Risco de terceiros: a ilusão de controlo num mundo externalizado

Frequentemente, as organizações tratam o risco de terceiros como um tema de aprovisionamento e financeiro (p.ex., seleção de fornecedores, negociação de contratos, níveis de serviço). Porém, essa visão é cada vez menos realista. O atual constrangimento no estreito de Ormuz, decorrente do conflito entre EUA/Israel e Irão, é sintomático: fez disparar o preço dos combustíveis, elevando as previsões de inflação global e colocando os Bancos Centrais em alerta para (re)definir políticas, sobretudo taxas de juro.

Eventos anteriores ilustram essas interdependências: a pandemia de COVID expôs fragilidades na cadeia de semicondutores (concentração geográfica, complexidade, ciclos longos, baixa flexibilidade, poucos intervenientes e pouca visibilidade), cuja escassez afetou mais de uma centena de setores (informática, eletrónica, saúde, automóvel, energia, defesa). A guerra comercial EUA-China evidenciou a dependência global de terras raras, essenciais a tecnologias digitais, defesa e energias renováveis, levando os EUA a rever a sua postura. Já o incidente da CrowdStrike em 2024, com crashes em 8,5 milhões de sistemas Windows, paralisou pagamentos em supermercados, canais como a Sky News e milhares de voos (p.ex., American Airlines).

A gestão do risco de partes terceiras (Third Party Risk Management ou TPRM) a nível corporativo é usualmente encarada pelo prisma de compliance, de forma reativa à regulamentação e segmentada por áreas de especialidade ou categorias de risco.

Uma das primeiras regulamentações foi a Foreign Corrupt Practices Act (FCPA), lei federal dos EUA de 1977 (atualizada pela administração Trump após suspensão em 2025), que proíbe suborno e responsabiliza empresas por atos de terceiros (agentes, intermediários, parceiros) se houver conhecimento ou negligência. Em 2010, o UK Bribery Act exige não só proibição, mas também procedimentos adequados (avaliação de risco, devida diligência, controlo e monitorização), incluindo terceiros. Em Portugal, o Regime Geral de Prevenção da Corrupção (RGPC) (2021) impõe programas de compliance estruturados, abrangendo terceiros e cadeia de valor. Um caso emblemático foi o acordo da Airbus, em 2020, de mais de 3,9 mil milhões de dólares para resolver investigações nos EUA, França e Reino Unido por suborno via intermediários, evidenciando falhas de controlo e devida diligência.

Em sistemas, segurança da informação e proteção de dados, a responsabilidade da organização estende-se também a terceiros e à cadeia de valor. O Regulamento Geral sobre a Protecção de Dados (RGPD), desde 2018, responsabiliza pelo tratamento por subcontratantes, exigindo medidas técnicas e organizativas, contratos específicos e supervisão contínua; no setor financeiro, o Regulamento (UE) 2022/2554, DORA (Digital Operational Resilience Act), requer gestão do risco de dependências de terceiros, especialmente TIC. A ISO/IEC 27001 sobre Sistemas de Gestão de Segurança da Informação (norma voluntária) inclui controlos sobre fornecedores, cadeias digitais e outsourcing, exigindo avaliação, monitorização e controlo contínuo. Ilustrativo é o ataque à SolarWinds, em 2020, por serviços de inteligência russos, que inseriram código malicioso na plataforma Orion, cuja atualização foi instalada por cerca de 18.000 clientes, incluindo agências federais dos EUA (Tesouro, Comércio e partes da Segurança Interna), permitindo acesso persistente e não detetado durante meses a sistemas críticos e informação sensível, segundo o US Government Accountability Office.

Na União Europeia (UE), a Corporate Sustainability Reporting Directive (CSRD) estabelece um novo quadro de reporte, exigindo divulgação detalhada, consistente e auditável de impactos, riscos e devida diligência ao longo da cadeia de valor, incluindo fornecedores e parceiros. Paralelamente, a Corporate Sustainability Due Diligence Directive (CSDDD) impõe obrigações de conduta em direitos humanos e ambiente, abrangendo operações, subsidiárias e parceiros diretos e indiretos, exigindo políticas de devida diligência, avaliação de risco, envolvimento de stakeholders, mecanismos de reclamação, monitorização contínua e documentação.

A efetividade da CSRD é ainda reduzida e a da CSDDD inexistente, não havendo casos de sanções aplicadas, apesar de situações reportadas: más práticas ambientais e sociais na cadeia de valor de marcas de luxo italianas (p.ex., Dior, Armani), divulgadas pela Reuters em 2024; e esquemas de falsos certificados (“Better Cotton”) em fornecedores de algodão usados por industriais têxteis asiáticos para marcas como H&M e Zara (Inditex), que a Earthsight associou, em 2024, a desflorestação ilegal no Brasil, uso intensivo de pesticidas e violações de direitos humanos.

No setor financeiro, há regulamentação exigente sobre risco de terceiros e subcontratação. Em Portugal, o Banco de Portugal (Avisos n.º 3/2020 e n.º 2/2025) define requisitos de governo e controlo interno e gestão integrada de riscos, responsabilizando o órgão de gestão por riscos de terceiros (fornecedores, parceiros e entidades do grupo). Internacionalmente, o Comité de Basileia e a Autoridade Bancária Europeia, com orientações de 2025, reforçam a importância da gestão adequada desses riscos, sobretudo em funções críticas externalizadas.

Fica evidente, de forma ilustrativa (e não exaustiva), a diversidade e fragmentação de normas aplicáveis a TPRM, por categoria ou especialidade, tornando-a complexa e muitas vezes operada em silos, sem visão integrada. A resiliência e a gestão de riscos (p.ex., estratégico, reputacional, financeiro e operacional) já não se limitam à organização, estendendo-se à cadeia de valor e a todo o ecossistema.

O Third-Party Topical Requirement do Institute of Internal Auditors, em vigor a partir de 15 de setembro de 2026, oferece um framework útil que parte da realidade organizacional: o risco de terceiros é multidimensional e atravessa todo o ciclo de vida. Estabelece que a organização é responsável por riscos ligados aos seus objetivos, mesmo com terceiros, abrangendo as dimensões estratégicas, reputacionais, éticas, operacionais, financeiras, regulatórias, tecnológicas, legais, de sustentabilidade e geopolíticas, ao longo do ciclo de vida, de seleção, contratação, onboarding, monitorização e offboarding. Estabele requisitos de governo (abordagem formal e revista), gestão de risco de terceiros diretos e a jusante (pe, com respostas proporcionais a níveis de risco e escalonamento de incidentes) e controlos (p.ex., devida diligência documentada, contratação alinhada, monitorização contínua, post-incident reviews e offboarding). Consolida ângulos regulatórios dispersos, tornando o terceiro o elo comum e mais alinhado com a realidade do negócio.

Externalizar não transfere a responsabilidade pelo risco, pois essa não é terceirizável. Num ecossistema interligado, com crescentes dependências de terceiros, o TPRM deixa de ser suporte e torna-se pilar de governação e resiliência. Ao comprar eficiência, escala e velocidade, as organizações acumulam exposições que nem sempre compreendem. Sem uma visão integrada, gerem apenas uma fração do risco real. Neste contexto interligado, a sua organização gere risco, ou limita-se a confiar que ele não se materialize?