Know Your Supplier (KYS): checklist de verificação de fornecedores no Brasil
Guia KYS para o Brasil: obrigações Bacen, COAF, CVM e LGPD, checklist de 12 verificações, documentos CPF/CNPJ, sinais de alerta e automação para equipes de compras.
Resumir este artigo com
ChatGPT
Claude
Perplexity
Gemini
GrokO Know Your Supplier (KYS) — ou "Conheça Seu Fornecedor" — é o processo de diligência devida pelo qual uma organização verifica sistematicamente a identidade, a idoneidade e o perfil de conformidade dos seus fornecedores antes e durante qualquer relação comercial. No Brasil, este processo é impulsionado por um conjunto de regulamentações específicas que diferem significativamente do modelo europeu: o Banco Central do Brasil (Bacen), o Conselho de Controle de Atividades Financeiras (COAF) e a Comissão de Valores Mobiliários (CVM) definem obrigações de prevenção à lavagem de dinheiro (PLD) distintas das directivas europeias.
A legislação base é a Lei n.º 9.613/1998 (Lei de Lavagem de Dinheiro), com as alterações da Lei n.º 12.683/2012, e a Circular Bacen n.º 3.978/2020, que estabelece os procedimentos e controles internos de PLD/FT para instituições autorizadas a funcionar pelo Bacen. A Lei Geral de Proteção de Dados (LGPD — Lei n.º 13.709/2018) rege o tratamento de dados pessoais no processo KYS, com supervisão da ANPD (Autoridade Nacional de Proteção de Dados).
As equipes de compras que automatizam seu processo KYS reduzem o tempo de processamento em 83 % e o custo por dossiê de fornecedor em 67 % (dados internos CheckFile, análise 2026).
O que é o Know Your Supplier (KYS) no Brasil?
O KYS aplica os princípios do KYC (Know Your Customer) ao lado do aprovisionamento: em vez de conhecer os clientes, trata-se de conhecer os fornecedores. O processo cobre três dimensões: verificação da identidade legal, autenticação das coordenadas bancárias e avaliação contínua do risco ao longo da relação comercial.
Um programa KYS completo no Brasil inclui:
- Verificação da existência legal e situação cadastral da empresa (ativa, baixada, irregular)
- Identificação dos sócios e beneficiários finais (equivalente ao UBO europeu)
- Triagem em listas de sanções internacionais (OFAC, ONU) e nacionais (COAF)
- Verificação de Pessoas Expostas Politicamente (PEP) na direção e na estrutura societária
- Revisão de notícias adversas e antecedentes criminais
- Autenticação dos dados bancários (CNPJ do titular da conta)
A Circular Bacen n.º 3.978/2020 exige, no Art. 37, que as instituições financeiras conheçam os prestadores de serviços terceirizados e fornecedores relevantes com o mesmo rigor aplicado aos clientes de alto risco (Circular Bacen 3.978/2020).
Quadro regulatório brasileiro do KYS
Lei n.º 9.613/1998 (com alterações de 2012): lei base de prevenção à lavagem de dinheiro no Brasil. Define as pessoas obrigadas (instituições financeiras, seguradoras, corretoras, fintechs, advogados em transações imobiliárias) e os procedimentos de identificação de clientes, que se estendem às relações com fornecedores estratégicos.
Circular Bacen n.º 3.978/2020 e Resolução BCB n.º 44/2020: estabelecem os procedimentos detalhados de PLD/FT para o sistema financeiro, incluindo a identificação de beneficiários finais, o monitoramento de transações suspeitas e o controle de fornecedores terceirizados com acesso a dados sensíveis.
COAF — Conselho de Controle de Atividades Financeiras: unidade de inteligência financeira brasileira, responsável por receber, examinar e identificar ocorrências suspeitas de lavagem de dinheiro. O site do COAF publica guias de PLD/FT e listas de pessoas com processos ativos.
LGPD (Lei n.º 13.709/2018): rege o tratamento de dados pessoais no processo KYS — tanto CPF de sócios e representantes quanto dados biométricos e registros de comunicações. A ANPD fiscaliza o cumprimento e pode aplicar multas de até R$ 50 milhões por infração.
| Regulamentação | Aplicação | Obrigação KYS principal |
|---|---|---|
| Lei 9.613/1998 + alterações 2012 | Pessoas obrigadas | Identificação e verificação de clientes e parceiros |
| Circular Bacen 3.978/2020 | Instituições financeiras autorizadas | PLD/FT e verificação de fornecedores terceirizados |
| LGPD — Lei 13.709/2018 | Todas as organizações | Proteção de dados pessoais no processo de verificação |
| CSDDD (a partir de 2027) | Empresas com operações na UE | Diligência devida em toda a cadeia de valor |
Checklist KYS no Brasil: as 12 verificações
As equipes de compras e compliance identificam regularmente que as duas etapas mais negligenciadas na prática são a verificação dos beneficiários finais e a triagem nas listas de sanções do COAF e da OFAC — ambas podem expor a empresa a sanções administrativas e penais graves.
Passos 1–4: Verificação da identidade legal
| Documento | Fonte oficial | Frequência de controle |
|---|---|---|
| Certidão Simplificada da Junta Comercial | Junta Comercial do estado (ex.: JUCESP) | Na integração + anualmente |
| Contrato social e alterações | Junta Comercial | Na integração |
| Quadro Societário e Beneficiários Finais | Receita Federal — CNPJ | Na integração + em alterações |
| CNPJ ativo e regular | Consulta CNPJ — Receita Federal | Em cada pagamento acima de R$ 30.000 |
Passos 5–6: Verificação de dados bancários
A autenticação dos dados bancários — CNPJ do titular correspondendo ao CNPJ do fornecedor cadastrado — é a medida mais eficaz contra a fraude por redirecionamento de pagamentos (equivalente brasileiro do BEC fraud). Esse tipo de ataque representa 31 % dos casos de fraude documental com fornecedores mapeados pela nossa plataforma. A verificação deve ser repetida em toda mudança bancária comunicada, independentemente do canal.
Passos 7–9: Triagem de sanções, PEP e notícias adversas
A triagem deve cobrir a lista do OFAC (SDN), as listas do Conselho de Segurança da ONU, e as listas de condenados e investigados publicadas pelo COAF e pelo Ministério da Justiça (CNJ — Cadastro Nacional de Condenados por Ato de Improbidade). A verificação de PEP deve abranger sócios, administradores e beneficiários finais.
Passos 10–12: Verificações setoriais específicas
Conforme o setor do fornecedor: habilitações e licenças profissionais (OAB, CRC, CRM), certificações ISO, apólices de seguro de responsabilidade civil, certidões negativas de débitos (CND) com a Receita Federal e com o INSS, e regularidade junto ao FGTS (Fundo de Garantia do Tempo de Serviço).
Pronto para automatizar as suas verificações?
Piloto gratuito com os seus próprios documentos. Resultados em 48h.
Pedir um piloto gratuitoDocumentos específicos do Brasil
No Brasil, os documentos de identificação são distintos dos equivalentes europeus:
| Documento BR | Equivalente PT/UE | Função |
|---|---|---|
| CPF (Cadastro de Pessoas Físicas) | NIF (Portugal) / SIRET (França) | Identificação fiscal de pessoa física |
| CNPJ (Cadastro Nacional da Pessoa Jurídica) | NIPC (Portugal) / numéro BCE (Bélgica) | Identificação fiscal de pessoa jurídica |
| Certidão da Junta Comercial | Certidão Permanente (Portugal) / Kbis (França) | Comprovação de existência e situação legal |
| e-CPF / Certificado Digital ICP-Brasil | Chave Móvel Digital (Portugal) | Assinatura digital certificada |
Modelo de pontuação de risco do fornecedor
| Nível de risco | Critérios | Frequência de revisão |
|---|---|---|
| Baixo | Fornecedor no Brasil, < R$ 250 mil/ano, setor não regulado | Anual |
| Médio | Fornecedor estrangeiro ou R$ 250 mil–R$ 2,5 milhões/ano | Semestral |
| Alto | > R$ 2,5 milhões/ano, países de alto risco (lista GAFI), setor regulado | Trimestral + DDR |
| Crítico | Fornecedor estratégico, operações em territórios sancionados | Monitoramento contínuo |
O Índice de Risco Documental CheckFile posiciona os dossiês de fornecedores em setores de alto volume transacional com uma pontuação média de 6,2/10, o que justifica a automação dos controles para garantir a abrangência das verificações.
KYS, KYC e KYB: diferenças fundamentais
| Processo | Alvo | Contexto principal |
|---|---|---|
| KYC (Know Your Customer) | Clientes, investidores | Bancos, fintechs, seguradoras |
| KYB (Know Your Business) | Parceiros comerciais | Onboarding B2B, licitações públicas |
| KYS (Know Your Supplier) | Fornecedores, subcontratados | Compras, cadeia de suprimentos, contas a pagar |
Para aprofundar os processos de verificação de empresas fornecedoras, consulte o nosso guia sobre verificação documental de empresas no onboarding KYB e o checklist de due diligence para empresas.
Automatizar o processo KYS no Brasil
A gestão manual do KYS para uma carteira de 100 fornecedores ativos representa entre 200 e 300 verificações anuais. O risco de omissão cresce exponencialmente à medida que a carteira se expande — empresas com mais de 200 fornecedores ativos raramente conseguem garantir a abrangência com recursos manuais.
CheckFile automatiza todo o fluxo KYS: coleta documental, verificação nos registros oficiais (Receita Federal, Juntas Comerciais, COAF, OFAC), triagem de PEP e geração de trilha de auditoria com carimbo temporal. Para uma metodologia completa de verificação, consulte o guia de verificação de documentos.
Este artigo tem fins informativos apenas e não constitui assessoria jurídica, financeira ou regulatória sob o direito brasileiro. Para situações específicas, consulte um advogado especializado em compliance ou direito empresarial.
Perguntas frequentes
O que é o Know Your Supplier (KYS) no Brasil?
O KYS no Brasil ("Conheça Seu Fornecedor") é o processo de diligência devida pelo qual uma empresa verifica a existência legal, a situação cadastral (CNPJ regular), os beneficiários finais, o perfil nas listas de sanções (COAF, OFAC) e os dados bancários dos seus fornecedores — antes e durante a relação comercial.
O KYS é obrigatório no Brasil?
Sim, para instituições financeiras e demais pessoas obrigadas pela Lei n.º 9.613/1998 e pela Circular Bacen 3.978/2020, que exigem a verificação de prestadores de serviços e fornecedores com acesso a dados sensíveis ou envolvidos em transações financeiras relevantes. A LGPD cria obrigações adicionais para o tratamento de dados pessoais no processo de verificação para todas as empresas.
Qual a diferença entre CPF e CNPJ para fins de KYS?
O CPF (Cadastro de Pessoas Físicas) é o identificador fiscal de pessoas físicas — usado para verificar sócios, administradores e beneficiários finais de empresas fornecedoras. O CNPJ (Cadastro Nacional da Pessoa Jurídica) é o identificador da empresa como pessoa jurídica — equivalente ao NIPC português ou ao numéro d'entreprise belge. Ambos devem ser verificados na base da Receita Federal.
Quais documentos recolher num processo KYS no Brasil?
O dossiê KYS básico para fornecedores brasileiros inclui: CNPJ e certidão de regularidade cadastral (<3 meses), contrato social e alterações, quadro societário com CPF dos sócios, certidão da Junta Comercial, comprovante bancário com CNPJ do titular, certidão negativa de débitos (CND) com a Receita Federal e com o INSS, e regularidade com o FGTS. Cada documento deve ser verificado na fonte oficial.
Como identificar os beneficiários finais de um fornecedor brasileiro?
O quadro societário e os beneficiários finais de uma empresa brasileira devem ser verificados diretamente na Receita Federal (consulta CNPJ) e na Junta Comercial estadual. A Circular Bacen 3.978/2020 define "beneficiário final" como a pessoa natural que detém, direta ou indiretamente, participação superior a 25 % no capital social ou que exerce efetivo controle.
Mantenha-se informado
Receba as nossas análises de conformidade e guias práticos diretamente no seu email.