Como evidenciar o KYC para fiscalização do BACEN – com exemplo prático de dossiê auditável


Escrito por Marília Pavinski, advogada especialista em societário para fintechs e empresas do setor financeiro na NDM Advogados.
Desde 2014 oferecemos assessoria jurídica completa para empresas tech crescerem com segurança e poderem focar no que importa.
Atualizado em 09/06/2026
Se a sua instituição está sob fiscalização do Banco Central do Brasil ou se prepara para uma inspeção regulatória, uma das primeiras perguntas a serem feitas é: “Você tem como evidenciar o seu processo de KYC?”
Ter uma Política de KYC (Know Your Customer) escrita não é suficiente. O BACEN exige que você demonstre, de forma rastreável e documentada, que cada etapa do processo foi realmente executada.
Neste artigo, você vai entender o que significa evidenciar o processo de KYC, o que o BACEN espera encontrar em uma fiscalização, como montar um dossiê auditável na prática e quais são os erros mais comuns que colocam instituições em risco durante esse processo.
O KYC é o conjunto de procedimentos que uma instituição regulada deve adotar para conhecer e verificar a identidade de seus clientes, avaliar o seu perfil de risco e monitorar o relacionamento ao longo do tempo. No Brasil, esse processo está entre as principais obrigações relacionadas à PLD/FTP (Prevenção à Lavagem de Dinheiro, ao Financiamento do Terrorismo e à Proliferação de Armas de Destruição em Massa).
O ponto de atenção é que o BACEN não se contenta em saber que esse processo existe. Ele precisa ver que foi executado, quando foi executado, por quem, com base em quais informações e com qual resultado.

Durante uma fiscalização, é verificado se os controles internos da empresa realmente funcionam. Para o KYC, isso significa verificar elementos como:
| ELEMENTO | O QUE É VERIFICADO? | QUAIS SÃO OS RISCOS? |
| Política de KYC aprovada | Aprovação pela Diretoria, data de vigência e revisão periódica. | Deficiência de governança. |
| Coleta de dados cadastrais | Campos coletados, fonte dos dados, data de atualização. | Perfil de cliente incompleto. |
| Validação de identidade | Documentos aceitos, processo de verificação (manual ou automatizado). | Cadastro de clientes não verificados. |
| Checagem em listas restritivas | CSNU, OFAC, Receita Federal, PEP — com data e resultado. | Exposição a sanções internacionais e nacionais. |
| Classificação de risco do cliente | Metodologia de pontuação de risco e categorias aplicadas. | Ausência de due diligence aprimorada. |
| Monitoramento contínuo | Registros de revisões periódicas e alertas gerados. | KYC desatualizado após onboarding. |
| Rastreabilidade dos registros | Logs de quem acessou, alterou e de quando cada cadastro foi atualizado. | Impossibilidade de auditoria. |
Na prática, vemos que instituições que possuem políticas bem redigidas ainda assim podem ser reprovadas em processo de fiscalização e auditoria, pois não foi demonstrado como esses procedimentos são executados na prática.
Um dossiê auditável de KYC é o conjunto organizado e rastreável de documentos, registros e comprovantes que demonstram que cada etapa do processo de identificação e verificação de um cliente foi concluída com sucesso. Não se trata apenas de guardar documentos digitalizados. Um dossiê auditável precisa responder, para qualquer cliente, às seguintes perguntas:

Cenário hipotético: a 123Pay, uma instituição de pagamento autorizada pelo BACEN, recebe um apontamento relacionado à PLD/FTP. O Compliance Officer precisa, em 2 (dois) dias, apresentar os dossiês de KYC de uma amostra de 10 clientes.
Cada cliente deve ter um registro com: nome completo/razão social, CPF/CNPJ, data de nascimento, endereço, profissão, faturamento declarado, PEP (sim/não) e origem dos recursos. Esses dados precisam ter:
A validação pode ser manual ou automatizada, mas precisa estar registrada. O dossiê deve conter:
Esta é uma das etapas mais críticas. A instituição deve demonstrar que verificou o cliente em:
O NDM Check é uma ferramenta desenvolvida por advogados especializados em compliance regulatório para gerar relatórios de background check e KYC com valor auditável. Ao consultar um cliente pelo sistema, a plataforma registra automaticamente a data da consulta, as fontes verificadas, o resultado nas listas restritivas (PEP, CSNU, OFAC, Receita Federal) e o score de risco calculado, tudo consolidado em um relatório rastreável, pronto para ser incluído no dossiê auditável.
Na prática, isso resolve um problema comum: a instituição faz a checagem, mas não guarda o comprovante de que ela aconteceu. Com o NDM Check, cada consulta gera evidência documental pronta para ser apresentada ao BACEN em caso de fiscalização.

Com base nos dados coletados e nas checagens realizadas, o cliente deve ser classificado em uma categoria de risco. A metodologia precisa estar formalizada e o resultado registrado.
Etapa 5: Aprovação e registro de onboarding
O dossiê precisa ter o registro de quem aprovou o ingresso do cliente, em qual data e com qual status.
O procedimento de KYC não termina no onboarding. O dossiê deve conter o histórico de revisões do cadastro, incluindo:
Os erros que mais colocam instituições em risco durante uma fiscalização são:
1. Toda instituição autorizada é obrigada a ter processo de KYC?
Sim. instituições autorizadas a funcionar pelo BACEN são obrigadas a manter processos estruturados de KYC nos termos da regulamentação aplicável.
2. Com que frequência o KYC precisa ser revisado?
A frequência depende do perfil de risco do cliente e dos procedimentos internos adotados pela instituição, mas um exemplo seria: anualmente para risco baixo, semestralmente para risco médio e trimestralmente para clientes de risco alto.
3. O NDM Check substitui o processo interno de KYC da sua instituição?
Não. O NDM Check é uma ferramenta que gera evidências auditáveis de consultas realizadas, especialmente para a etapa de background check, checagem de listas restritivas e score de risco. Ele complementa e documenta o processo interno da instituição, mas a Política de KYC, a metodologia de classificação de risco e os controles internos continuam sendo responsabilidade da própria organização.
Processos de KYC mal evidenciados são um dos principais achados em fiscalizações do BACEN. Não porque as empresas não fazem KYC, na maioria dos casos, fazem, mas porque não conseguem provar que fizeram.
A diferença entre uma instituição que passa na fiscalização está muitas vezes relacionada à capacidade de apresentar os registros corretos, no momento certo, de forma organizada e rastreável.
É nessa etapa de transformar checagem em evidência que o NDM Check foi pensado pelo nosso time de compliance regulatório: cada consulta vira um relatório rastreável, pronto para compor o dossiê auditável que o BACEN espera encontrar. Para entender melhor como o NDM Check funciona, clique aqui.

Estamos prontos para ajudar sua startup a crescer. Agende uma consulta e saiba mais!
Estamos prontos para ajudar seu negócio a crescer. Agende uma consulta e saiba mais!