TPRM: o que é Third-Party Risk Management e como implementar

TPRM (Third-Party Risk Management, ou Gestão de Riscos de Terceiros) é a disciplina que permite às organizações identificar, avaliar, monitorar e mitigar os riscos associados a fornecedores, prestadores de serviço, parceiros e qualquer entidade ou pessoa com acesso a dados, operações ou ativos da empresa. 

Um programa de TPRM cobre todo o ciclo de vida do relacionamento com terceiros, do onboarding ao offboarding.

Na prática, trata-se do processo estruturado de identificação, avaliação, monitoramento e mitigação de riscos relacionados a terceiros que mantêm algum tipo de relação operacional, tecnológica ou comercial com a organização. 

Seu objetivo é reduzir impactos financeiros, regulatórios, operacionais, reputacionais e cibernéticos ao longo de toda a jornada desse relacionamento.

Em um ambiente de negócios cada vez mais interconectado e terceirizado, compreender e dominar o Third-Party Risk Management deixou de ser apenas uma boa prática para se tornar uma exigência crítica de governança. 

Para gestores de Governança, Riscos e Compliance, esse entendimento é fundamental para proteger a empresa contra vulnerabilidades que podem comprometer desde a reputação até a continuidade dos negócios. 

Porém, com a complexidade das cadeias de relacionamento, o TPRM, hoje, tem impacto em todas as áreas do negócio, tornando-se uma disciplina transversal.

Neste artigo, você vai encontrar a definição completa do conceito, os principais tipos de risco, boas práticas de implementação e indicadores que caracterizam um programa de TPRM maduro.

O que é TPRM (Third-Party Risk Management)?

TPRM é a sigla para Third-Party Risk Management, expressão que pode ser traduzida como Gestão de Riscos de Terceiros.

Na prática, trata-se de um conjunto estruturado de processos, políticas, tecnologias e controles utilizados para identificar, avaliar, monitorar e mitigar riscos associados a terceiros que mantêm algum tipo de relação com uma empresa.

Third party (terceiro) é qualquer entidade que não pertence à organização e com a qual ela mantém algum tipo de relacionamento operacional, comercial ou tecnológico. 

Isso vai muito além do fornecedor tradicional: inclui parceiros comerciais, prestadores de serviço, softwares SaaS, consultorias, distribuidores, operadores logísticos, integradores, canais e qualquer organização que participe direta ou indiretamente da operação do negócio.

Já o risk management (gestão de riscos) trata-se de um processo contínuo e estruturado que envolve identificação, análise, resposta e monitoramento de eventos capazes de impactar os objetivos da organização.

O principal objetivo do TPRM é reduzir impactos que possam comprometer a operação, a segurança, a conformidade regulatória, a reputação ou a continuidade da empresa.

Embora o conceito tenha ganhado força inicialmente dentro das áreas de compliance, ele evoluiu rapidamente para uma disciplina multidisciplinar, conectando operação, governança, jurídico, compras, logística, RH, tecnologia, ESG e gestão corporativa de riscos.

Segundo projeções da MarketsandMarkets, o mercado global TPRM foi avaliado em USD 8,57 bilhões em 2024 e está projetado para alcançar USD 37,34 bilhões até 2035, crescendo a uma taxa composta de crescimento anual (CAGR) de 14,2% entre 2025 e 2035.

Quais são os quatro pilares do TPRM?

Um programa de TPRM normalmente é estruturado sobre quatro pilares centrais:

Identificar

Identificar significa mapear e catalogar todos os terceiros com os quais a organização se relaciona, classificando-os por tipo, criticidade e nível de acesso a dados, sistemas e operações.

Isso inclui criar inventários completos, mapear relacionamentos, identificar acessos críticos e compreender quais áreas dependem de cada parceiro externo.

Sem visibilidade sobre quem são os terceiros e qual o nível de dependência existente, não existe gestão efetiva de risco.

Avaliar

Avaliar significa mensurar a exposição a risco que cada terceiro representa.

Essa etapa envolve processos de due diligence (investigação prévia e aprofundada), além da atribuição de um score de risco baseado em múltiplas dimensões, como fatores financeiros, operacionais, regulatórios, reputacionais e cibernéticos.

Nesse momento, a organização coleta documentos, analisa histórico financeiro, verifica conformidade regulatória, reputação, riscos trabalhistas, exposição cibernética, sanções e outros fatores relevantes.

O objetivo é compreender o nível de risco associado a cada terceiro antes e durante o relacionamento.

Essa etapa normalmente envolve questionários, consultas automatizadas, validações documentais e mecanismos de classificação de risco.

Monitorar

O risco de terceiros não é estático. Por isso, monitorar é o que transforma o TPRM de um evento pontual em um processo contínuo.

Monitorar significa acompanhar permanentemente o comportamento e a situação de cada terceiro, com alertas automatizados para mudanças relevantes, como irregularidades fiscais, novos processos judiciais, alterações societárias ou notícias negativas.

Uma empresa considerada saudável hoje pode apresentar problemas financeiros amanhã. Um parceiro sem incidentes pode sofrer um vazamento de dados meses depois. Um fornecedor compliant pode passar a enfrentar processos regulatórios relevantes.

Por isso, programas maduros de TPRM trabalham com monitoramento contínuo.

Isso inclui acompanhamento automatizado de alterações cadastrais, processos judiciais, mídia negativa, listas restritivas, indicadores financeiros, eventos de segurança e outras variáveis críticas.

O objetivo é detectar mudanças de risco em tempo real e permitir respostas rápidas antes que os impactos atinjam a organização.

Mitigar

Após identificar, avaliar e monitorar riscos, a empresa precisa agir.

Mitigar é a capacidade de transformar informações de risco em decisões práticas de negócio e reduzir impactos potenciais por meio de controles, planos de ação, cláusulas contratuais, exigências regulatórias, revisão de acessos, auditorias, planos de continuidade e medidas corretivas.

Dependendo do nível de risco, a organização pode aprovar o relacionamento (com ou sem restrições), exigir remediações, intensificar monitoramentos e até mesmo bloquear contratações e encerrar contratos.

Em alguns casos, mitigar pode significar exigir adequações do terceiro, renegociar cláusulas contratuais, condicionar pagamentos à regularização de pendências ou até encerrar o relacionamento de forma estruturada.

É essa capacidade de resposta que torna o TPRM uma disciplina estratégica para a proteção e continuidade dos negócios.

Quem são considerados “terceiros” no TPRM?

Um dos erros mais comuns na implementação de programas de TPRM é reduzir o conceito de “terceiro” ao fornecedor de matéria-prima ou ao prestador de serviço mais visível. Mas o escopo é significativamente mais amplo, e ignorar partes dele representa uma vulnerabilidade relevante.

O relatório Deloitte Global TPRM Survey aponta que 83% dos líderes de risco acreditam que seu ecossistema de terceiros está “cada vez mais complexo”, deixando claro que os riscos são muito mais profundos do que parecem à primeira vista.

Os fornecedores diretos são os parceiros mais óbvios: empresas que fornecem produtos, insumos ou matérias-primas. No entanto, eles representam apenas a camada mais visível da cadeia.

Na prática, terceiros são todas as entidades externas que possuem algum nível de relacionamento operacional, tecnológico, financeiro, regulatório ou comercial com a organização.

• Fornecedores de produtos e insumos. Nesse contexto, fornecedores de tecnologia e SaaS são frequentemente subestimados. Todos exigem uma due diligence equivalente à de qualquer outro parceiro crítico.
• Parceiros de negócio e joint ventures possuem acesso parcial a operações, dados e decisões estratégicas. O nível de exposição justifica uma due diligence proporcional ao grau de integração.
• Intermediários e agentes comerciais são especialmente críticos sob a ótica da Lei Anticorrupção. Um agente que paga propina em nome da empresa, mesmo sem autorização explícita, pode gerar responsabilidade objetiva para a organização.
• Transportadoras e operadores logísticos introduzem riscos operacionais, trabalhistas e de integridade. Incidentes com cargas, acidentes e irregularidades envolvendo motoristas terceirizados podem gerar passivos significativos.
• Clientes também expõem empresas a riscos como fraude, lavagem de dinheiro e inadimplência. Por isso, programas de onboarding, KYC, PLD-FT e monitoramento transacional acabam se conectando diretamente ao universo de TPRM.
• Canais de distribuição e revendedores carregam o nome e a reputação da marca que representam. Uma irregularidade praticada por um revendedor pode impactar diretamente a imagem da empresa fornecedora.
• Colaboradores também devem ser considerados em programas de TPRM, já que possuem acesso a informações sensíveis e podem representar riscos operacionais e reputacionais. Em alguns setores regulados, por exemplo, a verificação de antecedentes criminais é obrigatória.

Por que o TPRM se tornou crítico em 2026?

As organizações contemporâneas operam com uma complexidade de relacionamentos externos sem precedentes. 

Uma empresa de médio porte típica pode ter de 50 a 300 parceiros comerciais e muitas sequer têm esse número totalmente mapeado.

Segundo a Gartner, mais de 60% dos incidentes de segurança corporativa têm origem em terceiros. 

Além disso, a Deloitte, em sua pesquisa global Extended Enterprise Risk Management Survey, identificou que 83% das organizações sofreram ao menos um incidente relevante causado por terceiros nos últimos três anos, e apenas 10% acreditam possuir visibilidade adequada sobre os riscos da própria cadeia estendida.

Esse cenário se tornou ainda mais crítico devido a alguns fatores estruturais.

A superfície de risco cresceu exponencialmente

No passado, o relacionamento entre empresa e fornecedor era relativamente linear. Hoje, ele se tornou distribuído, digital e altamente conectado.

Não se trata mais apenas de contratar fornecedores: empresas passaram a operar dentro de ecossistemas inteiros de parceiros, plataformas, integrações e prestadores com diferentes níveis de acesso a sistemas, dados e operações críticas.

Regulamentações aumentaram a responsabilidade sobre terceiros

Hoje, empresas podem ser responsabilizadas por falhas, vazamentos ou irregularidades cometidas por terceiros ligados à sua operação.

A expansão regulatória no Brasil, com a Lei Anticorrupção, resoluções do BACEN e outras normas setoriais, criou obrigações concretas de due diligence, monitoramento e gestão contínua de terceiros, acompanhadas de penalidades reais em caso de descumprimento.

Com isso, o TPRM deixou de ser apenas uma prática recomendada de governança e passou a ocupar uma posição estratégica dentro das estruturas de compliance, risco e segurança corporativa.

O mercado de TPRM está crescendo rapidamente

Segundo pesquisas recentes da Gartner, o mercado global de plataformas de TPRM continua em forte expansão devido ao aumento da complexidade regulatória, da digitalização e da exposição cibernética das organizações.

Esse crescimento reflete uma mudança importante de percepção: empresas passaram a entender que riscos de terceiros não são eventos isolados, mas parte estrutural da operação moderna.

Em 2026, não ter visibilidade adequada sobre terceiros já não representa apenas uma fragilidade operacional, representa uma vulnerabilidade estratégica.

Maturidade de TPRM no Brasil

O mercado de TPRM está crescendo rapidamente na América do Sul, impulsionado pelo aumento da pressão regulatória, da digitalização e da exposição a riscos cibernéticos e operacionais.

Segundo a Cognitive Market Research, a receita total do mercado sul-americano de TPRM deve evoluir de aproximadamente US$ 443 milhões em 2021 para US$ 783 milhões em 2025, alcançando cerca de US$ 2,44 bilhões em 2033, com CAGR estimado em 15,3%.

O Brasil lidera esse movimento regional. O mercado brasileiro de TPRM deve atingir aproximadamente US$ 292,3 milhões em 2025 e chegar a US$ 927,9 milhões em 2033, sustentado por um CAGR próximo de 15,5%.

Apesar desse crescimento acelerado, o Brasil ainda se encontra em estágio relativamente inicial de maturidade quando comparado aos mercados mais avançados globalmente.

Grande parte das organizações brasileiras ainda opera com processos fragmentados, controles manuais e iniciativas isoladas de due diligence que não cobrem todo o ciclo de vida do terceiro.

Pesquisas do setor indicam que:

• 47% das organizações brasileiras ainda não possuem programas maduros de gestão de riscos de terceiros
• 62% das empresas com programas estruturados implementaram suas iniciativas há menos de dois anos
• Apenas 13% possuem programas considerados avançados ou otimizados

Esse cenário revela um mercado em rápida evolução, mas ainda distante de um padrão consolidado de maturidade operacional.

Quatro fatores ajudam a explicar esse estágio atual do TPRM no Brasil.

Predominância de processos manuais

Boa parte das organizações ainda realiza due diligence utilizando planilhas, e-mails e consultas manuais a bases públicas.

Esse modelo limita escalabilidade, rastreabilidade, velocidade de resposta a incidentes e capacidade de monitoramento contínuo proativo.

Muitas empresas ainda operam com processos de homologação pouco integrados e altamente dependentes de esforço operacional humano.

Cultura de compliance ainda em consolidação

Especialmente em pequenas e médias empresas, compliance ainda é frequentemente percebido como custo operacional, e não como mecanismo estratégico de proteção corporativa.

Como consequência, o TPRM ainda não ocupa posição prioritária na agenda de boa parte das médias empresas brasileiras.

Em muitos casos, programas de terceiros surgem apenas após incidentes graves, sanções e multas, demandas de auditoria ou outros impactos.

Regulação relativamente recente

A aceleração regulatória brasileira é relativamente nova.

Normas como Lei Anticorrupção, resoluções do BACEN, Lei nº 14.811/2024, entre outras, ainda estão sendo absorvidas tanto pelas organizações quanto pelos próprios órgãos fiscalizadores.

Esse processo de amadurecimento regulatório naturalmente exige tempo para se transformar em práticas operacionais consolidadas.

Pressão das grandes empresas sobre a cadeia

Grandes corporações multinacionais, instituições financeiras e empresas de capital aberto passaram a exigir níveis mais elevados de conformidade de toda a cadeia de fornecedores e parceiros.

Na prática, isso significa que fornecedores precisam demonstrar processos mais rigorosos de compliance, segurança, regularidade e governança.

Esse efeito cascata está elevando rapidamente o nível de exigência em toda a cadeia corporativa brasileira.

TPRM, VRM e SRM: qual é a diferença?

O mercado usa uma série de siglas que se sobrepõem e, frequentemente, geram confusão. Entender as diferenças é importante tanto para a comunicação interna quanto para a escolha de ferramentas e frameworks adequados.

VRM significa Vendor Risk Management, ou Gestão de Riscos de Fornecedores. O foco está especificamente nos riscos associados a vendors, ou seja, fornecedores. Essa abordagem normalmente é utilizada em contextos de procurement, supply chain e gestão de contratos.

Já o SRM pode assumir dois significados diferentes dependendo do contexto: O primeiro é Supplier Risk Management, voltado à gestão de riscos na cadeia de suprimentos. 

O segundo significado de SRM é Supplier Relationship Management. Aqui, o foco deixa de ser risco e passa a ser relacionamento. Essa abordagem é utilizada para fortalecer a colaboração estratégica entre empresas e fornecedores.

Já o TPRM possui uma visão mais ampla porque considera qualquer tipo de terceiro que possa gerar exposição ao negócio.

Quais são os principais tipos de risco em TPRM?

O TPRM não é uma disciplina monolítica. Pelo contrário: ele cobre um espectro amplo de categorias de risco, cada uma com características próprias, diferentes mecanismos de materialização e impactos distintos sobre a organização.

Entender esses riscos é essencial para construir processos de due diligence, monitoramento e gestão realmente eficazes.

São eles:

Risco financeiro

O risco financeiro está relacionado à saúde econômica e à capacidade financeira do terceiro. 

Empresas financeiramente fragilizadas podem gerar impactos relevantes sobre operações críticas, especialmente quando ocupam posições estratégicas na cadeia de fornecimento.

Os principais sinais de alerta incluem:

• Recuperação judicial
• Endividamento excessivo
• Baixa liquidez
• Queda abrupta de receita
• Inadimplência
• Protestos
• Falhas de pagamento

Imagine, por exemplo, um fornecedor crítico que interrompe operações por dificuldades financeiras. Dependendo do nível de dependência, isso pode gerar paralisação operacional, ruptura da cadeia de suprimentos e perdas financeiras.

Em programas mais maduros de TPRM, esse risco costuma ser acompanhado por meio de análises financeiras e score de crédito, indicadores de solvência e análise de balanços.

Exemplo de materialização: um fornecedor estratégico, responsável por 70% de um insumo crítico, entra em recuperação judicial sem aviso prévio. A empresa contratante interrompe a produção por semanas antes de encontrar uma alternativa.

Risco operacional e de continuidade

Esse tipo de risco está relacionado à capacidade do terceiro de manter suas operações funcionando adequadamente. Mesmo empresas financeiramente saudáveis podem apresentar fragilidades operacionais relevantes.

Falhas ou interrupções nas operações do terceiro podem impactar diretamente a continuidade do negócio da contratante.

Os principais fatores analisados incluem capacidade operacional, maturidade de processos, gestão de incidentes e dependência de infraestrutura crítica.

Exemplo de materialização: em cadeias logísticas, uma transportadora sem estrutura adequada pode gerar interrupções de entrega, atrasos ou até paralisações completas em operações críticas.

Risco regulatório e legal

O risco regulatório envolve a possibilidade de terceiros descumprirem leis, normas ou exigências regulatórias que impactem diretamente a empresa contratante.

Dependendo do setor, terceiros podem gerar exposição relacionada a compliance fiscal, trabalhista e normas ambientais. No setor financeiro, por exemplo, os riscos estão ligados à anticorrupção, PLD-FT, normas do BACEN, etc.

Em muitos casos, organizações podem ser responsabilizadas por irregularidades cometidas por parceiros externos. 

É justamente por isso que processos de due diligence se tornaram fundamentais: o objetivo é avaliar previamente o nível de integridade e conformidade do terceiro antes da contratação.

Exemplo de materialização: empresa contratante é autuada pelo CADE por práticas anticompetitivas de um parceiro de distribuição; fornecedor com CNPJ irregular impede o aproveitamento de créditos fiscais.

Risco fiscal

O risco fiscal está relacionado à regularidade tributária e cadastral dos terceiros.

Empresas com irregularidades fiscais podem gerar problemas relevantes para contratantes, especialmente em setores altamente regulados.

Os principais pontos avaliados incluem:

• Situação cadastral
• Certidões negativas
• Débitos tributários
• Inconsistências fiscais
• Irregularidades societárias

Além do impacto regulatório, problemas fiscais também podem indicar fragilidade financeira ou baixa maturidade de governança.

Exemplo de materialização: prestador de serviços que não recolhe INSS de seus funcionários gera autuação da Receita Federal à empresa tomadora dos serviços, que responde solidariamente pelo débito.

Risco reputacional

O risco reputacional ocorre quando ações, comportamentos ou incidentes envolvendo terceiros afetam negativamente a imagem da organização.

Esse risco ganhou enorme relevância nos últimos anos devido à velocidade de disseminação de informações. Hoje, um incidente envolvendo um parceiro pode rapidamente gerar exposição negativa na mídia e crises de imagem, causando perda de confiança no mercado e danos comerciais.

Entre os principais fatores monitorados estão mídia negativa, processos judiciais e outras violações.

Empresas mais maduras utilizam monitoramento contínuo de reputação justamente para detectar sinais de alerta com maior rapidez.

Exemplo de materialização: fornecedor flagrado em operação do Ministério do Trabalho com uso de trabalho análogo à escravidão; parceiro envolvido em escândalo de corrupção com citação pública da empresa contratante.

Risco trabalhista

Esse risco é especialmente relevante em operações com terceirização intensiva, logística, facilities, etc.

Problemas trabalhistas podem envolver passivos, irregularidades contratuais, não recolhimento de encargos e condições inadequadas.

Além dos impactos financeiros, esse tipo de incidente também pode gerar danos reputacionais significativos.

Exemplo de materialização: empresa terceirizada deixa de recolher FGTS durante dois anos; trabalhadores ajuízam ação e a tomadora de serviços responde subsidiariamente por todo o passivo trabalhista, conforme Súmula 331 do TST e Súmula 509 do STJ.

Risco ESG

Hoje, investidores, clientes e reguladores esperam que empresas monitorem práticas ambientais, sociais e de governança em toda a cadeia de relacionamento. Isso significa que o risco ESG não está restrito apenas à operação interna.

A exposição a práticas inadequadas na cadeia de fornecimento pode gerar impactos em reputação, acesso a capital e conformidade com regulações emergentes.

Segundo a EY, mais da metade das organizações já considera riscos ambientais, sociais e de governança (ESG) em suas avaliações de terceiros, reforçando a necessidade de integrar sustentabilidade e responsabilidade corporativa na gestão de fornecedores.

Exemplo de materialização: fornecedor de matéria-prima flagrado com desmatamento ilegal; subcontratado de obra sem conformidade com a NR-35 gera acidente grave com repercussão pública.

Os riscos em TPRM são interconectados

Um ponto importante é que os riscos raramente aparecem de forma isolada.

Um problema financeiro pode gerar risco operacional. Uma falha de compliance pode causar uma crise reputacional. Um incidente cibernético pode resultar em multas regulatórias.

Por isso, programas modernos de TPRM trabalham com uma visão integrada de risco.

O objetivo não é apenas detectar problemas individuais, mas compreender como diferentes exposições podem se conectar e impactar a organização simultaneamente.

Qual é o ciclo de vida do TPRM?

O TPRM não é um evento pontual. Trata-se de um processo contínuo, estruturado em etapas que cobrem toda a extensão do relacionamento com o terceiro, desde o primeiro contato até o encerramento formal da relação.

A seguir, estão as seis etapas de um ciclo de vida completo de TPRM:

Etapa 1: Identificação e categorização

Tudo começa com visibilidade. O primeiro passo é inventariar todos os terceiros ativos da organização, uma tarefa que, na maioria das empresas, costuma revelar surpresas consideráveis.

Nessa etapa, cada terceiro é classificado por tipo, como fornecedor, prestador de serviço, SaaS, parceiro ou intermediário, além de ser avaliado conforme sua função crítica dentro da operação.

Algumas perguntas ajudam nessa análise:

• O terceiro possui acesso a dados sensíveis?
• Existe dependência operacional?
• Ele impacta diretamente receita ou continuidade do negócio?
• Há fornecedor alternativo disponível?

Com base nessas respostas, é definido um nível preliminar de criticidade.

O principal resultado dessa etapa é um mapa atualizado de terceiros, que servirá de base para todas as análises subsequentes.

Etapa 2: Due diligence inicial

Com o inventário estruturado, a due diligence aprofunda a análise antes da contratação ou renovação do parceiro.

Essa investigação formal busca validar se o terceiro é quem diz ser, se está em situação regular e se representa riscos aceitáveis para a organização.

O produto dessa etapa é um dossiê de due diligence com score de risco, documento que fundamenta a decisão de contratar, condicionar ou reprovar o terceiro.

Etapa 3: Avaliação de risco e tiering

Com base na due diligence, cada terceiro recebe uma classificação de risco, conhecida como tiering.

Essa classificação determina o nível de atenção, monitoramento e exigências contratuais que serão aplicados ao relacionamento.

Um modelo típico de tiering costuma organizar terceiros em quatro níveis:

• Tier 1 — Crítico: terceiros com acesso irrestrito a dados sensíveis, impacto direto em receita ou dependência operacional exclusiva. Exigem due diligence completa, monitoramento contínuo e auditorias periódicas.
• Tier 2 — Alto risco: terceiros com acesso limitado a dados ou sistemas críticos e algum nível de dependência operacional. Exigem due diligence aprofundada e monitoramento frequente.
• Tier 3 — Médio risco: terceiros com serviços padronizados e acesso restrito. Exigem due diligence simplificada e monitoramento trimestral.
• Tier 4 — Baixo risco: relações transacionais, sem acesso relevante a sistemas ou dados sensíveis. Exigem cadastro básico e revisão anual.

O resultado dessa etapa é a matriz de tiering atualizada, que funciona como base para a alocação eficiente de recursos de compliance.

Etapa 4: Onboarding e contratação

Com o parceiro aprovado e classificado, inicia-se o onboarding estruturado, garantindo que as exigências de compliance sejam convertidas em obrigações contratuais concretas.

Essa etapa normalmente inclui validação cadastral final, cláusulas contratuais anticorrupção, de proteção de dados e de regularidade, etc.

O produto dessa etapa é o terceiro devidamente cadastrado nos sistemas internos, com documentação validada e contrato aderente às políticas da organização.

Etapa 5: Monitoramento contínuo

O monitoramento contínuo é um dos principais diferenciais entre um programa de TPRM maduro e um processo limitado à homologação inicial.

Os riscos não desaparecem após a contratação. Pelo contrário: eles evoluem continuamente e precisam ser acompanhados em tempo real.

O monitoramento normalmente cobre:

• Mudanças na situação fiscal do CNPJ
• Novos processos judiciais
• Alterações societárias relevantes
• Vencimento de certidões e licenças
• Inclusão em listas restritivas
• Notícias negativas em mídia e redes sociais

A frequência desse monitoramento varia conforme o tier do terceiro. Terceiros críticos podem ser monitorados continuamente ou diariamente, enquanto terceiros de baixo risco podem passar por revisões trimestrais ou semestrais.

O resultado dessa etapa é um fluxo permanente de alertas, relatórios periódicos e gatilhos automáticos para reavaliação sempre que houver mudanças relevantes.

Etapa 6: Offboarding

O encerramento do relacionamento com terceiros é uma etapa frequentemente negligenciada, apesar dos riscos significativos envolvidos quando executada de forma inadequada.

No contexto fiscal brasileiro, essa etapa ganha contornos ainda mais sensíveis. Documentos fiscais relacionados ao ICMS devem ser mantidos por, no mínimo, cinco anos, contados a partir do início do exercício seguinte ao da emissão.

Um processo estruturado de offboarding garante:

• Revogação de acessos a sistemas e dados
• Encerramento formal de contratos e aditivos
• Verificação de obrigações pendentes
• Validação de questões trabalhistas, fiscais e contratuais
• Arquivamento da documentação para rastreabilidade e auditoria

O resultado dessa etapa é um checklist de offboarding concluído, com trilha de auditoria preservada.

Ao final, o ciclo se reinicia com a reavaliação periódica dos terceiros ativos, porque um programa maduro de TPRM não possui ponto final.

Frameworks e padrões nacionais e internacionais para TPRM

Nenhum programa sólido de TPRM nasce do zero. Existe um conjunto consolidado de frameworks internacionais que oferece estrutura metodológica, critérios de avaliação e uma linguagem comum entre profissionais de risco, compliance e segurança no mundo inteiro.

Nos últimos anos, a gestão de riscos de terceiros deixou de ser apenas uma boa prática corporativa e passou a ter forte conexão com exigências regulatórias concretas, inclusive no Brasil. 

Por isso, além dos frameworks internacionais, também existem normas e regulações brasileiras diretamente aplicáveis ao TPRM.

A seguir, estão os principais referenciais utilizados atualmente.

NIST SP 800-161

Publicado pelo National Institute of Standards and Technology (NIST), órgão do governo norte-americano, o NIST SP 800-161 é considerado o principal framework de referência para gestão de riscos da cadeia de suprimentos em tecnologia e cibersegurança, conhecido no mercado como Cyber Supply Chain Risk Management (C-SCRM).

Sua aplicação ao TPRM é especialmente relevante para organizações com alta dependência de fornecedores de tecnologia, serviços em nuvem e software.

O framework define práticas para identificar, avaliar e responder a riscos cibernéticos introduzidos por terceiros ao longo de todo o ciclo de aquisição e relacionamento.

ISO 27036

A ISO 27036 especifica requisitos e recomendações para segurança da informação em relacionamentos com fornecedores.

A norma cobre o ciclo de vida completo da relação com terceiros que possuem acesso a informações sensíveis, incluindo serviços em nuvem, outsourcing e fornecedores tecnológicos.

Ela se tornou uma referência importante para organizações que precisam demonstrar conformidade com padrões internacionais de segurança da informação dentro da cadeia de suprimentos.

ISO 31000

A ISO 31000 é o framework geral de gestão de riscos da International Organization for Standardization.

Ela fornece princípios, estrutura e processos de gestão de riscos que servem como base conceitual para praticamente qualquer programa corporativo de risco, incluindo o TPRM.

Sua principal força está na universalidade: pode ser aplicada a organizações de qualquer porte, setor ou jurisdição e funciona de forma complementar aos frameworks mais específicos.

Lei Anticorrupção — Lei 12.846/2013

A Lei Anticorrupção é, provavelmente, o principal motor da expansão do TPRM no Brasil.

A legislação estabelece a responsabilidade objetiva das pessoas jurídicas, ou seja: a empresa pode responder por atos lesivos praticados por representantes, parceiros e intermediários, mesmo sem comprovação de dolo ou autorização direta.

Na prática, isso significa que um agente comercial que paga propina para fechar um contrato com o poder público pode gerar responsabilidade direta para a empresa contratante, ainda que ela não tivesse conhecimento do ato.

As penalidades previstas são severas:

• Multa de 0,1% a 20% do faturamento bruto do ano anterior
• Possibilidade de multas de até R$ 60 milhões, quando não houver faturamento apurado
• Publicação da decisão condenatória
• Suspensão de atividades
• Dissolução compulsória da pessoa jurídica

Para o TPRM, existe um ponto especialmente importante: a existência de um programa efetivo de compliance, incluindo due diligence de terceiros, é considerada atenuante legal expressamente prevista tanto na lei quanto no Decreto 11.129/2022, que a regulamenta.

LGPD — Lei 13.709/2018

A Lei Geral de Proteção de Dados (LGPD) introduziu no direito brasileiro os conceitos de controlador e operador de dados pessoais.

Quando uma empresa compartilha dados pessoais com terceiros para execução de serviços, esses terceiros passam a atuar como operadores, enquanto a empresa contratante continua mantendo responsabilidade legal sobre o tratamento realizado.

A empresa contratante pode ser responsabilizada por vazamentos causados por terceiros caso não demonstre diligência adequada na gestão do relacionamento.

Resoluções BACEN 4.658/2018 e CMN 4.893/2021

Aplicáveis a instituições financeiras e demais entidades autorizadas pelo Banco Central, essas resoluções representam algumas das regulações mais detalhadas sobre TPRM no sistema financeiro brasileiro.

A Resolução BACEN 4.658/2018 estabeleceu exigências de política de segurança cibernética para contratação de serviços de processamento e armazenamento de dados, especialmente em ambientes de nuvem.

Posteriormente, a Resolução CMN 4.893/2021 ampliou esse escopo, detalhando requisitos relacionados à avaliação prévia obrigatória de terceiros, cláusulas contratuais específicas de segurança e continuidade e monitoramento contínuo de prestadores, com planos de contingência documentados.

Para o setor financeiro, essas normas se tornaram referência obrigatória e colocam o Brasil entre os ambientes regulatórios mais avançados do mundo em matéria de TPRM.

Resolução CVM 59/2021

A Resolução CVM 59/2021 impõe a gestores de recursos e fundos de investimento a obrigação de gerenciar riscos operacionais, incluindo explicitamente riscos originados em prestadores de serviços terceirizados.

A norma exige due diligence prévia de prestadores críticos, monitoramento contínuo e documentação formal dos processos de gestão de risco.

Na prática, ela cria para o mercado de capitais exigências bastante semelhantes às observadas no setor bancário.

Lei 14.811/2024

A Lei nº 14.811/2024 estabeleceu exigências rigorosas para contratação e manutenção de colaboradores no setor educacional, impactando diretamente a gestão de pessoas e compliance das instituições de ensino.

A legislação determina que instituições públicas, privadas e organizações sociais que atuem com crianças e adolescentes mantenham certidões de antecedentes criminais de seus colaboradores atualizadas semestralmente.

Sob a perspectiva do TPRM, a norma adiciona uma dimensão ESG-social concreta e juridicamente respaldada, especialmente relacionada à verificação de antecedentes e mitigação de riscos reputacionais e operacionais, além da proteção de crianças e adolescentes.

Súmula 509 do STJ

A Súmula 509 do STJ consolidou o entendimento de que o tomador de serviços responde subsidiariamente por créditos trabalhistas de empregados terceirizados que prestaram serviços em suas dependências.

Na prática, isso significa que empresas podem responder por obrigações trabalhistas não cumpridas por prestadores de serviço.

Por isso, o monitoramento contínuo da regularidade trabalhista e previdenciária dos terceiros se tornou uma medida crítica de mitigação de risco.

Esse acompanhamento normalmente envolve guias de INSS, FGTS, acordos coletivos, regularidade trabalhista e obrigações previdenciárias.

Sem esse monitoramento, a empresa contratante pode assumir passivos trabalhistas significativos.

O que esses frameworks revelam sobre o TPRM

A leitura conjunta desses frameworks, normas e regulações deixa clara uma realidade: o Brasil já exige, na prática, programas estruturados de TPRM.

A discussão deixou de ser “se” a organização deve implementar gestão de riscos de terceiros.

Hoje, a questão central é como implementar um programa integrado, eficiente, auditável e compatível com o nível de exposição regulatória e operacional da empresa.

Como implementar um programa de TPRM?

Implementar um programa de TPRM robusto não é um projeto de TI nem uma iniciativa exclusiva de compliance. Trata-se de uma mudança de governança que atravessa compras, jurídico, financeiro, RH e tecnologia.

O que segue é um roteiro executivo em oito etapas para estruturar um programa escalável, padronizado e sustentável. Confira:

Passo 1 — Definir a governança do programa

O primeiro passo é responder a uma pergunta central: quem é dono do programa?

Em muitas organizações, o TPRM fica em uma zona cinzenta entre compliance, compras e jurídico — o que significa que, na prática, ninguém é efetivamente responsável.

Uma governança eficiente exige:

• Definição clara da área proprietária do programa (tipicamente compliance ou risco);
• Criação de um comitê multidisciplinar com representação de compras, jurídico, TI e financeiro;
• Aprovação formal da alta liderança;
• Definição de papéis e responsabilidades (modelo RACI).

Também é importante estabelecer fluxos de aprovação, critérios de risco, políticas corporativas, níveis de alçada e processos de escalonamento.

Empresas mais maduras normalmente operam com um modelo centralizado de governança, mesmo quando as análises envolvem múltiplas áreas. 

Isso garante padronização, rastreabilidade e consistência operacional.

Entregável: política de gestão de riscos de terceiros aprovada pela alta liderança.

Passo 2 — Inventariar todos os terceiros

Com a governança estabelecida, o próximo passo é criar visibilidade total sobre a cadeia de terceiros.

Isso significa mapear fornecedores, prestadores, parceiros, SaaS e demais terceiros ativos. Esse processo frequentemente revela um volume muito maior do que o esperado.

A base centralizada deve incluir:

• Razão social;
• CNPJ/CPF;
• Tipo de relacionamento;
• Área responsável pelo contrato;
• Nível de acesso a dados e sistemas;
• Contratos e status contratual;

• Tipo de serviço;
• Criticidade operacional;
• Acessos concedidos;
• Dados compartilhados;
• Dependências sistêmicas.

Esse inventário funciona como base estrutural do programa de TPRM.

Entregável: base de dados centralizada e atualizada de todos os terceiros ativos.

Passo 3 — Categorizar terceiros e aplicar tiering

Com o inventário consolidado, cada terceiro deve ser classificado conforme critérios definidos na política corporativa.

O tiering é o mecanismo que permite direcionar esforço proporcional ao risco, aplicando análises mais profundas para terceiros críticos e processos simplificados para relações de menor exposição.

Os critérios normalmente consideram:

• Criticidade operacional;
• Acesso a dados sensíveis;
• Exposição regulatória;
• Integração tecnológica;
• Impacto financeiro;
• Dependência do negócio;
• Volume transacional;
• Exposição reputacional.

A partir disso, os terceiros podem ser classificados em níveis de criticidade:

• Tier 1 — Crítico: terceiros com alto impacto potencial sobre operação, segurança ou compliance. 
• Tier 2 — Alto risco: parceiros relevantes com exposição moderada. 
• Tier 3 — Médio risco: terceiros operacionais com menor criticidade. 
• Tier 4 — Baixo risco: relacionamentos administrativos ou pouco relevantes.

Esse modelo evita burocracia excessiva e permite concentrar recursos onde o risco é efetivamente maior.

Entregável: matriz de tiering com todos os terceiros classificados.

Passo 4 — Estabelecer políticas e processos por tier

Após a classificação, é necessário definir controles específicos para cada nível de risco.

Isso inclui:

• Profundidade e periodicidade da due diligence;
• Questionários aplicáveis;
• Fontes de verificação;
• Cláusulas contratuais obrigatórias;
• Frequência de monitoramento;
• Critérios de reavaliação.

Essas políticas precisam estar formalmente documentadas, aprovadas e integradas aos fluxos de compras e contratação, não apenas existir no papel.

Entregável: manual de procedimentos de TPRM por tier integrado ao processo de compras.

Passo 5 — Estruturar o processo de due diligence

A due diligence é um dos pilares centrais do TPRM. Seu objetivo é avaliar previamente os riscos associados aos terceiros antes do onboarding ou da continuidade do relacionamento.

As análises podem incluir regularidade fiscal e cadastral, antecedentes criminais e processos, listas restritivas, saúde financeira, etc.

O nível de profundidade deve variar conforme a criticidade do parceiro.

Empresas mais maduras utilizam automação para acelerar essas avaliações. Com a Netrin, é possível automatizar processos de due diligence utilizando verificações em múltiplas fontes de dados e classificação automática de risco. 

Entregável: processo de due diligence estruturado e parametrizado por nível de risco.

Passo 6 — Implementar monitoramento contínuo

Um dos erros mais comuns em TPRM é tratar risco como algo estático.

Na prática, terceiros mudam constantemente. Por isso, programas mais maduros trabalham com monitoramento contínuo para detectar alterações relevantes em tempo real.

Isso inclui acompanhar mudanças em certidões e status de regularidade, processos judiciais, score financeiro, etc.

O monitoramento contínuo deve ser utilizado para acompanhar riscos financeiros, reputacionais e regulatórios em toda a cadeia de terceiros, permitindo atuação preventiva e redução no tempo de resposta.

Entregável: estrutura de monitoramento contínuo implementada com alertas e critérios de reavaliação definidos.

Passo 7 — Implementar tecnologia e executar o primeiro ciclo operacional

A implementação de uma plataforma de TPRM é o que viabiliza o programa em escala.

A tecnologia deve ser configurada conforme os workflows aprovados, integrada aos sistemas de ERP e SRM e acompanhada de treinamento das áreas envolvidas.

Com a plataforma operacional, inicia-se o primeiro ciclo completo do programa, incluindo due diligence e tiering de toda a base de terceiros ativos.

Nesse estágio, é comum identificar:

• Terceiros críticos sem due diligence;
• Contratos sem cláusulas de compliance;
• Fornecedores com irregularidades relevantes;
• Gaps de documentação e monitoramento.

Os riscos mais críticos devem ser priorizados imediatamente. Os demais podem seguir um plano estruturado de tratamento.

Entregáveis: plataforma operacional integrada, inventário completo com score de risco e tier atribuídos, plano de tratamento de gaps críticos.

Passo 8 — Definir KPIs e implantar o ciclo de revisão contínua

Um programa maduro de TPRM precisa ser continuamente medido, revisado e aprimorado.

KPIs claros, dashboards executivos e revisões periódicas são o que diferenciam um programa vivo de uma iniciativa que perde relevância após a implementação.

Entre os indicadores normalmente acompanhados estão:

• Percentual de terceiros classificados;
• Terceiros monitorados continuamente;
• Tempo médio de onboarding;
• Volume de terceiros críticos;
• Número de alertas relevantes;
• Status de remediações;
• Conformidade documental.

O objetivo é garantir evolução contínua, visibilidade executiva e capacidade de resposta diante de novos riscos.

Entregáveis: dashboard operacional de KPIs, calendário anual de revisões, relatórios periódicos para a alta liderança.

Indicadores de TPRM: quais KPIs acompanhar?

O que não se mede não se gerencia. Um programa de TPRM maduro é monitorado por um conjunto de indicadores que cobrem cobertura, qualidade, velocidade e evolução. Veja alguns KPIs essenciais:

Como tecnologia e automação impactam o TPRM?

Uma organização com 200 fornecedores ativos, submetidos a uma due diligence anual com 50 variáveis cada, precisaria realizar 10.000 verificações por ano apenas nessa camada de análise.

Quando adicionamos monitoramento contínuo, gestão documental, alertas e workflows de aprovação, o volume se torna inviável de ser executado manualmente.

O TPRM baseado em planilhas, e-mails e verificações pontuais tende a gerar resultados inconsistentes, lacunas de cobertura e ausência da trilha de auditoria necessária para atender requisitos regulatórios.

É nesse contexto que a tecnologia deixa de ser um diferencial e passa a ser um requisito para a escalabilidade do programa.

A evolução das plataformas de TPRM

O mercado de plataformas de TPRM cresceu significativamente na última década e consolidou-se como uma categoria própria dentro do ecossistema de GRC (Governance, Risk and Compliance).

As funcionalidades essenciais de uma plataforma moderna incluem:

• Gestão centralizada do inventário de terceiros;
• Workflows configuráveis de due diligence e aprovação;
• Questionários automatizados por tier;
• Scoring de risco multidimensional;
• Monitoramento contínuo com alertas automatizados;
• Dashboards executivos e relatórios regulatórios;
• Integração com ERPs, SRMs e outros sistemas corporativos.

No Brasil, a Netrin é a plataforma líder em TPRM, com mais de 300 clientes, incluindo Heineken, BRF, JBS, Motorola, Faber-Castell e Sicredi, além de integração nativa com mais de 500 sistemas, incluindo SAP e Salesforce.

Inteligência de dados: o motor de um programa de TPRM automatizado

O verdadeiro diferencial de uma plataforma de TPRM está na sua capacidade de consultar e interpretar grandes volumes de informações em tempo real.

Um programa robusto precisa monitorar centenas de fontes relevantes, incluindo Receita Federal, SINTEGRA, ANTT, Tribunais de Justiça, TST, COAF, listas internacionais de restrição, entre outras.

A Netrin realiza verificações automáticas a partir de CNPJs e CPFs em mais de 1.000 fontes de dados, entregando em minutos análises que poderiam levar dias para serem concluídas manualmente.

Mas o valor não está apenas na coleta dos dados.

O principal benefício está na capacidade de transformar informações dispersas em análises estruturadas, contextualizadas e acionáveis para tomada de decisão.

Monitoramento contínuo automatizado

O monitoramento contínuo transforma o TPRM de uma fotografia pontual em um filme em tempo real.

Em vez de realizar due diligence apenas durante o onboarding, a plataforma acompanha continuamente cada terceiro e gera alertas automáticos sempre que ocorre uma mudança relevante.

Isso pode incluir novas irregularidades ou processos, alterações no quadro societário, vencimento de certidões e notícias na mídia.

Com isso, as equipes de compliance deixam de gastar tempo em verificações periódicas manuais e passam a concentrar esforços nos eventos que realmente exigem análise e ação.

O resultado é um ganho expressivo de eficiência, cobertura e capacidade de resposta.

Score de risco e tiering automatizados

Outra capacidade essencial é a automatização da classificação de risco.

Algoritmos de scoring combinam dezenas de variáveis para gerar um score único, comparável e auditável para cada terceiro.

Esse score se torna a base para o tiering automatizado.

A partir dele, a plataforma classifica cada terceiro no nível de risco correspondente e ajusta automaticamente exigências, profundidade das análises e frequência de monitoramento.

O resultado é um processo mais consistente, escalável e alinhado à criticidade de cada relacionamento.

TPRM com agentes de IA

A chegada da IA generativa e dos agentes autônomos está redefinindo o que é possível dentro do TPRM.

Se antes a tecnologia automatizava consultas e verificações específicas, hoje os agentes de IA conseguem executar fluxos completos de análise.

Eles são capazes de Cruzar informações, Identificar padrões, aplicar regras de negócio e, então, recomendar ou executar decisões automaticamente.

A mudança não é incremental. É estrutural.

Enquanto um analista humano realiza dezenas de due diligences por mês, um agente de IA devidamente configurado pode executar milhares por dia, mantendo consistência operacional e trilha de auditoria completa.

Veja algumas aplicações possíveis:

Análise documental

A leitura de contratos, certidões, balanços e registros passa a ser um processo automatizado.

O agente extrai informações relevantes, identifica inconsistências entre documentos e sinaliza divergências que exigem validação.

O que antes consumia horas de trabalho manual pode ser concluído em segundos.

Detecção de anomalias fiscais e financeiras

Os agentes monitoram continuamente a situação tributária dos terceiros, identificando irregularidades antes que elas se transformem em passivos e detectando padrões que frequentemente passam despercebidos em análises manuais, como inconsistências entre certidões e variações incomuns de faturamento.

Os agentes também analisam demonstrações financeiras, balanços patrimoniais e DREs para identificar sinais precoces de fragilidade financeira. 

Verificação de compliance 

Os agentes verificam automaticamente a aderência do terceiro às políticas internas e às exigências regulatórias aplicáveis.

O resultado é um parecer estruturado que fundamenta decisões de aprovação, direcionamento para análise humana ou reprovação. Tudo com rastreabilidade completa.

Decisão baseada em regras de risco

Essa é uma das capacidades mais avançadas dos agentes.

Com base no score calculado e nas políticas configuradas pela organização, o sistema pode recomendar ou executar automaticamente a ação adequada.

Nesse modelo, a intervenção humana ocorre apenas nos casos que realmente exigem julgamento especializado.

Do TPRM reativo ao TPRM preditivo

Com agentes de IA, o TPRM deixa de operar de forma reativa e passa a atuar de forma preditiva.

Em vez de identificar problemas somente após sua materialização, o sistema passa a identificar sinais antecipados de risco e acionar respostas preventivas.

Isso muda também o papel das equipes de compliance.

Os profissionais deixam de atuar como executores de verificações manuais e passam a atuar como gestores de exceções, concentrando sua atenção nas situações em que o julgamento humano é realmente indispensável.

Como a Netrin apoia essa transformação

A Netrin foi pioneira na aplicação de agentes de IA para TPRM no Brasil e desenvolveu uma ampla gama de agentes especializados integrados à sua plataforma de gestão do ciclo de vida de parceiros.

Ao combinar monitoramento contínuo, automação de due diligence, scoring de risco e agentes de IA especializados, a plataforma permite que organizações ampliem cobertura, reduzam esforço operacional e fortaleçam a governança de terceiros em escala.

Quer entender como a Netrin pode ajudar a estruturar ou evoluir o programa de TPRM da sua organização?

Converse com um especialista e descubra como mais de 300 empresas já estão automatizando a gestão de riscos com o apoio da inteligência artificial.