Toda relação de negócio carrega risco. O risco de contratar um fornecedor que não entrega, de firmar parceria com uma empresa envolvida em fraude, de onboardar um cliente que usa sua plataforma para lavar dinheiro. A due diligence existe para mapear esses riscos antes que eles se materializem. Quando bem feita, é um dos ativos mais estratégicos de qualquer operação de compliance.
Este artigo explica o que é due diligence, quais são os principais tipos, como conduzi-la com fontes abertas e por que o processo manual, por mais criterioso que seja, tem falhas estruturais que ferramentas especializadas foram desenhadas para corrigir.
O que é Due Diligence
Due diligence é o processo de investigação e verificação de informações sobre uma pessoa, empresa ou operação antes de tomar uma decisão de negócio. O termo vem do latim diligentia (cuidado, atenção) e passou a designar, no contexto jurídico e empresarial, o conjunto de diligências necessárias para que uma decisão seja tomada com base em informações verificadas, não em suposições.
Na prática, due diligence responde perguntas como:
Quem é realmente esse parceiro ou cliente?
Qual é sua reputação no mercado e perante órgãos reguladores?
Existe algum histórico de envolvimento com fraude, corrupção ou lavagem de dinheiro?
As informações que ele forneceu são verdadeiras e verificáveis?
Essa investigação não é burocracia: é a diferença entre entrar em uma relação comercial com informação e entrar às cegas.
Tipos de due diligence
Due diligence não é um processo único. Ela se desdobra em diferentes modalidades conforme o objeto de investigação e o nível de risco envolvido.
Due diligence de terceiros (Third-Party Due Diligence)
É a forma mais comum. Aplica-se a qualquer entidade com quem a empresa se relaciona: fornecedores, prestadores de serviço, distribuidores, representantes comerciais, parceiros de negócio. O objetivo é verificar a idoneidade, a capacidade operacional e o histórico de compliance dessas partes antes de fechar contratos ou renová-los.
Due diligence de clientes (KYC — Know Your Customer)
Obrigatória em setores regulados como fintechs, bancos, seguradoras e mercado de capitais, o KYC verifica a identidade do cliente, sua capacidade financeira, sua origem de recursos e seu perfil de risco. É exigência das regulamentações do Banco Central (BACEN), da CVM e do COAF, entre outros órgãos.
Due diligence corporativa (M&A e investimentos)
Utilizada em fusões, aquisições e processos de investimento. Vai além do compliance e inclui análise financeira, jurídica, fiscal, operacional e de governança da empresa-alvo. O objetivo é identificar passivos ocultos e avaliar se o valor percebido da operação corresponde à realidade.
Due diligence de integridade (Integrity Due Diligence)
Focada em reputação e integridade. Investiga vínculos com pessoas politicamente expostas (PEPs), histórico em listas restritivas (OFAC, ONU, TCU, CGU), participação em processos judiciais relevantes, envolvimento em escândalos de corrupção e associações de risco. É mandatória para empresas que operam em setores sujeitos à Lei Anticorrupção (Lei 12.846/2013) e à regulação PLD/FT.
Due diligence simplificada vs. aprimorada
Não todo relacionamento exige o mesmo nível de investigação. A abordagem baseada em risco exigida pela regulação brasileira prevê:
Due diligence simplificada (SDD): para clientes e parceiros de baixo risco, com menor volume de informações e verificações.
Due diligence aprimorada (EDD — Enhanced Due Diligence): para situações de alto risco, como PEPs, operações em jurisdições de risco ou transações de valor elevado. Requer investigação mais profunda e monitoramento contínuo.
Como fazer due diligence: fontes de dados abertas
Mesmo sem acesso a ferramentas especializadas, é possível conduzir uma due diligence básica com fontes públicas. O Brasil tem um ecossistema razoável de dados abertos, mas o desafio está em saber onde olhar e como cruzar as informações.
Fontes para verificação de identidade e situação cadastral
Receita Federal (Consulta CNPJ): situação cadastral, quadro societário, atividade econômica, data de abertura. Disponível em: cnpj.receita.fazenda.gov.br
SINTEGRA / Portal SEFAZ estadual: regularidade fiscal no âmbito estadual, inscrição estadual, situação ativa.
Junta Comercial do estado: contratos sociais, alterações societárias, certidões de registro — com acesso variável por estado (JUCESP, JUCEMG, etc.)
Fontes para restrições e sanções
CGU — Cadastro Nacional de Empresas Inidôneas e Suspensas (CEIS): empresas e pessoas físicas punidas pela Administração Pública Federal. portaltransparencia.gov.br
CGU — Cadastro Nacional de Empresas Punidas (CNEP): sanções aplicadas com base na Lei Anticorrupção.
TCU — Lista de inabilitados e inidôneos: fornecedores impedidos de contratar com a administração pública federal.
OFAC SDN List (EUA): lista de sanções do Tesouro americano — relevante para empresas com operações internacionais. sanctionssearch.ofac.treas.gov
Lista ONU: sanções impostas pelo Conselho de Segurança. scsanctions.un.org
Fontes para processos judiciais e administrativos
CNJ — Consulta de processos: acesso aos sistemas de tribunais estaduais e federais via portais integrados como o Datajud. cnj.jus.br
STJ, STF, TRF, TRTs: consultas diretas nos portais de cada tribunal para processos de alta relevância.
SUSEP (seguradoras), CVM (mercado de capitais), BACEN (instituições financeiras): todos mantêm bases de sanções, advertências e punições administrativas aplicadas a pessoas físicas e jurídicas do setor.
Fontes para PEPs e vínculos políticos
Portal da Transparência do Governo Federal: servidores públicos, beneficiários de programas sociais, contratos com o governo.
TSE — Divulgação de candidaturas e contas eleitorais: histórico eleitoral e financiamento de campanhas.
Listas comerciais de PEPs: algumas bases abertas internacionais (como OpenSanctions) compilam PEPs de múltiplas jurisdições.
Fontes de mídia e reputação
Pesquisa em veículos jornalísticos de referência com o nome da empresa ou dos sócios associado a termos como “fraude”, “investigação”, “operação policial”, “irregularidade”.
Bases de jurisprudência como JusBrasil para identificar litígios recorrentes.
Os limites reais do processo manual
O processo manual descrito acima é válido e, em muitos contextos, suficiente para uma triagem inicial. Mas apresenta limitações estruturais que se tornam críticas à medida que o volume de operações cresce ou o nível de risco exige rastreabilidade e profundidade.
Volume e escalabilidade. Consultar 10 fontes para um único fornecedor é trabalhoso. Fazer isso para centenas de parceiros, com renovação periódica, é operacionalmente inviável sem processos automatizados. O gargalo humano cria atrasos que comprometem o onboarding e a tomada de decisão.
Inconsistência metodológica. Sem padronização, cada analista aplica critérios diferentes. O que um profissional considera risco relevante, outro pode ignorar. Isso cria exposição regulatória: em uma auditoria, a ausência de registro estruturado e critérios uniformes é tão problemática quanto a ausência da due diligence em si.
Cobertura incompleta. Nenhum analista humano consegue monitorar continuamente todas as fontes relevantes. Listas de sanções são atualizadas com frequência. Uma empresa pode ser incluída no CEIS depois de aprovada no onboarding, e o processo manual raramente prevê remonitoramento sistemático.
Ausência de trilha de auditoria. Reguladores como BACEN, CVM e COAF exigem evidência de que a due diligence foi realizada, com quais critérios e com qual resultado. Planilhas e e-mails não são trilha de auditoria, são risco em potencial.
Viés de confirmação. Em processos manuais, há tendência de confirmar o que já se sabe ou o que se quer aprovar. Ferramentas automatizadas eliminam esse viés ao aplicar os mesmos critérios independentemente da pressão comercial.
Como a VAAS apoia o processo
de due diligence
A VAAS é uma plataforma de gestão inteligente de riscos desenvolvida para resolver exatamente esses gargalos. Ela integra automação, fontes de dados estruturadas e fluxos de trabalho configuráveis para que o processo de due diligence seja rigoroso, rastreável e escalável.
Consulta integrada a múltiplas bases. A VAAS centraliza a verificação em dezenas de fontes públicas e privadas como Receita Federal, CGU (CEIS e CNEP), listas de sanções internacionais, bases de PEPs e dados judiciais, além de informações sobre crédito e documentoscopia — sem que o analista precise acessar cada fonte individualmente. O resultado é uma visão consolidada do perfil de risco em uma única interface.
KYC e KYE automatizados. Para clientes e empresas (Know Your Entity), a plataforma estrutura o fluxo de coleta de dados, validação documental e classificação de risco conforme os critérios definidos pela própria organização, alinhados à abordagem baseada em risco exigida pela regulação brasileira.
Monitoramento contínuo. A due diligence não termina no onboarding. A VAAS monitora os cadastros aprovados contra atualizações nas bases de dados, gerando alertas automáticos quando um parceiro ou cliente passa a constar em listas restritivas ou tem alterações relevantes.
Trilha de auditoria completa. Cada consulta, cada decisão e cada evidência coletada ficam registradas na plataforma com timestamp, responsável e critério aplicado. Em caso de auditoria regulatória, a empresa tem documentação estruturada, e não uma pasta de e-mails.
Configuração por nível de risco. A plataforma permite configurar fluxos diferenciados conforme o perfil de risco do relacionamento: due diligence simplificada para parceiros de baixo risco, aprimorada para PEPs e operações sensíveis. Isso garante proporcionalidade sem abrir mão de rastreabilidade.
Conclusão
Due diligence não é etapa burocrática e sim uma decisão de negócio com base em informação verificada. Feita manualmente, com critério e conhecimento das fontes certas, já representa um avanço em relação a nenhuma verificação. Mas o processo manual tem teto: ele não escala, não garante uniformidade e não produz a trilha de auditoria que reguladores e parceiros cada vez mais exigem.
Ferramentas como a VAAS não substituem o julgamento humano. Elas garantem que esse julgamento seja exercido com dados completos, processos padronizados e evidência documentada, que é o que separa o compliance de papel do compliance que funciona.
Perguntas frequentes
Due diligence é obrigatória por lei?
Depende do setor e do tipo de relacionamento. Para empresas sujeitas à regulação de Prevenção à Lavagem de Dinheiro e ao Financiamento do Terrorismo (PLD/FT) como fintechs, bancos, seguradoras, factorings, administradoras de consórcio e outras instituições reguladas pelo BACEN, CVM e SUSEP, a due diligence de clientes e parceiros é exigência normativa, não escolha.
Para empresas fora desse escopo regulado, a obrigação vem da Lei Anticorrupção (Lei 12.846/2013), que prevê responsabilidade objetiva da empresa por atos de corrupção praticados por terceiros em seu nome, o que torna a due diligence de fornecedores e representantes comerciais uma medida de proteção jurídica essencial.
Qual a diferença entre due diligence e KYC?
KYC (Know Your Customer) é uma modalidade específica de due diligence, voltada para a verificação de clientes em contextos regulados. Due diligence é o conceito mais amplo: abrange fornecedores, parceiros, alvos de aquisição, representantes comerciais — qualquer terceiro com quem a empresa estabelece relação de risco. Todo KYC é due diligence; nem toda due diligence é KYC.
Com que frequência a due diligence deve ser renovada?
A abordagem baseada em risco, padrão exigido pela regulação brasileira, determina que a periodicidade de revisão seja proporcional ao nível de risco do relacionamento. Parceiros de alto risco (PEPs, operações em jurisdições sensíveis, contratos de alto valor) devem ser reavaliados com maior frequência, podendo chegar a revisões anuais ou mediante eventos específicos (mudança societária, inclusão em lista restritiva, notícia adversa relevante).
Para relacionamentos de baixo risco, revisões a cada dois ou três anos podem ser adequadas desde que haja monitoramento contínuo automatizado cobrindo o intervalo.
O que acontece se a empresa não fizer due diligence?
As consequências variam conforme o setor e a infração. Em contextos regulados (PLD/FT), a ausência de due diligence pode resultar em multas administrativas aplicadas pelo BACEN, CVM ou COAF, além de responsabilização dos administradores. Sob a Lei Anticorrupção, a empresa pode ser responsabilizada por atos de corrupção praticados por terceiros com quem mantinha relação comercial sem verificação adequada, com sanções que incluem multas de até 20% do faturamento bruto anual e publicação extraordinária da decisão condenatória.
Além das sanções formais, há o risco reputacional: ser associada a um parceiro ou fornecedor envolvido em fraude ou corrupção tem custo difícil de quantificar e ainda mais difícil de reverter.
Due diligence e análise de crédito são a mesma coisa?
Não. Análise de crédito avalia capacidade de pagamento, é uma decisão financeira.
Due diligence avalia integridade, idoneidade e conformidade, é uma decisão de risco.
As duas podem coexistir num mesmo processo de onboarding, mas respondem a perguntas diferentes: a análise de crédito pergunta “esse cliente vai pagar?”; a due diligence pergunta “esse cliente representa um risco legal, regulatório ou reputacional para a minha operação?”.
Quer entender como a VAAS pode se integrar ao seu processo de due diligence?
