CHU de São João - Plano Execução Plano Prevenção Riscos...
Transcript of CHU de São João - Plano Execução Plano Prevenção Riscos...
Plano de Prevenção de Riscos de Gestão,
incluindo os de Corrupção e Infrações Conexas
2018r e v i s ã o
C E N T R O H O S P I T A L A R U N I V E R S I T Á R I O D E S Ã O J O Ã O · P O R T O
SAÚDE
REPÚBLICA PORTUGUESA
2 Centro Hospitalar Universitário de São JoãoPlano de Prevenção de Riscos de Gestão, incluindo os de Corrupção e Infrações Conexas · 2018
ÍNDICE
Índice de Abreviaturas 3
1. Enquadramento do Plano 4
2. Caracterização da Instituição, Organograma
e Identificação dos Responsáveis 5
3. Identificação das áreas e atividades, dos riscos
de corrupção e infrações conexas, da qualificação
da frequência dos riscos, das medidas
e dos responsáveis 8
3.1. Conselho de Administração /
Pessoal Dirigente 9
3.2. Serviço de Aprovisionamento 13
3.3. Serviço de Gestão de Recursos
Humanos 15
3.4. Serviços Financeiros 17
3.5. Cobrança de taxas moderadoras/
Atribuição Isenções 19
3.6. Serviços Hoteleiros 20
3.7. Serviços Farmacêuticos 23
3.8. Serviço de Controlo de Gestão 24
3.9. Serviço de Instalações e Equipamentos 25
3.10. Serviço de Sistemas e Tecnologias
de Informação e Comunicação 26
4. Controlo e Monitorização do Plano 41
5. Gestão de Conflitos de Interesses 42
3Centro Hospitalar Universitário de São JoãoPlano de Prevenção de Riscos de Gestão, incluindo os de Corrupção e Infrações Conexas · 2018
ÍNDICE DE ABREVIATURAS
CAM Centro de Ambulatório
CHUSJ Centro Hospitalar Universitário de São João
PPRGCIC Plano de Prevenção de Riscos de Gestão,
incluindo os de Corrupção
e Infrações Conexas
SA Serviço de Aprovisionamento
SF Serviços Financeiros
SSI Serviço de Gestão de Informação
SGRH Serviço de Gestão de Recursos Humanos
SIE Serviço de Instalações e Equipamentos
4 Centro Hospitalar Universitário de São JoãoPlano de Prevenção de Riscos de Gestão, incluindo os de Corrupção e Infrações Conexas · 2018
O Conselho de Prevenção da Corrupção (CPC), criado pela Lei n.º
54/2008, de 4 de Setembro, é uma entidade administrativa inde-
pendente, que funciona junto do Tribunal de Contas e desenvolve
uma atividade de âmbito nacional no domínio da prevenção da
corrupção e infrações conexas.
No âmbito da sua atividade, o CPC aprovou as Recomendações
nº1/2009 de 1 de Julho e nº 1/2010 de 7 de Abril relativa a “Pla-
nos de gestão de riscos de corrupção e infrações conexas”, que
incidem sobre a necessidade de “os dirigentes máximos de en-tidades gestoras de dinheiros, valores e patrimónios públicos, suas destinatárias, adotarem e divulgarem planos de gestão de riscos e infrações conexas”, assim como sobre a pertinência
de procederem à sua publicitação nomeadamente no respetivo
sítio da Internet.
Por outro lado, o Decreto-Lei n.º 18/2017, de 10 de fevereiro, que
aprova os Estatutos dos Hospitais EPE, no seu Artigo 19º do Ane-
xo II estabelece que o plano de gestão de riscos de corrupção e
infrações conexas e os respetivos relatórios anuais de execução
são aprovados e submetidos pelo conselho de administração ao
Conselho de Prevenção da Corrupção e aos membros do Gover-
no responsáveis pelas áreas das finanças e da saúde.
Tais planos devem conter, nomeadamente, os seguintes elementos:
a) Identificação, relativamente a cada área ou departamento,
dos riscos de corrupção e infrações conexas;
b) Com base na identificação dos riscos, identificação das me-
didas adotadas que previnam a sua ocorrência (por exemplo,
mecanismos de controlo interno, segregação de funções, defi-
nição prévia de critérios gerais e abstratos, designadamente na
concessão de benefícios públicos e no recurso a especialistas
externos, nomeação de júris diferenciados para cada concurso,
programação de ações de formação adequada, etc.);
c) Definição e identificação dos vários responsáveis envolvidos
na gestão do plano, sob a direção do órgão dirigente máximo do
organismo;
d) Elaboração anual de um relatório sobre a execução do plano.
Tendo em atenção as considerações antecedentes, consciente
de que a corrupção e as infrações conexas são um sério obstácu-
lo ao normal funcionamento das instituições, prejudicando a se-
riedade das relações entre as Instituições e os cidadãos, e, obs-
tando ao desejável desenvolvimento das economias e ao normal
funcionamento dos mercados, o Centro Hospitalar Universitário
de São João, E.P.E. apresenta o seu PLANO DE PREVENÇÃO DE
RISCOS DE GESTÃO, INCLUINDO OS DE CORRUPÇÃO E IN-
FRAÇÕES CONEXAS, de acordo com a seguinte estrutura:
a) Caracterização da Entidade e o respetivo Organograma;
b) Identificação das áreas e atividades, dos riscos de corrupção
e infrações conexas, da qualificação da frequência dos riscos,
das medidas e dos responsáveis;
c) Controlo e monitorização do Plano.
Neste âmbito, e considerando a aprovação do Plano de Gestão
de Riscos de Corrupção e Infrações Conexas, na sua versão de
2015, propõe-se agora a sua revisão, para que o Plano seja alarga-
do a novas Áreas/Serviços.
Tendo em conta as indicações fornecidas em normas internacio-
nalmente aceites sobre gestão do risco, nomeadamente o “En-terprise Risk Management – anintegrated Framework” (2004),
do COSO, opta-se, deste modo, por estabelecer um plano mais
amplo, em contraponto com o “mínimo” recomendado pelo Con-
selho de Prevenção da Corrupção, abrangendo os riscos de ges-
tão mais relevantes, onde naturalmente se incluem, com papel
relevante, os de corrupção e infrações conexas.
1. ENQUADRAMENTO DO PLANO
5Centro Hospitalar Universitário de São JoãoPlano de Prevenção de Riscos de Gestão, incluindo os de Corrupção e Infrações Conexas · 2018
2. CARATERIZAÇÃO DA INSTITUIÇÃO, ORGANOGRAMA E IDENTIFICAÇÃO DOS RESPONSÁVEISESTRUTURA
O Centro Hospitalar Universitário de São João, abreviadamente
designado por CHUSJ, é uma pessoa coletiva de direito público
com a natureza de entidade empresarial dotada de autonomia
administrativa, financeira e patrimonial, nos termos do regime
jurídico do sector público empresarial tendo sido criado pelo
Decreto-Lei n.º 30/2011, de 2 de março. O CHUSJ está inscrito
na Conservatória do Registo Comercial do Porto com o número
individual de pessoa coletiva 509821197 e tem a sua sede na Ala-
meda Professor Hernâni Monteiro, código postal 4200-319, na
cidade do Porto.
O CHUSJ é constituído por duas unidades hospitalares:
• O Polo do Porto (Hospital de São João);
• O Polo de Valongo (Hospital Nossa Senhora da Conceição
de Valongo).
Em conformidade com o estipulado nos Estatutos, são órgãos
do CHUSJ:
a) O Conselho de Administração;
b) O Conselho Fiscal;
c) O Conselho Consultivo.
Em Fevereiro de 2018, foi homologado pela Senhora Secretária
de Estado o novo Regulamento Interno do novo Centro Hospi-
talar, cuja revisão obedeceu aos seguintes pressupostos funda-
mentais:
• A consolidação e o reforço do modelo de gestão intermédia
desconcentrada como estratégia para maximizar a partilha
de recursos e a criação de sinergias para atingir os mais ele-
vados níveis de eficiência;
• O reforço do processo de contratualização interna como
instrumento para garantir a melhor aplicação dos recursos
financeiros disponíveis tendo em vista o equilíbrio económi-
co e a sustentabilidade do Centro Hospitalar Universitário
de São João.
MISSÃO E VISÃO
O CHUSJ tem como missão prestar os melhores cuidados de
saúde, com elevados níveis de competência, qualidade e rigor,
fomentando a formação pré e pós-graduada e a investigação,
respeitando sempre o princípio da humanização e promovendo o
orgulho e sentido de pertença de todos os profissionais.
A visão do CHUSJ é ser um exemplo na prestação de cuidados
de saúde a nível nacional e internacional, com uma perspetiva de
crescimento sustentável, comprometimento, sentido de mudan-
ça e diferenciação, ambicionando a criação de valor para todos
os seus públicos, reforçando o estatuto de referência no setor da
saúde.
RECURSOS HUMANOS
No final de dezembro do ano de 2017, o CHUSJ contava com 5.672
profissionais com vínculo à instituição, que se distribuíam pelos
seguintes grupos profissionais.
Na categoria – Outros – estão incluídos os seguintes grupos pro-
fissionais: Pessoal de Informática; Pessoal Dirigente; Pessoal
Docente; Pessoal Técnico Superior de Saúde; Técnico Superior;
entre outros.
No que diz respeito ao vínculo à instituição associado aos profis-
sionais do CHUSJ, os profissionais com CIT – Contrato Individual
de Trabalho ultrapassaram os 48%, sendo desta forma o vínculo
predominante, seguido, do CTFP – Contrato de Trabalho em Fun-
ções Públicas, representando, 42,05%.
Pessoal de Enfermagem 38%Pessoal Médico 16%TDT’s 6%Assistente Operacional 20%Assistente Técnico 7%Pessoal em Formação Pré Carreira 9%Outros 4%
Distribuição dos profissionais por grupo
Fonte: RHV-SAG
6 Centro Hospitalar Universitário de São JoãoPlano de Prevenção de Riscos de Gestão, incluindo os de Corrupção e Infrações Conexas · 2018
As tipologias de contratos incluídas na categoria “Outros” são as
seguintes: Cedência de Interesse Público; Cedência Ocasional;
Comissão de Serviço Privada; Contrato Trab. Funções Públicas a
Termo Resolutivo; Mobilidade Interna - Artº 22-A do SNS.
Os profissionais do CHUSJ são maioritariamente do género fe-
minino (73%) e a faixa etária com maior peso no total é a que se
situa entre os 30 e 40 anos (35%), conforme se pode constatar
no gráfico seguinte.
Quanto às habilitações académicas da população profissional do
CHUSJ, podemos verificar no gráfico seguinte que, mais de me-
tade são licenciados (51%).
Distribuição dos profissionais por vínculo
48,11% 42,05% 9,84%
CIT - ContratoIndividual
de Trabalho
CTFP - Contrato de Trabalho em
Funções Públicas
Outros
Fonte: RHV-SAG
Profissionais por faixa etária e género
800
20 -24
30 - 34
40 - 44
50 - 54
60 - 64
70 - 74
N.º de Profissionais
Inte
rval
o et
ário
800600 600400 400200
Masculinos Femininos
2000
Fonte: RHV-SAG
Habilitações Académicas
Licenciatura
Mestrado
Doutoramento
Bacharelato
10 a 12 Anos Escolaridade
4 a 9 Anos Escolaridade
< 4 Anos Escolaridade
51,3%
11,7%
0,4%
10,4%
11,7%
14,3%
0,2%
Fonte: RHV-SAG
7Centro Hospitalar Universitário de São JoãoPlano de Prevenção de Riscos de Gestão, incluindo os de Corrupção e Infrações Conexas · 2018
ORGANOGRAMA E IDENTIFICAÇÃO DOS RESPONSÁVEIS
8 Centro Hospitalar Universitário de São JoãoPlano de Prevenção de Riscos de Gestão, incluindo os de Corrupção e Infrações Conexas · 2018
O presente Plano toma como referência para a definição do ris-
co, o guião do Conselho de Prevenção e Corrupção (CPC) o qual
estabelece que os riscos devem ser classificados segundo uma
escala de risco (elevado, moderado e baixo) em função de duas
variáveis:
• Probabilidade de ocorrência das situações que comportam
o risco;
• Gravidade das consequências das infrações que pode susci-
tar (impacto previsível).
Neste sentido, estabelecem-se as seguintes classificações:
A - Probabilidade de Ocorrência:
• Elevada: o risco decorre de um processo corrente e frequen-
te da organização.
• Moderada: o risco está associado a um processo esporádico
da organização que se admite que venha a ocorrer ao longo
do ano.
• Baixa: o risco decorre de um processo que apenas ocorrerá
em circunstâncias excecionais.
B - Impacto Previsível:
• Elevado: quando da situação de risco identificada podem
decorrer prejuízos financeiros significativos para o Estado
e a violação grave dos princípios associados ao interesse
público, lesando a credibilidade do organismo e do próprio
Estado.
• Moderado: a situação de risco pode comportar prejuízos fi-
nanceiros para o Estado e perturbar o normal funcionamen-
to do organismo.
• Baixo: a situação de risco em causa não tem potencial para
provocar prejuízos financeiros ao Estado, não sendo as in-
frações suscetíveis de praticas causadoras de danos rele-
vantes na imagem e operacionalidade da instituição.
Da conjugação das duas variáveis é possível estabelecer uma
matriz com três níveis de risco:
Assim, neste terceiro capítulo efetuamos uma análise das várias
áreas consideradas como as mais suscetíveis de gerarem riscos,
procurando a sua identificação, bem como de eventos suscetí-
veis de corrupção e/ou infrações conexas, avaliando, simulta-
neamente, o grau de risco e concluindo com a transcrição das
medidas preventivas que proporcionem o seu controlo efetivo,
tendo simultaneamente em consideração as recomendações
do Conselho de Prevenção da Corrupção que preveem o alarga-
mento do Plano aos cargos de direção de topo, (Recomendação
de 3/2015 do CPC) e do enfoque na área da Contratação Publica
(Recomendação de 1/2015 do CPC).
• Conselho de Administração /Pessoal Dirigente
• Serviço de Aprovisionamento.
• Serviço de Gestão de Recursos Humanos.
• Serviços Financeiros.
• Cobrança de taxas moderadoras/Atribuição Isenções.
• Serviços Hoteleiros
• Serviços Farmacêuticos
• Serviço de Controlo de Gestão
• Serviço de Instalações e Equipamentos
• Serviço de Sistemas e Tecnologias de Informação e Comu-
nicação
3. IDENTIFICAÇÃO DAS ÁREAS E ATIVIDADES, DOS RISCOS DE CORRUPÇÃO E INFRAÇÕES CONEXAS, DA QUALIFICAÇÃO DA FREQUÊNCIA DOS RISCOS, DAS MEDIDAS E DOS RESPONSÁVEIS
MATRIZ DE RISCO
PROBABILIDADE DE OCORRÊNCIA
Elevada Moderada Baixa
IMPACTOPREVISÍVEL
Elevado Elevado Elevado Moderado
Moderado Elevado Moderado Baixa
Baixa Moderado Baixa Baixa
9Centro Hospitalar Universitário de São JoãoPlano de Prevenção de Riscos de Gestão, incluindo os de Corrupção e Infrações Conexas · 2018
• MISSÃO
Nos dias de hoje exige-se cada vez mais que os Dirigentes de
Topo procurem a realização dos interesses públicos, tomando
as decisões mais adequadas e eficientes para a realização har-
moniosa dos interesses envolvidos, mas que o façam de forma
clara e transparente, permitindo que tais decisões possam ser
sindicáveis pelos cidadãos.
A transparência na gestão pública é umas das principais diretri-
zes para a construção de um ambiente de integridade. Trata-se
de um importante mecanismo de prevenção da corrupção e de
fortalecimento da cidadania.
Assim, todos os dirigentes e chefias, independentemente do res-
petivo grau, de modo consciente e constante, devem:
• Adotar uma conduta incensurável e uma postura irrepreen-
sível;
• Agir com isenção, zelo e em conformidade com a Lei;
• Atuar no respeito das regras deontológicas, pautando-se
pela observância de valores da boa administração e hones-
tidade no desempenho das suas funções;
• Agir de modo a reforçar a confiança dos cidadãos no que diz
respeito à integridade, transparência, ética, imparcialidade
e eficácia do poder público.
• Assumir o compromisso da divulgação da Política de Pre-
venção da Corrupção e implementação do respetivo Plano.
3.1 CONSELHO DE ADMINISTRAÇÃO / PESSOAL DIRIGENTE
10 Centro Hospitalar Universitário de São JoãoPlano de Prevenção de Riscos de Gestão, incluindo os de Corrupção e Infrações Conexas · 2018
Riscos IdentificadosProbabilidade
OcorrênciaImpacto Grau de Risco Medidas Preventivas
Abuso de autoridade delegada. Baixo Moderado Baixo
a) Publicação das delegações de competências/pelouros atribuídos no Relatório de Governo Societário; b) Existência de politica de sanções em caso de violação dos normativos legais, nomeadamente no Estatuto do Gestor Público
Utilização de recursos públicos no exercício da atividade privada.
Baixo Moderado Baixoa) Obrigatoriedade de apresentação de um pedido de autorização de acumulação de funções nos termos definidos no artigo 29º da Lei nº 12 A/2008, de 27 de Fevereiro assim como no Estatuto do Gestor Público b) Existência de politica de sanções em caso de violação dos normativos legais. c) Registo de Assiduidade biométrico transversal a todos os grupos profissionais
Exercício de atividades não autorizadas. Baixo Moderado Baixo
Exercício da atividade privada durante o horário de trabalho.
Baixo Moderado Baixo
Comprometimento da isenção e a imparcialidade exigidas no exercício de funções públicas.
Baixo Moderado Baixoa) Existência de Declaração escrita dos membros do CA em como não existem quaisquer relações susceptíveis de gerar conflitos de interesses com fornecedores, clientes, instituições financeiras ou quaisquer outros parceiros de negócios, nos termos do artigo 52.º do Decreto-Lei n.º 133/2013. b) Existência de Declaração escrita dos membros do CA em como não intervêm nas decisões que envolvam os seus próprios interesses, designadamente na aprovação de despesas por si realizadas, conforme determinado no artigo 51.º do Decreto-Lei n.º 133/2013 ou em outra legislação aplicável.
Não declaração de conflitos de interesse. Baixo Moderado Baixo
Tratamento privilegiado de familiar, amigo, concorrente, fornecedor ou alguém interessado na decisão.
Baixo Moderado Baixo
Avaliações de desempenho irregulares favorecendo ou prejudicando trabalhadores.
Baixo Moderado Baixo
a) Existência de uma estrutura hierarquizada;b) Definição legal das responsabilidades de dirigentes e chefias. c) No âmbito do SIADAP, existência de um Conselho Coordenador da Avaliação onde são validadas aos avaliações, assim como de uma Comissão Paritária onde se encontram representados os vários grupos profissionais.
Assédio moral ou discriminação contra os trabalhadores, por razões pessoais, sexuais, religiosas, ideológicas ou outras.
Baixo Moderado BaixoExistência de um Regulamento Interno de Comunicação de Irregularidades
• RISCOS IDENTIFICADOS E AVALIAÇÃO DO RISCO
E ATIVIDADES DE CONTROLO
11Centro Hospitalar Universitário de São JoãoPlano de Prevenção de Riscos de Gestão, incluindo os de Corrupção e Infrações Conexas · 2018
Riscos IdentificadosProbabilidade
OcorrênciaImpacto Grau de Risco Medidas Preventivas
Tomada de medidas lesivas contra os trabalhadores que reportem actos de corrupção, de má conduta ou violação dos deveres profissionais.
Baixo Moderado Baixo
a) Existência de sanções em caso de violação do dever de obediência e lealdade;b) Controlo do trabalho de subordinados por dirigentes com bons conhecimentos técnicos;c) Formação de dirigentes e chefias em gestão de pessoal e liderança; d) Existência de mecanismos legais para os trabalhadores reportarem o eventual envolvimento de superiores hierárquios em condutas irregulares.
Dissimulação ou não deteção de conduta corrupta de trabalhadores.
Baixo Moderado Baixo
a) Realização de ações de formação de dirigentes, chefias e trabalhadores sobre riscos de corrupção e as formas como os gerir;b) Existência de um Regulamento Interno de Comunicação de Irregularidades
Tratamento privilegiado de pessoas ou processos. Baixo Moderado Baixo a) Existência de regimes legais de incompatibilidades; b) Existência de Declaração escrita dos membros do CA em como não existem quaisquer relações susceptíveis de gerar conflitos de interesses com fornecedores, clientes, instituições financeiras ou quaisquer outros parceiros de negócios, nos termos do artigo 52.º do Decreto-Lei n.º 133/2013.c) Existência de politica de sanções em caso de violação dos normativos legais; d) Existência de uma estrutura hierarquizada com vários niveis de decisão; e) Promoção do registo informático dos conflitos de interesses declarados pelos dirigentes, chefias e trabalhadores; f) Rotatividade do pessoal;g)Promoção da tomada de decisões colegiais.
Favorecimento de concorrente a procedimento, no qual o dirigente, chefia ou trabalhador, seu familiar ou amigo tenha algum interesse na adjudicação.
Baixo Moderado Baixo
Favorecimento de um fornecedor, no qual o dirigente, chefia ou trabalhador, seu familiar ou amigo tenha algum interesse execução do contrato.
Baixo Moderado Baixo
Favorecimento de um particular, no qual o dirigente, chefia ou trabalhador, ou seu familiar ou amigo tenha algum interesse particular na tramitação do processo ou na tomada da decisão.
Baixo Moderado Baixo
Prejuízo de uma pessoa na tramitação de processos, na tomada de decisão ou na execução do contrato.
Baixo Moderado Baixo
Influência junto do dirigente, chefia ou do trabalhador para concederem um tratamento de favor ou ignorarem as disposições regulamentares.
Baixo Moderado Baixoa) Existência de mescanismos legais para prevenção em caso de incumprimento; b) Proibição dos dirigentes, chefias e trabalhadores do CHUSJ, EPE pedir ou aceitar dádivas e outros benefícios, excepcionando a aceitação de ofertas ou hospitalidade de reduzido valor, de acordo com a lei vigente c) Definição de procedimentos a serem observados no caso de recebimento de presente;d) Rotatividade do pessoal; e) Promoção da tomada de decisões colegiais;
Suspeita de decisões, tomadas de forma imparcial, terem sido influenciadas pelo recebimento de presentes ou previlégios.
Baixo Moderado Baixo
12 Centro Hospitalar Universitário de São JoãoPlano de Prevenção de Riscos de Gestão, incluindo os de Corrupção e Infrações Conexas · 2018
Riscos IdentificadosProbabilidade
OcorrênciaImpacto Grau de Risco Medidas Preventivas
Divulgação, fruto de relações interpessoais privilegiadas, de informações a ex-trabalhadores.
Baixo Moderado Baixoa) Sujeição de todos os dirigentes, chefias e trabalhadores do CHUSJ, EPE ao dever legal de sigilo;b) Existência de uma política de sanções em caso de violação dos regulamentos legais;c) Acesso à informação constante das bases de dados informáticas dependente de um processo de autenticação;d) Existência de um Responsável de Acesso à informação;e) Avaliação e implementação de níveis de segurança e controlo de acesso aos arquivos/registos.
Fornecimento de informação não autorizado a terceiros com o objectivo de obtenção de vantagens pessoais.
Baixo Moderado Baixo
Divulgação aos meios de comunicação social de informação susceptível de criar perturbação interna ou externa.
Baixo Moderado Baixo
Utilização de dados dos sistemas de informação para fins privados.
Baixo Moderado Baixo
Violação dos princípios da igualdade e da proporcionalidade.
Baixo Moderado Baixo
a) Criação de níveis de serviço que garantam que situações iguais têm tratamentos iguais;b) Rotatividade de pessoal;c) Promoção da tomada de decisões colegiais.
13Centro Hospitalar Universitário de São JoãoPlano de Prevenção de Riscos de Gestão, incluindo os de Corrupção e Infrações Conexas · 2018
Riscos IdentificadosProbabilidade
OcorrênciaImpacto Grau de Risco Medidas Preventivas
Aquisição de bens e serviços cujo procedimento concursal não respeite o CCP, nomeadamente, a violação das regras gerais de autorização de despesa, violação dos princípios gerais de contratação, participação económica em negócio, repetição de procedimentos de aquisição do mesmo bem/serviço ao longo do ano, fraccionamento da despesa).
Moderado Moderado Moderado
a)Em matéria de aquisições o CHUSJ aplica exclusivamente o Código dos Contratos Públicos.b) Em conjunto com o Serviço de Certificação, desenvolvimento de um Manual e implementação de modelo de gestão por processos (processo de certificação do Serviço de Aprovisionamento conforme a NP EN ISO 9001/2008)c) Aumento da competitividade, aumentando o leque de fornecedores consultados.d) O júri é designado procedimento a procedimento e tem composição distinta consoante o objeto do procedimento, atenta a constituição das equipas do SAP (setor).
Aquisição de bens e serviços por ajuste direto (incluindo aquisições diversas ao mesmo fornecedor, e/ou para favorecimento de fornecedores e violação dos princípios gerais de contratação).
Moderado Moderado Moderado
Empreitadas públicas. Moderado Moderado Moderado
Entrega, pelos fornecedores, de quantidades de material inferiores às contratadas.
Baixo Moderado Baixo
Todo o material é verificado pelos funcionários e a conferência não é realizada sempre pelo mesmo funcionário.
Fornecimento por familiares ou pessoas com relações de forte amizade ou inimizade.
Não definido
a) Ampla divulgação do regime de impedimentos (SA em parceria com Auditoria Interna).b) Segregação de funções com delegação de competência [quem elabora o processo administrativo é um funcionário do SAP, tem parecer da comissão de Apoio Técnico (se for o caso), e o Júri propõe ao Conselho de Administração].c) Os funcionários procederam à assinatura da declaração de inexistência de incompatibilidades (artigo 4.º do Decreto-lei n.º 14/2014, de 22 de janeiro) e comprometeram-se a comunicar qualquer alteração ou situação pontual de impedimento que se verifique em qualquer momento.
Informação privilegiada.
Intervenção em processo em situação de impedimento.
Violação de segredo por funcionário.
Conluio entre os adjudicatários e os funcionários.
Passagem de informação privilegiada.
Favorecimento de fornecedores de forma a obter benefícios.
3.2. SERVIÇO DE APROVISIONAMENTO
• MISSÃO
Neste âmbito o Serviço de Aprovisionamento assume um papel
fundamental. A missão do Serviço de Aprovisionamento pode
ser sintetizada da seguinte forma:
• Colocar bens e serviços no sítio certo, na hora certa, nas
quantidades necessárias.
• Garantir a aquisição de produtos adequados com uma mais-
-valia técnica e económica.
• Racionalizar os ativos gerindo imobilizados e existências.
• RISCOS IDENTIFICADOS E AVALIAÇÃO DO RISCO
E ATIVIDADES DE CONTROLO
14 Centro Hospitalar Universitário de São JoãoPlano de Prevenção de Riscos de Gestão, incluindo os de Corrupção e Infrações Conexas · 2018
Riscos IdentificadosProbabilidade
OcorrênciaImpacto Grau de Risco Medidas Preventivas
Apresentação de documentos fora de prazo ou apresentação de documentos falsos (incluindo uma consideração como válida da adjudicação a um fornecedor que não está habilitada para tal).
Baixo Moderado Baixo
a) Verificação periódica e aleatória de processos pela Auditoria Interna.b) Utilização da plataforma eletrónica nos processos de aquisição, podendo também ser aferidas as datas em questão, o que diminui o risco associado.
Existência de trabalhos a mais no âmbito das empreitadas, bem como o risco de avançar com a execução dos trabalhos sem prévia autorização do órgão competente e realizar novo procedimento para efetuar o pagamento destes trabalhos.
Moderado Moderado Moderado
a) O SAP procede à verificação, no caso das empreitadas, de que a execução de trabalhos de suprimento de erros e omissões e de trabalhos a mais não excede os limites quantitativos estabelecidos na lei.b) Implementação de normas internas que garantam a boa e atempada execução dos contratos por parte dos fornecedores/prestadores de serviços/empreiteiros (SIE).
Renovação de contratos (ou seja, falha no sistema de alerta do termo dos contratos, provocando a sua renovação automática, sem possibilidade de avaliação da necessidade de renovação).
Moderado Moderado Moderado
a) Verificação, pelo SAP, da base de dados de contratos e respectiva calendarização, com validação dos contratos susceptíveis de renovação, para que a avaliação da mesma se processe com a antecedência mínima necessária ao lanaçmento e conclusão de novo concurso, caso não seja de renovar o respetivo contrato, ou tenha chegado ao seu término (sem possibilidade de mais renovações); Por regra, não celebramos contratos com renovação automática;b) Pedido de criação/implementação de um sistema de alertas informático (STIC).
15Centro Hospitalar Universitário de São JoãoPlano de Prevenção de Riscos de Gestão, incluindo os de Corrupção e Infrações Conexas · 2018
Riscos IdentificadosProbabilidade
OcorrênciaImpacto Grau de Risco Medidas Preventivas
Processo de Recrutamento e Seleção de Pessoal (por ex.: Favorecimento na contratação de pessoal; Intervenção no procedimento de selecção ou no procedimento de avaliação do pessoal de elementos com relações de proximidade; relações familiares ou de parentesco com os candidatos ou com os avaliados).
Baixo Moderado Baixo
a) Definição de um procedimento transversal a toda a Instituição com medidas anuais de controlo. b)Sensibilizar os intervenientes decisores no âmbito dos procedimentos de recrutamento e seleção, de avaliação ou de outros actos de gestão de pessoal para a necessidade de fundamentação das suas decisões.
Processo de Processamento de Abonos, incluindo processamento de remunerações, abonos, processamento/conferência de ajudas de custo.
Moderado Moderado Moderado
Verificação anual num período aleatório, do cumprimento do programa específico para esta área, no âmbito do sistema de controlo interno existente (por ex: conferência da folha de processamento dos vencimentos e de ajudas de custo, numa base de amostragem, em meses sorteados, no sentido de confirmar a adequação das remunerações processadas e dos descontos efectuados ao trabalhador - segurança social, IRS e, de outros abonos recebidos).
Processo de Processamento de Absentismo (por ex.: Justificação indevida de faltas; Atribuição de férias em número superior ou devido).
Baixo Moderado Baixo
Verificação anual por amostragem baseada em ausências prolongadas ou com padrões repetitivos. No que se refere ás férias, instituir procedimento de verificação anual do cumprimento específico para esta área no âmbito do sistema de controlo interno existente.
3.3. SERVIÇO DE GESTÃO DE RECURSOS HUMANOS
• MISSÃO
O Serviço de Gestão de Recursos Humanos (SGRH), tem vindo
a definir e adotar novas estratégias na implementação da sua
política, com vista a alcançar os objetivos propostos, com maior
brevidade possível. Sendo um Serviço dinâmico, tem procura-
do adquirir novas tecnologias e metodologias, que irão permitir
um aumento qualitativo do serviço prestado. Tal facto tem tido
a maior cooperação por parte de todos os colaboradores, cuja
participação proporciona uma maior satisfação e bem-estar
para todos os que recorrem a este Serviço. Convicto que o de-
sempenho qualitativo dos colaboradores é o valioso ativo deste
Hospital, o SGRH está a apostar na reformulação de procedi-
mentos que irão permitir alcançar maiores padrões de eficácia e
eficiência no atendimento ao colaborador.
• RISCOS IDENTIFICADOS E AVALIAÇÃO DO RISCO
E ATIVIDADES DE CONTROLO
16 Centro Hospitalar Universitário de São JoãoPlano de Prevenção de Riscos de Gestão, incluindo os de Corrupção e Infrações Conexas · 2018
Riscos IdentificadosProbabilidade
OcorrênciaImpacto Grau de Risco Medidas Preventivas
Processo de Registo de Assiduidade. Baixo Moderado BaixoVerificação semestral por amostragem baseada nos saldos dos trabalhadores do Sistema de Registo Biométrico.
Processo de Avaliação de Desempenho, nomeadamente, no que respeita à ausência ou deficiente fundamentação dos resultados das decisões de avaliação.
Baixo Moderado BaixoVerificação anual por Amostragem baseada nas avaliações que se situem fora da média.
Processo de Gestão de Carreiras. Baixo Moderado BaixoVerificação anual das Promoções/Progressões existentes.
Prestadores de Serviço em nome individual. Baixo Moderado Baixo
Tendo em conta a transferência do processamento dos profissionais Prestadores de Serviços (do Serviço de Aprovisionamento para o SGRH a partir de Fev/2013), formalização de procedimento interno que garanta a seu controlo e correcção. Verificação Semestral.
Prémios não autorizados, ilegais ou sem cumprimentos dos objetivos
Baixo Moderado BaixoInstituir mecanismos de atribuição de prémios, em respeito pelo cumprimento das normas legais.
17Centro Hospitalar Universitário de São JoãoPlano de Prevenção de Riscos de Gestão, incluindo os de Corrupção e Infrações Conexas · 2018
Riscos IdentificadosProbabilidade
OcorrênciaImpacto Grau de Risco Medidas Preventivas
Conferência de valores (pagamento de faturas). Baixo Moderado Baixo a) Privilegiar os recebimentos por Transferência Bancária, bem como funcionalidades de Homebanking; b) Reduzir ao minimo possivel a utilização de cheques e dinheiro; c) Emissão obrigatória de recibos informatizados que possibilitem a conferência de emissão por listagem diária d) Procedimentos efectivos e documentados.
Emissão de recibos (de modo a eliminar a receita ou recebimento de dinheiro)
Baixo Moderado Baixo
Cobranças não depositadas oportuna e integralmente
Baixo Moderado Baixo
a) Recurso a meios de recebimento via Multibancob) Controlo diário do montante recebido por colaboradorc) Emissão obrigatória de recibos informatizadosd) Conferência de emissão por listagem diáriae) Conciliação bancária mensal
Desvio de Fundos Baixo Moderado Baixo
a) Conciliação bancária mensalb) Circularização periódica de saldos de fornecedores e clientesc) Fundos de maneio e de caixa em sistema de fundo fixo e controlo sistemático dos fundos de maneio d) Cheques em trânsito para além de prazo a determinar, são investigados e eventualmente anuladose) Os cheques por utilizar e os cheques emitidos que foram anulados estão convenientemente guardadosf) Segregação de funçõesg) Existência de normas para movimentação de contas bancárias
3.4. SERVIÇOS FINANCEIROS
• MISSÃO
Os Serviços Financeiros têm como objetivos principais:
• Disponibilizar toda a informação necessária ao processo de
gestão.
• Proceder a toda a faturação.
• Proceder a toda a codificação e respetiva auditoria.
• Elaborar e enviar toda a informação solicitada pelos clien-
tes internos e externos.
• Elaborar os documentos de prestação de contas.
• Efetuar a gestão de tesouraria.
• RISCOS IDENTIFICADOS E AVALIAÇÃO DO RISCO
E ATIVIDADES DE CONTROLO
18 Centro Hospitalar Universitário de São JoãoPlano de Prevenção de Riscos de Gestão, incluindo os de Corrupção e Infrações Conexas · 2018
Riscos IdentificadosProbabilidade
OcorrênciaImpacto Grau de Risco Medidas Preventivas
Alteração não autorizada a dados mestre de fornecedores ou alteração com base em informação externa não validada (por exemplo, via email)
Baixo Moderado Baixo
a)Segregação de funções com perfis de acesso aos dados;b)Circularização periódica de saldos de fornecedoresc) Revisão do Procedimento de alteração de dados de fornecedores
Pagamentos preferenciais a fornecedores Pagamentos em montantes superiores aos efectivamente faturados
Baixo Moderado Baixo
a) Criação de modelo de gestão da tesouraria disponível para pagamentos, que estabeleçaas regras para seleção das de faturas apagar, identificando de forma sistemática as excepções consideradas. Decisão dos pagamentos validada por membro do CA responsável pelos serviços Financeiros.
19Centro Hospitalar Universitário de São JoãoPlano de Prevenção de Riscos de Gestão, incluindo os de Corrupção e Infrações Conexas · 2018
Riscos IdentificadosProbabilidade
OcorrênciaImpacto Grau de Risco Medidas Preventivas
Anulação indevida de recibo. Baixo Moderado Baixo
Todos os recibos anulados devem ser entregues, com registo do motivo da anulação, e devem constar da listagem diária extraída do SONHO enviada aos Serviços Financeiros.
Cobrança indevida de taxas Moderadoras (p.ex: Utentes com direito a dispensa na especialidade, mas com consulta agendada em especialidade não dispensada ou o/a médico/a na forneceu documento dispensa)
Moderado Baixo BaixoAgendar os utentes dispensados nas especialidades parameterizados com dispensa.
A não devolução de montantes cobrados em excesso pelo funcionário que cobrou a taxa
Baixo Moderado BaixoPriveligiar o pagamento por Multibanco e Cheque
Taxa de cobrança com valores inferiores a 50% Moderado Moderado Moderado
Constituição de um Grupo de Trabalho, sendo um dos objetivos implementar as ações necessárias à efetividade da cobrança
Atribuição de isenção/dispensa de taxa moderadoras devido à incorreta identificação ou favorecimento indevido.
Moderado Moderado ModeradoConferência de episódios de consulta e urgencia e análise por amostragem das isenções atribuidas
Aceitação de montantes monetários, por parte dos funcionários, em troca de favorecimentos.
Baixo Moderado Baixo
Sensibilização dos funcionários, lembrando-os que tal procedimento não é admissivel e que resultará em processo disciplinar.
Dados de identificação de utentes insuficientes, incorretos ou desactualizados
Baixo Moderado BaixoSensibilização dos colaboradores para a importância da correta e completa identificação dos utentes na instituição.
Alteração não aprovada de dados de identificação dos utentes
Baixo Moderado Baixo
Desenvolvimento de formação sobre o regime de acesso a dados pessoais.Sensibilização dos colaboradores para a importância da correta e completa identificação dos utentes na instituição.
3.5. COBRANÇA DE TAXAS MODERADORAS/ATRIBUIÇÃO ISENÇÕES
• MISSÃO
Nesta área, os principais Serviços intervenientes são o Centro
de Ambulatório, a UAG de Cirurgia, a UAG da Urgência e Cuida-
dos Intensivos e os Serviços Financeiros. O CAM compromete-
-se, no âmbito dos Serviços de Suporte à Prestação de Cuidados
do Hospital de S. João, EPE, a efetuar uma adequada resposta às
necessidades, expectativas e solicitações dos utentes/doentes/
clientes, visando a sua satisfação na marcação e acesso à presta-
ção de cuidados no CHUSJ.
• RISCOS IDENTIFICADOS E AVALIAÇÃO DO RISCO
E ATIVIDADES DE CONTROLO
20 Centro Hospitalar Universitário de São JoãoPlano de Prevenção de Riscos de Gestão, incluindo os de Corrupção e Infrações Conexas · 2018
Riscos IdentificadosProbabilidade
OcorrênciaImpacto Grau de Risco Medidas Preventivas
Inexistência no caderno de encargos das especificações técnicas necessárias para a prestação de serviços de limpeza hospitalar.
Baixo Moderado Baixo
Definição de forma clara e precisa das cláusulas técnicas nos cadernos de encargos. As clausulas técnicas são definidas com a colaboração da UPCIRA (responsável e apoio de enfermagem) e pelo SOH (Tecnico Superior da área e Direção de Serviço). Existem ainda clausulas técnicas plasmadas em AQ da SPMS, caso aplicáveis.
"Diminuição de recursos humanos disponibilizados pelo prestador de serviços, de forma a aumentar a rentabilidade do contrato.
Baixo Moderado Baixo
Registo Biométrico obrigatório no ambito das clausulas técnicas exigidas. Nas áreas de internamento com recursos humanos praticamente em permanencia na jornada laboral, o controlo é efetuado pelos responsáveis locais (Pessoal de Enfermagem, Pessoal Técnico). Nas áreas comuns, realização de verificações de presença.
Diminuição da qualidade de serviço, devido a deficiente desempenho dos trabalhadores.
Baixo Moderado Baixo
Implementação de um sistema de auditorias de limpeza. Mensalmente, os serviços devem preencher e remeter ao SOH uma folha de assiduidade onde consta a avaliação dos serviços prestados. Possibilidade de pedido de substituição de recursos humanos afetos às empresas, no amito das clausulas tecnicas em vigor. Realização de formações de higiene e limpeza, controlo de infeção, da responsabilidade da empresa e do CHUSJ
Contratação de serviços a preços extraordinários, fora dos preços de mercado
Baixo Moderado Baixo
Os contratos, quando em vigor, definem desde logo os valores para contratações de serviços extraordinários. Mesmo numa situação de inexistência de um contrato em vigor, o procedimento é um pedido de autorização prévio do orgão máximo (CA) que, se autorizado, é enviado ao Serviço de Aprovisionamento.
Contratação de serviços a preços muito baixos ou a empresas que praticam dumping, ora por estratégias comerciais, ora por incumprimento das suas obrigações contributivas e fiscais
Moderado Elevado Elevado
Definição de clausulas tecnicas exigentes, devidamente elencadas, o que não "favorece" o aparecimento de empresas não profissionais e sem credibilidade no mercado
Inexistência da figura de “alvarás” a obter pelas empresas para a higiene e limpeza de um Hospital.
Risco Exógeno ao CHUSJ, sendo que a respetiva mitigação não se encontra dependente de medidas tomadas internamente
3.6. SERVIÇOS HOTELEIROS
• MISSÃO
O Serviço de Operações Hoteleiras tem como missão proporcio-
nar as melhores condições hoteleiras de Alimentação, Ambiente,
Lavandaria, Limpeza e de Segurança e Controlo, de forma a as-
sistir às necessidades e expetativas dos utentes e profissionais,
promovendo políticas de eficiência e o conhecimento dos custos
das atividades junto dos seus clientes Serviços, numa perspetiva
de melhoria contínua.
• RISCOS IDENTIFICADOS E AVALIAÇÃO DO RISCO
E ATIVIDADES DE CONTROLO
Lim
peza
e H
igie
ne
21Centro Hospitalar Universitário de São JoãoPlano de Prevenção de Riscos de Gestão, incluindo os de Corrupção e Infrações Conexas · 2018
Riscos IdentificadosProbabilidade
OcorrênciaImpacto Grau de Risco Medidas Preventivas
Inexistência no caderno de encargos das especificações técnicas necessárias para a prestação de serviços de segurança e vigilancia.
Baixo Moderado Baixo
Definição de forma clara e precisa das cláusulas técnicas nos cadernos de encargos. As clausulas técnicas são definidas com a colaboração da UPCIRA (responsável e apoio de enfermagem) e pelo SOH (Tecnico Superior da área e Direção de Serviço). Existem ainda clausulas técnicas plasmadas em AQ da SPMS, caso aplicáveis.
Diminuição de recursos humanos disponibilizados pelo prestador de serviços, de forma a aumentar a rentabilidade do contrato.
Baixo Moderado Baixo
Nesta área os vigilantes ocupam postos de entrada do CHUSJ, bem como de ronda e central de segurança. Dadas as atribuições de funções plasmadas em cada uma das instruções de trabalho, é pouco verosímel a diminuição dos recursos humanos afetos à atividade
Contratação de serviços a preços extraordinários, fora dos preços de mercado
Baixo Moderado Baixo
Os contratos, quando em vigor, definem desde logo os valores para contratações de serviços extraordinários. Mesmo numa situação de inexistência de um contrato em vigor, o procedimento é um pedido de autorização prévio do orgão máximo (CA) que, se autorizado, é enviado ao Serviço de Aprovisionamento.
Contratação de serviços a preços muito baixos ou a empresas que praticam dumping, ora por estratégias comerciais, ora por incumprimento das suas obrigações contributivas e fiscais
Moderado Elevado Elevado
Definição de clausulas tecnicas exigentes, devidamente elencadas, o que não "favorece" o aparecimento de empresas não profissionais e sem credibilidade no mercado
Inexistência no caderno de encargos das especificações técnicas necessárias para a prestação de serviços de gestão de residuos hospitalares.
Baixo Moderado Baixo
Definição de forma clara e precisa das cláusulas técnicas nos cadernos de encargos. As clausulas técnicas são definidas pelo SOH (Tecnico Superior da área e Direção de Serviço) e reflexo de dispositivos normativos nacionais e internacionais.
Diminuição de recursos humanos disponibilizados pelo prestador de serviços, de forma a aumentar a rentabilidade do contrato.
Baixo Moderado Baixo
Implementação de um sistema de controlo interno de forma a validar o cumprimento da prestação de serviços, nomeadamente em relação a horários de recolha e entrega de contentores, bem como existência de penalidades em caso de incumprimento atempado do serviço
Os operadores de recolha intra-hospitalar podem aumentar artificalmente o peso dos contentores, de forma a aumentar a faturação.
Baixo Moderado Baixo
Implementação de um sistema aleatório de controlo dos pesos, bem como existência de penalidades em caso de incumprimento dos pesos. Obrigatoriedade de registo informático dos pesos.
Mercado com reduzida concorrênciaRisco Exógeno ao CHUSJ, sendo que a respetiva mitigação não se encontra
dependente de medidas tomadas internamente
Seg
uran
ça e
Vig
ilânc
ia R
esíd
uos
Hos
pita
lare
s
22 Centro Hospitalar Universitário de São JoãoPlano de Prevenção de Riscos de Gestão, incluindo os de Corrupção e Infrações Conexas · 2018
Riscos IdentificadosProbabilidade
OcorrênciaImpacto Grau de Risco Medidas Preventivas
Inexistência no caderno de encargos das especificações técnicas necessárias para a prestação de serviços de lavagem e tratamento de roupa hospitalar.
Baixo Moderado Baixo
Definição de forma clara e precisa das cláusulas técnicas nos cadernos de encargos. As clausulas técnicas são definidas pelo SOH (Tecnico Superior da área e Direção de Serviço). Existem ainda claiusulas técnicas plasmadas em AQ da SPMS, caso aplicáveis.
A faturação pode aumentar em função do peso da roupa limpa.
Médio Moderado MédioImplementação de um sistema aleatório de controlo dos pesos. Pesagem de roupa sempre que existe introdução de nova roupa no circuito.
A faturação pode aumentar em função do número de peças processadas limpa.
Baixo Moderado Baixo
Implementação de um sistema continuo de contagem de peças recepcionadas. Utilizações de soluções informáticas internas e externas, base das guias de transporte que originama a faturação
Diminuição de recursos humanos disponibilizados pelo prestador de serviços, de forma a aumentar a rentabilidade do contrato.
Baixo Moderado Baixo
Implementação de um sistema de controlo interno de forma a validar o cumprimento da prestação de serviços, nomeadamente em relação a horários de recolha e entrega de roupa.
Mercado com reduzida concorrênciaRisco Exógeno ao CHUSJ, sendo que a respetiva mitigação não se encontra
dependente de medidas tomadas internamente
Inexistência no caderno de encargos das especificações técnicas necessárias para a prestação de serviços de alimentação
Baixo Moderado Baixo
Definição de forma clara e precisa das cláusulas técnicas nos cadernos de encargos. As clausulas técnicas são definidas com a colaboração da UND e SIE e pelo SOH (Tecnico Superior da área e Direção de Serviço) e tem como base, entre outros, dispositivos normativos nacionais e internacionais.
“Diminuição de recursos humanos disponibilizados pelo prestador de serviços, de forma a aumentar a rentabilidade do contrato.
Baixo Moderado Baixo
Implementação de um sistema de controlo interno de forma a validar o cumprimento da prestação de serviços, nomeadamente em relação a horários de recolha e entrega de alimentação, bem como existência de penalidades em caso de incumprimento atempado do serviço
Incumprimento do plano de dietas aprovado pelo hospital
Baixo Moderado Baixo
Implementação de um sistema de controlo interno de forma a validar o cumprimento da prestação de serviços, nomeadamente nas tarefas de recepção, confeção e empratamento, bem como existência de penalidades em caso de incumprimento atempado do serviço
Diminuição da qualidade de serviço, devido a deficiente desempenho dos trabalhadores.
Moderado Moderado ModeradoImplementação de um sistema de auditorias ao serviço. Exigência de implementação local do HACCP.
Lava
gem
e tr
atam
ento
de
roup
aA
limen
taçã
o
23Centro Hospitalar Universitário de São JoãoPlano de Prevenção de Riscos de Gestão, incluindo os de Corrupção e Infrações Conexas · 2018
Riscos IdentificadosProbabilidade
OcorrênciaImpacto Grau de Risco Medidas Preventivas
Acesso indevido às instalações e desvio de produtos farmacêuticos.
Alto Moderado Alto
Restrição do acesso ao Serviço Farmacêutico a pessoal autorizado; Existência de câmaras de segurança Estupefacientes e psicotrópicos encontram-se em cofre com acesso restritoRealização de inventários cíclicos e anuais aos armazéns com justificação de diferenças significativas
Receção não controlada física e qualitativamente de bens
Baixo Moderado BaixoSegregação de funções. Os Serviços Farmacêuticos são um Serviço Certificado.
Ultrapassagem de Prazos de validade Baixo Moderado BaixoEncontram-se implementados sistemas de alerta. (Os Serviços Farmacêuticos são um Serviço Certificado).
Falta de procedimento transversal para os serviços clínicos relativo ao Circuito de Medicamentos Críticos (Estupefacientes e Psicotrópicos, Eopetinas…)
Moderado Moderado Moderado
Fecho do circuito electrónico do ciclo Prescrição » Distribuição » Administração, com a criação de armazéns avançados e registo de toda a medicação ao doente
Medicamentos em trânsito dos Serviços Farmacêuticos para os Serviços Clínicos e vice versa.
Moderado Moderado Moderado
Alargamento da implementação do registo por PDA (quem entrega e quem recebe e a que horas), bem como as devoluções de medicamentos e de produtos farmacêuticos não administrados, com guia de transporte. Criação dos Armazéns Avançados dos Serviços Clínicos e Registo da Administração ao Doente pela aplicação dos Enfermeiros
Declaração de financiamento Baixo Moderado BaixoOs colaboradores efetuam comunicação na Plataforma de Comunicações - Transparência e Publicidade
Favorecimento de fornecedores por membros de comissões, de grupos de trabalho, de júris de procedimentos pré-contratuais que participam na escolha, avaliação, emissão de normas e orientações de carácter clínico, elaboração de formulários, nas áreas do medicamento
Baixo Elevado Moderado
Assinatura de Declarações de Inexistência de Incompatibilidades (nos termos do artigo 4.º do Decreto-Lei n.º 14/2014, de 22 de janeiro)
Fornecimento de Medicamentos em Ambulatório Baixo Elevado Moderado
Existência, manutenção e desenvolvimento do Sistema de Gestão de Qualidade (Os Serviços Farmacêuticos são um Serviço Certificado).
3.7. SERVIÇOS FARMACÊUTICOS
• MISSÃO
Os Serviços Farmacêuticos têm como missão assegurar a sa-
tisfação das necessidades medicamentosas dos doentes, pro-
movendo a utilização racional dos medicamentos, garantindo a
sua qualidade, a eficácia e a segurança para o doente, sendo uma
referência nacional da Farmácia Hospitalar, reconhecida pela
inovação, pelas boas práticas e pelos resultados atingidos.
• RISCOS IDENTIFICADOS E AVALIAÇÃO DO RISCO
E ATIVIDADES DE CONTROLO
24 Centro Hospitalar Universitário de São JoãoPlano de Prevenção de Riscos de Gestão, incluindo os de Corrupção e Infrações Conexas · 2018
Riscos IdentificadosProbabilidade
OcorrênciaImpacto Grau de Risco Medidas Preventivas
Produção incorretamente registada Baixo Elevado ModeradoPromover, regularmente análises ao registo de Produção
Produção não registada em tempo útil Baixo Elevado Moderado
Promover, regularmente, análises ao Registo de ProduçãoManutenção de procedimentos que garantam o estabelecimento e cumprimento de prazos para registo de atividade/produção; Alargar o âmbito de cruzamento de informação entre os diversos aplicativos.”
Efectuar registos que permitam que se gerem GDH economicamente mais vantajosos
Baixo Moderado Moderado
a)Definição de limites nas verbas para remuneração da atividade adicional por serviço (contratualização interna) b) Realização de auditorias clínicas
Produção realizada sem que haja qualquer registo informático.
Baixo Moderado ModeradoImplementação de mecanismos de controlo para rastrear e mitigar a eventualidade destas situações.
Fiabilidade da informação das várias aplicações informáticas de registo de atividade (falha nos registos)
Baixo Moderado ModeradoAlargar o âmbito de cruzamento de informação entre os diversos aplicativos.
3.8. SERVIÇO DE CONTROLO DE GESTÃO
• MISSÃO
O Serviço de Planeamento e Controlo de Gestão tem como mis-
são apoiar o processo de decisão do Conselho de Administração
e dos outros níveis de Gestão do CHUSJ, através da análise e dis-
ponibilização de informação estatística, análise e planeamento
da atividade assistencial na vertente financeira e de produção.
• RISCOS IDENTIFICADOS E AVALIAÇÃO DO RISCO
E ATIVIDADES DE CONTROLO
25Centro Hospitalar Universitário de São JoãoPlano de Prevenção de Riscos de Gestão, incluindo os de Corrupção e Infrações Conexas · 2018
Riscos IdentificadosProbabilidade
OcorrênciaImpacto Grau de Risco Medidas Preventivas
Ocorrência de desvios/roubo/furto de Equipamentos
Moderado Moderado Moderado
a) Controlo Anual dos equipamentos afectos a alguns centros de custo aleatoriamente seleccionados b) Responsabilização dos serviços pelos equipamentos à sua guardac) Partilha da informação das aplicações
Bens não Inventariados Moderado Moderado ModeradoRealização de testes de conformidade quanto ao cumprimento dos procedimentos internos estabelecidos.
Não inventariação de bens oferecidos com eventual apropriação ou utilização indevida de bens públicos
Moderado Moderado Moderado
a) Aprovação, pelo Conselho de Administração, das ofertas,b) Controlo Anual dos equipamentos afectos a alguns centros de custo aleatoriamente seleccionadosc) Divulgação do procedimento interno de aceitação e inventariação de ofertas
Falta de acuidade no abate físico de bens e na sua valorização
Fraco Moderado Moderado
a) Existência de um parecer técnico relativo à inoperacionalidade ou obsolescência do bemb) Aprovação, pelo Conselho de Administração, dos abatesc) Remoção física dos serviços utilizadores, de equipamentos dados por inoperacionais/ inutilizados, que aguardam formalização de abate do inventário e remoção do CHUSJ
Entrada de equipamentos não autorizados(p.ex demonstrações)
Moderado Moderado Moderado
a) Obrigatoriedade de pedido formação formal de demosntração e aprovação Conselho de Administração b) Registo dos bens em regime de empréstimo
Não conformidade das operações de manutenção contratadas com terceiros
Moderado Moderado Moderado
a) Controlo da permanência dos prestadores de serviço nas instalações do Centro Hospitalarb) Monitorização das acções de manutenção preventiva por um interlocutor claramente definido ao nível de cada Serviço ou UAG
3.9. SERVIÇO DE INSTALAÇÕES E EQUIPAMENTOS
• MISSÃO
O SIE é um Serviço de Engenharia e Manutenção Técnica da Área
dos serviços logísticos e suporte ao CHUSJ, tendo como missão
“Projetar, manter e garantir o pleno funcionamento das infraes-
truturas e equipamentos no CHUSJ, de forma a proporcionar aos
profissionais de saúde as melhores condições técnicas para a
assistência clínica”.
• RISCOS IDENTIFICADOS E AVALIAÇÃO DO RISCO
E ATIVIDADES DE CONTROLO
26 Centro Hospitalar Universitário de São JoãoPlano de Prevenção de Riscos de Gestão, incluindo os de Corrupção e Infrações Conexas · 2018
3.10. SERVIÇO DE SISTEMAS E TECNOLOGIAS DE INFORMAÇÃO E COMUNICAÇÃO
• MISSÃO
O Serviço de Sistemas e Tecnologias de Informação e Comunica-
ção encontra-se integrado no Centro de Gestão da Informação,
que inclui adicionalmente as seguintes áreas:
• Unidade de Desenvolvimento de Software (UDS).
• Serviço de Arquivo;
• Serviço de Inteligência de Dados.
Em termos de avaliação de Riscos, é de destacar a Implementa-
ção Projeto Segurança – Definição da metodologia de Analise de
Risco, Análise de Risco dos Sistemas de Informação do STIC.
Inserido no projeto de “Gestão do risco, da segurança da infor-mação e dos serviços de informação” foi realizada uma primeira
Avaliação dos Riscos de Segurança de Informação, tendo como
foco de análise o Sistema de Gestão Integrado do Circuito do
Medicamento (SGICM). Esta Avaliação dos Riscos foi executada
no sentido de identificar e avaliar os riscos inerentes aos Siste-
mas de Informação, pretendendo ser alvo de melhoria continua.
27Centro Hospitalar Universitário de São JoãoPlano de Prevenção de Riscos de Gestão, incluindo os de Corrupção e Infrações Conexas · 2018
Am
eaça
s
Cons
equê
ncia
s
Vuln
erab
ilida
des
Aval
iaçã
o in
tegr
ada
CID
Mit
igaç
ão
Con
fide
ncia
lidad
eIn
tegr
idad
eD
ispo
nibi
lidad
eC
ontr
olos
exi
sten
tes
Nov
o C
ontr
olo
Falh
a no
aba
stec
imen
to d
e en
ergi
a
corr
upçã
o da
info
rmaç
ão
por p
roce
sso
de
ence
rram
ento
forç
ado
indi
spon
ibili
dade
dos
si
stem
as d
o D
Cfa
lta
de p
lano
de
cont
ingê
ncia
5
Falh
a nu
ma
UPS
(ava
ria)
corr
upçã
o da
info
rmaç
ão
por p
roce
sso
de
ence
rram
ento
forç
ado
indi
spon
ibili
dade
dos
si
stem
as d
o D
C10
Falh
a nu
ma
UPS
(em
ati
vida
de d
e m
anut
ençã
o)
corr
upçã
o da
info
rmaç
ão
por p
roce
sso
de
ence
rram
ento
forç
ado
indi
spon
ibili
dade
dos
si
stem
as d
o D
C15
"(nã
o ap
licáv
el a
o S
GIC
M)
Font
e de
alim
enta
ção
redu
ndan
tePr
oced
imen
to d
e m
anut
ençã
o ad
equa
do (m
anut
ençã
o fa
sead
a - 1
UPS
de
cada
vez
)”
Dis
paro
de
um d
ijunt
orco
rrup
ção
da in
form
ação
po
r pro
cess
o de
en
cerr
amen
to fo
rçad
o
indi
spon
ibili
dade
dos
si
stem
as d
o D
C10
Falh
a de
refr
iger
ação
na
sala
té
cnic
a da
s U
PS
corr
upçã
o da
info
rmaç
ão
por p
roce
sso
de
ence
rram
ento
forç
ado
indi
spon
ibili
dade
dos
si
stem
as d
o D
C10
Inun
daçã
o na
Sal
a Té
cnic
a da
s U
PS
corr
upçã
o da
info
rmaç
ão
por p
roce
sso
de
ence
rram
ento
forç
ado
indi
spon
ibili
dade
dos
si
stem
as d
o D
C5
Avar
ia n
o si
stem
a de
AC
corr
upçã
o da
info
rmaç
ão
por p
roce
sso
de
ence
rram
ento
forç
ado
indi
spon
ibili
dade
dos
si
stem
as d
o D
C10
Inun
daçã
o no
DC
, por
rutu
ra d
e ca
naliz
ação
corr
upçã
o da
info
rmaç
ão
por p
roce
sso
de
ence
rram
ento
forç
ado
indi
spon
ibili
dade
dos
si
stem
as d
o D
Cfa
lta
de d
eteç
ão
de á
gua
10
Falh
a no
sis
tem
a de
con
trol
o de
ac
esso
s
aces
sos
a co
nsol
as
que
poss
am
perm
itir
ace
ssos
in
devi
dos
e ro
ubo
de in
form
ação
(p.e
. R
DP/
SS
H)
aces
sos
a se
rviç
os
que
poss
am p
erm
itir
qu
ebra
s de
inte
grid
ade
na in
form
ação
(p.e
. RD
P/S
SH
)
prob
lem
as a
ssoc
iado
s à
oper
ação
inde
vida
a
prov
ocar
falh
as d
e se
rviç
os e
SO
"Con
trol
o bi
omét
rico
, co
m re
gist
o de
ace
ssos
Cha
ve fí
sica
(par
a o
caso
de
falh
a de
en
ergi
a) | “
5A
cess
o vi
a le
vant
amen
to d
e ch
ave
no s
egur
ança
ou
BtG
14
4
Ace
sso
inde
vido
ao
DC
, atr
avés
de
cha
ve
aces
sos
a co
nsol
as
que
poss
am
perm
itir
ace
ssos
in
devi
dos
e ro
ubo
de in
form
ação
(p.e
. R
DP/
SS
H)
aces
sos
a se
rviç
os
que
poss
am p
erm
itir
qu
ebra
s de
inte
grid
ade
na in
form
ação
(p.e
. RD
P/S
SH
)
prob
lem
as a
ssoc
iado
s à
oper
ação
inde
vida
a
prov
ocar
falh
as d
e se
rviç
os e
SO
“Reg
isto
de
quem
le
vant
a a
chav
e, q
ue
está
no
segu
ranç
aPa
ra “b
rake
theg
lass
e”,
tem
con
trol
o bi
omét
rico
| “
10im
plem
enta
r vid
eovi
gila
ncia
no
DC
e re
gist
o de
le
vant
amen
to d
e ch
ave
15
5
Incê
ndio
no
DC
corr
upçã
o da
info
rmaç
ão
por p
roce
sso
de
ence
rram
ento
forç
ado
indi
spon
ibili
dade
dos
si
stem
as d
o D
C5Valor Risco
= P * I”
Probabilidade 2
Probabilidade
Impacto 2
Impacto
Novo Risco = P2 * I2”
Energia Sala DC
28 Centro Hospitalar Universitário de São JoãoPlano de Prevenção de Riscos de Gestão, incluindo os de Corrupção e Infrações Conexas · 2018
Am
eaça
s
Cons
equê
ncia
s
Vuln
erab
ilida
des
Aval
iaçã
o in
tegr
ada
CID
Mit
igaç
ão
Con
fide
ncia
lidad
eIn
tegr
idad
eD
ispo
nibi
lidad
eC
ontr
olos
exi
sten
tes
Nov
o C
ontr
olo
Cab
o da
nifi
cado
indi
spon
ibili
dade
dos
si
stem
as d
o D
CLi
gaçõ
es re
dund
ante
s (2
cabo
s)5
Avar
ia d
e at
ivo
de re
de –
Ace
sso
indi
spon
ibili
dade
dos
si
stem
as d
o D
C
Arq
uite
tura
re
dund
ante
, ape
nas
para
o C
AM
8
Avar
ia d
e at
ivo
de re
de –
Cor
ein
disp
onib
ilida
de d
os
sist
emas
do
DC
Arq
uite
tura
redu
ndan
te5
Avar
ia n
os S
AN
sw
itch
poss
ibili
dade
de
corr
upçã
o do
s da
dos
das
LUN
S
indi
spon
ibili
dade
dos
si
stem
as d
o D
C
Red
undâ
ncia
nos
SW
SA
N | R
edun
dânc
ia n
os
SW S
AN
8
Falh
a na
inst
alaç
ão e
létr
ica
corr
upçã
o da
info
rmaç
ão
por p
roce
sso
de
ence
rram
ento
forç
ado
indi
spon
ibili
dade
dos
si
stem
as d
o D
Ces
tare
m n
o m
esm
o ci
rcui
toC
lust
ers
de s
ervi
dore
s |
Clu
ster
s de
ser
vido
res
8
Falh
a de
HW
(enc
losu
re)
corr
upçã
o da
info
rmaç
ão
por p
roce
sso
de
ence
rram
ento
forç
ado
indi
spon
ibili
dade
dos
si
stem
as d
o D
C
clus
ter c
om
blad
es n
o m
esm
o en
clos
ure
10
Falh
a de
HW
(bla
de V
mw
are)
corr
upçã
o da
info
rmaç
ão
por p
roce
sso
de
ence
rram
ento
forç
ado
indi
spon
ibili
dade
dos
si
stem
as d
o D
C
clus
ter c
om
blad
es n
o m
esm
o en
clos
ure
Clu
ster
s de
ser
vido
res
| C
lust
ers
de s
ervi
dore
s8
Falh
a de
HW
(bla
de H
P-U
X)
corr
upçã
o da
info
rmaç
ão
por p
roce
sso
de
ence
rram
ento
forç
ado
indi
spon
ibili
dade
dos
si
stem
as d
o D
C
Ape
nas
uma
VM
, co
m m
igra
ção
man
ual
Clu
ster
s de
ser
vido
res
| C
lust
ers
de s
ervi
dore
s10
Falh
a de
HW
(Ser
vido
r M
iddl
ewar
e)
corr
upçã
o da
info
rmaç
ão
por p
roce
sso
de
ence
rram
ento
forç
ado
indi
spon
ibili
dade
dos
si
stem
as d
o D
C
clus
ter c
om
blad
es n
o m
esm
o en
clos
ure
Clu
ster
s de
ser
vido
res;
B
acku
ps d
a B
D |
Clu
ster
s de
ser
vido
res
10
Falh
a de
HW
(Ser
vido
r ap
licac
iona
l)
corr
upçã
o da
info
rmaç
ão
por p
roce
sso
de
ence
rram
ento
forç
ado
indi
spon
ibili
dade
dos
si
stem
as d
o D
C
Clu
ster
s de
ser
vido
res;
B
acku
ps d
e S
ervi
dore
s | C
lust
ers
de
serv
idor
es; B
acku
ps d
e S
ervi
dore
s
10
Falh
a na
atu
aliz
ação
de
firm
war
e (e
nclo
sure
)
proc
esso
sem
suc
esso
qu
e po
de p
rovo
car
corr
upçã
o do
pro
duto
qu
e o
torn
e in
utili
záve
l
4Valor Risco = P * I”
Probabilidade 2
Probabilidade
Impacto 2
Impacto
Novo Risco = P2 * I2”
ServidoresRedes
29Centro Hospitalar Universitário de São JoãoPlano de Prevenção de Riscos de Gestão, incluindo os de Corrupção e Infrações Conexas · 2018
ServidoresA
mea
ças
Cons
equê
ncia
s
Vuln
erab
ilida
des
Aval
iaçã
o in
tegr
ada
CID
Mit
igaç
ão
Con
fide
ncia
lidad
eIn
tegr
idad
eD
ispo
nibi
lidad
eC
ontr
olos
exi
sten
tes
Nov
o C
ontr
olo
Falh
a na
atu
aliz
ação
de
firm
war
e (b
lade
/ser
vido
r)
proc
esso
sem
suc
esso
qu
e po
de p
rovo
car
corr
upçã
o do
pro
duto
qu
e o
torn
e in
utili
záve
l
10
Inca
paci
dade
de
recu
pera
r o
ambi
ente
de
prod
ução
indi
spon
ibili
dade
dos
si
stem
as d
o D
C
cont
rato
s de
m
anut
ençã
o te
mpo
rari
amen
te
não
form
aliz
ados
(p
roce
sso
de
cont
ratu
aliz
ação
), qu
e or
igin
e fa
lha
na p
rest
ação
do
ser
viço
de
man
uten
ção
12A
djud
icaç
ão e
form
aliz
ação
at
empa
da d
os c
ontr
atos
de
man
uten
ção
13
3
Sis
tem
a O
pera
tivo
des
atua
lizad
o W
indo
ws
aces
so a
in
form
ação
co
nfide
ncia
l
expl
oraç
ão d
e vu
lner
abili
dade
qu
e co
mpr
omet
a a
inte
grid
ade
dos
dado
s/ap
licaç
ões.
expl
oraç
ão d
e um
a vu
lner
abili
dade
que
co
mpr
omet
a o
SO
não
exis
tênc
ia
de p
roce
dim
ento
qu
e ob
rigu
e à
atua
lizaç
ão d
e S
O
"Clu
ster
s de
ser
vido
res;
B
acku
ps d
e S
ervi
dore
s | A
V a
tual
izad
os
Bac
kups
de
Ser
vido
res”
10
Sis
tem
a O
pera
tivo
des
atua
lizad
o U
nix
(BD
inte
rméd
ia)
aces
so a
in
form
ação
co
nfide
ncia
l
expl
oraç
ão d
e vu
lner
abili
dade
qu
e co
mpr
omet
a a
inte
grid
ade
dos
dado
s/ap
licaç
ões.
expl
oraç
ão d
e um
a vu
lner
abili
dade
que
co
mpr
omet
a o
SO
não
exis
tênc
ia
de p
roce
dim
ento
qu
e ob
rigu
e à
atua
lizaç
ão d
e S
O
10
Expl
oraç
ão d
e vu
lner
abili
dade
em
Sis
tem
a O
pera
tivo
de
scon
tinu
ado/
sem
sup
orte
W
indo
ws
aces
so a
in
form
ação
co
nfide
ncia
l
vuln
erab
ilida
des
que
poss
am c
ompr
omet
er a
in
tegr
idad
e do
s da
dos/
aplic
açõe
s e
que
o fo
rnec
edor
já n
ão c
orri
ja
vuln
erab
ilida
des
que
poss
am c
ompr
omet
er o
S
O e
que
o fo
rnec
edor
já
não
corr
ija
Sis
tem
a O
pera
tivo
de
scon
tinu
ado/
sem
sup
orte
W
indo
ws
Gar
anti
do s
upor
te
cont
ratu
al c
om o
fa
bric
ante
, par
a ut
iliza
ção
| Clu
ster
s de
se
rvid
ores
; Bac
kups
de
Ser
vido
res
| Bac
kups
de
Ser
vido
res
12Ev
oluç
ão a
plic
acio
nal,
que
corr
a em
SO
atu
aliz
ado
14
4
Expl
oraç
ão d
e vu
lner
abili
dade
em
Sis
tem
a O
pera
tivo
de
scon
tinu
ado/
sem
sup
orte
Uni
x
aces
so a
in
form
ação
co
nfide
ncia
l
vuln
erab
ilida
des
que
poss
am c
ompr
omet
er a
in
tegr
idad
e do
s da
dos/
aplic
açõe
s e
que
o fo
rnec
edor
já n
ão c
orri
ja
vuln
erab
ilida
des
que
poss
am c
ompr
omet
er o
S
O e
que
o fo
rnec
edor
já
não
corr
ija
Bac
kups
de
Ser
vido
res
12Ev
oluç
ão a
plic
acio
nal,
que
corr
a em
SO
atu
aliz
ado
14
4
Con
figu
raçã
o do
SO
des
ajus
tada
prob
lem
as d
e pe
rfor
man
ce e
de
cras
hs
de s
iste
ma
Mon
itor
izaç
ão d
os
sist
emas
(ici
nga
e Z
abbi
x)9Valor Risco
= P * I”
Probabilidade 2
Probabilidade
Impacto 2
Impacto
Novo Risco = P2 * I2”
SO + Amb Virtualiz
30 Centro Hospitalar Universitário de São JoãoPlano de Prevenção de Riscos de Gestão, incluindo os de Corrupção e Infrações Conexas · 2018
Am
eaça
s
Cons
equê
ncia
s
Vuln
erab
ilida
des
Aval
iaçã
o in
tegr
ada
CID
Mit
igaç
ão
Con
fide
ncia
lidad
eIn
tegr
idad
eD
ispo
nibi
lidad
eC
ontr
olos
exi
sten
tes
Nov
o C
ontr
olo
Con
figu
raçã
o do
s se
rviç
os
desa
just
ada
aces
sos
a co
nsol
as
que
poss
am
perm
itir
ace
ssos
in
devi
dos
e ro
ubo
de in
form
ação
(R
DP/
SS
H p
or
exem
plo)
aces
sos
a se
rviç
os
que
poss
am p
erm
itir
qu
ebra
s de
inte
grid
ade
na in
form
ação
(p.e
. RD
P/S
SH
)
prob
lem
as d
e pe
rfor
man
ce e
de
cras
hs d
e si
stem
a as
sim
co
mo
oper
ação
inde
vida
a
prov
ocar
falh
as
não
real
izaç
ão
de te
stes
de
vuln
erab
ilida
des
Ser
vido
res
em
ambi
ente
seg
rega
do
(pro
tegi
do p
or F
irew
all)
| Ser
vido
res
em
ambi
ente
seg
rega
do
(pro
tegi
do p
or
Fire
wal
l); C
lust
ers
de
serv
idor
es; B
acku
ps d
e S
ervi
dore
s | S
ervi
dore
s em
am
bien
te
segr
egad
o (p
rote
gido
po
r Fir
ewal
l); C
lust
ers
de s
ervi
dore
s; B
acku
ps
de S
ervi
dore
s
15
"Pla
neam
ento
de
test
es d
e vu
lner
abili
dade
regu
lare
sA
plic
ação
de
técn
icas
de
hard
dnin
g”
25
10
Con
figu
raçã
o do
s se
rviç
os
desa
just
ada
aces
sos
a co
nsol
as
que
poss
am
perm
itir
ace
ssos
in
devi
dos
e ro
ubo
de in
form
ação
(R
DP/
SS
H p
or
exem
plo)
aces
sos
a se
rviç
os
que
poss
am p
erm
itir
qu
ebra
s de
inte
grid
ade
na in
form
ação
(p.e
. RD
P/S
SH
)
prob
lem
as d
e pe
rfor
man
ce e
de
cras
hs d
e si
stem
a as
sim
co
mo
oper
ação
inde
vida
a
prov
ocar
falh
as
não
aplic
ação
de
técn
icas
de
Har
dnin
g
Ser
vido
res
em
ambi
ente
seg
rega
do
(pro
tegi
do p
or F
irew
all)
| Ser
vido
res
em
ambi
ente
seg
rega
do
(pro
tegi
do p
or
Fire
wal
l); C
lust
ers
de
serv
idor
es; B
acku
ps d
e S
ervi
dore
s | S
ervi
dore
s em
am
bien
te
segr
egad
o (p
rote
gido
po
r Fir
ewal
l); C
lust
ers
de s
ervi
dore
s; B
acku
ps
de S
ervi
dore
s
15
"Pla
neam
ento
de
test
es d
e vu
lner
abili
dade
regu
lare
sA
plic
ação
de
técn
icas
de
hard
dnin
g”
25
10
Ace
sso
inde
vido
a c
onso
las
e se
rviç
os
roub
o de
in
form
ação
(RD
P/S
SH
por
exe
mpl
o)
queb
ras
de in
tegr
idad
e na
info
rmaç
ão (R
DP/
SS
H
por e
xem
plo)
prob
lem
as a
ssoc
iado
s à
oper
ação
inde
vida
a
prov
ocar
falh
as d
e se
rviç
os e
SO
exis
tênc
ia
cred
enci
ais
de a
cess
o nã
o se
gura
s
Cre
denc
iais
mud
am d
e 12
0 em
120
dias
, com
re
gras
de
segu
ranç
a | S
ervi
dore
s em
am
bien
te s
egre
gado
(p
rote
gido
por
Fi
rew
all);
Clu
ster
s de
se
rvid
ores
; Bac
kups
de
Ser
vido
res
| Ser
vido
res
em a
mbi
ente
se
greg
ado
(pro
tegi
do
por F
irew
all);
Clu
ster
s de
ser
vido
res;
Bac
kups
de
Ser
vido
res
10
"Alt
eraç
ão d
e pa
ssw
ord
de
Adm
inis
trad
or d
e do
mín
ioPo
lític
a de
Ges
tão
de A
cess
os
para
ace
ssos
pri
velig
eado
s”
15
5
Ace
sso
inde
vido
a c
onso
las
e se
rviç
os
roub
o de
in
form
ação
(RD
P/S
SH
por
exe
mpl
o)
queb
ras
de in
tegr
idad
e na
info
rmaç
ão (R
DP/
SS
H
por e
xem
plo)
prob
lem
as a
ssoc
iado
s à
oper
ação
inde
vida
a
prov
ocar
falh
as d
e se
rviç
os e
SO
cons
erva
ção
das
cred
enci
ais
(use
r/pa
ss) d
e or
igin
ais
Cre
denc
iais
mud
am d
e 12
0 em
120
dias
, com
re
gras
de
segu
ranç
a;
Clu
ster
s de
ser
vido
res;
B
acku
ps d
e S
ervi
dore
s | C
rede
ncia
is m
udam
de
120
em 12
0 di
as, c
om
regr
as d
e se
gura
nça;
C
lust
ers
de s
ervi
dore
s;
Bac
kups
de
Ser
vido
res
5
SO + Amb Virtualiz
Valor Risco = P * I”
Probabilidade 2
Probabilidade
Impacto 2
Impacto
Novo Risco = P2 * I2”
31Centro Hospitalar Universitário de São JoãoPlano de Prevenção de Riscos de Gestão, incluindo os de Corrupção e Infrações Conexas · 2018
SO + Amb Virtualiz ProdutoA
mea
ças
Cons
equê
ncia
s
Vuln
erab
ilida
des
Aval
iaçã
o in
tegr
ada
CID
Mit
igaç
ão
Con
fide
ncia
lidad
eIn
tegr
idad
eD
ispo
nibi
lidad
eC
ontr
olos
exi
sten
tes
Nov
o C
ontr
olo
Vm
war
e de
satu
aliz
ado
expl
oraç
ão d
e um
a vu
lner
abili
dade
qu
e co
mpr
omet
a a
inte
grid
ade
das
VM
s e
cons
eque
ntem
ente
dos
da
dos/
aplic
açõe
s.
expl
oraç
ão d
e um
a vu
lner
abili
dade
que
co
mpr
omet
a as
VM
s.
não
exis
tênc
ia
de p
roce
dim
ento
qu
e ob
rigu
e à
atua
lizaç
ão d
e S
O
Clu
ster
s de
ser
vido
res;
B
acku
ps d
e S
ervi
dore
s | C
lust
ers
de
serv
idor
es; B
acku
ps d
e S
ervi
dore
s
8
Vm
war
e de
scon
tinu
ado/
sem
su
port
e
vuln
erab
ilida
des
que
poss
am c
ompr
omet
er a
in
tegr
idad
e da
s V
Ms
e qu
e o
forn
eced
or já
não
co
rrija
vuln
erab
ilida
des
que
poss
am c
ompr
omet
er a
s V
Ms
e qu
e o
forn
eced
or
já n
ão c
orri
ja
não
exis
tênc
ia
de p
roce
dim
ento
qu
e ob
rigu
e à
atua
lizaç
ão d
e S
O
Clu
ster
s de
ser
vido
res;
B
acku
ps d
e S
ervi
dore
s | C
lust
ers
de
serv
idor
es; B
acku
ps d
e S
ervi
dore
s
4
Atu
aliz
ação
do
SO
proc
esso
sem
suc
esso
po
de p
rovo
car u
m e
stad
o de
cor
rupç
ão d
a V
M
proc
esso
sem
suc
esso
po
de p
rovo
car u
m e
stad
o de
cor
rupç
ão d
a V
M q
ue
a to
rne
indi
spon
ível
não
exis
tênc
ia
de p
roce
dim
ento
qu
e ob
rigu
e à
atua
lizaç
ão d
e S
O
Clu
ster
s de
ser
vido
res;
B
acku
ps d
e S
ervi
dore
s | C
lust
ers
de
serv
idor
es; B
acku
ps d
e S
ervi
dore
s
8
Sis
tem
a se
m A
ntiV
irus
vuln
erab
ilida
des
que
poss
am
com
prom
eter
a
info
rmaç
ão d
as
VM
s pu
blic
ando
da
dos
em s
itio
s nã
o au
tori
zado
s
vuln
erab
ilida
des
que
poss
am c
ompr
omet
er a
in
tegr
idad
e da
s V
Ms
vuln
erab
ilida
des
que
poss
am c
ompr
omet
er
as V
Ms
Todo
s os
sis
tem
as tê
m
anti
viru
s |
5
Ant
iVir
us d
esat
ualiz
ado
vuln
erab
ilida
des
que
poss
am
com
prom
eter
a
info
rmaç
ão d
as
VM
s pu
blic
ando
da
dos
em s
itio
s nã
o au
tori
zado
s
vuln
erab
ilida
des
que
poss
am c
ompr
omet
er a
in
tegr
idad
e da
s V
Ms
vuln
erab
ilida
des
que
poss
am c
ompr
omet
er
as V
Ms
Todo
s os
sis
tem
as tê
m
anti
viru
s co
m a
últ
ima
assi
natu
ra |
5
Con
figu
raçã
o do
Ant
iVir
us
desa
just
ada
confi
gura
ções
não
ot
imiz
adas
que
tenh
am
impa
cto
na p
erfo
rman
ce
do p
rodu
to in
stal
ado
8
Prod
uto
desa
tual
izad
o, c
om
vuln
erab
ilida
des
vuln
erab
ilida
des
que
poss
am c
ompr
omet
er a
in
tegr
idad
e da
s V
Ms
vuln
erab
ilida
des
que
poss
am c
ompr
omet
er o
pr
odut
o
" Clu
ster
s de
se
rvid
ores
; Bac
kups
de
Ser
vido
res
| Ser
vido
res
em a
mbi
ente
se
greg
ado
(pro
tegi
do
por F
irew
all e
VLA
Ns)
B
acku
ps d
e S
ervi
dore
s”
10
Prod
uto
desc
onti
nuad
o/se
m
supo
rte
vuln
erab
ilida
des
que
poss
am c
ompr
omet
er a
in
tegr
idad
e da
s V
Ms
vuln
erab
ilida
des
que
poss
am c
ompr
omet
er a
s V
Ms
e qu
e o
forn
eced
or
já n
ão c
orri
ja
" Clu
ster
s de
se
rvid
ores
; Bac
kups
de
Ser
vido
res
| Ser
vido
res
em a
mbi
ente
se
greg
ado
(pro
tegi
do
por F
irew
all e
VLA
Ns)
B
acku
ps d
e S
ervi
dore
s”
10Valor Risco = P * I”
Probabilidade 2
Probabilidade
Impacto 2
Impacto
Novo Risco = P2 * I2”
(SGBD|Serv Aplicacional|Middleware|…)
32 Centro Hospitalar Universitário de São JoãoPlano de Prevenção de Riscos de Gestão, incluindo os de Corrupção e Infrações Conexas · 2018
Am
eaça
s
Cons
equê
ncia
s
Vuln
erab
ilida
des
Aval
iaçã
o in
tegr
ada
CID
Mit
igaç
ão
Con
fide
ncia
lidad
eIn
tegr
idad
eD
ispo
nibi
lidad
eC
ontr
olos
exi
sten
tes
Nov
o C
ontr
olo
Con
figu
raçã
o de
saju
stad
a do
Pr
odut
o
confi
gura
ções
não
ot
imiz
adas
que
tenh
am
impa
cto
na p
erfo
rman
ce
aplic
acio
nal
8
Atu
aliz
ação
do
prod
uto
proc
esso
sem
suc
esso
po
de p
rovo
car u
m e
stad
o de
cor
rupç
ão d
o pr
odut
o
proc
esso
sem
suc
esso
po
de p
rovo
car u
m e
stad
o de
cor
rupç
ão d
o pr
odut
o qu
e o
torn
e in
utili
záve
l
Clu
ster
s de
ser
vido
res;
B
acku
ps d
e S
ervi
dore
s | C
lust
ers
de
serv
idor
es; B
acku
ps d
e S
ervi
dore
s
5
Cre
denc
iais
de
aces
so n
ão
segu
ras
aces
sos
inde
vido
s po
dem
pro
voca
r ro
ubo
de
info
rmaç
ão
aces
sos
inde
vido
s po
dem
pr
ovoc
ar a
lter
açõe
s in
devi
das
nos
dado
s pr
ovoc
ando
que
bras
na
inte
grid
ade
aces
sos
inde
vido
s po
dem
pr
ovoc
ar d
isru
pção
nos
pr
odut
os (e
xem
plo.
.. pa
rar u
ma
BD
Ora
cle
com
us
er S
YS
)
cred
enci
ais
conh
ecid
as n
o âm
bito
ala
rgad
o do
SN
S
Clu
ster
s de
ser
vido
res;
B
acku
ps d
e S
ervi
dore
s | C
lust
ers
de
serv
idor
es; B
acku
ps d
e S
ervi
dore
s
15"(
não
depe
nde
do S
TIC
)S
olic
itad
o à
SPM
S a
alt
eraç
ão
dos
Ace
ssos
”
Ata
que
"Man
-in-t
he-M
iddl
e"ac
esso
a
info
rmaç
ão
confi
denc
ial
utili
zaçã
o de
pr
otoc
olo
SS
L/TL
S n
ão s
egur
o ou
m
al c
onfi
gura
do
Ser
vido
res
em
ambi
ente
seg
rega
do
(pro
tegi
do p
or F
irew
all
e V
LAN
s) |
6
Ata
que
"Man
-in-t
he-M
iddl
e"ac
esso
a
info
rmaç
ão
confi
denc
ial
utili
zaçã
o de
ch
aves
de
cifr
a nã
o se
gura
s
Ser
vido
res
em
ambi
ente
seg
rega
do
(pro
tegi
do p
or F
irew
all
e V
LAN
s) |
6
Escu
ta d
e cr
eden
ciai
s de
ace
sso,
po
r pro
cess
o de
aut
enti
caçã
o nã
o se
guro
aces
so a
in
form
ação
co
nfide
ncia
l
aces
sos
inde
vido
s po
dem
pr
ovoc
ar a
lter
açõe
s in
devi
das
nos
dado
s pr
ovoc
ando
que
bras
na
inte
grid
ade
aces
sos
inde
vido
s po
dem
pr
ovoc
ar d
isru
pção
nos
pr
odut
os (e
xem
plo.
.. pa
rar u
ma
BD
Ora
cle
com
us
er S
YS
)
cred
enci
ais
pass
adas
por
H
TTP
em v
ez d
e H
TTPS
Ser
vido
res
em
ambi
ente
seg
rega
do
(pro
tegi
do p
or F
irew
all
e V
LAN
s) | S
ervi
dore
s em
am
bien
te
segr
egad
o (p
rote
gido
po
r Fir
ewal
l e V
LAN
s)
| Ser
vido
res
em
ambi
ente
seg
rega
do
(pro
tegi
do p
or F
irew
all
e V
LAN
s)
10
Uti
lizaç
ao d
e té
cnic
as d
e C
lickj
acki
ng
aces
so a
in
form
ação
co
nfide
ncia
l
aces
sos
inde
vido
s po
dem
pr
ovoc
ar a
lter
açõe
s in
devi
das
nos
dado
s pr
ovoc
ando
que
bras
na
inte
grid
ade
aces
sos
inde
vido
s po
dem
pr
ovoc
ar d
isru
pção
nos
pr
odut
os (e
xem
plo.
.. pa
rar u
ma
BD
Ora
cle
com
us
er S
YS
)
aplic
ação
Web
vu
lner
ável
a
Clic
kjac
king
Ser
vido
res
em
ambi
ente
seg
rega
do
(pro
tegi
do p
or F
irew
all
e V
LAN
s) | S
ervi
dore
s em
am
bien
te
segr
egad
o (p
rote
gido
po
r Fir
ewal
l e V
LAN
s)
| Ser
vido
res
em
ambi
ente
seg
rega
do
(pro
tegi
do p
or F
irew
all
e V
LAN
s)
10Valor Risco = P * I”
Probabilidade 2
Probabilidade
Impacto 2
Impacto
Novo Risco = P2 * I2”
(SGBD|Serv Aplicacional|Middleware|…)
33Centro Hospitalar Universitário de São JoãoPlano de Prevenção de Riscos de Gestão, incluindo os de Corrupção e Infrações Conexas · 2018
AplicaçõesA
mea
ças
Cons
equê
ncia
s
Vuln
erab
ilida
des
Aval
iaçã
o in
tegr
ada
CID
Mit
igaç
ão
Con
fide
ncia
lidad
eIn
tegr
idad
eD
ispo
nibi
lidad
eC
ontr
olos
exi
sten
tes
Nov
o C
ontr
olo
Uti
lizaç
ao d
e té
cnic
as d
e C
lickj
acki
ng
aces
so a
in
form
ação
co
nfide
ncia
l
aces
sos
inde
vido
s po
dem
pr
ovoc
ar a
lter
açõe
s in
devi
das
nos
dado
s pr
ovoc
ando
que
bras
na
inte
grid
ade
aces
sos
inde
vido
s po
dem
pr
ovoc
ar d
isru
pção
nos
pr
odut
os (e
xem
plo.
.. pa
rar u
ma
BD
Ora
cle
com
us
er S
YS
)
utili
zaçã
o de
té
cnia
s de
pr
ogra
maç
ão n
ão
segu
ras
Ser
vido
res
em
ambi
ente
seg
rega
do
(pro
tegi
do p
or F
irew
all
e V
LAN
s) | S
ervi
dore
s em
am
bien
te
segr
egad
o (p
rote
gido
po
r Fir
ewal
l e V
LAN
s)
| Ser
vido
res
em
ambi
ente
seg
rega
do
(pro
tegi
do p
or F
irew
all
e V
LAN
s)
10
Erro
s ap
licac
iona
is
erro
s na
s fu
ncio
nalid
ades
de
gest
ão d
e ac
esso
e
que
perm
item
ac
esso
s in
devi
dos
erro
s qu
e co
mpr
omet
em
a in
tegr
idad
e da
s ap
licaç
ões
e do
s da
dos
erro
s qu
e im
pact
em
na p
erfo
rman
ce e
na
disp
onib
ilida
de d
a ap
licaç
ão (e
xem
plo,
m
emor
y le
ak
aplic
acio
nal)
não
exis
tênc
ia d
e pr
oced
imen
tos
de
test
e20
"Cri
ar a
mbi
ente
s de
pré
-pr
oduç
ão
Defi
nir p
roce
dim
ento
s de
te
ste
e en
trad
a em
pro
duçã
o”
25
10
Atu
aliz
açõe
s ap
licac
iona
is, c
om
proc
edim
ento
de
inst
alaç
ão
erra
dos
impa
cto
na u
tiliz
ação
dos
ci
rcui
tos
de n
egóc
io n
as
aplic
açoe
s15
"Pro
cedi
men
to d
e G
estã
o de
A
lter
açõe
s fo
rmal
izad
oD
efini
r pro
cedi
men
tos
de
test
e e
entr
ada
em p
rodu
ção”
15
5
Atu
aliz
açõe
s ap
licac
iona
is, s
em
noti
fica
ção
de fu
ncio
nalid
ades
al
tera
das
impa
cto
na u
tiliz
ação
dos
ci
rcui
tos
de n
egóc
io n
as
aplic
açoe
s15
Proc
edim
ento
de
Ges
tão
de
Alt
eraç
ões
form
aliz
ado,
com
"c
hang
e lo
g" d
etal
hado
15
5
Atu
aliz
açõe
s ap
licac
iona
is, c
om
impl
icaç
ão n
as p
aram
etri
zaçõ
es
(cir
cuit
o fu
ncio
nal)
impa
cto
na u
tiliz
ação
dos
ci
rcui
tos
de n
egóc
io n
as
aplic
açoe
s15
Proc
edim
ento
de
Ges
tão
de
Alt
eraç
ões
form
aliz
ado,
com
do
cum
enta
ção
deta
lhad
a de
pa
ram
etri
zaçã
o
15
5
Proc
edim
ento
s op
erac
iona
is
erra
dos
erro
s qu
e co
mpr
omet
em
a in
tegr
idad
e da
s ap
licaç
ões
e do
s da
dos
erro
s qu
e im
pact
em
na p
erfo
rman
ce e
na
disp
onib
ilida
de d
a ap
licaç
ão (e
xem
plo,
m
emor
y le
ak
aplic
acio
nal)
falt
a de
do
cum
enta
ção
de s
upor
te à
op
eraç
ão
20Pr
oced
imen
tos
de o
pera
ção
form
aliz
ados
25
10
Alt
eraç
ão d
e pa
ram
etri
zaçã
o qu
e ge
ra e
rro
erro
s na
s fu
ncio
nalid
ades
de
gest
ão d
e ac
esso
e
que
perm
item
ac
esso
s in
devi
dos
erro
s qu
e co
mpr
omet
em
a in
tegr
idad
e da
s ap
licaç
ões
e do
s da
dos
erro
s qu
e im
pact
em
na p
erfo
rman
ce e
na
disp
onib
ilida
de d
a ap
licaç
ão (e
xem
plo,
m
emor
y le
ak
aplic
acio
nal)
20Pr
oced
imen
to d
e G
estã
o de
A
lter
açõe
s fo
rmal
izad
o2
510
Valor Risco = P * I”
Probabilidade 2
Probabilidade
Impacto 2
Impacto
Novo Risco = P2 * I2”
(SGBD|Serv Aplicacional|Middleware|…)
34 Centro Hospitalar Universitário de São JoãoPlano de Prevenção de Riscos de Gestão, incluindo os de Corrupção e Infrações Conexas · 2018
DadosA
mea
ças
Cons
equê
ncia
s
Vuln
erab
ilida
des
Aval
iaçã
o in
tegr
ada
CID
Mit
igaç
ão
Con
fide
ncia
lidad
eIn
tegr
idad
eD
ispo
nibi
lidad
eC
ontr
olos
exi
sten
tes
Nov
o C
ontr
olo
Ace
sso
inde
vido
por
fo
rnec
edor
es e
m a
cess
o re
mot
o
aces
sos
inde
vido
s po
dem
pro
voca
r ro
ubo
de
info
rmaç
ão
aces
sos
inde
vido
s po
dem
pr
ovoc
ar a
lter
açõe
s in
devi
das
nos
dado
s pr
ovoc
ando
que
bras
na
inte
grid
ade
aces
sos
inde
vido
s po
dem
pr
ovoc
ar d
isru
pção
no
s si
stem
as s
e fo
rem
el
imin
ados
dad
os
Polít
ica
de a
cess
o de
fo
rnec
edor
es, q
ue
requ
er p
edid
o de
at
ivaç
ão te
mpo
rári
o de
ac
esso
|
20
"Mon
itor
izar
ace
ssos
re
aliz
ados
(gra
var s
essã
o de
in
terv
ençã
o - p
.e. c
onso
la)
Rea
lizaç
ão d
e au
dito
rias
”
25
10
Exis
tênc
ia d
e di
fere
ntes
cóp
ias
de in
form
ação
não
con
trol
adas
, em
dif
eren
tes
fase
s do
pr
oces
so?
regi
stos
inco
rret
os d
e in
form
ação
defi
cien
te
cum
prim
ento
de
proc
edim
ento
s de
fini
dos
20Fo
rmal
izar
/doc
umen
tar
proc
edim
ento
s a
real
izar
(f
olha
de
obra
)2
510
Perd
a de
kno
w-h
ow e
m
plat
afor
mas
ou
sist
emas
crí
tico
s
com
prom
etim
ento
da
inte
grid
ade
das
aplic
açõe
s e
dos
dado
s
com
prom
etim
ento
da
per
form
ance
e n
a di
spon
ibili
dade
da
aplic
ação
conh
ecim
ento
não
re
dund
ante
ou
inex
iste
nte
20"P
roce
dim
ento
s de
ope
raçã
o fo
rmal
izad
osN
omea
r bac
kup
de fu
nçõe
s”2
510
Perd
a de
kno
w-h
ow e
m
plat
afor
mas
ou
sist
emas
crí
tico
s
com
prom
etim
ento
da
inte
grid
ade
das
aplic
açõe
s e
dos
dado
s
com
prom
etim
ento
da
per
form
ance
e n
a di
spon
ibili
dade
da
aplic
ação
falt
a de
form
ação
15Pl
ano
de fo
rmaç
ão a
linha
do
com
nec
essi
dade
s té
cnic
as d
o am
bien
te in
stal
ado
15
5
Ata
que
por t
écni
cos
expo
siçã
o in
devi
da d
e da
dos/
info
rmaç
ão
com
prom
etim
ento
da
inte
grid
ade
das
aplic
açõe
s e
dos
dado
s
com
prom
etim
ento
da
dis
poni
bilid
ade
da
aplic
ação
cola
bora
dore
s in
sati
sfei
tos
Logs
dos
sis
tem
as
estã
o, p
or d
efei
to
ativ
os |
5
Ata
que
por t
écni
cos
expo
siçã
o in
devi
da d
e da
dos/
info
rmaç
ão
com
prom
etim
ento
da
inte
grid
ade
das
aplic
açõe
s e
dos
dado
s
com
prom
etim
ento
da
dis
poni
bilid
ade
da
aplic
ação
falt
a de
pr
oced
imen
tos
de c
ontr
olo/
mon
itor
izaç
ão
15
"Mon
itor
izar
ace
ssos
re
aliz
ados
(gra
var s
essã
o de
in
terv
ençã
o - p
.e. c
onso
la)
Rea
lizaç
ão d
e au
dito
rias
”
25
10
Que
bra
de s
ervi
ço d
e su
port
e a
aplic
açõe
s/si
stem
as
com
prom
etim
ento
da
inte
grid
ade
das
aplic
açõe
s e
dos
dado
s
com
prom
etim
ento
da
per
form
ance
e n
a di
spon
ibili
dade
da
aplic
ação
perd
a de
co
mpe
tênc
ia
no s
upor
te e
de
senv
olvi
men
to
de a
plic
açõe
s/si
stem
as
5
Ata
que
por c
olab
orad
ores
dos
se
rviç
os s
ubco
ntra
tado
s
expo
siçã
o in
devi
da d
e da
dos/
info
rmaç
ão
com
prom
etim
ento
da
inte
grid
ade
das
aplic
açõe
s e
dos
dado
s
com
prom
etim
ento
da
dis
poni
bilid
ade
da
aplic
ação
cola
bora
dore
s m
al in
tenc
iona
dos
Polít
ica
de a
cess
o de
fo
rnec
edor
es, q
ue
requ
er p
edid
o de
at
ivaç
ão te
mpo
rári
o de
ac
esso
|
5
Ata
que
por c
olab
orad
ores
dos
se
rviç
os s
ubco
ntra
tado
s
expo
siçã
o in
devi
da d
e da
dos/
info
rmaç
ão
com
prom
etim
ento
da
inte
grid
ade
das
aplic
açõe
s e
dos
dado
s
com
prom
etim
ento
da
dis
poni
bilid
ade
da
aplic
ação
defi
cien
te
cont
rolo
/m
onit
oriz
ação
do
serv
iço
pres
tado
Polít
ica
de a
cess
o de
fo
rnec
edor
es, q
ue
requ
er p
edid
o de
at
ivaç
ão te
mpo
rári
o de
ac
esso
|
5Fo
rmal
izar
/doc
umen
tar
proc
edim
ento
s a
real
izar
(f
olha
de
obra
)
Valor Risco = P * I”
Probabilidade 2
Probabilidade
Impacto 2
Impacto
Novo Risco = P2 * I2”
Equipa IT Fornecedores
35Centro Hospitalar Universitário de São JoãoPlano de Prevenção de Riscos de Gestão, incluindo os de Corrupção e Infrações Conexas · 2018
Utilizadores
Processos e Procedimentos de Segurança
Am
eaça
s
Cons
equê
ncia
s
Vuln
erab
ilida
des
Aval
iaçã
o in
tegr
ada
CID
Mit
igaç
ão
Con
fide
ncia
lidad
eIn
tegr
idad
eD
ispo
nibi
lidad
eC
ontr
olos
exi
sten
tes
Nov
o C
ontr
olo
Div
ulga
ção
inde
vida
de
cred
enci
ais
de a
cess
oac
esso
inde
vido
man
ipul
ação
de
info
rmaç
ão, o
rigi
nand
o qu
ebra
de
inte
grid
ade
defi
cien
te c
ultu
ra
de s
egur
ança
do
pess
oal
Cre
denc
ial ú
nica
de
aces
so (t
ambé
m d
á ac
esso
a in
from
ação
co
nfide
ncia
l) |
9Pl
anea
r açõ
es d
e se
nsib
iliza
ção
regu
lare
s1
33
Div
ulga
ção
inde
vida
de
cred
enci
ais
de a
cess
oac
esso
inde
vido
man
ipul
ação
de
info
rmaç
ão, o
rigi
nand
o qu
ebra
de
inte
grid
ade
falt
a de
form
ação
ou
sen
sibi
lizaç
ão
Exis
te s
ensi
biliz
ação
du
rant
e se
ssão
de
apre
sent
ação
aos
in
tern
os | E
xist
e se
nsib
iliza
ção
dura
nte
sess
ão d
e ap
rese
ntaç
ão a
os
inte
rnos
|
15Pl
anea
r açõ
es d
e se
nsib
iliza
ção
regu
lare
s1
33
Ace
sso
não
auto
riza
do à
rede
e
sist
emas
aces
so in
devi
dom
anip
ulaç
ão d
e in
form
ação
, ori
gina
ndo
queb
ra d
e in
tegr
idad
e
sess
ões
ativ
as d
uran
te
expe
dien
te
Ses
sões
com
pro
teçã
o de
ecr
ã | S
essõ
es c
om
prot
eção
de
ecrã
| 3
Ace
sso
não
auto
riza
do à
rede
e
sist
emas
aces
so in
devi
dom
anip
ulaç
ão d
e in
form
ação
, ori
gina
ndo
queb
ra d
e in
tegr
idad
e
expo
siça
o m
aior
, ap
ós h
orár
io d
e tr
abal
ho
Ses
sões
com
pro
teçã
o de
ecr
ã | S
essõ
es c
om
prot
eção
de
ecrã
| 6
Alt
eraç
ão e
rrón
ea d
e re
gist
osad
ulte
raçã
o da
in
form
ação
de
paci
ente
falt
a de
con
trol
o de
ent
rada
dad
os
Ace
ssos
ger
idos
por
pe
rfis,
com
atr
ibiç
ão n
o ba
ckof
fice
| 15
"Impl
emen
tar m
ecan
ism
os d
e va
lidaç
ão d
e en
trad
a de
dad
os
Ger
açao
de
logs
apl
icac
iona
is”
15
5
Erro
do
utili
zado
ral
tera
ção
inde
vida
da
info
rmaç
ãofa
lta
de c
ontr
olo
de e
ntra
da d
ados
20Im
plem
enta
r mec
anis
mos
de
valid
ação
de
entr
ada
de d
ados
34
12
Erro
do
utili
zado
ral
tera
ção
inde
vida
da
info
rmaç
ãopr
oced
imen
tos
inap
ropr
iado
s20
Prop
or a
os s
ervi
ços
defi
niçã
o de
pro
cedi
men
tos
inte
rnos
Uti
lizaç
ão d
e so
ftw
are
não
auto
riza
do
queb
ra d
e co
nfide
ncia
lidad
e de
info
rmaç
ão
com
prom
etim
ento
da
inte
grid
ade
das
aplic
açõe
s e
dos
dado
s
não
cont
rolo
de
SW in
stal
ado
Uti
lizad
or s
em
priv
ilégi
os d
e in
stal
ação
de
sw
| Uti
lizad
or s
em
priv
ilégi
os d
e in
stal
ação
de
sw |
5
Div
ulga
ção
não
auto
riza
da d
e in
form
ação
, inc
lusi
vé a
trav
és d
e re
des
soci
ais
queb
ra d
e co
nfide
ncia
lidad
e de
info
rmaç
ão
"Cód
igo
de c
ondu
ta
Con
trat
o de
trab
alho
| “8
Sen
sibi
lizaç
ão
Não
cum
prim
ento
da
legi
slaç
ãoqu
ebra
de
confi
denc
ialid
ade
de in
form
ação
info
rmaç
ão n
ão e
stá
atua
lizad
a de
aco
rdo
com
re
gula
ção
ou le
gisl
ação
desc
onhe
cim
ento
da
legi
slaç
ão o
u su
a at
ualiz
ação
Con
trat
o de
trab
alho
| 12
Defi
nir p
roce
dim
ento
de
divu
lgaç
ão d
e in
form
ação
de
legi
slaç
ão a
plic
ável
ao
STIC
14
4
Valor Risco = P * I”
Probabilidade 2
Probabilidade
Impacto 2
Impacto
Novo Risco = P2 * I2”
36 Centro Hospitalar Universitário de São JoãoPlano de Prevenção de Riscos de Gestão, incluindo os de Corrupção e Infrações Conexas · 2018
Am
eaça
s
Cons
equê
ncia
s
Vuln
erab
ilida
des
Aval
iaçã
o in
tegr
ada
CID
Mit
igaç
ão
Con
fide
ncia
lidad
eIn
tegr
idad
eD
ispo
nibi
lidad
eC
ontr
olos
exi
sten
tes
Nov
o C
ontr
olo
Defi
cien
tes
cont
rolo
de
trat
amen
to d
e ex
cepõ
es n
as
aplic
açõe
s
queb
ras
de in
tegr
idad
e da
info
rmaç
ãoin
disp
onib
ilida
de d
a ap
licaç
ão
defi
cien
te
dese
nvol
vim
ento
de
cód
igo
20
"Pla
no d
e de
senv
olvi
men
to
de s
oftw
are
que
incl
ua
trat
amen
to d
e ex
cepç
ões
Proc
edim
ento
s op
erac
iona
is
que
mon
itor
izem
e re
gist
em
ocor
rênc
ias
para
trat
amen
to
e ev
entu
al c
orre
ção
das
aplic
açõe
s”
25
10
Falh
as n
a ge
stão
da
segu
ranç
a da
info
rmaç
ão e
a re
spos
ta
apro
pria
da a
inci
dent
es, p
or
defi
cien
te m
odel
o de
gov
erna
ção
da s
egur
ança
(que
m é
e o
que
fa
zem
os
resp
onsá
veis
pel
a se
gura
nça
dos
sist
emas
)
aces
so a
in
form
ação
co
nfide
ncia
lal
tera
ção
da in
form
ação
indi
spon
ibili
dade
da
aplic
ação
As
resp
onsa
bilid
ades
de
seg
uran
ça d
a in
form
ação
não
se
enc
ontr
am
defi
nida
s e/
ou
não
se e
ncon
tram
at
ribu
ídas
a
nenh
uma
funç
ão
dent
ro d
a or
gani
zaçã
o
Cad
a té
cnic
o/es
peci
alis
ta é
re
spon
sáve
l pel
a se
gura
nça
da s
ua á
rea
de c
ompe
tênc
ia
34
12Fo
rmal
izaç
ão d
e re
spon
sabi
lidad
e de
seg
uran
ça1
44
Falh
as n
a ge
stão
da
segu
ranç
a da
info
rmaç
ão e
a re
spos
ta
apro
pria
da a
inci
dent
es, p
or
defi
cien
te m
odel
o de
gov
erna
ção
da s
egur
ança
(que
m é
e o
que
fa
zem
os
resp
onsá
veis
pel
a se
gura
nça
dos
sist
emas
)
aces
so a
in
form
ação
co
nfide
ncia
lal
tera
ção
da in
form
ação
indi
spon
ibili
dade
da
aplic
ação
Inex
istê
ncia
de
segr
egaç
ão d
e fu
nçõe
s
"O a
cess
o de
fo
rnec
edor
es é
da
do p
or a
ped
ido/
inte
rven
ção
Seg
rega
ção
entr
e G
estã
o de
Inci
dent
e e
Ges
tão
de p
robl
emas
(T
écni
co/E
spec
ialis
ta)”
24
8
Falh
as n
a ge
stão
da
segu
ranç
a da
info
rmaç
ão e
a re
spos
ta
apro
pria
da a
inci
dent
es, p
or
defi
cien
te m
odel
o de
gov
erna
ção
da s
egur
ança
(que
m é
e o
que
fa
zem
os
resp
onsá
veis
pel
a se
gura
nça
dos
sist
emas
)
aces
so a
in
form
ação
co
nfide
ncia
lal
tera
ção
da in
form
ação
indi
spon
ibili
dade
da
aplic
ação
Não
são
de
senv
olvi
das
inic
iati
vas
por f
orm
a a
dese
nvol
ver o
re
laci
onam
ento
co
m a
s au
tori
dade
s co
mpe
tent
es
Esta
bele
cido
can
al
com
SPM
S/C
NC
S p
ara
repo
rtar
inci
dent
es d
e se
gura
nça,
no
âmbi
to
do R
espo
nsáv
el d
e N
otifi
caçã
o O
brig
atór
ia
(RN
O)
25
10
Man
uten
ção
do a
cess
o de
co
labo
rado
res
a si
stem
as/
info
rmaç
ão, a
pós
alte
rem
a s
ua
rela
ção
cont
ratu
al (p
.e. m
udan
ça
de s
ervi
ço o
u fu
nção
)
aces
so a
in
form
ação
co
nfide
ncia
lal
tera
ção
da in
form
ação
Falh
a no
pr
oced
imen
to
form
al d
e co
mun
icaç
ão
List
agem
de
RH
par
a de
sati
vaçã
o do
per
fil
(def
erid
a no
tem
po -
men
sal)
43
12
Rev
er p
roce
dim
ento
de
alte
raçã
o de
ace
ssos
, com
pe
riod
icid
ade
mai
s cu
rta
(idea
lmen
te im
edia
ta) e
au
tom
atiz
ada
(Ges
tão
de
iden
tida
des/
aces
sos
pelo
s R
H)
23
6
Processos e Procedimentos de SegurançaUtilizadores
Valor Risco = P * I”
Probabilidade 2
Probabilidade
Impacto 2
Impacto
Novo Risco = P2 * I2”
37Centro Hospitalar Universitário de São JoãoPlano de Prevenção de Riscos de Gestão, incluindo os de Corrupção e Infrações Conexas · 2018
Am
eaça
s
Cons
equê
ncia
s
Vuln
erab
ilida
des
Aval
iaçã
o in
tegr
ada
CID
Mit
igaç
ão
Con
fide
ncia
lidad
eIn
tegr
idad
eD
ispo
nibi
lidad
eC
ontr
olos
exi
sten
tes
Nov
o C
ontr
olo
Ace
sso
inde
vido
ou
man
ipul
ação
in
adeq
uada
de
info
rmaç
ão,
por f
alha
no
proc
esso
de
inve
ntar
iaçã
o do
s si
stem
as, s
eus
resp
onsá
veis
e re
gras
par
a a
sua
prot
ecão
.
aces
so a
in
form
ação
co
nfide
ncia
l
Não
exi
ste
um
proc
esso
form
al
de g
estã
o de
in
vent
ário
do
s si
stem
as
info
rmaç
ão
que
proc
essa
m
info
rmaç
ão c
ríti
ca
Exis
te d
oc E
xcel
co
m in
form
ação
dos
se
rvid
ores
32
6
Div
ulga
ção
não
auto
riza
da d
e in
form
ação
, arm
azen
ada
em
supo
rtes
de
dado
s, p
or a
usên
cia
de p
roce
dim
ento
s e/
ou fa
lha
no c
ontr
olo
de a
cess
o a
esse
s su
port
es.
aces
so a
in
form
ação
co
nfide
ncia
l
Não
exi
ste
um
proc
edim
ento
pa
ra a
ges
tão
de
supo
rtes
de
dado
s am
ovív
eis
22
4
Ace
sso
inde
vido
de
utili
zado
res
a in
form
ação
, por
inad
equa
da
impl
emen
taçã
o de
pro
cess
os
e pr
oced
imen
tos
de a
nális
e e
atri
buiç
ão d
esse
s ac
esso
s.
aces
so a
in
form
ação
co
nfide
ncia
l
Não
exi
ste
um p
roce
sso
que
gara
nta
a re
moç
ão d
os
dire
itos
de
aces
so
após
a c
essa
ção
da re
laçã
o co
ntra
tual
"Ace
sso
é da
do p
or
perfi
l (ca
tego
ria/
serv
iço)
A
cess
os
com
plem
enta
res
dado
s a
pedi
do p
elo
supe
rior
H
iera
rqui
co”
15
5
Ace
sso
inde
vido
a in
form
ação
, ut
iliza
ndo
cred
enci
ais
de
aces
so o
btid
as il
egal
men
te o
u in
devi
dam
ente
ced
idas
por
um
co
labo
rado
r ou
terc
eiro
aces
so a
in
form
ação
co
nfide
ncia
l
Não
exi
ste
uma
resp
onsa
biliz
ação
do
s ut
iliza
dore
s pe
la p
rote
ção
das
cred
enci
ais
de
aute
ntic
ação
"Exi
stem
pro
gram
as
de s
ensi
biliz
ação
Ex
isti
ndo
SS
O q
ue
perm
ite
o ac
esso
ao
s da
dos
Pess
oais
, A
ssid
uida
de e
Fi
nanc
eiro
s, in
ibiu
a
part
ilha”
14
4
Ace
sso
não
auto
riza
do a
si
stem
as e
apl
icaç
ões,
incl
uind
o có
digo
font
e, p
oten
cian
do o
ac
esso
inde
vido
aces
so a
in
form
ação
co
nfide
ncia
lal
tera
ção
da in
form
ação
indi
spon
ibili
dade
da
aplic
ação
Não
exi
ste
cont
rolo
na
utili
zaçã
o de
so
ftw
are
de
adm
inis
traç
ão d
e si
stem
as
15
5
Ris
cos
de a
cess
o ou
adu
lter
ação
de
info
rmaç
ão, n
a tr
ansm
issã
o,
arm
azen
amen
to, p
or u
tiliz
ação
de
mei
os c
onsi
dera
dos
inse
guro
s (c
anai
s de
com
unic
ação
, mei
os
de a
rmaz
enam
ento
am
ovív
eis)
aces
so a
in
form
ação
co
nfide
ncia
l
Não
exi
ste
uma
polít
ica
para
uti
lizaç
ão
de c
ontr
olos
cr
ipto
gráfi
cos
para
pro
teçã
o da
in
form
ação
"Ser
vido
res
em
ambi
ente
seg
rega
do
(pro
tegi
do p
or F
irew
all
e V
LAN
s)Ex
iste
a p
ráti
ca d
e im
plem
enta
ção
de
com
unic
açõe
s se
gura
s pa
ra o
ext
erio
r (H
TTPS
e
VPN
SS
L)”
15
5
Processos e Procedimentos de Segurança
Valor Risco = P * I”
Probabilidade 2
Probabilidade
Impacto 2
Impacto
Novo Risco = P2 * I2”
38 Centro Hospitalar Universitário de São JoãoPlano de Prevenção de Riscos de Gestão, incluindo os de Corrupção e Infrações Conexas · 2018
Am
eaça
s
Cons
equê
ncia
s
Vuln
erab
ilida
des
Aval
iaçã
o in
tegr
ada
CID
Mit
igaç
ão
Con
fide
ncia
lidad
eIn
tegr
idad
eD
ispo
nibi
lidad
eC
ontr
olos
exi
sten
tes
Nov
o C
ontr
olo
Ope
raçã
o ou
man
uten
ção
inad
equa
da d
os s
iste
mas
de
info
rmaç
ão, q
ue p
oten
ciem
err
os
ou in
terfi
ram
na
sua
capa
cida
de
e pe
rfor
man
ce
alte
raçã
o da
info
rmaç
ãoin
disp
onib
ilida
de d
a ap
licaç
ão
Os
proc
edim
ento
s de
ope
raçã
o nã
o se
enc
ontr
am
docu
men
tado
s
Exis
te m
anua
l de
oper
ação
, par
a a
gene
ralid
ade
das
aplic
açõe
s (s
em o
cu
idad
o de
atu
aliz
ação
co
ntin
ua)
25
10
Ope
raçã
o ou
man
uten
ção
inad
equa
da d
os s
iste
mas
de
info
rmaç
ão, q
ue p
oten
ciem
err
os
ou in
terfi
ram
na
sua
capa
cida
de
e pe
rfor
man
ce
alte
raçã
o da
info
rmaç
ãoin
disp
onib
ilida
de d
a ap
licaç
ão
As
alte
raçõ
es
que
afec
tem
a
segu
ranç
a do
s si
stem
as
de in
form
ação
nã
o es
tão
a se
r co
ntro
lada
s ne
m
aval
iado
s os
seu
s im
pact
os
35
15
"Pro
cedi
men
to d
e G
estã
o de
Alt
eraç
ões
form
aliz
ado,
co
m a
tiva
ção
de lo
gs
corr
espo
nden
tes
à al
tera
ção
Defi
nir p
roce
dim
ento
s de
te
ste
e en
trad
a em
pro
duçã
o”
15
5
Ope
raçã
o ou
man
uten
ção
inad
equa
da d
os s
iste
mas
de
info
rmaç
ão, q
ue p
oten
ciem
err
os
ou in
terfi
ram
na
sua
capa
cida
de
e pe
rfor
man
ce
alte
raçã
o da
info
rmaç
ãoin
disp
onib
ilida
de d
a ap
licaç
ão
Não
exi
ste
segr
egaç
ão
de a
mbi
ente
s D
esen
volv
imen
to,
Test
e e
Prod
ução
)
35
15
Cri
ação
de
ambi
ente
s de
am
bien
tes
segr
egad
os
(Des
envo
lvim
ento
, Tes
te e
Pr
oduç
ão)
15
5
Perd
a de
info
rmaç
ão, p
or fa
lta
ou in
eficá
cia
de p
roce
dim
ento
s pa
ra s
alva
guar
da e
recu
pera
ção
de d
ados
, pot
enci
ando
falh
as
nos
plan
os d
e re
cupe
raçã
o ou
a
resp
osta
a in
cide
ntes
.
alte
raçã
o da
info
rmaç
ãoin
disp
onib
ilida
de d
a ap
licaç
ão
A p
olít
ica
de
back
ups
não
se
enco
ntra
aju
stad
a às
nec
essi
dade
s do
neg
ócio
Ora
cle
com
fu
ncio
nalid
ade
de
Arc
hive
Mod
e, c
om
cópi
a pa
ra ta
pe
15
5
Perd
a de
info
rmaç
ão, p
or fa
lta
ou in
eficá
cia
de p
roce
dim
ento
s pa
ra s
alva
guar
da e
recu
pera
ção
de d
ados
, pot
enci
ando
falh
as
nos
plan
os d
e re
cupe
raçã
o ou
a
resp
osta
a in
cide
ntes
.
alte
raçã
o da
info
rmaç
ãoin
disp
onib
ilida
de d
a ap
licaç
ão
Não
são
re
aliz
ados
test
es
peri
ódic
os
de re
posi
ção
aos
back
ups
real
izad
os
Têm
sid
o re
aliz
adas
re
cupe
raçõ
es a
ped
ido
25
10
Perd
a de
info
rmaç
ão, p
or fa
lta
ou in
eficá
cia
de p
roce
dim
ento
s pa
ra s
alva
guar
da e
recu
pera
ção
de d
ados
, pot
enci
ando
falh
as
nos
plan
os d
e re
cupe
raçã
o ou
a
resp
osta
a in
cide
ntes
.
alte
raçã
o da
info
rmaç
ãoin
disp
onib
ilida
de d
a ap
licaç
ão
"Sol
ução
de
bac
kup
desa
tual
izad
aA
sol
ução
atu
al
está
no
limit
e de
cap
acid
ade,
qu
e or
igin
a qu
e se
não
cor
rer u
m
back
up, s
ó po
de
ser e
xecu
tado
no
perí
odo
segu
inte
”
35
15Im
plem
enta
ção
de s
oluç
ão
de b
acku
ps a
tual
izad
a e
com
ca
paci
dade
aju
stad
a1
55
Mon
itor
izaç
ão in
efici
ente
(log
s nã
o es
tão
a se
r dev
idam
ente
re
gist
ados
e m
onit
orad
os
aces
so a
in
form
ação
co
nfide
ncia
lal
tera
ção
da in
form
ação
indi
spon
ibili
dade
da
aplic
ação
"Sem
aná
lise
de
logs
S
em c
orre
laçã
o de
eve
ntos
”
“Par
a ac
eder
do
exte
rior
à re
de d
o H
SJ é
nec
essá
rio
pass
ar p
elo
Ope
rado
r e
Mec
anis
mos
de
segu
ranç
a da
RIS
In
tern
amen
te a
rede
es
tá s
egre
gada
”
25
10
Processos e Procedimentos de Segurança
Valor Risco = P * I”
Probabilidade 2
Probabilidade
Impacto 2
Impacto
Novo Risco = P2 * I2”
39Centro Hospitalar Universitário de São JoãoPlano de Prevenção de Riscos de Gestão, incluindo os de Corrupção e Infrações Conexas · 2018
Am
eaça
s
Cons
equê
ncia
s
Vuln
erab
ilida
des
Aval
iaçã
o in
tegr
ada
CID
Mit
igaç
ão
Con
fide
ncia
lidad
eIn
tegr
idad
eD
ispo
nibi
lidad
eC
ontr
olos
exi
sten
tes
Nov
o C
ontr
olo
Não
det
eção
ou
dete
ção
inefi
caz
de in
cide
ntes
de
segu
ranç
a no
s si
stem
as d
e in
form
ação
e re
de
de c
omun
icaç
ão
aces
so a
in
form
ação
co
nfide
ncia
lal
tera
ção
da in
form
ação
indi
spon
ibili
dade
da
aplic
ação
Os
regi
stos
e lo
gs
de a
tivi
dade
não
se
enc
ontr
am
prot
egid
os c
ontr
a a
adul
tera
ção
e o
aces
so n
ão
auto
riza
do
25
10
Não
det
eção
ou
dete
ção
inefi
caz
de in
cide
ntes
de
segu
ranç
a no
s si
stem
as d
e in
form
ação
e re
de
de c
omun
icaç
ão
aces
so a
in
form
ação
co
nfide
ncia
lal
tera
ção
da in
form
ação
indi
spon
ibili
dade
da
aplic
ação
As
ativ
idad
es d
os
adm
inis
trad
ores
de
sis
tem
as
não
estã
o a
ser r
egis
tada
s ne
m re
vist
as
regu
larm
ente
(W
indo
ws
com
de
faul
t)
25
10
Inst
alaç
ão d
e so
ftw
are
não
auto
riza
do, p
oten
cian
do
adul
tera
ção
da in
form
ação
alte
raçã
o da
info
rmaç
ão
Não
exi
stem
pr
oced
imen
to
para
con
trol
ar
a in
stal
ação
de
soft
war
e no
s si
stem
as d
e pr
oduç
ão
25
10
Expo
siçã
o de
info
rmaç
ão
sens
ível
atr
avés
da
rede
e,
pote
ncia
ndo
impa
cto
na
segu
ranç
a da
info
rmaç
ão e
/ou
na
imag
em d
a em
pres
a.
aces
so a
in
form
ação
co
nfide
ncia
lal
tera
ção
da in
form
ação
indi
spon
ibili
dade
da
aplic
ação
As
rede
s de
dad
os
não
se e
ncon
tram
se
greg
adas
de
acor
do c
om a
cl
assi
fica
ção
da
info
rmaç
ão
15
5
Falh
a na
con
fide
ncia
lidad
e e/
ou in
tegr
idad
e da
info
rmaç
ão
tran
smit
ida
em m
eios
de
com
unic
ação
inse
guro
s,
pote
ncia
ndo
queb
ras
de
segu
ranç
a da
info
rmaç
ão.
aces
so a
in
form
ação
co
nfide
ncia
lal
tera
ção
da in
form
ação
Não
exi
ste
uma
polít
ica/
proc
edim
ento
qu
e re
gula
men
te
a tr
oca
de
info
rmaç
ão
atra
vés
de
qual
quer
mei
o de
co
mun
icaç
ão
15
5
Ace
sso
a in
form
ação
sen
síve
l no
ambi
ente
de
test
es
aces
so a
in
form
ação
co
nfide
ncia
l
Os
dado
s pa
ra
test
es n
ão s
ão
sele
cion
ados
te
ndo
em c
onta
a
sua
sens
ibili
dade
, ne
m s
ão
prot
egid
os e
nem
co
ntro
lado
s
25
10
Processos e Procedimentos de Segurança
Valor Risco = P * I”
Probabilidade 2
Probabilidade
Impacto 2
Impacto
Novo Risco = P2 * I2”
40 Centro Hospitalar Universitário de São JoãoPlano de Prevenção de Riscos de Gestão, incluindo os de Corrupção e Infrações Conexas · 2018
Am
eaça
s
Cons
equê
ncia
s
Vuln
erab
ilida
des
Aval
iaçã
o in
tegr
ada
CID
Mit
igaç
ão
Con
fide
ncia
lidad
eIn
tegr
idad
eD
ispo
nibi
lidad
eC
ontr
olos
exi
sten
tes
Nov
o C
ontr
olo
Não
det
ecçã
o, c
omun
icaç
ão,
gest
ão o
u pr
eser
vaçã
o de
ev
idên
cias
de
inci
dent
es d
e se
gura
nça
da in
form
ação
, po
tenc
iand
o in
adeq
uada
aná
lise
e re
spos
ta a
inci
dent
es
aces
so a
in
form
ação
co
nfide
ncia
lal
tera
ção
da in
form
ação
indi
spon
ibili
dade
da
aplic
ação
Não
se
enco
ntra
m
defi
nida
s ne
m
docu
men
tada
s as
aç
ões
de re
spos
ta
a in
cide
ntes
de
segu
ranç
a
25
10
Não
det
ecçã
o, c
omun
icaç
ão,
gest
ão o
u pr
eser
vaçã
o de
ev
idên
cias
de
inci
dent
es d
e se
gura
nça
da in
form
ação
, po
tenc
iand
o in
adeq
uada
aná
lise
e re
spos
ta a
inci
dent
es
aces
so a
in
form
ação
co
nfide
ncia
lal
tera
ção
da in
form
ação
indi
spon
ibili
dade
da
aplic
ação
Não
exi
ste
um
proc
esso
de
anál
ise
das
caus
as
dos
inci
dent
es
nem
a u
tiliz
ação
do
con
heci
men
to
adqu
irid
o na
pr
even
ção
de
situ
açõe
s fu
tura
s
25
10
Não
det
ecçã
o, c
omun
icaç
ão,
gest
ão o
u pr
eser
vaçã
o de
ev
idên
cias
de
inci
dent
es d
e se
gura
nça
da in
form
ação
, po
tenc
iand
o in
adeq
uada
aná
lise
e re
spos
ta a
inci
dent
es
aces
so a
in
form
ação
co
nfide
ncia
lal
tera
ção
da in
form
ação
indi
spon
ibili
dade
da
aplic
ação
Não
exi
ste
um
proc
edim
ento
pa
ra re
colh
a,
trat
amen
to e
pr
eser
vaçã
o da
s ev
idên
cias
qu
e cu
mpr
a os
re
quis
itos
lega
is
no q
ue to
ca à
co
nsti
tuiç
ão d
e pr
ova
25
10
Expo
siçã
o in
devi
da, p
erda
ou
indi
spon
ibili
dade
de
info
rmaç
ão
e do
s si
stem
as e
m s
itua
ção
de
falh
a gr
ave
indi
spon
ibili
dade
da
aplic
ação
Não
iden
tifi
caçã
o de
pro
cedi
men
tos
de c
onti
nuid
ade
de n
egóc
io
35
15D
efini
r pro
cedi
men
to e
pla
nos
de c
onti
nuid
ade
de n
egóc
io,
ara
sist
emas
crí
tico
s1
33
Falt
a de
cap
acid
ade
de
resp
osta
ade
quad
a a
inci
dent
es
disr
upti
vos
pote
ncia
ndo
impa
ctos
neg
ativ
os n
a di
spon
ibili
dade
da
info
rmaç
ão
indi
spon
ibili
dade
da
aplic
ação
A B
D n
ão p
ossu
i re
dund
ânci
a qu
e ga
rant
a a
alta
-di
spon
ibili
dade
pe
rant
e ev
ento
s qu
e co
mpr
omet
am a
su
a in
tegr
idad
e fí
sica
e ló
gica
35
15In
stal
ação
de
FailS
afe
orac
le
ou O
racl
e R
AC
15
5
Processos e Procedimentos de Segurança
Valor Risco = P * I”
Probabilidade 2
Probabilidade
Impacto 2
Impacto
Novo Risco = P2 * I2”
41Centro Hospitalar Universitário de São JoãoPlano de Prevenção de Riscos de Gestão, incluindo os de Corrupção e Infrações Conexas · 2018
Após a implementação do Plano, o Centro Hospitalar Universitá-
rio de São João, E.P.E. deverá proceder a um rigoroso controlo de
validação, no sentido de verificar a conformidade factual entre
as normas do Plano e a aplicação das mesmas.
O presente Plano, sobretudo, a execução de medidas preventi-
vas de risco neles previstas, deverá ser objeto de avaliação, no
final de cada ano civil, elaborando-se o subsequente relatório de
execução.
Com o objetivo de aferir a efetividade, utilidade, eficácia e even-
tual alteração das medidas propostas o CHUSJ deverá:
• De acordo com as diretrizes estabelecidas e para a imple-
mentação das medidas preventivas previstas, constituir um
grupo de trabalho formado pelo Auditor Interno e por um
elemento designado pelas Direções de Serviço das áreas
abrangidas.
• Assim, o controlo e monitorização do corrente Plano será
remetido para o Serviço de Auditoria Interna em estreita
colaboração com o Conselho de Administração do Centro
Hospitalar Universitário de São João, EPE.
• É uma função de avaliação exercida independentemente,
para avaliar e examinar a atividade da organização e a pros-
secução do Plano, numa ótica de prestação de um serviço à
própria organização. Numa fase de implementação inicial
do Plano, o Centro Hospitalar Universitário de São João,
E.P.E. deve ter como objetivo de monitorização periódica a
emissão de um relatório anual onde é feita a auditoria/ava-
liação interna do Plano.
• Divulgar, pelos colaboradores, os relatórios decorrentes do
trabalho desenvolvido pela Comissão de Acompanhamento.
Neste âmbito, deverão ser criados métodos e definidos proce-
dimentos pelos responsáveis dos Serviços, que contribuam para
assegurar o desenvolvimento e controlo das atividades de forma
adequada e eficiente, de modo a permitir a salvaguarda dos ati-
vos, a prevenção e deteção de situações de ilegalidade, fraude
e erro, garantindo a exatidão dos registos contabilísticos e os
procedimentos de controlo a utilizar para atingir os objetivos
definidos.
4. CONTROLO E MONITORIZAÇÃO DO PLANO
42 Centro Hospitalar Universitário de São JoãoPlano de Prevenção de Riscos de Gestão, incluindo os de Corrupção e Infrações Conexas · 2018
O Conselho de Prevenção da Corrupção (CPC) aprovou, em reu-
nião de 7 de Novembro de 2012, a Recomendação n.º5/2012, que
prevê, nomeadamente, que “As Entidades de natureza pública, ainda que constituídas ou regidas pelo direito privado, devem dispor de mecanismos de acompanhamento e de gestão de conflitos de interesses, devidamente publicitados, que incluam também o período que sucede ao exercício de funções públicas, com indicação das consequências legais.”
Neste sentido, encontra-se neste momento em fase de audiên-
cia prévia e aprovação, a versão preliminar do Código de Ética
que permita dar cumprimento à referida recomendação, asse-
gurando que são recolhidos e incorporados todos os contributos
adequados, tendo sido revisto no sentido de incorporar a glo-
balidade dos princípios orientadores previstos no Despacho n.º
9456-C/2014 que regula o Código de Conduta Ética dos Serviços
e Organismos do Ministério da Saúde.
5. GESTÃO DE CONFLITOS DE INTERESSES
43Centro Hospitalar Universitário de São JoãoPlano de Prevenção de Riscos de Gestão, incluindo os de Corrupção e Infrações Conexas · 2018
Centro Hospitalar Universitário de São JoãoAlameda Professor Hernâni Monteiro4202-451 Porto
T +351 225 512 100E [email protected] www.chusj.ptCe
ntro
Hos
pita
lar U
nive
rsitá
rio d
e Sã
o Jo
ão · R
egis
to n
a ER
S n.
º E10
2570
· Ser
viço
de
Com
unic
ação
e M
arca
· 201
8