Vendor due diligence checklist: guia passo a passo de avaliação de fornecedores

O vendor due diligence (VDD) é o processo sistemático pelo qual uma organização avalia, verifica e monitoriza os seus fornecedores e terceiros antes de estabelecer ou renovar uma relação comercial. Em Portugal, este processo tem base regulatória sólida: a Lei n.º 83/2017 de combate ao branqueamento de capitais e ao financiamento do terrorismo (BCFT) obriga as entidades sujeitas a aplicar medidas de diligência reforçada quando o perfil de risco o justifica. Um checklist estruturado permite padronizar esse processo, reduzir o erro humano e documentar a conformidade perante os supervisores.

Este artigo é fornecido apenas para fins informativos e não constitui aconselhamento jurídico, financeiro ou regulatório. As referências regulamentares são exatas à data de publicação. Consulte um profissional qualificado para orientação adaptada à sua situação.

O que é o vendor due diligence?

O vendor due diligence é a diligência devida aplicada especificamente a fornecedores, subcontratados e parceiros comerciais. Consiste em recolher, verificar e analisar documentação que comprove a identidade legal, a solvabilidade financeira, a conformidade regulatória e a integridade reputacional de um terceiro antes de este aceder a sistemas, dados ou fluxos de pagamento da organização contratante.

Ao contrário da due diligence financeira clássica — centrada no valor de um ativo ou empresa numa transação M&A —, o VDD tem um âmbito contínuo: não termina com a assinatura do contrato, mas prolonga-se durante toda a vida da relação comercial através de revisões periódicas.

O guia de verificação de documentos explica com mais detalhe como estruturar os diferentes tipos de revisão documental numa organização.

Enquadramento regulatório em Portugal

As entidades sujeitas à Lei 83/2017 que não apliquem diligência devida adequada aos seus fornecedores ficam expostas a coimas que podem atingir 5 milhões de euros ou 10% do volume de negócios anual, de acordo com o artigo 168.º da mesma lei e o enquadramento do pacote AML europeu 2024.

O quadro normativo que rege o vendor due diligence em Portugal combina legislação nacional e europeia:

Lei 83/2017 — Combate ao Branqueamento de Capitais e Financiamento do Terrorismo A Lei n.º 83/2017 é a norma de referência para as entidades obrigadas em Portugal. Estabelece as obrigações de identificação, verificação, diligência reforçada e monitorização contínua de clientes e contrapartes, incluindo fornecedores com acesso a contas ou fundos. O Banco de Portugal supervisiona o cumplimento nas entidades financeiras sob a sua supervisão e pode instaurar processos contraordenacionais com impacto direto na licença operacional.

CMVM e setor financeiro A CMVM exige às entidades sob a sua supervisão — gestoras de fundos, intermediários financeiros, consultores de investimento — que apliquem políticas escritas de avaliação de fornecedores críticos, em especial aqueles que tratam dados de clientes ou acedem a infraestruturas de mercado.

Regulamento DORA (desde janeiro de 2025) O Regulamento DORA (UE) 2022/2554, aplicável desde 17 de janeiro de 2025, introduz requisitos específicos para a gestão do risco de fornecedores TIC no setor financeiro. As entidades financeiras devem manter um registo atualizado de todos os contratos com fornecedores TIC, classificá-los segundo a sua criticidade e realizar avaliações de risco documentadas antes de contratar e com periodicidade anual.

RGPD e Lei 58/2019 A Lei n.º 58/2019, que assegura a execução do RGPD em Portugal, obriga a verificar que qualquer fornecedor que trate dados pessoais em nome da organização disponha das garantias técnicas e organizativas exigidas, incluindo a celebração de contratos de subcontratante (DPA) adequados. A ausência deste contrato expõe a organização contratante a coimas de até 20 milhões de euros ou 4% do volume de negócios global.

Checklist de vendor due diligence em 7 etapas

Este checklist cobre as etapas essenciais para uma avaliação completa de fornecedores. Pode ser adaptado consoante a categoria de risco do fornecedor (ver secção seguinte).

Etapa 1 — Identificação e registo

• Denominação social, NIPC e número de registo comercial verificados
• Titularidade efetiva identificada (beneficiários efetivos com mais de 25%)
• Sede social e países de operação documentados
• Verificação no Registo Comercial e bases de dados oficiais

Etapa 2 — Verificação documental

• Escritura de constituição e estatutos em vigor
• Poderes do representante legal verificados
• Contas anuais dos últimos 2-3 exercícios
• Certidão de não dívida à Autoridade Tributária e à Segurança Social

Etapa 3 — Avaliação de conformidade regulatória

• Licenças e autorizações setoriais em vigor
• Políticas AML/KYC documentadas (se aplicável)
• Ausência de sanções do Banco de Portugal, CMVM ou outras autoridades competentes
• Certificações de qualidade ou segurança relevantes (ISO 27001, SOC 2, etc.)

Etapa 4 — Screening de listas de sanções e PEPs

• Consulta nas listas de sanções da UE, ONU e OFAC
• Verificação de pessoas politicamente expostas (PEPs) entre titulares e administradores
• Verificação em listas de exclusão de contratação pública

Etapa 5 — Análise reputacional e de riscos ESG

• Pesquisa de notícias negativas e litígios relevantes
• Avaliação de riscos ambientais, sociais e de governação
• Referências comerciais ou relatórios de terceiros independentes

Etapa 6 — Avaliação de cibersegurança e proteção de dados (DORA / RGPD)

• Questionário de segurança TIC preenchido
• Contrato de subcontratante (DPA) assinado se o fornecedor aceder a dados pessoais
• Plano de continuidade de negócio e recuperação de desastres documentado
• Procedimento de notificação de incidentes definido

Etapa 7 — Contratação, monitorização e revisão periódica

• Cláusulas de conformidade normativa incluídas no contrato
• Direito de auditoria ao fornecedor contemplado
• Frequência de revisão periódica estabelecida consoante o nível de risco
• Responsável interno designado para a gestão contínua do fornecedor

Para aprofundar a gestão de riscos de terceiros, consulte o nosso guia sobre gestão de riscos de terceiros (TPRM) e o artigo sobre due diligence checklist para empresas.

Categorias de risco na avaliação de fornecedores

A atribuição de uma categoria de risco a cada fornecedor determina a profundidade da avaliação e a frequência das revisões. As organizações que aplicam uma segmentação por risco reduzem em média 38% do tempo dedicado a avaliações de rotina, concentrando os recursos nos fornecedores de maior exposição (Fonte: análise setorial interna CheckFile, 2025).

Os fatores que elevam automaticamente a categoria de risco incluem: fornecedor localizado em jurisdição de alto risco (listas GAFI), relação com pessoas politicamente expostas, historial de sanções anteriores, ou acesso a infraestrutura crítica.

A plataforma CheckFile permite configurar fluxos de avaliação diferenciados por categoria de risco, aplicando automaticamente o nível de diligência correspondente a cada fornecedor de acordo com os critérios definidos pela equipa de compliance.

Automatizar o vendor due diligence

A nossa análise de mais de 45.000 processos de fornecedores revela que 14,2% contêm erros bloqueantes: documentação expirada, inconsistências na titularidade efetiva ou ausência de verificação nas listas de sanções. Estes erros, detetados manualmente, geram atrasos médios de 8,3 dias úteis por processo e aumentam significativamente o risco de incumprimento regulatório.

A automatização do vendor due diligence resolve três ineficiências estruturais do processo manual:

Verificação documental em segundos, não em dias As equipas de compliance dedicam em média 60% do tempo do processo de VDD a tarefas de recolha e verificação de documentos. A nossa plataforma CheckFile processa documentos — escrituras, procurações, certificações, demonstrações financeiras — em média em 4,2 segundos com uma precisão OCR de 98,7%, detetando automaticamente documentos expirados, assinaturas inconsistentes ou dados que não coincidem entre formulários.

Screening automatizado em tempo real A verificação manual contra listas de sanções (UE, ONU, OFAC) e bases de dados de PEPs consome recursos desproporcionados quando realizada de forma periódica. O CheckFile integra fontes de dados atualizadas diariamente, garantindo que qualquer alteração no estatuto sancionatório de um fornecedor desencadeia um alerta imediato ao responsável pelo processo.

Rastreabilidade e auditoria completa A conformidade regulatória perante o Banco de Portugal ou a CMVM exige demonstrar não só que a diligência devida foi realizada, mas quando, por quem e que documentos foram verificados. A plataforma gera automaticamente um processo digital com carimbo de data e hora, histórico de alterações e exportação em formatos admitidos em procedimentos de supervisão.

A segurança e certificações do CheckFile garantem que todo o processamento documental cumpre os requisitos do RGPD e da Lei 58/2019, com encriptação ponto a ponto e armazenamento em infraestrutura certificada na União Europeia.

Consulte os planos e preços do CheckFile para conhecer as opções adaptadas ao volume de fornecedores da sua organização.

Questões práticas das equipas de compliance

"Durante quanto tempo devemos conservar a documentação de vendor due diligence?"

Esta questão surge com frequência entre profissionais de compliance em Portugal. A Lei 83/2017 estabelece um período mínimo de conservação de sete anos para a documentação de diligência devida das entidades obrigadas, prazo que pode ser alargado por decisão das autoridades de supervisão. Para fornecedores fora do âmbito BCFT mas sujeitos ao RGPD, o critério geral é conservar a documentação durante o tempo que durar a relação comercial acrescido do prazo de prescrição das ações legais aplicáveis (habitualmente cinco anos após o fim do contrato). A recomendação prática é estabelecer políticas de retenção diferenciadas por tipo de fornecedor e nível de risco, documentadas no programa de compliance.

"O que fazer se um fornecedor já contratado aparecer numa lista de sanções?"

É um dos cenários mais delicados para as equipas de compliance. Quando um fornecedor ativo aparece numa lista de sanções da UE ou da ONU, a entidade tem a obrigação legal de suspender imediatamente qualquer pagamento ou transferência de fundos, comunicar ao Departamento de Informação Financeira (DCIAP/PGR) se houver suspeita de branqueamento, e documentar o processo de decisão com assessoria jurídica. A monitorização contínua automatizada — em vez de revisões pontuais — é a única forma de garantir que esta deteção ocorre em tempo real e não dias ou semanas após a alteração do estatuto.

Perguntas frequentes

Que documentos são obrigatórios num vendor due diligence básico?

Os documentos mínimos para um VDD básico incluem: escritura de constituição ou equivalente, identificação do representante legal com poderes em vigor, NIPC verificado, declaração de titularidade efetiva (beneficiários efetivos), e certidão de não dívida à Autoridade Tributária e à Segurança Social. Em fornecedores de categoria alta ou crítica acrescem contas anuais auditadas, certificações de conformidade e questionários de segurança.

Com que frequência devem ser revistos os fornecedores já avaliados?

A frequência depende da categoria de risco atribuída. Os fornecedores críticos devem ser revistos anualmente no mínimo e perante qualquer alteração significativa (mudança de titularidade, novas sanções, incidentes de segurança). Os fornecedores de risco baixo podem ser revistos a cada três a cinco anos ou na renovação do contrato. O Regulamento DORA exige revisões anuais documentadas para todos os fornecedores TIC considerados críticos por entidades financeiras.

O vendor due diligence é obrigatório para todas as empresas ou apenas para entidades obrigadas BCFT?

A obrigação formal de diligência devida estabelecida na Lei 83/2017 aplica-se apenas às entidades obrigadas (instituições de crédito, seguradoras, notários, advogados, etc.). No entanto, o VDD é uma prática recomendada para qualquer organização, independentemente do setor, como parte de uma gestão de riscos prudente. Empresas cotadas, participantes em contratos públicos ou em cadeias de fornecimento internacionais têm incentivos regulatórios e comerciais adicionais para o implementar.

Como se gere a due diligence de fornecedores localizados no estrangeiro?

Para fornecedores estrangeiros, o processo inclui verificação da documentação equivalente na sua jurisdição de origem, consulta no registo correspondente (quando acessível), análise do risco-país segundo classificações GAFI e listas de jurisdições não cooperantes da UE, e tradução certificada de documentos quando necessário. Os fornecedores localizados em jurisdições de alto risco devem ser sujeitos a um processo de diligência reforçada, com documentação adicional sobre a origem dos fundos e a estrutura societária.

Qual a diferença entre vendor due diligence e gestão de riscos de terceiros (TPRM)?

O VDD é o processo de avaliação num momento determinado (antes de contratar ou em revisões periódicas), enquanto o TPRM (Third-Party Risk Management) é o quadro contínuo e estratégico que inclui o VDD, mas também a monitorização do desempenho, gestão de incidentes, planeamento de contingências e governação da relação com terceiros ao longo de todo o ciclo de vida. Consulte o nosso guia sobre gestão de riscos de terceiros (TPRM) para mais informação.