French Riviera - old sail race start aerial view with Antibes view

Como a IA navega pelo risco de terceiros em um cenário de risco em rápida mudança

Autores

  • EY Global

    Multidisciplinary professional services organization

  • EY Global

    Multidisciplinary professional services organization

19 minutos de leitura 24 abr 2025
Tópicos relacionados
Consultoria
Risco
Cibersegurança

A Pesquisa Global de Gerenciamento de Riscos de Terceiros EY de 2025 revela novas abordagens para gerenciar riscos de terceiros em um ambiente mais volátil.

Em resumo

  • Os líderes de risco estão usando a IA e a centralização para transformar fundamentalmente suas funções de gerenciamento de riscos de terceiros para o futuro.
  • Os riscos operacionais e de segurança cibernética estão crescendo enquanto o número e a complexidade dos relacionamentos com terceiros aumentam.
  • A incerteza nos negócios e as pressões sobre os custos estão gerando imperativos de eficiência para o gerenciamento de riscos de terceiros. 

Éum dia fresco de outono em Frankfurt. O local é a sede de uma grande empresa de produtos de consumo. Maya, uma gerente do novo RiskAI Hub da empresa — a torre de controle centralizada com tecnologia de IA responsável pela coordenação do gerenciamento de riscos de terceiros (TPRM) em toda a empresa global — recebe um alerta de Orion, seu assistente de IA. A Orion está detectando um pico de sentimento negativo na mídia social relacionado a um fornecedor crítico de Nível 2 no Sudeste Asiático. À medida que acompanha o pico, impulsionado pela cobertura de notícias locais sobre um derramamento de produtos químicos, o modelo de análise preditiva do Orion atualiza continuamente a probabilidade crescente de uma grande interrupção da cadeia de suprimentos. Maya pede que a Orion continue monitorando a situação e reúna dados para identificar as causas principais do incidente, incluindo quaisquer lapsos de conformidade, desempenho ou supervisão. À medida que a situação se deteriora, o Orion trabalha diretamente com Vega, sua contraparte de IA agêntica no fornecedor, para elaborar um plano de correção para análise humana.

Esse é o futuro do TPRM. É um futuro em que as avaliações de risco anuais ou bienais foram substituídas por um monitoramento em tempo real, 24 horas por dia, 7 dias por semana, com base em um sofisticado sensoriamento de mercado que utiliza um amplo espectro de dados. É um mundo em que o uso de agentes de IA permite que o TPRM seja simplificado e centralizado como nunca antes. É um futuro que pode estar muito mais próximo do que muitos supõem — e que é extremamente necessário em um ambiente de risco externo transformado.

Uma confluência de tendências abalou o ambiente de risco externo nos últimos anos. As cadeias de suprimentos globais têm sido atingidas por repetidos choques — precipitados pela pandemia, conflitos geopolíticos e mudanças climáticas — chamando mais atenção para a resiliência dos fornecedores e os possíveis impactos de terceiros. O número crescente de ataques cibernéticos — o FMI estima que as perdas decorrentes de ataques cibernéticos mais do que dobraram desde a pandemia e mais do que quadruplicaram desde 2017 — aumentou o potencial de risco cibernético por meio de relacionamentos com terceiros. O aumento do escrutínio regulatório e as pressões dos stakeholders aumentaram o foco nas práticas de terceiros relacionadas a uma série de riscos de conformidade, desde a privacidade dos dados até os padrões ambientais.

Esses desenvolvimentos são emblemáticos de um novo ambiente no qual os riscos são mais interconectados, não lineares, acelerados e voláteis do que no mundo pré-pandêmico.

As abordagens estão cada vez mais desalinhadas com as demandas concorrentes e o complexo ambiente de risco atuais. O TPRM nunca esteve tão pronta para a transformação.

Amy Gennarini

Líder em Tecnologia de Consultoria de Risco Global da EY

Infelizmente, o TPRM atual está fundamentalmente desalinhada com esse novo ambiente de risco. Em meio a mudanças aceleradas, o TPRM se baseia em processos lentos e intermitentes. Em um mundo de riscos interconectados, ele é isolado e descoordenado. Em um cenário de crescimento não linear e pontos de inflexão imprevistos que exigem agilidade e inovação, a adaptação tem sido lenta. E em um momento de tremenda disrupção — quando as empresas precisam reinventar os modelos de negócios e encontrar novas formas de criar valor — o TPRM geralmente está desconectada das métricas gerais de negócios e dos objetivos estratégicos.

Durante muitos anos, a mudança para centralizar os programas de TPRM proporcionou um caminho para abordar pelo menos algumas dessas fontes de desalinhamento. No entanto, embora a adoção de abordagens centralizadas tenha crescido ao longo do tempo, as restrições organizacionais geralmente impedem uma implementação mais extensa, e é somente abordando essas restrições que as empresas perceberão todo o seu potencial. A inteligência artificial (IA) oferece uma maneira de acelerar a jornada de centralização.

Mas a maior oportunidade com a IA está em usá-la para reinventar fundamentalmente o TPRM, tornando-a mais resiliente e alinhada com o novo ambiente de risco. Em um mundo mais rápido e volátil, a IA pode realizar o monitoramento de riscos em tempo real em grande escala, analisando feeds de dados contínuos, como alertas de notícias, dados financeiros e fluxos de mídia social, e sintetizando essas entradas externas com os dados operacionais internos da empresa. Em um ambiente de riscos interconectados e mudanças não lineares, a IA pode ser usada para simular cenários e impactos, ajudando a superar as falhas humanas de imaginação.

"Muitas empresas têm se concentrado repetidamente em resolver o último problema — a pandemia da COVID, a resiliência da cadeia de suprimentos e assim por diante — em vez de abordar o TPRM de forma estratégica e coesa", diz Amy Gennarini, líder de tecnologia de consultoria de risco global da EY. "Embora as regulamentações em setores como o de serviços financeiros tenham pressionado essas empresas a analisar o risco de forma holística, muitas outras ainda o abordam em compartimentos ou silos. Essas abordagens estão cada vez mais desalinhadas com as demandas concorrentes e o complexo ambiente de risco atuais. O TPRM nunca esteve tão pronta para a transformação."

A edição de 2025 da Pesquisa Global de Gerenciamento de Riscos de Terceiros da EY tem insights valiosos para os líderes que navegam nesse espaço desafiador. Conduzida em colaboração com a Oxford Economics, a pesquisa busca entender como as organizações lidam com o TPRM, incluindo práticas recomendadas, desafios e perspectivas.

Team of two girls deftly managed to sail in the sea
1

Capítulo 1

Relacionamentos mais complexos com mais terceiros criam novos desafios

Nossa pesquisa revela que os líderes estão mudando as prioridades de risco à medida que o ambiente de risco se torna mais volátil e os desafios comerciais aumentam a pressão sobre a eficiência.

O novo ambiente de risco é impressionante em um momento em que os gerentes de risco já enfrentam pressões comerciais crescentes em suas organizações. "O número de relacionamentos com terceiros gerenciados por uma empresa típica aumentou acentuadamente nos últimos anos, assim como a complexidade desses relacionamentos", diz Kapish Vanvaria, Líder de Consultoria de Risco Global da EY. "Enquanto isso, um ambiente de incerteza comercial persistente e pressões de custo está criando um imperativo para que os líderes conduzam o gerenciamento de riscos de terceiros de forma mais eficaz. A IA provou ser um divisor de águas nessa área."

As empresas estão lidando com vários riscos de terceiros — e adotando uma postura mais rígida

Os desafios concorrentes impostos pelo novo ambiente de risco são visíveis nas respostas da pesquisa. Isso inclui uma maior ênfase na resiliência operacional e na segurança cibernética.

"Enquanto isso, um ambiente de incerteza comercial persistente e pressões de custo está criando um imperativo para que os líderes conduzam o gerenciamento de riscos de terceiros de forma mais eficaz. A IA provou ser um divisor de águas.

Kapish Vanvaria

Líder em Consultoria de Risco Global da EY

O "risco operacional" saltou para o primeiro lugar entre os fatores que as empresas consideram ao monitorar os subcontratados, substituindo o "risco de concentração" na pesquisa de 2023. Na pesquisa atual, 57% dos entrevistados citam o risco operacional como um fator que consideram, um aumento significativo em relação aos 40% da pesquisa de 2023. Uma mudança semelhante é visível nos critérios usados para identificar terceiros críticos - entidades cuja interrupção ou falha poderia afetar significativamente a capacidade de operação da organização. Embora o "impacto financeiro" continue sendo o critério mais importante usado para definir um terceiro crítico (43%), ele é seguido de perto pela "criticidade do processo/função comercial", em 39%. Enquanto isso, a "continuidade e resiliência dos negócios" registrou o aumento mais acentuado em importância, saltando de 14% em 2023 para 23% na pesquisa atual. 

Risco operacional
dos entrevistados citam o risco operacional como uma consideração para terceiros, em comparação com 40% em 2023.

Como a EY pode ajudar

Uma das formas pelas quais as empresas estão respondendo a esses riscos elevados é a repressão durante as avaliações de controle de terceiros. Se os terceiros não responderem aos questionários em tempo hábil, as empresas agora estão mais propensas a escalar os processos empresariais (87% dos entrevistados, contra 70% em 2023) ou até mesmo a interromper totalmente as operações (29% contra 17% em 2023). Quando os riscos são identificados durante as avaliações, as empresas estão muito mais inclinadas do que antes a seguir o caminho da remediação, com 57% dos entrevistados dizendo que escolhem a remediação, em comparação com apenas 17% em 2023.

 

O número e a complexidade dos relacionamentos com terceiros estão aumentando

Embora as empresas sempre tenham lidado com terceiros, o número e a complexidade desses relacionamentos cresceram nos últimos anos. Um clima de negócios desafiador levou a uma necessidade imperativa de fazer mais com menos, e as empresas muitas vezes recorreram a terceiros para obter eficiências operacionais. A adoção de iniciativas de transformação digital expandiu o ecossistema de terceiros, com as empresas usando cada vez mais terceiros para serviços em nuvem, provedores de software como serviço (SaaS) e outras plataformas digitais.

 

O resultado final é que as empresas dependem mais do que nunca de um grande número de prestadores de serviços especializados. As empresas de serviços financeiros atuais, por exemplo, fazem parcerias com uma série de prestadores de serviços de fintech, incluindo processadores de pagamentos, provedores de empréstimos e plataformas de investimento. As empresas do setor de saúde dependem de fornecedores terceirizados para serviços como telemedicina, registros eletrônicos de saúde e suprimentos médicos. Em todos os setores, as empresas estão recorrendo a prestadores de serviços terceirizados para tudo, desde recursos humanos até inteligência de negócios e logística da cadeia de suprimentos.

 

Isso, por sua vez, aumentou o número de funções empresariais que dependem de terceiros e estão expostas a riscos de terceiros. No passado, um banco podia ter uma ou duas verticais de risco que se preocupavam com o risco de terceiros; hoje, esse número pode ser superior a 20. 

 

A ascensão desses prestadores de serviços especializados não apenas aumentou o número de relacionamentos com terceiros, mas também aumentou sua complexidade. No passado, muitas dessas atividades podiam ser realizadas manualmente dentro da segurança do ambiente de uma empresa ou, no máximo, com uma interface de programação de aplicativos (API) conectada ao ambiente da empresa. Atualmente, essas mesmas atividades podem envolver uma rede de terceiros que trabalham em ambientes que não pertencem nem são controlados pela empresa. Por sua vez, esses terceiros se envolvem com suas próprias redes de terceiros para prestar serviços. O resultado final é que o "gerenciamento de riscos de terceiros" já é um termo equivocado — as empresas de hoje precisam lançar uma rede mais ampla para considerar não apenas os riscos de terceiros, mas também os riscos de quarta, quinta e enésima partes. 

O número de funções de negócios que dependem de terceiros e que estão expostas a riscos de terceiros aumentou muito. No passado, um banco podia ter uma ou duas verticais de risco que se preocupavam com o risco de terceiros; hoje, esse número pode ser superior a 20. 

A complexidade do ecossistema de terceiros é ainda mais complicada pelo aumento da dependência de terceiros não tradicionais (NTTPs), como parcerias estratégicas, revendedores, corretores, terceiros legais e outros.

Os resultados da pesquisa refletem essas tendências. Navegar pelos riscos relacionados a um número cada vez maior de terceiros continua a ser uma função vital para os programas de TPRM. O desafio é particularmente grave para os programas de TPRM mais novos e menos maduros, que gerenciam ativamente mais terceiros do que os programas estabelecidos (que gerenciam ativamente menos terceiros ao adotar a priorização baseada em riscos). Os programas de TPRM que têm menos de três anos gerenciam uma média de 275 terceiros, enquanto os que existem há mais de uma década gerenciam uma média de 80 terceiros. Os entrevistados da pesquisa relatam uma carga crescente relacionada ao monitoramento de NTTPs. Em todos os tipos, o número de NTTPs monitoradas aumentou em uma média de 20% em relação ao ano passado. As empresas também estão gastando recursos para monitorar riscos de terceiros, com quase dois terços (64%) dos entrevistados dizendo que "a diligência de terceiros inclui a validação de seu programa de TPRM, bem como a avaliação de risco/controle de sua população de terceiros e de seus subcontratados".

Great view of sailing boats at a sea regatta
2

Capítulo 2

A IA cria uma oportunidade sem precedentes para reinventar o TPRM

A IA e o aumento da centralização estão ajudando as empresas a navegar por caminhos complicados no TPRM como nunca antes.

As funções de TPRM precisam de novas maneiras de operar para lidar com as pressões concorrentes do novo ambiente de risco, o número e a complexidade crescentes dos relacionamentos com terceiros e a necessidade de fazer mais com menos. A transformação do TPRM é uma jornada que vai desde a busca de ganhos marginais de eficiência, em uma ponta, até a transformação fundamental, na outra. As empresas já estão nessa jornada há algum tempo, principalmente com o impulso para aumentar a centralização. O surgimento da IA oferece uma oportunidade para acelerar a centralização e transformar o TPRM.

A centralização do TPRM colocou as empresas no caminho da maior eficiência

Dando continuidade a um padrão de vários anos, a pesquisa de 2025 mostra uma tendência de aumento da centralização do TPRM. Um número cada vez maior de organizações usa programas de TPRM centralizados em toda a empresa (57% em 2025, acima dos 54% em 2023).

A centralização do TPRM oferece muitos benefícios. Isso reduz os pontos de atrito; em vez de entrar em contato com o mesmo terceiro várias vezes, muitas vezes com solicitações duplicadas e parcialmente redundantes, o contato pode ser feito uma vez e de forma coordenada e simplificada. Os dados da pesquisa sugerem que muitas organizações poderiam se beneficiar dessa simplificação. Ao realizar avaliações de controle, cerca de quatro em cada dez empresas (43%) ainda usam vários questionários para diferentes domínios de risco. Eles enviam a terceiros uma média de 55 questionários. Acrescente a isso o ônus da conformidade de cada questionário adicional (45% dos entrevistados afirmam que os questionários de avaliação de controle têm de 101 a 200 perguntas, enquanto outros 36% têm entre 201 e 350 perguntas) e fica evidente que há muito espaço para uma abordagem centralizada para reduzir o ônus da conformidade e os pontos de atrito com terceiros.

De forma crítica, o TPRM centralizado permite uma melhor coordenação e uma avaliação de risco mais holística. "Uma abordagem centralizada para o TPRM permite que uma organização conecte os pontos em todas as verticais e veja o quadro geral", diz Rohit Mathur, Líder de Estratégia de Consultoria de Risco Global da EY e Líder de Consultoria de Risco da EMEIA. "Por exemplo, a equipe de Segurança Cibernética de uma organização pode estar monitorando um terceiro com relação ao risco cibernético. Esse terceiro pode ter controles cibernéticos robustos e ter uma pontuação alta em relação ao risco cibernético. Mas, ao mesmo tempo, o partido pode estar sofrendo uma hemorragia de dinheiro, com grande probabilidade de falência nos próximos seis meses, o que obviamente prejudicaria sua capacidade de investir em controles cibernéticos no futuro. Se a organização não conectar os pontos entre o risco cibernético e o risco financeiro, ela perderá o panorama geral."

Os benefícios da centralização são visíveis nos dados da pesquisa. Noventa e dois por cento das organizações com uma estrutura centralizada do TPRM investiram diretamente na melhoria e otimização dos recursos e da eficácia do programa. Os principais benefícios relatados com esse amadurecimento incluem uma melhor experiência do usuário (56%), maior compreensão dos riscos durante o processo de tomada de decisão (52%), integridade e precisão dos dados (51%) e padronização (51%). 


As estruturas centralizadas de TPRM também demonstram maior maturidade em várias áreas importantes quando comparadas às estruturas híbridas. Elas são mais maduras em termos de inventário de terceiros (58% centralizado vs. 39% híbrido), modelos de risco (51% centralizado vs. 36% híbrido), metodologia de avaliação (49% centralizado vs. 33% híbrido), políticas e padrões (46% centralizado vs. 31% híbrido) e governança e supervisão (43% centralizado vs. 29% híbrido).

A IA é um catalisador de valor e uma oportunidade para reinventar o TPRM

A IA tem um enorme potencial para revolucionar o TPRM, permitindo não apenas maiores eficiências, mas também uma abordagem fundamentalmente diferente para identificar, monitorar e gerenciar riscos de terceiros.

Os primeiros casos de uso adotados pelas empresas geralmente se concentrarão no uso da IA para automatizar os processos manuais existentes e gerar eficiências operacionais. Isso inclui a simplificação de tarefas repetitivas, como coleta de dados, avaliações iniciais de risco e integração de fornecedores, e a aceleração das avaliações de risco. Além disso, o verdadeiro potencial da IA não está em automatizar os processos existentes, mas em implementá-la para criar valor ao conduzir o TPRM de maneiras fundamentalmente diferentes.

Considere como a IA poderia criar eficiências significativas e reinventar as formas tradicionais de trabalho, em diferentes estágios do ciclo de vida do TPRM:

  • Identificação de fornecedores: Em vez de compilar manualmente listas de fornecedores, a IA usa algoritmos para examinar bancos de dados e identificar fornecedores com base em critérios predefinidos, tornando o processo mais rápido e abrangente.
  • Avaliação de risco: Os modelos de IA avaliam os riscos com base em dados históricos e análises preditivas, fornecendo pontuações de risco objetivas.
  • Due diligence: A IA substitui as revisões manuais de documentos, lentas e trabalhosas, pela coleta e análise automatizadas da documentação do fornecedor, como registros financeiros e de conformidade.
  • Negociação de contratos: A IA analisa os termos do contrato usando o processamento de linguagem natural (NLP) para identificar riscos e sugerir melhorias com base nas práticas recomendadas.
  • Integração: A IA simplifica o processo de integração por meio de fluxos de trabalho e listas de verificação automatizados, ao mesmo tempo em que solidifica a conformidade com os requisitos.
  • Monitoramento: A IA monitora continuamente o desempenho do fornecedor usando a análise de dados em tempo real e alerta para quaisquer anomalias ou problemas de conformidade.
  • Gerenciamento de incidentes: A IA utiliza a análise preditiva para identificar possíveis incidentes antes que eles ocorram e realiza análises de cenários para prever riscos de "efeito dominó" que podem estar ocultos em abordagens mais lineares e em silos.
  • Treinamento e conscientização: AI fornece módulos de treinamento personalizados com base nas necessidades individuais dos funcionários e nos estilos de aprendizagem.

Apesar de seu potencial, a adoção da IA no TPRM ainda é relativamente baixa. Apenas 13% das empresas otimizaram a tecnologia e a automação em seus programas de TPRM (ou atingiram o "Nível 5" de maturidade).

"O uso da IA está em sua infância", diz Gennarini. "Até agora, a maioria das funções de TPRM está implementando a IA em baixa escala e usando recursos que já existem há muito tempo, como o reconhecimento óptico de caracteres (OCR) na pesquisa de documentos."

A nova geração de modelos de IA, incluindo a IA agêntica, deixará de buscar eficiências operacionais incrementais e passará a conduzir o TPRM de maneiras fundamentalmente diferentes. Por exemplo, em vez de usar apenas OCR e NLP para revisar os termos contratuais, um mundo de agentes de IA poderia permitir que os agentes trabalhassem diretamente com agentes de terceiros para negociar contratos com base em dados de mercado, objetivos comerciais e requisitos de governança/regulamentação. Após a revisão humana, os acordos finalizados poderiam ser codificados como contratos inteligentes no blockchain, garantindo transparência e segurança, bem como o monitoramento automatizado da conformidade e a execução de pagamentos de marcos.

A boa notícia é que as funções de TPRM têm o desejo de investir em IA e análise de dados. O principal motivador de investimentos futuros em programas de TPRM é "recursos de IA/ML para due diligence aprimorada e desempenho/monitoramento de contratos" (31% dos entrevistados), enquanto a "abordagem orientada por dados para monitorar terceiros" está em segundo lugar (28%) e a "automação da due diligence para fins de eficiência e gerenciamento de risco elevado" está em terceiro lugar (27%).

A IA e a centralização podem catalisar uma à outra

Vários fatores impedem a adoção mais ampla da IA e da centralização no TPRM.

Estruturas organizacionais fragmentadas e incentivos desalinhados levam a uma abordagem desarticulada e impedem a obtenção do potencial de valor total da centralização. Normalmente, o TPRM não é liderada por um executivo de nível C; em vez disso, ela está alguns níveis abaixo do C-suite. Muitas vezes, esse problema está disperso entre os líderes das unidades de negócios, que só têm a competência, os incentivos e o orçamento para lidar com ele em suas verticais — em vez de se alinharem com outras unidades de negócios e abordá-lo de forma holística em toda a empresa.

Embora os fatores responsáveis pela baixa adoção da IA variem de empresa para empresa, os desafios comuns incluem considerações de custo, falta de especialização e prontidão dos dados. Além disso, a amplitude e a complexidade do TPRM dificultam a integração das soluções de IA aos processos e fluxos de trabalho existentes do TPRM.

A relação simbiótica entre centralização e IA pode ajudar a superar algumas dessas barreiras e acelerar a adoção. Por exemplo, um dos principais pilares do TPRM centralizado é a harmonização e a centralização dos dados em todas as verticais da organização, mas isso também é um pré-requisito fundamental para a IA, portanto, poderia ajudar a superar a barreira da prontidão dos dados e acelerar a adoção da IA. Da mesma forma, a IA pode catalisar a centralização, fornecendo aos gerentes de TPRM os recursos para monitorar dados em tempo real em toda a empresa e no ecossistema de terceiros. 

View of the sunset over the mediterranean sea and the southern coast of Menorca/Minorca in the Balearic Islands (Spain), from the rocky shores, with a sailboat in the foreground.
3

Capítulo 3

Três ações para os líderes de risco

Os líderes podem tomar medidas específicas agora para acelerar a transformação e preparar suas organizações para as mudanças que estão por vir.

Os líderes de negócios e de riscos podem adotar essas três ações para acelerar a transformação do TPRM e alcançar todo o potencial de valor da centralização e da adoção da IA:

1. Foco na empresa

O TPRM é conduzida em diferentes verticais da empresa, que são estruturadas e incentivadas a se concentrar em diferentes métricas. O setor de compras pode monitorar a conformidade do contrato e o desempenho do fornecedor. A segurança cibernética pode estar concentrada no tempo de resposta a incidentes e no custo das violações. A cadeia de suprimentos pode se preocupar com a conformidade do fornecedor e com as métricas de resiliência.

No entanto, para aproveitar todo o potencial da IA e da centralização, é necessário entender suas obrigações em nível empresarial - como regulamentos, imperativos da diretoria ou imperativos do investidor - e também como elas se traduzem em riscos de terceiros e se conectam às métricas de unidades de negócios individuais. Se você estiver analisando apenas riscos específicos, em vez de analisar como o seu ecossistema de terceiros pode afetar o negócio como um todo, estará limitando sua visão e poderá se preparar para tomar decisões abaixo do ideal.

Já escrevemos anteriormente sobre o conceito de um "administrador de riscos" - alguém encarregado de priorizar os requisitos de gerenciamento de riscos em todos os silos organizacionais e de conduzir uma abordagem de gerenciamento de riscos conectada e proativa. O TPRM é uma verdadeira horizontal que atravessa toda a empresa, com cada função interna tendo um impacto espelhado em terceiros. Você se beneficiaria enormemente de uma abordagem de administração de riscos.

2. Investir na preparação para a IA

As respostas da pesquisa mostram que a adoção da IA no TPRM é baixa, mas que as organizações têm a ambição de aumentar a adoção nos próximos anos. Para preencher essa lacuna e alcançar essa ambição, é necessário investir na preparação para a IA.

Isso inclui uma avaliação completa dos processos, ferramentas e práticas de gerenciamento de dados do TPRM existentes para identificar lacunas e áreas de melhoria na preparação para a integração da IA. Isso inclui investir na preparação de dados para melhorar a qualidade dos dados, padronizar os formatos de dados e implementar a governança de dados. Isso inclui a preparação da força de trabalho, eliminando as lacunas de habilidades e investindo em treinamento e aperfeiçoamento profissional.

De forma crítica, isso inclui o monitoramento de tendências, tanto para acompanhar as práticas recomendadas emergentes em TPRM quanto para se preparar para as próximas ondas de IA.

3. Questionar as suposições e acelerar os pontos de inflexão

"Há uma década, a maioria das empresas tinha políticas que proibiam que seus dados entrassem em contato com a nuvem pública, devido ao fator medo da tecnologia", diz Kawther Haciane, líder de risco digital da EY MENA. "Hoje, o roteiro se inverteu. As empresas em todos os lugares são "cloud first" — tudo migrou para a nuvem, e as exceções têm que justificar por que não deveriam estar na nuvem. O que aconteceu Chegamos a um ponto de inflexão, as premissas e a economia mudaram e isso desencadeou a adoção em massa."

De fato, a tecnologia está repleta de exemplos desses pontos de inflexão, enquanto o novo ambiente de risco está acelerando o ritmo das mudanças não lineares, tornando os pontos de inflexão cada vez mais prováveis. Considere como o lançamento do ChatGPT alterou as suposições sobre os recursos da GenAI e os prazos em que eles poderiam ser alcançados. Ou considere algo mais próximo de casa para as funções de TPRM: como a pandemia da COVID transformou alguns componentes de TPRM quase da noite para o dia, já que a mudança para o trabalho remoto eliminou a capacidade de fazer auditorias no local, forçando as organizações a adotar a tecnologia em escala.

É possível que agora estejamos nos aproximando de um ponto de inflexão semelhante para a adoção da IA no TPRM. Como o número e a complexidade dos relacionamentos com terceiros aumentaram nos últimos anos, o mesmo aconteceu com o atrito, a dor e o custo de fazer avaliações de risco de terceiros manualmente. Mas isso também está mudando a economia da adoção da IA. Quando você estiver fazendo avaliações em maior escala — aos milhares em vez de centenas —, terá um incentivo financeiro maior para investir em IA, bem como uma escala maior para recuperar esses investimentos.

Um ponto de inflexão ainda maior pode ser iminente no avanço da tecnologia. A nova geração de modelos de IA — incluindo IA agêntica, IA multimodal, IA de raciocínio e IA de autoaperfeiçoamento — está trazendo recursos inovadores, e combiná-los pode ser um divisor de águas para o TPRM. Isso poderia desafiar os cálculos de custo-benefício e tornar a proposta de valor da IA irresistível.

Os pontos de inflexão discutidos acima têm uma coisa em comum: eles pegaram a maioria das empresas de surpresa, exigindo que elas se esforçassem e preparassem uma resposta muitas vezes apressada. Mas há outro caminho. Ao antecipar um ponto de inflexão, você pode preparar sua organização para ele. Melhor ainda, você pode acelerar a mudança adotando as etapas identificadas acima para investir no futuro, corrigir incentivos desalinhados e realinhar as estruturas organizacionais.

O TPRM existe para garantir que o restante da organização não seja pego de surpresa por interrupções externas. Agora, mais do que nunca, talvez ela precise aplicar esse foco em si mesma.

Sumário

A pesquisa EY Third-Party Risk Management Survey 2025 explora como os líderes de risco estão usando a IA e a centralização para transformar suas funções de TPRM em um cenário de risco em rápida evolução. Eles também estão tornando suas funções de TPRM mais eficientes e eficazes para atender às crescentes expectativas de negócios. 

Artigos relacionados

2023 EY Global Third-Party Risk Management Survey

The 2023 EY Global Third-Party Risk Management Survey highlights a growing demand for data-driven third-party risk assessment. Read more.

EY Global + 2

Os cinco hábitos dos geoestrategistas de sucesso

Todas as empresas estão mudando suas estratégias para se adaptar ao risco geopolítico. Veja como investir de forma mais eficiente e estratégica do que seus concorrentes. Saiba mais.

Courtney Rickert McCaffrey + 1

Cinco maneiras pelas quais os CROs do setor bancário estão aumentando a agilidade

A pesquisa EY/IIF sobre gerenciamento de riscos bancários destaca a necessidade de maior agilidade contra a diversificação de riscos. Saiba mais.

Nigel Moden + 2

Como os Conselhos podem orientar com confiança o futuro com inteligência artificial

Ao equilibrar estratégias de crescimento e mitigação de riscos com a IA, os Conselhos podem criar confiança, valor e aumentar o potencial humano. Saiba mais.

Sharon Sutherland + 1

Os 10 principais desdobramentos geopolíticos para 2025

O risco geopolítico permanecerá elevado devido à soberania econômica e às rivalidades globais. Aprenda a gerenciar a incerteza para expandir seus negócios.

Courtney Rickert McCaffrey + 1

    Sobre este artigo

    Autores

    • EY Global
      Multidisciplinary professional services organization
    • EY Global
      Multidisciplinary professional services organization
    Tópicos relacionados
    Consultoria
    Risco
    Cibersegurança

    EY refere-se à organização global e pode se referir a uma ou mais das firmas-membro da Ernst & Young Global Limited, cada uma das quais é uma entidade legal separada. A Ernst & Young Global Limited, uma empresa britânica limitada por garantia, não presta serviços a clientes.