Como este tema funciona na sua empresa
Faz análise de risco simplificada, geralmente conduzida pelo gestor administrativo ou pelo próprio dono. O foco prático é avaliar acesso, perímetro e ocorrências recentes. Consultor externo entra em cenários específicos: nova unidade, sinistro recente ou exigência da seguradora.
Estrutura análise formal com matriz de risco, histórico documentado de ocorrências e reavaliação anual. Há Facilities Manager dedicado, e a documentação alimenta o termo de referência da contratação de vigilância e o seguro patrimonial.
Mantém análise estruturada por site, com auditorias semestrais e integração com gestão de risco corporativa. Indicadores são reportados ao comitê de riscos. A análise vira input do orçamento de segurança, do desenho de contratos e da política de viagens e visitas.
Análise de risco em segurança patrimonial
é o processo estruturado de identificar ativos a proteger, mapear ameaças possíveis, avaliar vulnerabilidades existentes e estimar a probabilidade e o impacto de eventos adversos, com o objetivo de dimensionar de forma proporcional os recursos de segurança — vigilância, CFTV, controle de acesso, alarme, plano de resposta — efetivamente necessários para mitigar os riscos identificados.
Por que a análise de risco vem antes da contratação
Empresas que contratam segurança sem análise de risco prévia costumam errar em duas direções. Algumas gastam mais do que precisam — colocam dois vigilantes onde um seria suficiente, instalam câmeras em áreas de fluxo previsível e ignoram o perímetro sensível. Outras gastam de menos — protegem a recepção e deixam descoberto o pátio onde os ativos de fato circulam. Em ambos os casos, o erro é o mesmo: dimensionar a resposta antes de entender o problema.
A análise de risco oferece a base técnica para responder uma pergunta simples: o que precisa ser protegido, contra o quê, e em qual intensidade. Sem ela, a contratação vira reação ao último incidente, sugestão do fornecedor ou cópia do que o vizinho contratou. Com ela, o investimento em segurança fica proporcional ao risco real e justificável diante da diretoria, da seguradora e de órgãos reguladores.
O conceito é compatível com a ABNT NBR ISO 31000:2018, norma brasileira de gestão de risco. A norma não trata especificamente de segurança patrimonial, mas oferece o vocabulário e o método aplicáveis: contexto, identificação, análise, avaliação, tratamento e monitoramento. Empresas mais maduras adaptam essa estrutura ao domínio patrimonial e a usam como referência.
As cinco etapas de uma análise prática
O processo não exige consultoria complexa para começar. A versão essencial cabe em cinco etapas, e o gestor de Facilities pode conduzir a primeira rodada antes de decidir se precisa de apoio externo.
Mapeamento de ativos
Lista do que precisa ser protegido: ativos físicos (estoque, equipamentos, dinheiro, veículos), ativos de informação (servidores, documentos físicos, projetos), pessoas (funcionários, clientes, visitantes) e ativos intangíveis (reputação, continuidade operacional). Cada ativo recebe um valor estimado e uma classe de criticidade.
Identificação de ameaças
Para cada ativo, quais eventos adversos podem afetá-lo: furto, roubo, invasão, sabotagem, fraude interna, vandalismo, sinistro (incêndio, alagamento), sequestro, intrusão de visitante mal-intencionado. Algumas ameaças são genéricas; outras dependem do contexto (zona urbana de risco elevado, atividade que envolve dinheiro em espécie, presença de público externo).
Avaliação de vulnerabilidades
Onde a empresa está exposta: cerca baixa, portão sem controle, áreas sem CFTV, acesso de funcionários sem identificação, ausência de plano de resposta, sistema de alarme obsoleto, vigilante sem treinamento atualizado. Vulnerabilidades são pontos fracos que aumentam a chance de uma ameaça concretizar-se.
Cálculo de risco
Para cada combinação relevante de ativo + ameaça + vulnerabilidade, atribuir probabilidade (baixa, média, alta) e impacto (baixo, médio, alto). A matriz resultante classifica o risco em baixo, médio ou alto. Riscos altos exigem ação imediata; médios entram em plano com prazo; baixos ficam monitorados.
Definição de tratamento
Para cada risco priorizado, a empresa decide: mitigar (instalar controle), transferir (seguro), aceitar (custo inferior à mitigação) ou eliminar (descontinuar a atividade que gera o risco). É nessa etapa que se desenha o plano de segurança e se dimensiona vigilância, CFTV, alarme e demais controles.
Concentre o esforço em recepção, acesso de fornecedores e horário noturno. Em pequenas empresas, mais de 70% das ocorrências relevantes envolvem entrada não controlada e ausência de supervisão fora do expediente. Documente em planilha simples, com revisão anual.
Combine inspeção de campo com revisão de registros: boletins de ocorrência, livros de visitantes, logs de CFTV e relatos de funcionários. A matriz cruzada (ativo × ameaça × probabilidade × impacto) torna a discussão objetiva e reduz decisões baseadas em percepção isolada.
Padronize a metodologia entre sites, mas permita ajuste local. Use indicadores comparáveis (eventos por mil m², perdas por unidade) para identificar sites que demandam revisão. Reavaliação semestral é o mínimo viável; trimestral em sites com risco alto.
A matriz de risco: organizar o que parece subjetivo
A matriz de risco é a ferramenta que transforma percepção em decisão. Em sua forma simplificada, é uma tabela com probabilidade no eixo vertical e impacto no eixo horizontal, ambos divididos em três níveis.
Probabilidade alta significa eventos que ocorrem ou tendem a ocorrer no horizonte de doze meses. Média, eventos que ocorrem com regularidade no horizonte de três anos. Baixa, eventos raros ou sem precedente conhecido na operação. O dado de base para essa avaliação vem do histórico interno (boletins, ocorrências registradas, sinistros declarados ao seguro) e do contexto regional.
Impacto alto inclui perdas financeiras significativas frente ao porte da empresa, paralisação operacional relevante, dano à integridade física de pessoas, ou exposição reputacional grave. Médio envolve perda recuperável, paralisação parcial e questionamento contornável. Baixo inclui perdas absorvíveis, sem efeito sobre operação ou imagem.
O cruzamento gera nove células. Riscos com probabilidade alta e impacto alto exigem mitigação prioritária. Probabilidade alta e impacto baixo merecem mitigação por volume — muitos eventos pequenos somam custo. Probabilidade baixa e impacto alto pedem transferência de risco (seguro) e plano de contingência. Probabilidade baixa e impacto baixo costumam ser aceitos, com monitoramento.
Localização e contexto: o risco que vem de fora
Nem todo risco está dentro da empresa. A localização determina parte significativa da probabilidade dos eventos. Uma operação no centro de uma capital com índice elevado de roubo a comércio tem perfil diferente de uma indústria em distrito industrial cercado, que tem perfil diferente de um galpão isolado em zona rural.
Fontes públicas ajudam a contextualizar. O Atlas da Violência, publicado pelo IPEA, e os boletins do FBSP — Fórum Brasileiro de Segurança Pública — apresentam estatísticas de criminalidade por estado e por tipo de delito. Em algumas capitais, a Secretaria de Segurança Pública divulga dados por bairro. A análise não substitui o histórico interno, mas calibra expectativas: dizer que "a região é tranquila" sem olhar dados é decisão por intuição.
Outros elementos de contexto que importam: presença de público externo (varejo, eventos), atividade que envolve dinheiro em espécie ou produtos atrativos para revenda, horário de operação fora do expediente comercial, e sazonalidade (períodos de maior fluxo, como datas comemorativas no varejo).
Dimensionamento da resposta
Concluída a análise, o passo seguinte é traduzir riscos em controles de segurança. Cada risco priorizado deve receber um conjunto de medidas proporcional, e o orçamento total é a soma dos controles necessários, não um valor de mercado adotado por similaridade.
Vigilância presencial é justificada quando há fluxo humano que exige triagem (visitantes, fornecedores), quando a inibição visual da presença de um vigilante é parte da estratégia, quando a resposta precisa ser imediata e local, ou quando há exigência regulatória — caso de algumas atividades reguladas pela Lei 7.102/1983 e pelo Decreto 89.056/1983, que tratam de vigilância patrimonial e segurança em estabelecimentos financeiros.
CFTV é justificado quando há áreas que precisam ser auditadas a posteriori, quando a cobertura humana é inviável (perímetros extensos, áreas remotas) e quando integração com analítica de vídeo permite alarme inteligente. A NBR ISO/IEC 27001 e a LGPD impõem cuidados sobre tratamento das imagens.
Alarme é justificado para ativar resposta fora do horário de operação, ou em áreas que ficam desocupadas em parte do dia. A combinação alarme + monitoramento contínuo + vigilância de plantão é o tripé clássico para áreas de risco médio a alto.
NOC remoto — supervisão centralizada de imagens e sinais — entra como camada adicional em empresas com múltiplos sites, e como alternativa parcial à vigilância local em sites de baixa ocupação.
Seguro patrimonial é instrumento de transferência de risco, não de mitigação. Cobre o impacto financeiro, mas não impede o evento. Em geral, a seguradora exige análise de risco documentada para definir prêmio e franquia.
Quantos vigilantes minha empresa precisa?
É a pergunta mais comum, e a resposta é: depende do que a análise mostrar. Há, no entanto, parâmetros de referência úteis. Para vigilância presencial 24 horas em ponto fixo, é necessária uma escala de pelo menos quatro vigilantes para cumprir jornada legal sem quebra (12x36 dois turnos). Para 12 horas diurnas, dois vigilantes em escala 12x36 cobrem o ano.
O número de pontos cobertos depende do desenho da operação: portaria principal, portaria de fornecedores, ronda interna, monitoramento de CFTV, posto fixo em área crítica. Cada ponto adicional multiplica a equipe. A Convenção Coletiva da categoria — geralmente celebrada com participação da FENAVIST — define salário-base, adicionais e regras de jornada que impactam diretamente o custo.
A regra prática: a análise define quantos pontos precisam ser cobertos em quais horários; a CCT define quantos vigilantes cobrem cada ponto sem violar jornada; a soma é o efetivo total. Aumentar pontos sem revisar a análise costuma ser excesso; reduzir pontos sem revisar a análise costuma ser exposição.
Documentação: o laudo que serve para mais que arquivar
A análise de risco precisa ser documentada para ter utilidade prática. O documento mínimo contém: descrição do contexto, lista de ativos com valor estimado, ameaças identificadas, vulnerabilidades observadas, matriz de risco com classificação, plano de tratamento com prazos e responsáveis, e data prevista de reavaliação.
Esse documento serve a três finalidades além da gestão interna. Primeiro, fundamenta a contratação de seguro: seguradoras costumam reduzir prêmios diante de análise documentada e plano de mitigação ativo. Segundo, suporta a contratação de vigilância: vira anexo do termo de referência e permite que o fornecedor dimensione proposta tecnicamente, em vez de chutar. Terceiro, oferece defesa em caso de evento adverso: demonstra que a empresa identificou o risco e adotou medidas razoáveis, fato relevante em discussões trabalhistas, civis e criminais.
Reavaliação: quando atualizar
A análise não é exercício de uma vez só. Ela perde validade quando o contexto muda, e o gestor deve definir gatilhos claros para reavaliação.
Gatilhos típicos: incidente significativo (sinistro, tentativa de invasão, ato de violência), expansão da operação (nova unidade, novo turno, novo tipo de cliente), mudança regulatória (nova exigência da Polícia Federal, nova convenção coletiva), mudança no perfil de risco regional (alta de criminalidade documentada na área), revisão contratual de seguro ou de vigilância. Sem gatilhos, vale a regra geral: reavaliação anual em empresas pequenas e médias, semestral em empresas grandes ou em sites de risco alto.
Sinais de que sua empresa precisa de uma análise estruturada
Se você se reconhece em três ou mais cenários abaixo, é provável que a contratação de segurança esteja sendo feita sem base técnica.
- O número de vigilantes contratados foi definido por sugestão do fornecedor, não por análise interna.
- O contrato de seguro patrimonial nunca foi acompanhado de laudo de risco documentado.
- Houve incidente recente (furto, tentativa de invasão) e a empresa não conseguiu explicar à diretoria como o evento aconteceu.
- Não há registro consolidado de ocorrências dos últimos vinte e quatro meses.
- Áreas sensíveis (sala-cofre, almoxarifado, servidor) e áreas comuns têm o mesmo nível de proteção.
- O orçamento de segurança é decidido por comparação com o ano anterior, sem revisão de risco.
- A empresa expandiu operação (novo turno, nova unidade) sem revisar o desenho de segurança.
- A seguradora questionou prêmio ou franquia e a empresa não tinha argumento técnico para responder.
Caminhos para conduzir a análise
Empresas com baixa complexidade conseguem rodar a primeira versão internamente. Operações com múltiplos sites, atividade regulada ou histórico de incidentes ganham com apoio externo.
Facilities conduz mapeamento de ativos, identifica ameaças e vulnerabilidades, e monta a matriz de risco com apoio da equipe de operações.
- Perfil necessário: Gestor de Facilities ou de segurança patrimonial com noção de gestão de risco
- Quando faz sentido: Empresa de pequeno ou médio porte, site único, operação estável
- Investimento: 4 a 8 semanas de trabalho interno, sem custo direto adicional
Consultor de segurança patrimonial executa diagnóstico independente, conduz inspeção de campo e entrega laudo formal com plano de tratamento.
- Perfil de fornecedor: Consultor de segurança patrimonial, broker de seguros com expertise em risco, empresa de auditoria especializada
- Quando faz sentido: Múltiplos sites, atividade regulada, histórico de incidentes, contrato de seguro de valor relevante
- Investimento típico: Diagnóstico entre R$ 5.000 e R$ 25.000 por site, conforme complexidade
Quer começar a análise de risco da sua operação?
O oHub conecta sua demanda a consultorias de segurança patrimonial, brokers de seguros e empresas especializadas em diagnóstico de risco. Descreva o contexto e receba propostas de quem pode conduzir a análise.
Encontrar fornecedores de Facilities no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
Qual é o primeiro passo para contratar segurança?
Antes de cotar fornecedores, conduza uma análise de risco mínima: lista de ativos, ameaças possíveis, vulnerabilidades observadas e matriz simples de probabilidade e impacto. Esse documento define o que precisa ser protegido e em qual intensidade, e vira anexo do termo de referência enviado às empresas de segurança.
Como fazer uma análise de risco de segurança?
Em cinco etapas: mapeie ativos com valor estimado, identifique ameaças relevantes, levante vulnerabilidades por inspeção de campo, monte matriz de probabilidade e impacto, e defina tratamento para cada risco prioritário. A ABNT NBR ISO 31000:2018 oferece o vocabulário e o método aplicáveis.
Quantos vigilantes minha empresa precisa?
Depende dos pontos cobertos e dos horários. Para vigilância presencial 24 horas em um ponto fixo, são necessários ao menos quatro vigilantes em escala 12x36 (dois turnos). A análise de risco define quantos pontos precisam de cobertura; a Convenção Coletiva define quantos vigilantes cobrem cada ponto sem violar jornada.
Qual é a diferença entre risco baixo, médio e alto?
Risco baixo é combinação de baixa probabilidade com baixo impacto — é monitorado, mas raramente exige ação imediata. Risco médio costuma envolver probabilidade ou impacto médio e entra em plano com prazo definido. Risco alto combina probabilidade e impacto altos, exige mitigação prioritária e, em geral, é o que justifica vigilância presencial e investimento em controles ativos.
Como uso a análise de risco no contrato com a seguradora?
Como documento técnico que sustenta a contratação. Seguradoras costumam considerar análise documentada e plano de mitigação ativo no cálculo do prêmio e da franquia. Sem laudo, a seguradora avalia pelo perfil médio da atividade — geralmente em desfavor do contratante. Com laudo e mitigações implementadas, há margem para negociação.
Quanto custa uma consultoria de análise de risco?
Diagnósticos de empresa de pequeno porte ficam entre R$ 5.000 e R$ 12.000. Operações de médio porte com mais de um site ou atividade regulada situam-se entre R$ 12.000 e R$ 25.000. Em grandes operações ou em casos com exigência de certificação, os valores podem ultrapassar essa faixa, conforme escopo e profundidade do trabalho.
Fontes e referências
- ABNT NBR ISO 31000:2018 — Gestão de riscos: diretrizes.
- Brasil. Lei 7.102/1983 — Disposições sobre segurança para estabelecimentos financeiros e regulamentação dos serviços de vigilância privada. Decreto 89.056/1983 — Regulamento.
- IPEA — Atlas da Violência. Estatísticas de criminalidade por estado.
- FBSP — Fórum Brasileiro de Segurança Pública. Anuário Brasileiro de Segurança Pública.
- ABESE — Associação Brasileira das Empresas de Sistemas Eletrônicos de Segurança. Boas práticas e referências.