Know Your Supplier (KYS): checklist de verificação de fornecedores
Guia completo KYS para equipas de compras: checklist de 12 verificações, quadro regulatório português (Lei 83/2017, Banco de Portugal), sinais de alerta e automatização.
Resumir este artigo com
ChatGPT
Claude
Perplexity
Gemini
GrokO Know Your Supplier (KYS) é o processo de diligência devida estruturado pelo qual uma organização verifica sistematicamente a identidade, a legitimidade e o perfil de conformidade dos seus fornecedores antes e durante qualquer relação comercial. Derivado do mundo bancário — onde complementa o KYC (Know Your Customer) e o KYB (Know Your Business) — o KYS tornou-se um padrão de gestão do risco de aprovisionamento em todos os sectores, impulsionado por exigências regulatórias crescentes.
Em Portugal, as obrigações de verificação de fornecedores decorrem principalmente da Lei n.º 83/2017, de 18 de agosto, de combate ao branqueamento de capitais e ao financiamento do terrorismo (BCFT), que transpõe a 4.ª e 5.ª Directivas Anti-Branqueamento da UE, e das circulares e avisos do Banco de Portugal para entidades sujeitas à sua supervisão. O incumprimento das obrigações de diligência pode resultar em coimas de até 5 000 000 € para pessoas coletivas, ao abrigo do artigo 159.º da Lei n.º 83/2017 (Banco de Portugal — supervisão PBC).
As equipas de compras que automatizam o seu processo KYS reduzem o tempo de processamento em 83 % e o custo por dossier de fornecedor em 67 % (análise interna CheckFile, 2026).
O que é o Know Your Supplier (KYS)?
O KYS é a aplicação dos princípios do KYC ao lado do aprovisionamento: em vez de conhecer os clientes, trata-se de conhecer os fornecedores. O processo abrange três dimensões complementares: verificação da identidade legal da empresa, autenticação das coordenadas bancárias e avaliação contínua do perfil de risco ao longo de toda a relação comercial.
Um programa KYS completo inclui obrigatoriamente:
- Verificação da existência legal e da situação da sociedade (ativa, insolvência, dissolução)
- Identificação de beneficiários efetivos (UBO — Ultimate Beneficial Owners)
- Triagem em listas de sanções internacionais (UE, OFAC, ONU)
- Deteção de Pessoas Politicamente Expostas (PPE) na direção e na estrutura de propriedade
- Revisão de notícias adversas (adverse media screening)
- Autenticação da conta bancária para prevenir a fraude à alteração de NIB/IBAN
A sexta Diretiva Anti-Branqueamento (AMLD6), transposta pela Diretiva (UE) 2024/1640, exige às entidades obrigadas a aplicação de medidas de diligência reforçada a fornecedores e parceiros comerciais de risco elevado (Diretiva (UE) 2024/1640, Art. 22).
Quadro regulatório português do KYS
Quatro enquadramentos regulatórios principais estruturam as obrigações de verificação de fornecedores em Portugal:
Lei n.º 83/2017 (BCFT): as entidades obrigadas devem aplicar medidas de diligência devida a clientes e, por extensão, a parceiros e fornecedores que participem em operações sujeitas a supervisão. A lei estabelece procedimentos específicos para a identificação de beneficiários efetivos e para a monitorização contínua das relações de negócio.
RGPD + Lei n.º 58/2019: a recolha e o tratamento de dados pessoais no âmbito do processo KYS devem respeitar os princípios do Regulamento (UE) 2016/679 e a lei nacional de execução, supervisionados pela CNPD (Comissão Nacional de Proteção de Dados).
Código das Sociedades Comerciais e Registo de Beneficiários Efetivos: todas as sociedades comerciais portuguesas são obrigadas a registar os seus beneficiários efetivos no Registo Central de Beneficiários Efetivos (RCBE), criado pela Lei n.º 89/2017, de 21 de agosto. A verificação dos dados no RCBE é uma etapa essencial de qualquer processo KYS.
Diretiva CSDDD — Transposição prevista 2026–2027: a Diretiva (UE) 2024/1760 sobre diligência devida em matéria de sustentabilidade exigirá às grandes empresas europeias processos de diligência em toda a cadeia de valor a partir de 2027, com coimas de até 5 % do volume de negócios mundial.
| Regulamentação | Limiar de aplicação | Obrigação KYS principal |
|---|---|---|
| Lei n.º 83/2017 (BCFT) | Entidades obrigadas | Diligência devida em clientes e terceiros |
| RGPD + Lei n.º 58/2019 | Todas as organizações | Proteção de dados pessoais processados |
| Lei n.º 89/2017 (RCBE) | Todas as sociedades comerciais | Registo e verificação de beneficiários efetivos |
| CSDDD (a partir de 2027) | >1.000 trabalhadores, >450 M€ vol. negócios | Diligência devida em toda a cadeia de valor |
Checklist KYS: as 12 verificações obrigatórias
As equipas de compras e compliance identificam regularmente que as duas etapas mais frequentemente omitidas na prática são a verificação dos beneficiários efetivos e a triagem de sanções — ambas podem expor a empresa a sanções regulatórias significativas.
Passos 1–4: Verificação da identidade legal
| Documento | Fonte oficial | Frequência de controlo |
|---|---|---|
| Certidão Permanente do registo comercial | Conservatória do Registo Comercial | Na incorporação + anualmente |
| Pacto social e atas de constituição | Conservatória / Cartório Notarial | Na incorporação |
| Registo de Beneficiários Efetivos (RCBE) | Portal do RCBE | Na incorporação + em alterações |
| NIF ativo e não incluído em listas de sanções | Portal das Finanças | Em cada pagamento >5.000 € |
Passos 5–6: Verificação de coordenadas bancárias
A autenticação do NIB/IBAN e da titularidade da conta é a medida mais eficaz contra a fraude à alteração de NIB. Este tipo de ataque representou 31 % dos casos de fraude documental em fornecedores rastreados pela nossa plataforma em 2025. A verificação deve repetir-se em cada alteração bancária comunicada, independentemente do canal utilizado — notificações verbais ou por e-mail nunca devem ser acatadas sem confirmação documental independente.
Passos 7–9: Triagem de sanções, PPE e notícias adversas
A triagem deve cobrir a lista consolidada de sanções da UE, a lista SDN da OFAC, as listas do Conselho de Segurança da ONU, e as sanções nacionais publicadas pelo Banco de Portugal. A deteção de PPE deve abranger administradores, sócios maioritários e beneficiários efetivos. A revisão de notícias adversas cobre condenações penais, ações de supervisão da CMVM ou do Banco de Portugal, escândalos reputacionais e envolvimento em criminalidade organizada.
Passos 10–12: Verificações sectoriais
Dependendo do sector do fornecedor: habilitações e licenças profissionais, certificações ISO (9001, 27001, 14001), apólices de seguro de responsabilidade civil profissional, e declarações de situação contributiva perante a Segurança Social e a Autoridade Tributária e Aduaneira (AT).
Pronto para automatizar as suas verificações?
Piloto gratuito com os seus próprios documentos. Resultados em 48h.
Pedir um piloto gratuitoModelo de pontuação de risco do fornecedor
Aplicar um nível uniforme de verificação a todos os fornecedores é operacionalmente insustentável em carteiras alargadas. Um modelo de pontuação por nível de risco concentra a diligência reforçada onde é mais necessária.
| Nível de risco | Critérios | Frequência de revisão |
|---|---|---|
| Baixo | Fornecedor registado em Portugal/UE, <50 K€/ano, sector não regulado | Anual |
| Médio | Fora da UE, 50 K€–500 K€/ano, ou sector regulado | Semestral |
| Alto | >500 K€/ano, países de risco elevado (lista GAFI), ou serviços regulados | Trimestral + EDD |
| Crítico | Fornecedor estratégico, operações em territórios sancionados | Vigilância contínua |
O Índice de Risco Documental CheckFile posiciona os dossiers de fornecedores nos sectores de maior volume transacional com uma pontuação média de 6,2/10, o que justifica a automatização dos controlos para garantir a exaustividade das verificações em toda a carteira.
KYS, KYC e KYB: diferenças fundamentais
| Processo | Alvo | Contexto principal |
|---|---|---|
| KYC (Know Your Customer) | Clientes, investidores, particulares | Banca, seguros, serviços financeiros |
| KYB (Know Your Business) | Parceiros comerciais, distribuidores | Onboarding B2B, contratação pública |
| KYS (Know Your Supplier) | Fornecedores, subcontratados, prestadores de serviços | Compras, cadeia de aprovisionamento, contas a pagar |
Para aprofundar os processos de verificação de empresas fornecedoras, consulte o nosso guia sobre verificação documental de empresas no onboarding KYB. Consulte também o checklist de due diligence para empresas para uma abordagem estruturada da avaliação do risco de fornecedores.
Sinais de alerta na verificação de fornecedores
As equipas de compras e compliance identificam frequentemente os seguintes sinais que devem acionar uma diligência reforçada imediata:
- Alteração de NIB/IBAN comunicada por e-mail informal, sem carta oficial em papel timbrado da empresa
- Ausência de presença online verificável (sem sítio web, sem perfil no registo público)
- Estrutura de propriedade opaca com sociedades intermediárias em jurisdições de risco
- Discrepância entre o NIF/NIPC fornecido e a denominação social registada na Conservatória
- Recusa em fornecer certidão permanente recente ou extrato do RCBE
- Endereço de faturação diferente da sede social registada na Conservatória do Registo Comercial
- Capital social simbólico face ao volume de negócios proposto no contrato
Automatizar o processo KYS
A gestão manual do KYS para uma carteira de 100 fornecedores ativos representa entre 200 e 300 verificações anuais. O risco de omissão cresce de forma exponencial à medida que a carteira se expande — empresas com mais de 200 fornecedores ativos raramente conseguem garantir a exaustividade com recursos manuais.
CheckFile automatiza todo o fluxo de trabalho KYS: recolha documental, verificação face a registos oficiais (Conservatória do Registo Comercial, Portal das Finanças, RCBE, listas de sanções UE e OFAC), e geração de pista de auditoria com carimbo temporal. Para uma metodologia completa de verificação documental, consulte o guia de verificação de documentos.
Este artigo tem fins informativos apenas e não constitui aconselhamento jurídico, financeiro ou regulatório. Para situações específicas, consulte um profissional de compliance ou advogado especializado.
Perguntas frequentes
O que é o Know Your Supplier (KYS)?
O Know Your Supplier (KYS) é o processo de diligência devida pelo qual uma organização verifica a identidade legal, a situação financeira, o perfil sancionatório e as coordenadas bancárias dos seus fornecedores antes e durante a relação comercial. Estende os princípios do KYC ao lado do aprovisionamento, aplicando controlos equivalentes aos que os bancos realizam sobre os seus clientes.
O KYS é obrigatório em Portugal?
Parcialmente. O KYS é obrigatório para entidades sujeitas à Lei n.º 83/2017 relativamente a prestadores de serviços que participem em operações supervisionadas. O registo de beneficiários efetivos (RCBE) é obrigatório para todas as sociedades comerciais ao abrigo da Lei n.º 89/2017. A partir de 2027, a Diretiva CSDDD imporá obrigações de diligência em toda a cadeia de valor para as grandes empresas europeias, com coimas de até 5 % do volume de negócios mundial.
Com que frequência deve ser renovada a verificação KYS?
A frequência depende do nível de risco atribuído ao fornecedor. Fornecedores de baixo risco requerem revisão anual. Os de risco médio, semestral. Os de risco alto requerem diligência reforçada trimestral mais monitorização contínua de sanções. Qualquer alteração na titularidade, coordenadas bancárias ou domicílio social ativa uma revisão imediata fora do ciclo previsto.
Que documentos recolher num processo KYS?
O dossier KYS básico inclui: Certidão Permanente (<3 meses), pacto social, extrato do RCBE, declaração bancária em papel timbrado da empresa, declaração de situação contributiva perante a Segurança Social, e declaração de não dívida à Autoridade Tributária. Cada documento deve ser verificado na fonte oficial, não apenas recebido do fornecedor.
Qual a diferença entre KYS e KYB?
O KYB (Know Your Business) refere-se à diligência realizada sobre parceiros comerciais ou clientes empresariais no contexto do onboarding B2B, especialmente em sectores regulados. O KYS é específico para fornecedores — as empresas às quais se adquirem bens ou serviços. Os passos de verificação são semelhantes, mas a direção da relação comercial e as obrigações regulatórias associadas diferem.
Mantenha-se informado
Receba as nossas análises de conformidade e guias práticos diretamente no seu email.