Gestão de risco de terceiros é fator de sobrevivência financeira

há 1 semana 2

ANUNCIE AQUI

O Gerenciamento de Risco de Terceiros (TPRM – Third-Party Risk Management) deixou de ser uma função administrativa de compliance para se tornar um tema estratégico que precisa ser discutido em nível de diretoria. Uma análise de mercado feita pela Whistic indica que 77% de todas as violações de segurança nos últimos três anos tiveram origem em um fornecedor ou terceiro, fazendo com que o TPRM ganhasse destaque na pauta de resiliência cibernética.

O mercado global reflete essa urgência, com projeções apontando para uma taxa de crescimento anual entre 15% e 18,5%. Para as empresas que operam no Brasil, essa pressão é amplificada por obrigações regulatórias: a Lei Geral de Proteção de Dados (LGPD) e, no caso do segmento financeiro, as novas resoluções do Banco Central (BACEN).

“Os executivos estão percebendo que a superfície de ataque não termina no firewall da empresa; ela se estende por toda a cadeia de suprimentos”, avalia Paulo Miranda, Head da keeggo Cyber Security. “O TPRM deixou de ser um exercício de ‘check-the-box’ para o jurídico e se tornou a principal disciplina de resiliência do negócio, pois uma falha no terceiro é uma falha direta na operação.”

Enquanto a LGPD estabelece a responsabilidade legal direta das empresas sobre as práticas de dados de seus fornecedores, são as novas normas do BACEN, com entrada em vigor entre 2025 e 2026, que criam uma consequência financeira imediata. O foco do BACEN passa a ser os Provedores de Serviços de Tecnologia da Informação (PSTIs), exigindo critérios mais robustos de credenciamento que incluem capital social mínimo de R$ 15 milhões, certificações internacionais de segurança e contratação de seguro de responsabilidade civil para riscos cibernéticos.

A Resolução BCB nº 496 (Pix) e nº 497 (TED) funcionam como mecanismo de aplicação. Instituições que utilizarem um PSTI não credenciado ou que não esteja em conformidade estarão sujeitas a um limite operacional de R$15.000,00 por transação.

“O BACEN efetivamente desenvolveu o business case, que justifica o aumento dos investimentos em TPRM”, afirma Miranda. “Ao estabelecer um gatilho financeiro tão direto e pesado, o regulador removeu qualquer dúvida sobre a importância da TPRM. A conformidade do fornecedor de tecnologia não é mais uma ‘boa prática’; é uma condição para operar no sistema de pagamentos. Ou a instituição gerencia seu terceiro em tempo real, ou seu negócio principal é paralisado.”

O ponto crítico dessa nova realidade é a dificuldade operacional para atender às novas exigências. De acordo com o estudo da Whistic, as empresas gerenciam em média 286 fornecedores, sobrecarregando equipes de risco e compliance e tornando abordagens manuais baseadas em planilhas obsoletas e propensas a erros. Dados de 2025 revelam que o tamanho médio da equipe de TPRM é de 8,5 indivíduos, resultando em uma proporção insustentável de 33,6 fornecedores para cada profissional de risco.

“É operacionalmente impossível para uma equipe enxuta auditar e monitorar manualmente quase 300 fornecedores”, declara o Head da keeggo Cyber Security. “Essa proporção de 33 para 1 é um atestado de falha operacional. Sem automação e plataformas de monitoramento contínuo, as empresas estão, na prática, cegas para boa parte do seu risco real.”

Essa sobrecarga contribui para a criação de um caso de negócios que justifique o investimento em automação, impulsionando a adoção de plataformas tecnológicas e o abandono de questionários pontuais em favor do monitoramento contínuo.

Ainda que o mercado de plataformas tecnológicas de TPRM esteja maduro, o verdadeiro desafio para a implementação não é tecnológico, mas sim a cultura organizacional e a governança. Uma pesquisa do Gartner de 2024 revela que, embora 95% dos gestores de negócios identifiquem “bandeiras vermelhas” de risco em seus fornecedores, apenas cerca de 50% escalam essa informação vital para as equipes de compliance.

De forma muito parecida, uma pesquisa da EY sobre ESG identificou que 66% dos desafios de integração se devem à “falta de coordenação interna”. Isso demonstra que o maior risco não reside no terceiro, mas nos silos internos da própria empresa.

“Muitas organizações compram plataformas de TPRM esperando uma ‘bala de prata’, mas o maior risco não está no fornecedor; está nos silos internos”, conclui Paulo Miranda. “Se o jurídico, a área de compras e a unidade de negócio que contrata o SaaS não operarem sob uma governança unificada e centralizada, a plataforma mais cara do mundo será inútil. O investimento em tecnologia deve ser rigorosamente acompanhado por um investimento equivalente na quebra de silos, pois o desafio hoje não é técnico, é de governança.”

Ler artigo completo