Queria trazer para nossa reflexão hoje um tema que tem crescido minha preocupação, e que inclusive veio em detalhe recenetemente com o caso do ataque de ciber/fraude de centenas de milhões com algumas fintechs.
Estou falando da gestão de riscos de terceiros, que na minha visão ocupa (ou deveria ocupar) hoje um espaço central nas estratégias empresariais das empresas ções modernas, diante deste ambiente cada vez mais dinâmico, globalizado, digital e regulado, que vivemos, e em que as empresas expandiram significativamente suas fronteiras operacionais ao adotar o conceito de "empresa estendida", na qual uma parcela crescente das atividades estratégicas, táticas e operacionais passa a ser executada por terceiros.
Esse novo cenário cria oportunidades de expansão, acesso a competências especializadas e ganhos de eficiência, mas ao mesmo tempo expõe as mesmas empresas a riscos relevantes e complexos, que podem comprometer de forma severa a continuidade dos negócios, a reputação, a saúde financeira e até mesmo a existência da empresa no longo prazo, até por que a terceirização deixou de ser um tema restrito às áreas de compras e contratos e passou a ser uma disciplina transversal de gestão de riscos e governança corporativa, que exige uma visão holística, integrada e patrocinada diretamente pela alta administração.
Estava vendo outro dia um estido da consultoria Deloitte exatamente sobre gestão de riscos de terceiros, que investigou mais de 170 grandes empresas em diversos setores, e mostrou que as empresas estão vivenciando um momento de inflexão, aonde se no passado a terceirização era vista predominantemente como uma ferramenta de redução de custos, hoje ela é percebida como um elemento estratégico de criação de valor. Talvez por isto que este ecossistema de terceiros se expandiu para muito além dos fornecedores tradicionais, abrangendo parceiros de distribuição, serviços de atendimento ao cliente, alianças tecnológicas, prestadores de serviços especializados, provedores de soluções em nuvem e até mesmo consultorias estratégicas.
Hoje em dia os terceiros passaram a executar atividades críticas e diretamente conectadas ao core business das empresas, e até muitas vezes substituindo a atuação dos próprios funcionários internos, assim com essa mudança estrutural aumentou exponencialmente a interdependência, e por consequência o nível de exposição das empresas aos riscos operacionais, financeiros, regulatórios e reputacionais decorrentes das falhas e condutas inadequadas dos parceiros externos.
A realidade atual é que as empresas foram surpreendidas pela velocidade de expansão dessa nova rede de terceiros, e por isso mesmo precisam urgentemente acelerar a maturidade de seus processos de gestão de riscos de terceiros para conseguir acompanhar a complexidade crescente. O que vemos na prática é que apenas uma parcela muito pequena das empresas possui um sistema integrado e otimizado para a gestão de riscos de terceiros, mas existe uma forte tendência de evolução, aonde a pesquisa da Delloite trouxe como resultado de que mais de 70% das empresas reconhecem a necessidade de acelerar a integração e otimização desses processos no horizonte de médio prazo, sendo que uma parte relevante destas empresas aspira atingir o nível de referência de mercado. Mas essa jornada no entanto exige tempo investimento e um redesenho completo dos processos internos, das estruturas de governança e dos sistemas tecnológicos de suporte.
No campo da dependência de terceiros, a pesquisa mostrou um crescimento contínuo e inevitáve, em que empresas demonstram que a participação dos terceiros no ecossistema empresarial não apenas aumentou em volume, mas se tornram até críticas para a viabilidade operacional e estratégica das empresas, em que mais de 73% dos participantes da pesquisa afirmaram que os terceiros terão um papel altamente importante ou absolutamente crítico no ano subsequente, um salto expressivo em relação ao cenário do ano anterior. Essa constatação reflete uma mudança de mentalidade organizacional, aonde as empresas estão se afastando de modelos operacionais fechados e internalizados para adotar modelos colaborativos, integrados e baseados em parcerias externas, o que amplia substancialmente os riscos associados, mas também cria novas avenidas de crescimento.
Esse aumento da dependência ocorre por quatro grandes fatores interligados, sendo que o primeiro fator é a diversificação da utilização dos terceiros, que agora extrapola o fornecimento de insumos e matérias-primas para alcançar áreas estratégicas como vendas, distribuição, atendimento ao cliente e alianças de inovação, enquanto que o segundo fator é a elevação da criticidade das atividades executadas por terceiros, com responsabilidades que antes eram exclusivas de empregados diretos passando a ser realizadas por parceiros externos. Já o terceiro fator é o movimento contínuo das empresas para buscar fornecedores e parceiros de alta qualidade, mas com custos mais competitivos, o que frequentemente direciona as organizações para mercados emergentes e geografias mais complexas do ponto de vista de risco, e por fim o quarto fator é o aprofundamento da relação com um número reduzido de parceiros estratégicos globais, o que eleva o risco de concentração e cria uma dependência estrutural cada vez mais difícil de substituir.
Esse cenário impõe as empresas o desafio de elevar rapidamente o nível de maturidade de seus programas de gestão de terceiros, passando de abordagens fragmentadas e reativas para modelos integrados, estruturados e supervisionados diretamente pela alta liderança. A fragmentação histórica onde cada área de negócios ou cada função específica (como compras, tecnologia ou segurança da informação) geria os terceiros de forma isolada, precisa ser superada para que a empresa adote uma visão sistêmica e consolidada dos riscos de terceiros, com padrões unificados, processos centralizados e ferramentas tecnológicas que ofereçam uma visão integrada e em tempo real da cadeia de parceiros.
Queria agora falar então dos principais motivadores para o engajamento com terceiros, em que observamos uma clara evolução do pensamento estratégico das emoresas, aonde tradicionalmente a terceirização era amplamente guiada pela busca de redução de custos e ganhos de eficiência operacional. Mas no entanto esse foco está rapidamente perdendo relevância frente a novas motivações que passaram a direcionar as decisões empresariais, e o que vemos é uma necessidade de flexibilidade organizacional, escalabilidade, capacidade de adaptação rápida e acesso a competências especializadas, que são hoje os principais fatores que incentivam a expansão das redes de terceiros. As empresas buscam cada vez mais parceiros que possam ajudá-las a inovar, acelerar o desenvolvimento de produtos, implementar as melhores práticas de mercado e criar vantagem competitiva sustentável, elementos que o modelo tradicional de terceirização, focado apenas em custo não é capaz de oferecer.
O driver de redução de custos, que no passado era dominante foi citado por apenas 42,3% dos participantes da pesquisa como fator relevante para o futuro, contra 57,1% no levantamento anterior. Em contrapartida o driver de flexibilidade e escalabilidade foi apontado por 44,9% dos participantes como a principal prioridade estratégica, evidenciando uma mudança estrutural no perfil das decisões relacionadas a gestão de terceiros. A inovação, o acesso a conhecimentos especializados e a busca por práticas operacionais de excelência ganharam espaço como elementos críticos para a construção de ecossistemas colaborativos e resilientes. Além disso a expectativa das empresas é que os terceiros passem a atuar não apenas como fornecedores, mas como parceiros estratégicos e catalisadores de inovação, capazes de contribuir para a expansão de mercados, melhoria da qualidade, aceleração do time-to-market e fortalecimento da competitividade.
Esse novo paradigma de terceirização exige que as empresas mudem profundamente a forma como selecionam, contratam, monitoram e se relacionam com os terceiros. O modelo antigo baseado apenas em contratos rígidos, em avaliações estáticas e com o foco exclusivo em preço, já não é suficiente para capturar os benefícios e, principalmente, para controlar os riscos emergentes desse ecossistema ampliado. O que se espera agora são relações baseadas em confiança mútua, transparência, colaboração contínua e gestão integrada de riscos, com monitoramento em tempo real, indicadores de performance abrangentes e auditorias que não se limitem apenas a conformidade contratual, mas que avaliem efetivamente a entrega de valor e o cumprimento das obrigações legais e éticas.
Além de impulsionar a criação de valor, a terceirização orientada por esses novos drivers pode gerar impactos financeiros positivos muito relevantes, pois conforme a análise da Deloitte, empresas que conseguem estruturar programas robustos e maduros de gestão de terceiros podem obter ganhos expressivos de performance financeira, com um incremento adicional no retorno sobre o patrimônio (ROE) da ordem de 4% a 5% em relação as demais que não possuem esse nível de maturidade. Essa vantagem quando aplicada a grandes empresas globais, pode representar bilhões de dólares em resultados financeiros incrementais, além de proporcionar maior resiliência e sustentabilidade no longo prazo.
A gestão de riscos de terceiros precisa ser entendida como uma disciplina estratégica de transformação organizacional, que vai muito além de um exercício técnico ou de um simples controle operacional, mas se trata de um investimento crítico para viabilizar o crescimento sustentável, proteger a reputação da empresa e fortalecer a capacidade de inovação e adaptação em um mundo cada vez mais volátil, interconectado e regulado.
Outro ponto que queria aborda é sobre que os incidentes envolvendo terceiros não apenas se tornaram mais frequentes, como também atingiram níveis de criticidade que ameaçam diretamente a continuidade e a estabilidade operacional das empresas. Para ter uma idéia do tamanho disto, o levantamento revelou de que 87% das empresasentrevistadas experimentaram incidentes disruptivos envolvendo terceiros nos últimos dois a três anos. Destes 28% sofreram interrupções severas e 11% vivenciaram falhas completas por parte de terceiros, eventos que podem paralisar operações, comprometer contratos, afetar a entrega de produtos e serviços, e principalmente prejudicar de forma substancial a experiência do cliente e a percepção de mercado sobre a marca.
Aonde a interrupção dos serviços ao cliente foi apontada como o risco mais crítico relacionado a terceiros, evidenciando que a terceirização deixou de ser um tema de apoio e passou a ser um componente central da entrega de valor ao cliente final. Em seguida temos ainda o risco crítico o descumprimento de obrigações legais e regulatórias por parte dos terceiros, com consequências diretas para a organização contratante, que pode ser responsabilizada solidariamente por falhas, fraudes ou omissões desses parceiros. Além disso tem ainda os danos reputacionais, falhas na cadeia de suprimentos, fraudes financeiras e falências de parceiros completam o quadro dos riscos mais graves mapeados.
Os dados mostram ainda numeros expressivos em que 26,2% das empresas sofreram danos reputacionais concretos devido à má conduta de terceiros, 23% foram penalizadas por não conformidade regulatória atribuída a parceiros externos e 20,6% enfrentaram incidentes de violação de dados sensíveis de clientes. Tais eventos não apenas expõem as vulnerabilidades organizacionais, como também podem desencadear perdas financeiras diretas, multas elevadas, processos judiciais, interrupção de contratos e deterioração da confiança de clientes e investidores.
Tudo isto só reforça o conceito de interconctividade dos riscos, em que o impacto de uma falha de terceiros pode se multiplicare rapidamente, em especial na era digital, onde a velocidade de propagação das informações e a pressão social potencializam as consequências reputacionais e regulatórias. A gravidade dos impactos pode alcançar patamares financeiros altíssimos, inclusive com a possibilidade de multas bilionárias em caso de descumprimento de legislações internacionais, como a Foreign Corrupt Practices Act (FCPA) americana.
Queria comentar atmbém da necessidade de ampliar e profissionalizar as atividades de monitoramento e garantia sobre os terceiros, destacando que o reforço das ações de controle e auditoria é percebido como a estratégia mais eficaz para mitigar os riscos mapeados. O relatório mostra que 59,7% das empresas estão ampliando de forma significativa as atividades de monitoramento contínuo sobre os terceiros e 57,1% estão intensificando as atividades de garantia e auditoria para aumentar o nível de segurança e conformidade. Essa tendência reflete a consciência crescente de que a gestão de riscos de terceiros não pode ser tratada como um evento pontual, restrito à fase de contratação ou onboarding, mas sim como um processo vivo, contínuo e dinâmico, que deve acompanhar a evolução do relacionamento com cada parceiro ao longo de toda a sua jornada de fornecimento.
O estudo também mostrou de que as empresas passaram a compreender que a simples existência de contratos não garante a proteção adequada, mas que é fundamental manter uma presença ativa e vigilante, com visitas periódicas aos sites dos terceiros, análises de desempenho operacional, revisões documentais atualizadas, execução de auditorias in loco e realização de avaliações remotas e autoavaliações estruturadas. As iniciativas de redução de risco devem incluir a implementação de processos de contratação mais rigorosos, com maior disciplina no uso de templates contratuais padronizados, assim como a exigência de business cases robustos que justifiquem a contratação de cada terceiro e avaliem de forma detalhada os riscos associados. A melhoria da visibilidade e da transparência na relação com os terceiros é outro pilar destacado como essencial, principalmente em cadeias de fornecimento globais e complexas, onde a rastreabilidade das operações é crítica para garantir conformidade, qualidade e segurança. As melhores práticas incluem a adoção de estruturas de governança baseadas nas "Três Linhas de Defesa", com clareza absoluta sobre os papéis e responsabilidades das áreas operacionais, das funções de controle e da auditoria interna, assegurando que os recursos de gestão de riscos sejam direcionados para as áreas de maior criticidade e exposição.
Não podemos deixar de falar ainda sobre o problema do "gap de execução", que vejo como uma das principais fragilidades estruturais no processo de gestão de riscos de terceiros, ainda que embora o tema tenha avançado significativamente em termos de reconhecimento estratégico e já esteja presente na agenda dos conselhos de administração e das lideranças executivas, ainda existe uma distância preocupante entre o discurso organizacional e a prática operacional efetiva.
Para ter uma idéia disto o relatório mostrou de que,apesar de mais de 78% das empresas demonstrarem alta confiança no comprometimento das lideranças e no conhecimento sobre a importância da gestão de terceiros, mais de 94% das empresas possuem baixa ou moderada confiança nas ferramentas tecnológicas utilizadas para executar essa gestão. Além disso 93,5% têm pouca ou nenhuma confiança nos mecanismos de monitoramento disponíveis e 88,6% demonstram baixa confiança na qualidade dos processos operacionais que sustentam a gestão de terceiros.
Todo esse desalinhamento gera um risco organizacional sistêmico, pois cria a falsa sensação de controle e maturidade, quando, na prática, os processos não são robustos o suficiente para sustentar as ambições estratégicas da alta liderança. A fragmentação das informações, a ausência de integração entre sistemas, a dependência de controles manuais e a falta de automação dificultam a consolidação de uma visão única e confiável sobre os terceiros e limitam a capacidade das empresas de agir de forma ágil e preventiva. O relatório da Deloitte chama atenção para o fato de que a maioria das empresas ainda utiliza múltiplas plataformas desconectadas, planilhas e processos manuais para gerir os terceiros, o que dificulta o acompanhamento em tempo real, gera lacunas de controle e aumenta a exposição a riscos que poderiam ser mitigados com o uso de tecnologias integradas e especializadas. Essa situação cria um cenário de urgência, onde as empresas precisam rapidamente investir na modernização de seus sistemas de gestão de terceiros, implementar ferramentas automatizadas, integrar dados entre unidades operacionais e desenvolver processos padronizados e eficientes que permitam o monitoramento contínuo e a análise preditiva de riscos.
De qualquer forma temso que falar da evolução da governança de terceiros para um tema de importância estratégica, agora cada vez mais incorporado à agenda dos conselhos de administração e dos CEOs das empresas, em que sobre isto o levantamento mostro de que mais avançadas ou altamente reguladas, a responsabilidade sobre a gestão de riscos de terceiros deixou de ser um tema puramente operacional para se tornar uma responsabilidade direta da alta liderança. Segundo a pesquisa 46,6% das empresas participantes já alocaram a responsabilidade final sobre os riscos de terceiros ao CEO ou a membros do conselho de administração, enquanto outras empresas delegaram essa função a executivos de alto escalão, como Chief Procurement Officers (CPOs), Chief Risk Officers (CROs) e Chief Financial Officers (CFOs). Este dado revela uma mudança de paradigma em que os riscos de terceiros agora são reconhecidos como riscos estratégicos, capazes de afetar diretamente os resultados financeiros, a reputação da empresa, a continuidade dos negócios e o valor de mercado.
O estudo ainda demonstra de que nas empresas mais maduras, os temas relacionados a terceiros já aparecem de forma consistente na pauta das reuniões do conselho, sendo tratados de forma recorrente, e em muitos casos até com grau crítico de urgência. Aproximadamente 39% das empresas discutem regularmente o tema com prioridade elevada, e 16,1% o tratam com criticidade máxima. Entretanto o relatório também evidencia que uma parcela significativa das empresas ainda trata o tema de forma reativa, se limitando a abordar os riscos de terceiros apenas após a ocorrência de incidentes, ou de forma esporádica e com baixa prioridade. Essa postura revela um estágio de imaturidade e uma falsa sensação de controle que pode deixar as organizações vulneráveis a eventos disruptivos e penalizações severas. A Deloitte ressalta que a elevação do tema ao nível do conselho é um divisor de águas, pois promove alinhamento estratégico, consolida o patrocínio da alta liderança, fortalece o comprometimento organizacional e permite o direcionamento de recursos adequados para estruturar processos, pessoas e tecnologia compatíveis com a complexidade e a criticidade do tema.
Importante também discutir as metodologias mais eficazes para assegurar que os terceiros estejam efetivamente em conformidade com as expectativas contratuais, regulatórias e operacionais. Segundo a pesquisa as visitas presenciais aos terceiros, realizadas com base em avaliações de risco, foram apontadas como a prática mais eficaz para obter garantias sobre o desempenho e a conformidade dos terceiros.
Para ter uma idéia disto cerca de 69,5% das empresas afirmaram utilizar regularmente essa prática como ferramenta prioritária de auditoria, que permite uma avaliação direta e aprofundada dos controles implementados pelos terceiros, além de facilitar a construção de relacionamentos mais transparentes e colaborativos. Apesar da importância das visitas presenciais, o relatório mostrou de que que em sua maioria as empresas ainda se concentram em testes de desenho de controles, com 80,5% das avaliações baseadas apenas na verificação da existência dos controles declarados, enquanto apenas 19,5% realizam testes transacionais mais aprofundados, que avaliam a efetividade prática dos controles no dia a dia da operação. Este é um ponto crítico, pois os testes focados apenas no desenho não garantem que os controles estejam funcionando de forma eficaz e contínua.
O padrão ideal é justamente o oposto de priorizar a realização de testes de transações reais, que comprovem por evidências objetivas o funcionamento efetivo dos controles em tempo real. Além das visitas presenciais, outras práticas relevantes para a obtenção de garantias incluem as auditorias internas conduzidas pelas empresas contratantes (utilizadas por 62,7% das empresas), as autoavaliações de controles realizadas pelos próprios terceiros, as avaliações remotas com acesso direto a sistemas e dados dos terceiros e as chamadas "desktop audits", que consistem em revisões documentais sem deslocamento físico. Embora essas ferramentas complementares sejam importantes, o estudo reforça que o contato direto e as auditorias presenciais continuam sendo as práticas mais eficazes para mitigar riscos de forma robusta. O relatório também destaca que há uma tendência de crescimento na utilização de auditores externos ou empresas especializadas para realizar avaliações independentes sobre terceiros, ampliando a abrangência e a qualidade das auditorias, especialmente em organizações de grande porte com múltiplos terceiros estratégicos distribuídos globalmente.
Queria abordar agora o que vejo como um dos desafios mais estruturais da gestão de riscos de terceiros em empresas de grande porte, que é a dificuldade de manter padrões uniformes e consistentes de governança em estruturas altamente descentralizadas. O levantamento revelou que 75,5% das empresas operam atualmente com um nível moderado a alto de descentralização, o que naturalmente cria desafios para a implementação de políticas homogêneas e para a manutenção de uma visão consolidada sobre os riscos associados aos terceiros. A descentralização apesar de trazer benefícios como flexibilidade local e maior agilidade na tomada de decisão regional, aumenta o risco de que diferentes unidades ou divisões operem com critérios, padrões e níveis de rigor variados no relacionamento com terceiros. Essa fragmentação pode criar zonas de vulnerabilidade e dificultar o monitoramento centralizado, abrindo espaço para falhas, inconsistências contratuais, práticas de governança divergentes e, principalmente, lacunas no controle de riscos. Como resposta a este cenário o estudo evidencia que 86% das empresas já estabeleceram padrões obrigatórios e uniformes para a gestão de terceiros em todas as suas unidades operacionais, mesmo diante de diferentes graus de autonomia regional. Esse movimento é fundamental para garantir consistência, assegurar conformidade regulatória global e proteger a integridade da cadeia de terceiros de ponta a ponta. O relatório destaca que, para estruturar esses padrões, as empresas vêm adotando uma combinação de normas internacionais reconhecidas, como ISO 22301 para continuidade de negócios e para proteção de dados sensíveis, com a criação de normas internas específicas que complementam lacunas não atendidas pelas normas globais. Além disso os domínios abrangidos pelas políticas corporativas de terceiros vêm se ampliando progressivamente para incluir aspectos como código de ética, práticas trabalhistas, requisitos de segurança da informação, proteção de dados e critérios ambientais e sociais. Essa ampliação de escopo reflete uma visão moderna de governança, que não se limita à dimensão contratual e operacional, mas incorpora também os princípios de responsabilidade corporativa, compliance e sustentabilidade.
O estudo reforça que a padronização das práticas de gestão de terceiros, mesmo em ambientes descentralizados, é um elemento estruturante para que as empresas alcancem maturidade e resiliência no gerenciamento desse ecossistema complexo. A capacidade de aplicar regras consistentes, realizar monitoramentos uniformes e consolidar informações de forma centralizada é essencial para que a alta liderança tenha uma visão holística e integrada dos riscos de terceiros, o que é imprescindível para uma gestão proativa e baseada em dados confiáveis.
Temos que falar ainda da baixa confiança das empresas nas plataformas tecnológicas utilizadas atualmente para a gestão de riscos de terceiros, aonde segundo o levantamento, 56,1% das empresas declararam ter um nível de confiança baixo nos sistemas tecnológicos de suporte, enquanto 38,2% classificaram sua confiança como apenas moderada. Esses dados evidenciam que as soluções atualmente implementadas não são capazes de oferecer a robustez, a integração e a capacidade de resposta necessárias para sustentar a complexidade. Essa insuficiência tecnológica cria um cenário de alta vulnerabilidade, dificultando o monitoramento eficaz e comprometendo a capacidade das empresas de consolidar informações de forma ágil, confiável e com visão integrada sobre os terceiros contratados.
O relatório demonstra que a maior parte das empresas ainda opera com múltiplos sistemas desconectados, planilhas manuais e plataformas que não conversam entre si. Apenas 29,8% das empresas utilizam plataformas de ERP como SAP ou Oracle para apoiar a gestão de terceiros. O restante das empresas se apoia em um conjunto heterogêneo de soluções que inclui softwares desenvolvidos internamente, ferramentas de mercado que não são específicas para a gestão de terceiros, pacotes adaptados para essa finalidade ou ainda combinações de sistemas fragmentados que, muitas vezes, dependem de intervenções manuais para cruzamento de dados e atualização de informações. Esse cenário reforça a existência do já conhecido "gap de execução", pois mesmo com o tema posicionado estrategicamente nas agendas de governança, os processos de suporte ainda são incapazes de acompanhar a velocidade e a complexidade da terceirização moderna.
O levantamento também aponta que as empresas possuem uma clara demanda por funcionalidades que as tecnologias atuais não entregam de forma satisfatória. Entre as principais funcionalidades desejadas estão ferramentas que permitam a realização estruturada de avaliações de risco, módulos para diligências pré-contratuais, controles que bloqueiem pagamentos a terceiros não homologados, registros automáticos de indicadores de desempenho e relatórios executivos em tempo real para a alta gestão. Além disso as empresas desejam soluções que possibilitem a avaliação de riscos de concentração, o agendamento de revisões periódicas e a formalização e o acompanhamento de planos de ação corretivos de forma integrada e rastreável. O estudo evidencia que as empresas não querem mais depender de múltiplos sistemas desconectados; elas buscam plataformas tecnológicas integradas e especializadas que cubram todas as dimensões da gestão de riscos de terceiros de ponta a ponta. Essa lacuna tecnológica é uma das principais barreiras que impedem as empresas de evoluir para um patamar de maturidade superior.
Queria falar de u, dilema estratégico importante que é a definição do modelo organizacional responsável pela gestão dos riscos de terceiros. As empresas precisam decidir se vão estruturar modelos centralizados e internalizados ou se vão terceirizar parte ou a totalidade das atividades de monitoramento e controle para prestadores de serviços especializados. O levantamento revelou que 58,4% das empresas estão priorizando a construção de funções centralizadas e internas para apoiar o gerenciamento de terceiros. Esse modelo em geral permite maior controle, padronização de processos, alinhamento estratégico e visibilidade consolidada, especialmente em organizações com estruturas globais complexas e alto grau de descentralização operacional. Por outro lado apenas 8% das empresas demonstraram interesse em migrar para modelos baseados em provedores externos. A terceirização nesse contexto ainda é vista com certo ceticismo, principalmente porque muitas organizações entendem que a gestão de terceiros é uma atividade estratégica que deve permanecer sob governança direta. Um dado relevante porém é que 33,6% das empresas ainda estão indecisas ou em fase de avaliação sobre qual modelo adotar, o que evidencia que essa é uma decisão organizacional que requer análise criteriosa, especialmente em função dos riscos envolvidos e da criticidade das atividades terceirizadas.
Nos modelos centralizados internalizados, a expectativa é que as áreas dedicadas a gestão de riscos de terceiros assumam múltiplas funções, incluindo a realização de avaliações de risco periódicas, o monitoramento contínuo dos terceiros, a coordenação de atividades de gestão de riscos, o acompanhamento de planos de remediação, o controle de cláusulas contratuais e a execução de procedimentos administrativos como a gestão documental e o suporte a eventuais processos de desligamento ou substituição de terceiros. Essa configuração demonstra que o modelo centralizado exige um nível de maturidade operacional elevado e a existência de times capacitados, capazes de sustentar o volume e a complexidade das atividades de monitoramento de forma tempestiva e eficaz. A Deloitte destaca que a decisão entre centralizar, terceirizar ou adotar modelos híbridos deve ser feita considerando a estratégia corporativa, o grau de criticidade dos terceiros envolvidos, a capacidade operacional interna, o nível de exposição a riscos e as exigências regulatórias aplicáveis ao setor em que a empresa atua.
Diferentes indústrias estão posicionadas em relação à dependência dos terceiros e ao grau de maturidade de seus programas de gestão de riscos de terceiros, em que o estudo mostrou que os setores financeiro e de saúde estão como esperado na vanguarda, apresentando níveis elevados de dependência de terceiros críticos, e ao mesmo tempo estruturas de governança mais avançadas, alinhadas às exigências regulatórias mais rígidas que esses setores enfrentam. Esses segmentos são frequentemente pressionados por órgãos reguladores a adotar práticas robustas de gestão de terceiros, especialmente para prevenir riscos relacionados à continuidade de serviços essenciais, proteção de dados sensíveis e prevenção à lavagem de dinheiro.
Outros setores como manufatura, tecnologia, mídia e telecomunicações, também demonstram alta dependência de terceiros, porém ainda operam com modelos de governança que precisam evoluir para atingir um patamar otimizado de maturidade. Esses setores reconhecem a importância da gestão de terceiros, mas muitas vezes ainda apresentam processos fragmentados ou dependentes de controles manuais, especialmente em empresas com operações descentralizadas em múltiplas geografias. O estudo destaca que setores como infraestrutura, serviços públicos e administração pública ainda operam com níveis mais baixos de maturidade, o que é preocupante, dado o impacto social e econômico que falhas nesses setores podem causar. Esses segmentos muitas vezes enfrentam desafios adicionais como restrições orçamentárias, baixa integração tecnológica e estruturas de governança menos sofisticadas, o que os posiciona como grupos que necessitam acelerar a evolução de seus programas de gestão de riscos de terceiros.
A análise setorial também evidencia que as indústrias que mais investem em modelos integrados de gestão de riscos são aquelas que enfrentam maior pressão regulatória e aquelas que operam em ambientes de risco mais crítico, como bancos, seguradoras, hospitais, empresas farmacêuticas e grandes companhias de tecnologia. Esses setores estão à frente na adoção de ferramentas tecnológicas especializadas, na centralização de funções de controle e na padronização de políticas globais para gestão de terceiros.
Apesar de toda a evolução recente no entendimento do risco de terceiros, as empresas ainda enfrentam desafios significativos para estruturar ferramentas tecnológicas confiáveis e processos operacionais suficientemente eficazes para garantir a segurança e a robustez necessárias nesse ambiente complexo. O estudo destaca que a baixa confiança das empresas nos seus próprios sistemas de tecnologia persiste como uma das grandes fragilidades da gestão de terceiros. Ainda que as empresas tenham investido em tecnologia e processos de gestão de terceiros nos últimos anos, esses esforços continuam insuficientes para gerar uma base sólida de dados confiáveis, consolidar uma visão integrada do ecossistema de terceiros e permitir uma gestão contínua e proativa de riscos. Esse cenário cria um risco organizacional concreto: as empresas podem estar assumindo decisões baseadas em informações incompletas, desatualizadas ou inconsistentes, o que gera o risco de falsa segurança, expondo as organizações a eventos inesperados que poderiam ter sido mitigados com uma infraestrutura de tecnologia mais robusta. O relatório da Deloitte enfatiza que a ausência de sistemas integrados impede a análise preditiva e limita a capacidade das empresas de antecipar eventos de risco. Esse é um dos principais gargalos que restringem a maturidade operacional na gestão de riscos de terceiros pois as decisões acabam sendo tomadas com base em fragmentos de informação ou sem a visibilidade completa das operações dos terceiros. O estudo sugere que as empresas devem acelerar a modernização de suas plataformas de gestão de terceiros, priorizando a integração tecnológica, a automação dos fluxos de trabalho e a criação de bases de dados centralizadas que permitam não apenas acompanhar os terceiros de forma contínua, mas também desenvolver capacidades analíticas mais sofisticadas para prever e responder rapidamente aos riscos emergentes.
A maturidade dos programas de gestão de terceiros não pode ser tratada como um projeto de curto prazo ou como uma iniciativa pontual. O estudo deixa claro que a jornada de evolução da gestão de terceiros é um processo contínuo e de longo prazo, que deve ser incorporado como uma prática permanente no modelo operacional da organização. Essa evolução exige investimento constante, disciplina organizacional, engajamento das lideranças e uma mentalidade que reconheça que os riscos associados a terceiros são dinâmicos, complexos e altamente sensíveis a mudanças no ambiente externo. As empresas que alcançam níveis mais elevados de maturidade são aquelas que conseguem manter ritmos regulares e consistentes de revisão de terceiros, avaliação de controles, execução de auditorias e monitoramento de indicadores críticos. A gestão de terceiros deve ser entendida como um ciclo de vida completo e repetitivo, começando na due diligence pré-contratual, passando por avaliações contínuas ao longo do relacionamento e encerrando-se apenas quando a parceria for formalmente encerrada com todos os riscos devidamente mitigados. Uma prática recomendada pelas empresas mais maduras consiste em estruturar programas cíclicos de revisão que incluam revalidações periódicas das avaliações de risco, revisões de contratos e atualizações das condições de mercado e regulatórias aplicáveis. Além disso ainda costumam implementar processos formais para o acompanhamento da execução de planos de ação corretivos, garantindo que as vulnerabilidades identificadas sejam devidamente tratadas no prazo e com qualidade. A consistência desses processos é o que permite reduzir as áreas de risco que não foram adequadamente monitoradas por falta de continuidade ou negligência na execução das rotinas de controle.
Depois de tudo isto não podemos esquecer da necessidade de desenvolver políticas corporativas padronizadas e robustas que sejam aplicáveis globalmente em todas as unidades operacionais da empresa, independentemente do grau de descentralização ou autonomia local. Pois sem políticas uniformes e formalizadas, é impossível alcançar a consistência necessária na abordagem de gestão de terceiros, especialmente em empresas que operam em múltiplas geografias ou que atuam em setores com exigências regulatórias complexas. As melhores práticas apontam para a criação de políticas corporativas globais obrigatórias, suportadas por procedimentos operacionais padronizados e sistemas tecnológicos que garantam sua execução uniforme. Essas políticas devem abranger um escopo completo, incluindo critérios mínimos de qualificação de terceiros, regras de conduta ética e integridade, requisitos de segurança da informação, padrões de compliance regulatório, condições financeiras mínimas, obrigações contratuais mandatórias e exigências específicas de sustentabilidade e responsabilidade social. Além disso é fundamental que as políticas corporativas determinem a periodicidade das revisões de risco, os protocolos para resposta a incidentes envolvendo terceiros e as exigências de transparência e prestação de contas dos parceiros contratados. A padronização das políticas é o alicerce para que a gestão de terceiros seja efetivamente integrada e que permita visibilidade consolidada para a alta liderança. Em empresas maduras essas políticas são desenvolvidas com forte patrocínio da alta administração e são acompanhadas por programas de treinamento específicos e canais de comunicação dedicados, garantindo que todos os envolvidos compreendam e apliquem corretamente as regras corporativas no dia a dia.