Contratar um fornecedor sem due diligence é como abrir uma conta corrente sem checar o CPF. Parece exagero até o dia em que a CGU bate na porta e pergunta quem você conhecia antes de assinar o contrato.
A Lei 12.846/2013, conhecida como Lei Anticorrupção, responsabiliza as empresas pelos atos de seus fornecedores, representantes e parceiros comerciais. O Decreto 11.129/2022 reforçou esse entendimento e vinculou a existência de um programa de compliance efetivo à possibilidade de redução de penalidades.
O que isso significa para o seu departamento de compliance? Que “fizemos uma pesquisa no Google” não é evidência de diligência. E que planilha compartilhada no Drive não é rastreabilidade.
O que a Lei 12.846/2013 exige na prática
A lei não cria uma lista de verificações obrigatórias. O que ela faz é mais exigente: ela cria responsabilidade objetiva para a pessoa jurídica. Isso significa que a empresa responde independentemente de culpa ou dolo, desde que o ato lesivo à administração pública tenha ocorrido no seu interesse ou benefício.
O Decreto 11.129/2022 vai além e estabelece que a existência de um programa de integridade estruturado pode reduzir em até 4% do faturamento bruto do último exercício a multa aplicável.
Na prática, o que os órgãos de controle querem ver é:
- Evidência de que a empresa conhecia o perfil dos seus fornecedores antes de contratar.
- Processo documentado de avaliação, com critérios de risco definidos.
- Monitoramento contínuo, não apenas uma verificação no onboarding.
- Rastreabilidade: quem aprovou, com base em quê, quando.
Se o seu processo de due diligence não gera essas evidências, ele não protege a empresa. Ele apenas dá a sensação de que algo foi feito.
Por que a maioria das empresas ainda faz due diligence errado
O que vemos com mais frequência quando um novo cliente chega até a VAAS com o prazo de uma auditoria no pescoço são três padrões recorrentes:
1. Due diligence pontual, sem monitoramento. A empresa verifica o fornecedor na contratação e nunca mais. Seis meses depois, o mesmo fornecedor aparece em lista de sanções do OFAC ou tem um sócio indiciado. A empresa não sabe.
2. Processo descentralizado e não auditável. Cada comprador faz de um jeito. Um consulta no Google, outro pede o contrato social, um terceiro liga para o fornecedor e pergunta se “está tudo certo”. Nenhum dos três gera evidência utilizável em auditoria.
3. Escopo insuficiente de verificação. Muitas empresas checam CNPJ e certidão de débitos federais. Ignoram beneficiários finais, vínculos com Pessoas Politicamente Expostas (PEP), processos trabalhistas por trabalho análogo à escravidão ou exposição em listas internacionais como OFAC, UN Sanctions e GAFI.
O resultado é um processo que existe no papel, mas não resiste a um dia de auditoria.
O checklist de due diligence para fornecedores (7 dimensões)
Este checklist está organizado por dimensão de risco. Cada fornecedor deve ser avaliado em
todos os sete blocos. A profundidade da verificação varia conforme a classificação de risco
(detalhada na próxima seção).
1. Verificação cadastral e societária
- CNPJ ativo e regularidade cadastral na Receita Federal.
- Quadro societário completo, incluindo alterações recentes.
- Identificação de beneficiários finais (controle igual ou superior a 25%).
- Verificação de empresas coligadas e relacionadas.
- Comprovante de endereço e capacidade operacional (empresa de fachada?).
2. Histórico de sanções e listas restritivas
- CEIS (Cadastro de Empresas Inidôneas e Suspensas — CGU).
- CNEP (Cadastro Nacional de Empresas Punidas — CGU).
- OFAC SDN List (Tesouro dos EUA).
- UN Consolidated Sanctions List (ONU).
- GAFI/FATF países e territórios de risco.
- Listas de sanções da União Europeia e Reino Unido.
3. Identificação de PEPs na cadeia de controle
PEP (Pessoa Politicamente Exposta) é qualquer pessoa que exerce ou exerceu cargo, emprego ou função pública relevante nos últimos 5 anos, bem como seus parentes e colaboradores próximos.
Verificar:
- Sócios, diretores e procuradores na base de PEPs nacional.
- Vínculos familiares de primeiro grau com cargos públicos.
- PEPs estrangeiros para fornecedores com operações internacionais.
Fornecedor com PEP na cadeia de controle não é automaticamente inelegível, mas exige classificação de risco elevado e aprovação por alçada superior.
4. Processos judiciais e administrativos
- Ações trabalhistas (atenção especial para alto volume ou padrão de reclamações).
- Execuções fiscais e protestos.
- Processos administrativos em agências reguladoras setoriais.
- Histórico de infrações ambientais (IBAMA, estados).
- Condenações por improbidade administrativa.
5. Exposição ESG e trabalho análogo à escravidão
- Verificação na Lista Suja do Trabalho Escravo (MTE/Ministério do Trabalho).
- Avaliação de práticas ambientais declaradas vs. autuações registradas.
- Fornecedores de segundo nível em cadeias de suprimentos de risco (agronegócio, construção civil, confecção).
Relatórios de sustentabilidade e certificações relevantes (quando aplicável).
Este bloco é especialmente crítico para empresas que reportam ESG a investidores ou exportam para mercados com exigências de rastreabilidade de cadeia.
6. Avaliação de capacidade operacional e financeira
- Certidões negativas de débitos: Federal, Estadual, Municipal e FGTS.
- Verificação de falência e recuperação judicial.
- Capacidade de execução compatível com o escopo contratado.
- Referências comerciais de clientes anteriores (quando o risco justifica).
7. Monitoramento contínuo pós-contratação
Este é o bloco mais frequentemente ignorado e o que mais expõe a empresa.
O fornecedor pode entrar limpo e ser incluído em lista de sanções 3 meses depois. Um sócio pode assumir um cargo público. Uma autuação trabalhista pode indicar mudança de comportamento.
Monitoramento contínuo significa:
- Alertas automáticos de mudanças cadastrais.
- Reprocessamento periódico nas listas restritivas.
- Gatilhos de reclassificação quando o perfil do fornecedor muda.
Como classificar o risco de cada fornecedor
Nem todo fornecedor precisa de due diligence de alto esforço. O objetivo da classificação de risco é calibrar o nível de investigação com o nível de exposição da empresa.
| Critério de risco | Baixo | Médio | Alto |
| Valor do contrato | Até R$50 mil/ano | R$50k a R$500k/ano | Acima de R$500k/ano |
| Contato com agente público | Nenhum | Eventual | Frequente ou direto |
| Acesso a dados sensíveis | Nenhum | Limitado | Amplo |
| Operação em setor regulado | Não | Parcial | Sim |
| Histórico de irregularidades | Nenhum | Dúvida | Confirmado |
Fornecedores de risco alto devem passar por todos os 7 blocos do checklist, com aprovação por alçada definida em política interna. Fornecedores de risco baixo podem ser validados em processos simplificados, mas nunca sem verificação cadastral e listas restritivas.
Na prática, o que vemos nos clientes da VAAS é que 60% a 70% dos fornecedores podem ser aprovados automaticamente quando os critérios de risco estão bem configurados. O esforço manual fica concentrado onde ele realmente importa.
O que diferencia uma due diligence auditável de uma que não protege ninguém
A CGU e o CADE não perguntam se você fez due diligence. Eles perguntam se você consegue provar. Uma due diligence auditável tem quatro características:
1. Trilha de evidências. Cada verificação tem registro de data, fonte consultada e resultado obtido. Não é suficiente dizer “verificamos no CEIS”. É preciso ter o screenshot com timestamp ou a resposta da API com o resultado armazenado.
2. Critérios documentados. A política de compliance define quais critérios geram aprovação automática, quais exigem análise manual e quais são bloqueantes. Isso remove subjetividade e protege o analista que tomou a decisão.
3. Rastreabilidade de aprovação. Quem aprovou, com qual alçada, em qual data. Em operações de risco elevado, isso inclui aprovação de segunda alçada (gestor ou comitê).
4. Monitoramento pós-onboarding. A relação com o fornecedor não termina na contratação. Um sistema de compliance robusto reclassifica o risco quando o perfil do fornecedor muda.
A VAAS entrega esses quatro elementos em um único ambiente: o analista vê o resultado das verificações, o histórico de decisões e os alertas de monitoramento sem precisar sair da plataforma ou consolidar dados de múltiplas fontes. Empresas como uma grande companhia do setor de energia e a Mohawk, fabricante global de pisos e revestimentos com cadeia de suprimentos distribuída em múltiplos países, já escalonaram esse processo em cadeias de fornecedores de alto volume e alta complexidade regulatória.
Perguntas frequentes sobre due diligence de fornecedores
O que é KYS (Know Your Supplier)?
KYS (Know Your Supplier) é o processo estruturado de verificação e monitoramento de fornecedores, parceiros e prestadores de serviços. Vai além da validação cadastral: inclui análise de integridade, exposição a sanções, risco ESG, PEPs na cadeia societária e monitoramento contínuo após a contratação. É o equivalente do KYC para pessoas jurídicas na cadeia de suprimentos.
Due diligence de fornecedor é obrigatória por lei no Brasil?
Não existe um artigo único que imponha um checklist específico. O que existe é responsabilidade objetiva pela Lei 12.846/2013: a empresa responde pelos atos praticados por terceiros em seu interesse. O Decreto 11.129/2022 cria incentivos diretos para programas de compliance, incluindo due diligence de fornecedores, ao prever redução de até 4% nas multas para empresas com programas estruturados. Setores regulados (financeiro, energia, saúde) têm exigências adicionais.
Com que frequência devo revisar o cadastro de um fornecedor?
A revisão periódica mínima recomendada é anual para fornecedores de risco baixo e semestral para risco médio e alto. Mas revisão periódica não substitui monitoramento contínuo: qualquer alteração de risco relevante (novo sócio, inclusão em lista de sanções, autuação trabalhista) deve gerar um alerta imediato, independente do ciclo de revisão.
Sua due diligence de fornecedores resistiria a uma auditoria hoje?
Se você chegou até aqui, provavelmente já sabe a resposta. Processos manuais, verificações
pontuais e evidências espalhadas em planilhas não protegem a empresa quando o regulador pergunta.
A VAAS faz um diagnóstico gratuito do seu processo atual de KYS: identificamos os gaps de
cobertura, os riscos não mapeados e o que seria necessário para tornar sua due diligence
auditável e escalável.
