Um terço das empresas sofre perdas financeiras ou danos à reputação por riscos de terceiros
Os dados mais recentes da pesquisa global da KPMG sobre Gestão de Riscos de Terceiros (Third Party Risk Management) reforçam um alerta já conhecido, mas ainda subestimado: mais de 30% das empresas entrevistadas registraram, nos últimos três anos, perdas monetárias ou prejuízos à imagem diretamente ligados a vulnerabilidades de fornecedores, parceiros e prestadores de serviços. Além disso, 28% das organizações relataram interrupções relevantes em suas cadeias de suprimentos pelo mesmo motivo.
O estudo ouviu 851 profissionais em nível global, atuantes em setores críticos da economia, como saúde, tecnologia, finanças, indústria, varejo e energia. O recado é claro: o ecossistema de terceiros, cada vez mais complexo e interdependente, tornou-se um vetor central de risco operacional, financeiro e reputacional.
Vulnerabilidades de terceiros que se transformam em ameaça corporativa
Como destaca Emerson Melo, sócio-líder da prática GRC & Forensic da KPMG no Brasil e líder na América do Sul, uma falha localizada em um parceiro pode, em pouco tempo, disseminar impactos pela organização inteira. Um único incidente – seja um ataque cibernético via fornecedor, um descumprimento regulatório ou uma falha contratual em um prestador de serviços crítico – é suficiente para desencadear interrupções amplas, multas, ações judiciais e crises de comunicação.
O estudo mostra que, embora os executivos reconheçam o risco elevado envolvido nessa cadeia de relacionamentos, ainda existe um descompasso entre a consciência do problema e a maturidade na execução das medidas de controle. Há espaço expressivo para fortalecer processos, governança e tecnologia dedicados à gestão de riscos de terceiros – e os dados apontam que empresas que atuam de forma proativa colhem benefícios concretos em resiliência e continuidade de negócios.
Risco cibernético no topo da agenda de terceiros
Entre as principais ameaças associadas a terceiros, o risco cibernético aparece em primeiro lugar: 48% dos executivos ouvidos afirmam que ataques e incidentes de segurança digital são hoje o fator mais determinante em suas estratégias de gestão de riscos de terceiros. Na sequência, 45% dos entrevistados apontam o cumprimento regulatório (compliance) como outro eixo crítico.
Esse cenário reflete a pressão crescente por conformidade frente a legislações de proteção de dados, normas setoriais e exigências de órgãos reguladores. Quando um fornecedor manipula, processa ou armazena dados de clientes, funcionários ou parceiros, a empresa contratante permanece corresponsável – inclusive em caso de vazamentos, uso indevido das informações ou descumprimento de obrigações legais.
Inteligência artificial em TPRM: uso crescente, eficácia contestada
A pesquisa revela ainda que entre 50% e 58% das organizações já utilizam algum tipo de inteligência artificial (IA) para apoiar a gestão de riscos de terceiros. Contudo, essa adoção ainda não se traduz, na visão dos próprios executivos, em alto grau de efetividade: apenas 22% consideram o uso de IA “muito eficaz” nessa área, enquanto 40% classificam os resultados como “pouco eficazes”.
Olhando para os próximos três anos, entre 39% e 47% das empresas projetam um uso moderado de IA no trabalho com riscos de terceiros. Em outras palavras, a tecnologia tende a ganhar espaço, mas ainda enfrenta desafios de integração, qualidade de dados, alinhamento com processos de negócio e qualificação das equipes que precisam interpretar os resultados gerados.
Automação e IA: potencial de transformação, adoção fragmentada
Segundo Emerson Melo, automação e inteligência artificial têm remodelado a forma como empresas conduzem due diligence de terceiros, avaliam riscos, classificam fornecedores e priorizam ações de mitigação. Essas ferramentas permitem análises mais rápidas, cruzamento de grandes volumes de dados e identificação de padrões de risco que dificilmente seriam percebidos por processos manuais.
Apesar disso, o uso de tecnologia ainda é descrito como desigual e fragmentado. Muitas organizações operam com soluções isoladas, sem uma visão integrada da exposição global aos terceiros. Para que a automação gere valor real, é necessário investir em um roteiro claro de expansão, patrocínio da alta liderança, padronização de dados e colaboração entre áreas como segurança da informação, jurídico, compras, compliance e operações.
Quando bem estruturado, esse modelo tecnológico permite às empresas não apenas reagir a eventos já ocorridos, mas também antecipar cenários – simulando, por exemplo, o impacto da falência de um parceiro crítico, de sanções a um fornecedor internacional ou de um grande vazamento de dados em um prestador de serviços essencial.
Principais tendências em gestão de riscos de terceiros
A pesquisa da KPMG mapeia um conjunto de movimentos que vêm moldando a gestão de riscos de terceiros:
1. Integração entre áreas de risco
Organizações mais maduras estão abandonando abordagens isoladas (por exemplo, segurança cuidando só de cyber, jurídico só de contratos, compras só de preços) e adotando estruturas integradas. Isso ajuda a reduzir lacunas de controle e evita que riscos relevantes “escapem” por falta de visão holística.
2. Uso crescente de prestadores especializados
Muitas empresas têm recorrido a serviços externos para conduzir due diligence, monitoração contínua de terceiros, avaliações de compliance e testes de segurança. Esse movimento busca acelerar a maturidade, reduzindo o tempo necessário para estruturar internamente equipes e ferramentas complexas.
3. Pressão regulatória e de mercado
A indústria financeira, de saúde e de tecnologia, por exemplo, enfrenta uma combinação de normas regulatórias, exigências de auditores, cláusulas contratuais e expectativas de clientes cada vez mais sensíveis a questões de segurança e privacidade. Isso eleva o patamar mínimo aceitável de governança sobre terceiros.
4. Foco em continuidade de negócios e resiliência
As interrupções em cadeias de suprimentos observadas nos últimos anos destacaram a importância de contemplar riscos de terceiros no planejamento de continuidade e recuperação de desastres. Não basta ter backup interno se o fornecedor crítico é incapaz de operar em crise.
Como as empresas podem fortalecer a gestão de riscos de terceiros
Para além do diagnóstico, os resultados da pesquisa ajudam a desenhar alguns caminhos práticos para reduzir a exposição a riscos vindos de parceiros e fornecedores:
– Definir claramente a governança de TPRM
É fundamental estabelecer quem é o responsável final pela gestão de riscos de terceiros, quais áreas participam, como se dá a tomada de decisão e quais são os níveis de aprovação necessários para contratação e manutenção de parceiros.
– Padronizar processos de due diligence
A checagem prévia de terceiros precisa seguir critérios uniformes: avaliação financeira, análise de compliance regulatório, verificação de histórico reputacional, requisitos mínimos de segurança da informação, entre outros. Processos ad hoc tendem a deixar brechas.
– Classificar terceiros por criticidade
Nem todos os fornecedores têm o mesmo peso para o negócio. Empresas mais avançadas classificam seus parceiros em níveis de criticidade (alta, média, baixa) com base no impacto potencial sobre operações, finanças, dados e reputação. Isso orienta a intensidade da avaliação e da monitoração.
– Monitorar continuamente, não só na entrada
A gestão de riscos de terceiros não se encerra na assinatura do contrato. Mudanças de cenário, incidentes públicos, alterações em quadro societário ou situação financeira exigem acompanhamento constante, com revisões periódicas de risco.
– Alinhar contratos aos riscos identificados
Cláusulas contratuais devem refletir os riscos mapeados: exigências de segurança, planos de continuidade, obrigações de notificação de incidentes, multas por descumprimento, direito de auditoria, entre outros.
O papel da liderança na transformação da gestão de terceiros
Sem o envolvimento ativo da alta gestão, a agenda de riscos de terceiros tende a permanecer restrita a áreas técnicas, perdendo força na disputa por orçamento e priorização de projetos. Conselhos de administração e CEOs desempenham papel central ao:
– Patrocinar políticas corporativas claras sobre terceiros;
– Aprovar investimentos em tecnologia, pessoas e processos;
– Exigir relatórios periódicos consolidados sobre a exposição a riscos de fornecedores;
– Integrar o tema à estratégia de negócios, e não tratá-lo apenas como obrigação de compliance.
Quando essa visão de topo falta, decisões de contratação podem ser guiadas por critérios exclusivamente financeiros de curto prazo, ignorando ameaças estruturais que podem custar muito mais adiante – como multas milionárias, paralisações de operações críticas e danos persistentes à marca.
Riscos emergentes: IA generativa, concentração de provedores e geopolítica
O ecossistema de terceiros também se transforma à medida que novas tecnologias e dinâmicas globais ganham força. Alguns riscos emergentes já chamam atenção:
– Uso de IA generativa por fornecedores sem transparência adequada sobre fontes de dados, treinamentos e controles de segurança;
– Concentração excessiva de serviços em poucos provedores globais, aumentando o impacto potencial de uma falha ou indisponibilidade;
– Tensões geopolíticas e sanções internacionais, que podem afetar abruptamente fornecedores localizados em determinadas regiões;
– Terceirização de processos críticos de negócio a parceiros com maturidade de segurança inferior à da própria empresa contratante.
Organizações que conseguem mapear e antecipar essas tendências adaptam mais rapidamente seus critérios de seleção, monitoramento e continuidade, reduzindo surpresas desagradáveis.
Cultura de risco e conscientização interna
Outro ponto frequentemente negligenciado é a cultura organizacional. A melhor tecnologia de monitoramento de terceiros perde eficácia se equipes de compras, jurídico, TI, negócios e compliance não estiverem alinhadas sobre a importância do tema.
Treinamentos regulares, comunicação clara de políticas, inclusão de metas relacionadas a riscos de terceiros em objetivos de liderança e incentivos à colaboração entre áreas ajudam a criar um ambiente em que decisões de contratação e manutenção de fornecedores consideram, de fato, o impacto em segurança, conformidade e reputação.
Gestão de terceiros como vantagem competitiva
A pesquisa da KPMG evidencia que empresas que tratam a gestão de riscos de terceiros apenas como obrigação tendem a responder de forma reativa, lidando com problemas depois que ocorrem. Em contrapartida, organizações que enxergam TPRM como parte central da estratégia de negócios conseguem:
– Selecionar parceiros mais robustos e alinhados a seus valores;
– Reagir com mais rapidez a incidentes e interrupções;
– Demonstrar maior confiabilidade a clientes, reguladores e investidores;
– Sustentar processos de inovação com menor exposição a falhas externas.
Em um ambiente de negócios cada vez mais interconectado, a solidez da empresa passa, necessariamente, pela solidez de sua rede de terceiros. A mensagem que emerge dos números é direta: ignorar esse fato já não é uma opção – o custo aparece em forma de prejuízo financeiro, perda de reputação e fragilidade competitiva.