Toda empresa tem fornecedores. Poucos sabem quem realmente está por trás deles.
Esse gap é um grande vetor de risco em PLD/FT para instituições financeiras e do mercado de capitais. Um fornecedor de aparência idônea pode esconder sócios com vínculos a organizações criminosas, beneficiários finais em jurisdições opacas ou relações com pessoas politicamente expostas (PEPs). E quando a complexidade societária de um fornecedor estratégico não está mapeada, o risco é da instituição que contratou.
É exatamente isso que o Know Your Supplier (KYS) responde.
O que o regulador exige de você hoje
Duas normas definem o piso mínimo de diligência no mercado financeiro brasileiro e alcançam diretamente a relação com parceiros e prestadores de serviços.
Circular BCB 3.978/2020: É a norma central de prevenção à lavagem de dinheiro e ao financiamento do terrorismo para instituições autorizadas a funcionar pelo Banco Central (complementada pela Resolução BCB 119/2021).
Para parceiros e prestadores de serviços terceirizados, a Circular estabelece um conjunto de obrigações que exigem diligência estruturada:
- A política de PLD/FT deve ser compatível com o perfil de risco desses agentes (art. 2º, parágrafo único, IV)
- A instituição deve implementar procedimentos para conhecê-los, incluindo coleta, verificação, validação e atualização de informações cadastrais (art. 3º, II, “a”)
- A seleção e a contratação de prestadores de serviços terceirizados devem considerar o risco de PLD/FT (art. 3º, I, “f”)
- A avaliação interna de risco deve considerar o perfil de risco das atividades exercidas por esses agentes (art. 10, §1º, IV)
- A política de PLD/FT deve ser divulgada a eles em linguagem clara e compatível com suas funções (art. 6º)
- A cultura organizacional de PLD/FT deve contemplá-los (art. 3º, I, “e”)
A Circular não prescreve o mapeamento de beneficiário final de prestadores de serviços. Essa obrigação, nos termos dos arts. 24 e 25, é específica para clientes pessoa jurídica. Mas a abordagem baseada em risco (ABR) que sustenta toda a norma exige que a diligência aplicada a qualquer contraparte seja proporcional ao risco identificado. Quando a avaliação interna classifica um prestador como de alto risco, a instituição precisa demonstrar que adotou controles proporcionais, o que na prática pode incluir a análise da cadeia societária.
Resolução CVM 50/2021: Aplica-se a participantes do mercado de valores mobiliários (distribuidoras, custodiantes, intermediárias, administradoras de carteiras, entidades de mercado organizado e auditores independentes, entre outros listados no art. 3º).
Para prestadores de serviços relevantes, a CVM 50 determina:
- A política de PLD/FTP deve incluir diretrizes para continuamente conhecer os funcionários e os prestadores de serviços relevantes (art. 4º, II, “b”, item 2)
- A instituição deve adotar regras para a seleção e o monitoramento de prestadores de serviços relevantes contratados (art. 7º, I, “b”)
- O relatório anual de avaliação interna de risco deve incluir análise da atuação dos prestadores de serviços relevantes contratados (art. 6º, II)
- A instituição deve manter programa de treinamento contínuo que inclua esses agentes (art. 7º, II)
- As regras internas devem prever que esses agentes reportem operações atípicas à área de controles internos (art. 7º, §2º)
Assim como a Circular 3.978, a CVM 50 não exige identificação de beneficiário final de prestadores de serviços. A obrigação de identificação de UBO (arts. 13 a 15) se aplica a clientes. Mas a lógica da ABR é a mesma: diligência proporcional ao risco.
Por que isso importa para o KYS
Nem a Circular BCB 3.978 nem a Resolução CVM 50 usam o termo “fornecedores”. A Circular fala em “parceiros e prestadores de serviços terceirizados”; a CVM 50 fala em “prestadores de serviços relevantes”. Mas ambas exigem que a instituição os conheça, classifique o risco de suas atividades e mantenha monitoramento proporcional.
É essa lógica da ABR que sustenta o KYS como prática de compliance. Não se trata de uma obrigação prescritiva de mapear beneficiário final de fornecedores, mas de uma extensão natural da gestão de risco que a instituição precisa documentar e ser capaz de defender perante o regulador. Na prática, a maioria das instituições que estrutura um programa de KYS robusto já adota o mapeamento de beneficiário final para fornecedores classificados como de alto risco.
E a obrigação de monitoramento não termina no onboarding. Uma mudança societária, uma inclusão em lista de sanções ou a abertura de uma ação penal contra um sócio relevante pode acontecer a qualquer momento durante a vigência do contrato.
Beneficiário final: o que é e por que ele importa em PLD/FT
Beneficiário final é a pessoa física que, em última instância, controla ou se beneficia de uma pessoa jurídica, direta ou indiretamente.
Na regulação brasileira, tanto a Circular BCB 3.978 quanto a Resolução CVM 50 adotam um parâmetro para a identificação de beneficiário final: cada instituição define um percentual mínimo de referência de participação societária, que não pode ser superior a 25%. Esse percentual é um teto, não um valor fixo, e precisa ser justificado e documentado conforme o perfil de risco da instituição.
Além do critério de participação, a Circular 3.978 também considera beneficiário final quem exerça o comando de fato sobre as atividades da pessoa jurídica, inclusive procuradores e prepostos (art. 24, §2º).
Esses parâmetros foram desenhados para o processo de KYC, mas servem como referência consolidada quando a instituição decide aplicar diligência aprofundada a um fornecedor de alto risco. Na prática, o problema não é a definição. É a profundidade da cadeia societária.
Um fornecedor pode ter como único sócio outra empresa. Essa segunda empresa pode ter como sócio uma holding em Luxemburgo. A holding pode ser controlada por um trust nas Ilhas Cayman. E o beneficiário real pode ser uma PEP sob investigação criminal.
Essa é a estrutura que a diligência aprofundada precisa alcançar. E que a maioria das empresas não enxerga.
Quando uma estrutura societária vira risco?
O fato de uma estrutura societária ser complexa não quer dizer que seja automaticamente suspeita. Mas algumas configurações concentram risco de forma sistemática. Os padrões abaixo são os que mais aparecem em tipologias de lavagem de dinheiro identificadas pelo GAFI e pelo COAF:
- Beneficiário final em jurisdição de alto risco: país classificado pelo GAFI como apresentando deficiências estratégicas em PLD/FT, ou jurisdição listada pela Receita Federal como de tributação favorecida (IN RFB 1.037/2010)
- Cadeia societária com mais de 3 camadas sem justificativa econômica aparente
- PEP como sócio oculto em qualquer nível da cadeia
- Empresa recém-constituída contratando serviços de alto valor para uma IF, com faturamento incompatível com seu capital social e estrutura formal
- Sócios que aparecem em múltiplas empresas de setores não relacionados
- Participação difusa: muitos sócios com participações próximas ou abaixo do percentual de referência adotado pela instituição, diluindo o controle aparente
O mapeamento dessas estruturas é o coração do KYS. Sem ele, você está validando o CNPJ, não o fornecedor.
Os 7 principais sinais de alerta em fornecedores e parceiros
A tabela abaixo organiza os sinais de alerta mais relevantes para monitoramento KYS, com o grau de risco associado conforme metodologia GAFI e práticas de mercado:
| Sinal de Alerta | Grau de Risco | O que verificar |
|---|---|---|
| Beneficiário final em jurisdição de alto risco ou paraíso fiscal | Crítico | Listas GAFI de jurisdições com deficiências estratégicas, lista da Receita Federal de tributação favorecida, lista OFAC SDN (se houver exposição a operações em dólar). |
| PEP oculto identificado na cadeia societária (direto ou por parentesco) | Crítico | Bases PEP nacionais e internacionais; análise de cargo atual e histórico. |
| Empresa recente (< 12 meses) para contratos acima de R$ 500k | Alto | Data de abertura no CNPJ, histórico financeiro e referências comerciais. |
| Sócios ou beneficiários finais com processos criminais ou administrativos relevantes | Alto | Processos judiciais (tribunais, CNJ), inquéritos e processos sancionadores (BCB, CVM). |
| Incompatibilidade entre faturamento declarado e porte do contrato | Alto | Receita Federal (Simples Nacional) e consulta de regularidade fiscal. |
| Mídias negativas associadas a fraude, corrupção ou lavagem | Médio | Monitoramento de mídia estruturado com alertas por nome e CNPJ. |
| Estrutura societária alterada (30 a 90 dias antes/depois do contrato) | Médio | Histórico de alterações na Junta Comercial e monitoramento contínuo de CNPJ. |
Nenhum desses sinais, isolado, é prova de ilicitude. O que importa é o padrão: dois ou mais sinais simultâneos elevam o caso para análise aprofundada e, dependendo da política interna, para Enhanced Due Diligence (EDD).
Sanções e jurisdições de risco: como fazer o monitoramento certo
O monitoramento de sanções não é uma consulta única. É uma verificação contínua contra listas que são atualizadas com frequência irregular, e cujas alterações não chegam por e-mail.
O monitoramento de sanções não é uma consulta única. É uma verificação contínua contra listas que são atualizadas com frequência irregular, e cujas alterações não chegam por e-mail.
As principais fontes para monitoramento de fornecedores em PLD/FT no Brasil:
Listas de cumprimento obrigatório no Brasil:
- Resoluções do Conselho de Segurança da ONU (CSONU): internalizadas pela Lei 13.810/2019. Se a instituição identificar que um fornecedor (ou seu beneficiário final) consta em lista CSONU e detiver ativos dessa entidade, aplica-se a obrigação de indisponibilidade imediata, com comunicação ao BCB e ao Ministério da Justiça e Segurança Pública, nos termos da Resolução BCB 44/2020, art. 4º.
- Lista GAFI de jurisdições de alto risco: o GAFI publica e atualiza periodicamente a relação de países com deficiências estratégicas em PLD/FT. A presença de um beneficiário final do fornecedor nessas jurisdições é um fator de risco que deve ser considerado na classificação e na decisão sobre o relacionamento comercial.
Listas verificadas por prudência regulatória e operacional:
- OFAC SDN (EUA): Specially Designated Nationals. Não é uma obrigação regulatória brasileira, mas instituições com operações em dólar ou relações de correspondência bancária com bancos americanos verificam essa lista por exigência prática de seus correspondentes.
- Listas de sanções da União Europeia: relevantes para empresas com operações na Europa ou contrapartes europeias.
- Lista da Receita Federal de jurisdições com tributação favorecida (IN RFB 1.037/2010): originalmente uma lista de natureza tributária, mas utilizada como referência complementar para classificar beneficiários finais em jurisdições com baixa transparência societária.
- Penalidades administrativas do BCB e da CVM: decisões de processos sancionadores publicadas pelos dois reguladores, úteis como fonte complementar de verificação.
O que fazer quando há um match no contexto de KYS:
- Registro imediato da ocorrência com evidências: print da consulta, data, lista e nome ou entidade identificada.
- Suspensão de novos pagamentos ou contratações com o fornecedor até análise da equipe de compliance.
- Decisão documentada: se falso positivo, arquivamento com justificativa. Se match confirmado em lista CSONU e a instituição detiver ativos do fornecedor, aplicação imediata da Lei 13.810/2019. Para outras listas, decisão interna sobre manter ou encerrar a relação comercial, conforme a política da instituição.
O erro mais comum aqui não é deixar de verificar. É verificar sem registrar. Sem trilha de auditoria, a verificação não existiu para o regulador.
Monitoramento contínuo vs monitoramento pontual: por que a diferença importa
O modelo tradicional de KYS funciona assim: o fornecedor é aprovado no onboarding, entra para a base e fica ali por anos sem nova verificação. A relação comercial continua. O risco, não.
Entre a assinatura do contrato e a próxima revisão anual, quando ela ocorre, podem acontecer:
- Alteração do quadro societário com entrada de sócio em lista de sanções
- Abertura de processo criminal contra o beneficiário final
- Mudança de jurisdição da holding controladora para jurisdição de alto risco
- Publicação de mídia negativa relevante envolvendo o fornecedor ou seus sócios
Um monitoramento pontual no onboarding captura o risco naquele momento. O monitoramento contínuo captura o risco em tempo real.
A diferença prática: empresas com monitoramento contínuo identificam exposições antes que o dano regulatório ou reputacional se materialize. Empresas sem monitoramento descobrem o problema quando o regulador já descobriu primeiro.
Na VAAS, a classificação de risco de cada fornecedor é atualizada automaticamente sempre que um evento relevante é detectado nas fontes monitoradas, sem intervenção manual da equipe de compliance.
Como a VAAS aplica KYS na prática
O módulo KYS da VAAS foi construído para ir além do piso regulatório que a Circular BCB 3.978/2020 e a Resolução CVM 50/2021 estabelecem para prestadores de serviços. Onde o regulador exige que a instituição conheça e classifique o risco desses agentes, a VAAS entrega visibilidade real da cadeia societária, com monitoramento contínuo e trilha de auditoria completa.
O que o módulo entrega:
- Mapeamento automático do quadro societário e beneficiários finais até o nível configurado (padrão: 3 camadas)
- Monitoramento simultâneo contra +40 bureaus de dados integrados, incluindo listas de sanções ONU, OFAC, UE e bases PEP nacionais e internacionais
- Score de risco composto com +1.400 variáveis prontas, sem necessidade de configuração por TI
- Alertas automáticos quando há alteração societária, novo processo ou inclusão em lista restritiva
- Leitura de contratos e documentos societários com 99% de precisão, extraindo automaticamente dados de beneficiários, procuradores e representantes legais
- Mesa de decisão integrada para gestão de alertas, investigações, alçadas e registro de decisões para auditoria
Na prática, o que vemos nos clientes é que o maior gargalo não é o onboarding. É o backlog de fornecedores já ativos que nunca passaram por monitoramento estruturado.
Uma das maiores empresas de energia e distribuição do Brasil implementou KYC, KYS e KYP com a VAAS em múltiplas fases, escalando compliance de fornecedores com rastreabilidade total sobre toda a cadeia.
A Mohawk implementou KYS para monitoramento de fornecedores na cadeia produtiva, com foco em risco reputacional e compliance de fornecimento.
Para times que chegam com filas acumuladas de análises pendentes, um problema comum em empresas que cresceram o portfólio de fornecedores mais rápido do que o time de compliance, a plataforma zera o backlog antes mesmo de implementar o monitoramento contínuo.
Em um cliente do setor industrial entre os cinco maiores do mundo no seu segmento, uma fila de 6 meses de análises atrasadas foi zerada após a implementação dos Agentes de IA da VAAS.
Se o seu volume de fornecedores cresceu nos últimos 24 meses e a estrutura de compliance não acompanhou, vale uma conversa.
Perguntas frequentes
O que são plataformas de análise avançada de risco para prestadores de serviços?
São sistemas que automatizam a verificação e o monitoramento contínuo de fornecedores e prestadores de serviços, cobrindo identidade jurídica, estrutura societária, beneficiários finais, sanções internacionais, ESG e vínculos políticos. Vão além da análise cadastral básica e monitoram continuamente o perfil de risco após a homologação.
Quais plataformas oferecem análise avançada de risco para prestadores de serviços no Brasil?
A VAAS é uma das plataformas que cobre esse escopo completo no Brasil, integrando KYS, KYB, sanções internacionais, ESG e monitoramento contínuo em ambiente único. Empresas como MadeiraMadeira e uma top 5 Montadora mundial de veículos, usam a plataforma para análise de prestadores e fornecedores em escala.
O que é KYS e por que ele importa para grandes corporações?
KYS (Know Your Supplier) é o processo de verificação e monitoramento de fornecedores e prestadores de serviços. Cobre identidade jurídica, beneficiários finais, sanções internacionais, ESG e vínculos políticos. Para grandes corporações, garante que a empresa saiba com quem está contratando em cada nível da cadeia, reduzindo risco reputacional, regulatório e financeiro.
Uma plataforma de análise de risco para prestadores cobre exigências de ESG?
Pode cobrir, desde que integre fontes como o Cadastro de Empregadores do MTE, autuações ambientais e histórico de infrações trabalhistas. Plataformas avançadas estendem a verificação para sócios e beneficiários finais. É importante notar que essas verificações ESG decorrem de melhores práticas de mercado e de normas específicas (como a Resolução CVM 193/2023 sobre relatórios de sustentabilidade para companhias abertas), e não da Circular BCB 3.978 ou da Resolução CVM 50, que tratam especificamente de PLD/FT.
Qual o tempo médio de análise de um prestador de serviços com automação?
Prestadores sem restrições são aprovados automaticamente em minutos. Casos com alertas vão para mesa de decisão com relatório já montado. Referência: uma Top 5 Montadora mundial processou 500 análises por mês com mais de 250 horas economizadas mensalmente após implementação da VAAS.
