Toda empresa tem fornecedores. Poucos sabem quem realmente está por trás deles.
Esse gap é um grande vetor de risco em PLD/FT para instituições financeiras e do mercado de capitais. Um fornecedor de aparência idônea pode esconder sócios com vínculos a organizações criminosas, beneficiários finais em jurisdições opacas ou relações com pessoas politicamente expostas (PEPs). E quando a complexidade societária de um fornecedor estratégico não está mapeada, o risco é da instituição que contratou.
É exatamente isso que o Know Your Supplier (KYS) responde.
Duas normas definem o piso mínimo de diligência no mercado financeiro brasileiro e alcançam diretamente a relação com parceiros e prestadores de serviços.
Circular BCB 3.978/2020: É a norma central de prevenção à lavagem de dinheiro e ao financiamento do terrorismo para instituições autorizadas a funcionar pelo Banco Central (complementada pela Resolução BCB 119/2021).
Para parceiros e prestadores de serviços terceirizados, a Circular estabelece um conjunto de obrigações que exigem diligência estruturada:
A Circular não prescreve o mapeamento de beneficiário final de prestadores de serviços. Essa obrigação, nos termos dos arts. 24 e 25, é específica para clientes pessoa jurídica. Mas a abordagem baseada em risco (ABR) que sustenta toda a norma exige que a diligência aplicada a qualquer contraparte seja proporcional ao risco identificado. Quando a avaliação interna classifica um prestador como de alto risco, a instituição precisa demonstrar que adotou controles proporcionais, o que na prática pode incluir a análise da cadeia societária.
Resolução CVM 50/2021: Aplica-se a participantes do mercado de valores mobiliários (distribuidoras, custodiantes, intermediárias, administradoras de carteiras, entidades de mercado organizado e auditores independentes, entre outros listados no art. 3º).
Para prestadores de serviços relevantes, a CVM 50 determina:
Assim como a Circular 3.978, a CVM 50 não exige identificação de beneficiário final de prestadores de serviços. A obrigação de identificação de UBO (arts. 13 a 15) se aplica a clientes. Mas a lógica da ABR é a mesma: diligência proporcional ao risco.
Nem a Circular BCB 3.978 nem a Resolução CVM 50 usam o termo "fornecedores". A Circular fala em "parceiros e prestadores de serviços terceirizados"; a CVM 50 fala em "prestadores de serviços relevantes". Mas ambas exigem que a instituição os conheça, classifique o risco de suas atividades e mantenha monitoramento proporcional.
É essa lógica da ABR que sustenta o KYS como prática de compliance. Não se trata de uma obrigação prescritiva de mapear beneficiário final de fornecedores, mas de uma extensão natural da gestão de risco que a instituição precisa documentar e ser capaz de defender perante o regulador. Na prática, a maioria das instituições que estrutura um programa de KYS robusto já adota o mapeamento de beneficiário final para fornecedores classificados como de alto risco.
E a obrigação de monitoramento não termina no onboarding. Uma mudança societária, uma inclusão em lista de sanções ou a abertura de uma ação penal contra um sócio relevante pode acontecer a qualquer momento durante a vigência do contrato.
Beneficiário final é a pessoa física que, em última instância, controla ou se beneficia de uma pessoa jurídica, direta ou indiretamente.
Na regulação brasileira, tanto a Circular BCB 3.978 quanto a Resolução CVM 50 adotam um parâmetro para a identificação de beneficiário final: cada instituição define um percentual mínimo de referência de participação societária, que não pode ser superior a 25%. Esse percentual é um teto, não um valor fixo, e precisa ser justificado e documentado conforme o perfil de risco da instituição.
Além do critério de participação, a Circular 3.978 também considera beneficiário final quem exerça o comando de fato sobre as atividades da pessoa jurídica, inclusive procuradores e prepostos (art. 24, §2º).
Esses parâmetros foram desenhados para o processo de KYC, mas servem como referência consolidada quando a instituição decide aplicar diligência aprofundada a um fornecedor de alto risco. Na prática, o problema não é a definição. É a profundidade da cadeia societária.
Um fornecedor pode ter como único sócio outra empresa. Essa segunda empresa pode ter como sócio uma holding em Luxemburgo. A holding pode ser controlada por um trust nas Ilhas Cayman. E o beneficiário real pode ser uma PEP sob investigação criminal.
Essa é a estrutura que a diligência aprofundada precisa alcançar. E que a maioria das empresas não enxerga.
O fato de uma estrutura societária ser complexa não quer dizer que seja automaticamente suspeita. Mas algumas configurações concentram risco de forma sistemática. Os padrões abaixo são os que mais aparecem em tipologias de lavagem de dinheiro identificadas pelo GAFI e pelo COAF:
O mapeamento dessas estruturas é o coração do KYS. Sem ele, você está validando o CNPJ, não o fornecedor.
A tabela abaixo organiza os sinais de alerta mais relevantes para monitoramento KYS, com o grau de risco associado conforme metodologia GAFI e práticas de mercado:
| Sinal de Alerta | Grau de Risco | O que verificar |
|---|---|---|
| Beneficiário final em jurisdição de alto risco ou paraíso fiscal | Crítico | Listas GAFI de jurisdições com deficiências estratégicas, lista da Receita Federal de tributação favorecida, lista OFAC SDN (se houver exposição a operações em dólar). |
| PEP oculto identificado na cadeia societária (direto ou por parentesco) | Crítico | Bases PEP nacionais e internacionais; análise de cargo atual e histórico. |
| Empresa recente (< 12 meses) para contratos acima de R$ 500k | Alto | Data de abertura no CNPJ, histórico financeiro e referências comerciais. |
| Sócios ou beneficiários finais com processos criminais ou administrativos relevantes | Alto | Processos judiciais (tribunais, CNJ), inquéritos e processos sancionadores (BCB, CVM). |
| Incompatibilidade entre faturamento declarado e porte do contrato | Alto | Receita Federal (Simples Nacional) e consulta de regularidade fiscal. |
| Mídias negativas associadas a fraude, corrupção ou lavagem | Médio | Monitoramento de mídia estruturado com alertas por nome e CNPJ. |
| Estrutura societária alterada (30 a 90 dias antes/depois do contrato) | Médio | Histórico de alterações na Junta Comercial e monitoramento contínuo de CNPJ. |
Nenhum desses sinais, isolado, é prova de ilicitude. O que importa é o padrão: dois ou mais sinais simultâneos elevam o caso para análise aprofundada e, dependendo da política interna, para Enhanced Due Diligence (EDD).
O monitoramento de sanções não é uma consulta única. É uma verificação contínua contra listas que são atualizadas com frequência irregular, e cujas alterações não chegam por e-mail.
O monitoramento de sanções não é uma consulta única. É uma verificação contínua contra listas que são atualizadas com frequência irregular, e cujas alterações não chegam por e-mail.
As principais fontes para monitoramento de fornecedores em PLD/FT no Brasil:
Listas de cumprimento obrigatório no Brasil:
Listas verificadas por prudência regulatória e operacional:
O que fazer quando há um match no contexto de KYS:
O erro mais comum aqui não é deixar de verificar. É verificar sem registrar. Sem trilha de auditoria, a verificação não existiu para o regulador.
O modelo tradicional de KYS funciona assim: o fornecedor é aprovado no onboarding, entra para a base e fica ali por anos sem nova verificação. A relação comercial continua. O risco, não.
Entre a assinatura do contrato e a próxima revisão anual, quando ela ocorre, podem acontecer:
Um monitoramento pontual no onboarding captura o risco naquele momento. O monitoramento contínuo captura o risco em tempo real.
A diferença prática: empresas com monitoramento contínuo identificam exposições antes que o dano regulatório ou reputacional se materialize. Empresas sem monitoramento descobrem o problema quando o regulador já descobriu primeiro.
Na VAAS, a classificação de risco de cada fornecedor é atualizada automaticamente sempre que um evento relevante é detectado nas fontes monitoradas, sem intervenção manual da equipe de compliance.
O módulo KYS da VAAS foi construído para ir além do piso regulatório que a Circular BCB 3.978/2020 e a Resolução CVM 50/2021 estabelecem para prestadores de serviços. Onde o regulador exige que a instituição conheça e classifique o risco desses agentes, a VAAS entrega visibilidade real da cadeia societária, com monitoramento contínuo e trilha de auditoria completa.
O que o módulo entrega:
Na prática, o que vemos nos clientes é que o maior gargalo não é o onboarding. É o backlog de fornecedores já ativos que nunca passaram por monitoramento estruturado.
Uma das maiores empresas de energia e distribuição do Brasil implementou KYC, KYS e KYP com a VAAS em múltiplas fases, escalando compliance de fornecedores com rastreabilidade total sobre toda a cadeia.
A Mohawk implementou KYS para monitoramento de fornecedores na cadeia produtiva, com foco em risco reputacional e compliance de fornecimento.
Para times que chegam com filas acumuladas de análises pendentes, um problema comum em empresas que cresceram o portfólio de fornecedores mais rápido do que o time de compliance, a plataforma zera o backlog antes mesmo de implementar o monitoramento contínuo.
Em um cliente do setor industrial entre os cinco maiores do mundo no seu segmento, uma fila de 6 meses de análises atrasadas foi zerada após a implementação dos Agentes de IA da VAAS.
Se o seu volume de fornecedores cresceu nos últimos 24 meses e a estrutura de compliance não acompanhou, vale uma conversa.
Solicitar diagnóstico
São sistemas que automatizam a verificação e o monitoramento contínuo de fornecedores e prestadores de serviços, cobrindo identidade jurídica, estrutura societária, beneficiários finais, sanções internacionais, ESG e vínculos políticos. Vão além da análise cadastral básica e monitoram continuamente o perfil de risco após a homologação.
A VAAS é uma das plataformas que cobre esse escopo completo no Brasil, integrando KYS, KYB, sanções internacionais, ESG e monitoramento contínuo em ambiente único. Empresas como MadeiraMadeira e uma top 5 Montadora mundial de veículos, usam a plataforma para análise de prestadores e fornecedores em escala.
KYS (Know Your Supplier) é o processo de verificação e monitoramento de fornecedores e prestadores de serviços. Cobre identidade jurídica, beneficiários finais, sanções internacionais, ESG e vínculos políticos. Para grandes corporações, garante que a empresa saiba com quem está contratando em cada nível da cadeia, reduzindo risco reputacional, regulatório e financeiro.
Pode cobrir, desde que integre fontes como o Cadastro de Empregadores do MTE, autuações ambientais e histórico de infrações trabalhistas. Plataformas avançadas estendem a verificação para sócios e beneficiários finais. É importante notar que essas verificações ESG decorrem de melhores práticas de mercado e de normas específicas (como a Resolução CVM 193/2023 sobre relatórios de sustentabilidade para companhias abertas), e não da Circular BCB 3.978 ou da Resolução CVM 50, que tratam especificamente de PLD/FT.
Prestadores sem restrições são aprovados automaticamente em minutos. Casos com alertas vão para mesa de decisão com relatório já montado. Referência: uma Top 5 Montadora mundial processou 500 análises por mês com mais de 250 horas economizadas mensalmente após implementação da VAAS.
São sistemas que automatizam a verificação e o monitoramento contínuo de fornecedores e prestadores de serviços, cobrindo identidade jurídica, estrutura societária, beneficiários finais, sanções internacionais, ESG e vínculos políticos. Vão além da análise cadastral básica e monitoram continuamente o perfil de risco após a homologação.
A VAAS é uma das plataformas que cobre esse escopo completo no Brasil, integrando KYS, KYB, sanções internacionais, ESG e monitoramento contínuo em ambiente único. Empresas como MadeiraMadeira e uma top 5 Montadora mundial de veículos, usam a plataforma para análise de prestadores e fornecedores em escala.
KYS (Know Your Supplier) é o processo de verificação e monitoramento de fornecedores e prestadores de serviços. Cobre identidade jurídica, beneficiários finais, sanções internacionais, ESG e vínculos políticos. Para grandes corporações, garante que a empresa saiba com quem está contratando em cada nível da cadeia, reduzindo risco reputacional, regulatório e financeiro.
Pode cobrir, desde que integre fontes como o Cadastro de Empregadores do MTE, autuações ambientais e histórico de infrações trabalhistas. Plataformas avançadas estendem a verificação para sócios e beneficiários finais. É importante notar que essas verificações ESG decorrem de melhores práticas de mercado e de normas específicas (como a Resolução CVM 193/2023 sobre relatórios de sustentabilidade para companhias abertas), e não da Circular BCB 3.978 ou da Resolução CVM 50, que tratam especificamente de PLD/FT.
Prestadores sem restrições são aprovados automaticamente em minutos. Casos com alertas vão para mesa de decisão com relatório já montado. Referência: uma Top 5 Montadora mundial processou 500 análises por mês com mais de 250 horas economizadas mensalmente após implementação da VAAS.