Ayres Westin Advogados

Gerenciamento de riscos de terceiros e dever fiduciário: quando o risco do fornecedor se torna risco do administrador

Compartilhe

O fantasma da terceirização e a nova fronteira da responsabilidade

A extensão da responsabilidade decorrente de irregularidades praticadas por terceiros não é um tema novo no direito brasileiro, mas sua interpretação evoluiu de um incômodo operacional para uma ameaça existencial ao administrador. Na esfera trabalhista, por exemplo, a responsabilização do tomador de serviços já se encontra consolidada há décadas. A Súmula nº 331 do Tribunal Superior do Trabalho (TST) estabelece que o inadimplemento das obrigações trabalhistas pelo empregador real pode ensejar a responsabilidade subsidiária da empresa contratante. O recado ali sempre foi claro: se você se beneficia do esforço alheio, não pode lavar as mãos para o custo social e legal desse trabalho.

Contudo, o debate atual deslocou-se para um plano muito mais amplo, sofisticado e, para muitos administradores, desconfortável. A questão já não se limita à responsabilidade objetiva ou subsidiária da companhia pelos atos de seus fornecedores. O foco agora é a pessoa física do gestor. O questionamento central é se os administradores exerceram adequadamente seus deveres fiduciários na supervisão dos riscos associados à cadeia de terceiros. Em termos práticos, o comportamento do fornecedor passou a ser o espelho da conduta daqueles que governam a organização. Se a sua cadeia de suprimentos é um caos ético, a sua governança é, por definição, falha.

Onde o compliance de papel encontra a realidade

Essa mudança de perspectiva não é teórica; ela já produz efeitos práticos e sancionadores. Um marco fundamental pode ser observado no recente processo administrativo instaurado pela Comissão de Valores Mobiliários (CVM). No Processo Administrativo Sancionador (PAS) nº 19957.003158/2024-46, a Superintendência de Relações com Empresas (SEP) apurou a responsabilidade de membros do conselho de administração de uma sociedade de capital fechado por suposta falha no dever de diligência relacionada à supervisão de fornecedores.

O caso teve origem em um cenário extremo: o Ministério do Trabalho e Emprego identificou trabalhadores vinculados a uma empresa contratada pela companhia em situação análoga à de trabalho escravo. A relevância desse julgamento transcende a tragédia humana e a discussão trabalhista. O que a CVM colocou sob o microscópio não foi apenas a irregularidade na ponta da cadeia, mas a suficiência dos mecanismos de governança adotados para identificá-la, preveni-la e remediá-la.

A investigação trouxe à tona uma verdade inconveniente para muitos conselhos: a existência meramente formal de políticas internas, códigos de conduta ou cláusulas contratuais padrão é um escudo de papel. Para a CVM, a diligência exigida dos administradores deve ser compatível com os riscos inerentes à atividade. Estruturas de compliance que existem apenas no manual, desacompanhadas de mecanismos concretos de monitoramento, auditoria e resposta a irregularidades previsíveis, são, na prática, uma confissão de negligência. A autarquia deixou claro que, se o risco é alto, sua supervisão não pode ser superficial.

O artigo 153 e o dever de diligência

A discussão remete diretamente ao dever de diligência previsto no artigo 153 da Lei nº 6.404/1976, ou seja, ao núcleo duro do direito societário. Como bem leciona a doutrina clássica, o administrador deve exercer suas funções com a competência, eficiência e honestidade que empregaria na administração dos seus próprios negócios. Mas o que significa “administrar os próprios negócios” em um mundo de cadeias globais e riscos ESG?

Significa que o dever de diligência não é um estado passivo, mas uma obrigação de atuação ativa e informada. Ao lado dos deveres de lealdade e de informar, a diligência compõe o núcleo dos deveres fiduciários. Não basta ser honesto; é preciso ser diligente. E ser diligente, no contexto atual, implica não ignorar o que acontece fora dos muros da empresa.

Permanece a regra societária geral de que os administradores não respondem pessoalmente pelos atos regulares de gestão, mesmo que deles decorram prejuízos. É a proteção necessária para a tomada de risco inerente ao capitalismo. Entretanto, essa proteção cai por terra quando se demonstra culpa ou dolo, especificamente sob as formas de negligência, imprudência ou imperícia. A ausência de mecanismos adequados de supervisão de terceiros deixou de ser percebida como uma mera falha operacional do departamento de compras e passou a ser analisada como um descumprimento direto do dever fiduciário de diligência do administrador.

De “perfumaria” a mandato estratégico

É neste cenário que emerge a relevância crítica do Third-Party Risk Management (TPRM). A pergunta que todo conselheiro deve se fazer hoje é: o gerenciamento de riscos de terceiros passou a integrar o conteúdo prático do meu dever fiduciário? A resposta, amparada pela jurisprudência e pela prática de mercado, é um “sim” retumbante.

Em um ambiente empresarial no qual a eficiência é buscada por meio da especialização e da terceirização, envolvendo desde parceiros tecnológicos e operadores logísticos até distribuidores e fornecedores de matéria-prima, a supervisão dessas relações deixa de ser uma atividade de suporte. Ela passa a compor o conjunto de deveres esperados de qualquer administrador minimamente prudente. Ignorar o risco de um terceiro crítico é, para todos os efeitos legais, aceitar esse risco no próprio balanço e na própria biografia.

A lacuna entre percepção e realidade

A importância do tema é corroborada por dados que deveriam tirar o sono de qualquer comitê de auditoria. A pesquisa 2026 Global Third-Party Risk Management Survey, recentemente divulgada pela KPMG, revelou que aproximadamente um terço das organizações sofreu perdas financeiras ou danos reputacionais graves decorrentes de falhas de terceiros nos últimos três anos. Mais do que isso, 28% enfrentaram interrupções relevantes em suas cadeias de suprimentos.

O estudo demonstra que os riscos regulatórios, de compliance e cibernéticos estão no topo das preocupações. Contudo, os dados revelam uma grande lacuna, pois muitas empresas reconhecem o perigo, mas pouquíssimas têm programas de TPRM plenamente integrados à gestão corporativa de riscos. A maioria admite não ter confiança total nos dados utilizados para monitorar seus parceiros. Em outras palavras, as empresas sabem que o navio pode bater no iceberg, mas poucas estão realmente olhando para o mar.

Essa inércia é o que transforma o risco operacional em risco fiduciário. Se o administrador sabe que a dependência de terceiros é alta e que os dados de monitoramento são falhos, sua permanência no cargo sem exigir mudanças estruturais torna-se, por si só, um ato de imprudência.

A invisibilidade que mata

Um dos conceitos mais sofisticados e necessários trazidos pela pesquisa da KPMG é o de Nth-party risk (em tradução livre, risco “N-ésimo”). Ele corresponde aos riscos presentes não apenas nos fornecedores diretos da empresa, mas também nos fornecedores desses fornecedores. Em cadeias produtivas complexas, um desastre ambiental ou um escândalo de corrupção a três ou quatro níveis de distância da empresa pode gerar um efeito dominó capaz de paralisar sua operação e, potencialmente, destruir sua marca.

A capacidade de compreender e mapear essa teia não é mais um diferencial competitivo; é um elemento de sobrevivência da governança. Programas robustos de TPRM agora incorporam práticas como due diligence baseada em risco, monitoramento contínuo, cláusulas contratuais com amplos direitos de auditoria e mecanismos de flow-down (com base nos quais as obrigações de compliance da empresa são obrigatoriamente repassadas para toda a cadeia).

A governança além do CNPJ

O precedente analisado pela CVM em 2025 e os dados globais de 2026 sugerem uma mudança definitiva de patamar. O gerenciamento de riscos de terceiros deixou de ser uma questão paroquial de RH ou Compras. Ele ocupa agora o centro da análise do comportamento dos administradores.

O TPRM é, hoje, a expressão concreta do dever de diligência. A capacidade de identificar, monitorar e responder aos riscos na cadeia de terceiros não protege apenas a companhia contra perdas financeiras e regulatórias; ela é a prova documental de que o administrador exerceu sua função de forma diligente.

Em um ambiente empresarial interconectado e sob vigilância constante, a governança corporativa eficaz exige a compreensão de que os riscos da organização não terminam nos limites formais do seu CNPJ. Pelo contrário, em muitos casos, é exatamente onde o controle direto da empresa termina que seu maior risco fiduciário começa.

Publicado no Monitor Mercantil.

Compartilhe