O que é o Sherlocker?

Plataforma de investigação digital que cruza +50 fontes de dados para revelar conexões ocultas entre pessoas e empresas — em segundos, não em dias.

Para quem é o Sherlocker?

Advogados de execução, analistas de compliance, profissionais de crédito e investigadores corporativos que precisam encontrar o que tentam esconder.

Como é diferente de outras ferramentas?

Nosso diferencial é o grafo de conexões visual. Enquanto outras ferramentas mostram telas de dados, o Sherlocker mapeia automaticamente vínculos que você não encontraria.

As informações são atualizadas?

Sim. Integramos diretamente com fontes oficiais e atualizamos os dados continuamente. Você vê o que existe, não o que existia.

O que são "consultas avançadas"?

São buscas que enriquecem seu mapa com dados adicionais: processos judiciais, veículos, histórico societário e mais. As investigações básicas são ilimitadas.

Sim, oferecemos API REST para integração com seus sistemas internos. Disponível nos planos corporativos. Fale com nosso time para saber mais.

Posso testar antes de assinar?

Você tem 5 dias grátis para testar. Cancele quando quiser, sem burocracia.

Compliance na Gestão de Terceiros: Guia Completo para Proteger sua Empresa em 2026

Bruno Fraga18 de fevereiro de 202614 min de leitura

O Brasil perdeu R$ 297,7 bilhões com fraudes em 2024. Esse número, divulgado pelo relatório "State of Scams in Brazil 2024" da Global Anti-Scam Alliance (GASA), não representa apenas golpes contra consumidores. Uma parcela significativa desse valor envolve fraudes corporativas — muitas delas perpetradas por ou através de terceiros.

A gestão de compliance na cadeia de fornecedores deixou de ser uma escolha. Virou uma necessidade estratégica. Empresas que negligenciam a investigação de seus parceiros comerciais estão expostas a riscos que vão desde multas milionárias até a destruição de décadas de reputação em questão de dias.

Este guia revela como estruturar um programa de compliance na gestão de terceiros que realmente funciona. Você vai descobrir os riscos ocultos na contratação de fornecedores, entender o que a legislação brasileira exige da sua empresa e aprender a identificar red flags antes que se transformem em crises.

O que é Compliance na Gestão de Terceiros?

Compliance na gestão de terceiros é o conjunto de políticas, processos e controles que garantem que fornecedores, prestadores de serviço, parceiros comerciais e intermediários estejam alinhados às normas legais e aos padrões éticos da sua organização.

O conceito vai além de verificar se o CNPJ está ativo. Envolve uma análise profunda de quem são essas empresas, quem está por trás delas, como operam e quais riscos podem trazer para a sua cadeia de valor.

Por que terceiros representam um risco especial?

A resposta está na extensão da responsabilidade. Quando você contrata um fornecedor, você não está apenas comprando um produto ou serviço. Você está vinculando a reputação da sua empresa às práticas daquele terceiro.

Se um fornecedor utiliza trabalho análogo à escravidão, sua empresa pode ser incluída na "lista suja" do Ministério do Trabalho. Se um intermediário paga propina para fechar contratos em seu nome, sua empresa responde solidariamente pela Lei Anticorrupção. Se um prestador de serviço vaza dados pessoais dos seus clientes, a LGPD responsabiliza você também.

Diferença entre gestão de terceiros e gestão de fornecedores

Esses termos são frequentemente usados como sinônimos, mas há uma distinção importante.

Gestão de fornecedores foca no relacionamento comercial: negociação, contratos, entrega, qualidade e pagamentos. É uma função tipicamente de procurement.

Gestão de terceiros tem uma perspectiva mais ampla. Inclui todos os atores externos que podem impactar a organização: fornecedores, sim, mas também distribuidores, agentes comerciais, consultores, subcontratados, franqueados e até parceiros de tecnologia.

O compliance na gestão de terceiros atua nessa camada mais abrangente. Não importa apenas se o produto chegou no prazo. Importa se a empresa que o produziu respeita leis trabalhistas, ambientais e anticorrupção.

Por que sua Empresa Precisa de um Programa de Compliance para Terceiros

A pergunta deveria ser: sua empresa pode se dar ao luxo de não ter?

Os riscos de ignorar a due diligence de terceiros são concretos, mensuráveis e frequentemente devastadores.

Riscos reputacionais e financeiros

Segundo pesquisa da Serasa Experian, 50,7% dos brasileiros foram vítimas de fraude em 2024. Golpes envolvendo falsos fornecedores geraram prejuízo de R$ 10,1 bilhões entre 2023 e 2024, afetando principalmente pequenas e médias empresas.

Mas o custo financeiro direto é apenas a ponta do iceberg. Quando uma empresa é associada a um escândalo envolvendo terceiros, o impacto na marca pode ser irreversível.

Considere o caso de grandes varejistas que tiveram fornecedores flagrados com condições de trabalho degradantes. A reação do mercado foi imediata: boicotes, queda no valor das ações, perda de contratos com o setor público.

Casos reais: quando a falta de controle custou milhões

Operação Lava Jato e os intermediários: Diversas empresas brasileiras de grande porte foram condenadas por atos de corrupção praticados através de terceiros. Consultores, despachantes e agentes comerciais foram usados como "fachada" para pagamentos ilícitos. A responsabilização das empresas contratantes foi direta.

Escândalo Americanas: A revelação de inconsistências contábeis em 2023 expôs fragilidades em toda a cadeia de valor. Fornecedores que tinham a empresa como principal cliente entraram em crise. A investigação revelou como a falta de controles adequados permitiu que irregularidades passassem despercebidas por anos.

Vazamentos de dados via terceiros: Incidentes de segurança em prestadores de serviço de TI têm comprometido dados de milhões de clientes de grandes corporações. A empresa contratante responde pela LGPD, mesmo quando a falha está no fornecedor.

A responsabilização objetiva na Lei Anticorrupção

A Lei 12.846/2013 (Lei Anticorrupção) trouxe um conceito que muda completamente a equação de risco: a responsabilização objetiva.

Isso significa que sua empresa pode ser punida por atos lesivos praticados em seu interesse, ainda que não tenha conhecimento ou participação direta. Não importa se você sabia que o intermediário estava pagando propina. Se ele fez isso para beneficiar sua empresa, você responde.

As multas podem chegar a 20% do faturamento bruto — ou R$ 60 milhões quando não for possível calcular o faturamento. Além disso, há sanções como publicação extraordinária da decisão condenatória, proibição de receber incentivos fiscais e, em casos graves, dissolução compulsória da empresa.

A única forma de mitigar essa responsabilidade é demonstrar que você tinha mecanismos efetivos de compliance, incluindo due diligence de terceiros.

O que Diz a Legislação Brasileira

Quatro pilares normativos sustentam a obrigação de compliance na gestão de terceiros no Brasil. Entendê-los é fundamental para estruturar um programa que realmente proteja sua empresa.

Lei Anticorrupção (12.846/2013)

A lei estabelece a responsabilidade civil e administrativa de empresas por atos contra a administração pública. Terceiros são mencionados explicitamente: intermediar negócio com agente público, financiar práticas ilícitas ou ocultar beneficiários de atos lesivos são condutas puníveis.

O Decreto 11.129/2022, que regulamenta a lei, detalha os parâmetros para avaliação de programas de integridade. A due diligence de terceiros é um dos critérios para atenuar penalidades.

LGPD e proteção de dados de terceiros

A Lei Geral de Proteção de Dados (Lei 13.709/2018) criou a figura do operador — quem trata dados pessoais em nome do controlador. Seus fornecedores que acessam dados de clientes são operadores perante a lei.

A responsabilidade é solidária. Se um prestador de serviço vaza dados, a Autoridade Nacional de Proteção de Dados (ANPD) pode multar tanto ele quanto sua empresa. As penalidades chegam a 2% do faturamento, limitadas a R$ 50 milhões por infração.

O artigo 39 da LGPD exige que o operador trate os dados "segundo as instruções do controlador". Você precisa garantir que terceiros sigam suas políticas de segurança.

Lei da Terceirização (13.429/2017)

A reforma trabalhista ampliou as possibilidades de terceirização, mas manteve a responsabilidade subsidiária da empresa tomadora de serviços.

Se o fornecedor não pagar verbas trabalhistas aos seus funcionários, você pode ser acionado. Se houver condições de trabalho degradantes, o vínculo empregatício pode ser reconhecido diretamente com a sua empresa.

A homologação de fornecedores deve incluir verificação de regularidade trabalhista, fiscal e previdenciária.

ISO 37301 e normas internacionais

A norma ISO 37301:2021 estabelece requisitos para sistemas de gestão de compliance. Substituiu a ISO 19600 e é certificável.

O capítulo sobre gestão de terceiros exige:

Avaliação de riscos de compliance associados a parceiros
Due diligence proporcional ao nível de risco
Monitoramento contínuo
Cláusulas contratuais de compliance

Para empresas que operam internacionalmente ou têm capital aberto, a certificação ISO 37301 é um diferencial competitivo significativo.

Os 7 Principais Riscos na Contratação de Terceiros

Identificar riscos é o primeiro passo para gerenciá-los. Estes são os sete vetores de ameaça mais críticos na relação com fornecedores e parceiros comerciais.

1. Risco de compliance e regulatório

O fornecedor opera em conformidade com a legislação aplicável? Possui licenças e autorizações necessárias? Está em dia com obrigações fiscais?

Um terceiro em situação irregular pode contaminar sua cadeia de valor. Comprar de empresa com pendências ambientais, por exemplo, pode caracterizar corresponsabilidade.

2. Risco reputacional

Com quem seu fornecedor se relaciona? Quem são seus sócios e administradores? Há histórico de escândalos ou controvérsias?

Na era das redes sociais, a associação com empresas ou pessoas de reputação questionável se espalha em minutos. Um fornecedor envolvido em polêmica pode arrastar sua marca junto.

3. Risco de vazamento de dados

Fornecedores que acessam sistemas, dados de clientes ou informações confidenciais são pontos de vulnerabilidade. Segundo o relatório Cost of a Data Breach 2024 da IBM, o custo médio de um vazamento de dados no Brasil foi de R$ 6,75 milhões.

Muitos ataques cibernéticos exploram a cadeia de suprimentos. Criminosos miram fornecedores menores, com menos investimento em segurança, para atingir empresas maiores.

4. Risco trabalhista

Terceirização irregular, ausência de equipamentos de proteção, jornadas exaustivas, trabalho infantil, condições análogas à escravidão. Esses problemas em fornecedores podem gerar responsabilização da empresa contratante.

O risco é especialmente alto em setores como construção civil, confecção, agronegócio e logística.

5. Risco financeiro

A saúde financeira do fornecedor impacta diretamente sua operação. Um parceiro em dificuldades pode interromper entregas, comprometer qualidade ou simplesmente fechar as portas sem aviso.

A análise de crédito e capacidade financeira deve fazer parte da homologação de fornecedores.

6. Risco operacional

O fornecedor tem capacidade técnica para entregar o que promete? Possui processos estruturados? Depende de um único cliente ou fornecedor-chave?

Concentração de risco na cadeia de suprimentos ficou evidente durante a pandemia, quando empresas descobriram tarde demais que dependiam de fornecedores únicos em regiões afetadas.

7. Risco de corrupção e suborno

Talvez o mais grave. Um terceiro que pratica suborno em nome da sua empresa pode resultar em condenação pela Lei Anticorrupção, mesmo sem seu conhecimento.

Agentes comerciais, despachantes, consultores de vendas e intermediários em geral são os perfis de maior risco. Especialmente em operações com o setor público.

Como Estruturar um Programa de Compliance Eficiente

Um programa de compliance para terceiros não se resume a preencher cadastros. Requer uma abordagem sistemática, proporcional aos riscos e integrada aos processos de negócio.

1. Mapeamento de riscos na cadeia

Antes de controlar, você precisa conhecer. Quais são todos os terceiros com os quais sua empresa se relaciona? Qual o volume de transações com cada um? Que tipo de acesso têm aos seus sistemas, dados ou operações?

Crie uma matriz de terceiros classificados por:

Criticidade operacional: impacto se o fornecedor falhar
Exposição regulatória: contato com setor público, dados pessoais, questões ambientais
Volume financeiro: valores transacionados
Complexidade da cadeia: subcontratações envolvidas

Essa classificação determina a intensidade da due diligence.

2. Políticas e código de conduta para fornecedores

Documente suas expectativas. Um Código de Conduta para Fornecedores deve estabelecer claramente:

Proibição de corrupção e suborno
Compromisso com direitos humanos e condições de trabalho dignas
Conformidade ambiental
Proteção de dados e confidencialidade
Obrigação de informar irregularidades

O código deve ser comunicado a todos os terceiros e sua aceitação formal deve ser condição para contratação.

3. Due diligence antes da contratação

A due diligence de terceiros deve ser proporcional ao risco. Para um fornecedor de baixo risco, uma verificação básica pode ser suficiente. Para parceiros de alto risco, a investigação precisa ser profunda.

Elementos típicos de uma due diligence:

Verificação de documentação societária
Consulta a certidões negativas (fiscal, trabalhista, criminal)
Pesquisa em listas restritivas (CEIS, CNEP, CEPIM, OFAC)
Identificação de Pessoas Politicamente Expostas (PEP) na estrutura societária
Análise de processos judiciais
Pesquisa de mídia negativa
Verificação de beneficiários finais

Ferramentas de investigação empresarial com IA automatizam esse processo, cruzando múltiplas bases de dados em segundos — algo que manualmente levaria dias ou semanas.

4. Cláusulas contratuais de compliance

O contrato é sua principal ferramenta de proteção. Cláusulas essenciais incluem:

Declarações e garantias: o terceiro declara estar em conformidade com leis anticorrupção, trabalhistas, ambientais e de proteção de dados.

Obrigação de compliance: compromisso de manter programa de integridade e seguir o código de conduta do contratante.

Direito de auditoria: possibilidade de auditar o terceiro mediante aviso prévio razoável.

Reporte de irregularidades: obrigação de informar imediatamente qualquer suspeita de violação.

Rescisão por justa causa: possibilidade de encerrar o contrato em caso de violação de compliance, sem penalidades.

Extensão a subcontratados: obrigação de aplicar os mesmos padrões a fornecedores do fornecedor.

5. Monitoramento contínuo e auditorias

Due diligence não é evento único. A situação do terceiro pode mudar. Um fornecedor aprovado há dois anos pode ter sócios novos, processos trabalhistas ou sanções recentes.

Estabeleça:

Monitoramento automatizado: alertas sobre mudanças cadastrais, novos processos, inclusão em listas restritivas
Reavaliação periódica: due diligence completa a cada 12-24 meses para terceiros de alto risco
Auditorias pontuais: verificações in loco para fornecedores críticos

Plataformas de investigação empresarial permitem monitoramento contínuo de terceiros, emitindo alertas automáticos quando há mudanças relevantes.

6. Canal de denúncias e resposta a incidentes

Funcionários, clientes e até concorrentes podem identificar irregularidades em fornecedores antes que você descubra internamente.

Seu canal de denúncias deve aceitar reportes sobre terceiros. E você precisa de um processo claro para investigar e responder a essas denúncias.

O procedimento de resposta a incidentes deve prever:

Preservação de evidências
Investigação independente
Medidas corretivas ou rescisão
Reporte a autoridades quando aplicável
Comunicação a partes afetadas

Due Diligence de Terceiros: O que Investigar

A profundidade da due diligence deve ser proporcional ao risco. Um fornecedor de material de escritório não requer a mesma investigação que um agente comercial que negociará contratos governamentais em seu nome.

Mas há um conjunto mínimo de verificações aplicável a todos os terceiros.

Checklist de documentos e certidões

Documentação societária:

Contrato social ou estatuto atualizado
Última alteração contratual
Ata de eleição de administradores
Comprovante de inscrição no CNPJ

Certidões negativas:

Certidão negativa de débitos federais (CND/PGFN)
Certidão de regularidade do FGTS (CRF)
Certidão negativa de débitos trabalhistas (CNDT)
Certidões de distribuidores cíveis e criminais (estadual e federal)
Certidão de regularidade ambiental (quando aplicável)

Consultas a listas restritivas

Listas nacionais:

CEIS (Cadastro de Empresas Inidôneas e Suspensas): empresas punidas por fraudes em licitações
CNEP (Cadastro Nacional de Empresas Punidas): condenadas pela Lei Anticorrupção
CEPIM (Cadastro de Entidades Privadas Sem Fins Lucrativos Impedidas): organizações impedidas de receber recursos públicos
Lista Suja do Trabalho Escravo: empregadores com condições análogas à escravidão

Listas internacionais:

OFAC (Office of Foreign Assets Control): sanções dos EUA
EU Sanctions List: sanções da União Europeia
UK Sanctions List: sanções do Reino Unido
UN Consolidated List: sanções das Nações Unidas

Identificação de PEPs na estrutura societária

Pessoas Politicamente Expostas representam risco elevado de corrupção. A verificação deve identificar se sócios, administradores ou familiares são ou foram:

Ocupantes de cargos públicos de primeiro escalão
Dirigentes de empresas estatais
Magistrados de tribunais superiores
Oficiais generais das Forças Armadas
Dirigentes de partidos políticos

A presença de PEP não impede a contratação, mas exige due diligence aprofundada e monitoramento intensificado.

Análise de processos judiciais e sanções

Verifique:

Ações trabalhistas (volume, natureza, valores)
Execuções fiscais
Ações de cobrança (indicativo de saúde financeira)
Processos criminais contra a empresa ou administradores
Ações ambientais
Processos administrativos em agências reguladoras

Verificação de beneficiários finais

Quem realmente está por trás da empresa? A estrutura societária pode ocultar os verdadeiros controladores através de holdings, offshores ou sócios laranjas.

A investigação de beneficiário final (beneficial ownership) busca identificar as pessoas físicas que, em última instância, controlam ou se beneficiam da entidade.

Empresas de fachada, com sócios ocultos ou estruturas artificialmente complexas, são sinais de alerta.

Red Flags: Sinais de Alerta em Fornecedores

Anos de investigações corporativas revelam padrões. Estes são os indicadores que devem acender a luz amarela — ou vermelha — durante a due diligence.

Indicadores de risco a observar

Estrutura societária:

Empresa recém-constituída buscando contratos de alto valor
Frequentes alterações societárias sem justificativa aparente
Capital social incompatível com o porte das operações
Sócios com múltiplas empresas em setores diversos
Estrutura offshore sem justificativa comercial clara

Histórico:

Processos trabalhistas recorrentes ou de alto valor
Execuções fiscais ativas
Inclusão em listas restritivas (mesmo que já excluído)
Notícias negativas em mídia
Relacionamento anterior problemático com sua empresa ou concorrentes

Operacional:

Recusa em fornecer documentação básica
Preços significativamente abaixo do mercado
Insistência em pagamentos em espécie ou para contas de terceiros
Falta de estrutura física compatível com o serviço oferecido
Incapacidade de explicar sua cadeia de fornecedores

Relacionamentos:

Conexões com PEPs não declaradas
Relacionamento pessoal entre o fornecedor e funcionários da empresa contratante
Indicação insistente por parte de agentes públicos

Quando aprofundar a investigação

Qualquer red flag identificada deve acionar uma due diligence ampliada. Isso pode incluir:

Visitas técnicas às instalações do fornecedor
Entrevistas com funcionários e ex-funcionários
Verificação de referências comerciais
Análise de demonstrações financeiras
Investigação de sócios e administradores individualmente

Ações imediatas ao detectar irregularidades

Se a investigação revelar problemas sérios:

Não contrate. Parece óbvio, mas a pressão por fechar negócio pode levar a decisões arriscadas.
Documente. Registre todas as evidências encontradas e o racional da decisão.
Comunique internamente. Áreas de negócio que indicaram o fornecedor precisam saber por que ele foi reprovado.
Avalie obrigação de reporte. Em alguns casos (trabalho escravo, corrupção evidente), pode haver obrigação legal de comunicar autoridades.
Monitore. O fornecedor reprovado pode tentar novamente através de empresas associadas.

Tecnologia na Gestão de Compliance de Terceiros

A gestão manual de terceiros não escala. Empresas com centenas ou milhares de fornecedores não conseguem realizar due diligence adequada usando planilhas e consultas manuais.

A tecnologia transformou essa equação.

Automação de due diligence

Plataformas de investigação empresarial automatizam as consultas que antes consumiam dias de trabalho:

Verificação de CNPJ e situação cadastral
Consulta a dezenas de certidões simultaneamente
Pesquisa em listas restritivas nacionais e internacionais
Identificação de PEPs na estrutura societária
Levantamento de processos judiciais
Pesquisa de mídia negativa

O que levava semanas agora leva minutos.

Monitoramento contínuo com IA

Inteligência artificial permite monitorar sua base de terceiros 24/7. Algoritmos detectam:

Alterações societárias
Novos processos judiciais
Inclusão em listas restritivas
Notícias negativas
Mudanças de risco

Alertas são emitidos automaticamente, permitindo ação rápida antes que o problema escale.

Cruzamento de dados e detecção de anomalias

A verdadeira inteligência está em conectar os pontos. Ferramentas avançadas cruzam dados de múltiplas fontes para identificar:

Relacionamentos ocultos entre empresas
Padrões suspeitos de transações
Redes de empresas com sócios em comum
Conexões com pessoas ou entidades de risco

Como ferramentas de investigação empresarial aceleram o processo

O Sherlocker foi desenvolvido especificamente para automatizar a investigação de terceiros. A plataforma cruza mais de 100 bases de dados públicas e privadas, identificando riscos que passariam despercebidos em verificações manuais.

Funcionalidades como mapeamento de estrutura societária, identificação de beneficiários finais e monitoramento contínuo transformam a due diligence de projeto pontual em processo contínuo e escalável.

Para empresas que gerenciam grandes volumes de terceiros, a automação não é luxo — é necessidade operacional.

Checklist: Programa de Compliance para Terceiros

Use este checklist para avaliar a maturidade do seu programa ou estruturar um novo.

Governança e políticas

Política de Gestão de Terceiros formalizada e aprovada pela alta administração
Código de Conduta para Fornecedores publicado e comunicado
Papéis e responsabilidades definidos (quem aprova, quem monitora)
Comitê ou fórum de análise de terceiros de alto risco
Indicadores de desempenho (KPIs) estabelecidos

Processos de due diligence

Metodologia de classificação de risco de terceiros documentada
Procedimento de due diligence definido para cada nível de risco
Checklist de documentos e verificações padronizado
Fluxo de aprovação com alçadas definidas
Processo de escalação para casos de red flags

Contratos e cláusulas

Modelo de contrato com cláusulas de compliance
Termo de adesão ao Código de Conduta
Cláusulas de direito de auditoria
Previsão de rescisão por violação de compliance

Monitoramento e atualização

Cronograma de reavaliação periódica por nível de risco
Sistema de monitoramento contínuo ativo
Processo de resposta a alertas de monitoramento
Procedimento para atualização cadastral

Canal de denúncias e resposta

Canal de denúncias acessível para reportes sobre terceiros
Procedimento de investigação de denúncias documentado
Matriz de consequências para violações

Treinamento e comunicação

Treinamento para áreas que interagem com terceiros
Comunicação periódica sobre o programa
Orientações específicas para áreas de maior risco

Cronograma de implementação

Fase	Atividades	Prazo sugerido
1 - Diagnóstico	Mapeamento de terceiros, análise de gaps, classificação de risco	1-2 meses
2 - Estruturação	Políticas, procedimentos, modelos contratuais	2-3 meses
3 - Implantação	Sistemas, treinamentos, comunicação	2-4 meses
4 - Operação	Due diligence de novos e existentes, monitoramento	Contínuo
5 - Melhoria	Avaliação de efetividade, ajustes	Anual

FAQ: Perguntas Frequentes sobre Compliance na Gestão de Terceiros

O que é compliance na gestão de terceiros?

É o conjunto de políticas, processos e controles que garantem que fornecedores, prestadores de serviço e parceiros comerciais operem em conformidade com leis e padrões éticos. Inclui due diligence antes da contratação, monitoramento contínuo e cláusulas contratuais de proteção.

Por que minha empresa precisa se preocupar com terceiros?

A legislação brasileira responsabiliza empresas por atos de terceiros que atuam em seu interesse. A Lei Anticorrupção permite punir empresas por suborno praticado por intermediários. A LGPD responsabiliza controladores por vazamentos em operadores. A CLT prevê responsabilidade subsidiária por débitos trabalhistas de terceirizados.

O que deve conter uma due diligence de terceiros?

No mínimo: verificação de documentação societária, consulta a certidões negativas, pesquisa em listas restritivas (CEIS, CNEP, OFAC), identificação de PEPs, análise de processos judiciais e pesquisa de mídia negativa. Para terceiros de alto risco, adicione verificação de beneficiários finais e visitas técnicas.

Com que frequência devo reavaliar fornecedores?

Depende do nível de risco. Terceiros de alto risco devem ser reavaliados anualmente. Riscos médios, a cada 2-3 anos. Baixo risco, conforme renovação contratual. Além disso, o monitoramento contínuo deve acionar reavaliação sempre que houver mudanças relevantes.

Quais são as principais listas restritivas a consultar?

No Brasil: CEIS (empresas inidôneas), CNEP (punidas pela Lei Anticorrupção), CEPIM (entidades impedidas) e Lista Suja do Trabalho Escravo. Internacionalmente: OFAC (EUA), EU Sanctions List, UK Sanctions List e UN Consolidated List.

O que fazer se descobrir irregularidades em um fornecedor já contratado?

Avalie a gravidade e as obrigações contratuais. Opções incluem: exigir regularização com prazo, intensificar monitoramento, rescindir contrato por justa causa. Em casos de crimes (corrupção, trabalho escravo), pode haver obrigação de reportar a autoridades.

Qual a diferença entre gestão de terceiros e gestão de fornecedores?

Gestão de fornecedores foca na relação comercial (negociação, entrega, pagamento). Gestão de terceiros é mais ampla, incluindo todos os parceiros externos e seus riscos de compliance. Abrange fornecedores, mas também distribuidores, agentes, consultores e parceiros de tecnologia.

Como a tecnologia pode ajudar no compliance de terceiros?

Ferramentas de investigação empresarial automatizam due diligence (consultas a dezenas de bases em minutos), permitem monitoramento contínuo (alertas sobre mudanças de risco) e cruzam dados para detectar relacionamentos ocultos. Transformam compliance de projeto pontual em processo contínuo e escalável.

Conclusão

A gestão de compliance de terceiros não é mais opcional. Em um ambiente regulatório cada vez mais exigente, com responsabilização objetiva e multas milionárias, ignorar os riscos da cadeia de fornecedores é uma aposta que poucas empresas podem se dar ao luxo de fazer.

Os dados são claros: bilhões de reais em perdas por fraudes, escândalos que destroem reputações construídas em décadas, executivos processados por atos de terceiros que sequer conheciam. A pergunta não é se você será afetado, mas quando.

A boa notícia é que estruturar um programa efetivo não precisa ser um projeto de anos. Com políticas claras, processos bem definidos e tecnologia adequada, é possível transformar due diligence de gargalo em vantagem competitiva.

Comece pelo mapeamento de riscos. Priorize os terceiros mais críticos. Implemente verificações proporcionais ao risco. Monitore continuamente. E use a tecnologia a seu favor — ferramentas de investigação empresarial com IA fazem em minutos o que antes levava semanas.

Sua próxima contratação de fornecedor pode ser a diferença entre crescimento sustentável e crise reputacional. A escolha é sua.

Este conteúdo foi produzido pela equipe Sherlocker. Para saber como automatizar a due diligence de terceiros na sua empresa, conheça nossa plataforma.

Escrito por

Bruno Fraga

Experimente o Sherlocker

Automatize suas investigacoes com IA. Teste gratis por 5 dias.

Comecar Gratis