ANÁLISE DE RISCOS - como uma apreciação das causas e as fontes de risco para uma organização, suas consequências

positivas e negativas, e a probabilidade de que essas consequências possam ocorrer.

Há dois tipos básicos de análise de riscos:

 Indutivos: Partem diretamente das causas para os efeitos, acompanhando o desenrolar natural dos acontecimentos que se
querem antecipar;
 Dedutivos: Iniciam dos efeitos e, a partir deles, procuram deduzir as causas. Trata-se de um método inverso, uma
vez que o processo de análise se processa em sentido contrário ao desenrolar temporal dos eventos virtualmente
analisados.

São exemplos de métodos dedutivos de análise de risco:

HAZOP (Operacionalidade de Perigos) e FTA (Análise de Árvore de Falha).

A Análise de Riscos identifica a dimensão e importância que o evento possui, bem como as ameaças e as vulnerabilidades que
podem afetá-lo, determinando a sua probabilidade de ocorrência e estimando o impacto sobre a pessoa protegida. Tem por
objetivo a identificação sistematizada das medidas a serem implementadas de forma a proteger o evento de transtornos
que possam ser causados por falhas de segurança e de organização. Neste processo são consideradas as ameaças,
vulnerabilidades e impactos que podem afetar o evento, a probabilidade dessas ocorrências e a viabilidade da adoção
das medidas de segurança necessárias.

Após enfocar as vulnerabilidades deve-se proceder à busca pelas alternativas mais viáveis para superar as falhas e cumprir a
missão. É a fase que correspondente à formulação da linha de ação.

“As vias de acesso e o patrimônio correspondem à fonte geradora e a trajetória e a área a

ser afetada correspondem aos potenciais de danos na técnica de análise preliminar dos
riscos existentes."

Diagnóstico - O diagnóstico é a fase inicial da Análise de Riscos. Consiste numa identificação do estado atual da
organização, sendo mais ou menos detalhado conforme a análise dos dados e informações disponíveis, e da extensão e
profundidade do trabalho de campo.

Avaliação de Riscos - Além do levantamento e da identificação de riscos e ameaças reais ou potenciais a que uma
instituição está sujeita, realizado pelo Diagnóstico, a análise de riscos inclui a Avaliação, que é a determinação do grau de
probabilidade de ocorrência dos eventos e a projeção de seus efeitos sobre a atividade institucional.

A determinação das chances de um evento acontecer, deve ser feita, preferencialmente, de forma científica e não
empírica, para conferir maior credibilidade à avaliação. Nesse caso, a Estatística revela-se ferramenta de trabalho
indispensável para possibilitar definição probabilística, seja ela matemática ou subjetiva.

Na figura abaixo, o esquema traz uma visão geral do processo de análise de riscos:

Atentados - podem ser entendidos tanto como ações perpetradas contra determinadas pessoas, grupos ou instituições
com objetivos bem definidos, como também por ofensas à Lei, à moral, aos valores e às regras vigentes, sem qualquer
preparação anterior. Tais ações são praticadas em decorrência de uma grande diversidade de causas, variadas fontes de
hostilização e diferentes meios de efetivação.
Objetivos mais comuns da perpetração de atentados:

 Desmoralização, prejudicando a própria imagem do segurado, a imagem do grupo ou do governo que representa.
 Roubo
 Furto
 Sequestro, com a finalidade de conseguir vantagem política ou buscando lucro financeiro.
 Extermínio
 Político

São fontes de hostilização de um atentado:

 Órgãos da mídia;
 Organizações Não-Governamentais;
 Desafetos Pessoais;
 Criminosos comuns ou o crime organizado;
 Assassinos profissionais;
 Psicopatas, sociopatas;
 Adversários políticos;
 Organizações terroristas;
 Organizações de inteligência estrangeiras.

 No risco o dano é real, ou seja, se acontecer o evento, haverá necessariamente perda;

 Na ameaça o dano é potencial, isto é, se acontecer o evento, poderá haver perda ou não.
 Dano é resultado, ao passo que perda é conseqüência.

Os danos e perdas podem ser caracterizados em três ordens que são: de natureza humana, moral e
material.

Diferentes graus de risco

 Reduzido: é aquele em que a pessoa protegida não está sujeita aos riscos normais inerentes ao cargo que
desempenha;
 Normal: é aquele era que a pessoa protegida está sujeita somente aos riscos inerentes ao cargo que desempenha;
 Elevado: é aquele em que a protegida sofre ameaças definidas ou está envolvida em situação de extraordinária
relevância.

De uma forma geral, riscos correspondem à probabilidade de eventos indesejados acontecerem em um

período de tempo ou em circunstâncias específicas. Os riscos que designam situações que envolvem
apenas a chance de perda, caso se tenha a consecução do risco, são os riscos PUROS.

FERRAMENTAS DA ANÁLISE DE RISCOS

DIAGRAMA DE ÁRVORE ou análise de causa raiz trata-se de um desdobramento gráfico dos caminhos que conduzem
à(s) causa(s) fundamental(is) de um determinado problema. A técnica deve ser aplicada em três tempos:
1. Identificar todas as causas relevantes possíveis;
2. Vislumbrar soluções para as diversas causas;
3. Priorizar as soluções vislumbradas.

MÉTODOS

O método Mosler é muito utilizado para análise e avaliação de riscos organizacionais. É uma das ferramentas utilizadas
para avaliar as ameaças que podem influenciar negativamente as atividades da organização, transformando-se em riscos
potenciais, com a finalidade de classificar os riscos identificados de acordo com suas gravidades.

 A Profundidade “P” mede a perturbação e os efeitos que o risco poderá causar para a imagem da organização e utiliza os
seguintes graus: perturbações muito graves, graves, limitadas, leves e muito leves.
  Agressão “A” mede a possibilidade do dano ou risco vir a acontecer, tendo em vista as características conjunturais e
fiscais da organização. Utiliza a graduação de muito alta, alta, média, baixa e muito baixa.
 Vulnerabilidade “V” mede quais serão as perdas causadas pela concretização do risco no âmbito financeiro. Utiliza
os seguintes graus: muito alta, alta, média, baixa e muito baixa.
 A função “F” projeta as consequências negativas ou danos que podem alterar/afetar a atividade principal da
organização e utiliza a graduação: muito gravemente, gravemente, mediamente, levemente e muito levemente.
 Substituição “S” avalia qual o impacto da concretização da ameaça sobre os bens; o quanto os bens atingidos
podem ser substituídos e utiliza a graduação: muito dificilmente, dificilmente, sem muitas dificuldades,
facilmente, e muito facilmente.

INSTALAÇÕES

Pontos críticos
São áreas e instalações que podem sofrer danos reais, havendo necessariamente perda na ocorrência de danos. Em geral,
são as áreas e instalações sensíveis.

Pontos de risco
São áreas e instalações que podem causar danos, constituem por si mesmas, riscos ou ameaças contra os ativos, os
funcionários ou a sociedade, não necessariamente haverá perdas. Em geral são as áreas e instalações perigosas.

O CPD, por ser o local onde estão armazenados, dados e informações valiosas para a organização, constitui um ponto crítico,
pois qualquer dano causado aos equipamentos levará a perdas desses ativos (informações).
Já o depósito de inflamáveis constitui um ativo com valor exclusivamente financeiro. Os produtos armazenados não são
insubstituíveis como os dados e informações armazenados no CPD. Trata-se de ponto de risco.