Indicadores de segurança patrimonial: o que medir além de "não teve incidente"

Por que "sem incidentes" é métrica de vaidade em segurança

Quando um gestor de facilities diz "nossa segurança está excelente — não tivemos incidentes este ano", frequentemente isso reflete mais sorte ou invisibilidade de problemas do que eficácia real. A métrica "zero roubos" é enganosa porque mascara vulnerabilidades reais, não mensura risco contínuo e afasta responsabilidade do gestor.

Um prédio pode não ter registrado roubo porque ninguém tentou, tentativas fracassaram antes de viralizar, ou tentativas ocorreram mas não foram detectadas. Um sistema de câmeras desligado não gera incidente imediatamente — gera risco zero-visibilidade. Uma tentativa de invasão detectada às 23h não vira "incidente" se não resultou em perda de bem. A próxima tentativa pode sair diferente.

Quando a métrica é "não teve roubo", o gestor não é responsabilizado por identificar padrões, investigar tentativas suspeitas, auditar conformidade ou reportar à liderança. É métrica passiva. KPIs verdadeiros de segurança exigem ação contínua e mensuram capacidade de predição de risco, não apenas reação a eventos finais.

KPIs verdadeiros de segurança patrimonial

Um KPI de segurança deve responder: "a capacidade de proteger este prédio contra ameaças está melhorando ou piorando?" Os principais KPIs são:

Taxa de tentativas bloqueadas.

Mede quantas tentativas de acesso não-autorizado ou suspeitas foram detectadas e interrompidas antes de causar dano. Fórmula: Taxa = (Tentativas detectadas antes do dano) / (Total de eventos suspeitos detectados) × 100. Exemplo: Sistema de alarme detectou 8 aproximações noturnas não-autorizadas em um mês. Em 6 delas, segurança respondeu antes de qualquer acesso. Taxa = 75%. Meta razoável: 95%+.

Eventos próximos (near-miss).

Comportamento suspeito, tentativa de acesso negado, câmera que detectou movimento em área restrita, ligação de alarme falso que revelou procedimento frágil. O número absoluto importa menos que a tendência. Se near-miss sobe mês a mês, algo está mudando. Número típico: 5-15 near-miss por mês em operação média.

Tempo de resposta.

Quanto tempo leva de um alerta até a primeira ação de segurança (verificação visual, comunicação com polícia, bloqueio de acesso). Meta: menos de 5 minutos para eventos críticos (alarme acionado), menos de 15 minutos para eventos moderados (comportamento suspeito). Um sistema que responde em 30 minutos é ineficaz contra roubo rápido.

Conformidade de rondas.

Percentual de rondas agendadas que foram efetivamente realizadas conforme programação. Fórmula: Conformidade = (Rondas completadas) / (Rondas programadas) × 100. Meta: 100%. Se foram programadas 20 rondas noturnas no mês e 18 foram feitas, conformidade = 90%. Abaixo de 95%, o sistema é frágil.

Não-conformidades detectadas em auditoria.

Quantos problemas a auditoria periódica encontra: câmera desligada, ponto cego, acesso que deveria estar bloqueado aberto, iluminação externa deficiente, registro de ronda incompleto. Número menos importante que a tendência. Se auditoria de mês passado encontrou 8 e este mês encontrou 3, segurança melhorou.

Efetividade de CCTV.

Percentual de câmeras operacionais, resolução adequada, armazenamento funcional. Métrica composta: Efetividade = (Câmeras operacionais × Resolução adequada × Acesso a histórico) / Total de câmeras × 100. Se você tem 50 câmeras, mas 5 estão desligadas, 8 têm resolução degradada, e 3 não conseguem acessar histórico, então: (34/50) × 100 = 68%. Meta: 95%+.

Como medir com rigor

A diferença entre ter KPI no papel e ter KPI útil é o rigor da coleta. Sem sistema estruturado, KPI vira achismo com números.

Log de rondas.

Técnico de segurança registra: horário inicial, horário final, áreas inspecionadas, anomalias encontradas, assinatura/identificação. Formato digital é preferível (sistema CMMS, app mobile, planilha semanal) para evitar perda de papel. Se ronda começou às 22h, terminou às 22:45, cobriu prédio inteiro e nada anormal, o registro é completo.

CCTV com logging de eventos.

Sistema de vigilância registra: movimento detectado, acesso negado, zona acionada, hora. Não é suficiente "câmera está gravando" — precisa registrar quando algo suspeito aconteceu. Histórico de 90 dias mínimo.

Alertas de alarme.

Sistema de alarme registra automaticamente cada acionamento (verdadeiro ou falso), horário, zona, ação tomada. De 100 alarmes por mês, talvez 70 sejam falsos, mas é preciso saber qual foi a resposta em cada caso.

Auditorias periódicas.

Inspeção mensal ou trimestral por profissional habilitado (interno ou externo) que verifica: câmeras funcionando, iluminação adequada, acesso controlado, registro de procedimentos, conformidade com AVCB e NR-23. Resultado: lista de não-conformidades com prazo de correção.

Estrutura de SLA de segurança com fornecedor

Se você terceiriza segurança, o contrato precisa de cláusula SLA que traduza KPIs em responsabilidades. Exemplo de cláusula: "Prestador de segurança compromete-se a executar 20 rondas noturnas por mês conforme cronograma. Meta de conformidade: 100%. Se conformidade cair abaixo de 95%, desconto de 2% do valor mensal. Se cair abaixo de 80% em dois meses consecutivos, é causal para rescisão de contrato."

Outro exemplo: "Tempo de resposta a alarme crítico: máximo 5 minutos. Verificação de acessibilidade (câmera, iluminação, tranca): máximo 48 horas. Relatório mensal detalhando incidentes, near-miss e não-conformidades: até o 5º dia útil."

A chave é: SLA que conecta métrica a consequência. Sem isso, "conformidade" é só número num relatório ignorado.

KPI operacional vs conformidade legal

Não confunda KPI (métrica de desempenho contínua) com conformidade (checklist legal). KPI operacional (diário/semanal) responde: Rondas feitas? Tempo de resposta? Câmeras funcionando? Tentativas bloqueadas? Estas métricas variam semana a semana e sinalizam se a operação está saudável. Conformidade legal (anual ou periódica) responde: AVCB válido? Laudos de profissionais atualizados? Documentação conforme NR-23, NR-10? Estas são atendidas ou não — não variam. São gatilhos regulatórios.

Exemplo: AVCB (Auto de Vistoria do Corpo de Bombeiros) é conformidade — ou você tem válido (por até 2 anos), ou não tem, e isso é infração. KPI seria: "número de não-conformidades encontradas em auditoria de AVCB" — esperando que cada ano o número diminua. Ambas são críticas; não substituem uma à outra.

Comunicação de KPI de segurança para a liderança

KPIs de segurança que não são comunicados não têm impacto. Recomendações: Compartilhe "foram bloqueadas 12 tentativas de acesso não-autorizado este mês" com liderança — demonstra valor. Mas não use KPI para criar ansiedade artificial. Contexto importa: "tentativas bloqueadas era esperado neste tipo de operação; sistema está respondendo como projetado".

Relatório mensal estruturado:

Resumo executivo (1 página), KPI com gráfico de tendência (6 meses), não-conformidades encontradas e status de correção, incidentes (se houver), recomendações. Frequência mínima: mensal. Apresentação trimestral para liderança sênior.

Benchmark externo.

"Nossa conformidade de rondas é 98%, vs indústria que está em 92%" demonstra desempenho relativo. Dados de associações (ABRAFAC) são úteis aqui.

Erros comuns

Erro 1: Métrica "0 roubos" como sucesso.

É mínimo, não excelência. Reoriente para KPIs que predizem risco. Erro 2: Auditorias a cada 1-2 anos. Perdem-se sinais. Auditoria trimestral (ou mensal para operação crítica) é padrão. Erro 3: Não distinguir "evento detectado" de "evento real". Câmera com boa cobertura detecta movimento em área restrita (ratos, vento). Não é falha — é sinal de que sistema funciona.

Erro 4: SLA muito laxo.

"Responde em 2 horas" é não-viável para segurança. Padrão: menos de 5 minutos (crítico), menos de 15 minutos (moderado). Erro 5: Avaliação qualitativa. "Vigia é bom, responde rápido." Sem números, decisão é subjetiva. Dados estruturados permitem comparação.