Considerações do especialista – Paulo Perrotti
Os dados mostram um cenário de compliance em estágio intermediário para avançado, mas ainda com lacunas importantes justamente onde a governança de dados e a relação com fornecedores deveriam ser mais robustas.
Maturidade declarada x riscos ainda presentes
- A pesquisa indica que boa parte das organizações se enxerga em patamar “estruturado/integrado” de compliance, com políticas estabelecidas e práticas minimamente consolidadas.
- Ao mesmo tempo, cerca de 8% ainda estão em modo reativo e 6% não possuem canal formal de denúncias, o que é um “bolsão de risco” relevante para qualquer supply chain com múltiplos terceiros.
- Na prática, isso significa que, embora o discurso de compliance já tenha sido incorporado, ainda existe uma parcela de empresas expostas a riscos básicos (assédio, fraude, violação de dados, corrupção) sem mecanismos mínimos de prevenção, detecção e resposta.
Compliance, governança de dados e IA na cadeia de suprimentos
- A pesquisa mostra que o grande gargalo para IA e automação em Compras/Supply Chain é a falta de processos e dados bem estruturados. Isso é, na prática, um problema de governança – e, portanto, de compliance.
- Sem cadastros limpos, rastreabilidade de fornecedores, critérios claros de acesso à informação e trilhas de auditoria, qualquer uso de IA em contratos, análise de gastos ou avaliação de risco de terceiros tende a amplificar erros e vieses, aumentando o risco de incidentes de proteção de dados e de decisões pouco defensáveis perante reguladores.
- Em supply chains complexos, proteção de dados não é só tema de TI: é um elemento de compliance regulatório e contratual com impacto direto em SLA, risco operacional e responsabilidade solidária por incidentes de privacidade envolvendo parceiros.
Canal de denúncia e atendimento como pilar de governança
- A existência de canais “robustos independentes” e “sistemas avançados” de denúncia em mais da metade da amostra é um sinal positivo: compliance deixa de ser apenas manual e passa a incorporar fluxos estruturados e, em alguns casos, tecnologia.
- Porém, a ausência completa de canal em 6% e a provável existência de canais pouco efetivos em parte do restante indicam que muitas organizações ainda não tratam o canal como ferramenta estratégica de governança de cadeia de valor: ele deveria atender não só empregados, mas também fornecedores, subcontratados e, quando pertinente, titulares de dados afetados por incidentes.
Tendências: de compliance “checklist” a compliance como arquitetura
- A combinação de:
- foco declarado em custos/savings,
- ambição de automação/analytics, e
- percepção de riscos macro e regulatórios (inclusive tributários)
aponta para uma tendência clara: compliance tende a migrar de função “de polícia” para função de desenho de regras, dados e fluxos, ou seja, arquitetura de governança que permite automatizar com segurança.
- Na proteção de dados, isso significa incorporar requisitos de LGPD e de segurança da informação desde o cadastro do fornecedor, cláusulas contratuais padrão, due diligence de terceiros, critérios de retenção/compartilhamento e integração com canais de denúncia e comitês de risco.
Críticas e oportunidades
- Crítica central: ainda há uma dissociação entre compliance e decisões de negócio em supply chain. ESG é muitas vezes tratado como “critério complementar”, e compliance de dados tende a ser visto como custo, não como habilitador de automação segura e de relacionamento de longo prazo com fornecedores.
- Oportunidade: usar o discurso de produtividade e IA que já aparece forte na pesquisa para “puxar” a agenda de compliance e proteção de dados. Quem organizar processos, contratos e dados com visão de governança terá vantagem competitiva para:
- escalar IA em sourcing, contratos e gestão de risco de terceiros;
- responder mais rapidamente a reguladores e clientes em caso de incidentes;
- transformar canais de denúncia em hubs de integridade e privacidade envolvendo toda a cadeia.
Em síntese, os resultados sugerem que o compliance em Compras & Supply Chain já saiu da infância, mas ainda precisa dar o próximo passo: assumir explicitamente o papel de linha mestra de governança de dados e de terceiros, sem o qual automação, IA e ESG continuarão avançando de forma fragmentada e com risco regulatório elevado.
Esse artigo é parte do ebook da Pesquisa de CPO & CSCO 2026, e você pode ver na íntegra no link.
Deixe seu comentário