Você sabe mesmo quem está contratando?
Parece uma pergunta óbvia. Mas a resposta, na prática, surpreende muitos profissionais de compliance, gestores e CEOs que assumem riscos significativos sem perceber, apenas por não verificar adequadamente quem está do outro lado do contrato.
No nosso primeiro Bootcamp de Due Diligence de Fornecedores deste ano, um exemplo ilustrou perfeitamente esse ponto, quem está antenado nas redes sociais deve ter visto o caso da apresentadora e influenciadora Camila Fremder que aceitou um convite para participar de um podcast baseada apenas no nome, sem verificar quem era o host, e foi parar num programa completamente diferente do que esperava. Uma situação constrangedora que, no mundo corporativo, pode custar muito mais do que embaraço público.
Esse é exatamente o risco que a falta de due diligence representa: a sensação de que tudo está em ordem, até que não está mais.
O que é Due Diligence e por que o termo "diligência" importa
Due diligence, ou diligência em português, significa literalmente cuidado. No contexto de compliance, representa o conjunto de verificações que uma empresa realiza antes de estabelecer qualquer relação com terceiros: fornecedores, clientes, parceiros comerciais, colaboradores ou sócios.
Chamamos de cuidado mas na verdade é proteção.
Quando sua empresa contrata um fornecedor que comete irregularidades durante a prestação de serviços, a responsabilidade pode recair sobre você, mesmo que não tenha participado da infração. A menos, claro, que você consiga demonstrar que realizou todas as verificações possíveis e que foi, comprovadamente, enganado mesmo diante de todos os controles implementados.
KYC, KYS, KYE e KYP: entendendo os tipos de verificação
No universo do compliance, a due diligence se divide em diferentes modalidades, cada uma focada em um tipo de relacionamento:
KYC (Know Your Customer) é a verificação de clientes. Antes de aceitar alguém como cliente, especialmente em setores financeiros, é necessário entender o perfil de risco dessa pessoa, verificar se ela é uma Pessoa Politicamente Exposta (PEP) e avaliar eventuais restrições.
KYS (Know Your Supplier) é o foco principal quando falamos de cadeia de fornecimento. Significa verificar se o fornecedor é idôneo, se sua cadeia produtiva está dentro dos padrões legais e éticos, e se não há envolvimento com situações de trabalho análogo à escravidão, irregularidades ambientais ou outros riscos que contaminem sua empresa.
KYE (Know Your Employee) é a verificação de colaboradores. É um tema mais sensível, com limitações legais sobre o que pode ser verificado, mas há setores em que ela é obrigatória. Desde 2024, por exemplo, todas as escolas públicas e privadas são obrigadas a exigir certidões de antecedentes criminais de funcionários que terão contato com menores de idade.
KYP (Know Your Partner) vai além dos fornecedores e abrange distribuidores, representantes, parceiros comerciais e, em alguns casos, sócios e investidores. É comum que o termo seja usado de forma ampla para qualquer parceria estratégica.
O que verificar no KYS: um checklist essencial
A análise de fornecedores vai muito além de checar o CNPJ no site da Receita Federal. Ela exige um conjunto estruturado de verificações que, quando feitas manualmente, demandam tempo, múltiplas fontes e atenção constante.
Cadastro e beneficiário final
O ponto de partida é garantir que você está contratando exatamente quem pensa estar contratando. O nome empresarial pode ser repetido de junta comercial para junta comercial, em diferentes estados. Identificar o beneficiário final, ou seja, quem realmente controla aquela empresa, é essencial para evitar contratar uma empresa de fachada ou uma estrutura de “laranjas”.
Sinais de alerta incluem vários CNPJs registrados no mesmo endereço residencial sem justificativa plausível, sequências de abertura e fechamento de empresas com a mesma atividade, e capital social incompatível com o faturamento declarado.
Listas restritivas e sanções
Existem dois tipos de listas que você precisa consultar. As listas de risco, como a lista suja do Ministério do Trabalho e Emprego, que indica empresas com histórico de trabalho análogo à escravidão, e as listas de sanções internacionais, que proíbem operações com determinadas empresas ou países. Durante a guerra na Ucrânia, por exemplo, diversas operações com empresas russas foram bloqueadas por sanções internacionais, independentemente da atividade específica da empresa.
Saúde financeira e compatibilidade de porte
Uma empresa com faturamento estimado próximo de 1 bilhão de reais, com menos de um ano de existência, capital social baixo e endereço em área residencial levanta alertas imediatos. Esse tipo de inconsistência pode indicar tanto risco de não cumprimento contratual quanto estruturas fraudulentas.
Certidões negativas, protestos, dívidas ativas e regularidade junto ao FGTS e ao INSS são informações que compõem esse quadro financeiro.
Situação trabalhista e previdenciária
Como sua empresa responde solidariamente pelos atos dos fornecedores contratados em seu nome, verificar como eles tratam seus próprios colaboradores é tanto uma questão ética quanto uma proteção jurídica. Ações no TRT, regularidade de pagamento do FGTS e a ausência de registros na lista suja do Ministério do Trabalho são indicadores fundamentais.
Validação reputacional e mídia negativa
Uma empresa pode estar em dia com todas as obrigações legais e ainda assim representar um risco reputacional relevante. Uma operação policial, mesmo que encerrada sem condenação, ou um inquérito arquivado, podem gerar mídia negativa suficiente para impactar a imagem da sua empresa por associação.
Conformidade regulatória e ambiental
Licenças, alvarás, conformidade setorial e histórico ambiental compõem a análise regulatória. Para empresas com obrigações ESG, esse critério tem peso ainda maior: reportar índices ambientais, sociais e de governança exige que toda a cadeia de fornecimento esteja dentro dos padrões exigidos.
Abordagem baseada em risco: nem todo fornecedor exige o mesmo nível de verificação
Um princípio fundamental da due diligence eficiente é que não existe uma abordagem única para todos os fornecedores. O nível de verificação deve ser proporcional ao risco que aquela relação representa para a sua empresa.
Um fornecedor de materiais de escritório para um banco não carrega o mesmo peso de risco que um parceiro comercial com acesso a dados sensíveis ou que representa sua empresa perante órgãos reguladores. Da mesma forma, uma empresa com capital aberto na bolsa que precisa reportar índices ESG vai tratar um fornecedor com histórico ambiental comprometido de forma muito mais criteriosa do que uma empresa que não tem esse tipo de obrigação.
Essa calibragem é o que se chama de Risk-Based Approach (RBA), e ela é o que torna o compliance sustentável, especialmente em empresas com carteiras extensas de fornecedores.
Conflito de interesses e empresas de fachada: os riscos que passam despercebidos
Dois cenários que frequentemente escapam das análises convencionais merecem atenção especial.
O primeiro é o conflito de interesses. Quando o responsável por compras de uma empresa começa a indicar fornecedores que, após uma análise mais cuidadosa, revelam ser de propriedade de familiares ou cônjuges, a questão não é apenas ética. É financeira. Sua empresa está pagando o melhor valor pelo melhor fornecedor disponível, ou está sendo direcionada por um interesse pessoal?
O segundo é a estrutura de laranjas. Um exemplo prático: uma empresa começa a crescer e, ao se aproximar de um porte que implicaria em maior carga tributária, abre uma segunda pessoa jurídica em nome do cônjuge, depois uma terceira em nome de um filho. Cada mudança de CNPJ parece plausível isoladamente, mas o conjunto revela uma estrutura que levanta questões sérias sobre a governança desse fornecedor e os riscos que ele traz para quem o contrata.
O que a legislação diz: compliance não é opcional
Muitas empresas ainda acreditam que a verificação de fornecedores é uma prática restrita a empresas reguladas. Não é.
A Lei Anticorrupção (Lei 12.846/2013) estabelece que as empresas respondem objetivamente pelos atos de seus fornecedores praticados em seu interesse, mesmo sem culpa direta. Isso significa que, se um fornecedor pagar propina a um fiscal durante a execução de um contrato com sua empresa, e você não conseguir demonstrar que implementou controles e realizou verificações, a responsabilidade é compartilhada.
Além disso, setores regulados têm obrigações específicas. A circular do Banco Central, por exemplo, exige que todas as instituições financeiras realizem análise de fornecedores com base em risco. Mas mesmo fora desses setores, a tendência regulatória no Brasil e no mundo é de ampliar essas exigências.
Demonstrar que você fez a due diligence, que utilizou documentos verificados em fontes confiáveis e que manteve registros auditáveis não é apenas burocracia. É o que separa uma empresa protegida de uma empresa exposta.
Casos reais: quando o fornecedor vira manchete e leva seu nome junto
A teoria se torna concreta quando você observa casos públicos recentes.
Fornecedores da Lollapalooza e do Rock in Rio foram incluídos na lista suja do Ministério do Trabalho por irregularidades na montagem de estruturas e operação de bares. Empresas contratantes precisaram lidar com as consequências reputacionais dessa associação.
Mais recentemente, um armazém ligado a operações de distribuição de cosméticos da Wepink foi interditado pela vigilância sanitária. A declaração pública foi de que aquela empresa não tinha relação com a marca principal. Mas quando a análise de beneficiários finais é feita corretamente, as conexões societárias emergem: sócios em comum entre a empresa “sem relação” e a marca principal aparecem com clareza.
Essa é exatamente a ofuscação de beneficiários finais que a due diligence foi desenvolvida para revelar.
Análise manual vs. análise automatizada: a diferença na prática
Durante o bootcamp, os participantes foram desafiados a realizar uma due diligence manual de um CNPJ em 10 minutos, divididos em grupos. O resultado foi unânime: caótico, incompleto e frustrante.
Consultar a junta comercial, identificar os administradores, verificar processos nos tribunais de cada estado, cruzar informações com a lista suja do Ministério do Trabalho, buscar mídia negativa e analisar o grupo econômico do fornecedor são etapas que, feitas manualmente, podem consumir horas, ou até dias, dependendo da complexidade do caso.
O mesmo CNPJ analisado na plataforma VAAS foi processado em 37 segundos, consolidando dados de múltiplos birôs, identificando beneficiários finais com processos criminais no polo passivo, detectando inconsistências de faturamento em relação ao porte e ao tempo de existência da empresa, e gerando um resumo com indicação de risco, rastreável e auditável.
A diferença não é apenas de velocidade. É de profundidade, consistência e capacidade de demonstrar, perante um auditor ou num processo judicial, que o processo de verificação foi conduzido de forma estruturada e documentada.
O que torna uma plataforma de due diligence realmente útil para o compliance
Nem toda ferramenta de verificação de fornecedores entrega o mesmo valor. Alguns pontos fazem diferença real no dia a dia dos times de compliance:
Integração de múltiplas fontes. Uma plataforma robusta não depende de um único birô de dados. A VAAS, por exemplo, integra mais de 40 fontes, incluindo Serasa, Neoway, BigDataCorp e APIs públicas, permitindo que o cliente escolha os fornecedores de dados que melhor atendem seu perfil de risco ou que já fazem parte da sua estrutura contratual.
Personalização do workflow de risco. Cada empresa tem um perfil de risco diferente. A capacidade de ajustar os critérios de aprovação e reprovação, com registro em log de todas as alterações, garante que a metodologia seja adaptável sem perder rastreabilidade.
Monitoramento contínuo. Um fornecedor aprovado hoje pode ter uma situação completamente diferente em seis meses. A possibilidade de programar reanálises automáticas de acordo com o nível de risco de cada fornecedor transforma a due diligence de um evento pontual em um processo contínuo.
Log auditável. Em caso de auditoria, processo judicial ou procedimento administrativo, ter o registro completo de quando cada análise foi feita, quais fontes foram consultadas e quais regras de risco foram aplicadas é o que protege a empresa e demonstra diligência efetiva.
3 lições para levar do Bootcamp
A validação de fornecedores deixou de ser uma boa prática para se tornar uma obrigação legal e um pilar de proteção reputacional. Três pontos resumem o essencial:
Verificar é obrigatório. A legislação brasileira, encabeçada pela Lei Anticorrupção, responsabiliza empresas pelos atos de seus fornecedores. Não fazer a due diligence não é uma opção segura, é uma exposição calculada.
Fontes manuais não escalam. É possível fazer compliance com análise manual, mas não é sustentável em carteiras de fornecedores de médio e grande porte. O tempo investido em análises manuais pode criar janelas de risco entre uma verificação e outra.
Automação inteligente garante velocidade e rastreabilidade. O objetivo não é retirar o poder de decisão dos profissionais de compliance. É entregar para eles informação consolidada, confiável e auditável, para que o tempo dos analistas seja investido em análise crítica, não em coleta de dados.
Pronto para ver como funciona na prática?
Se o bootcamp mostrou que a análise manual não escala, a próxima etapa é simples: ver a VAAS em ação com os dados da sua empresa.
Agende uma demonstração personalizada com nosso time e descubra como sua equipe de compliance pode passar de análises que levam dias para decisões seguras em segundos, sem abrir mão do controle e da profundidade que o cargo exige.
Perguntas frequentes sobre PLD/FT
Toda empresa é obrigada a fazer due diligence de fornecedores, ou apenas as reguladas?
A obrigação legal existe para além dos mercados regulados. A Lei Anticorrupção estabelece responsabilidade objetiva das empresas pelos atos de fornecedores praticados em seu interesse, independentemente de culpa. Isso significa que qualquer empresa, de qualquer setor, está exposta a esse risco caso não consiga demonstrar que realizou verificações adequadas antes e durante a relação contratual.
O que acontece se um fornecedor entra na lista suja do Ministério do Trabalho após a contratação?
A due diligence não é um evento único. O monitoramento contínuo é justamente o que protege sua empresa nessa situação. Estar ciente da mudança de status de um fornecedor permite agir com rapidez, seja reavaliando o contrato, seja documentando as medidas tomadas, o que é fundamental para demonstrar que a empresa não foi omissa.
Como a VAAS ajuda empresas que já têm contrato com birôs de dados como Serasa
A plataforma VAAS foi desenvolvida para ser agnóstica em relação às fontes de dados. Se sua empresa já possui contrato ativo com um birô específico, é possível integrar a chave de API desse fornecedor diretamente na plataforma, utilizando sua assinatura existente combinada com as demais fontes e a inteligência de análise da VAAS, sem precisar quebrar contratos vigentes.
Como demonstrar para um auditor que a empresa realizou due diligence adequada?
A VAAS mantém um log completo e auditável de todas as análises realizadas, incluindo data de execução, fontes consultadas, regras de risco aplicadas e histórico de alterações no workflow. Esse registro é o que viabiliza a demonstração de diligência perante auditores, em processos judiciais ou em procedimentos administrativos.
