Gestão de Riscos de Terceiros: Como Avaliar Fornecedores e Parceiros

Em 2024, o Brasil perdeu R$ 297,7 bilhões com fraudes — dado da Global Anti-Scam Alliance (GASA). Uma parcela significativa dessas perdas envolve terceiros: fornecedores que cometem irregularidades, parceiros que manipulam contratos, prestadores de serviço envolvidos em esquemas de corrupção.

O problema é que sua empresa pode ser responsabilizada por atos que nem cometeu. A Lei Anticorrupção (12.846/2013) estabelece a responsabilidade objetiva: se um terceiro agindo em seu nome ou benefício cometer ato lesivo contra a administração pública, você paga a conta. Multas de até 20% do faturamento bruto. Sem necessidade de provar dolo.

É por isso que a gestão de terceiros deixou de ser "burocracia de compliance" para se tornar questão de sobrevivência empresarial. Este guia mostra como estruturar um programa de TPRM (Third Party Risk Management) que protege sua operação — e como ir além da homologação documental para detectar riscos que os processos tradicionais ignoram.

O que é Gestão de Riscos de Terceiros (TPRM)?

Gestão de riscos de terceiros — ou TPRM, do inglês Third Party Risk Management — é o processo contínuo de identificar, avaliar, monitorar e mitigar os riscos que sua empresa assume ao se relacionar com entidades externas.

Terceiros incluem:

• Fornecedores de produtos e matérias-primas
• Prestadores de serviços (TI, logística, segurança, limpeza)
• Parceiros comerciais e distribuidores
• Consultores e assessores externos
• Agentes e representantes comerciais
• Subcontratados e quarteirizados
• Instituições financeiras parceiras

O termo "terceiros" é mais amplo que "fornecedores" por uma razão: o risco não vem apenas de quem vende algo para você, mas de qualquer entidade que represente, aja em nome ou tenha acesso aos ativos da sua empresa.

TPRM vs VRM vs Gestão de Fornecedores

A confusão entre termos é comum. Aqui está a diferença:

Termo	Escopo	Foco
Gestão de Fornecedores	Quem vende para você	Preço, prazo, qualidade
VRM (Vendor Risk Management)	Fornecedores críticos	Riscos operacionais e de segurança
TPRM (Third Party Risk Management)	Todos os terceiros	Riscos regulatórios, reputacionais, operacionais, cibernéticos

TPRM é o guarda-chuva que engloba VRM. Inclui não apenas fornecedores, mas qualquer terceiro que possa expor sua empresa a riscos — mesmo aqueles que não recebem pagamento direto, como parceiros de co-marketing ou entidades beneficentes apoiadas pela empresa.

Por que sua empresa precisa avaliar terceiros?

O cenário brasileiro de fraudes é alarmante. Segundo a Serasa Experian, 68% das grandes empresas aumentaram sua preocupação com fraudes em 2024. O aumento de 11% nas transações financeiras suspeitas em relação a 2023 mostra que o problema está crescendo.

Mas além das fraudes diretas, existem razões estruturais para implementar gestão de terceiros:

Responsabilidade objetiva pela Lei Anticorrupção

O artigo 2º da Lei 12.846/2013 é claro: "As pessoas jurídicas serão responsabilizadas objetivamente [...] pelos atos lesivos previstos nesta Lei praticados em seu interesse ou benefício, exclusivo ou não."

Traduzindo: se um despachante contratado pela sua empresa suborna um fiscal para agilizar uma licença, sua empresa responde — mesmo que você não soubesse, mesmo que não tenha ordenado, mesmo que seja contrário às suas políticas internas.

O artigo 4º, §2º, vai além: "As sociedades controladoras, controladas, coligadas ou, no âmbito do respectivo contrato, as consorciadas serão solidariamente responsáveis."

Isso significa que uma holding pode ser responsabilizada por atos de uma subsidiária. Um consórcio inteiro pode cair por causa de um membro. A cadeia de responsabilidade é ampla.

Casos reais de empresas prejudicadas

A Operação Lava Jato revelou dezenas de casos em que empresas foram penalizadas por atos de terceiros. Empreiteiras que usavam "consultores" para intermediar propinas. Empresas de óleo e gás que contratavam fornecedores controlados por agentes públicos. Grupos econômicos que mantinham "prestadores de serviço" cujo único serviço era pagar suborno.

O padrão se repete: empresas que achavam estar protegidas por contratos bem redigidos descobriram que a due diligence superficial não é defesa. O argumento "não sabíamos" não prospera quando a empresa deveria saber — e teria sabido se fizesse a verificação adequada.

Os três tipos de dano

Empresas que negligenciam a gestão de terceiros enfrentam:

1. Danos financeiros diretos: Multas de 0,1% a 20% do faturamento bruto pela Lei Anticorrupção. Mais reparação integral do dano causado. Mais custos de defesa jurídica.
2. Danos reputacionais: Publicação obrigatória da condenação em meios de comunicação de grande circulação. Perda de contratos. Fuga de investidores. Dificuldade de recrutamento.
3. Danos operacionais: Interrupção de fornecimento por falência de terceiro. Vazamento de dados por falha de segurança de parceiro. Greves por irregularidades trabalhistas de terceirizados.

Principais riscos de terceiros para empresas brasileiras

Riscos de corrupção e fraude

O tipo mais grave, com consequências legais severas. Inclui:

• Terceiros que pagam propina em nome da empresa
• Fornecedores controlados por agentes públicos (conflito de interesses)
• Prestadores que superfaturam contratos públicos
• Consultores cujo papel real é intermediar vantagens indevidas
• Parceiros envolvidos em lavagem de dinheiro

A Lei Anticorrupção tipifica expressamente o uso de "interposta pessoa física ou jurídica para ocultar ou dissimular seus reais interesses" como ato lesivo.

Riscos trabalhistas e fiscais

Terceirização irregular é endêmica no Brasil. Os riscos incluem:

• Vínculo trabalhista: Subordinação direta de terceirizados que configura vínculo empregatício
• Responsabilidade subsidiária: Dívidas trabalhistas do prestador que recaem sobre o tomador
• Irregularidades fiscais: Fornecedor que não recolhe tributos e compromete sua dedutibilidade
• Trabalho análogo à escravidão: Risco extremo que pode levar a empresa à "Lista Suja"

Riscos de segurança da informação

Com a digitalização acelerada, terceiros viraram portas de entrada para ataques cibernéticos:

• Fornecedores de software com vulnerabilidades
• Prestadores de TI com acesso privilegiado a sistemas
• Parceiros que armazenam dados pessoais sem proteção adequada
• Subcontratados que não seguem políticas de segurança

A LGPD estabelece responsabilidade solidária entre controlador e operador de dados — ou seja, você responde por vazamentos causados por terceiros que tratam dados em seu nome.

Riscos ESG e ambientais

Pressão de investidores e consumidores por práticas sustentáveis estende a responsabilidade para toda a cadeia:

• Fornecedores com passivos ambientais
• Parceiros em áreas de desmatamento ilegal
• Prestadores com histórico de violações de direitos humanos
• Terceiros que não cumprem normas de segurança do trabalho

Riscos de continuidade operacional

Nem todo risco é regulatório. Alguns são puramente comerciais:

• Fornecedor único que falir paralisa sua produção
• Prestador crítico que perde certificação compromete sua operação
• Parceiro em recuperação judicial que não consegue entregar
• Terceiro com capacidade financeira insuficiente para honrar contrato

A Lei Anticorrupção e a gestão de terceiros

Lei 12.846/2013: responsabilidade objetiva

A Lei Anticorrupção brasileira é uma das mais rigorosas do mundo em termos de responsabilização de pessoas jurídicas. Seus principais pontos para gestão de terceiros:

Responsabilidade independente de culpa (art. 2º): A empresa responde objetivamente por atos de terceiros praticados em seu interesse ou benefício.

Solidariedade entre empresas do grupo (art. 4º, §2º): Controladoras, controladas e coligadas respondem solidariamente.

Uso de interposta pessoa como ato lesivo (art. 5º, III): Utilizar terceiro para ocultar interesses é infração autônoma.

Programa de integridade como atenuante (art. 7º, VIII): A existência de mecanismos de compliance é considerada na dosimetria da pena.

Decreto 11.129/2022: parâmetros de integridade

O Decreto 11.129/2022 regulamentou a Lei Anticorrupção e detalhou os parâmetros para avaliação de programas de integridade. Entre eles:

• Due diligence para contratação de terceiros
• Verificação de integridade de terceiros antes e durante a relação
• Mecanismos de controle para identificar irregularidades
• Canal de denúncias acessível a terceiros

A mensagem é clara: empresas que não fazem due diligence de terceiros perdem um atenuante importante em caso de problemas.

Due diligence como pilar do compliance

Programas de compliance sem gestão de terceiros são incompletos. A due diligence prévia à contratação demonstra que a empresa:

1. Tomou precauções razoáveis
2. Não ignorou sinais de alerta (red flags)
3. Agiu de boa-fé na seleção de parceiros
4. Mantém controles proporcionais ao risco

Em processos administrativos e judiciais, a existência de due diligence documentada pode ser a diferença entre multa máxima e atenuação significativa.

Como implementar um programa de TPRM na sua empresa

Mapeamento de terceiros

O primeiro passo é saber com quem você se relaciona. Parece óbvio, mas muitas empresas não têm uma visão consolidada de todos os terceiros:

• Fornecedores diretos: Catalogados em sistemas de compras
• Prestadores de serviço: Podem estar em contratos departamentais
• Consultores e assessores: Frequentemente contratados diretamente por áreas
• Parceiros comerciais: Distribuidores, revendedores, representantes
• Terceiros indiretos: Fornecedores dos seus fornecedores (quarteirização)

Crie um inventário único. Integre dados de compras, jurídico, áreas de negócio. Identifique terceiros "fantasmas" — aqueles que existem há anos sem nunca ter passado por avaliação.

Classificação de risco por criticidade

Nem todo terceiro precisa do mesmo nível de escrutínio. Classifique por:

Criticidade operacional:

• Alta: Interrupção paralisa a operação
• Média: Impacto significativo, mas contornável
• Baixa: Facilmente substituível

Exposição a riscos regulatórios:

• Alta: Interage com governo, acessa dados sensíveis, representa a empresa
• Média: Acesso limitado, baixa visibilidade externa
• Baixa: Transações pontuais, sem acesso privilegiado

Volume financeiro:

• Alto: Contratos relevantes para o faturamento
• Médio: Contratos recorrentes de valor moderado
• Baixo: Compras pontuais ou de pequeno valor

A matriz de riscos resultante determina o nível de due diligence aplicável.

Definição de critérios de avaliação

Para cada nível de risco, defina:

Terceiros de alto risco:

• Due diligence aprofundada obrigatória
• Verificação de sócios e administradores
• Consulta a PEPs (Pessoas Politicamente Expostas)
• Análise de processos judiciais e administrativos
• Auditoria de integridade
• Monitoramento contínuo

Terceiros de risco médio:

• Verificação cadastral completa
• Consulta a certidões negativas
• Análise financeira básica
• Cláusulas contratuais de compliance
• Reavaliação periódica

Terceiros de baixo risco:

• Verificação cadastral simplificada
• CNPJ ativo e regular
• Cláusulas contratuais padrão
• Reavaliação por amostragem

Fluxo de homologação

Estruture um processo formal:

1. Cadastro: Terceiro fornece informações e documentos
2. Triagem: Sistema classifica o risco automaticamente
3. Verificação: Equipe ou ferramenta executa as verificações aplicáveis
4. Análise: Resultado é avaliado por compliance/jurídico
5. Decisão: Aprovado, aprovado com ressalvas, ou reprovado
6. Contratação: Inclusão de cláusulas específicas
7. Monitoramento: Acompanhamento durante a vigência

O fluxo deve ser documentado e auditável. Cada etapa com responsável, prazo e critérios objetivos.

Due diligence de terceiros: passo a passo

Coleta de informações e documentos

A lista varia conforme o risco, mas geralmente inclui:

Documentos básicos:

• Contrato social e alterações
• Cartão CNPJ
• Comprovante de inscrição estadual/municipal
• Certidões negativas (federais, estaduais, municipais)
• Certidão de débitos trabalhistas

Documentos adicionais para alto risco:

• Balanço patrimonial e DRE dos últimos 3 anos
• Referências comerciais
• Código de ética ou conduta
• Política anticorrupção (se houver)
• Declaração de beneficiários finais
• Declaração de PEPs relacionados

Consulta a bases públicas e privadas

A verificação documental é só o começo. É preciso cruzar informações com bases externas:

Bases públicas:

• Receita Federal (situação cadastral, QSA)
• Tribunais de Justiça (processos cíveis e criminais)
• Justiça do Trabalho (reclamações trabalhistas)
• CEIS/CNEP (cadastros de empresas sancionadas)
• CEPIM (entidades privadas sem fins lucrativos impedidas)
• Lista de Transparência (trabalho escravo)

Bases privadas:

• Bureaus de crédito (Serasa, SPC)
• Listas de sanções internacionais (OFAC, EU, ONU)
• Bases de PEPs

Verificação de PEPs e sanções

PEPs — Pessoas Politicamente Expostas — merecem atenção especial. Se um sócio, administrador ou beneficiário final do terceiro é ou foi PEP, o risco de corrupção aumenta significativamente.

Verifique também listas de sanções nacionais e internacionais. Um terceiro sancionado pelo OFAC (EUA) pode contaminar sua empresa em transações internacionais, mesmo que você não tenha operações diretas nos Estados Unidos.

Background check de sócios e representantes

A empresa é reflexo de quem a controla. Investigue:

• Histórico dos sócios e administradores
• Participação em outras empresas (mapa societário)
• Processos pessoais (especialmente criminais)
• Notícias e menções em mídia
• Relações com agentes públicos

Muitas fraudes são cometidas por empresas aparentemente regulares, mas controladas por pessoas com histórico problemático. A análise da pessoa física por trás da pessoa jurídica é essencial.

Análise de processos judiciais e administrativos

Não basta verificar se existem processos. É preciso analisar:

• Tipo: Trabalhista, cível, criminal, administrativo, ambiental
• Polo: Autor ou réu
• Valor: Relevância financeira
• Status: Ativo, arquivado, com condenação
• Padrão: Processos repetitivos indicam problema estrutural

Um fornecedor com 50 reclamações trabalhistas por irregularidades similares não está tendo "azar". Tem um modelo de negócio baseado em precarização.

Monitoramento contínuo de terceiros

Por que a homologação não basta

A due diligence inicial é uma fotografia. A realidade muda:

• Sócios entram e saem
• Processos são ajuizados
• Sanções são aplicadas
• Situação financeira deteriora
• Práticas irregulares são descobertas

Uma empresa homologada há dois anos pode estar hoje inadimplente com tributos, em recuperação judicial, ou com sócios recém-incluídos em lista de sanções.

Alertas de mudanças cadastrais e processuais

Sistemas modernos de gestão de riscos de terceiros permitem configurar alertas automáticos:

• Alteração de QSA (entrada ou saída de sócios)
• Novos processos judiciais
• Inclusão em cadastros de sancionados
• Mudança de situação cadastral na Receita
• Protestos e negativações

O monitoramento contínuo transforma a due diligence de evento pontual em processo permanente.

Auditorias periódicas

Para terceiros de alto risco, auditorias presenciais complementam o monitoramento digital:

• Verificação de instalações e condições de trabalho
• Entrevistas com colaboradores
• Análise de documentos originais
• Avaliação de controles internos

A periodicidade depende do risco: anual para terceiros críticos, bienal para os demais.

Reavaliação de risco

O risco de um terceiro não é estático. Reavalie quando:

• Há mudança significativa no escopo do contrato
• O terceiro passa por reestruturação societária
• São identificados red flags no monitoramento
• Vence o período de validade da última avaliação
• Ocorre incidente relevante no setor

Ferramentas e tecnologia para gestão de terceiros

Plataformas de homologação automatizada

Soluções de mercado automatizam o fluxo de homologação:

• Portal de cadastro para terceiros
• Integração com bases de consulta
• Workflow de aprovação configurável
• Armazenamento de documentos
• Relatórios e indicadores

A automação reduz o tempo de homologação de semanas para dias e elimina gargalos manuais que atrasam contratações urgentes.

Inteligência artificial na análise de riscos

A próxima fronteira é usar IA para ir além da verificação documental. Plataformas como o Sherlocker utilizam inteligência artificial especializada em investigação empresarial para:

• Cruzar dados de múltiplas fontes automaticamente
• Identificar padrões suspeitos que humanos não perceberiam
• Mapear relações entre pessoas e empresas (grafos societários)
• Analisar notícias e menções em mídia de forma massiva
• Detectar red flags ocultos em estruturas societárias complexas

A diferença entre homologação tradicional e investigação com IA é a profundidade. A homologação verifica se os documentos estão em ordem. A investigação descobre se há algo errado que os documentos não mostram.

Integração com sistemas de compras/procurement

A gestão de terceiros não pode ser um silo isolado. Integre com:

• ERP: Bloqueio automático de fornecedores não homologados
• Procurement: Verificação antes de cada pedido de compra
• Contratos: Cláusulas padrão inseridas automaticamente
• Pagamentos: Alertas para pagamentos a terceiros com pendências

A integração fecha o ciclo: terceiro não aprovado não consegue ser cadastrado, não recebe pedidos, não é pago.

Conclusão: da homologação à investigação inteligente

A gestão de riscos de terceiros evoluiu. O que antes era um processo burocrático de coleta de certidões virou questão estratégica de proteção empresarial.

O cenário regulatório brasileiro — com responsabilidade objetiva pela Lei Anticorrupção, solidariedade pelo grupo econômico, e exigências crescentes de compliance — não deixa margem para amadorismo. Empresas que tratam TPRM como formalidade estão expostas a riscos que podem destruir reputações construídas em décadas.

Mas compliance não precisa ser sinônimo de burocracia paralisante. Com a tecnologia certa, é possível:

• Homologar terceiros em dias, não semanas
• Monitorar continuamente sem esforço manual
• Detectar riscos que processos tradicionais não encontram
• Documentar due diligence de forma auditável
• Proteger a empresa sem travar a operação

A transformação começa com a mentalidade: sair da homologação documental para a investigação inteligente. Não basta perguntar se os papéis estão em ordem. É preciso descobrir se há algo errado que os papéis não mostram.

Sua cadeia de terceiros é uma extensão da sua empresa. Proteja-a como tal.

---

FAQ: Gestão de Riscos de Terceiros

O que é gestão de riscos de terceiros?

Gestão de riscos de terceiros (TPRM - Third Party Risk Management) é o processo contínuo de identificar, avaliar, monitorar e mitigar os riscos que uma empresa assume ao se relacionar com fornecedores, parceiros, prestadores de serviço e outras entidades externas. Inclui due diligence antes da contratação e monitoramento durante todo o relacionamento.

O que é TPRM?

TPRM é a sigla para Third Party Risk Management, termo em inglês para gestão de riscos de terceiros. Refere-se ao conjunto de processos, políticas e ferramentas utilizados para gerenciar os riscos associados a terceiros que se relacionam com a empresa.

Por que a gestão de terceiros é obrigatória no Brasil?

A Lei Anticorrupção (12.846/2013) estabelece responsabilidade objetiva: empresas respondem por atos lesivos praticados por terceiros em seu interesse ou benefício, mesmo sem culpa direta. O Decreto 11.129/2022 inclui due diligence de terceiros como parâmetro de avaliação de programas de integridade.

Quais são os principais riscos de terceiros?

Os principais riscos incluem: corrupção e fraude (terceiros que pagam propina em nome da empresa), trabalhistas (terceirização irregular), fiscais (irregularidades tributárias), cibernéticos (vazamento de dados por falha de segurança de parceiro), ESG (práticas ambientais ou sociais inadequadas) e operacionais (interrupção por falência de fornecedor crítico).

Qual a diferença entre TPRM e gestão de fornecedores?

Gestão de fornecedores foca em quem vende produtos ou serviços para a empresa, priorizando preço, prazo e qualidade. TPRM é mais amplo: abrange todos os terceiros (incluindo parceiros, consultores, representantes) e foca em riscos regulatórios, reputacionais, operacionais e cibernéticos.

Como fazer due diligence de fornecedores?

Due diligence de fornecedores inclui: verificação cadastral (CNPJ, situação regular), consulta a certidões negativas, análise financeira, verificação de sócios e administradores, consulta a PEPs e listas de sanções, análise de processos judiciais e administrativos, e avaliação de controles de integridade.

O que são PEPs e por que verificar?

PEPs (Pessoas Politicamente Expostas) são indivíduos que ocupam ou ocuparam cargos públicos relevantes, ou são seus familiares e associados próximos. Terceiros relacionados a PEPs apresentam maior risco de corrupção, exigindo due diligence aprofundada.

Quanto tempo leva para homologar um fornecedor?

Com processos manuais, a homologação pode levar de 2 a 8 semanas. Com plataformas automatizadas e integração a bases de dados, o processo pode ser reduzido para 2 a 5 dias, dependendo da complexidade do terceiro e do nível de verificação exigido.