, lições
aprendidas, e de técnicas, táticas e procedimentos adotados em situações
similares anteriormente vividas.
Após a implementação dos controles, as ameaças devem sofrer nova
avaliação, com a finalidade de se verificar qual o nível de risco residual ainda
existente. Então, novos controles podem ser aplicados, num ciclo contínuo, até
que o risco residual atinja níveis de probabilidade de ocorrência e de gravidade
aceitáveis.
O propósito do CRM é subsidiar os comandantes nas tomadas de decisões
que envolvam riscos. O aspecto fundamental desta decisão é a determinação do
que seja um “risco aceitável”. Custos, riscos e perdas potenciais devem ser
comparados aos benefícios esperados.

5.1.4 Implementação dos controles


A implementação dos controles deve ser feita por intermédio de
Procedimentos Operacionais Padrão, ordens escritas e verbais, briefings,
documentos de Estado-Maior. O importante é que todos estes procedimentos
devem resultar em ordens claras e de simples execução. Tais procedimentos
66

também devem ser coordenados com órgãos e entidades externas à OM, tais
sejam: comandos superiores, comandos de mesmo nível, e unidades
subordinadas; órgãos civis e entidades não-governamentais envolvidas.
Os responsáveis pela implementação dos controles devem explicar aos
subordinados como estes serão implementados. Estas explicações devem incluir
meios auxiliares tais como esquemas e gráficos, silhuetas de aeronaves e de
blindados (para instruções de identificação), demonstrações de procedimentos de
segurança, dentre outros aspectos julgados úteis.

5.1.5 Supervisão e avaliação


De acordo com o FM 5-19, esta etapa do CRM tem por objetivo assegurar
que os controles de risco adotados estão sendo efetivamente implementados, de
forma a tornarem-se procedimentos perfeitamente integrados às rotinas da OM.
A supervisão é uma parte integrante do processo do CRM. Ela deverá
assegurar que os subordinados estenderam como, onde e quando os controles
serão implementados. A supervisão certificará que as medidas serão efetivamente
implementadas, monitoradas e permanecerão sendo adotadas com o passar do
tempo.
Um supervisão eficiente impede que aspectos como complacência, desvio
das normas ou violações da política de controle de riscos ocorram. Da mesma
forma, a supervisão garante que aspectos como fatiga de materiais e condições
meteorológicas adversas sejam monitoradas e mantidas sob controle.
A supervisão permite que os comandantes e tomadores de decisão possam
se antecipar e agir para fazer face a novas ameaças.
Um alto grau de disciplina é necessário quando, em função de sua larga
experiência, o pessoal envolvido com atividades de risco conquista o chamado
“excesso de confiança”. Medidas de controle de risco estabelecidas e
implementadas por um longo período de tempo, especialmente quando envolvem
tarefas repetitivas, tendem a ser negligenciadas e razão do excesso de confiança.
O FM 5-19 apresenta como exemplo a seguinte situação: Quando pessoal militar
vive ou opera em áreas de alto risco, e um longo período sem incidentes
67

transcorre, as medidas de controle adotadas para a segurança do pessoal tendem


a ser negligenciadas.
A importância da supervisão do cumprimento das normas é facilmente
identificável na situação acima narrada.
A avaliação do processo de controle de riscos deve ser contínua, existindo
em todas as fases anteriormente mencionadas, em especial quando ocorre a
análise pós-ação de um determinado processo, cuja análise de risco está sendo
efetivada.
A avaliação busca identificar:
- ameaças que não foram identificadas na fase inicial do CRM, o que
tenham surgido devido à novas circunstâncias, inicialmente inexistentes;
- se os controles impostos são incompatíveis com a doutrina ou com
as normas e regulamentos existentes, inviabilizando ou atrapalhando de forma
significativa o cumprimento da missão;
- se há uma correta implementação, execução e posterior
comunicação dos controles;
- a precisa dimensão do risco residual existente após a efetivação das
medidas de controle;
- a efetividade das medidas de controle no tocante a minoração ou
eliminação das ameaças e no controle dos riscos; e
- se os procedimentos estão seguindo a metodologia preconizada pelo
CRM.

Para efetivar a supervisão e avaliação, os comandantes e tomadores de


decisão podem utilizar diversas técnicas. Verificações “in-loco”, inspeções,
relatórios são alguns exemplos.
A análise pós-ação é uma oportunidade em que a missão ou atividade é
inteiramente revista. Uma análise do ciclo CRM e das medidas de controle de
riscos pode ser incluída como um dos itens da APA.
Baseado na avaliação do processo CRM de uma determinada missão ou
atividade, relatórios de lições aprendidas podem ser produzidas e difundidos para
68

que os controles possam ser introduzidos nos planejamentos das atividades


similares que venham a ser conduzidas no futuro. O FM 5-19 determina que esta
deve ser uma atribuição do S3 das Unidades.

5.2 RESPONSABILIDADES
Para que o processo de avaliação de risco previsto pelo Exército Norte-
americano seja eficiente, ele deve ser bem entendido por todos os militares
responsáveis por sua implementação. Mais do que isto, ele deve ser aplicado em
todos os níveis de decisão.
O manual FM 5-19 preconiza que comandantes, estados-maiores, oficiais e
praças devem contribuir para o sucesso do processo CRM.
Nas missões operacionais, cabem aos comandantes de todos os níveis e
aos estados-maiores a prerrogativa da tomada de decisão. Nestes casos, cabem
aos subordinados o cumprimento das normas e o “feedback” a respeito das
mesmas.
Já nas atividades não-operacionais, as responsabilidades normalmente
repousam nos indivíduos, que da mesma forma, devem cumprir as normas
assumindo individualmente as suas responsabilidades.
A divisão de responsabilidades prevista no FM 5-19, no que se refere ao
processo CRM, prevê o seguinte:

5.2.1 Responsabilidades do Comandante


Cabe ao comandante assegurar a existência de procedimentos que
minimizem os erros humanos, as falhas de material e os efeitos colaterais sobre o
meio ambiente.
Para isto, ele deve estabelecer diretrizes em que os objetivos de segurança
sejam priorizados de forma realística.
Deve ainda assegurar que os procedimentos previstos no CRM constem do
planejamento da instrução e dos planejamentos das atividades operacionais da
Unidade.
69

Outra atribuição do comandante é decidir quais serão as ameaças que serão


controladas. Estimular e supervisionar a implementação dos procedimentos de
controle. Após a implementação destes controles, verificar os níveis dos riscos
residuais.
Não menos importante é assegurar que o controle e gerenciamento dos
riscos constem das APA realizadas em sua Unidade;

5.2.2. Responsabilidades do Oficial de Operações


O FM 5-19 prevê que o S3, por ser o encarregado do planejamento
operacional da Unidade, deve ser o integrador de todo o processo de
gerenciamento de riscos, supervisionando todas as etapas do processo, já
descritas anteriormente. Para o desempenho destas funções, o S3 é secundado
pelo Oficial de Segurança da Unidade.
Dentre suas responsabilidades, destacam-se:
- monitorar todas as atividades operacionais e de instrução da
Unidade, no tocante aos riscos;
- desenvolver e supervisionar a aplicação dos controles face às
ameaças;e
- assegurar a produção de lições aprendidas e relatórios para subsídio
de futuras decisões de gerenciamento de riscos.

5.2.3 Responsabilidades dos Oficiais do Estado-Maior da Unidade


Todos os oficiais de Estado-Maior são responsáveis pela integração dos
procedimentos de gerenciamento de riscos em seus planejamentos operacionais.
Portanto, estão entre suas responsabilidades:
- aplicar a metodologia de gerenciamento de riscos em todas as
atividades que forem de suas esferas de atribuições; e
- desenvolver e aplicar os controles que tiverem sido determinados
nas atividades sob sua responsabilidade.
70

5.2.4 Responsabilidades dos Comandantes de Subunidades e de Frações


- aplicar a metodologia de gerenciamento de riscos em todas as
atividades que forem de suas esferas de atribuições; e
- observar os fatores MITEMI para avaliar o risco das atividades sob
sua responsabilidade.

5.2.5 Responsabilidades dos Indivíduos


As responsabilidades individuais dos militares no processo de gerenciamento
de riscos estão relacionadas à comunicação das novas ameaças que forem
identificadas e que possam causar algum tipo de impacto no cumprimento das
missões de suas Unidades.
Todos os militares devem compreender perfeitamente a sistemática do CRM.
Para o sucesso do processo de gerenciamento de riscos os soldados devem:
- Manter uma conduta individual disciplinada;
- Executar as medidas de controle de riscos determinadas por seus
comandantes; e
- Informar aos comandantes aspectos da metodologia que não sejam
adequados, de forma a colaborar no aprimoramento das medidas de controle
implementadas.

5.3 COMPARAÇÃO DO PROCESSO CRM COM O PROCESSO PROPOSTO


PELAS NORMAS AS/NZS 4360:2004
Como já foi visto neste trabalho, o processo de gerenciamento de riscos
revistos pelas Normas AS/NZS 4360:2004 prevêem cinco fases:
- estabelecimento do contexto;
- identificação dos riscos;
- análise dos riscos;
- avaliação dos riscos; e
- tratamento dos riscos.
O CRM, por seu turno prevê também cinco etapas:
71

- identificar as ameaças
- avaliar as ameaças
- desenvolver controles e tomar decisões
- implementar controles
- supervisionar e avaliar
Inicialmente, verifica-se que, aparentemente, o processo norte-americano
suprimiria uma etapa inicial, onde há, de acordo com as normas AS/NZS
4360:2004, o estabelecimento do contexto no qual a organização está inserida.
Entretanto, tal dessemelhança não ocorre na prática pois, como visto no
presente capítulo, o CRM prevê, na identificação das ameaças, uma série de
procedimentos que podem ser considerados um estabelecimento de contexto.
As etapas denominadas no processo neozelandês de “análise dos riscos” e
no processo norte-americano de “avaliação das ameaças” são bastante
semelhantes e têm o mesmo objetivo, qual seja, o de relacionando os graus de
impacto de determinado evento com a sua probabilidade de ocorrência,
determinar o grau de risco do evento.
As etapas seguintes de ambos os processos, denominadas respectivamente
de “avaliação dos riscos” e de “desenvolvimento de controles e tomada de
decisões” também são semelhantes e destinam-se a determinar quais riscos serão
tratados e com qual prioridades.
Por fim, ambos os processos descrevem o tratamento dos riscos, que no
CRM é denominado de “implementação de controles” e “supervisão e avaliação”.

5.4 CONCLUSÃO PARCIAL


O exército norte-americano possui um sistema de gerenciamento de riscos,
regulado por uma doutrina própria, que está implementado e em vigor. O
processo, denominado “Gerenciamento do Risco Composto” (CRM), é gerenciado
por uma unidade militar criada para este fim, o United States Safety Center.
O CRM, perfeitamente adaptado ao processo de tomada de decisão próprio
da instituição militar, está alinhado com o processo civil considerado como
referência na execução do gerenciamento do risco, o que atesta a sua
72

adequabilidade como ferramenta de apoio à decisão na mitigação dos riscos que


incidem sobre o Sistema Exército Norte-Americano.
73

6 A ANÁLISE DE RISCO E A SEGURANÇA ORGÂNICA NO EXÉRCITO


BRASILEIRO – PANORAMA ATUAL

O Exército Brasileiro atualmente possui duas metodologias para análise e


gerenciamento de riscos. A primeira é a preconizada pelo Caderno de Instrução
32/2, do Comando de Operações Terrestre (COTER), denominada
“Gerenciamento de Risco aplicado às atividades militares”, de 2005.
O segundo método é o indicado pelo Departamento de Ciência e Tecnologia
(DCT), daquela Força Armada, por intermédio das Instruções Reguladoras Sobre
Análise de Riscos para Ambientes de Tecnologia da Informação do Exército
Brasileiro - IRRISC (IR 13 -10), de 2007.
Este capítulo estudará as duas metodologias acima mencionadas, com a
finalidade de verificar suas adequabilidades, comparando-as com as metodologias
anteriormente apresentadas, a empregada no meio civil e a adotada pelo exército
norte-americano.
É conveniente salientar que há ainda uma metodologia preconizada pelo
anteprojeto das Instruções Provisórias de Contra-inteligência, denominada
Programa de Desenvolvimento de Contra-Inteligência (PDCI)14. Este trabalho não
verificou esta metodologia por que ela não está ainda aprovada, não havendo
portanto, uma efetiva implementação da mesma por parte da Força.

6.1 O GERENCIAMENTO DE RISCOS APLICADO ÀS ATIVIDADES MILITARES


– CADERNO DE INSTRUÇÃO (CI) 32/2

Para o Exército Brasileiro, em seu CI 32/2, o gerenciamento de riscos é uma


ferramenta disponível aos comandantes para auxílio à tomada da decisão. Tal
ferramenta possibilitaria reduzir os riscos inerentes às atividades militares,
diminuindo de forma sensível a probabilidade de ocorrência de falhas ou acidentes
que comprometessem o cumprimento da missão, diminuindo-se o número de
baixas e preservando em melhores condições o material.

______________
14
Ver parágrafo 3-2.
74

O Método de Gerenciamento de Riscos preconizado pelo CI 32/2 é


consubstanciado no preenchimento de Formulários de Gerenciamento de Riscos.
As seguintes atividades são contempladas no referido CI, possuindo
Formulários de Gerenciamento de Riscos já elaborados:
- emprego de agentes químicos;
- instrução de transposição de Curso D’água;
- tiro das armas portáteis;
- aplicação em pista de pentatlo militar;
- aplicação em pista de combate em localidade;
- instrução de técnicas de natação e flutuação;
- emprego de minas e armadilhas;
- deslocamentos motorizados, mecanizados e blindados;
- manobras de força;
- emprego de granadas de mão, de bocal e simulacros;
- emprego de explosivos e destruições;
- exercício de fuga e evasão;
- localização e destruição de engenhos falhados; e
- tiro das armas coletivas.
O preenchimento dos citados formulários é efetuado em seis etapas, a saber:
- determinação do risco;
- qualificação dos riscos;
- cálculo da probabilidade;
- cálculo da Gravidade do evento;
- cálculo do risco propriamente dito; e
- aplicação de ações de controle.
Nas figuras 06 e 07, apresenta-se o Formulário de gerenciamento de risco,
conforme apresentado no CI 32/2.
75

Figura 06 - Formulário de Gerenciamento de Risco - frente


Fonte: CI 32/2
76

Figura 07 - Formulário de Gerenciamento de Risco - verso


Fonte: CI 32/2
77

6.1.1 Determinação do risco


O CI 32/2 esclarece que a determinação do risco pode ser realizada pela
experiência ou pelo estudo de probabilidade de sua incidência. Em termos gerais,
tal determinação consistiria na listagem de todos os riscos para cada ramo de
atividade analisado.
O referido caderno de instrução apresenta o seguinte exemplo :
Para a atividade de tiro de arma portátil em estande de tiro, a falta de
apoio médico de urgência e a existência de taludes incompatíveis com o
tipo de tiro e o calibre da arma, são riscos que devem ser levantados
antes da execução da seção de tiro. Esta listagem pode ser dividida em
subfatores. Por exemplo: os problemas com taludes poderiam estar no
subfator infra-estrutura e o apoio médico no subfator pessoal de apoio.
(CI32/2, 2005, P 1-2)

No formulário anteriormente apresentado (figura 06), os riscos são os


diversos itens listados, divididos nos fatores “a” operacional, “b” material e “c”
infra-estrutura.

6.1.2 Qualificação dos riscos


A qualificação dos riscos é a atribuição de pesos a cada risco levantado.
Estes pesos são atribuídos pelo avaliador, sem critérios rígidos, baseando-se na
sua experiência pessoal. Tais pesos deverão variar de 1 (um) até 3 (três).
Novamente, recorra-se ao exemplo do CI:
os riscos levantados anteriormente para o tiro em estande poderiam ter
pesos 2 (dois) para os taludes inadequados e 3 (três) para inexistência
de apoio médico. (CI32/2, 2005, P 1-2)

No formulário (figura 06), os pesos citados podem ser encontrados na última


coluna, à direita no formulário.

6.1.3 Cálculo das probabilidades


Tal cálculo é feito pela soma ponderada dos fatores de risco presentes em
cada subfator. Segundo o CI 32/2:
78

A probabilidade é composta da soma ponderada dos fatores de risco


presentes em cada subfator. Junto à coluna de atribuição dos pesos
estão outras três, designadas como coluna do “verdadeiro (V)”, coluna
do “falso (F)” e coluna do “desconhecido (Desc)”. Ao final de cada fator
ou da planilha do cálculo da probabilidade, existem dois campos, um
requerendo o Valor Mínimo da probabilidade (soma dos “F”) e outro o
valor máximo (soma do Valor Mínimo e dos “Desc”). O somatório desses
valores fornecerá a probabilidade de ocorrência dos riscos medidos.
(CI32/2, 2005, P 1-2)

Portanto, pela metodologia em tela, os riscos selecionados como “F”, são


considerados riscos mínimos. Já os considerados “Desc”, são riscos máximos.

6.1.4 Cálculo da gravidade do evento


O cálculo é feito segundo dois critérios: generalidade e relevência.
A generalidade sugere que o parâmetro, por sua natureza, pode
dificultar o gerenciamento de muitos (senão de todos) dos possíveis
efeitos decorrentes dos fatores da probabilidade. Como exemplo, na
atividade de tiro já explorada, a execução no período noturno irá
aumentar a maioria dos efeitos decorrentes. A relevância, por sua vez,
sugere um grau de dificuldade que pode ser agregado devido a
problemas inesperados que podem ocorrer. A execução de tiro em alvo
em movimento é um exemplo clássico. (CI32/2, 2005, P 1-3)

O cálculo da gravidade aparece no número 2 (dois) do formulário e leva em


consideração aspectos adversos para a execução da atividade.

6.1.5 Cálculo do risco propriamente dito


Nesta etapa, o risco é quantificado e apresentado em seus valores máximo e
mínimo, pela seguinte fórmula: R = P x G ( Risco é igual a Probabilidade “vezes” a
Gravidade).
No formulário (figura 07), esta etapa é constante da tabela número 3 (três).

6.1.6 Aplicação de ações de controle


Neste ponto, o valor do risco encontrado na etapa anterior será comparado
com os graus de risco “baixo”, “médio”, “alto”, “muito alto” e “inaceitável”,
constantes do Formulário de Gerenciamento de Riscos. Tais graus de risco são
79

empíricos, atribuídos com base na experiência pessoal de quem elaborou o


Formulário.
Este aspecto é constante dos números 4 (quatro) e 5 (cinco) do formulário.
O CI 32/2 adverte que, para amenizar a influência de fatores pessoais e
conjugar experiências diversas, o Formulário de Gerenciamento de Risco deve ser
elaborado por um grupo ou equipe.

6.2 ANÁLISE COMPARATIVA ENTRE O MÉTODO PREVISTO NO CI 32/2 E OS


ANTERIORMENTE APRESENTADOS

Do estudo comparativo entre o método adotado atualmente pelo Exército


Brasileiro e o preconizado pelo Exército Norte-americano, (que por sua vez,
conforme demonstrado no capítulo 5, atende aos requisitos da metodologia civil
consagrada) depreende-se que, logo na primeira fase da metodologia, ocorre uma
diferença.
Enquanto no processo norte-americano busca-se a identificação das
ameaças, no processo brasileiro o objetivo é o levantamento dos riscos. Esta
diferença pode parecer sutil, porém enquanto no primeiro busca-se, baseado nos
fatores da decisão, responder a questões como “o quê pode acontecer de errado,
aonde e como?” e “por que e como isto pode ocorrer?” no segundo processo,
preenche-se um “check list”, que já está pronto no Caderno de Instrução, onde se
verifica se determinados aspectos de segurança estão ou não sendo atendidos.
O atendimento a procedimentos de segurança já padronizados é um
pressuposto básico para a segurança de qualquer atividade militar. Assim, tal
verificação parece insuficiente quando se deseja fazer um real levantamento das
ameaças potenciais a determinada atividade.
Em seguida, a metodologia preconizada pelo CI 32/2 prevê a qualificação do
15
risco . Por sua vez, o FM 5-19 prevê a avaliação das ameaças. No primeiro
processo, o CI 32/2 já contempla, nos 14 (catorze) formulários apresentados pelo
Caderno de Instrução, o peso correspondente à importância de determinado

______________
15
Ver nº 6.1.2
80

aspecto da atividade militar a ser desenvolvida. Já a metodologia norte-americana,


alinhada à metodologia civil, faz uma análise da gravidade e da probabilidade de
ocorrência de determinado evento, avaliando-o quanto ao grau de impacto.
A segunda metodologia, nesta fase do processo é superior à primeira, uma
vez que desvela ao comandante quais ameaças deverá enfrentar, com prioridade
e urgência, com vistas a mitigar os efeitos advindos da ocorrência das mesmas.
Na próxima etapa da metodologia constante do CI 32/2, é realizado o
chamado cálculo das probabilidades16. Diferentemente da metodologia norte-
americana, neste ponto o método brasileiro restringe-se a uma soma matemática,
na qual os aspectos listados como “F” são somados aos aspectos listados como
“Desc”, levando-se em consideração os respectivos pesos de cada item.
Durante a pesquisa bibliográfica realizada não foi encontrada nenhuma outra
metodologia que utilizasse este procedimento.
Tal método parece inadequado. Embora esta etapa destine-se ao cálculo da
probabilidade de ocorrência dos eventos geradores de riscos, ao término de sua
execução o planejador não possui as informações necessárias para decidir quais
eventos deveriam ser priorizados com vistas a tomada de atitudes que mitigassem
os riscos existentes.
A próxima fase da metodologia brasileira é o cálculo da gravidade17. A
gravidade do risco é amplificada por quatro aspectos, presentes de forma
indistinta em todos os catorze formulários: condições meteorológicas adversas,
executante inexperiente, executante com estresse físico e execução noturna.
Novamente aqui a metodologia brasileira não encontra semelhança com
nenhuma outra. A gravidade, para o CRM18, está relacionada com o impacto que o
evento trará para o cumprimento da missão19.
Os quatro aspectos citados acima não parecem auxiliar o tomador de decisão
a levantar a gravidade de um determinado evento. São, antes, aspectos que

______________
16
Ver nº 6.1.3
17
Ver nº 6.1.4
18
Ver nº 5.1.5, pág 49
19
No CRM, a gravidade pode ser catastrófica, crítica, marginal ou desprezível.
81

influenciam a execução da atividade e já devem ter sido considerados na primeira


fase do processo, quando as ameaças devem ser identificadas.
O cálculo do risco20, etapa seguinte do método brasileiro, restringe-se a
multiplicação dos valores encontrados no cálculo da probabilidade pelo valor
obtido no cálculo da gravidade. Tal valor é comparado a uma faixa de risco21,
chegando-se a um grau de risco.
Os valores constantes desta faixa de risco forma arbitrados, sendo os
mesmos para todos os formulários. Novamente neste ponto a metodologia não
encontra paralelo com qualquer outra pesquisada.
No CRM, que acompanha as metodologias civis pesquisadas, tal grau de
risco é obtido por intermédio da matriz de avaliação de riscos, já apresentada22.
A última etapa da metodologia brasileira é a chamada aplicação das ações
de controle23. Recomenda-se que quando o grau de risco for considerado alto,
muito alto ou inaceitável (faixas de risco acima de 90 pontos), a atividade deve ser
cancelada. Abaixo disto, os fatores de risco devem ser acompanhados e/ou
sanados.
Neste ponto, a metodologia brasileira é bastante falha. Ora, como o próprio
nome diz, trata-se de um processo de gerenciamento de riscos. O CI 32/2 não
esclarece quais devem ser as atitudes a serem tomadas para que os riscos, após
sua análise e avaliação, sejam tratados e controlados. Não esclarece, portanto,
como se deve fazer o próprio gerenciamento dos riscos, restringindo-se à sua
análise e avaliação.
Já a metodologia norte-americana detalha o tratamento e o controle dos
riscos residuais, definindo inclusive as responsabilidade de execução dos
procedimentos, conforme já visto no capítulo 5.
Desta forma, verifica-se que o método de gerenciamento de risco
preconizado pelo CI 32/2, embora possua o mérito de inserir de forma pioneira o
gerenciamento de risco nas atividades do Exército, quando comparado aos

______________
20
Ver nº 6.1.5
21
Ver tabela nº 4, constante da figura nº 7
22
Ver figura 05
23
Ver nº 6.1.6
82

processos atuais em vigor no Exército norte-americano e na esfera das atividades


civis, mostra-se inadequado. É um método empírico, incompleto e baseado em
procedimentos que não encontram paralelo nas metodologias atualmente
reconhecidas como eficientes e eficazes.

6.3 OUTRA METODOLOGIA EM USO PELO EXÉRCITO BRASILEIRO – IR 13-10


Ainda o Exército Brasileiro, por intermédio do Departamento de Ciência e
Tecnologia (DCT), publicou, em janeiro de 2007, suas Instruções Reguladoras
Sobre Análise de Riscos para Ambientes de Tecnologia da Informação do Exército
Brasileiro - IRRISC (IR 13 -10).
Tais normas são específicas para os ambientes de Tecnologia da Informação
do Exército e também definem procedimentos de gerenciamento de risco.
Nas citadas instruções, o processo de gerenciamento de riscos é definido
pelas seguintes etapas:
- designação do pessoal;
- planejamento da análise de riscos;
- caracterização do sistema a ser analisado;
- identificação das vulnerabilidades e dos riscos;
- estimativa das chances de concretização dos riscos;
- análise de impactos;
- identificação dos riscos;
- relato da situação; e
- medidas corretivas.
Tal processo é descrito no fluxograma a seguir (figura 08).
83

Figura 08 – Fluxograma de análise de riscos


Fonte: IR 13-10
84

6.3.1 Instruções Reguladoras Sobre Análise de Riscos para ambientes de


Tecnologia da Informação do Exército Brasileiro (IRRISC) – IR 13-10 – Uma
visão geral
Nesta metodologia se prevê, inicialmente, que o gerente ou coordenador do
processo, que já passou por um processo de seleção de pessoal para exercer
esta função, deverá fazer o levantamento prévio das características do sistema.
Para executar tal trabalho, que no caso das referidas IR restringem-se ao universo
da tecnologia da informação, o executante deve valer-se de entrevistas e reuniões
com usuários e estudo de documentos referentes ao funcionamento do sistema.
Terminado este trabalho inicial, devem ser levantadas as vulnerabilidades do
sistema. Para este levantamento as IR 13-10 prevêem a utilização das seguintes
técnicas:
- reuniões de brainstorm,
- revisão crítica da documentação,
- listas de verificação,
- técnica delphi,
- entrevistas,
- consulta às vulnerabilidades previstas pelos fabricantes de
determinados sistemas,
- pesquisas de vulnerabilidades existentes em bases de dados internas
ou externas à instituição, e
- identificação de vulnerabilidades por softwares de apoio.
Identificadas as vulnerabilidades, o próximo passo é a identificação do risco.
Numa primeira etapa, os riscos são categorizados. A metodologia considera que
os riscos podem ser técnicos, humanos, ambientais, administrativos, de projeto ou
externos.
Em seguida, levantam-se as estimativas de chances de concretização dos
riscos.
A tabela da figura 09 serve como referência para o levantamento desta
estimativa.
85

Estimativa das chances de concretização do risco


Cardinal Ordinal Descrição/Interpretações possíveis
7 Sempre Ocorrerá todas as vezes.
6 Frequente Ocorre freqüentemente.
Continuamente experimentado.
Ocorre quase sempre.
5 Provável Ocorrerá várias vezes.
Ocorrência freqüente; é comum.
Ocorre muitas vezes.
4 Ocasional Ocorrerá pelo menos uma vez.
Ocorrerá algum dia.
Ocorrência esporádica.
3 Remoto Improvável, mas poderá ocorrer.
Raro, mas pode ser esperado.
Pode ocorrer, porém não é provável
2 Improvável Improvável que ocorrerá.
Pode ocorrer, porém é muito improvável.
1 Extremamente Pode ocorrer, porém as chances são ínfimas.
improvável
0 Nunca Certamente não ocorrerá.

Figura 09 – Tabela de estimativa de chances de concretização de riscos


Fonte: IR 13-10

Após a estimativa das chances de concretização do risco, passa-se à análise


dos impactos.
A análise de impactos é um processo que visa associar um valor ao impacto
decorrente de um risco que se concretize.
O valor a ser associado ao impacto dependerá das características do sistema
analisado. O escalonamento mais simples de valores é “baixo”, “médio” e “alto”,
conforme se verifica na próxima tabela.
86

Análise dos impactos


Cardinal Ordinal Descrição/Interpretações possíveis
6 Inaceitável - Perda da informação ou dado sem chance de recuperação. -
Indisponibilidade definitiva dos recursos informacionais (hardware
e software ) envolvidos.
- Altíssima chance de perda de vidas para os recursos humanos
envolvidos na missão.
- Perda da confiança na Instituição pela sociedade.
5 Grave - Destruição ou dano severo aos dados ou informações, ou,
ainda, aos recursos informacionais ( hardware e software ),
porém, com possibilidade de recuperação com custos financeiros
e materiais inalcançáveis em prazo oportuno para cumprimento
da missão.
- Gera processo jurídico.
- Mancha a imagem da Instituição.
4 Crítico - Destruição ou dano severo aos dados ou informações, ou,
ainda, aos recursos informacionais ( hardware e software ),
porém, com poucas chances de recuperação em prazo oportuno
para cumprimento da missão e a custos financeiros e materiais
onerosos.
- Pode gerar processo jurídico.
- Pode manchar a imagem da Instituição.
3 Mediano - Destruição ou dano aos dados ou informações, ou, ainda, aos
recursos informacionais ( hardware e software ), porém, com
grandes chances de recuperação em prazo oportuno para
cumprimento da missão e a custos financeiros e materiais
moderados.
- Pode gerar processo jurídico.
- Pode manchar a imagem da Instituição.
2 Secundário - Destruição ou dano aos dados ou informações, ou, ainda, aos
recursos informacionais ( hardware e software ), porém, com
certeza de recuperação em prazo oportuno para cumprimento da
missão e a custos financeiros e materiais baixos.
- Gera processo administrativo.
- Dificilmente atingirá a imagem da Instituição
1 Desprezível - Destruição ou dano aos dados ou informações, ou, ainda, aos
recursos informacionais ( hardware e software ), porém, com
certeza de recuperação em prazo oportuno para cumprimento da
missão e a custos do emprego da manutenção orgânica.
- Pode gerar processo administrativo.
- Não atingirá a imagem da Instituição.
0 Nunca - Destruição ou dano aos dados ou informações, ou, ainda, aos
recursos informacionais ( hardware e software ), porém, com
certeza de recuperação imediata ou a curtíssimo prazo e sem
custos significativos.
Figura 10 – Tabela de análise dos impactos
Fonte: IR 13-10
87

Em seguida, a metodologia prevê o escalonamento o risco. Este visa


estipular faixas de valores de risco para fins de sua interpretação.
Os possíveis valores associados ao risco variarão de acordo com os valores
estipulados ou calculados para o impacto e a probabilidade de ocorrência de um
risco.
Os valores calculados para o risco são retirados de uma matriz, chamada
matriz de risco, que é construída a partir dos valores de Impacto e Probabilidade
de ocorrência.
O processo de aplicação da análise de riscos qualitativa é como se segue:
- Estimam-se as chances de um risco se concretizar. Para essa estimativa
são utilizados os pesos preestabelecidos na tabela de estimativa de chances de
ocorrência de riscos (Figura 09).
- Estima-se o tipo de impacto sobre o escopo analisado. De forma análoga
ao que ocorre na estimativa da probabilidade, é utilizada a tabela de análise de
impactos (Figura 10) para a escolha do valor impacto.

Figura 11 – Matriz de valores de risco de referência


Fonte: IR 13-10
88

A partir dos resultados das Matrizes de Riscos geradas, destacam-se aqueles


cujos os valores estão acima do aceitável e dá-se o tratamento adequado para
cada de modo a atenuá-lo ao máximo, ou seja, colocá-los no patamar "Aceitável"
ou tão próximo quanto possível, por meio de um processo de reavaliação das
proteções existentes.
A metodologia prevê ainda a elaboração de um relatório de situação de
riscos, que deverá informar as vulnerabilidades encontradas, as estimativas das
chances (probabilidade) da ocorrência da exploração dessas vulnerabilidades, os
impactos esperados e os riscos encontrados, de acordo com as áreas em que
foram detectados.
Sempre de acordo com a IR 13-10, cada risco detectado deve ser tratado de
acordo uma das seguintes estratégias: neutralização, transferência, mitigação ou
aceitação.
A neutralização consiste na modificação do uso ou do tipo de recurso
informacional, nas condições ambientais ou qualquer outros fatores que tenham
como conseqüência a eliminação da causa que está gerando o risco.
A transferência ocorre quando a responsabilidade da gestão do risco passa
para outra instância administrativa ou mesmo para entidade externa ou
contratada.
A mitigação consiste na adoção de medidas que diminuam o impacto e/ou as
chances de um risco se concretizar.
Finalmente a aceitação consiste na aquiescência do risco tal como foi
estimado sem medidas adicionais para seu controle. O fato de não haver "medidas
adicionais de controle" não significa necessariamente que o nível de controle é
baixo ou inexistente. Há situações em que o controle pode ser forte e, em
conseqüência, não haver necessidade de medidas adicionais.
Seja qual for a estratégia escolhida, deve-se levar em consideração a relação
custo / benefício para que o custo da proteção não ultrapasse o custo do prejuízo
advindo da concretização do risco.
A seqüência prevista para as ações a serem efetivadas para o controle
apropriado deverá ser a seguinte:
89

- a partir dos resultados da análise de riscos contidos no relatório,


estabelecer quais os tipos de estratégias serão implementadas para cada risco
detectado;
- as responsabilidades pela execução das ações devem ser
formalmente atribuídas em Boletim Interno;
- estabelecimento das prioridades para tratamentos dos riscos conforme
seu grau de severidade;
- identificação das medidas de controle possíveis;
- avaliação da viabilidade técnica e financeira, assim como outro critério
que se faça necessário, das medidas de controle possíveis;
- escolha das medidas de controle;
- as medidas decorrentes devem ser colocadas em prática; e
- verificações sobre os resultados das medidas de abrandamento dos
riscos devem ser realizadas, podendo ser novas análises de risco, processos de
auditoria ou procedimentos simples de verificação, conforme cada caso.
Finalmente, como último passo da metodologia, está prevista a monitoração
dos riscos.
Os instrumentos de monitoração previstos são: análises de risco periódicas e
processos de auditoria de segurança da informação.
A periodicidade das análises de risco deverão ser estabelecidas de acordo
com a realidade de cada ambiente da OM, projetos ou outros tipos de trabalhos ou
contexto e caberá ao Comandante da OM ou responsável pelo processo em
andamento a escolha do período.

6.4. ANÁLISE COMPARATIVA ENTRE O MÉTODO PREVISTO NA IR 13-10 E


OS ANTERIORMENTE APRESENTADOS
O processo previsto pelo DCT para a análise e gerenciamento de riscos em
ambientes de tecnologia da informação possui todas as características e atende
aos mesmos pressupostos dos métodos apresentados nos capítulos 4 e 5 do
presente trabalho, quais sejam a metodologia civil consagrada e o processo norte-
americano do CRM.
90

As ameaças são identificadas, avaliadas, tratadas e controladas


adequadamente, segundo uma metodologia que encontra paralelo nas
mundialmente consagradas.
Ressalte-se, entretanto, que o escopo desta pesquisa restringe-se às OM
operacionais do Exército. A metodologia da IR 13-10 destina-se ao ambiente de
tecnologia da informação, sob a égide do Departamento de Ciência e Tecnologia
do Exército que, por sua vez, não enquadra administrativamente nenhuma destas
OM operacionais. Provavelmente por esta razão, e também por ser muito recente,
na pesquisa de campo realizada e apresentada no próximo capítulo, verifica-se
que esta metodologia não é utilizada por tais Unidades.

6.5 CONCLUSÃO PARCIAL


O Exército Brasileiro adota duas metodologias para o gerenciamento dos
riscos. A primeira, apresentada pelo CI 32/2, destina-se a gerenciar o risco nas
atividades de instrução e foi desenvovida pelo Comando de Operações Terrestres
(COTER).
Este processo, como visto no presente capítulo deste trabalho, não encontra
paralelo nos processos de gerenciamento de riscos consagrados e em uso nas
intituições civis e no exército norte-americano. É um método empírico, que não
encontra respaldo científico na literatura pesquisada.
Além disto, até por destinar-se ao gerenciamento do risco apenas nas
atividades de instrução, as atividades previstas nos formulários do CI 32/2
restringem-se a apenas uma parcela das atividades desenvolvidas pelas OM
operacionais do Exército, não abrangendo outras inúmeras atividades
rotineiramente realizadas pelas OM e outros aspectos geradores de riscos,
conforme será visto na apresentação dos resultados da pesquisa de campo deste
trabalho.
A metodologia prevista no segundo processo utilizado pelo Exército
Brasileiro, proposta pela IR 13-10, alinha-se à metodologia científica consagrada.
A sistemática permite uma eficaz análise e avaliação dos riscos, propiciando ao
decisor as ferramentas necessárias para optar por um tratamento que propicie a
correta mitigação de tais riscos.
91

Entretanto, como o objetivo da metofologia das IR 13-10 é gerenciar os riscos


nos ambientes de tecnologia da informação, ele não vem sendo implementado nas
Organizações Militares Operacionais do Exército Brasileiro, restringindo-se às
organizações militares da área de ciência e tecnologia, subordinadas ao
Departamento de Ciência e Tecnologia.
92

7 APRESENTAÇÃO E ANÁLISE DOS RESULTADOS DA PESQUISA DE


CAMPO
Neste capítulo serão apresentados e analisados os resultados da pesquisa
de campo realizada.

7.1 Metodologia
A referida pesquisa constituiu-se de um questionário, no qual os
entrevistados responderam a cinco perguntas objetivas. As questões foram
formuladas de modo a permitir que o pesquisador pudesse desvelar as
necessidades e preocupações dos respondentes no tocante à análise e
gerenciamento de riscos.
As entrevistas foram encaminhadas a 134 (cento e trinta e quatro)
Organizações Militares Operacionais do Exército, de valor Batalhão, das armas de
Infantaria, Cavalaria, Artilharia, Engenharia (de combate e de construção),
Comunicações, além de OM de Logística e Aviação, localizadas em todos os
comandos militares de área. O universo das OM pesquisadas abrangeu, portanto,
todas as especialidades operacionais do Exército, localizadas em todas as regiões
do país, conforme pode ser verificado nos quadros a seguir.

Estado Cidade OM
A
C
R
E

R
i
o
B
r
a
n
c
o
/
A
C

7
º
B
E
C
n
s
t
R
O
R
A
I
M
A

B
o
a
V
i
s
t
a
/
R
R

1
0
º
G
A
C
S
l
P
A
R
Á

A
l
t
a
m
i
r
a
/
P
A

5
1
º
B
I
S
B
e
l
é
m
/
P
A

2
º
B
I
S
1
º
G
A
C
S
l
M
a
r
a
b
á
/
P
A

2
3
º
B
L
o
g
S
l
S
a
n
t
a
r
é
m
/
P
A

8
º
B
E
C
n
s
t
A
M
A
Z
O
N
A
S

M
a
n
a
u
s
/
A
M

1
º
B
I
S
T
e
f
é
/
A
M

1
7
º
B
I
S
T
O
C
A
N
T
I
N
S

P
a
l
m
a
s
/
T
O

2
2
º
B
I

Figura 12 – OM que receberam pesquisa - Região Norte


Fonte: o autor
93

Estado Cidade OM
S
A
N
T
A

J
o
i
n
v
i
l
l
e
/
S
C

6
2
º
B
I
C
A
T
A
R
I
N
A

L
a
g
e
s
/
S
C

1
0
º
B
E
C
n
s
t
F
l
o
r
i
a
n
ó
p
o
l
i
s
/
S
C

6
3
º
B
I
P
o
r
t
o
U
n
i
ã
o
/
S
C

5
º
B
E
C
m
b
B
l
d
S
ã
o
M
i
g
u
e
l
D
´
O
e
s
t
e
/
S
C

1
4
º
R
C
M
e
c
P
A
R
A
N
Á

C
a
s
c
a
v
e
l
/
P
R

3
3
º
B
I
M
t
z
2
0
º
B
I
B
5
º
B
L
o
g
C
u
r
i
t
i
b
a
/
P
R

5
º
G
A
C
A
P
F
o
z
d
o
I
g
u
a
ç
u
/
P
R

3
4
º
B
I
M
t
z
R
i
o
N
e
g
r
o
/
P
R

5
º
R
C
C
10º B Log
G
R
A
N
D
E

RIO
Alegrete/RS 12º BE Cmb Bld
DO SUL
6º RCB
25º GAC
Bagé/RS 3º B Log
3º RC Mec
Bento Gonçalves/RS 6º B Com
Caxias do Sul/RS 3º GAAAe
Itaqui/RS 1º RC Mec
Jaguarão/RS 12º RC Mec
Pelotas/RS 9º BI Mtz
3º B Com
Porto Alegre/RS 3 RCGd
3º BPE
Quarai/RS 5º RC Mec
Rio Grande/RS 6º GAC
Rosário do S/RS 4º RCC
S Cruz do Sul/RS 7º BIB
S. Livramento/RS 7º R C Mec
1º RCC
Santa Maria/RS 4º B Log
3º GAC AP
Santiago/RS 19º GAC
Santiago/RS 9º B Log
São Borja/RS 2º RC Mec
6º BE Cmb Bld
São Gabriel/RS 9º RCB
Sta Rosa/RS 19 RC Mec
Sto Angelo/RS 1º B Com
22º GAC AP
Uruguaiana/RS 8º RC Mec

Figura 13 – OM que receberam pesquisa - Região Sul


Fonte: o autor
94

x
E t
v d t
c A c q d
L e b e P t t q
L g L E x x p E g g d d
C o C M A m E E u C C M A o o q q d C P g
L g L A C S A L L P P G C n m
A L o I A L E L C L V V t A E A C I I A E o I
G B I L B G I P I R A I E A A n G P G R A B B B B C G A s C B
B B B B B G B B B B B G R G s
OM

º º º º º M º º º º º º º º E E º
0 2 º º 8 2 º º º 3 º º º º º 1 º 1 5 º 0 1 5 6 º 1 º 8
2 2 6 2 2 1 5 2 4 1 2 2 2 1 2 B 2 1 1 1 1 2 2 2 2 2 3 8 B B 3
P
S
/
a J
P P b
S P a R
/
/ S
/ g o
P P a e S
/ n r
i S
S S g d e a P e E
P / / P P P n n t h n /
a s S u a n n S
/ J a a
S
/
i v a S
/ S
/ / n r e o é R J h
l
a n
i í o u c
i t /
i
Cidade

r p a
i a c s G m a e e
e a p d n s s a V a b ó
r d V
u
r ç m n e
r a a i o d u e a
a a a u o s r
i a
r ã n
i a t
i o
i l
i
B C C J L O P P S P T N R V
PAULO
O O
T
I

DE

SANTO
R
Estado
I R
E Í
O N
O A P
à I S
S R J E
95

t
s b
n z
Figura 14 – OM que receberam pesquisa - Região Sudeste

m g e t
C o C A M
E I C I L I A I A I
B B E B B B G B A B
B G
OM

º º º º º º º º
1 2 º 0 7 5 4 1 º 6
1 1 4 1 1 5 1 1 4 3
G
G M
/
i
G G
M
/ G M e G
e / M
/ R
t M
/ s l M
/ G

Fonte: o autor
n a o
r e
r e s M
G o r a g D a /
M z
i G o l e
l o a
i
/
i r M F C o g d
r o / s A ã a n
a
Cidade

H á e e o o L â
l
u b d t s J r
g o
l u
j z
i n u o e
t e
a
r e a u o o ã e b
A B t
I J M P S S U
S
I
A
R
E
G
Estado
S
A
N
I
M
96

c c c
e e e n t e
M M g g n o z
t s A g
o B o M r n C F A o d C

Figura 15 – OM que receberam pesquisa - Região Centro-oeste


C C L L C o
r F M C L G
C C F I A M C E A A
R R B R B A R B B E G L A F G B C G B
G B B G B R º P E
OM

º º º º º º º º º B º º
7 0 8 0 8 º 1 º 7 4 º 8 º º 1 6 º 2 G P
1 1 1 2 2 9 1 2 1 4 9 1 6 1 1 1 1 1 3 B B
S
M
/ T
e S M
/
S S d S M s
i
M n S / S T l O
M
/ / a
r M
/ á M T o G O F
í a
t s M
/ r M
/ / p / G
a s G o e o s á M
/ ó a / D
/
b i o d P e b n s a
i a
Cidade

u á i

Fonte: o autor
m V p a q a r m b o o n l
í
a a r a t e u a d m â
i s
l m u o n c r i n r o a
m e a o i o á o u o o r
A B C D N P C C C R F G B
O O
S S
S S
O O
R R O L
G L G T
I A
R
Estado
O U O S R
S A
I T E
T T S D
A O A O I E
M D M G D F
97

Estado Cidade OM
B
A
H
I
A

S
a
l
v
a
d
o
r
/
B
A

1
9
º
B
C
P
E
R
N
A
M
B
U
C
O

G
a
r
a
n
h
u
n
s
/
P
E

7
1
º
B
I
M
t
z
J
a
b
o
a
t
ã
o
d
o
s
G
u
a
r
a
r
a
p
e
s
/
P
E

1
4
º
B
I
M
t
z
O
l
i
n
d
a
/
P
E

7
º
G
A
C
P
e
t
r
o
l
i
n
a
/
P
E

7
2
º
B
I
M
t
z
1
4
º
B
L
o
g
R
e
c
i
f
e
/
P
E

4
º
B
C
o
m
R
.
G
.
d
o
N
O
R
T
E

1
6
º
B
I
M
t
z
1
7
º
G
A
C
N
a
t
a
l
/
R
N

7
º
B
E
C
m
b
C
a
i
c
ó
/
R
N

1
º
B
E
C
n
s
t
P
A
R
A
Í
B
A

B
a
y
e
u
x
/
P
B

1
6
º
R
C
M
e
c
J
o
ã
o
P
e
s
s
o
a
/
P
B

1
5
º
B
I
M
t
z
C
E
A
R
Á

C
r
a
t
e
ú
s
/
C
E

4
0
º
B
I
F
o
r
t
a
l
e
z
a
/
C
E

2
3
º
B
C
M
A
R
A
N
H
Ã
O

I
m
p
e
r
a
t
r
i
z
/
M
A

5
0
º
B
I
S
S
ã
o
L
u
í
s
/
M
A

2
4
º
B
C
P
I
A
U
I

T
e
r
e
s
i
n
a
/
P
I

2
5
º
B
C

Figura 16 – OM que receberam pesquisa - Região Nordeste


Fonte: o autor

Após remetidas as pesquisas, foram devolvidos 115 (cento e quinze)


questionários devidamente respondidos, totalizando-se deste modo um percentual
de 85,8% de atendimento à solicitação.
A quantidade de questionários atendeu ao tamanho da amotra desejado, que
era de 110 (cento e dez) OM, conforme visto na seção 1.5.2 deste trabalho.
A amostra estudada é representativa, fato este evidenciado pela variedade
de tipos de OM e pela representação de todas as regiões do país, num total 90
municipios, de 22 (vinte e dois) estados e do Distrito Federal.
98

7.2 APRESENTAÇÃO DOS RESULTADOS


O primeiro questionamento apresentado foi o seguinte:
1) O risco é inerente à atividade militar. Dentre os abaixo listados,
marque com um “x”, as opções que o senhor considera merecer
maior atenção por parte do comandante. (podem ser marcadas
quantas opções julgadas cabíveis).
01. ( ) Acidente com pessoal fora da instrução (incluindo acidentes
de trânsito)
02. ( ) Acidente na instrução e/ou no serviço
03. ( ) Invasão ou tentativa de invasão do perímetro do
aquartelamento / Próprios Nacionais
04. ( ) Roubo ou furto de material/equipamento
05. ( ) Vazamento de dados/informações sensíveis ou sigilosas
06. ( ) Ações de hackers na página eletrônica da OM
07. ( ) Cooptação de militares pelo crime organizado
08. ( ) Infiltração/tentativa de infiltração de criminosos pelo Sv
Militar obrigatório
09. ( ) Militares e/ou pensionistas vinculados vítimas de estelionato
10. ( ) Divulgação nos órgãos de imprensa de notícias
desabonadoras sobre a OM.
11. ( ) Suicídio de militares
12. ( ) Outro ___________________________________________

O objetivo deste questionamento foi verificar a como ocorre a percepção


do risco por parte dos comandantes das OM operacionais do Exército. O
pesquisador buscou levantar quais são os aspectos que os comandantes julgam
merecer maior atenção de sua parte.
99

Os resultados obtidos foram os seguintes:

120 109
94 97
100
83
80 73 74
69

60 48
41
40
24 23
20
6
0
1 2 3 4 5 6 7 8 9 10 11 12

TOTAL DE RESPOSTAS

Gráfico Nr 01 – Questão Nr 1 – Respostas em números totais


Fonte: o autor

100,0 94,8
90,0 81,7 84,3
72,2
80,0
63,5 64,3
70,0 60,0
60,0
50,0 41,7
40,0 35,7
20,9 20,0
30,0
20,0
10,0 5,2
0,0
1 2 3 4 5 6 7 8 9 10 11 12

PERCENTUAL

Gráfico Nr 02 – Questão Nr 1 – Respostas termos percentuais


Fonte: o autor
100

Dos gráficos anteriores pode-se depreender o seguinte:


- acidentes com pessoal fora da instrução (incluindo acidentes de
trânsito) são uma preocupação para 63,5% dos comandantes de OM;
- acidentes na instrução e/ou no serviço preocupam 94,8% dos
comandantes;
- invasão ou tentativa de invasão do perímetro do
aquartelamento/Próprios Nacionais são motivo de preocupação para 81,7% dos
comandantes;
- roubo ou furto de material/equipamento afligem 84,3% do universo;
- vazamento de dados/informações sensíveis ou sigilosas – 64,3% dos
comandantes consideram um risco;
- ações de hackers na página eletrônica da OM é uma preocupação
para 20,9% dos comandantes;
- cooptação de militares pelo crime organizado – 72,2% do universo
considera este aspecto um fator de risco para a sua OM;
- infiltração/tentativa de infiltração de criminosos pelo Sv Militar
obrigatório – 60% dos entrevistados disseram ser um problema;
- militares e/ou pensionistas vinculados vítimas de estelionato – 20%
apenas consideram um risco;
- divulgação nos órgãos de imprensa de notícias desabonadoras sobre a
OM é uma razão de preocupação para 35,7% dos comandantes;
- suicídio de militares – apenas 41,7% dos comandantes julgam haver
este risco nas suas OM; e
- outros riscos, tais como envolvimento de militares com tráfico de
drogas, e prejuízos a administração militar em decorrência de decisões judiciais
foram lembrados por 5,2% dos entrevistados.
101

O segundo questionamento foi o seguinte:

2) Para fazer face aos riscos que o senhor enfrenta na sua OM, o
senhor recorre a que tipo de instrumentos/processos decisórios?
(podem ser marcadas quantas opções o senhor julgar cabíveis)
( ) estudo de estado-maior
( ) reflexão e decisão pessoal
( ) método de gerenciamento de risco aplicado às atividades
militares (CI 32/2)
( ) palestras / preleções em formaturas
( ) outro (citar) _________________________________________

Tal questionamento teve por finalidade verificar como os comandantes das


OM operacionais do Exército enfrentam os riscos a que suas OM estão
submetidas. Teve por finalidade ainda verificar se os processos de análise e
tratamento dos riscos são baseados em algum tipo de metodologia.
Os resultados obtidos foram os seguintes:

120
99
100
87
68 67
80

60

40

20
4
0
1 2 3 4 5

TOTAL DE RESPOSTAS

Legenda
1 – estudo de estado-maior
2 – reflexão e decisão pessoal
3 – método do CI 32/2
4 – palestras / preleções em formaturas
5 – outro
Gráfico Nr 03 – Questão Nr 2– Respostas em números totais
Fonte: o autor
102

100,0
86,1
90,0
80,0 75,7
70,0
59,1 58,3
60,0
50,0
40,0
30,0
20,0
3,5
10,0
0,0
1 2 3 4 5

PERCENTUAL

Legenda
1 – estudo de estado-maior
2 – reflexão e decisão pessoal
3 – método do CI 32/2
4 – palestras / preleções em formaturas
5 – outro

Gráfico Nr 04 – Questão Nr 2 – Respostas termos percentuais


Fonte: o autor

Os gráficos das figuras 14 e 15 demonstram o seguinte:


- 75,7% dos comandantes analisam e tratam os riscos de sua OM por
intermédio de estudos de estado-maior;
- 59,1% dizem basear-se em reflexão e decisão pessoal;
- apenas 58,3% dos comandantes afirmam utilizar a metodologia
preconizada pelo CI 32/2, em vigor no Exército Brasileiro;
- 86,1% preferem palestras e preleções em formaturas; e
- 3,5% disseram utilizar outras formas de fazer face aos riscos da OM.
103

O terceiro item do questionário enviado aos comandantes de OM


operacionais foi bastante simples, destinando-se apenas a verificar se as OM
operacionais do Exército adotam a metodologia do Programa de Desenvolvimento
de Contra Inteligência (PDCI)24. Este programa ainda não está oficialmente em
vigor no exército, uma vez que o anteprojeto da IP 30-3 – Contra-inteligência ainda
não foi aprovado para utilização pelo Estado-Maior do Exército. Entretanto, desde
2005 o PDCI é ensinado na Escola de Inteligência Militar do Exército. Embora,
como se verá a seguir, algumas OM afirmem utilizar tal método, ele ainda não
pôde ser avaliado e adotado na plenitude.25

3) A OM do senhor adota (marcar apenas uma alternativa):


( ) Plano de Segurança Orgânica (PSO)
( ) Programa de Desenvolvimento de Contra-inteligência (PDCI)

Foram os seguintes os resultados deste questionamento:

90
100
90
80
70
60
50
40
30 25
20
10
0
PSO PDCI

Total de respostas

Gráfico Nr 05 – Questão Nr 3– Respostas em números totais


Fonte: o autor

______________
24
Ver Parágrafo 3-2 do presente relatório.
25
Comunicação pessoal do Maj Cav Carlos Vinícius Teixeira de Vasconcelos, especialista no assunto,
pesquisador da ECEME, mestrando, com dissertação versando sobre o PDCI.
104

90
78,3
80
70
60
50
40
30 21,7
20
10
0
PSO PDCI

Percentual

Gráfico Nr 06 – Questão Nr 3– Respostas em termos percentuais


Fonte: o autor

Os gráficos anteriores demonstram que aproximadamente 80% das OM


operacionais do Exército adotam o Plano de Segurança Orgânico, confirmando a
informação deste pesquisador acerca da baixa utilização do PDCI.
O quarto item do questionário foi elaborado com vistas a mensurar, no
entender dos comandantes das OM operacionais do Exército, se os oficiais e
sargentos de suas Unidades possuem mentalidade de contra-inteligência. Tal
mentalidade colaboraria no controle e manutenção dos riscos em graus toleráveis.
4) O senhor considera, de uma maneira geral, que os oficiais e
sargentos de sua OM possuem uma mentalidade de contra-
inteligência que colabora para o controle e a manutenção dos riscos
em níveis aceitáveis?
( ) Sim
( ) Não

Esta pergunta foi respondida conforme se vê nos gráficos a seguir.


105

80
67
70
60
48
50
40
30
20
10
0
SIM NÃO

TOTAL DE RESPOSTAS

Gráfico Nr 07 – Questão Nr 4– Respostas em números totais


Fonte: o autor

70,0
58,3
60,0

50,0
41,7
40,0
30,0

20,0

10,0

0,0
SIM NÃO

PERCENTUAL

Gráfico Nr 08 – Questão Nr 4– Respostas em termos percentuais


Fonte: o autor

Os números mostrados acima revelam que, na percepção dos comandantes


das OM operacionais do Exército, o percentual de oficiais e sargentos destas
Unidades que possuem uma mentalidade de contra-inteligência que contribua
para a manutenção dos riscos em níveis aceitáveis não chega a 60% do total do
universo considerado.
106

A quinta questão proposta aos comandantes visava levantar que tipo de


eventos causadores de risco ocorreram em suas Unidades no ano de instrução de
2007. Solicitou-se que fossem indicados os eventos que encontravam-se listados
no item 1 do questionário, já apresentado.

5) No corrente ano de instrução ocorreu, em sua OM, algum dos


eventos listados no Nr 1 deste questionário?
( ) Sim. Quais? Indique os Nr (constantes do Nr 1) :____________
( ) Não

Os gráficos abaixo demonstram os resultados acerca desta questão.

90
79
80
70
60
50 46
34
40
28
30
20 16
9 1 8 10 11 9 5
10 2
0
1 2 3 4 5 6 7 8 9 10 11 12 não

TOTAL DE RESPOSTAS

Gráfico Nr 09– Questão Nr 5– Respostas em números totais


Fonte: o autor
107

80
68,7
70
60
50
40
40
29,6 24,3
30
13,9
20
7,9 8,7 9,6 7,8 4,3 1,7
7
10
0,9
0
1 2 3 4 5 6 7 8 9 10 11 12 não

PERCENTUAL

Gráfico Nr 10 – Questão Nr 5– Respostas em termos percentuais


Fonte: o autor

Da análise dos valores apresentados nos gráficos anteriores, depreende-se


que acidentes com pessoal, fora da instrução, incluindo-se os acidentes de
trânsito (Nr 1), ocorreram em quase 70% das OM operacionais do Exército.
O percentual de acidentes na instrução (Nr 2) foi de 40%.
Invasão ou tentativa de invasão do perímetro do aquartelamento (Nr 3) e
roubo ou furto de material e equipamentos (Nr 4) atingiram percentuais de 29,6%
e 24,3%, respectivamente.
Nenhum dos demais eventos chegou ao patamar de 10%.
Em apenas 13,9% das OM operacionais do Exército não ocorreram eventos
causadores de riscos.
No último item do questionário, em que se facultava aos respondentes
acrescentar qualquer opinião, alguns comandantes expressaram aspectos
particulares de suas OM, que auxiliavam no entendimento das respostas aos
questionamentos realizados.
108

7.3 CONCLUSÃO PARCIAL - ANÁLISE DOS RESULTADOS


Da análise dos resultados obtidos na pesquisa de campo apresentada pode-
se concluir que os comandantes das OM operacionais do Exército percebem os
riscos a que suas OM estão submetidas.
Nas respostas obtidas pode-se perceber que acidentes na instrução, roubo
e/ou furto de material e equipamento e tentativa de invasão do aquartelamento
são os riscos mais lembrados.
Entretanto, mais da metade dos riscos apresentados aos respondentes (sete
em doze) foram percebidos como relevantes por mais de 50% dos tomadores de
decisão. Tal fato, aliado à constatação de que nenhum dos riscos deixou de ser
apontado nas respostas, bem demonstra a diversidade de aspectos geradores de
riscos.
Embora as respostas verificadas no item 5 indiquem que o evento com maior
ocorrência nas OM seja o acidente fora da instrução (ocorreram em quase 70%
das OM), quando se verifica a primeira pergunta apresentada, percebe-se que
quase 40% dos comandantes não consideram o acidente fora da instrução como
um risco relevante.
Este aparente contra-senso pode ser decorrente do fato de que, por se tratar
de acidente não motivado por causa relacionada à atividade da OM, a percepção
do risco torna-se um pouco mais sutil, passando despercebido de uma significativa
parcela dos comandantes o prejuízo causado por acidentes fora da instrução à
operacionalidade da sua tropa.
A maioria absoluta dos comandantes enfrenta os riscos por intermédio de
estudos de estado-maior e palestras e preleções em formaturas. O número de
comandantes que afirma aplicar a metodologia em vigor no Exército para
gerenciamento de riscos (CI 32/2) não chega a 60%. Como a citada metodologia
restringe-se às atividades de instrução, tal fato indica que o enfrentamento do
risco na maior parte das OM operacionais do Exército é feito de forma empírica,
sem a utilização de uma metodologia científica.
109

Os comandantes de OM operacionais do Exército consideram que não chega


a 60% o percentual de oficiais e sargentos que possuem uma efetiva mentalidade
de contra-inteligência. Este número denota que há um elevado número de oficiais
e sargentos nas OM operacionais do Exército que não contam com a confiança de
seus comandantes para serem efetivos instrumentos de mitigação de riscos.
Em apenas dezesseis por cento das OM operacionais do Exército não
ocorreram, durante o ano de instrução de 2007, eventos geradores de riscos. Este
número baixo confirma que os riscos, de variada natureza, estão presentes de
forma marcante no dia a dia das OM operacionais do Exército.
110

8 CONCLUSÃO

O gerenciamento de riscos é entendido como um conjunto de atividades


coordenadas com a finalidade de dirigir e controlar uma organização no que se
refere a riscos, incluindo a análise, avaliação, tratamento e controle dos mesmos.
Como ficou demonstrado neste trabalho, trata-se de uma ferramenta gerencial
importante para auxílio do decisor na adoção de medidas eficientes e eficazes
para a mitigação dos danos advindos de eventos indesejáveis.
O Exército Brasileiro possui uma base doutrinária própria para a proteção de
todo o seu sistema. Trata-se do ramo contra-inteligência, da atividade de
inteligência. A Segurança Orgânica inscreve-se neste ramo, com a tarefa precípua
de prevenir e obstruir as ameaças dirigidas contra qualquer segmento do Exército.
A proposta deste trabalho foi verificar se a análise e o gerenciamento de
riscos poderia contribuir para o planejamento, processo de tomada de decisão e
implementação de medidas de segurança orgânica nas OM operacionais do
Exército Brasileiro.
Assim, o presente trabalho procurou solucionar a situação-problema já
apresentada: A análise e o gerenciamento dos riscos pode contribuir para o
planejamento, processo de tomada de decisão e implementação de medidas de
segurança orgânica nas Organizações Militares operacionais do Exército
Brasileiro?
Para responder ao questionamento, inicialmente estudou-se a variável
dependente da pesquisa – a segurança orgânica nas OM operacionais do
Exército. Pôde-se demonstrar que o relacionamento entre a segurança e
inteligência é estreito. Comprovou-se que, no âmbito do Exército Brasileiro, as
atividades de segurança são doutrinariamente dependentes das ações e medidas
implementadas por meio das atividades de segurança orgânica.
Em um passo seguinte, estudou-se de forma ampla os processos de
gerenciamento de riscos existentes e em prática no mundo corporativo (variável
independente).
111

Durante a execução da pesquisa, chegou-se a uma metodologia consagrada,


a prevista pelas normas AS/NZS 4360:2004 e, partindo-se desta e comparando-a
a outras, verificou-se os parâmetros comuns e necessários para que uma
metodologia de gerenciamento de riscos pudesse ser considerada eficiente.
Os parâmetros acima incluem necessariamente o faseamento do processo,
iniciando-se pelo estabelecimento do contexto ambiental e passando pela
posterior identificação, análise, avaliação e finalmente o tratamento dos riscos.
O passo seguinte foi a realização de uma pesquisa acerca da análise de
riscos e da segurança orgânica no exército norte-americano.
Comprovou-se que aquele exército dedica grande atenção a esta atividade.
Há uma Organização Militar, denominada “United States Army Combat Readiness
Center”, comandada por um oficial-general, que se dedica exclusivamente à
prevenção de perdas.
No desempenho de tal mister, desenvolveu-se uma metodologia própria, o
Gerenciamento do Risco Composto (CRM) que efetuando as necessárias
adaptações às demandas castrenses, emprega basicamente a mesma
metodologia consagrada no mundo corporativo.
Finalmente, o último objetivo da pesquisa bibliográfica foi levantar quais eram
os processos de gerenciamento de risco em vigor e em uso no Exército Brasileiro.
Desta forma, foram estudados os dois processos que estão regulamentados
e em uso no exército atualmente: o previsto pelo CI 32/2 e o constante das IR 13-
10. O estudo dos referidos métodos de gerenciamento de riscos mostrou que o
primeiro (CI 32/2) não cumpre as etapas consagradas pela metodologia
internacional.
Não possui o faseamento integral do processo, não prevê métodos de
acompanhamento das ações de mitigação do risco, não contempla outras áreas
que não sejam às referentes à instrução da tropa.
Já a segunda metodologia mostrou-se bastante completa e está alinhada
com os procedimentos consagrados internacionalmente. Entretanto, como está
direcionada para a área de ciência e tecnologia do Exército, possui um foco
112

restrito a este ramo de atividades, não sendo empregada pelas OM operacionais


do Exército.
Após a pesquisa que aprofundou o conhecimento acerca das variáveis
dependente e independente, procedeu-se a pesquisa de campo, com os objetivos
de conhecer os seguintes aspectos: como os comandantes das OM operacionais
do Exército percebem os riscos a que suas unidades estão submetidas; quais são
os riscos que mais os preocupam; quais são os eventos geradores de risco que
ocorrem com mais freqüência e quais são os processos de gerenciamento que
são utilizados no auxílio à tomada de decisão quando se trata de gerenciamento e
mitigação de riscos.
A pesquisa de campo comprovou que os comandantes de unidades
operacionais percebem claramente os muitos e variados riscos que permeiam as
múltiplas atividades desempenhadas nos corpos de tropa.
Entretanto, as respostas aos questionários indicam que tais riscos são
analisados e gerenciados de forma empírica, principalmente em reuniões de
estado-maior e palestras, além de decisões pessoais dos comandantes.
A pesquisa demonstrou que não chega a 60% do total o número de unidades
que efetivamente empregam a metodologia preconizada no CI 32/2. Ou seja, além
de mostrar-se incompleta e pouco adequada, e até talvez por este motivo, a
metodologia não é empregada de forma ampla pelas OM operacionais do
Exército.
Outro aspecto importante ressaltado na pesquisa foi o alto percentual (em
torno de 40%) de comandantes de OM que consideram que os seus oficiais e
sargentos não possuem uma adequada mentalidade de contra-inteligência. Como
se viu no capítulo referente à metodologia das normas australiana/neozelandesa,
a adoção de um processo de análise e gerenciamento de riscos, certamente
auxiliaria na formação desta mentalidade, uma vez que o processo pressupõe
uma ampla participação de todos os envolvidos com as medidas de segurança e
de mitigação de riscos a serem adotadas.
Após a execução da pesquisa documental e de campo, pôde-se concluir que
as hipóteses inicialmente formuladas foram todas comprovadas. Ou seja:
113

- atualmente, os riscos aos quais as OM operacionais do Exército estão


submetidas são de natureza difusa, diversa e complexa.
- as OM operacionais do Exército necessitam de uma metodologia
científica para a análise e gerenciamento dos riscos a que estão submetidas.
- o processo de análise de risco contribui para o aprimoramento da
Segurança Orgânica das OM operacionais do Exército Brasileiro.
Realmente, as OM operacionais do Exército Brasileiro estão inseridas em um
ambiente que as submete a riscos de natureza diversa, difusa e complexa.
A análise e o gerenciamento dos riscos por parte das OM operacionais do
Exército seriam em grande medida facilitados pela adoção de uma sistemática
consagrada, a exemplo do que ocorre no ambiente corporativo civil e no exército
norte-americano.
A atividade de Segurança Orgânica, responsável pela prevenção e obstrução
de ameaças de qualquer natureza, ou, em outras palavras, pelo enfrentamento
das ameaças geradoras de riscos, seria amplamente beneficiada pela adoção de
uma sistemática de gerenciamento de riscos.
Ao término do presente trabalho, verifica-se a possibilidade de
aprofundamentos nas pesquisas, que poderiam partir na direção de se buscar
uma metodologia de análise e gerenciamento de riscos própria para o exército
nacional a exemplo do caso norte-americano, relatado no presente trabalho.
Finalmente, tendo-se em vista todos os aspectos mencionados, pode-se
afirmar que a análise e o gerenciamento de riscos podem contribuir
significativamente para a segurança orgânica das Organizações Militares
operacionais do Exército Brasileiro.

______________________________________________
PAULO ROBERTO DA SILVA GOMES FILHO – Maj Cav
114

REFERÊNCIAS

ANDRADE, Eduardo Leopoldino. Processo de atribuição de probabilidades


subjetivas. LTC Editora. 3 ed. 2004.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. Gestão de Riscos –


Vocabulário – Recomendações para uso em normas. Rio de Janeiro. 2005

AUSTRÁLIA. Standars Austrália. Australian/New Zealand Standard Risk


Management. (AS/NZS 4360:2004). Austrália. 2004.

BRASIL. Agência Brasileira de Inteligência. Programa Nacional de Proteção ao


conhecimento. Disponível em <
http://www.abin.gov.br/modules/mastop_publish/?tac=Programa> . Acesso em 03
Mar 08

BRASIL. Exército. Estado-Maior do Exército. IP 30-3: RAMO CONTRA-


INTELIGÊNCIA. 1. ed. Brasília, DF, 1996.

_______. IP 30-1: A ATIVIDADE DE INTELIGÊNCIA MILITAR. 1. ed. Brasília,


DF, 1995.

_______. C 30-3: CONTRA-INTELIGÊNCIA. Anteprojeto, Brasília. 2007.

_______. C 20-1: GLOSSÁRIO DE TERMOS E EXPRESSÕES PARA USO NO


EXÉRCITO. Manual de Campanha. 3 ed. Brasília, DF, 2003.

BRASIL. Exército. Comando de Operações Terrestres CI 32/2:


GERENCIAMENTO DE RISCOS APLICADO ÀS ATIVIDADES MILIARES. 1. ed.
Brasília. 2005.

_______. PROGRAMA DE INSTRUÇÃO MILITAR. Brasília. 2007.

BRASIL. Departamento de Ciência e Tecnologia IR 13-10 Instruções


Reguladoras Sobre Análise de Riscos para ambientes de Tecnologia da
Informação do Exército Brasileiro (IRRISC) Brasília. 2007.

BRASIL. Exército. Escola de Comando e Estado-Maior do Exército ME 21-259:


Trabalhos Acadêmicos na ECEME. 1 ed. Rio de Janeiro. 2004.
115

_______. FORMATAÇÃO DE TRABALHOS ACADÊMICOS. 2 ed. Rio de Janeiro.


2008.

BERTOTTO, Justino. El análisis de riesgos y la toma de decisiones


estratégicas en la resolución de crisis y conflictos. Military Review. Fort
Leavenworth, EUA. Ed. Septiembre-octobre. 2001

CASSIANO, Edna. Gestão da mudança para empresas e para a sua vida.


Disponível em < em
http://www.ednacassiano.com/index.php?option=com_content&task=view&id=80&I
temid=28>. Acesso em: 20 Fev 08

DILLARD, Kurt, PFOST, Jared, Guia de gerenciamento de riscos em


segurança. Microsoft Co. EUA. 004.

ESTADOS UNIDOS DA AMÉRICA. Exército. Headquarters. FM 5-19. Composite


Risk Management. 1 ed. Washington, EUA, 2006.

ESTADOS UNIDOS DA AMÉRICA. Exército. Memorando de criação do U.S.


Army Combat Readiness Center. Washington, EUA, 2005

FEDERATION OF EUROPEAN RISK MANAGEMENT ASSOCIATIONS.


(Inglaterra) Norma Européia para Gestão de Riscos (ISO/IEC Guide 73). 2003.

GRÃ-BRETANHA. The Orange Book. Management of Risk - Principles and


Concepts. H.M. Treasury. Inglaterra. 2004

HEINRICH, Juliana da Silva e Souza, Aplicação da análise de riscos à


atividade de transporte de cargas em geral. Dissertação (Mestrado em
Engenharia Civil) – Universidade Estadual de Campinas. Campinas. 2004.

PEREIRA, Pascale Correia Rocha; GONÇALVES, Francisca Márcia G. S.; PIRES,


Carlo Giovano; BELCHIOR, Arnaldo Dias, Um Processo para o Gerenciamento
de Riscos em Projetos de Software. V Simpósio Brasileiro de Qualidade do
Software. 2006

SÊMOLA, Marcos. Gestão da Segurança da Informação. Rio de Janeiro.


Campus, 2003.

TAYLOR, J. R. Risk Analysis for Process Plant, Pipelines and Transport.


Chapman Hall Londres Inglaterra.1994.
116

ZAMITH, José Luis Cardoso. Gestão de Riscos e Prevenção de Perdas. FGV.


Rio de Janeiro. 2007.
117

APÊNDICE A

ESCOLA DE COMANDO E ESTADO-MAIOR DO EXÉRCITO


ESCOLA MARECHAL CASTELLO BRANCO

PESQUISA DE CAMPO PARA TRABALHO DE MESTRADO

TEMA - A análise de risco nas OM operacionais do Exército Brasileiro e suas


contribuições para a Segurança Orgânica.
AUTOR – Maj Cav PAULO ROBERTO DA SILVA GOMES FILHO
Ilmo Sr Comandante,
O presente questionário, constituído de cinco perguntas objetivas, destina-se
a subsidiar trabalho científico do programa de pós-graduação da ECEME. Tal
trabalho versa sobre análise de riscos nas OM operacionais do Exército e suas
possíveis contribuições para a segurança orgânica.
As opiniões expressas por V Sa, ou por militar pelo senhor designado, serão
utilizadas somente para os fins acima mencionados. As OM e/ou militares
respondentes não serão identificados no trabalho.
Desde já agradeço, ressaltando que as informações prestadas serão de
grande valia para o êxito do trabalho.
CONSIDERAÇÕES INICIAIS
Risco pode ser definido como perigo, ou possibilidade de perigo, perda ou
dano. Para fazer face a ameaças e riscos, o Exército dispõe do Ramo Contra-
inteligência, da atividade de Inteligência. A Segurança Orgânica é um dos
segmentos da Contra-inteligência. e tem por finalidade contrapor-se a ameaças de
qualquer natureza, que venham a se constituir em algum perigo contra os recursos
humanos, os dados, as informações, os materiais e as áreas e instalações do
Exército Brasileiro.
A análise de risco compreende os processos de levantamento, análise e
gerenciamento de riscos.

QUESTIONAMENTOS
1) O risco é inerente à atividade militar. Dentre os abaixo listados, marque
com um “x”, as opções que o senhor considera merecer maior atenção por parte
do comandante. (podem ser marcadas quantas opções julgadas cabíveis).
01. ( ) Acidente com pessoal fora da instrução (incluindo acidentes de
trânsito)
02. ( ) Acidente na instrução e/ou no serviço
03. ( ) Invasão ou tentativa de invasão do perímetro do
aquartelamento/Próprios Nacionais
04. ( ) Roubo ou furto de material/equipamento
05. ( ) Vazamento de dados/informações sensíveis ou sigilosas
06. ( ) Ações de hackers na página eletrônica da OM
118

07. ( ) Cooptação de militares pelo crime organizado


08. ( ) Infiltração/tentativa de infiltração de criminosos pelo Sv Militar
obrigatório
09. ( ) Militares e/ou pensionistas vinculados vítimas de estelionato
10. ( ) Divulgação nos órgãos de imprensa de notícias desabonadoras
sobre a OM.
11. ( ) Suicídio de militares
12. ( ) Outro ________________________________________________

2) Para fazer face aos riscos que o senhor enfrenta na sua OM, o senhor
recorre a que tipo de instrumentos/processos decisórios? (podem ser marcadas
quantas opções o senhor julgar cabíveis)
( ) estudo de estado-maior
( ) reflexão e decisão pessoal
( ) método de gerenciamento de risco aplicado às atividades militares (CI
32/2)
( ) palestras / preleções em formaturas
( ) outro (citar) _________________________________________________

3) A OM do senhor adota (marcar apenas uma alternativa):


( ) Plano de Segurança Orgânica (PSO)
( ) Programa de Desenvolvimento de Contra-inteligência (PDCI)

4) O senhor considera, de uma maneira geral, que os oficiais e sargentos de


sua OM possuem uma mentalidade de contra-inteligência que colabora para o
controle e a manutenção dos riscos em níveis aceitáveis?
( ) Sim
( ) Não

5) No corrente ano de instrução ocorreu, em sua OM, algum dos eventos


listados no Nr 1 deste questionário?
( ) Sim. Quais? Indique os Nr (constantes do Nr 1) :____________________
( ) Não

6) Caso o senhor tenha algo a acrescentar, utilize o espaço abaixo. Muito


obrigado!

__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
_________________________________________________________________

Muito Obrigado!