Gestão de Riscos de Terceiros (TPRM): Como Proteger sua Empresa de Quem Você Contrata

Em 2023, a Deloitte publicou um dado que deveria tirar o sono de qualquer compliance officer: 83% das organizações sofreram ao menos um incidente significativo envolvendo terceiros nos três anos anteriores. Não estamos falando de atrasos de entrega. Estamos falando de fraudes, vazamentos de dados, violações regulatórias e danos reputacionais que começaram fora da empresa — mas estouraram dentro.

O problema não é contratar terceiros. Toda empresa faz isso. O problema é contratar sem saber com quem está fazendo negócio de verdade. Verificar CNPJ e pedir certidão negativa não é gestão de risco — é formalidade. E formalidade não protege ninguém quando o fornecedor tem sócio oculto envolvido em lavagem de dinheiro ou quando o parceiro comercial é uma empresa de fachada montada há 6 meses.

Aqui você vai entender o que é TPRM de verdade, quais riscos terceiros trazem para dentro da sua operação, e como montar um programa que vai além do checklist.

O que é gestão de riscos de terceiros (TPRM)

TPRM — Third-Party Risk Management — é o conjunto de processos, políticas e ferramentas que uma empresa usa para identificar, avaliar, monitorar e mitigar riscos que vêm de qualquer relação com terceiros. Fornecedores, prestadores de serviço, parceiros comerciais, distribuidores, agentes, consultores. Qualquer entidade externa que tenha acesso aos seus dados, represente sua marca ou participe da sua cadeia de valor.

Na prática, TPRM responde a três perguntas:

1. Quem são os terceiros com quem nos relacionamos? — inventário completo, não só os "grandes contratos"
2. Que riscos cada um traz? — financeiro, regulatório, operacional, reputacional, cibernético
3. Estamos monitorando esses riscos ao longo do tempo? — não só no onboarding, mas durante toda a relação

A diferença entre TPRM e due diligence isolada? Due diligence é uma foto. TPRM é um filme. Due diligence investiga antes de contratar. TPRM monitora antes, durante e depois — porque o risco muda. O fornecedor que era idôneo no ano passado pode estar respondendo a processo criminal hoje.

Por que TPRM virou prioridade em 2026

Três forças estão acelerando a adoção de TPRM no Brasil:

Pressão regulatória crescente. A Lei Anticorrupção (12.846/2013) responsabiliza empresas por atos praticados por terceiros em seu interesse. A LGPD estabelece responsabilidade compartilhada entre controlador e operador de dados. Regulações setoriais do BACEN, CVM e SUSEP exigem due diligence de fornecedores em setores regulados. Não é mais recomendação — é obrigação.

Cadeias de suprimento mais complexas. A pesquisa global da EY sobre TPRM (2025) mostrou que o número de terceiros "não tradicionais" monitorados cresceu 20% em relação ao ano anterior. Empresas dependem de mais parceiros, em mais países, com mais pontos de falha. E 57% das organizações apontam disrupção de operações como o principal risco de terceiros.

Incidentes reais com consequências reais. Quando uma montadora japonesa teve toda a produção paralisada porque um fornecedor de peças sofreu um ataque cibernético, o prejuízo não ficou no fornecedor. Ficou na montadora. Quando um escritório de advocacia descobre que o perito contratado tem relação societária com a parte adversa, o dano não é do perito — é do cliente.

Os 7 tipos de risco que terceiros trazem para sua empresa

Nem todo risco de terceiro é igual. Entender as categorias ajuda a priorizar o que monitorar e como classificar cada fornecedor.

1. Risco regulatório e de compliance

O terceiro opera em conformidade com as leis aplicáveis? Tem programa de compliance? Já foi sancionado por órgãos reguladores?

Exemplo concreto: sua empresa contrata um agente comercial para representá-la em licitações. Se esse agente pagar propina a um servidor público, a Lei 12.846/2013 permite que sua empresa seja responsabilizada — mesmo que você não soubesse. A multa pode chegar a 20% do faturamento bruto.

2. Risco reputacional

A conduta do terceiro afeta sua marca? Envolvimento com trabalho análogo a escravidão, desastre ambiental, fraude pública — tudo respinga.

O consumidor e o regulador não separam "a empresa" de "o fornecedor da empresa". Se o nome aparece junto, o dano é compartilhado.

3. Risco financeiro

O terceiro é financeiramente saudável? Tem capacidade de entregar o contrato? Empresas à beira da insolvência cortam custos com segurança, compliance e qualidade — e o risco se transfere para você.

4. Risco cibernético e de dados

O terceiro tem acesso aos seus sistemas ou dados? Qual o nível de maturidade de segurança da informação? A LGPD estabelece que o controlador responde solidariamente por falhas do operador. Se o fornecedor de TI vazar dados dos seus clientes, a multa vem para você também — até 2% do faturamento, limitada a R$ 50 milhões por infração.

5. Risco operacional

O terceiro é crítico para a continuidade do negócio? O que acontece se ele parar de entregar amanhã? Concentração de dependência em um único fornecedor sem plano B é uma bomba-relógio.

6. Risco de conflito de interesses

O terceiro tem relações com concorrentes, com a parte adversa em processos, ou com pessoas politicamente expostas (PEPs)? Conflitos de interesse não aparecem em certidão negativa. Aparecem quando você mapeia o grupo econômico e as conexões societárias.

7. Risco ESG

O terceiro cumpre padrões ambientais, sociais e de governança? Com a agenda ESG ganhando peso em licitações, investimentos e reputação de marca, fornecedores com passivos ambientais ou trabalhistas viram passivo do contratante.

Como implementar um programa de TPRM: passo a passo

Montar um programa de TPRM não exige orçamento de multinacional. Exige método. Aqui está o processo em 6 etapas que funciona para empresas de qualquer porte.

Etapa 1: Inventário de terceiros

Antes de avaliar risco, você precisa saber quem são seus terceiros. Todos.

Parece óbvio, mas a maioria das empresas não tem um inventário completo. Fornecedores de TI estão no radar. Mas e o escritório de advocacia terceirizado? O consultor de RH? O agente comercial que opera em outro estado? O subcontratado do seu fornecedor principal?

O que mapear:

• Nome, CNPJ, endereço
• Tipo de serviço/produto
• Dados ou sistemas a que tem acesso
• Volume financeiro do contrato
• Duração da relação
• Ponto de contato interno (quem contratou)

Etapa 2: Classificação de risco

Nem todo terceiro precisa do mesmo nível de escrutínio. Classificar economiza recurso e foca a atenção onde o risco é maior.

Critérios de classificação:

Terceiros de alto risco exigem due diligence aprofundada. Médio risco, due diligence padrão. Baixo risco, verificação simplificada.

Etapa 3: Due diligence de terceiros

Aqui é onde a maioria dos programas falha. Due diligence de terceiros não é pedir documentos e conferir se o CNPJ está ativo. É investigar quem está por trás daquele CNPJ.

Due diligence mínima (todos os terceiros):

• Situação cadastral (Receita Federal)
• Certidões negativas (trabalhistas, fiscais, criminais)
• Consulta a listas restritivas (CEIS, CNEP, Lista de Trabalho Escravo, OFAC)
• Verificação de PEP nos sócios

Due diligence aprofundada (terceiros de alto risco):

• Análise da estrutura societária completa — quem são os sócios, quem são os sócios dos sócios
• Mapeamento de grupo econômico e conexões entre CNPJs
• Background check dos sócios e administradores
• Verificação de processos judiciais relevantes (cível, criminal, trabalhista)
• Análise de mídias negativas (OSINT)
• Verificação de patrimônio e saúde financeira
• Histórico de sanções administrativas

A diferença entre um background check básico e uma investigação real? O básico consulta bases públicas isoladas. A investigação cruza dados, identifica padrões e revela conexões que não aparecem em consulta individual. Um fornecedor pode ter CNPJ limpo, mas os sócios podem ter 15 empresas encerradas com dívidas — e isso não aparece na certidão da empresa nova.

Já vimos casos em que a due diligence padrão aprovou um fornecedor com CNPJ ativo, certidões limpas e referências comerciais. Mas quando cruzamos a estrutura societária, apareceram 4 CNPJs no mesmo endereço, dois sócios em comum com empresa no CEIS, e um terceiro sócio respondendo a ação penal por fraude licitatória. Tudo público. Tudo acessível. Ninguém tinha olhado.

Etapa 4: Decisão e contratação

Com o resultado da due diligence em mãos, a decisão não é binária (contrata ou não contrata). É calibrada:

• Risco aceitável: contratar com monitoramento padrão
• Risco moderado: contratar com cláusulas contratuais adicionais (auditoria, compliance, SLA de segurança)
• Risco elevado: contratar apenas se estratégico, com monitoramento intensivo e plano de contingência
• Risco inaceitável: não contratar. Ponto.

As cláusulas contratuais importam. Anticorrupção, proteção de dados, direito de auditoria, obrigação de notificação de incidentes, SLA de segurança da informação. Contrato sem cláusula de compliance é contrato sem proteção.

Etapa 5: Monitoramento contínuo

Due diligence no onboarding é necessária. Mas sozinha, não basta. O fornecedor que você aprovou 12 meses atrás pode ter mudado de sócios, recebido sanções, perdido licenças ou se envolvido em processos criminais.

O que monitorar:

• Mudanças societárias (entrada/saída de sócios, alteração de capital)
• Novos processos judiciais
• Inclusão em listas restritivas
• Mídias negativas relevantes
• Indicadores financeiros (protestos, recuperação judicial)
• Vencimento de licenças e certificações

Frequência por classificação de risco:

A pesquisa da EY (2025) identificou que apenas 35% das organizações monitoram fornecedores de forma contínua. Os outros 65% operam no escuro entre uma reavaliação e outra. Nesse intervalo, o risco se acumula em silêncio.

Etapa 6: Reavaliação e offboarding

Terceiros não são eternos. Contratos terminam, escopos mudam, riscos evoluem. Duas situações exigem ação:

Reavaliação por gatilho:

• Mudança de escopo do contrato
• Mudança societária significativa
• Incidente de segurança ou compliance
• Notícia negativa relevante
• Mudança regulatória no setor do terceiro

Offboarding estruturado:

• Revogar acessos a sistemas e dados
• Confirmar exclusão/devolução de dados pessoais (LGPD)
• Documentar aprendizados para futuras contratações
• Atualizar inventário de terceiros

OSINT e tecnologia na gestão de riscos de terceiros

Due diligence manual — consultar site da Receita, buscar processos um a um nos tribunais, abrir 15 abas de pesquisa — funciona para 5 fornecedores. Não funciona para 50, 500 ou 5.000.

O OSINT (Open Source Intelligence) transforma a gestão de riscos de terceiros. Em vez de depender de bases cadastrais estáticas, você cruza dados de fontes abertas em tempo real: quadros societários, processos judiciais, mídias, diários oficiais, listas de sanções, registros de imóveis.

O que a tecnologia muda na prática

Antes (manual):

• Consultar CNPJ → ver quadro societário → pesquisar cada sócio individualmente → abrir Jusbrasil → verificar CEIS/CNEP → planilhar resultados
• Tempo: 4-8 horas por terceiro (alto risco)
• Resultado: dados fragmentados, sem cruzamento, desatualizados na semana seguinte

Depois (OSINT + IA):

• Informar CNPJ → sistema cruza automaticamente todas as fontes → retorna grafo de conexões, alertas de risco, processos, mídias negativas, listas restritivas
• Tempo: minutos
• Resultado: visão integrada, conexões que não apareceriam na busca manual, alertas automáticos de mudança

A diferença não é só velocidade. É profundidade. Um analista pesquisando manualmente encontra o que está visível — e para por aí, porque o dia acabou. Um sistema que cruza dados de +50 fontes encontra conexões de segundo e terceiro grau — o sócio do sócio, a empresa em nome do cônjuge, o endereço compartilhado com outra empresa sancionada. Coisas que nenhuma busca manual revelaria, não por falta de competência, mas por falta de tempo.

O Sherlocker faz exatamente isso: a partir de um CPF ou CNPJ, cruza fontes abertas e retorna um grafo visual de conexões em minutos. O que levaria dias pesquisando site a site, aparece na tela de uma vez.

Grafo de conexões: ver o que consulta isolada não mostra

Quando você pesquisa um CNPJ isoladamente, vê uma empresa. Quando você mapeia as conexões dessa empresa — sócios, endereços compartilhados, CNPJs vinculados, processos em comum — vê um ecossistema. E é no ecossistema que os riscos se escondem.

Um fornecedor pode ter ficha limpa. Mas se dois dos seus sócios são também sócios de uma empresa que aparece no CEIS (Cadastro de Empresas Inidôneas e Suspensas), isso é um sinal. Se o endereço fiscal é o mesmo de uma empresa envolvida em lavagem de dinheiro, isso é outro.

O Google Dorking e técnicas de OSINT permitem buscar informações que não aparecem nas consultas tradicionais — processos em tribunais regionais, notícias em portais locais, registros em diários oficiais estaduais. Tudo público, tudo legal, tudo relevante para avaliar risco.

Framework de classificação de risco de terceiros

Um bom framework transforma avaliação subjetiva ("acho que esse fornecedor é confiável") em análise estruturada com critérios mensuráveis.

Matriz de risco prática

Avalie cada terceiro em 5 dimensões, com pontuação de 1 a 5:

Score total:

• 5-10 pontos: Baixo risco → verificação simplificada
• 11-18 pontos: Médio risco → due diligence padrão + monitoramento anual
• 19-25 pontos: Alto risco → due diligence aprofundada + monitoramento contínuo

Red flags que exigem investigação imediata

Independentemente da classificação, alguns sinais sempre escalam o nível de risco. (Para uma lista mais detalhada de padrões de fraude, veja como identificar fraudes empresariais.)

• Empresa constituída há menos de 12 meses com contrato de alto valor
• Sócios com múltiplas empresas encerradas por irregularidade
• Endereço fiscal em escritório virtual ou coincidente com empresas sancionadas
• Presença de PEP no quadro societário sem declaração prévia
• Recusa em fornecer documentação de compliance solicitada
• Mudança societária recente (< 90 dias) sem justificativa clara
• Processos criminais envolvendo sócios ou administradores
• Presença em listas restritivas (CEIS, CNEP, Lista de Trabalho Escravo)

Legislação brasileira aplicável a TPRM

O Brasil não tem uma "lei de TPRM". Mas o arcabouço regulatório torna a gestão de riscos de terceiros uma obrigação implícita em múltiplas frentes.

Lei Anticorrupção (12.846/2013)

A Lei 12.846 estabelece responsabilidade objetiva da empresa por atos lesivos à administração pública praticados em seu interesse ou benefício. Isso inclui atos de terceiros — agentes comerciais, intermediários, consultores. A existência de um programa de compliance (que inclui due diligence de terceiros) é fator atenuante na aplicação de sanções.

LGPD (Lei 13.709/2018)

A LGPD estabelece responsabilidade compartilhada entre controlador e operador de dados. Seu fornecedor de TI, seu escritório de contabilidade, sua agência de marketing — qualquer terceiro que processe dados pessoais em seu nome é um ponto de risco LGPD. A multa vai para quem controla, não apenas para quem processa.

Regulações setoriais

• BACEN: Resolução 4.893/2021 exige gerenciamento de riscos de serviços de processamento e armazenamento de dados em nuvem
• CVM: Instrução 617/2019 exige due diligence para prestadores de serviços de fundos de investimento
• SUSEP: Circular 638/2021 impõe requisitos de terceirização para seguradoras

Decreto 11.129/2022

Regulamenta a Lei Anticorrupção e detalha os critérios para avaliação de programas de integridade — incluindo due diligence de terceiros como um dos pilares obrigatórios.

Erros comuns na gestão de riscos de terceiros

Depois de analisar centenas de processos envolvendo falhas com terceiros, os padrões se repetem.

1. Due diligence só no onboarding

O erro mais comum. A empresa investiga antes de contratar e nunca mais olha. O fornecedor muda de sócios, entra em recuperação judicial, é incluído em lista restritiva — e ninguém percebe até o incidente explodir.

2. Confiar em autodeclaração

Pedir que o fornecedor preencha um questionário de compliance e confiar nas respostas sem verificação independente. O fornecedor problemático não vai declarar que tem problemas.

3. Ignorar o quarto nível

Avaliar o fornecedor direto, mas não os subcontratados dele. Seu fornecedor pode ser impecável — mas se o subcontratado dele usa trabalho escravo ou vaza dados, o risco volta para você.

4. Centralizar tudo no jurídico

TPRM não é responsabilidade exclusiva do jurídico. Sem envolvimento de compliance, TI, operações e procurement, o programa fica incompleto. Cada área vê riscos que as outras não veem.

5. Tratar TPRM como projeto, não como processo

Implementar TPRM, classificar todos os terceiros, e depois deixar parado. TPRM é um ciclo contínuo — inventário, classificação, due diligence, monitoramento, reavaliação. Se para de rodar, envelhece. E risco envelhecido é risco invisível.

Uma ressalva honesta: nenhum programa de TPRM elimina 100% do risco. Terceiros podem fraudar documentos, esconder conexões, ou simplesmente mudar de comportamento depois da contratação. O objetivo não é risco zero — é risco visível. Quando você sabe o que está aceitando, pode se proteger. Quando não sabe, está à mercê.

Perguntas Frequentes

TPRM é obrigatório por lei no Brasil?

Não existe uma lei única que obrigue TPRM como programa formal. Porém, a Lei Anticorrupção (12.846/2013) responsabiliza empresas por atos de terceiros, a LGPD exige controle sobre operadores de dados, e regulações setoriais impõem due diligence. Na prática, operar sem TPRM é assumir risco legal e financeiro.

Qual a diferença entre TPRM e due diligence?

Due diligence é uma foto — investiga antes de contratar. TPRM é o filme completo: due diligence + classificação + monitoramento contínuo + reavaliação + offboarding. A due diligence é uma etapa do TPRM, não o programa inteiro.

Com que frequência devo reavaliar terceiros?

Terceiros de alto risco: semestralmente. Médio risco: anualmente. Baixo risco: a cada 2 anos. Qualquer mudança societária relevante, incidente ou inclusão em lista restritiva dispara reavaliação imediata, independentemente do calendário.

Empresas pequenas precisam de TPRM?

Se sua empresa contrata terceiros que têm acesso a dados de clientes, representam sua marca ou operam em seu nome — você precisa de TPRM. O porte muda a complexidade do programa, não a necessidade. Um fornecedor problemático causa o mesmo estrago em empresa de 50 ou de 5.000 funcionários.

O que incluir no contrato com terceiros de alto risco?

Cláusulas de anticorrupção, proteção de dados (LGPD), direito de auditoria, obrigação de notificação de incidentes em 24-48 horas, SLAs de segurança da informação, vedação de subcontratação sem aprovação prévia, e cláusula de rescisão por violação de compliance.

Como a IA ajuda na gestão de riscos de terceiros?

IA automatiza o cruzamento de dados de múltiplas fontes, identifica padrões de risco que análise manual não percebe, e dispara alertas em tempo real quando o perfil de risco de um terceiro muda. A pesquisa da EY (2025) apontou que IA para due diligence e monitoramento é a principal prioridade de investimento em TPRM para 31% das organizações.

Gestão de riscos de terceiros não é burocracia — é inteligência de proteção. O terceiro que você contrata sem investigar é uma porta aberta. O que você contrata depois de mapear conexões, verificar antecedentes e monitorar mudanças é um parceiro de verdade. A diferença entre os dois está na profundidade da investigação. E profundidade, hoje, não exige semanas de trabalho manual — exige a ferramenta certa.

Quer ver como funciona na prática? Teste o Sherlocker grátis por 5 dias — digite o CNPJ de qualquer terceiro e veja o grafo de conexões, processos, listas restritivas e mídias negativas em minutos.