O Checklist de Diligência de Vendor Pré-Compra para Compradores Mid-Market
A equipe de operações entrou em produção em fevereiro. O Onboarding correu bem. A equipe gostou da ferramenta. Em junho, a business review trimestral mostrava dados promissores de adoção. E então, em outubro, um representante de uma empresa concorrente entrou em contato para "discutir opções". Esse foi o primeiro sinal. Em novembro, o vendor-alvo havia silenciosamente pausado as contratações. Em dezembro, o CEO enviou um e-mail para toda a empresa sobre "reestruturação estratégica". Em janeiro, o produto estava em modo de manutenção e o tempo de resposta do suporte havia subido de quatro horas para quatro dias.
A empresa havia assinado um contrato anual. Havia pago por doze meses. Recebeu nove meses de um produto funcionando e três meses de incerteza, seguidos por uma migração que não havia planejado.
Ninguém verificou a saúde financeira do vendor antes de assinar. Ninguém perguntou sobre runway de capital, investidores ou quantos contratos empresariais havia no portfólio. Não foi diligência. Foi uma Demo e uma ligação de referência.
Este guia é o processo de diligência que empresas mid-market devem executar antes de assinar qualquer contrato SaaS acima de $10K/ano. É calibrado para operadores: não equipes de aquisição empresarial realizando avaliações de seis semanas, mas líderes que precisam de rigor real em dois a três dias.
Dados Essenciais: A Realidade da Diligência de Vendor
- O Churn SaaS mid-market fica em 10-15% ao ano, aproximadamente 2-3x maior que o Churn de vendor enterprise (3-5%), segundo dados da Pacific Crest / KeyBanc SaaS survey; os vendors com quem você assina têm probabilidade significativamente maior de desaparecer do que os que compradores da Fortune 500 escolhem.
- Cerca de 67% das startups SaaS com apoio de venture capital falham ou estagnaram antes da Série C, de acordo com dados post-mortem da CB Insights. O estágio de financiamento é um sinal probabilístico, não uma garantia.
- Ligações de referência fornecidas pelo vendor produzem cerca de 80% de sentimento positivo independentemente da qualidade do produto, segundo pesquisa de compradores da Forrester; referências fornecidas pelo vendor subdetectam problemas em comparação com referências obtidas em comunidades de usuários ou no LinkedIn.
- Apenas 23% dos compradores mid-market realizam alguma diligência financeira sobre vendors SaaS abaixo de $100K ARR, segundo benchmarks de aquisição da Gartner; é exatamente por isso que surpresas com falhas de vendor continuam acontecendo.
- Relatórios SOC 2 Tipo II levam 6-12 meses de monitoramento contínuo para produzir; um vendor com apenas Tipo I (ponto no tempo) está materialmente mais cedo em sua maturidade de segurança do que um com Tipo II.
Por Que Empresas Mid-Market São Especialmente Vulneráveis
Empresas mid-market ocupam uma posição desconfortável no ecossistema de vendors. Elas se movem mais rápido do que compradores enterprise, o que as torna atrativas para vendors em estágio inicial em busca de receita rápida. Têm mais orçamento do que compradores SMB, o que as torna alvos valiosos. E muitas vezes carecem da musculatura institucional de diligência que empresas maiores desenvolveram ao longo de anos de falhas de vendor. O guia de mercado da Gartner para gestão de SaaS observa que organizações mid-market enfrentam risco de concentração de vendor desproporcional em comparação com compradores enterprise, que distribuem os gastos entre vendors maiores e mais estáveis.
A onda de AI SaaS piorou isso. Centenas de ferramentas nativas de AI foram lançadas nos últimos dois anos. Muitas têm financiamento sólido, mas estão em pré-receita. Muitas têm receita positiva, mas estão queimando mais do que ganhando. E muitas parecem críveis em uma Demo enquanto são genuinamente frágeis como negócio.
Seu trabalho na diligência não é ser paranóico. É fazer as perguntas que revelam os riscos que você gostaria de saber antes de estar dezoito meses dentro de uma migração. E se você já está conduzindo uma avaliação completa de vendor, como conduzir um RFP SaaS cobre como integrar este checklist de diligência em um processo de seleção estruturado de três semanas.
O Triângulo de Viabilidade do Vendor
Todo vendor SaaS que vale a pena assinar passa em três testes independentes: viabilidade financeira (ele vai existir em três anos?), viabilidade operacional (ele consegue entregar os SLAs, suporte e postura de segurança que promete hoje?) e fit de Roadmap (a direção do produto está convergindo com suas necessidades ou divergindo delas?). Um vendor forte em dois pilares e fraco no terceiro é um risco com prazo determinado; vendors financeiramente saudáveis com Roadmaps divergentes se tornam migrações, e vendors operacionalmente excelentes que estão ficando sem capital se tornam emergências. A diligência é o processo de testar os três pilares antes de o contrato ser assinado, não depois.
Os Seis Domínios de Diligência
Domínio 1: Viabilidade da Empresa
A pergunta mais importante para qualquer vendor com menos de cinco anos ou sem escala enterprise óbvia: eles vão existir em três anos?
Você não vai obter demonstrações financeiras auditadas de uma empresa privada. Mas pode obter sinais suficientes para fazer um julgamento.
O que verificar:
- Estágio de financiamento e data da rodada mais recente. Empresas Seed e Série A têm em média 18-24 meses de runway a partir do último aporte. Se o último aporte foi há mais de 18 meses e não há uma Série B anunciada, pergunte diretamente sobre o runway.
- Qualidade dos investidores. Apoio de VC de Tier 1 (a16z, Bessemer, Sequoia, Accel) não garante o sucesso, mas se correlaciona com suporte de portfólio e capacidade de bridge. Apoio desconhecido ou apenas de angel investors aumenta o risco.
- Tendência de headcount. Verifique a contagem de funcionários no LinkedIn nos últimos 6-12 meses. Headcount em declínio é um sinal amarelo. Demissões em massa sem comunicação pública são um sinal vermelho.
- Concentração de clientes. Pergunte se algum cliente único representa mais de 15% do ARR. Se sim, a perda desse cliente cria um negócio materialmente diferente.
- Sinais de crescimento de receita. Os vendors não vão te dar o ARR, mas muitas vezes confirmam a direção. "Crescemos 3x nos últimos 18 meses" é um sinal relevante. Respostas vagas também são informação.
Indicadores de saúde financeira do vendor (para empresas privadas):
| Sinal | Verde | Amarelo | Vermelho |
|---|---|---|---|
| Última rodada de financiamento | <18 meses atrás | 18-30 meses atrás | >30 meses atrás |
| Tendência de headcount | Crescendo | Estável | Declinando |
| Perfil de clientes | Mix enterprise + mid-market | Apenas mid-market | Predominantemente SMB |
| Apoio de investidores | VC Tier 1 | VC Tier 2 | Apenas angel |
| Resposta à pergunta de runway | Direta, confiante | Desvia para tração | Recusa-se a engajar |
Domínio 2: Certificações de Segurança
Certificações de segurança são o piso da diligência, não o teto. Um relatório SOC 2 Tipo II informa que o vendor tinha controles documentados no momento da auditoria, não o que está fazendo com seus dados hoje nem como responderia a uma violação.
O que verificar:
- SOC 2 Tipo II (não Tipo I). Tipo I é uma atestação ponto no tempo. Tipo II cobre um período de 6-12 meses. Para qualquer coisa que toque dados de clientes, Tipo II é o padrão base. A visão geral de SOC 2 da AICPA explica a diferença entre os tipos de relatório e o que cada um cobre.
- ISO 27001 se você opera em setores regulados ou mercados internacionais. O padrão ISO 27001 da iso.org define os requisitos completos para sistemas de gestão de segurança da informação.
- Acordo de Processamento de Dados (DPA) conforme GDPR se quaisquer dados pessoais de cidadãos da UE estiverem envolvidos.
- Acordo de Associado de Negócios (BAA) conforme HIPAA se quaisquer dados de saúde estiverem envolvidos.
- Resumo de teste de penetração (no mínimo, data do último teste e escopo).
Peça para ver o relatório real, não um selo em um site. Vendors legítimos compartilham relatórios SOC 2 com NDAs. Vendors que recusam compartilhar relatórios sob NDA são um sinal amarelo. Para um resumo em linguagem simples do que cada certificação realmente cobre, SOC 2, ISO 27001 e GDPR para compradores explica as diferenças e quais perguntas específicas cada framework responde.
Domínio 3: Tratamento e Residência de Dados
Este domínio ficou significativamente mais complexo com ferramentas habilitadas por AI. As perguntas que você faria a um vendor SaaS tradicional se expandiram para cobrir como os modelos de AI do vendor interagem com seus dados. O Framework de Gestão de Risco de AI do NIST fornece uma abordagem estruturada para avaliar como os vendors governam os sistemas de AI que processam os dados da sua organização.
O que verificar:
- Onde os dados são armazenados geograficamente? EUA, UE, ambos?
- Há uma opção de residência de dados para sua região, se necessário?
- Seus dados são usados para treinar os modelos de AI do vendor? Se sim, você pode recusar?
- Quais dados o produto coleta além do que você explicitamente envia?
- Qual é a política de retenção de dados? Por quanto tempo seus dados são mantidos após o término do contrato?
- Qual é a política de exclusão de dados? Quanto tempo a exclusão leva e como pode ser verificada?
Para ferramentas habilitadas por AI, o questionário de tratamento de dados de Avaliando SaaS com AI cobre a camada adicional específica para treinamento e inferência de modelos de AI.
Domínio 4: SLAs de Suporte
A qualidade do suporte é impossível de avaliar em uma Demo de vendas. Ela se torna visível seis semanas após o go-live quando algo quebra às 16h de uma sexta-feira.
O que verificar:
- Tempo de primeira resposta por nível de severidade (P1/P2/P3). O que cada nível significa e qual é o SLA?
- O SLA inclui um compromisso de tempo de resolução ou apenas de primeiro contato?
- A equipe de suporte é local, offshore ou mista? Quais são os horários de cobertura?
- Há um CSM designado ou o suporte é baseado em fila?
- Qual é o caminho de escalação para uma interrupção P1?
- Qual é o SLA de uptime e quais são os termos de crédito por SLAs não cumpridos?
Roteiro de ligação de referência, perguntas sobre suporte:
Quando você ligar para um cliente de referência (o que você sempre deve fazer, e mais sobre isso abaixo), pergunte especificamente:
- Com que frequência você abriu tickets de suporte nos primeiros 90 dias?
- Qual era o tempo típico de primeira resposta para um problema P2?
- Você já teve uma interrupção P1? O que aconteceu e como foi tratada?
- Como é sua relação com o CSM?
Domínio 5: Maturidade de Integração e API
Uma ferramenta que não consegue se conectar ao seu stack existente é um silo de dados. Avaliar a maturidade de integração antes de assinar previne o projeto de integração de seis semanas que você não orçou. Se a integração com CRM é um requisito-chave, o guia sobre quando contratar um consultor de CRM explica como a complexidade de integração afeta a decisão de alocação de recursos.
O que verificar:
- Existe uma integração nativa com seu CRM, HRIS e ferramentas de Workflow principais?
- A integração é mantida pelo vendor ou por terceiros?
- O que acontece quando uma plataforma conectada tem uma mudança de API? Quem corrige?
- Há uma API pública com documentação completa?
- Quais são os limites de taxa da API?
- Há limitações conhecidas de integração (sincronização somente leitura vs. bidirecional, restrições de mapeamento de campos)?
Peça para ver a documentação da integração, não uma Demo. Documentação de qualidade para desenvolvedores é um indicador de maturidade da API.
Domínio 6: Qualidade das Referências de Clientes
Um vendor vai te dar os melhores clientes de referência. Isso é esperado. Mas como você conduz a ligação de referência determina o quanto de informação você realmente obtém.
Roteiro de ligação de referência (8-10 perguntas):
- Há quanto tempo você usa a plataforma e qual é o escopo do seu deployment?
- Qual foi a parte mais difícil da implementação e como o vendor te apoiou?
- Como o produto mudou desde que você assinou, tanto positivamente quanto onde ficou aquém?
- Como você descreveria a capacidade de resposta do suporte quando você teve um problema sério?
- O preço mudou desde o contrato original? Se sim, como e quanto tempo de aviso você teve?
- O que o produto faz bem que você não apreciava totalmente antes de comprar?
- O que ele não faz bem, que você gostaria de ter sabido antes de assinar?
- Houve algum problema de segurança, conformidade ou tratamento de dados de que você está ciente?
- Se você fosse tomar essa decisão de compra novamente, o que faria diferente?
- Você renovaria, e por quê?
As perguntas mais valiosas são a 7, a 8 e a 9. Preste atenção a hesitações na pergunta 7. Preste atenção a uma pausa na pergunta 8. A resposta à pergunta 9 quase sempre vale mais do que o pitch do vendor.
Peça ao vendor referências de empresas com porte e setor similares ao seu. Uma empresa de 5.000 pessoas não é uma referência útil para uma empresa mid-market de 150 pessoas.
O Checklist de Diligência de 40 Pontos
Viabilidade da Empresa (8 pontos)
- Estágio de financiamento e data da última rodada confirmados
- Qualidade dos investidores avaliada
- Tendência de headcount verificada (LinkedIn ou Crunchbase)
- Pergunta de concentração de clientes feita e respondida
- Direção de receita confirmada
- Dependência de pessoas-chave avaliada (conduzido pelo fundador vs. equipe de gestão estabelecida)
- Risco de aquisição ou descontinuação discutido
- Roadmap de 3 anos revisado para continuidade estratégica
Certificações de Segurança (6 pontos)
- Relatório SOC 2 Tipo II revisado (não apenas o selo confirmado)
- Período do relatório confirmado (deve estar dentro de 12 meses)
- ISO 27001 confirmado se aplicável
- DPA conforme GDPR recebido e revisado
- Data e escopo do teste de penetração confirmados
- Política de bug bounty ou divulgação responsável confirmada
Tratamento de Dados (6 pontos)
- Geografia de armazenamento de dados confirmada
- Opção de residência de dados confirmada se necessário
- Política de dados de treinamento de modelo de AI confirmada
- Dados coletados além do envio explícito documentados
- Política de retenção de dados confirmada
- Prazo de exclusão de dados e processo de verificação confirmados
SLAs de Suporte (6 pontos)
- Níveis e definições de SLA confirmados por escrito
- Tempo de primeira resposta e resolução por severidade confirmados
- Horários de cobertura de suporte confirmados
- Caminho de escalação para P1 documentado
- SLA de uptime e termos de crédito confirmados
- Atribuição do CSM e modelo de engajamento confirmados
Integração e API (7 pontos)
- Lista de integrações nativas revisada em relação ao seu stack
- Responsabilidade de manutenção de integração confirmada
- Documentação da API revisada (avaliação de qualidade)
- Limites de taxa da API confirmados
- Limitações conhecidas de integração documentadas
- Capacidade de sincronização bidirecional confirmada para objetos críticos
- Roadmap de integração para conexões planejadas confirmado
Referências de Clientes (7 pontos)
- Mínimo de duas ligações de referência concluídas
- Referências correspondidas por porte e setor da empresa
- Capacidade de resposta de suporte avaliada via ligação de referência
- Mudanças de preço discutidas com referências
- Problemas de segurança/conformidade identificados ou descartados
- Experiência de implementação confirmada
- Decisão de renovação e justificativa coletadas
Matriz de Escalação de Red Flags
Algumas constatações na diligência justificam parar a avaliação. Outras são gerenciáveis. Esta matriz ajuda você a triar:
| Constatação | Resposta |
|---|---|
| SOC 2 Tipo II não disponível | Pause a avaliação ou escale para jurídico/TI; não dispense este requisito |
| Último financiamento >24 meses atrás, sem Série B | Exija cláusula de escrow/exportação de dados no contrato; considere compromisso apenas anual |
| Cliente de referência incapaz de confirmar renovação | Pause a avaliação aguardando referências adicionais |
| Vendor recusa-se a compartilhar o DPA | Jurídico deve revisar antes de qualquer fluxo de dados; não assine sem ele |
| Concentração de clientes >25% em um único cliente | Reconheça o risco explicitamente; exija termos de crédito de SLA para interrupção |
| Nenhum caminho de escalação documentado para P1 | Exija procedimento de escalação por escrito antes de assinar |
| AI treinada em dados de clientes, sem opção de recusa | Exija emenda ao DPA ou adendo de processamento de dados |
O Que Uma Boa Diligência Requer
Para uma compra anual SaaS de $20K-100K, espere que a diligência leve dois a três dias úteis para um Líder de TI ou Diretor de Operações competente:
- Dia 1: Pesquisa de background, sinais financeiros, revisão de certificações
- Dia 2: Ligações de referência, revisão de SLA de suporte, revisão de documentação de integração
- Dia 3: Confirmação de tratamento de dados, consolidação do checklist, resumo de risco para o tomador de decisão
Para compras abaixo de $10K/ano, uma versão mais leve deste checklist (15-20 itens, uma ligação de referência) é proporcional. Para compras acima de $100K/ano, adicione um questionário formal de segurança e revisão jurídica dos termos de tratamento de dados.
Conduzindo a Diligência como um Workflow Cross-Funcional no Rework
A diligência de vendor fracassa quando vive na caixa de entrada de alguém. O Líder de TI está coletando relatórios SOC 2, o jurídico está revisando o DPA, as finanças estão obtendo dados de financiamento, e o responsável pelo negócio está conduzindo ligações de referência; e ninguém tem uma visão compartilhada de onde cada linha está. Quando o contrato chega à mesa do CFO, metade dos itens do checklist está "acho que cobrimos isso".
O Rework Work Ops (a partir de $6/usuário/mês) trata a diligência como um Workflow cross-funcional em vez de uma planilha. O checklist de 40 pontos se torna um board de tarefas estruturado; cada domínio (viabilidade, segurança, tratamento de dados, suporte, integração, referências) tem sua própria swim lane com responsáveis, prazos e anexos de evidências. Notas de ligações de referência, relatórios SOC 2 e rascunhos de DPA se anexam diretamente ao registro do vendor, para que o histórico completo de diligência esteja a um clique de distância quando a conversa de renovação acontecer dezoito meses depois.
Para equipes mid-market conduzindo 5-15 avaliações de vendor por trimestre, a diferença não é o checklist em si; é ter cada avaliação concluída com o mesmo rigor e os artefatos ainda localizáveis quando o anúncio da Série B do vendor (ou a rodada silenciosa de demissões) aciona uma reavaliação. O Work Ops é o sistema de registro para decisões que você precisa justificar mais tarde.
Saiba Mais
- Revisão de Segurança e Conformidade: O Que um Comprador Mid-Market Deve Realmente Verificar: a camada de segurança mais profunda abaixo do checklist de diligência
- SOC 2, ISO 27001 e GDPR para Compradores: o que cada certificação realmente cobre e quais perguntas ela responde
- Como Conduzir um RFP SaaS Que Não Desperdiça 6 Semanas: conduzindo um processo completo de avaliação com este checklist integrado
- Red Flags em Contratos SaaS: Auto-Renewal, Caps de Uso e Cláusulas de Rescisão para Ficar de Olho: o que revisar depois que a diligência for aprovada
- Modelagem de TCO para SaaS: Além do Preço de Tabela: diligência financeira para executar em paralelo com a diligência de vendor
- Política de governança de AI para departamentos: como estender os requisitos de diligência para compras de SaaS com AI
Head of Enterprise Solutions
On this page
- Por Que Empresas Mid-Market São Especialmente Vulneráveis
- O Triângulo de Viabilidade do Vendor
- Os Seis Domínios de Diligência
- Domínio 1: Viabilidade da Empresa
- Domínio 2: Certificações de Segurança
- Domínio 3: Tratamento e Residência de Dados
- Domínio 4: SLAs de Suporte
- Domínio 5: Maturidade de Integração e API
- Domínio 6: Qualidade das Referências de Clientes
- O Checklist de Diligência de 40 Pontos
- Viabilidade da Empresa (8 pontos)
- Certificações de Segurança (6 pontos)
- Tratamento de Dados (6 pontos)
- SLAs de Suporte (6 pontos)
- Integração e API (7 pontos)
- Referências de Clientes (7 pontos)
- Matriz de Escalação de Red Flags
- O Que Uma Boa Diligência Requer
- Conduzindo a Diligência como um Workflow Cross-Funcional no Rework
- Saiba Mais