Como este tema funciona na sua empresa
Tolerância a risco é alta (não tem alternativa, "melhor risco terceirizado que nenhum TI"). Risco maior: fornecedor sai. Proteção mínima: documentação, contato emergencial, segunda opção pesquisada.
Tolerância moderada. Risco maior: lock-in (ficar preso 5 anos). Proteção: contrato com saída clara, manter conhecimento interno, ter alternativas pesquisadas.
Tolerância baixa. Risco maior: segurança (dados em lugar errado), conhecimento preso. Proteção: auditoria robusta, documentação contínua, equipe interna duplicada em expertise.
Risco de outsourcing é exposição a eventos negativos: fornecedor falha, sai do mercado, prende dados, comportamento ruim, qualidade inadequada. Risco é inevitável; o que importa é estar preparado[1].
Matriz de riscos principais
Lock-in: ficar preso ao fornecedor. Causa: contrato longo, conhecimento preso, infraestrutura customizada. Impacto: vendido com fornecedor ruim por 5 anos. Mitigação: contrato com saída clara (30-60 dias), documentação obrigatória, período de transição contratado.
Qualidade não-cumprida: SLA prometido (99%) mas entregue (96%). Causa: vendor overpromises, operação ruim. Impacto: downtime afeta negócio. Mitigação: SLA com penalidade clara, monitoramento independente, escalação definida.
Segurança e vazamento: dados vão para lugar não autorizado, vaza. Causa: negligência, acesso excessivo, falta de auditoria. Impacto: LGPD, reputação. Mitigação: ISO 27001 requerida, auditoria anual, segregação de dados, MFA obrigatória.
Retenção de conhecimento: sair e não conseguir operar. Causa: documentação fraca. Impacto: dependência perpetuada. Mitigação: documentação obrigatória, pair programming, wiki interno.
Fornecedor sai do mercado: fecha ou sai do Brasil. Causa: mercado competitivo. Impacto: emergência de saída. Mitigação: contato de escalação múltiplo, documentação, plano B.
Turnover de equipe: pessoas-chave saem. Causa: mercado quente. Impacto: qualidade cai. Mitigação: documentação, knowledge transfer contínuo, SLA inclui "permanência de pessoas-chave".
Mitigação contratual: cláusulas obrigatórias
SLA com penalidade: não-cumprimento resulta em crédito (ex: 10% do mês de não-cumprimento).
Saída definida: prazo de saída (30-60 dias), obrigações de transição, knowledge transfer final.
Documentação obrigatória: toda mudança será documentada dentro de X dias. Parte de SLA.
Auditoria direito: você pode auditar fornecedor, verificar dados, processos (com NDA).
Seguros ou bond: para grandes contratos, seguro de responsabilidade civil ou bond (garantia).
Mitigação técnica: não confiar apenas em contrato
Monitoramento independente: você também monitora infraestrutura (não só acredita no relatório de fornecedor).
Backup de dados fora do fornecedor: cópia em seu próprio storage ou cloud diferente. Estratégia 3-2-1: 3 cópias, 2 mídia diferentes, 1 off-site.
Logging centralizado: fornecedor não controla tudo; logs vão também para sua infraestrutura (auditoria).
Teste de disaster recovery anual: "Se fornecedor desaparece, conseguimos recuperar em X horas?" Descobrir gaps cedo.
Indicadores de alerta precoce: quando desconfiar
Turnover de pessoas: perder 2+ técnicos em 6 meses = alerta vermelho (qualidade vai cair).
SLA degradando: uptime cai de 99% para 98% = trend ruim.
Resposta lenta: tempo de resolução aumentando sem motivo aparente.
Falta de proatividade: fornecedor só age quando problema estoura; nunca reporta "achei isso, vou consertar antes de impactar".
Resistência a transparência: fornecedor não quer mostrar logs, dados, documentação.
Sinais de que risco em outsourcing não está mitigado
Se você se reconhece em três ou mais, reavaliar contrato e mitigação.
- Não tem plano B se fornecedor falha ou sai
- Uma pessoa do fornecedor "sabe tudo"; se sai, você fica perdido
- Dados estão "guardados" com fornecedor; você não tem backup independente
- Contrato não tem cláusulas de saída clara ou penalidade de SLA
- Nunca testou disaster recovery; não sabe RTO real
- Não consegue sair do fornecedor mesmo se quiser (dependência)
Caminhos para mitigar risco em outsourcing
Pode ser feito internamente ou com consultoria.
Viável se você tem PM TI que pode estruturar mitigação.
- Perfil necessário: PM TI ou gestor de Vendor com conhecimento de contrato
- Tempo estimado: 4-6 semanas para auditoria de risco, plano de mitigação, implementação de monitoramento
- Faz sentido quando: sua equipe consegue validar riscos e implementar controles
- Risco principal: mitigação incompleta (foca em alguns riscos, ignora outros)
Consultoria de risk management ou gestão de Vendor.
- Tipo de fornecedor: consultoria de compliance/risk ou auditor externo
- Vantagem: checklist de riscos completo, visão objetiva (não tendenciosa), expertise em contrato
- Faz sentido quando: contrato é significativo ou você já teve problemas
- Resultado típico: matriz de risco, plano de mitigação, contratos revisados.
Precisa auditar riscos de outsourcing?
Se mitigação de risco é preocupação, o oHub conecta você gratuitamente a consultores de risk e compliance em outsourcing. Em menos de 3 minutos, descreva sua situação, receba propostas, sem compromisso.
Encontrar fornecedores de TI no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
Quais são os maiores riscos de terceirizar TI?
Lock-in (ficar preso), qualidade inadequada, segurança/vazamento, retenção de conhecimento, fornecedor sair do mercado, turnover de equipe.
Como mitigar lock-in?
Contrato com saída clara (30-60 dias), documentação obrigatória, knowledge transfer contínuo, período de transição contratado. Evita estar preso por 5 anos.
Como garantir segurança em outsourcing?
ISO 27001 requerida, auditoria anual, segregação de dados sensíveis, MFA obrigatória, backup independente, logging centralizado.
Como validar que risco está mitigado?
Teste de disaster recovery anual: "Se fornecedor some, conseguimos recuperar em X horas com documentação e backup?" Se sim, está mitigado.
E se fornecedor sai do mercado?
Ter plano B pesquisado (outro fornecedor identificado), contatos múltiplos, documentação completa, backup independente. Emergência sim, mas não é caos.