Compliance

Como fazer Due Diligence de Parceiros e Fornecedores (e o que dá errado se você não fizer)

Escrito por Marília Pavinski, advogada especialista em societário para fintechs e empresas do setor financeiro na NDM Advogados.

Desde 2014 oferecemos assessoria jurídica completa para empresas tech crescerem com segurança e poderem focar no que importa.

Atualizado em 30/06/2026

Toda empresa terceiriza algo. Toda fintech depende de parceiros, como adquirentes, fornecedores de tecnologia, consultorias, entre outros. 

O problema é que, na pressa de fechar negócio, a due diligence desses terceiros costuma ser tratada como burocracia dispensável, quando, na verdade, é uma das defesas mais eficazes contra riscos regulatórios, reputacionais e financeiros.

O que é Due Diligence de parceiros e fornecedores

Due diligence é o processo de verificação e avaliação de um parceiro, fornecedor ou prestador de serviços antes (e durante) do relacionamento comercial, com o objetivo de identificar riscos.

Não se trata apenas de solicitar um contrato social ou uma certidão negativa, por exemplo. Uma due diligence robusta combina verificação documental, consulta a bases públicas e restritivas, análise de risco proporcional ao tipo de relação e um monitoramento contínuo.

Muitas empresas acham que fazem due diligence, mas realizam apenas verificações superficiais. Veja a diferença:

CritérioCheck Superficial (Inadequado)Due Diligence de Terceiros (Robusta)
DocumentaçãoPede apenas o CNPJ e Contrato Social.Mapeia o Quadro Societário e os Beneficiários Finais (UBOs).
Listas RestritivasNão consulta ou consulta apenas o Serasa.Varredura em listas da ONU, OFAC, PEP e trabalho escravo.
Abordagem“Tamanho único” para todos os fornecedores.Baseada em risco (fornecedores críticos passam por auditoria profunda).
PeriodicidadeFeita apenas na assinatura do contrato.Monitoramento contínuo com alertas de mudança de status.

Por que a Due Diligence é ainda mais crítico para fintechs?

Empresas financeiras e instituições autorizadas operam sob um nível de escrutínio regulatório que vai muito além da maioria das empresas tradicionais. Resoluções do Conselho Monetário Nacional (CMN) e do Banco Central do Brasil (BCB) exigem que as fintechs conheçam e monitorem os riscos trazidos por seus terceiros.

Isso significa que a responsabilidade não desaparece quando você terceiriza. Se um correspondente, parceiro ou fornecedor facilita uma fraude, viabiliza lavagem de dinheiro ou descumpre normas, a instituição financeira por trás daquela relação pode responder por isso.

Como estruturar um processo de Due Diligence em 4 passos?

Na prática, esse procedimento se organiza em cinco etapas:

1. Identificação

Antes do início de qualquer relacionamento, o terceiro deve ser identificado e qualificado, prestando as informações mínimas necessárias para viabilizar a sua diligência. Os dados exigidos variam conforme se trate de pessoa física ou jurídica.

Essa etapa não é apenas a coleta de dados; é o que torna a checagem seguinte possível.

2. Apuração e validação

Com as informações em mãos, os dados fornecidos devem ser apurados, preferencialmente, por meio de validação automatizada em bases especializadas com a finalidade de:

  • Verificar a autenticidade das informações e dos documentos apresentados.
  • Confirmar a regularidade do cadastro do terceiro perante a Receita Federal.
  • Realizar checagem reputacional.
  • Verificar a presença do terceiro em listas restritivas nacionais e internacionais.

Inconsistências entre os dados informados e os dados das bases consultadas, documentos incompletos ou presença em listas restritivas são, em geral, causas formais de rejeição.

3. Classificação de risco

Após o término dos processos anteriores, o terceiro deverá ser classificado em um nível de risco, como baixo, médio e alto, por exemplo. Para viabilizar essa classificação, os seguintes fatores podem ser considerados:

  • Menção em mídia negativa.
  • Presença em listas restritivas.
  • Enquadramento como PEP.
  • Atuação em setores ou atividades sensíveis à lavagem de dinheiro.
  • Localização geográfica.

4. Monitoramento e atualização cadastral

A due diligence não termina no onboarding. Mudanças relevantes na situação do terceiro devem disparar um alerta. Ainda, os dados cadastrais dos terceiros aceitos devem ser atualizados periodicamente, de acordo com a sua alocação de risco.

O que pode dar errado quando você não faz Due Diligence?

Os riscos não são teóricos. Eles se materializam de formas concretas e recorrentes:

  • Parceiros e fornecedores sem histórico verificado são portas de entrada para estruturas de lavagem de dinheiro. Uma due diligence ausente ou superficial é, frequentemente, o elo mais fraco identificado em investigações.
  • Uma associação pública com um fornecedor envolvido em escândalo, fraude ou trabalho irregular se transfere para a marca contratante. No mercado, reputação é um ativo, e ativos contaminados são difíceis de recuperar.
  • Fornecedores com irregularidades fiscais ou trabalhistas podem gerar responsabilidade subsidiária ou solidária para o contratante, especialmente em relações de terceirização de mão de obra.
  • Empresas que dependem de certificações, parcerias bancárias ou contratos com grandes clientes corporativos frequentemente perdem essas relações quando uma auditoria de terceiros revela a ausência de processos de due diligence.

O custo de remediar um problema causado por um terceiro mal avaliado acaba sendo maior do que o custo de tê-lo avaliado corretamente antes.

NDM check background check procedimentos de KY (KYC, KYP, KYE, KYS, dentre outros)

Da teoria à prática: Automatizando com o NDM Check

O desafio real não é entender que due diligence é importante. O desafio é operacionalizá-la de forma consistente, documentada e escalável, sem que ela se torne um gargalo para o negócio.

É aqui que ferramentas de automação fazem a diferença. A NDM Check é um exemplo de solução pensada para esse propósito: ela permite estruturar e documentar o processo de verificação de parceiros e fornecedores de forma organizada, com consultas a bases relevantes e evidências auditáveis.

Para empresas e fintechs que ainda tratam a due diligence de terceiros como etapa pontual de onboarding, o primeiro passo é simples: transformar isso em processo formal, com responsável definido, critérios de risco claros e periodicidade de revisão. A tecnologia entra para dar escala e consistência a esse processo, não para substituí-lo.

7. FAQ – Perguntas Frequentes

1. Preciso fazer Due Diligence de todos os meus fornecedores? Não com a mesma intensidade. O princípio da Abordagem Baseada em Risco dita que fornecedores críticos (que acessam dados sensíveis ou movimentam dinheiro) exigem diligências profundas, enquanto fornecedores de material de escritório exigem apenas checagens básicas.

2. O que é KYP e KYS? São siglas em inglês para Know Your Partner (Conheça seu Parceiro) e Know Your Supplier (Conheça seu Fornecedor). São as vertentes de due diligence focadas especificamente na cadeia de suprimentos e relacionamentos B2B.

3. O que fazer se um fornecedor antigo for incluído em uma lista restritiva? Se você possui monitoramento contínuo, seu sistema emitirá um alerta. O relacionamento deve ser paralisado cautelarmente, os pagamentos retidos, e o compliance deve investigar o alerta. Confirmada a sanção, o contrato deve ser rescindido imediatamente.

4. Checar o CNPJ na Receita Federal é suficiente? Não. Um CNPJ ativo não revela se a empresa utiliza trabalho análogo à escravidão, se seus sócios estão em listas de sanções da OFAC/ONU ou se a empresa responde a processos graves de fraude. A análise deve ser multidisciplinar.

NDM Advogados especializado em fintechs, startups, instituições de pagamento e empresas de tecnologia https://contato.ndmadvogados.com.br/?utm_source=banner_blog&utm_medium=blog&utm_campaign=contato_lovable_home_botao_lateral&utm_content=contato_lovable_home_botao_lateral
Compartilhe esse conteúdo

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Fique por dentro das nossas novidades!

Inscreva-se para receber atualizações exclusivas.

Entre em
contato conosco

Estamos prontos para ajudar sua startup a crescer. Agende uma consulta e saiba mais!

Estamos prontos para ajudar seu negócio a crescer. Agende uma consulta e saiba mais!