Um terço das empresas já registrou perdas financeiras diretas ou danos à imagem por falhas ligadas a terceiros. É o que mostra a mais recente pesquisa global da KPMG sobre gestão de riscos de terceiros (Third Party Risk Management – TPRM), que evidencia o tamanho da dependência – e da vulnerabilidade – das organizações em relação a fornecedores, parceiros e prestadores de serviço.
De acordo com o estudo, mais de 30% das companhias sofreram, nos últimos três anos, algum tipo de prejuízo monetário ou impacto negativo na reputação em função de fragilidades na cadeia de terceiros. Além disso, 28% das organizações relataram interrupções em suas cadeias de suprimentos, reforçando que o problema não é pontual: trata-se de um risco estrutural para os negócios.
A pesquisa ouviu 851 executivos de diferentes regiões do mundo, atuando em setores como saúde, tecnologia, serviços financeiros, indústria, varejo e energia. Ou seja, não é um fenômeno restrito a áreas altamente reguladas ou de forte dependência tecnológica; o risco de terceiros atinge praticamente todos os segmentos.
Para Emerson Melo, sócio-líder da prática de GRC & Forensic da KPMG no Brasil e líder na América do Sul, uma única brecha em um parceiro pode ter efeito dominó. Segundo ele, uma vulnerabilidade introduzida por um fornecedor tem potencial para se transformar rapidamente em ameaças que atingem toda a organização, ampliando a superfície de ataque e abrindo portas para incidentes cibernéticos, paralisações operacionais e questionamentos regulatórios.
O levantamento mostra que o risco cibernético ocupa o centro das preocupações. Entre os entrevistados, 48% apontaram a segurança digital como prioridade número um nas estratégias de gestão de riscos de terceiros. Logo em seguida aparece o compliance regulatório, citado por 45% dos participantes como um dos principais fatores a ser monitorado na relação com parceiros externos.
Ao mesmo tempo, a pesquisa revela um descompasso entre a adoção de tecnologias avançadas e os resultados efetivos percebidos na prática. Entre 50% e 58% dos executivos afirmam já utilizar inteligência artificial (IA) em seus processos de gestão de riscos de terceiros. Porém, apenas 22% consideram essas soluções “muito eficazes”. Outros 40% avaliam que o uso de IA ainda é pouco efetivo, o que indica maturidade limitada e uso fragmentado das ferramentas.
Quando projetam os próximos três anos, de 39% a 47% das organizações dizem enxergar um uso apenas moderado de IA aplicada ao gerenciamento de terceiros. A leitura é que, embora a tecnologia esteja ganhando espaço, ainda existem barreiras relevantes, como falta de integração entre sistemas, escassez de profissionais qualificados e ausência de uma estratégia clara para automatizar e padronizar o monitoramento de riscos.
Melo avalia que a automação e a inteligência artificial tendem a transformar profundamente a forma como as empresas conduzem diligências, avaliações de fornecedores e classificação de riscos. A promessa é permitir decisões mais rápidas e embasadas, cruzando grandes volumes de dados sobre desempenho, segurança, compliance e histórico de incidentes de terceiros. No entanto, ele ressalta que esse movimento ainda é desigual: há organizações avançadas, mas muitas permanecem em estágios iniciais ou com iniciativas isoladas.
Segundo a análise, a adoção bem-sucedida de IA e automação em TPRM exige mais do que investimento em tecnologia. Depende também de colaboração entre áreas – como segurança da informação, jurídico, compras, compliance, riscos e negócios -, de um roteiro de expansão bem definido e de uma governança clara sobre quem decide, como decide e com base em quais dados. Só assim as empresas conseguem não apenas reagir a eventos já ocorridos, mas antecipar cenários e preparar respostas estruturadas a potenciais crises.
O estudo da KPMG aprofunda ainda as tendências e práticas mais atuais em gestão de riscos de terceiros. Ele aborda como as companhias estão redesenhando suas estruturas de TPRM, incorporando novas tecnologias, avaliando prestadores de serviços especializados, integrando diferentes funções de risco e respondendo às pressões de reguladores e do próprio mercado por maior transparência e resiliência operacional.
Para além dos números, o cenário descrito pela pesquisa evidencia um ponto-chave: o ecossistema de negócios está cada vez mais interconectado. A transformação digital, a adoção de serviços em nuvem, a terceirização de processos críticos e o crescimento de modelos “as a service” ampliaram de forma significativa o volume de dados e operações compartilhados com terceiros. Isso torna a avaliação de risco contínua – e não apenas na contratação – um imperativo.
Do ponto de vista prático, isso significa ir além de checklists estáticos ou análises pontuais de conformidade. Empresas mais maduras em TPRM tendem a combinar due diligence inicial robusta, monitoramento recorrente de indicadores de desempenho e segurança, revisões periódicas de contratos, testes de resiliência (como simulações de incidentes envolvendo terceiros) e planos de contingência conjuntos com fornecedores estratégicos.
Outro aspecto crítico é a proteção da reputação. Um vazamento de dados em um prestador de serviço, por exemplo, pode ser imediatamente associado à marca contratante, mesmo que o incidente não tenha ocorrido diretamente em sua infraestrutura. O público, reguladores e clientes tendem a responsabilizar a organização que detém a relação com o consumidor final. Por isso, cláusulas contratuais de segurança, auditorias, exigência de certificações e padrões mínimos de proteção tornam-se elementos essenciais na escolha e na manutenção de parceiros.
A interrupção da cadeia de suprimentos, vivenciada por 28% das empresas pesquisadas, também merece destaque. Falhas logísticas, indisponibilidade de insumos críticos, problemas trabalhistas em fornecedores ou incidentes de segurança que paralisam sistemas podem comprometer entregas, receitas e contratos. Em setores como saúde, energia e financeiro, a consequência pode inclusive extrapolar o âmbito econômico, afetando serviços essenciais à sociedade.
Nesse contexto, a integração entre gestão de riscos de terceiros e continuidade de negócios passa a ser obrigatória. Organizações mais preparadas adotam mapeamento de criticidade de fornecedores, definem planos alternativos de abastecimento, segmentam o nível de controle conforme o impacto potencial de cada parceiro e reforçam a comunicação em situações de crise, para reduzir ruídos e preservar a confiança de clientes e stakeholders.
A pesquisa também sugere que a pressão regulatória está empurrando as empresas a profissionalizarem seus programas de TPRM. Reguladores em diferentes países têm exigido maior visibilidade sobre a cadeia de terceiros, especialmente em setores financeiros, de saúde e de infraestrutura crítica. Isso inclui a necessidade de documentar processos de avaliação, manter trilhas de auditoria, reportar incidentes envolvendo fornecedores e demonstrar que a escolha de parceiros segue critérios objetivos de risco.
Mesmo assim, muitas organizações ainda tratam o tema de forma reativa. Só após um incidente – como uma falha cibernética em um prestador ou uma multa por descumprimento regulatório decorrente de conduta de um parceiro – é que o assunto ganha prioridade no conselho e recebe orçamento adequado. A pesquisa reforça a importância de inverter essa lógica, encarando a gestão de riscos de terceiros como peça estratégica de governança corporativa.
Outra tendência apontada é a busca por maior padronização e centralização da gestão de riscos de terceiros. Em vez de cada área de negócio lidar isoladamente com seus fornecedores, as empresas mais avançadas estão criando estruturas corporativas de TPRM, com políticas únicas, ferramentas compartilhadas e relatórios consolidados para a alta administração. Isso reduz redundâncias, melhora a qualidade dos dados coletados e permite uma visão única de exposição a riscos na cadeia de terceiros.
Em relação ao uso de IA e automação, o desafio não é apenas tecnológico, mas cultural. Profissionais de compras, jurídico e negócios muitas vezes não estão acostumados a trabalhar com modelos preditivos, análise comportamental de parceiros ou ferramentas automatizadas de scoring de risco. É preciso capacitação, comunicação clara sobre os benefícios e garantia de que a tecnologia será um apoio à tomada de decisão humana, e não um substituto cego de critérios técnicos e éticos.
Para as empresas que desejam evoluir rapidamente em TPRM, alguns passos práticos emergem do cenário descrito pela pesquisa: mapear todos os terceiros relevantes, classificando-os por criticidade; definir critérios mínimos de segurança, compliance e desempenho; estabelecer um processo padrão de due diligence antes da contratação; implementar monitoramento contínuo, com indicadores claros; e envolver a alta liderança, para garantir patrocínio, recursos e alinhamento com a estratégia de negócios.
No fim, a mensagem central é que riscos de terceiros deixaram de ser um tema estritamente operacional para se tornarem um fator estratégico. Perdas financeiras, danos à reputação, interrupção de serviços e sanções regulatórias têm origem, com frequência crescente, em fragilidades externas ao perímetro direto da empresa. Ignorar essa realidade significa aceitar que uma parte crítica do negócio está nas mãos de parceiros que não são devidamente avaliados, monitorados ou integrados à gestão de riscos corporativa.
A evolução tecnológica, especialmente em IA e automação, oferece ferramentas poderosas para mudar esse quadro, mas só será plenamente aproveitada por organizações que adotarem uma abordagem estruturada, multidisciplinar e orientada ao futuro. Quem conseguir transformar a gestão de riscos de terceiros em uma vantagem competitiva – escolhendo melhor com quem se relaciona, monitorando de forma inteligente e reagindo com agilidade a incidentes – estará mais bem posicionado para enfrentar um ambiente de negócios cada vez mais complexo, regulado e interconectado.