Quase toda empresa que atendo hoje tem o mesmo plano na cabeça: crescer a base de fornecedores e parceiros comerciais. Faz sentido — uma pesquisa da KPMG mostra que 83% dos executivos pretendem expandir suas redes nos próximos um a três anos. O que poucas dessas empresas param para calcular é que cada fornecedor novo também é um novo ponto de exposição. E, segundo um levantamento da SCCE e da HCCA em parceria com a Moody’s (Compliance & Ethics Professional Magazine, julho/2026), a maioria ainda trata esse risco com alto grau de improviso.

O retrato que a pesquisa revela

O uso de inteligência artificial em compliance saltou de 30% das organizações em 2023 para mais da metade hoje. 62% dos profissionais esperam adoção generalizada dentro de três anos, e 84% já enxergam vantagem real nisso. Números bons, à primeira vista.

O problema aparece nas entrelinhas: 69% das empresas ainda descrevem sua estratégia de dados como básica ou em desenvolvimento, e 21% nem usam analytics em compliance. Ou seja: todo mundo quer surfar a onda da IA, mas boa parte ainda não arrumou a casa antes de entrar na água.

Dado limpo é decisão melhor — antes de qualquer IA

O achado mais citado pelos profissionais consultados nem foi sobre inteligência artificial. Foi sobre a base que sustenta qualquer análise: qualidade e organização dos dados. Nenhuma ferramenta, por mais sofisticada que seja, resolve um cadastro de fornecedor duplicado, desatualizado ou incompleto. A mensagem é clara: antes de acelerar o processo com automação, arrume a casa.

Como saber se um alerta é um risco real — ou apenas um ruído

Quando um sistema de monitoramento aponta uma possível irregularidade (“red flag”), o que faz a empresa levar isso a sério? Os dois critérios mais citados na pesquisa foram o impacto financeiro (ou de longo prazo) e a confirmação cruzada com outras fontes, como canais de denúncia, certidões e conformidade legal. Juntos, respondem por 43% das respostas.

Só que focar apenas no dinheiro tem uma armadilha: quando um problema de conduta ou de governança já afetou o caixa, geralmente é porque a empresa demorou demais para agir. O sinal real quase sempre aparece antes, só que em outro lugar.

Terceiros: onde os riscos realmente moram

Os números explicam por que due diligence de terceiros virou prioridade: cerca de 90% dos casos de aplicação da lei americana anticorrupção (FCPA) entre 1978 e 2023 tinham o envolvimento de um intermediário, como agente de vendas, um consultor ou um distribuidor. Na prática, é raro uma empresa cometer uma fraude sozinha; ela quase sempre tem essa conduta por meio de terceiro.

Na hora de avaliar um fornecedor, os profissionais consultados priorizam primeiro o histórico regulatório e jurídico: processos, sanções, violações documentadas (40% das respostas). Sanções, identidade e menções em mídia adversa vêm na sequência (10%) e ajudam a pegar risco reputacional que não aparece em nenhum processo formal, especialmente em empresas menores, que costumam ter menos rastro documentado.

Para transformar isso em decisão, as duas análises mais citadas foram avaliação de privacidade/proteção de dados e modelos de pontuação (scoring) de risco: uma forma de pesar vários fatores de uma vez, através da definição de aspectos críticos de risco, e saber onde concentrar atenção com prioridade.

IA: aliada de verdade, não substituta do julgamento

Os usos de IA mais bem avaliados pelos profissionais foram os mais objetivos: organizar e resumir grandes volumes de documentos, e agilizar pesquisas regulatórias. Os riscos mais citados foram o viés dos modelos e a tendência de aceitar uma resposta gerada por IA sem verificar. Resumindo: a IA acelera diversas etapas do processo; a decisão, em compliance, continua sendo humana, e vai continuar assim por um bom tempo.

O que isso significa, na prática, para seu negócio

É essa lógica que aplicamos, por exemplo, em um mapeamento completo de base de fornecedores que fizemos para uma multinacional do setor industrial. Cruzamos os dados corporativos do cliente com nossa própria base de risco de compliance por CNPJ, que no Brasil capta o histórico de fornecedor local com mais precisão do que qualquer plataforma internacional. Saiu daí um painel com pontuação por fornecedor, priorização dos casos mais críticos e trilha de evidência para cada decisão, sempre com revisão humana antes de se tomar qualquer ação.

Esse processo funciona para empresas de todos os portes, não só para uma multinacional com presença em diversos países: tecnologia e dados confiáveis não tiram o trabalho do compliance das suas mãos. Eles fazem você gastar menos tempo gerenciando riscos e antecipando problemas, e mais tempo decidindo o que fazer com os sinais de alerta identificados.

Recomendações práticas para começar (ou avançar)

No fim, compliance bem feito não é sobre lista de exigência cumprida; é sobre perenidade do negócio, continuidade das operações e reputação inabalada, mais que qualquer contrato ou ganhos de curto prazo.

Se quiser entender o que isso significa para a sua organização, é só nos chamar.

Por Murilo Pastori Roberti, Diretor Técnico de Operações (COO) da Mais Compliance

Referência

SCCE, HCCA & Moody’s. “How compliance teams use data, analytics, and AI for third-party risk management.” Compliance & Ethics Professional (CEP Magazine), 2026, p. 26–29. Publicação mensal da Society of Corporate Compliance and Ethics (SCCE) e da Health Care Compliance Association (HCCA), de acesso exclusivo a associados — saiba mais sobre a publicação.

MOODY’S. From reactive to proactive: How AI is transforming risk and compliance. 2025. Disponível em: https://www.moodys.com/kyc/ai-study. Acesso em: 9 jul. 2026