Vendor due diligence checklist: guia de avaliação de fornecedores no Brasil
Guia completo vendor due diligence Brasil: checklist 7 etapas, obrigações Bacen/COAF, LGPD, prevenção PLD/CFT e automação da diligência 2026.
Resumir este artigo com
ChatGPT
Claude
Perplexity
Gemini
GrokO vendor due diligence é o processo estruturado de avaliação de um fornecedor ou prestador de serviços antes da contratação e ao longo de toda a relação comercial. No Brasil, esse processo deixou de ser uma boa prática opcional: a Lei 9.613/1998 (Lei de Lavagem de Dinheiro), a LGPD (Lei 13.709/2018), as regulações do Bacen e as exigências do COAF criam um conjunto de obrigações que se sobrepõem e se acumulam conforme o setor e o porte da empresa.
Este artigo é fornecido apenas para fins informativos e não constitui aconselhamento jurídico, financeiro ou regulamentar. Consulte um profissional qualificado para orientação adaptada à sua situação específica.
O que é vendor due diligence?
Vendor due diligence (VDD) é a avaliação formalizada e documentada de um terceiro — fornecedor, prestador de serviços, parceiro tecnológico ou subcontratado — com o objetivo de identificar, mensurar e documentar os riscos que ele representa para a organização contratante. Vai além da simples verificação administrativa: abrange o perfil financeiro, jurídico, operacional, tecnológico, ético e de conformidade regulatória do terceiro.
O VDD se insere no contexto mais amplo da gestão de riscos de terceiros (TPRM). Para uma visão completa desse framework, consulte nosso artigo: Gestão de riscos de terceiros — guia TPRM completo.
| Tipo de due diligence | Escopo principal | Gatilho típico |
|---|---|---|
| Due diligence padrão (CDD) | Identidade, situação financeira, antecedentes | Todo novo fornecedor |
| Due diligence reforçada (EDD) | Verificações aprofundadas, UBO, PEP, sanções | Fornecedor de alto risco, jurisdições sensíveis |
| Due diligence contínua | Monitoramento de mudanças no perfil de risco | Contratos em vigor, renovações |
| Due diligence ESG | Práticas sociais, ambientais, governança | Obrigações de responsabilidade corporativa |
A confusão entre simples checagem administrativa e due diligence estruturada é a principal fonte de exposição legal para as empresas brasileiras sujeitas a obrigações PLD/CFT — e resulta em lacunas documentais identificadas nos processos de supervisão do Bacen e do COAF.
Marco regulatório no Brasil
Quatro pilares regulatórios principais estruturam as obrigações brasileiras de vendor due diligence, com âmbitos de aplicação distintos que frequentemente se cumulam.
Lei 9.613/1998 e Lei 12.683/2012 — prevenção à lavagem de dinheiro
A Lei 9.613/1998 é a lei primária de prevenção à lavagem de dinheiro no Brasil. Alterada e aprimorada pela Lei 12.683/2012, ela define as pessoas obrigadas — instituições financeiras, seguradoras, administradoras de consórcios, escritórios de advocacia, contadores, imobiliárias, entre outros — e impõe a essas entidades a obrigação de conhecer seus clientes, fornecedores e parceiros, identificar operações suspeitas e comunicá-las ao COAF.
O COAF (Conselho de Controle de Atividades Financeiras) é a Unidade de Inteligência Financeira (UIF) do Brasil. Recebe as Comunicações de Operações Suspeitas (COS) e as comunicações de operações em espécie acima de R$ 10.000. A responsabilidade pela due diligence de fornecedores e parceiros é uma extensão direta das obrigações KYB (Know Your Business) previstas na lei.
Circular Bacen 3.978/2020 — política PLD/CFT para instituições financeiras
A Circular Bacen 3.978/2020 é o principal normativo operacional de prevenção à lavagem de dinheiro e ao financiamento do terrorismo (PLD/CFT) para as instituições financeiras supervisionadas pelo Banco Central do Brasil. Ela exige a implementação de uma política PLD/CFT formalizada que abranja, entre outros aspectos, a avaliação de fornecedores e prestadores de serviços que possam expor a instituição a riscos de lavagem.
A Circular estabelece que a avaliação de risco deve ser contínua, documentada e proporcional ao perfil de risco de cada terceiro. As instituições supervisionadas devem manter registros completos das diligências realizadas, com histórico de atualizações.
LGPD (Lei 13.709/2018) — proteção de dados no processo de avaliação
A LGPD impõe obrigações relevantes em dois sentidos dentro do vendor due diligence: no tratamento de dados pessoais coletados sobre os representantes e beneficiários finais do fornecedor durante o processo de avaliação, e na verificação de que o fornecedor que tratará dados pessoais da sua organização possui políticas e controles adequados de proteção de dados.
A Autoridade Nacional de Proteção de Dados (ANPD) já publicou orientações sobre contratos com operadores de dados, tornando a avaliação de conformidade com a LGPD uma etapa obrigatória quando o fornecedor terá acesso a dados pessoais de clientes ou colaboradores da empresa contratante. O Marco Civil da Internet também é relevante para fornecedores de serviços digitais que tratam dados de usuários brasileiros.
Resolução CMN 4.557/2017 — gestão de riscos para instituições financeiras
A Resolução CMN 4.557/2017 do Conselho Monetário Nacional estabelece os requisitos de estrutura de gerenciamento de riscos para as instituições financeiras autorizadas a funcionar pelo Bacen. Substitui, no contexto brasileiro, o papel que o regulamento DORA tem na União Europeia: o Brasil não está sujeito ao DORA. A Resolução exige que as instituições identifiquem, avaliem e monitorem os riscos operacionais decorrentes da terceirização de atividades e da dependência de fornecedores tecnológicos.
Nossa análise de mais de 45.000 processos de fornecedores revela que 14,2% contêm erros bloqueantes — documentos vencidos, inconsistências no CNPJ, ou certidões sem autenticação válida — expondo diretamente a empresa contratante a responsabilidade regulatória perante o Bacen e o COAF.
Checklist de vendor due diligence em 7 etapas
Este checklist cobre o ciclo completo de avaliação de um fornecedor, da entrada em relacionamento até o monitoramento contínuo. Ele é aplicável independentemente do porte da empresa e pode ser calibrado conforme o nível de risco do terceiro. Para um checklist ampliado cobrindo todos os tipos de due diligence corporativa, veja também: Due diligence checklist empresas — guia completo.
Etapa 1 — Identificação e qualificação inicial
- Coletar o CNPJ da empresa fornecedora e verificar sua situação cadastral na Receita Federal
- Obter a ficha de cadastro completa junto à Junta Comercial do estado correspondente
- Identificar os sócios, administradores e beneficiários finais (UBO) com CPF e documentos de identidade válidos
- Confirmar o endereço da sede e eventuais filiais relevantes para a relação contratual
Etapa 2 — Verificação de regularidade legal e fiscal
- Obter a Certidão Negativa de Débitos (CND) perante a Receita Federal e a Procuradoria-Geral da Fazenda Nacional
- Verificar a Certidão de Regularidade do FGTS junto à Caixa Econômica Federal
- Solicitar certidões negativas de débitos trabalhistas (CNDT) e estaduais
- Verificar a ausência de processos de falência, recuperação judicial ou extrajudicial
Etapa 3 — Screening de sanções, PEP e listas restritivas
- Verificar sócios, administradores e UBOs contra listas de sanções internacionais (OFAC, ONU, UE)
- Checar o status de Pessoa Exposta Politicamente (PEP) dos representantes e sócios significativos
- Pesquisar antecedentes de envolvimento em casos de lavagem de dinheiro, corrupção ou fraude no Brasil
- Verificar registros em processos administrativos do Bacen, CVM e COAF disponíveis publicamente
Etapa 4 — Avaliação financeira
- Analisar os três últimos balanços patrimoniais e demonstrações de resultados
- Calcular indicadores de liquidez, solvência e rentabilidade
- Avaliar a dependência de poucos clientes e a concentração de receita
- Verificar a ausência de penhor, hipoteca ou alienações fiduciárias que comprometam a operação
Etapa 5 — Avaliação de riscos operacionais e tecnológicos
- Verificar a existência de Plano de Continuidade de Negócios (PCN) e Plano de Recuperação de Desastres (PRD)
- Confirmar certificações ISO 27001, SOC 2 ou equivalentes se o fornecedor tratar dados sensíveis
- Mapear subcontratados de primeiro nível relevantes (risco de concentração)
- Avaliar dependência tecnológica: provedores de nuvem, sistemas críticos e fornecedores de software
Etapa 6 — Avaliação de conformidade com LGPD e PLD/CFT
- Verificar se o fornecedor possui política formal de PLD/CFT, quando aplicável
- Coletar a política de proteção de dados e o registro de operações de tratamento de dados (quando houver acesso a dados pessoais da sua organização)
- Obter declaração de ciência e adesão ao código de conduta ou política de integridade da empresa contratante
- Avaliar o histórico de incidentes de segurança da informação e notificações à ANPD
Etapa 7 — Documentação, scoring e monitoramento contínuo
- Atribuir um score de risco global (baixo / médio / alto) com base nas etapas anteriores
- Constituir o dossiê do fornecedor com carimbo de tempo e todos os documentos coletados
- Definir a frequência de renovação da due diligence de acordo com o score de risco
- Configurar alertas automáticos para eventos gatilho: mudança de sócios, decretação de falência, novas sanções
As organizações que formalizam essas 7 etapas em um processo documentado reduzem em 60% o tempo de processamento por dossiê e dividem por três o número de não conformidades detectadas em auditorias internas, segundo os dados agregados de nossa plataforma CheckFile.
Aprofundar o tema
Descubra os nossos guias práticos e recursos para dominar a conformidade documental.
Explorar os guiasCategorias de risco na avaliação de fornecedores
Cada fornecedor apresenta um perfil de risco composto. A tabela abaixo estrutura as principais categorias, os indicadores de alerta associados e o nível de prioridade conforme o tipo de empresa contratante no Brasil.
| Categoria de risco | Indicadores de alerta principais | Prioridade (inst. financeira) | Prioridade (empresa industrial) |
|---|---|---|---|
| Risco financeiro | Patrimônio líquido negativo, atrasos recorrentes, recuperação judicial | Alta | Alta |
| Risco de conformidade / sanções | Inclusão em lista OFAC/ONU/UE, PEP não declarado, irregularidades no CNPJ | Crítica | Alta |
| Risco PLD/CFT | Ausência de política PLD, operações suspeitas, jurisdições de alto risco GAFI | Crítica | Alta |
| Risco operacional | Ausência de PCN, dependência de fornecedor único para função crítica | Alta | Média |
| Risco tecnológico / cibernético | Ausência de ISO 27001, incidente de segurança recente, ausência de política de acesso | Alta (CMN 4.557) | Média |
| Risco jurídico | Litígios em curso, condenações penais de sócios ou administradores | Alta | Alta |
| Risco de proteção de dados (LGPD) | Ausência de DPA, sem responsável (DPO), histórico de vazamento notificado à ANPD | Crítica (se trata dados) | Alta (se trata dados) |
| Risco geográfico | Zonas sob embargo, países de alto risco GAFI, paraísos fiscais | Crítica | Alta |
Para entidades supervisionadas pelo Bacen, o risco PLD/CFT e o risco de proteção de dados (LGPD) têm prioridade crítica independentemente do porte do fornecedor, dada a responsabilidade solidária prevista na Lei 9.613/1998 e na LGPD para a empresa contratante.
Uma grade de scoring ponderado, adaptada ao seu setor, está disponível em nosso guia de verificação de documentos.
Automatizar o vendor due diligence
A automação do vendor due diligence responde a três pressões simultâneas: o volume crescente de fornecedores a avaliar, a complexidade regulatória que aumenta a cada ano no Brasil, e a necessidade de manter uma trilha de auditoria sólida para os controles do Bacen, do COAF e da ANPD.
Nossa análise de mais de 45.000 processos de fornecedores revela que 14,2% contêm erros bloqueantes — documentos com prazo expirado, divergências entre dados cadastrais e o CNPJ registrado na Receita Federal, ou certidões apresentando sinais de adulteração. Esses erros não são detectados por processos manuais em mais de 40% dos casos, por falta de tempo ou de treinamento das equipes de compras e compliance.
CheckFile automatiza as verificações documentais em cada etapa do checklist: extração OCR de dados cadastrais, verificação de consistência entre documentos, validação de autenticidade das certidões oficiais (CND, FGTS, CNDT) e screening automático contra listas de sanções atualizadas diariamente. A plataforma gera um dossiê do fornecedor com carimbo de tempo e assinatura eletrônica, diretamente utilizável em processos de auditoria ou inspeção regulatória.
Para as equipes de financiamento e leasing que processam altos volumes de dossiês de fornecedores, nosso módulo dedicado /solutions/financement-leasing reduz o tempo de processamento por dossiê em 78% em média. Os detalhes técnicos sobre nossa infraestrutura de segurança estão disponíveis em /securite.
A automação não elimina a responsabilidade humana na decisão final — ela a direciona para a análise de casos complexos e a validação de dossiês de alto risco, onde o valor do profissional de compliance é real. Consulte nossos planos e preços para descobrir as soluções adequadas ao seu volume de dossiês.
Perguntas frequentes
O que é vendor due diligence e por que é obrigatório no Brasil?
Vendor due diligence é o processo de avaliação formalizada de um fornecedor, cobrindo sua situação financeira, jurídica, regulatória e operacional. No Brasil, a obrigatoriedade varia por setor: a Lei 9.613/1998 e a Circular Bacen 3.978/2020 tornam o processo mandatório para instituições financeiras e demais pessoas obrigadas; a LGPD exige avaliação dos fornecedores que tratam dados pessoais; e a Resolução CMN 4.557/2017 impõe gestão de riscos de terceiros para instituições financeiras. A ausência de due diligence documentada expõe a empresa a sanções administrativas do Bacen, do COAF e da ANPD, além de responsabilidade civil e penal.
Qual a diferença entre due diligence padrão e due diligence reforçada?
A due diligence padrão (CDD) cobre as verificações básicas: identidade legal via CNPJ, situação fiscal, ausência de sanções. A due diligence reforçada (EDD) é acionada por nível de risco elevado — fornecedor localizado em jurisdição de alto risco segundo o GAFI, PEP entre os sócios, atividade em setor sensível, ou valores contratuais expressivos. A EDD inclui verificações aprofundadas sobre os beneficiários finais (UBO), análise de fluxos financeiros e revisão mais frequente do dossiê.
Com que frequência é necessário renovar a due diligence de fornecedores?
A frequência depende do nível de risco atribuído ao fornecedor e das obrigações regulatórias aplicáveis. A Circular Bacen 3.978/2020 exige que a avaliação de risco seja contínua e atualizada sempre que houver mudanças relevantes no perfil do fornecedor. Na prática, as equipes de compliance aplicam revisão semestral para fornecedores críticos e revisão anual ou gatilhada por evento — mudança de sócios, aquisição, incidente de segurança — para os demais.
Quais documentos coletar em um vendor due diligence no Brasil?
O conjunto documental mínimo inclui: cartão CNPJ atualizado na Receita Federal, contrato social ou estatuto atualizado, Certidão Negativa de Débitos (CND) federal e estadual, Certidão de Regularidade do FGTS, CNDT (certidão de débitos trabalhistas), três últimos balanços ou demonstrações financeiras, comprovante de endereço da sede, e documentos de identidade dos sócios administradores e beneficiários finais (CPF e RG ou CNH). Para fornecedores que tratam dados pessoais, adiciona-se a política de privacidade e o Contrato de Processamento de Dados (DPA/Adendo LGPD).
Como comprovar que a due diligence foi realizada em caso de auditoria do Bacen ou COAF?
A comprovação reside no dossiê do fornecedor: ele deve conter carimbo de tempo em cada documento, o resultado das verificações de autenticidade, o score de risco atribuído e as decisões tomadas (aprovação, recusa, escalada para compliance). Um registro das reavaliações com datas e conclusões completa o dispositivo probatório. Plataformas como CheckFile geram automaticamente essa documentação em formato diretamente utilizável em inspeções regulatórias.
Mantenha-se informado
Receba as nossas análises de conformidade e guias práticos diretamente no seu email.