Regulamentação e ciber-risco assumem liderança estratégica na gestão de terceiros, revela KPMG
O ambiente de risco associado a terceiros está a transformar-se a um ritmo sem precedentes. Segundo o KPMG Global Third Party Risk Management (TPRM) Survey 2026, realizado junto de 851 organizações globais, as empresas enfrentam agora a necessidade urgente de evoluir para modelos mais inteligentes. O estudo da KPMG Portugal sublinha que já não há espaço para ajustes superficiais: a sobrevivência competitiva depende de uma visão preditiva e tecnológica.
Os resultados mostram que a regulamentação e o ciber risco continuam a ser os dois fatores que mais influenciam as estratégias de TPRM (third-party risk management).
As estratégias de TPRM (Third-Party Risk Management) são processos estruturados que as empresas utilizam para identificar, avaliar e monitorizar os riscos de trabalhar com entidades externas (fornecedores, parceiros, consultores ou distribuidores).
Os dados revelam que a compliance regulatória (48%) e a cibersegurança (37%) são as principais preocupações e os principais motores das estratégias de TPRM. Estes fatores estão também a orientar os investimentos das empresas, que se concentram agora em due diligence e avaliação de risco (52%); tecnologia de TPRM (51%); cibersegurança e proteção de dados (49%); e nas auditorias regulatórias (45%).
Simultaneamente, setores como os serviços financeiros, as ciências e a indústria também enfrentam pressões, que vão desde requisitos regulamentares mais rigorosos até aos desafios de sustentabilidade e de ESG, reforçando a necessidade de abordagens altamente adaptadas à realidade de cada setor.
João Madeira, Partner de Advisory da KPMG Portugal, alerta que a resiliência das organizações depende da modernização profunda destes modelos. “As entidades que liderarem esta transformação tornar-se-ão mais ágeis, seguras e competitivas”, afirma o responsável, destacando que a automação e a integração operacional são fundamentais para evitar que riscos emergentes se tornem crises graves.
Complexidade crescente, pressão regulatória e qualidade de dados redefinem a gestão de risco de terceiros
O “fosso” entre a gestão de terceiros e o risco global
Um dos pontos críticos identificados pelo inquérito é a desconexão entre a gestão de risco de terceiros (TPRM – third-party risk management) e a gestão de risco empresarial (ERM). Apenas 18% das organizações possuem uma integração plena entre estas duas áreas. Esta fragmentação impede uma resposta eficaz num contexto onde os fornecedores estão cada vez mais interligados.
Além disso, a externalização de processos de TPRM ainda é vista de forma tática. Embora a maioria das empresas recorra a parceiros externos, apenas 5% adotam modelos “ponta a ponta” capazes de garantir escala e consistência global.
Apesar do entusiasmo com a Inteligência Artificial, a eficácia destas ferramentas continua aquém do esperado. Embora mais de metade das empresas já explore a IA, apenas cerca de 25% consideram-na muito eficaz.
O obstáculo? A baixa qualidade dos dados. Apenas 15% a 20% das organizações afirmam ter dados de elevada qualidade, sendo este o fator que separa as empresas maduras das que ainda lutam com processos manuais e ineficientes. Para a KPMG, o governance de dados é hoje o principal diferencial competitivo para quem deseja rentabilizar investimentos em analítica avançada.
O KPMG Global Third-Party Risk Management Survey 2026 analisa tendências, prioridades e desafios de execução na gestão de risco de terceiros, oferecendo uma visão abrangente sobre como as empresas estão a redefinir os seus modelos operacionais para responder às pressões regulatórias, às ciberameaças e à complexidade crescente dos seus ecossistemas de fornecedores.
