Contratar um fornecedor sem due diligence é como abrir uma conta corrente sem checar o CPF. Parece exagero até o dia em que a CGU bate na porta e pergunta quem você conhecia antes de assinar o contrato.
A Lei 12.846/2013, conhecida como Lei Anticorrupção, responsabiliza as empresas pelos atos de seus fornecedores, representantes e parceiros comerciais. O Decreto 11.129/2022 reforçou esse entendimento e vinculou a existência de um programa de compliance efetivo à possibilidade de redução de penalidades.
O que isso significa para o seu departamento de compliance? Que "fizemos uma pesquisa no Google" não é evidência de diligência. E que planilha compartilhada no Drive não é rastreabilidade.
A lei não cria uma lista de verificações obrigatórias. O que ela faz é mais exigente: ela cria responsabilidade objetiva para a pessoa jurídica. Isso significa que a empresa responde independentemente de culpa ou dolo, desde que o ato lesivo à administração pública tenha ocorrido no seu interesse ou benefício.
O Decreto 11.129/2022 vai além e estabelece que a existência de um programa de integridade estruturado pode reduzir em até 4% do faturamento bruto do último exercício a multa aplicável.
Na prática, o que os órgãos de controle querem ver é:
Se o seu processo de due diligence não gera essas evidências, ele não protege a empresa. Ele apenas dá a sensação de que algo foi feito.
O que vemos com mais frequência quando um novo cliente chega até a VAAS com o prazo de uma auditoria no pescoço são três padrões recorrentes:
1. Due diligence pontual, sem monitoramento. A empresa verifica o fornecedor na contratação e nunca mais. Seis meses depois, o mesmo fornecedor aparece em lista de sanções do OFAC ou tem um sócio indiciado. A empresa não sabe.
2. Processo descentralizado e não auditável. Cada comprador faz de um jeito. Um consulta no Google, outro pede o contrato social, um terceiro liga para o fornecedor e pergunta se "está tudo certo". Nenhum dos três gera evidência utilizável em auditoria.
3. Escopo insuficiente de verificação. Muitas empresas checam CNPJ e certidão de débitos federais. Ignoram beneficiários finais, vínculos com Pessoas Politicamente Expostas (PEP), processos trabalhistas por trabalho análogo à escravidão ou exposição em listas internacionais como OFAC, UN Sanctions e GAFI.
O resultado é um processo que existe no papel, mas não resiste a um dia de auditoria.
Este checklist está organizado por dimensão de risco. Cada fornecedor deve ser avaliado em
todos os sete blocos. A profundidade da verificação varia conforme a classificação de risco
(detalhada na próxima seção).
PEP (Pessoa Politicamente Exposta) é qualquer pessoa que exerce ou exerceu cargo, emprego ou função pública relevante nos últimos 5 anos, bem como seus parentes e colaboradores próximos.
Verificar:
Fornecedor com PEP na cadeia de controle não é automaticamente inelegível, mas exige classificação de risco elevado e aprovação por alçada superior.
Relatórios de sustentabilidade e certificações relevantes (quando aplicável).
Este bloco é especialmente crítico para empresas que reportam ESG a investidores ou exportam para mercados com exigências de rastreabilidade de cadeia.
Este é o bloco mais frequentemente ignorado e o que mais expõe a empresa.
O fornecedor pode entrar limpo e ser incluído em lista de sanções 3 meses depois. Um sócio pode assumir um cargo público. Uma autuação trabalhista pode indicar mudança de comportamento.
Monitoramento contínuo significa:
Nem todo fornecedor precisa de due diligence de alto esforço. O objetivo da classificação de risco é calibrar o nível de investigação com o nível de exposição da empresa.
| Critério de risco | Baixo | Médio | Alto |
| Valor do contrato | Até R$50 mil/ano | R$50k a R$500k/ano | Acima de R$500k/ano |
| Contato com agente público | Nenhum | Eventual | Frequente ou direto |
| Acesso a dados sensíveis | Nenhum | Limitado | Amplo |
| Operação em setor regulado | Não | Parcial | Sim |
| Histórico de irregularidades | Nenhum | Dúvida | Confirmado |
Fornecedores de risco alto devem passar por todos os 7 blocos do checklist, com aprovação por alçada definida em política interna. Fornecedores de risco baixo podem ser validados em processos simplificados, mas nunca sem verificação cadastral e listas restritivas.
Na prática, o que vemos nos clientes da VAAS é que 60% a 70% dos fornecedores podem ser aprovados automaticamente quando os critérios de risco estão bem configurados. O esforço manual fica concentrado onde ele realmente importa.
A CGU e o CADE não perguntam se você fez due diligence. Eles perguntam se você consegue provar. Uma due diligence auditável tem quatro características:
1. Trilha de evidências. Cada verificação tem registro de data, fonte consultada e resultado obtido. Não é suficiente dizer "verificamos no CEIS". É preciso ter o screenshot com timestamp ou a resposta da API com o resultado armazenado.
2. Critérios documentados. A política de compliance define quais critérios geram aprovação automática, quais exigem análise manual e quais são bloqueantes. Isso remove subjetividade e protege o analista que tomou a decisão.
3. Rastreabilidade de aprovação. Quem aprovou, com qual alçada, em qual data. Em operações de risco elevado, isso inclui aprovação de segunda alçada (gestor ou comitê).
4. Monitoramento pós-onboarding. A relação com o fornecedor não termina na contratação. Um sistema de compliance robusto reclassifica o risco quando o perfil do fornecedor muda.
A VAAS entrega esses quatro elementos em um único ambiente: o analista vê o resultado das verificações, o histórico de decisões e os alertas de monitoramento sem precisar sair da plataforma ou consolidar dados de múltiplas fontes. Empresas como uma grande companhia do setor de energia e a Mohawk, fabricante global de pisos e revestimentos com cadeia de suprimentos distribuída em múltiplos países, já escalonaram esse processo em cadeias de fornecedores de alto volume e alta complexidade regulatória.
KYS (Know Your Supplier) é o processo estruturado de verificação e monitoramento de fornecedores, parceiros e prestadores de serviços. Vai além da validação cadastral: inclui análise de integridade, exposição a sanções, risco ESG, PEPs na cadeia societária e monitoramento contínuo após a contratação. É o equivalente do KYC para pessoas jurídicas na cadeia de suprimentos.
Não existe um artigo único que imponha um checklist específico. O que existe é responsabilidade objetiva pela Lei 12.846/2013: a empresa responde pelos atos praticados por terceiros em seu interesse. O Decreto 11.129/2022 cria incentivos diretos para programas de compliance, incluindo due diligence de fornecedores, ao prever redução de até 4% nas multas para empresas com programas estruturados. Setores regulados (financeiro, energia, saúde) têm exigências adicionais.
A revisão periódica mínima recomendada é anual para fornecedores de risco baixo e semestral para risco médio e alto. Mas revisão periódica não substitui monitoramento contínuo: qualquer alteração de risco relevante (novo sócio, inclusão em lista de sanções, autuação trabalhista) deve gerar um alerta imediato, independente do ciclo de revisão.
KYS (Know Your Supplier) é o processo estruturado de verificação e monitoramento de fornecedores, parceiros e prestadores de serviços. Vai além da validação cadastral: inclui análise de integridade, exposição a sanções, risco ESG, PEPs na cadeia societária e monitoramento contínuo após a contratação. É o equivalente do KYC para pessoas jurídicas na cadeia de suprimentos.
Não existe um artigo único que imponha um checklist específico. O que existe é responsabilidade objetiva pela Lei 12.846/2013: a empresa responde pelos atos praticados por terceiros em seu interesse. O Decreto 11.129/2022 cria incentivos diretos para programas de compliance, incluindo due diligence de fornecedores, ao prever redução de até 4% nas multas para empresas com programas estruturados. Setores regulados (financeiro, energia, saúde) têm exigências adicionais.
A revisão periódica mínima recomendada é anual para fornecedores de risco baixo e semestral para risco médio e alto. Mas revisão periódica não substitui monitoramento contínuo: qualquer alteração de risco relevante (novo sócio, inclusão em lista de sanções, autuação trabalhista) deve gerar um alerta imediato, independente do ciclo de revisão.
Se você chegou até aqui, provavelmente já sabe a resposta. Processos manuais, verificações
pontuais e evidências espalhadas em planilhas não protegem a empresa quando o regulador pergunta.
A VAAS faz um diagnóstico gratuito do seu processo atual de KYS: identificamos os gaps de
cobertura, os riscos não mapeados e o que seria necessário para tornar sua due diligence
auditável e escalável.
Solicitar diagnóstico