[Perinity Week]
Riscos de Terceiros: Como auditorias em fornecedores e ambientes em nuvem se tornaram prioridade no GRC moderno
A terceirização deixou de ser apenas uma estratégia operacional para redução de custos. Hoje, ela representa uma das maiores superfícies de risco dentro das organizações.
Empresas compartilham diariamente:
dados;
sistemas;
acessos;
operações críticas;
infraestrutura;
serviços estratégicos
com fornecedores dos mais diversos tipos.
E isso muda completamente o cenário de gestão de riscos corporativos.
Esse foi o tema de mais um painel da Perinity Week 2026
, que reuniu especialistas para discutir riscos de terceiros, auditorias em fornecedores e os desafios da governança em ambientes em nuvem.
O maior erro das empresas: acreditar que terceirizar é transferir risco
Um dos principais pontos debatidos no painel foi uma percepção equivocada muito comum no mercado:
terceirizar não significa transferir risco.
Na prática, quando uma empresa contrata um terceiro, ela apenas compartilha o risco. A responsabilidade continua existindo.
Isso fica ainda mais evidente em legislações como:
LGPD;
Lei Anticorrupção;
normas regulatórias do setor financeiro;
regulamentações de segurança da informação.
Mesmo quando o incidente ocorre no fornecedor, quem responde primeiro costuma ser a empresa contratante.
O risco não está apenas na tecnologia
Outro insight importante do painel foi a quebra de um mito recorrente:
muitos acreditam que risco de terceiros está apenas relacionado a fornecedores de tecnologia.
Mas o cenário é muito mais amplo.
Os especialistas citaram exemplos como:
empresas de limpeza;
manutenção predial;
call centers;
prestadores PJ;
equipes de suporte;
fornecedores de cloud;
empresas de monitoramento;
manutenção de datacenter;
terceiros com acesso físico ao ambiente.
Qualquer terceiro que tenha:
acesso físico;
acesso lógico;
acesso a dados;
acesso a sistemas;
atuação operacional
representa potencial exposição ao risco.
O risco invisível dos terceiros
Um dos exemplos discutidos durante o painel mostrou como até um fornecedor aparentemente simples pode gerar incidentes graves.
Foi citado o caso de:
prestadores com acesso a código-fonte;
terceiros conectados à rede corporativa;
equipamentos IoT vulneráveis;
operadores de call center com acesso massivo a dados;
profissionais utilizando equipamentos próprios em home office.
Ou seja:
muitas vezes o risco não está no fornecedor em si, mas na forma como ele se conecta ao ambiente corporativo.
O que deve ser avaliado antes da contratação?
Os painelistas reforçaram que o processo de diligência precisa ir muito além da simples validação cadastral.
Entre os pontos recomendados para análise estão:
Validação documental
CNPJ ativo;
certidões negativas;
FGTS;
regularidade fiscal;
mídias negativas;
histórico judicial;
listas restritivas.
Compliance e integridade
CEPIM;
CNEP;
Portal da Transparência;
conflitos de interesse;
cruzamento societário;
histórico de sanções.
Segurança da informação
ISO 27001;
SOC 2;
controles de acesso;
MFA;
políticas de segurança;
segregação de ambientes;
gestão de logs.
Governança contratual
cláusula de auditoria;
SLA;
responsabilidades;
tratamento de dados;
retenção e descarte de informações;
regras de backup;
plano de contingência.
O erro que quase todas as empresas cometem
Segundo os especialistas, muitas organizações possuem um bom processo de entrada de fornecedores, mas falham completamente no monitoramento contínuo.
Ou seja:
fazem diligência apenas no onboarding e nunca mais revisitam o fornecedor.
E isso cria um problema sério.
O fornecedor que entrou em conformidade há dois anos pode:
ter mudado de estrutura;
perdido certificações;
sofrido incidentes;
reduzido controles;
mudado processos internos;
aumentado exposição ao risco.
Monitoramento contínuo virou obrigatório
O painel reforçou que diligência não deve ser vista como evento único.
Ela precisa ser:
contínua;
periódica;
baseada em criticidade;
proporcional ao risco.
Nem todo fornecedor deve ser tratado da mesma forma
Outro aprendizado importante foi sobre criticidade.
Os especialistas alertaram para um erro comum:
aplicar o mesmo nível de auditoria para todos os fornecedores.
Isso gera:
excesso operacional;
desperdício de recursos;
perda de foco nos riscos realmente críticos.
Como definir fornecedores críticos?
Os painelistas destacaram alguns critérios importantes:
O fornecedor acessa dados sensíveis?
Existe dependência operacional?
Se o fornecedor parar, sua operação para junto?
Ele possui acesso privilegiado?
Atua em sistemas críticos?
Utiliza tecnologias disruptivas?
Possui acesso administrativo?
O papel das auditorias em terceiros
As auditorias foram apontadas como parte fundamental da maturidade de GRC.
Mas os especialistas fizeram um alerta importante:
auditoria só funciona quando existe direito contratual de auditoria.
Sem cláusula contratual específica, muitos fornecedores podem simplesmente negar acesso às evidências necessárias durante um incidente.
O desafio da confidencialidade
Um tema muito debatido foi:
“E quando o fornecedor não quer compartilhar evidências?”
Segundo os especialistas, isso é comum principalmente em:
pentests;
relatórios técnicos;
ambientes críticos;
logs;
estruturas internas de segurança.
Nesses casos, alternativas sugeridas foram:
declarações formais;
relatórios resumidos;
evidências controladas;
walkthroughs ao vivo;
validações supervisionadas.
O risco da falsa segurança em cloud
Outro alerta importante foi sobre ambientes em nuvem.
Muitas empresas acreditam que apenas contratar um grande provedor cloud elimina riscos.
Mas os especialistas reforçaram o conceito de responsabilidade compartilhada.
Ou seja:
o fornecedor protege parte da infraestrutura.
Mas a empresa continua responsável por:
acessos;
permissões;
configurações;
gestão de usuários;
proteção dos dados;
monitoramento;
governança.
ISO não é garantia absoluta de segurança
Um dos pontos mais relevantes do painel foi o alerta sobre confiar apenas em certificações.
Ter ISO não significa automaticamente que:
todos os ambientes estão protegidos;
todos os processos estão cobertos;
todos os controles funcionam perfeitamente.
Os especialistas destacaram a importância de analisar:
escopo da certificação;
ambiente coberto;
controles aplicáveis;
funcionamento real do SGSI;
aderência prática.
Quando tudo dá errado: auditoria e perícia forense
O painel também abordou como agir após incidentes envolvendo terceiros.
Nesses casos, auditorias forenses se tornam fundamentais para:
preservar evidências;
identificar origem do incidente;
recuperar registros;
reconstruir timelines;
identificar responsáveis;
responder reguladores;
apoiar investigações.
Conclusão
Os riscos de terceiros cresceram junto com a transformação digital.
Hoje, fornecedores fazem parte direta da operação das empresas — e isso exige um novo nível de governança.
O mercado já entendeu que:
não existe terceirização sem compartilhamento de risco;
diligência não pode ser pontual;
cloud não elimina responsabilidade;
auditoria precisa estar prevista em contrato;
fornecedores devem ser monitorados continuamente.
No cenário atual, maturidade em GRC significa enxergar terceiros como extensão do próprio ambiente corporativo.
E as empresas que conseguirem estruturar governança sólida sobre seus fornecedores estarão muito mais preparadas para enfrentar riscos operacionais, regulatórios e cibernéticos.
